Формулирование требований к системе защиты информации

Формализация описания архитектуры исследуемой АС

(Согласно требованиям РД Гостехкомиссии, начиная с третьего класса защищенности разрабатываемые СВТ должны иметь фор­мальную модель механизма управления доступом. Наличие ана­логичного требования для АС в целом в существующих норматив­ных документах авторам неизвестно. Вместе с тем в соответствии с международными стандартами (в первую очередь 17799) такая модель должна разрабатываться.

После неформального описания АС и правил политики без­опасности производится формализация этого описания и правил ПБ в терминах формальной модели безопасности. Выявляются объекты и субъекты вычислительной сети, а также основные операции, применимые к ним. Применение формаль­ной модели позволяет обосновать практическую пригодность системы безопасности, определяя ее базовую архитектуру и используемые технологические решения при ее построении. В терминах формальной модели задаются достаточные и необходимые усло-Вия выполнения политики безопасности. В итоге формируются множества {A}, {S}, {О}, {Operate}: всех субъектов, объектов, воз­можных операций и «ответственных» за них администраторов. На данном этапе проектировщик оперирует требованиями к безопас­ной реализации субъекта, объекта и отдельной операции; их со­вокупность позволяет сформулировать требования ко всей систе­ме защиты.

На этапе подтверждения соответствия АС требованиям без­опасности информации (проведения ее аттестации) испытатель­ной лаборатории необходимо проанализировать модель СЗИ, стой­кость предлагаемых разработчиком протоколов, а также соответ­ствие модели реально разработанной СЗИ.

Политика безопасности интерпретируется для реальной АС и реализуется используемыми средствами и механизмами информа­ционной безопасности и их соответствующей настройкой. Основываясь на результатах предыдущего этапа, производится распреде­ление функций обеспечения информационной безопасности между субъектами и администраторами ресурсов системы. На данном этапе целесообразна декомпозиция множеств {S}, {О}, {Operate} по подсистемам: {S} = {SI} u {S2} и...и {Sn}, {О} = {01} и {02} и...и {On}, {Operate} = {Operatel} и...и {Operaten}. В итоге каж­дую подсистему системы защиты характеризует следующий со­став: {Si} и {Oi} u {Operatei}. Формулируется совокупность требо­ваний ко всей подсистеме на основе сочетания требований к мно­жествам {Si}, {Oi} и {Operatei}, составляющим данную подсистему. Среди подсистем можно выделить специализированные механиз­мы обеспечения информационной безопасности: администратор сети, администратор системы, администратор управления, разгра­ничения доступом и т. п.

Требования, как правило, целесообразно предъявлять в виде: «такой-то показатель качества должен быть не меньше (не больше) допустимого при определенных ограничениях». В качестве ограни­чений выступают обычно защищенность, стоимость, реализуемость, потребное количество памяти и вычислительного ресурса. Показатель качества целесообразно ввести следующим обра­зом. Пусть злоумышленник генерирует п угроз, каждая из кото­рой характеризуется вероятностью появления р и появляющимся при ее реализации ущербом У,, в совокупности образующими риск от угрозы. Пусть средства зашиты информации {х,, х₂,..., х_т\ обра­зуют вектор из т элементов х; их стоимость образует вектор той же размерности С. В результате применения у-го средства зашиты информации риск уменьшается на некоторую величину Д|. Тогдн задача синтеза оптимальной системы зашиты информации может быть сформулирована в виде

При условии независимости уфоз и их аддитивности, а также с учетом вероятностного характера устранения угроз со стороны СЗИ получаем следующее выражение для общего предотвра­щенного ущерба:

(9.2)

где q, — нанесенный У-й угрозой ущерб.

Рассмотрим входящие в выражение (9.2) величины. Вероят­ность появления угрозы определяется статистически или на осно­ве экспертного опроса. Ущерб, наносимый угрозой, может выра­жаться в денежном эквиваленте, а также в объеме уничтоженной (раскрытой) информации и т.п.

Наиболее сложным вопросом является определение вероятно­сти устранения /-й угрозы при проектировании СЗИ. Сдела­ем естественное допущение, что эта вероятность определяется тем, насколько полно учтены качественные и количественные требо­вания к СЗИ при их проектировании, т.е.

(9.3)

где Xj_k~ степень выполнения к-го требования СЗИ. Требо­вания могут быть количественные и качественные. Для количе­ственных требований можно ввести меру, показывающую близость требований к заданным, например среднеквадратическое откло­нение. Для качественных требований эта мера может быть логи­ческой: «выполнено» —«не выполнено» либо иметь определенные градации, например «отлично», «хорошо», «удовлетворительно», «неудовлетворительно».

Можно ввести понятие относительного показателя защищен­ности — количественной характеристики, которой могут обладать средства защиты, систем и подсистемы безопасности. Значение этого показателя может лежать в пределах [0,1), (уровень безопас­ности на практике не может достигать 100%).

В работе (49) приведены также дополнительные требования к

системе зашиты информации:

1) требования к корректности реализации механизмов защиты и определяют основополагающие принципы реализации каждого механизма защиты, выполнение которых является необходимым 1.1Я разработчика средств зашиты, так как это обеспечивает кор­ректность реализации механизмов зашиты;

2) требования к комплексированию механизмов защиты — опре-юляют принципы комплексирования корректно исполненных механизмов в единую систему защиты, выполнение которых обес­печивает достаточность набора механизмов защиты для условий применения системы;

3) требования по обеспечению необходимого уровня доверия потребителя системы защиты к ее разработчику — определяют условия, выполнением которых разработчик обеспечит необходи­мый уровень доверия к нему, а как следствие, и к поставляемой им системе потребителя.

Первое и третье из этих требований связаны с технологиче­ским процессом разработки СЗИ и удовлетворяются за счет вы­полнения разработчиком лицензионных требований ФСТЭК Рос­сии, а также проверяются на этапе сертификации.

Требования по комплексированию формулируют условия при­менения системы защиты. Целесообразность учета подобных тре­бований заключается в том, что условия практического использо-иания систем зашиты могут существенно различаться. Система мщиты информации, реализующая всю совокупность механиз­мов зашиты, обеспечивающая все возможные условия ее исполь-ювания, в большинстве случаев может оказаться нерациональ­ной.

Таким образом, данной группой требований решается задача формирования в каждом конкретном случае использования си­стемы зашиты необходимого набора механизмов защиты, после чего необходимо приступить к выбору СЗИ, реализующих дан­ные механизмы.