ISSN 0236-235X (P)
ISSN 2311-2735 (E)

Публикационная активность

(сведения по итогам 2017 г.)
2-летний импакт-фактор РИНЦ: 0,500
2-летний импакт-фактор РИНЦ без самоцитирования: 0,405
Двухлетний импакт-фактор РИНЦ с учетом цитирования из всех
источников: 0,817
5-летний импакт-фактор РИНЦ: 0,319
5-летний импакт-фактор РИНЦ без самоцитирования: 0,264
Суммарное число цитирований журнала в РИНЦ: 6012
Пятилетний индекс Херфиндаля по цитирующим журналам: 404
Индекс Херфиндаля по организациям авторов: 338
Десятилетний индекс Хирша: 17
Место в общем рейтинге SCIENCE INDEX за 2017 год: 527
Место в рейтинге SCIENCE INDEX за 2017 год по тематике "Автоматика. Вычислительная техника": 16

Больше данных по публикационной активности нашего журнале за 2008-2017 гг. на сайте РИНЦ

Вход


Забыли пароль? / Регистрация

Добавить в закладки

Следующий номер на сайте

4
Ожидается:
16 Декабря 2018

Критерии и показатели защищенности автоматизированных систем от несанкционированного доступа

Статья опубликована в выпуске журнала № 1 за 2001 год.[ 25.03.2001 ]
Аннотация:
Abstract:
Авторы: Карпов В.В. (karpov@cps.tver.ru) - НИИ «Центрпрограммсистем», г. Тверь, Россия, кандидат технических наук
Ключевое слово:
Ключевое слово:
Количество просмотров: 15967
Версия для печати
Выпуск в формате PDF (1.22Мб)

Размер шрифта:       Шрифт:

Одним из необходимых условий проектирования систем защиты информации (СЗИ) от несанкционированного доступа (НСД) для автоматизированных систем (АС) является анализ потенциальных угроз безопасности с целью определения исходных данных и граничных условий для разработки средств защиты. Чем полнее и детальнее будет описано множество угроз, тем с большей вероятностью будут найдены адекватные средства и способы защиты.

С другой стороны, решение задачи адекватности и эффективности средств защиты невозможно без системы критериев и показателей защищенности АС от НСД. При этом, если состав и характеристики угроз задают, по сути, исходные данные для проектирования системы защиты, то система критериев и показателей защищенности позволяет не только оценивать результат разработки, но и контролировать ее ход.

Для решения этой задачи на этапе проектирования СЗИ выполняются следующие работы:

-         анализ исходных данных и потенциальных угроз;

-         выявление уязвимых мест и каналов потенциальных нарушений безопасности АС;

-         построение модели потенциальных угроз;

-         определение вероятностей угроз;

-         оценка вероятного ущерба при реализации угроз;

-         построение модели защиты;

-         определение системы критериев и показателей защищенности;

-         оценка защищенности АС.

Перечень угроз, оценки вероятностей их реализации, а также модель угроз являются основой для определения требований к СЗИ. На практике задача формального описания полного множества угроз чрезвычайно сложна вследствие очень большого числа факторов, влияющих на процессы хранения и обработки информации в современных АС. Поэтому для защищаемой системы определяют, как правило, не полный перечень угроз, а перечень классов угроз в соответствии с принятой классификацией. При этом классификация возможных угроз информационной безопасности АС проводится по ряду базовых признаков [1], например:

-         по природе возникновения;

-         по степени преднамеренности проявления;

-         по непосредственному источнику угроз;

-         по положению источника угроз;

-         по степени зависимости от активности АС;

-         по степени воздействия на АС и т.п.

В свою очередь, использование методов классификации угроз предопределяет классификацию методов защиты и обусловливает существование систем показателей защищенности классификационно-описательного типа.

Примером могут служить критерии и показатели защищенности, изложенные в руководящих документах (РД) Гостехкомиссии (ГТК) России, посвященных вопросам защиты информации в АС [2] и средствах вычислительной техники (СВТ) [3]. РД ГТК определяют две группы требований к безопасности – показатели защищенности СВТ от НСД и критерии защищенности АС обработки информации. Различие подходов к проблеме защищенности АС и СВТ обусловлено тем, что СВТ представляют собой элементы, из которых строятся функционально-ориентированные АС и по отношению к которым можно говорить лишь о защищенности СВТ от НСД к информации, обрабатываемой и сохраняемой в системе [4]. При рассмотрении АС появляются дополнительные характеристики (например, полномочия пользователей, модель нарушителя, технология обработки информации и др.). Применительно к СВТ в РД ГТК устанавливается классификация СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Конкретные перечни показателей определяют классы защищенности СВТ. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ). РД ГТК устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый. РД содержат требования к классам, являющиеся примером применения необходимых условий оценки качества защиты, при которых наличие определенного механизма класса защиты является основанием для отнесения СВТ к некоторому классу.

Относительно АС устанавливается девять классов защищенности от НСД, распределенных по трем группам. Каждый класс характеризуется определенной совокупностью требований к средствам защиты.

Являясь основным официальным документом, регламентирующим создание средств защиты от НСД, РД ГТК содержит исключительно описательные требования к КСЗ, причем ранжирование требований по классам защищенности значительно упрощено по сравнению с аналогичными зарубежными стандартами информационной безопасности и сведено до определения наличия или отсутствия заданного набора механизмов защиты, что существенно снижает гибкость требований и возможность их практического применения [4]. В самом деле, разработчик КСЗ решает на практике по сути задачу оптимального синтеза СЗИ для заданного множества угроз, характеристик защищаемой системы, граничных условий и дополнительных требований [1]:

Q*сзи =  (P,S,C) при yi Î y*i ,

где Р = (Р1, …, РQ) – вектор параметров задач защиты информации, решение которых является функцией СЗИ с областью определения Р; S = (S1, …, ST) – вектор параметров структуры СЗИ, определенный на множестве возможных структур S; C= (C1, …, CD) – вектор параметров управления процессами защиты информации с областью определения C; Y= (Y1, …, YN) – вектор характеристик СЗИ, составляющие которого суть функции параметров P,S и С; E = y (Y) – функция, определяющая значение показателя эффективности как интегральной характеристики качества СЗИ; i = a,…, w – индексы, выделяющие характеристики, которые должны принадлежать заданным областям y*a, ..., y*w.

Таким образом, требуется определить такие параметры структуры S и параметры управления C, которым соответствует максимум показателя E = W(P,S,C) при выполнении требований на характеристики СЗИ.

Необходимым условием решения задачи синтеза СЗИ является определение в явном виде функции E=Y (Y). Использование расчетных показателей эффективности позволяет автоматизировать процедуру оптимизации при синтезе СЗИ для заданных условий на следующих этапах разработки и внедрения: проектирование, создание дистрибутива, генерация конкретной версии, настройка конкретной версии.

При этом на этапах проектирования и создания дистрибутива описательные требования к СЗИ должны обеспечить разработку соответствующих аппаратных средств и дистрибутива программного обеспечения. Анализ множества угроз с использованием моделей угроз, моделей защиты и расчетных показателей эффективности позволяет уточнить состав СЗИ и дистрибутива. На этапе генерации конкретной версии состав и функции СЗИ уточняются дополнительно. И если на этапе проектирования основными могут быть ограничения, накладываемые на процесс разработки и эксплуатации (например ограничения на полные затраты на разработку), то на этапе генерации конкретной версии определяющими становятся ограничения на процесс эксплуатации СЗИ.

Кроме того, если в составе СЗИ присутствуют средства параметрической настройки, обеспечивающие тонкую настройку СЗИ на этапе эксплуатации с целью минимизации влияния средств СЗИ на производительность базовой АС, можно рассматривать задачу параметрического синтеза СЗИ на множестве функций обеспечения защиты, реализуемых в структурных элементах СЗИ.

Учитывая, что процессы реализации угроз и процессы обеспечения защиты носят вероятностный характер, в качестве численных показателей защищенности целесообразно выбрать именно вероятностные показатели. Если процесс НСД к информационным и программным ресурсам рассматривать как последовательность преодоления преград нарушителем, то для каждой угрозы ui из множества потенциальных угроз U вероятность реализации (успешной атаки) равна: P(УA) i = , где k – количество преград, которые необходимо преодолеть нарушителю, чтобы реализовать угрозу ui ; PП k – вероятность преодоления преграды k при реализации угрозы ui.

