Одним из необходимых условий проектирования систем защиты информации (СЗИ) от несанкционированного доступа (НСД) для автоматизированных систем (АС) является анализ потенциальных угроз безопасности с целью определения исходных данных и граничных условий для разработки средств защиты. Чем полнее и детальнее будет описано множество угроз, тем с большей вероятностью будут найдены адекватные средства и способы защиты.

С другой стороны, решение задачи адекватности и эффективности средств защиты невозможно без системы критериев и показателей защищенности АС от НСД. При этом, если состав и характеристики угроз задают, по сути, исходные данные для проектирования системы защиты, то система критериев и показателей защищенности позволяет не только оценивать результат разработки, но и контролировать ее ход.

Для решения этой задачи на этапе проектирования СЗИ выполняются следующие работы:

-         анализ исходных данных и потенциальных угроз;

-         выявление уязвимых мест и каналов потенциальных нарушений безопасности АС;

-         построение модели потенциальных угроз;

-         определение вероятностей угроз;

-         оценка вероятного ущерба при реализации угроз;

-         построение модели защиты;

-         определение системы критериев и показателей защищенности;

-         оценка защищенности АС.

Перечень угроз, оценки вероятностей их реализации, а также модель угроз являются основой для определения требований к СЗИ. На практике задача формального описания полного множества угроз чрезвычайно сложна вследствие очень большого числа факторов, влияющих на процессы хранения и обработки информации в современных АС. Поэтому для защищаемой системы определяют, как правило, не полный перечень угроз, а перечень классов угроз в соответствии с принятой классификацией. При этом классификация возможных угроз информационной безопасности АС проводится по ряду базовых признаков [1], например:

-         по природе возникновения;

-         по степени преднамеренности проявления;

-         по непосредственному источнику угроз;

-         по положению источника угроз;

-         по степени зависимости от активности АС;

-         по степени воздействия на АС и т.п.

В свою очередь, использование методов классификации угроз предопределяет классификацию методов защиты и обусловливает существование систем показателей защищенности классификационно-описательного типа.

Примером могут служить критерии и показатели защищенности, изложенные в руководящих документах (РД) Гостехкомиссии (ГТК) России, посвященных вопросам защиты информации в АС [2] и средствах вычислительной техники (СВТ) [3]. РД ГТК определяют две группы требований к безопасности – показатели защищенности СВТ от НСД и критерии защищенности АС обработки информации. Различие подходов к проблеме защищенности АС и СВТ обусловлено тем, что СВТ представляют собой элементы, из которых строятся функционально-ориентированные АС и по отношению к которым можно говорить лишь о защищенности СВТ от НСД к информации, обрабатываемой и сохраняемой в системе [4]. При рассмотрении АС появляются дополнительные характеристики (например, полномочия пользователей, модель нарушителя, технология обработки информации и др.). Применительно к СВТ в РД ГТК устанавливается классификация СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Конкретные перечни показателей определяют классы защищенности СВТ. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ). РД ГТК устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый. РД содержат требования к классам, являющиеся примером применения необходимых условий оценки качества защиты, при которых наличие определенного механизма класса защиты является основанием для отнесения СВТ к некоторому классу.

Относительно АС устанавливается девять классов защищенности от НСД, распределенных по трем группам. Каждый класс характеризуется определенной совокупностью требований к средствам защиты.

Являясь основным официальным документом, регламентирующим создание средств защиты от НСД, РД ГТК содержит исключительно описательные требования к КСЗ, причем ранжирование требований по классам защищенности значительно упрощено по сравнению с аналогичными зарубежными стандартами информационной безопасности и сведено до определения наличия или отсутствия заданного набора механизмов защиты, что существенно снижает гибкость требований и возможность их практического применения [4]. В самом деле, разработчик КСЗ решает на практике по сути задачу оптимального синтеза СЗИ для заданного множества угроз, характеристик защищаемой системы, граничных условий и дополнительных требований [1]:

Q*сзи =  (P,S,C) при yi Î y*i ,

где Р = (Р1, …, РQ) – вектор параметров задач защиты информации, решение которых является функцией СЗИ с областью определения Р; S = (S1, …, ST) – вектор параметров структуры СЗИ, определенный на множестве возможных структур S; C= (C1, …, CD) – вектор параметров управления процессами защиты информации с областью определения C; Y= (Y1, …, YN) – вектор характеристик СЗИ, составляющие которого суть функции параметров P,S и С; E = y (Y) – функция, определяющая значение показателя эффективности как интегральной характеристики качества СЗИ; i = a,…, w – индексы, выделяющие характеристики, которые должны принадлежать заданным областям y*a, ..., y*w.

Таким образом, требуется определить такие параметры структуры S и параметры управления C, которым соответствует максимум показателя E = W(P,S,C) при выполнении требований на характеристики СЗИ.

Необходимым условием решения задачи синтеза СЗИ является определение в явном виде функции E=Y (Y). Использование расчетных показателей эффективности позволяет автоматизировать процедуру оптимизации при синтезе СЗИ для заданных условий на следующих этапах разработки и внедрения: проектирование, создание дистрибутива, генерация конкретной версии, настройка конкретной версии.

При этом на этапах проектирования и создания дистрибутива описательные требования к СЗИ должны обеспечить разработку соответствующих аппаратных средств и дистрибутива программного обеспечения. Анализ множества угроз с использованием моделей угроз, моделей защиты и расчетных показателей эффективности позволяет уточнить состав СЗИ и дистрибутива. На этапе генерации конкретной версии состав и функции СЗИ уточняются дополнительно. И если на этапе проектирования основными могут быть ограничения, накладываемые на процесс разработки и эксплуатации (например ограничения на полные затраты на разработку), то на этапе генерации конкретной версии определяющими становятся ограничения на процесс эксплуатации СЗИ.

Кроме того, если в составе СЗИ присутствуют средства параметрической настройки, обеспечивающие тонкую настройку СЗИ на этапе эксплуатации с целью минимизации влияния средств СЗИ на производительность базовой АС, можно рассматривать задачу параметрического синтеза СЗИ на множестве функций обеспечения защиты, реализуемых в структурных элементах СЗИ.

Учитывая, что процессы реализации угроз и процессы обеспечения защиты носят вероятностный характер, в качестве численных показателей защищенности целесообразно выбрать именно вероятностные показатели. Если процесс НСД к информационным и программным ресурсам рассматривать как последовательность преодоления преград нарушителем, то для каждой угрозы ui из множества потенциальных угроз U вероятность реализации (успешной атаки) равна: P(УA) i = , где k – количество преград, которые необходимо преодолеть нарушителю, чтобы реализовать угрозу ui ; PП k – вероятность преодоления преграды k при реализации угрозы ui.

Приведенная формула справедлива при условии независимости средств реализации преград друг от друга. В этом случае решение задачи определения рационального технического облика СЗИ сводится в основном к получению оптимальных выборок на множестве данных о потенциальных угрозах, реализованных преград, вероятности их преодоления, трудоемкости создания и эксплуатации преград и т.д. (см. таблицу).

Здесь ui – i-я угроза НСД; Пk – k-я преграда угрозе ui; PП k i – вероятность преодоления k-й преграды при реализации угрозы ui; TСП k – трудоемкость создания Пk; TЭП k – трудоемкость эксплуатации Пk; КП k – коэффициент потерь базовой АС при использовании преграды Пk .

В случае, если механизмы реализации преград зависят друг от друга, то расчет P(УA) i усложняется за счет использования формулы условной вероятности и расчета PП k :

P(УA) i=P(А1) . PA1(А2) . PA1A2(А3)...PA1A2…Ak-1(Аk),

где P(А1) – вероятность преодоления 1-й преграды; PA1(А2) – вероятность преодоления 2-й преграды, при условии преодоления 1-й преграды и т.д.

Если заданы множества угроз U и преград П и для каждой угрозы ui поставлено в соответствие подмножество Пk , объединяющее преграды для угрозы ui , то решением задачи достижения заданного значения вероятности предотвращения НСД Р ПНСД = 1-max P(УA) i будет являться подмножество преград Пk , элементы которого обеспечивают выполнение условия Р ПНСД £ Р ЗАД.

Очевидно, что решение может быть не единственным. В этом случае возможно использование ограничений в виде дополнительных требований ya ya*.

С учетом ограничений решение задачи сводится к нахождению таких подмножеств Пk , для которых дополнительные требования выполняются наряду с основными: РПНСД £ Р ЗАД.

В качестве дополнительных ограничений могут использоваться следующие:

-    на стоимость (трудоемкость) разработки средств защиты;

-    на стоимость (трудоемкость) эксплуатации средств защиты;

-    на уровень снижения производительности защищаемой системы при использовании средств защиты.

Объединение основных требований к РПНСД и ограничений позволяет сформировать систему показателей защищенности, например:

-    достижение максимальной защищенности при соблюдении ограничений на стоимость разработки (эксплуатации) средств защиты:

= max РЗАЩ, при СР £ СЗАД ;

-    обеспечение заданного уровня защиты при ограничениях на стоимость разработки (эксплуатации) средств защиты:

РЗАЩ ³ РЗАД , при СР £ СЗАД ;

-    обеспечение заданного уровня защиты при ограничении на снижение производительности:

РЗАЩ ³ РЗАД , при КПК £ КЗАД.

Практическое решение задачи синтеза возможно для хорошо документированных и исследованных СЗИ, имеющих средства оптимизации структуры и функций защиты. При этом результат синтеза во многом зависит от адекватности используемых моделей защиты и выбранной системы показателей эффективности.

Список литературы

1.  Зима В.М., Молдовян А.А. Многоуровневая защита информационно-программного обеспечения вычислительных систем. Учеб. пособие / ВИККА им. А.Ф. Можайского. - СПб., 1997.

2.  Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкциони- рованного доступа к информации. Классификация АС и требования по защите информации. - М.: Военное изд-во, 1992.

3.  Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. - М.: Военное изд-во, 1992.

4.  Девянин П.Н., Михальский О.О. и др. Теоретические основы компьютерной безопасности. - М.: Радио и связь, 2000.