Сравнительный анализ методов решения задачи оценки защищенности автоматизированных систем

Полный текст

Стремительное развитие компьютерной сферы и высоких технологий в последние два десятилетия привело к тому, что информация приобрела конкретные финансовые, репутационные, временные и другие выражения. В связи с этим для все большего числа организаций защита информации становится одной из приоритетных задач. Государство принимает активное участие в процессе становления информационной безопасности в Российской Федерации, о чем говорит усиление и ужесточение требований к защите конфиденциальной информации (коммерческой тайны, персональных данных, банковской тайны и т. д.), принятие новых законов и подзаконных актов в этой области, а также руководящих документов по классификации средств защиты информации исходя из требований безопасности. Одним из первых и основных этапов построения защищенной инфраструктуры организации является анализ оценки защищенности автоматизированной системы (АС). В настоящее время анализ оценки защищенности АС проводится с помощью двух подходов: формального и классификационного. Основой для формального подхода традиционно считается модель системы защиты с полным перекрытием, в которой рассматривается взаимодействие области угроз, защищаемой области и системы защиты [1]. Таким образом, имеется три множества: - T = {ti} - множество угроз безопасности; - O = {oj} - множество объектов (ресурсов) защищенной системы; - M = {mk} - множество механизмов безопасности АС. Элементы этих множеств находятся между собой в определенных отношениях, характеризующих систему защиты. Для описания системы защиты обычно используется графовая модель [1]. Множество отношений «угроза-объект» образует двухдольный граф {<T, O>}. Цель защиты состоит в том, чтобы перекрыть все возможные ребра в графе. Это достигается введением третьего набора M, в результате чего получается трехдольный граф {<T, M, O>} (рис. 1). Развитие модели системы защиты с полным перекрытием предполагает введение еще двух элементов: - V - набора уязвимых мест, определяемого подмножеством декартова произведения T*O: vr = <ti, oj>. Под уязвимостью системы защиты понимается возможность осуществления угрозы t в отношении объекта o; - B - набора барьеров, определяемого декартовым произведением V*M: bl = <t, oj, mk>. Барьеры представляют собой пути осуществления угроз безопасности, перекрытые средствами защиты. [Image] Рис. 1. Графовая модель описания системы защиты информации [Image] Рис. 2. Модель системы защиты, содержащей уязвимости В результате будет получена система, состоящая из пяти элементов: <T, O, M, V, B>, описывающая систему защиты с учетом наличия в ней уязвимостей [1] (рис. 2). В системе защиты с полным перекрытием для любой уязвимости имеется устраняющий ее барьер. Иными словами, в подобной системе для всех возможных угроз безопасности существуют специальные механизмы защиты, препятствующие осуществлению этих угроз. Это один из факторов, определяющих защищенность АС. Другим фактором является прочность механизмов защиты [1]. В качестве характеристик элемента набора барьеров bl = <ti, o, mk>, bl є B, может рассматриваться набор <Pl, Ll, Rl>, где Pl - вероятность появления угрозы; Ll - величина ущерба при удачном осуществлении угрозы в отношении защищаемых объектов (уровень серьезности угрозы); Rl - степень сопротивляемости механизма защиты mk, характеризующаяся вероятностью его преодоления. Прочность барьера bl = <ti, o., mk> зависит от величины остаточного риска Riskl, связанного с возможностью осуществления угрозы ti в отношении объекта автоматизированной системы o. при использовании механизма защиты mk: Riskl = P kLk(1 - Rk). Для определения величины защищенности S можно использовать следующую формулу: S = ^---, (Ху&ієВ (PkLk (1 - Rk ))) где Pk, Lk є (0, 1); Rk є [0, 1). Знаменатель этой формулы определяет суммарную величину остаточных рисков, связанных с возможностью осуществления угроз T в отношении объектов АС O при использовании механизмов защиты M. Эта величина характеризует общую уязвимость системы защиты, а защищенность определяется как величина, обратная уязвимости. При отсутствии в системе барьеров bk, перекрывающих определенные уязвимости, степень сопротивляемости механизма защиты Rk принимается равной нулю. На практике получение точных значений указанных характеристик затруднено, поскольку понятия угрозы, ущерба и сопротивляемости механизма защиты трудно формализовать. Так, оценку ущерба в результате несанкционированного доступа к информации политического и военного характера точно определить вообще невозможно, а нахождение вероятности осуществления угрозы не может базироваться на статистическом анализе [1]. В классификационном подходе вместо стоимостных оценок, применяемых в неформальных классификационных подходах, используют категорирование: -нарушителей (по целям, квалификации и доступным вычислительным ресурсам); - информации (по уровням критичности и конфиденциальности); - средств защиты (по функциональности и гарантированности реализуемых возможностей) и т. п. Такой подход не дает точных значений показателей защищенности, однако позволяет классифицировать АС по уровню защищенности и сравнивать их между собой [1]. Примерами классификационных методик, получивших широкое распространение, могут служить разнообразные критерии оценки безопасности информационных технологий, принятые во многих странах в качестве национальных стандартов, которые устанавливают классы и уровни защищенности. Наиболее значимыми нормативными документами, определяющими критерии оценки защищенности и требования, предъявляемые к механизмам защиты, являются: - Общие критерии оценки безопасности информационных технологий (The Common Criteria for Information Technology Security Evaluation) (ISO 15408); - Практические правила управления информационной безопасностью (Code of Practice for Information Security Management) (ISO 17799); - стандарт ИСО/МЭК 27001 «Информационные технологии. Методы защиты. Система менеджмента защиты информации. Требования»; - руководящие документы Государственной технической комиссии (Гостехкомиссии) России и др. Главное достоинство формального подхода состоит в том, что он позволяет получить точные количественные оценки различных показателей защищенности АС, однако его практическая реализация представляется делом весьма затруднительным и малоэффективным. Поэтому более предпочтительным в этом плане является классификационный подход. Анализ защищенности АС - это один из основных пунктов создания комплексной системы защиты информации. Однако в последнее время в области информационной безопасности возник целый ряд новых проблем. Первая из них - это нехватка кадров. Информационная безопасность - относительно новое направление в нашей стране, им занимаются всего несколько десятилетий, а дипломированных специалистов по данному направлению готовят только последние 10 лет. И даже если учесть, что в Российской Федерации специалистов по информационной безопасности выпускают уже 47 вузов (данные 2011 г. [2]), они все равно не могут покрыть дефицит кадров. Вторая проблема - необходимость придерживаться принципа законности, который предполагает осуществление защитных мероприятий и разработку системы безопасности информации АС в соответствии с действующим законодательством в области информации, информатизации и защиты информации, а также с другими нормативными актами по безопасности, утвержденными органами государственной власти в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией [3]. Обычная организация ориентируется на множество стандартов и нормативных и правовых актов в зависимости от вида конфиденциальной информации, циркулирующей в АС. К примеру, для персональных данных такими документами являются Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и подзаконные ему акты. А вот российские банки могут подпадать под действие целого ряда законов и стандартов, однако наибольшее влияние на них оказывают рекомендации Центрального банка (ЦБ) России (здесь следует отметить, что несмотря на рекомендательный характер этих стандартов обеспечение информационной безопасности и получение лицензии от ЦБ России банком без их использования практически невозможно). Третья проблема - постоянно меняющаяся статистика инцидентов информационной безопасности. Организации должны защищать инфраструктуру, обеспечивая безопасность конечных точек, системы передачи сообщений, веб-трафика и др. Другими приоритетными задачами должны быть защита критических внутренних серверов и обеспечение резервного копирования и восстановления данных. Для быстрого реагирования на угрозы также необходимо обладать информацией о динамично меняющихся угрозах и методах борьбы с ними [4]. В связи с этим в настоящее время на рынке очень популярны специализированные программные средства оценки защищенности АС, использующие классификационный подход к анализу защищенности, который основан на нормативных документах, определяющих критерии оценки защищенности и требования, предъявляемые к механизмам защиты, такие как программные комплексы Risk Watch (США), CRAMM, COBRA (Великобритания), «АванГард», ГРИФ, КОНДОР+ (Россия) [5]. Сравнение данных программных комплексов (см. таблицу) показывает, что они охватывают большое количество критериев оценки информационной безопасности, что, безусловно, является положительным моментом. Однако их серьезным недостатком является ориентация только на один-два стандарта информационной безопасности (COBRA - на ISO 17799, CRAMM - на BS 7799:1995, RiskWatch - на LAFE (Local Annual Frequency Estimate) и SAFE (Standard Annual Frequency Estimate), являющихся документами NIST, ГРИФ - на ISO 17799, ISO 15408), и не учитывают руководящие документы Гостехкомиссии и Федеральной службы по техническому и экспортному контролю России, а также нормативные и правовые документы в области информационной безопасности, что делает эти программные продукты фактически непригодными для использования в России. Сравнение программ анализа оценки защищенности АС Сравниваемый критерий ГРИФ COBRA CRAMM Risk Watch «АванГард» Риски Использование категорий рисков + + + + + Использование понятия максимально допустимого риска + + + + + Подготовка плана мероприятий по снижению риска + + + + + Управление Использование понятия «владелец риска» + * + + + План работ по снижению риска: + + * + + проведение тренингов * * * * * проведение семинаров, собраний * * * * * Оценка бизнес-рисков/операционных рисков/ИТ-рисков + * * + * Оценка рисков на техническом уровне * * + + + Оценка рисков на организационном уровне + + + + + Информирование руководителя + + + + + Предлагаемые способы снижения риска Обход (исключение) риска * * * Снижение риска + + + + + Принятие риска * * * * Процессы Использование элементов риска Материальные активы + + + + + Нематериальные активы + + + + + Угрозы + + + + + Ценность активов + + + + Уязвимости * + + + + Меры безопасности + + + + + Потенциальный ущерб + + + + + Вероятность реализации угроз + * + + + Рассматриваемые типы рисков Бизнес-риски + * Риски, связанные с нарушением законодательных правил + + + Риски, связанные с использованием технологий + + + + Коммерческие риски * Риски, связанные с привлечением третьих лиц Риски, связанные с привлечением персонала + + Повторные оценки риска + * * + + В связи с этим встает проблема создания программного комплекса, который учитывал бы не только зарубежные стандарты по защите информации, но и отечественные разработки в этой области. Такой комплекс мог бы облегчить организациям реализацию защиты информации ограниченного доступа в соответствии с законодательством РФ в условиях недостатка кадров по информационной безопасности. При этом организации придется затратить минимум усилий для аудита информационной безопасности и определения мер по устранению имеющихся недостатков: для этого будет необходимо лишь установить программный комплекс, ответить на контрольные вопросы и получить рекомендации по защите информации в соответствии с законодательством РФ. Окончание таблицы Сравниваемый критерий ГРИФ COBRA CRAMM Risk Watch «АванГард» Определение правил принятия риска * * * * + Качественное ранжирование рисков + + + + + Количественное ранжирование рисков + * + + + Использование независимой оценки + * * + * Расчет возврата на инвестиции + * + Расчет оптимального соотношения между мерами безопасности Меры предотвращения + + + + + Меры выявления + * + + + Меры по исправлению + * + + + Меры по восстановлению + + + + + Интеграция способов управления инцидентами * * * * * Описание назначения способов управления инцидентами * * * * * Процедура принятия остаточных рисков + * + + + Управление остаточными рисками * * * * + Мониторинг рисков Применение мониторинга эффективности мер безопасности * * * * * Использование процесса реагирования на инциденты в области информационной безопасности * * * * Проведение мероприятий по снижению риска + + + + + Структурированное документирование результатов оцен + + + + + ки риска Примечание. В таблице использованы следующие обозначения: + - отвечает критерию; * - не отвечает критерию; без отметки - соответствие критерию зависит от других факторов.

Об авторах

А. А. Ступина

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева

Email: saa5@yandex.ru
доктор технических наук, профессор кафедры системного анализа и исследования операций Сибирского государственного аэрокосмического университета имени академика М. Ф. Решетнева. Окончила Сибирскую аэрокосмическую академию в 1996 г. Область научных интересов - системный анализ сложных систем

А. В. Золотарев

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева

Email: zoloto_8787@mail.ru
аспирант кафедры системного анализа и исследования операций Сибирского государственного аэрокосмического университета имени академика М. Ф. Решетнева. Окончил Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева в 2011 г. Область научных интересов - информационная безопасность.

Список литературы

Дополнительные файлы