Приведенная формула справедлива при условии независимости средств реализации преград друг от друга. В этом случае решение задачи определения рационального технического облика СЗИ сводится в основном к получению оптимальных выборок на множестве данных о потенциальных угрозах, реализованных преград, вероятности их преодоления, трудоемкости создания и эксплуатации преград и т.д. (см. таблицу).

Здесь ui – i-я угроза НСД; Пk – k-я преграда угрозе ui; PП k i – вероятность преодоления k-й преграды при реализации угрозы ui; TСП k – трудоемкость создания Пk; TЭП k – трудоемкость эксплуатации Пk; КП k – коэффициент потерь базовой АС при использовании преграды Пk .

В случае, если механизмы реализации преград зависят друг от друга, то расчет P(УA) i усложняется за счет использования формулы условной вероятности и расчета PП k :

P(УA) i=P(А1) . PA1(А2) . PA1A2(А3)...PA1A2…Ak-1(Аk),

где P(А1) – вероятность преодоления 1-й преграды; PA1(А2) – вероятность преодоления 2-й преграды, при условии преодоления 1-й преграды и т.д.

Если заданы множества угроз U и преград П и для каждой угрозы ui поставлено в соответствие подмножество Пk , объединяющее преграды для угрозы ui , то решением задачи достижения заданного значения вероятности предотвращения НСД Р ПНСД = 1-max P(УA) i будет являться подмножество преград Пk , элементы которого обеспечивают выполнение условия Р ПНСД £ Р ЗАД.

Очевидно, что решение может быть не единственным. В этом случае возможно использование ограничений в виде дополнительных требований ya ya*.

С учетом ограничений решение задачи сводится к нахождению таких подмножеств Пk , для которых дополнительные требования выполняются наряду с основными: РПНСД £ Р ЗАД.

В качестве дополнительных ограничений могут использоваться следующие:

-    на стоимость (трудоемкость) разработки средств защиты;

-    на стоимость (трудоемкость) эксплуатации средств защиты;

-    на уровень снижения производительности защищаемой системы при использовании средств защиты.

Объединение основных требований к РПНСД и ограничений позволяет сформировать систему показателей защищенности, например:

-    достижение максимальной защищенности при соблюдении ограничений на стоимость разработки (эксплуатации) средств защиты:

= max РЗАЩ, при СР £ СЗАД ;

-    обеспечение заданного уровня защиты при ограничениях на стоимость разработки (эксплуатации) средств защиты:

Подпись: Таблица 
Угроза ui	Преграда Пk	PП k i	TСП k	TЭП k	КП k
u1


	П1
П2
П3
	PП 11
PП 21
PП 31	TСП 1
TСП 2
TСП 3	TЭП 1
TЭП 2
TЭП 3	КП 1
КП 2
КП 3
.
.
.	.
.
.	.
.
.	.
.
.	.
.
.	.
.
.

РЗАЩ ³ РЗАД , при СР £ СЗАД ;

-    обеспечение заданного уровня защиты при ограничении на снижение производительности:

РЗАЩ ³ РЗАД , при КПК £ КЗАД.

Практическое решение задачи синтеза возможно для хорошо документированных и исследованных СЗИ, имеющих средства оптимизации структуры и функций защиты. При этом результат синтеза во многом зависит от адекватности используемых моделей защиты и выбранной системы показателей эффективности.

Список литературы

1.  Зима В.М., Молдовян А.А. Многоуровневая защита информационно-программного обеспечения вычислительных систем. Учеб. пособие / ВИККА им. А.Ф. Можайского. - СПб., 1997.

2.  Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкциони- рованного доступа к информации. Классификация АС и требования по защите информации. - М.: Военное изд-во, 1992.

3.  Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. - М.: Военное изд-во, 1992.

4.  Девянин П.Н., Михальский О.О. и др. Теоретические основы компьютерной безопасности. - М.: Радио и связь, 2000.


Постоянный адрес статьи:
http://swsys.ru/index.php?page=article&id=770
Версия для печати
Выпуск в формате PDF (1.22Мб)
Статья опубликована в выпуске журнала № 1 за 2001 год.

Возможно, Вас заинтересуют следующие статьи схожих тематик: