Алгоритм проектирования

(совершенствования) системы защиты информации

Задача проектирования (разработки, совершенствования) сис­темы защиты информации и ее элементов возникает тогда, когда создается новая организация с закрытой (секретной, конфиденци­альной) информацией или существующая система не обеспечивает требуемый уровень безопасности информации.

Проектирование системы защиты, обеспечивающей достиже­ние поставленных перед инженерно-технической защитой инфор­мации целей и решение задач, проводится путем системного анали­за существующей и разработки вариантов требуемой. Построение новой системы или ее модернизация предполагает:

•определение источников защищаемой информации и описаниефакторов, влияющих на ее безопасность;

•выявление и моделирование угроз безопасности информации;

•определение слабых мест существующей системы защиты ин­формации;

•выбор рациональных мер предотвращения угроз;

•сравнение вариантов по частным показателям и глобальному критерию, выбор одного или нескольких рациональных вариан­тов;

•обоснование выбранных вариантов в докладной записке или в проекте для руководства организации;

•доработка вариантов или проекта с учетом замечаний руководс­тва.

Так как отсутствуют формальные способы синтеза системы защиты, то ее оптимизация при проектировании возможна путем постепенного приближения к рациональному варианту в результа­те итераций.

Алгоритм проектирования системы защиты информации пред­ставлен на рис. 27.1.

Последовательность проектирования (модернизации) системы защиты включает три основных этапа:

•моделирование объектов защиты;

•моделирование угроз информации;

•выбор мер защиты.

Основным методом исследования систем защиты является мо­делирование. Моделирование предусматривает создание модели и ее исследование (анализ). Описание или физический аналог любо­го объекта, в том числе системы защиты информации и ее элемен­тов, создаваемые для определения и исследования свойств объек­та, представляют собой его модель. В модели учитываются сущес­твенные для решаемой задачи элементы, связи и свойства изучае­мого объекта.

Рис. 27.1. Алгоритм проектирования системы защиты информации

Моделирование составляет основу деятельности живых су­ществ, в том числе человека. В основе многих болезней психики человека лежат нарушения механизма моделирования окружаю­щей среды. В крайних ее проявлениях в больном мозгу создают­ся модели, имеющие мало сходства с общепринятыми или объек­тивно существующими моделями окружающего мира. В этом слу­чае поступки больного человека на основе искаженной модели не соответствуют моделям других людей, а поведение такого человека классифицируется как ненормальное. Понятие «нормы» являет­ся достаточно условным и субъективным и может меняться в зна­чительных пределах. Творческие люди способны в своем вообра­жении создавать модели, отличающиеся от реальности, и эти моде­ли в какой-то мере влияют на их поведение, которое иным людям кажется странным. Образ такого чудака-ученого Паганеля нарисо­вал Жюль Берн в своем романе «Дети капитана Гранта».

Так как основу жизни человека составляют химические и элек­трические процессы в его организме, то модели окружающей сре­ды могут искажаться под действием химических наркотических веществ. Люди постоянно пользуются наркотиками, чтобы подкор­ректировать свои модели внешнего мира с целью уменьшить уро­вень отрицательных эмоций, возникающих при информационной недостаточности или несоответствии жизненных реалий задачам и целям человека. Наркотические вещества (алкоголь, табак, кофеин, кола), вызывающие слабое наркотическое воздействие на организм человека, узаконены. Другие — опиум, героин, ЛСД и т. д. столь губительны, что наркомания рассматривается человечеством как одна из наиболее страшных угроз его существованию.

Различают вербальные, физические и математические мо­дели и соответствующее моделирование.

Вербальная модель описывает объект на национальном и про­фессиональном языках. Человек постоянно создает вербальные мо­дели окружающей его среды и руководствуется ими при принятии решений. Чем точнее модель отображает мир, тем эффективнее при прочих равных условиях деятельность человека. На способности разных людей к адекватному моделированию окружающего мира влияют как природные (генетические) данные, так и воспитание, обучение, в том числе на основе собственного опыта, физическое и психическое состояния человека, а также мировоззренческие моде­ли общества, в котором живет конкретный человек.

На естественном или профессиональном языке можно описать любой объект или явление. Сложные модели прошлой, настоящей или будущей жизни людей создают писатели. Но вербальные моде­ли позволяют анализировать связи между ее элементами лишь на качественном уровне.

Физическая модель представляет материальный аналог ре­ального объекта, который можно подвергать в ходе анализа различным воздействиям и получать количественные соотношения между этими воздействиями и результатами. Часто в качестве фи­зических моделей исследуют уменьшенные копии крупных объек­тов, для изучения которых отсутствует инструментарий. Модели самолетов и автомобилей продувают в аэродинамических трубах, макеты домов для сейсмических районов испытывают на виброс­тендах и т. д. Но возможности физического моделирования объек­тов защиты и угроз ограничены, так как трудно и дорого создать физические аналоги реальных объектов. Действительно, для того чтобы получить физическую модель канала утечки, необходимо воспроизвести его элементы, в том числе среду, а также априори неизвестные средства и действия злоумышленника.

По.мере развития вычислительной математики и техники рас­ширяется сфера применения математического моделирования. Математическое моделирование предусматривает создание и ис­следование математических моделей реальных объектов и процес­сов. Математические модели могут разрабатываться в виде ана­литических зависимостей выходов системы от входов, уравне­ний для моделирования динамических процессов в системе, ста­тистических характеристик реакций системы на воздействия слу­чайных факторов., Математическое моделирование позволяет на­иболее экономно и глубоко исследовать сложные объекты, чего, в принципе, нельзя добиться с помощью вербального моделиро­вания или что чрезмерно дорого при физическом моделировании. Возможности математического моделирования ограничиваются уровнем формализации описания объекта и степенью адекватнос­ти математических выражений реальным процессам в моделируе­мом объекте.

Подобные ограничения возникают при моделировании слож­ных систем, элементами которых являются люди. Многообразие поведения конкретного человека пока не поддается описанию на языке математических символов. Однако в статистическом смысле поведение человека более прогнозируемое и устойчивое.

Для моделирования сложных систем все шире применяется ме­тод математического моделирования, называемый имитационным моделированием. Оно предполагает определение реакций модели системы на внешние воздействия, которые генерирует ЭВМ в виде случайных чисел. Статистические характеристики (математическое ожидание, дисперсия, вид и параметры распределения) этих случайных чисел должны с приемлемой точностью соответство­вать характеристикам реальных воздействий. Функционирование системы при случайных внешних воздействиях описывается в виде алгоритма действий элементов системы и их характеристик в ответ на каждое воздействие на входе. Таким образом имитируется рабо­та сложной системы в реальных условиях. Путем статистической обработки выходных результатов при достаточно большой выбор­ке входных воздействий получаются достоверные оценки работы системы. Например, достаточно объективная оценка эффективнос­ти системы защиты информации при многообразии действий зло­умышленников, которые с точки зрения службы безопасности но­сят случайный характер, возможна, как правило, на основе имита­ционного моделирования системы защиты.

Другое перспективное направление математического модели­рования, которое представляет интерес для моделирования объ­ектов защиты и угроз информации, — компьютерные деловые игры. Компьютерные деловые игры — аналог деловых игр людей, применяемый для решения проблем в организационных структу­рах. Деловая игра имитирует процесс принятия решения в слож­ных условиях недостаточности достоверной информации людьми, играющими роль определенных должностных лиц. Участниками компьютерной игры являются два человека или компьютер и чело­век. Причем за сотрудника службы выступает человек, а злоумыш­ленника — компьютер или человек. Например, злоумышленник — компьютер устанавливает в случайном месте закладное устройс­тво, а другой игрок — человек производит поиск закладного уст­ройства с помощью различных выбранных средств по показаниям виртуальных приборов моделей этих средств.

Компьютерные игры по защите информации могут приме­няться как для анализа конкретных объектов, угроз и мер по защи­те, так и в качестве тренажеров для подготовки сотрудников служ­бы безопасности.

В чистом виде каждый вид моделирования используется ред­ко. Как правило, применяются комбинации вербального, физичес­кого и математического моделирования. С вербального моделиро­вания начинается сам процесс моделирования, так как нельзя создать физические или математические модели, не имея образного представления об объекте и его словесного описания. Если есть возможность исследовать свойства объекта на физической модели, то наиболее точные результаты обеспечиваются при физическом моделировании. Таким образом проверяют аэродинамику самоле­тов и автомобилей путем продувки уменьшенных физических мо­делей самолетов и автомобилей в аэродинамических трубах. Когда создание физической модели по тем или иным причинам невоз­можно или чрезмерно дорого, то проводят математическое моде­лирование, иногда дополняя его физическим моделированием от­дельных узлов, деталей, т. е. тех частей объекта, описание которых не поддается формализации.

Так как создание и исследование универсальных (позволяю­щих проводить всесторонние исследования) моделей является до­статочно дорогостоящим и трудным делом, то в целях упроще­ния моделей в них детализируют только элементы и связи между ними, необходимые для решения конкретной поставленной задачи. Остальные, менее существенные для решения конкретной задачи •элементы и связи укрупняют или не учитывают вовсе. В результате такого подхода экономным путем исследуются с помощью диффе­ренцированных моделей отдельные, интересующие исследователя, свойства объекта.

Моделирование объектов защиты предусматривает опреде­ление источников с защищаемой информацией и разработку моде­лей материальных объектов защиты. К объектам защиты относят­ся источники защищаемой информации и контролируемые зоны, в которых находятся эти источники.

В результате этого этапа определяются:

•модели объектов защиты с указанием всех источников инфор­мации с описанием факторов, влияющих на их безопасность;

•цена С защищаемой информации каждого i-ro источника.

На основе полученных результатов на этапе моделирования угроз выявляются угрозы безопасности информации, производит­ся оценка ожидаемого от их реализации потенциального ущерба и ранжирование угроз по потенциальному ущербу. При моделирова­нии угроз определяются риск (вероятность) угрозы Р и ущерб С в случае ее реализации. Знание ущерба позволяет также определить количество угроз, нейтрализация которых обеспечит допус­тимый уровень безопасности информации С _д. Для этого достаточ­но произвести последовательно сложение ущерба от угроз, начи­ная с последней в списке, и сравнить полученную сумму с допус­тимым ущербом. Черта под угрозами списка при условии прибли­зительного равенства суммарного ущерба от непредотвращенных угроз допустимому для владельца информации значению разделит. список на 2 части. Верхняя, большая часть списка угроз включает угрозы, которые необходимо нейтрализовать для обеспечения до­пустимого уровня безопасности информации, нижняя — малосу­щественные угрозы.

Последовательность ранжированных угроз определяет после­довательность выбора мер защиты на 3-м этапе. Этот этап начи­нается с определения мер защиты по нейтрализации первой, на­иболее опасной угрозы, далее — второй угрозы и т. д. Если предо­твращение угрозы в конце итерации достигается несколькими ме­рами, то вариант выбирается по критерию W_3K. «эффективность-стоимость», т. е. из нескольких вариантов, обеспечивающих при­близительно равную безопасность, выбирается вариант с меньши­ми затратами. В качестве эффективности варианта наиболее часто используется отношение величины уменьшения ущерба при вы­бранной мере защиты к затратам на реализацию этого варианта. Из вариантов выбирается тот, для которого это отношение боль­ше.

