2014-02-02
1704
Модель безопасности с полным перекрытием
См. в Приложении "INTUIT.ru Курс Анализ и управление.. Лекция №1 Управление рисками. Модель безопасности с полным перекрытием"
Основным положением данной модели является тезис (аксиома) о том, что система, спроектированная на основании модели безопасности с полным перекрытием, должна иметь по крайней мере одно средство (субъект) для обеспечения безопасности на каждом возможном пути проникновения в систему.
В модели точно определяется каждая область, требующая защиты (объект защиты), оцениваются средства обеспечения безопасности с точки зрения их эффективности и вклада в обеспечение безопасности во всей ИС. Считается, что несанкционированный доступ к каждому из набора защищаемых объектов сопряжен с некоторой величиной ущерба и этот ущерб может (или не может) быть определен количественно. Если ущерб не может быть определен количественно, то его полагают равным некоторой условной (как правило, средней) величине. Количественная характеристика ущерба может быть выражена в стоимостном (ценовом) эквиваленте либо в терминах, описывающих системы (например, единицах времени, необходимых для достижения тех или иных характеристик ИС после злоумышленного воздействия). Ущерб может быть связан с целевой функцией системы (например, для финансовой системы ущерб от конкретного злоумышленного действия есть сумма финансовых потерь участников системы).
|
|
|
С каждым объектом, требующим защиты, связывается некоторое множество действий, к которым может прибегнуть злоумышленник для получения несанкционированного доступа к объекту. Можно попытаться перечислить все потенциальные злоумышленные действия по отношению ко всем объектам безопасности для формирования набора угроз, направленных на нарушение безопасности. Основной характеристикой набора угроз является вероятность проявления каждого из злоумышленных действий. В любой реальной системе эти вероятности можно вычислить с ограниченной степенью точности.
Алгоритм проектирования системы защиты информации. Моделирование. Для моделирования любой ситуации или системы (в том числе и системы технической защиты информации) применяются методы вербального, физического и математического моделирования. В этой статье мы детально рассмотрим алгоритм моделирования системы инженерно-технической защиты информации.
Вербальная модель описывает объект на естественном или профессиональном языках Люди постоянно создают вербальные модели различных объектов и явлений окружающей среды и руководствуются ими при принятии решений. Чем точнее будет созданная модель, тем эффективнее при прочих равных условиях человек будет решать поставленные задачи.
|
|
|
С помощью вербальной модели можно описать любой объект или явление, однако этот тип моделирования позволяет анализировать связи между элементами модели лишь на качественном уровне.
Физическая модель - это материальный аналог реального объекта, который в ходе анализа можно подвергнуть всевозможным различным воздействиям и получить количественные соотношения между этими воздействиями и их последствиями. Как правило в качестве физических моделей исследуют уменьшенную копию реального крупного объекта, для изучения которого просто отсутствует практический и теоретический инструментарий.
Но и возможности физического моделирования объектов защиты и угроз тоже ограничены, потому что достаточно трудно и дорого создать физические аналоги реальных объектов - ведь для того, чтобы получить физическую модель канала утечки информации, Вам понадобится воспроизвести все без исключения его элементы, в том числе и среду, а так же заранее неизвестные средства и действия злоумышленника, что само по себе представляет достаточно трудную аналитическую работу.
С развитием математики и её практического применения расширяется и сфера применения математического моделирования. Оно предусматривает создание и исследование математических моделей реальных процессов и объектов. Математическая модель (например модель системы защиты информации) представляется в виде аналитических зависимостей выходных потоков информации от входных, уравнений для моделирования динамически изменяющихся процессов в системе защиты информации, статистических характеристик реакций системы на воздействия случайных факторов. Математическое моделирование позволяет наиболее глубоко и с наименьшими затратами исследовать сложные объекты, чего в принципе невозможно добиться при вербальном моделировании и слишком дорого реализовать при создании физической модели.
В чистом виде каждый тип моделирования практически не применяется. Обычно испульзуется комбинация вербального, физического и математического моделирования. С описания модели на вербальном уровне начинается сам процесс моделирования, так как невозможно создать физические или математические модели, не имея образного представления об объекте и его словесного описания. Если возможно создать физическую модель, то лучше прибегнуть именно к ней, потому что именно она позволит максимально точно исследовать физические свойства объекта. Если же это невозможно по каким либо причинам, то стоит использовать математическую модель с элементами физической (моделируя отдельные узлы/элементы системы, описание которых не поддаётся формализации).
Так как создание и исследование универсальных (которые позволят провести исследование объекта со всех сторон) моделей является очень трудоёмким и затратным делом, то в целях упрощения моделей в них наиболее тщательно детализируют только отдельные ключевые элементы и связи между ними, необходимые для решения конкретной поставленной задачи.
Моделирование объектов защиты включает в себя определение источников с защищаемой информацией и разработку моделей материальных объектов защиты. К объектам защиты относятся сами источники информации и контролируемые зоны, в которых циркулирует закрытая информация.
Таким образом, на этапе моделирования объектов защиты получают:
модели объектов защиты с указанием всех источников информации с указанием возможных и вероятных факторов, влияющих на их безопасность;
цена Cиi защищаемой информации каждого i-ого источника.
