Методология анализа защищенности информационной системы

При разработке архитектуры и создании инфраструктуры корпоративной ИС неизбежно встает вопрос о её защищенности от угроз. Решение вопроса состоит в подробном анализе таких взаимно пересекающихся видов работ, как реализация ИС и её аттестация, аудит и обследование безопасности ИС [Астахов А.Н., 2002].

Модель системы защиты с полным перекрытием

Рис. 5.1. Модель системы защиты с полным перекрытием

Основой формального описания систем защиты традиционно считается модель системы защиты с полным перекрытием (рис. 5.11. в которой рассматривается взаимодействие "области угроз", "защищаемой области" и "системы защиты". Таким образом, имеем три множества: X — ti

множество угроз безопасности, О о3 — множество объектов (ресурсов) защищенной системы, М — mfc — множество механизмов безопасности АС.

Элементы этих множеств находятся между собой в определенных отношениях, собственно и описывающих систему защиты. Для описания системы защиты обычно используется графовая модель.

Множество отношений угроза-объект образует двухдольный граф 7. О . Цель защиты состоит в том, чтобы перекрыть все возможные ребра в графе. Это достигается введением третьего набора М; в результате

получается трехдольный граф 7 ', М, О .

Развитие модели предполагает введение еще двух элементов (рис. 5.2~). Здесь у — набор уязвимых мест, определяемый подмножеством

декартова произведения 7 * О : vr —< , Oj >. Под уязвимостью

системы защиты понимают возможность осуществления угрозы X в

отношении объекта О ? (На практике под уязвимостью системы защиты обычно понимают, те свойства системы, которые либо способствуют успешному осуществлению угрозы, либо могут быть использованы злоумышленником для её осуществления).

Модель системы защиты, содержащей уязвимости

Рис. 5.2. Модель системы защиты, содержащей уязвимости

Определим В как набор барьеров, определяемый декартовым

произведением ( * М : bi = < ti, Оу, mjt >, представляющих собой пути осуществления угроз безопасности, перекрытые средствами защиты. В результате получаем систему, состоящую из пяти элементов:

< 1 О, М, V, В > , описывающую систему защиты с учетом наличия уязвимостей.

Для системы с полным перекрытием для любой уязвимости имеется устраняющий ее барьер. Иными словами, в подобной системе защиты для всех возможных угроз безопасности существуют механизмы защиты, препятствующие осуществлению этих угроз. Данное условие является первым фактором, определяющим защищенность ИС, второй фактор — "прочность" и надёжность механизмов защиты.

В идеале каждый механизм защиты должен исключать соответствующий путь реализации угрозы. В действительности же механизмы защиты обеспечивают лишь определённую степень сопротивляемости угрозам безопасности. Поэтому в качестве

характеристик элемента набора барьеров bi =< i15Oj,raft > может рассматриваться набор < Pi >, где — вероятность появления угрозы, Li — величина ущерба при удачном осуществлении угрозы в отношении защищаемых объектов (уровень серьезности угрозы), a Ri — степень сопротивляемости механизма защиты JTlfc, характеризующаяся вероятностью его преодоления.

Надёжность барьера b =< ti,Qj,rrik > характеризуется величиной остаточного риска Riski, связанного с возможностью осуществления угрозы ti в отношении объекта информационной системы °j при использовании механизма защиты mk. Эта величина определяется по

формуле: RiskiРа * La * (1—Rk)- Для нахождения примерной величины защищенности S можно использовать следующую простую

формулу: S — 1/Risko, где Risko является суммой всех остаточных

рисков, (0 < [Ра, Lk) < 1). (О < Я* < 1).

Суммарная величина остаточных рисков характеризует приблизительную совокупную уязвимость системы защиты, а защищенность определяется как величина, обратная уязвимости. При отсутствии в системе барьеров bk. "перекрывающих" выявленные уязвимости, степень сопротивляемости механизма защиты принимается равной нулю.

На практике получение точных значений приведенных характеристик барьеров затруднено, поскольку понятия угрозы, ущерба и сопротивляемости механизма защиты трудно формализовать. Так, оценку ущерба в результате несанкционированного доступа к информации политического и военного характера точно определить вообще невозможно, а определение вероятности осуществления угрозы не может базироваться на статистическом анализе. Построение моделей системы защиты и анализ их свойств составляют предмет "теории безопасных систем", еще только оформляющейся в качестве самостоятельного направления.

Вместе с тем, для защиты информации экономического характера, допускающей оценку ущерба, разработаны стоимостные методы оценки эффективности средств защиты. Для этих методов набор характеристик барьера дополняет величина С/ затраты на построение средства защиты барьера 6;. В этом случае выбор оптимального набора средств защиты связан с минимизацией суммарных затрат Ит — од, состоящих из затрат О = Q на создание средств защиты и возможных затрат в результате успешного осуществления угроз ДГ = щ ?

Формальные подходы к решению задачи оценки защищенности из-за трудностей, связанных с формализацией, широкого практического распространения не получили. Значительно более действенным является использование неформальных классификационных подходов. Для этого применяют категорирование: нарушителей (по целям, квалификации и доступным вычислительным ресурсам); информации (по уровням критичности и конфиденциальности); средств защиты (по функциональности и гарантированности реализуемых возможностей), эффективности и рентабельности средств защиты и т. п.

по

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >