2015-08-12
334
Используя приведенные выше модели можно спроектировать систему защиты и ввести ее в эксплуатацию. Однако имеют место три причины, по которым процесс проектирования системы защиты должен в общем случае неоднократно осуществляться при эксплуатации защищенной информационной системы, будем называть этот процесс эксплуатационным проектированием.
Первая причина вызвана потенциальной возможностью изменения параметров 
, как следствие, характеристики 
уязвимостей в процессе эксплуатации информационной системы существенного отличного от сделанных прогнозов при проектировании системы защиты, что приводит к изменению исходного орграфа (в части "взвешивания" соответствующих вершин), используемого при исходном проектировании системы защиты. Изменение характеристики уязвимости приводит к изменению характеристики 
атаки (соответственно, 
, при реализации в информационной системе защиты от этой атаки), как следствие, к изменению значения характеристики 
что может привести к необходимости отнесения данной атаки к разряду актуальных для информационной системы, с последующей реализацией защиты от этой атаки, либо к изменению требований к соответствующему средству защиты - к требуемому значению характеристики 
соответствующего средства защиты.
|
|
|
Если обозначить исходную сложность реализации атаки на информационную систему, как 
, а сложность реализации атаки, приводящую к включению в систему защиты новых функций защиты, как 
, то для 
имеем:
Отметим, что характеристика может рассматриваться в качестве, так называемой в теории информации, прагматической меры количества информации, определяемой в данном случае по формуле:
где 
и 
соответственно вероятности готовности системы к безопасной эксплуатации в исходный момент времени и в рассматриваемый момент времени эксплуатации системы.
Прагматика данной оценки состоит в выявлении условий, при которых необходима реализация дополнительных мер защиты.
Вторая причина обусловливается появлением новых типов уязвимостей, соответственно, потенциально возможных атак на информационную систему в процессе ее эксплуатации. Это также приводит к необходимости актуализации исходного (взятого за основу при проектировании системы защиты) орграфа безопасности информационной системы (орграфа актуальных атак на информационную систему). Естественно, что анализ актуальности исходной системы защиты следует проводить при условии, возникающем в отношении вновь обнаруженной потенциальной атаки: 
, а необходимость реализации защиты от вновь выявленной потенциально возможной атаки появляется при выполнении для нее условия: 
(вобщем случае, с учетом соответствующего заданного допуска 
).
|
|
|
Отметим, что новые типы уязвимостей могут образовываться, в том числе, при смене (дополнении) программного обеспечения и соответствующего оборудования, эксплуатируемых информационной системой, а так же при смене отдельных средств защиты.
Данные причины объясняют необходимость систематической оценки актуальности, исходного орграфа, с проведением, при необходимости, соответствующей его модификации в случаях изменения параметров уязвимостей, либо при выявлении новых типов уязвимостей информационной системы (выявлении новых потенциально возможных атак), с соответствующей доработкой системы защиты при выявлении соответствующих условий.
Третья причина уже связана с возможностью изменения характеристики 
(количественной характеристики нарушителя) в процессе эксплуатации защищенной информационной системы. Это может быть вызвано, как не вполне корректным заданием значения этой характеристики при исходном проектировании системы защиты информационной системы (в том числе, за счет некорректного выбора подобной информационной системы, либо при невозможности ее выбора), так и ростом, по каким-либо причинам, заинтересованности и потенциальных возможностей злоумышленника в осуществлении несанкционированного доступа к информации, обрабатываемой в эксплуатируемой защищенной информационной системе, в процессе ее эксплуатации.
Это обусловливает целесообразность систематической корректировки модели нарушителя (в том числе, включающей актуализацию орграфа реализованных злоумышленником атак на информационную систему) в процессе ее функционирования. При выявлении существенного изменения значения коэффициент 
(уровень сложности осуществляемых злоумышленником атак на информационную систему существенно вырос в процессе ее эксплуатации), особенно это критично в том случае, если перестает выполняться условие 
, необходимо вновь осуществить проектирование системы защиты, в результате которого не только могут измениться требования к средствам защиты, определяемые характеристикой , но и может быть выявлена необходимость реализации системой защиты дополнительных функций (естественно, подобное возможно при отнесении в результате эксплуатационного проектирования к актуальным новых атак из набора потенциально возможных атак на информационную систему). Исходя из этого, при проектировании системы защиты (при исходном проектировании системы, перед вводом ее в эксплуатацию) имеет смысл определять значение характеристики , при превышении которого в процессе эксплуатации информационной системы, к актуальным должны быть отнесены дополнительные атаки из исходного набора потенциально возможных атак на информационную систему (не рассматриваемые при проектировании системы защиты в качестве актуальных), для защиты от которых в исходную систему защиты требуется внесение дополнительных функций.
По аналогии с тем, как это было сделано ранее, в этом случае также может быть введена прагматическая мера количества информации, но уже применительно к нарушителю, .
Если обозначить исходную сложность реализуемых нарушителем (злоумышленником) атак на информационную систему, как 
, а сложность реализации нарушителем атак, приводящую к включению в систему защиты новых функций защиты, как 
, то для имеем:
Или:
где 
и 
соответственно вероятности успешной атаки на информационную систему в исходный момент времени и в рассматриваемый момент времени эксплуатации системы.
При этом информация, получаемая нарушителем, рассматривается с точки зрения ее полезности (ценности) для достижения потребителем информации поставленной практической цели - в нашем случае - для осуществления злоумышленником успешной атаки на информационную систему.
|
|
|
Таким образом, при исходном проектировании системы защиты могут рассчитываться и задаваться пороговые значения сложности реализации атаки 
, j=1,...,J (где каждое пороговое значение определяет необходимость включения в систему защиты соответствующего дополнительного средства - реализации соответствующей дополнительной функции защиты). При достижении же условия = , определяющего необходимость отнесения к актуальным новой атаки, для защиты от которой необходима доработки системы защиты (включения некой дополнительной функции защиты), система защиты должна быть соответствующим образом модифицирована.
Данная причина обусловливает необходимость систематической оценки изменения значения для информационной системы в процессе ее функционирования, с соответствующей доработкой системы защиты при выявлении соответствующих условий.
Таким образом, эксплуатационное проектирование системы защиты информационной системы требует, как непрерывного анализа параметров уязвимостей (с учетом соответствующей обновляемой их статистики), с целью корректировки исходно заданных для них параметров и, при необходимости, актуализации значений их характеристик, и непрерывного анализа потенциально возможных атак, с использованием существующих и вновь выявляемых уязвимостей (что в общем случае не связано с конкретной информационной системой), так и непрерывного анализа сложности атак, реализуемых на конкретную защищенную информационную систему, что уже определяется с использованием средств аудита несанкционированного доступа используемой системы защиты.