Далее, основываясь на полученных результатах, на этапе моделирования угроз выявляются угрозы безопасности информации, производится оценка ожидаемого от их реализации возможного ущерба и ранжирование угроз по потенциальному ущербу. На этапе моделирования угроз вычисляются риски (вероятности осуществления угрозы) Pу и ущерб Су в случае её реализации. Вероятный ущерб необходимо знать для того, чтобы определить то количество угроз, нейтрализация которых обеспечит допустимый уровень безопасности Суд. Для этого необходимо последовательно сложить показания вероятного ущерба от угроз, начиная с последней в списке, и сравнивать эту сумму с допустимым ущербом (естественно, что допустимый ущерб просто по определению не может быть равен нулю - никто не застрахован от каких-либо случайностей и поэтому допускать, что ущерба не будет - это просто глупо). В том месте, когда сумма ущерба от вероятных угроз приближается как можно ближе к сумме допустимого ущерба, список разделяется на двое. Верхняя, бОльшая часть списка угроз - это те угрозы, которые необходимо нейтрализовать для достижения допустимого уровня безопасности информации, нижняя - несущественные и малосущественные угрозы.
|
|
|
Последовательность ранжированных угроз является определяющей для третьего этапа - последовательности выбора мер защиты. Данный этап начинается с определения мер защиты по нейтрализации первой из списка, наиболее опасной угрозы, затем - для второй и далее по списку. Если предотвращение угрозы в конце определённого этапа достигается несколькими методами, то вариант выбирается по критерию Wзкi «эффективность-стоимость», другими словами - из всех возможных вариантов, обеспечивающих одинаковый уровень безопасности, выбирается вариант с наименьшими затратами. В качестве эффективности метода защиты наиболее часто используется отношение величины ущерба при выбранной мере защиты к затратам на реализацию этого варианта. Из просчитанных вариантов выбирается тот, для которого это отношение окажется наибольшим.
Далее для каждой выбранной меры защиты рассчитываются необходимые затраты на время от её реализации (даже начиная с момента планирования) до прекращения. Обозначим параметром Сукi затраты на реализацию к-й угрозы информации i-ого источника информаии, теперь процедура выбора мер защиты условно завершается при выполнении условия ΣΣСукi ⋝ Срз, где Срз - ресурс, выделяемый на защиту информации. Условность означает, что после выполнения этого условия необходимо продолжить выбор с целью определения и оценки затрат для мер, использование которых превышает выделенный ресурс. Полученные результаты помогут определить оставшиеся угрозы и необходимые для их нейтрализации дополнительные затраты.
|
|
|
Если использовать предложенный подход, то имеющиеся ресурсы будут в основном расходоваться на более опасные угрозы, которые способны нанести наибольший ущерб, в отличии от подхода, когда весь ресурс стараются «равномерно» распределить на защиту от каждой угрозы, что, по сути, не даёт толковой защиты ни от одной более-менее значимой угрозы. И тут же следует сказать, что знание конкретных предотвращённых угроз позволяет владельцу информации принять чёткое решение: увеличить объём ресурса или согласиться с оставшимся риском.
После того, как выбрана конкретная мера защиты, предотвращающая конкретную угрозу, завершается одна итерация проектирования системы защиты. После её завершения в соответствии с обратной связью (указанной на рисунке) корректируются модели объектов защиты и угроз информации. Эта корректировка заключается в во внесение в модели выбранных мер и «исключении» угроз, по отношению к которым предприняты меры защиты.
Корректировка необходима для того, чтобы учесть возможные связи между факторами, влияющими на безопасность информации, и угрозами. Суть в том, что предотвратив появление какой-то угрозы определённым методом, это одновременно может обеспечить ещё и дополнительную защиту от какой-либо другой угрозы (а так как они при данном подходе рассматриваются отдельно, то соответствено, дополнительные угрозы как правило не учитываются при выборе крнкретных средств защиты, решающих текущие задачи безопасности).
Эти итерации продолжаются до того момента, как будет достигнут допустимый уровень безопасности или до момента превышения выделенного на защиту информации ресурса. При выполнении указанных условий процесс построение/модеонизации требуемой системы защиты информации завершается или продолжается с целью определения дополнительного ресурса.
После рассмотрения руководством предлагаемых вариантов организации системы защиты (лучше двух для предоставления выбора), учёта предложений и замечаний, наилучший, по мнению человека, принимающего решение, вариант системы защиты финансируется и реализуется путём закупок необходимых материалов и оборудования, проведения строительно-монтажных работ, наладки средств защиты и сдачи в эксплуатацию системы защиты или её дополнительных элементов.
Важно иметь в виду, что специалист по защите информации при обосновании предлагаемых руководству организации вариантов защиты должен учитывать психологию человека, принимающего решение о реализации предложений, а также недостаточную информированность его об угрозах (особенно, если речь идёт не о прямых явных угрозах, а о вероятных) безопасности информации в организации. Зачастую на практике именно этот момент может представлять наибольшую трудность при внедрении разработанного проекта.