Для каждой выбранной меры защиты рассчитываются необ­ходимые затраты на всем ее жизненном цикле (от ее реализации до прекращения). Если обозначить затраты на нейтрализацию к-й угрозы информации 1-го источника через С, то процедура вы­бора мер защиты условно завершается при выполнении условия 2^ 2^С; > С, где С _з — ресурс, выделяемый на защиту информации. Условность означает,.что после выполнения этого условия це­лесообразно продолжить выбор с целью определения и оценки за­трат для мер, использование которых превышает выделенный ре­сурс. Эти результаты позволят определить оставшиеся угрозы и необходимые для их нейтрализации дополнительные затраты.

Такой подход позволяет расходовать имеющийся ресурс на предотвращение наибольшего ущерба более эффективно, чем «разназывание» ресурса по всем угрозам, а во-вторых, знание конкрет­ных непредотвращенных угроз позволяет владельцу информации сделать выбор: добавить ресурс или согласиться с оставшимся рис­ком.

Выбором меры защиты, предотвращающей одну угрозу, завер­шается одна итерация проектирования системы защиты. После ее завершения в соответствии с указанной на рис. 27.1 обратной свя­зью корректируются модели объектов защиты и угроз информа­ции. Корректировка моделей объектов защиты заключается во вне­сении в них выбранных мер. Эти меры виртуально меняют защи­щенность информации и, соответственно, характеристики угроз ей. Кроме того, при корректировке список угроз сокращается свер­ху на единицу.

Целесообразность корректировки обусловлена связью между факторами, влияющими на безопасность информации, и угрозами. Например, предложение по установке для устранения угрозы ин­формации путем подслушивания через приоткрытую дверь на ней доводчика одновременно снижает риск подсматривания.

Итерации продолжаются до достижения допустимого уровня безопасности или при превышении выделенного на защиту инфор­мации ресурса. При выполнении указанных условий процесс пост­роения (совершенствования) требуемой системы завершается или продолжается с целью определения дополнительного ресурса.

После рассмотрения руководством предлагаемых вариантов (лучше двух для предоставления выбора), учета предложений и за­мечаний, наилучший, с точки зрения лица, принимающего реше­ния, вариант (проект, предложения) финансируется и реализуется путем проведения необходимых закупок материалов и оборудова­ния, проведения строительно-монтажных работ, наладки средств защиты и сдачи в эксплуатацию системы защиты или ее дополни­тельных элементов.

Следует подчеркнуть, что специалист по защите информации должен при обосновании предлагаемых руководству организации вариантов защиты учитывать психологию лица (руководителя), принимающего решение о реализации предложений, а также не­достаточную информированность его об угрозах безопасности ин­формации в организации.

Психологическим фактором, сдерживающим принятие реше­ния руководителем о выделении достаточно больших ресурсов на защиту информации, является то обстоятельство, что в условиях скрытности добывания информации угрозы ей априори не пред­ставляются достаточно серьезными, а приобретают некоторый абс­трактный характер. К существованию потенциальных угроз руко­водители привыкают и нх не замечают так же, как люди не замеча­ют множества угроз их здоровью. Кроме того, руководитель в силу собственного представления об угрозах, способах и средствах их нейтрализации может преувеличивать значимость одних мер за­щиты и приуменьшать другие. В результате этих обстоятельств мнение руководителя о необходимости и сущности мер защиты информации может не совпадать с предложениями специалистов по информационной безопасности. Однако такое несовпадение не должно уменьшать энтузиазм и настойчивость специалиста, так как оно характерно для любого вида деятельности, а умение обос­новывать свои предложения является необходимым качеством лю­бого специалиста.

Следует отметить, что рассмотренная последовательность в общем виде близка к существующим подходам. Например, процесс организации защиты в США в соответствии с концепцией «Opsec» (Operation Security) включает 7 этапов: от анализа объекта защи­ты на первом этапе до доведения персоналу фирмы мер по безо­пасности информации и осуществления контроля на последнем. Содержание ряда процедур метода «Opsec» близко рассмотрен­ным. Однако в ней недостаточно места и внимания отведено моде­лированию угроз, а больше — анализу мер по защите информации руководящими лицами организации (фирмы, компании, учрежде­ния).