Методология анализа защищенности информационной системы

При разработке архитектуры и создании инфраструктуры корпоративной ИС неизбежно встает вопрос о ее защищенности от угроз. Решение вопроса состоит в подробном анализе таких взаимно пересекающихся видов работ, как реализация ИС и аттестация, аудит и обследование безопасности ИС [1].

Основой формального описания систем защиты традиционно считается модель системы защиты с полным перекрытием, в которой рассматривается взаимодействие области угроз, защищаемой области и системы защиты. Таким образом, модель может быть представлена в виде трех множеств: Т= {ti} — множество угроз безопасности, О = {oj} — множество объектов (ресурсов) защищенной системы, М= {mk} — множество механизмов безопасности.

Элементы этих множеств находятся между собой в определенных отношениях, собственно и представляющих систему защиты. Для описания системы защиты обычно используется графовая модель. Множество отношений «угроза — объект» образует двухдольный граф {Т, О}. Цель защиты состоит в том, чтобы перекрыть все возможные ребра в графе. Это достигается введением третьего набора Af; в результате получается трехдольный граф {Т, М, О}.

Развитие модели предполагает введение еще двух элементов. Пусть V— набор уязвимых мест, определяемый подмножеством декартова произведения {Tx.O}: vr = <ti, oi>. Под уязвимостью системы защиты понимают возможность осуществления угрозы Г в отношении объекта О. (На практике под уязвимостью системы защиты обычно понимают те свойства системы, которые либо способствуют успешному осуществлению угрозы, либо могут быть использованы злоумышленником для ее осуществления.)

Определим В как набор барьеров, определяемый декартовым произведением {VxM}: b] = < ti, oj, mk >, представляющих собой пути осуществления угроз безопасности, перекрытые средствами защиты. В результате получаем систему, состоящую из пяти элементов: <Т, О, М, V, В>, описывающую систему защиты с учетом наличия уязвимостей.

Для системы с полным перекрытием для любой уязвимости имеется устраняющий ее барьер. Иными словами, в подобной системе защиты для всех возможных угроз безопасности существуют механизмы защиты, препятствующие осуществлению этих угроз. Данное условие является первым фактором, определяющим защищенность ЙС, второй фактор — «прочность» и надежность механизмов защиты.

В идеале каждый механизм защиты должен исключать соответствующий путь реализации угрозы. В действительности же механизмы защиты обеспечивают лишь определенную степень сопротивляемости угрозам безопасности, поэтому в качестве характеристик элемента набора барьеров Ь\ = <ti, oj, mk> может рассматриваться набор <Р\, L\, R\>, где Р\ — вероятность появления угрозы; Ц — величина ущерба при удачном осуществлении угрозы в отношении защищаемых объектов (уровень серьезности угрозы); a R\ — степень сопротивляемости механизма защиты mk, характеризующаяся вероятностью его преодоления.

Надежность барьера b\ = <ti, oj, mk> характеризуется величиной остаточного риска Risk\, связанного с возможностью осуществления угрозы Ц в отношении объекта информационной системы о, при использовании механизма защиты mk. Эта величина определяется по следующей формуле: Risk\ = Р* Ц (1 — /?*). Для нахождения примерной величины защищенности S можно использовать следующую простую формулу: S - 1/Risko, где Risk0 является суммой всех остаточных рисков, (0 < [Рк, Ц] < 1), (0 < Rk < 1).

Суммарная величина остаточных рисков характеризует приблизительную совокупную уязвимость системы защиты, а защищенность определяется как величина, обратная уязвимости. При отсутствии в системе барьеров Ьь «перекрывающих» выявленные уязвимости, степень сопротивляемости механизма защиты Rk принимается равной нулю.

На практике получение точных значений приведенных характеристик барьеров затруднено, поскольку понятия угрозы, ущерба и сопротивляемости механизма защиты трудно формализовать. Так, оценку ущерба в результате несанкционированного доступа к информации политического и военного характера точно определить вообще невозможно, а определение вероятности осуществления угрозы не может базироваться на статистическом анализе. Построение моделей системы защиты и анализ их свойств составляют предмет теории безопасных систем, еще только оформляющейся в качестве самостоятельного направления.

Для защиты информации экономического характера, допускающей оценку ущерба, разработаны стоимостные методы оценки эффективности средств защиты. Для этих методов набор характеристик барьера дополняет величина Q затраты на построение средства защиты барьера Ь\. В этом случае выбор оптимального набора средств защиты связан с минимизацией суммарных затрат W°={w\), состоящих из затрат С={с\) на создание средств защиты и возможных затрат в результате успешного осуществления угроз ЛГ={Я]}.

Формальные подходы к решению задачи оценки защищенности из-за трудностей, связанных с формализацией, широкого практического распространения не получили. Значительно более действенным является использование неформальных классификационных подходов. Для этого применяют категорирование: нарушителей (по целям, квалификации и доступным вычислительным ресурсам); информации (по уровням критичности и конфиденциальности); средств защиты (по функциональности и гарантированности реализуемых возможностей); эффективности и рентабельности средств защиты; и т.п.