Разработка процедур оценки защищенности автоматизированных систем корпорации

Размещено на http://www.allbest.ru/

ВВЕДЕНИЕ

Поддержание требуемого уровня безопасности является актуальным вопросом для многих учреждений, как государственных, так и частных. Поэтому на решение этого вопроса тратится много средств. Проблема заключается в том, чтобы создать эффективную систему защиты, которая бы могла не только обеспечивать гарантированный уровень защиты, но максимально соответствовать нуждам компании. При этом, как правило, значительное внимание уделяется описанию различных технических решений, анализу преимуществ и недостатков известных аппаратных и программных средств и технологий защиты информации. В меньшей степени затрагиваются вопросы и меры организационного обеспечения ИБ компании - стратегия и тактика защиты информации, концепция и политика безопасности, планы защиты информационных ресурсов компании в штатных и внештатных условиях функционирования КАС, а также уровень защищенности всей системы в целом.

Обеспечение защиты информации на практике происходит в условиях случайного воздействия самых разных факторов. Некоторые из них систематизированы в стандартах, некоторые заранее неизвестны и способны снизить эффективность или даже скомпрометировать предусмотренные меры. Оценка эффективности защиты должна обязательно учитывать как объективные обстоятельства, так и вероятностные факторы.

Нормативные документы по оценке ИБ практически не содержат конкретных методик, в результате чего величина разрыва между общими декларациями и конкретным инструментарием по реализации и контролю их положений является недопустимой. Исходя же из своего предназначения, методическая база должна охватывать все критически важные аспекты обеспечения и проверки выполнения требований, предъявляемых к информационной безопасности. Объективным видом оценки защищенности СЗИ является функциональное тестирование, предназначенное для проверки фактической работоспособности реализованных механизмов безопасности и их соответствия предъявленным требованиям, а также обеспечивающее получение статистических данных.

Защищенность оценивается для решения следующих задач:

- принятие решения о допустимости практического использования СЗИ в конкретной ситуации;

- выявление вкладов различных факторов в достижение цели;

- установление путей повышения защищенности СЗИ;

- сравнение альтернативных вариантов систем.

Факторы, влияющие на уровень защиты информации, систематизированы во многих нормативных документах. Оценка эффективности защиты информации должна обязательно учитывать эти объективные обстоятельства, а ее характеристики, должны иметь вероятностный характер. Особую важность приобретает обоснование оптимальных значений показателей защищенности учитывающее целевое предназначение информационной системы.

Таким образом, при использовании современной методической базы, оценка эффективности СЗИ носит в основном нечеткий, субъективный характер; практически полностью отсутствуют нормированные количественные показатели, учитывающие возможные случайные или преднамеренные воздействия. В результате достаточно сложно, а зачастую и невозможно, оценить качество функционирования информационной системы при наличии несанкционированных воздействий на ее элементы, а, соответственно, и определить, чем один вариант проектируемой системы лучше другого. Представляется, решением проблемы комплексной оценки эффективности СЗИ является использование системного подхода, позволяющего еще на стадии проектирования количественно оценить уровень безопасности и создать механизм управления рисками. Однако этот путь реализуем при наличии соответствующей системы показателей и критериев.

Целью данной работы является разработка процедур оценки защищенности АС корпорации. Для достижения поставленной цели, в работе используется методика оценки уровня защищенности СЗИ со стороны рисков. В основу методики положена идея, что уровень рисков в защищенной системе должен быть минимален по отношению к уровню защищенности системы без защиты. В данной ситуации можно получить количественную оценку уровня защищенности информации. Методика оперирует вероятностными данным реализации угроз, которые. Уровень точности оценки во многом зависит от полноты списка выдвинутых требований к СЗИ и в соответствии с требованиями, списка выдвинутых угроз.

1. АНАЛИЗ ЗАДАЧИ ЗАЩИЩЕННОСТИ КОРПОРАТИВНОЙ АВТОМАТИЗИРОВННОЙ СИСТЕМЫ

1.1 Общая постановка задачи защиты информации в корпоративной автоматизированной системе

Современные информационные технологии все глубже проникают как в жизнь простых граждан, так и предприятий и организаций. В настоящее время практически отсутствуют предприятия, которые в своей деятельности не используют возможности компьютерных и телекоммуникационных систем.

Однако развитие информационных технологий, давая объективные предпосылки для повышения эффективности жизнедеятельности человечества, порождает целый ряд сложных и крупномасштабных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса использования информации, циркулирующей и обрабатываемой в компьютерных системах. Данная проблема является проблемой защиты информации.

Трудно представить себе фирму или предприятие, которые не были бы вооружены современными компьютерными системами, на носителях данных которых накапливаются значительные объемы информации, зачастую носящей конфиденциальный характер или представляющей большую ценность для ее владельца.

Определяющей средой, где порождается и решается проблема защиты информации является объект, - внутри которого эта информация циркулирует. Основные процессы, протекающие здесь, разделяют на следующие стадии: получение (сбор); передача; преобразование (обработка); хранение информации. При этом требования безопасности следует отнести как к собственно информационно - технологическим процессам (надежность, достоверность и т.д.), так и к средствам его реализации, включая каналы передачи информации. На современном этапе развития проблемы защиты информации угрозы безопасности информации разделяют на угрозы: утечки информации, разглашения и НСД. Воздействия этих угроз на информационную деятельность объектов корпорации могут привести к ущербу, соизмеримому с ущербом, который эти объекты могут понести при нарушении имущественной безопасности. Методология защиты любой информации одинакова, но принципиальным является своевременное выявление предмета защиты и реализация необходимых защитных мер, планирование возможных угроз и мер защиты. Основным критерием должен быть критерий целесообразности и максимальной эффективности предпринимаемых мер, экономических затрат и используемого технического и программного обеспечения. Совокупность предпринимаемых мер, средств и методов должна быть выше, чем используемый метод или средство, применяемое в отдельности, даже если это идет в минимальный ущерб данному методу или средству. Осуществление безопасности функционирования объекта реализуется посредством системы защиты, под которой принято понимать комплекс мер и средств, направленных на выявление, отражение и ликвидацию различных видов угроз функционирования объекта. При этом совершенно очевидно, что каждый объект будет иметь свою специфику, которая должна найти свое отражение в системе защиты. Основными направлениями повышения уровня защищенности корпоративной автоматизированной системы являются:

- обеспечение комплексного подхода к решению задач информационной безопасности с учетом необходимости дифференцирования ее уровня в различных сферах корпорации;

- разработка модели угроз информационной безопасности;

- определение технических требований и критериев определения критических объектов информационно-технологической инфраструктуры корпоративной АС, создание реестра критически важных объектов, разработку мер по их защите и средств надзора за соблюдением соответствующих требований;

- обеспечение эффективного мониторинга состояния информационной безопасности;

- совершенствование нормативной правовой и методической базы в области защиты информационных ресурсов корпоративной АС, формирование единого порядка согласования технических заданий на обеспечение информационной безопасности;

- проведение уполномоченными федеральными органами государственной власти аттестации информационных ресурсов, используемых в деятельности объектов промышленно-деловой среды, и контроль их соответствия требованиям информационной безопасности;

- создание физически обособленного телекоммуникационного сегмента специального назначения, обеспечивающего возможность обмена в электронном виде информацией, содержащей конфиденциальную информацию;

- развитие средств защиты информации, систем обеспечения безопасности электронного документооборота, системы контроля действий служащих по работе с информацией, развитие и совершенствование защищенных средств обработки информации общего применения, систем удостоверяющих центров в области электронной цифровой подписи, а также систем их сертификации.

При этом, ключевым направлением повышения уровня защищенности информации в этих условиях, является мониторинг состояния информационной безопасности объектов корпоративной АС с целью анализа возможности проведения мероприятий по защите информации на охраняемых объектах и исследования эффективности этих мероприятий для обоснования требований к используемым способам и средствам противодействия угрозам информационной безопасности. Эффективной формой мониторинга состояния информационной безопасности является ее аудит, реализуемый с целью решения следующих задач:

- повышение уровня защиты информации до приемлемого;

- оптимизация и планирование затрат на обеспечение информационной безопасности;

- обоснование инвестиций в системы защиты;

- получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;

- подтверждение того, что используемые внутренние средства контроля соответствуют задачам и позволяют обеспечить эффективность и функционирования информационной системы.

1.2 Анализ угроз конфиденциальной информации корпоративной АС

Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями [23]. Такими действиями являются:

- ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;

- модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

- разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности (рисунок 1.1), что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации.



Рисунок 1.1- Классификация угроз информации корпоративной АС

В общем случае существуют следующие базовые виды угроз безопасности:

- нарушение конфиденциальности;

- нарушение целостности;

- нарушение доступности;

- нарушение наблюдаемости;

- нарушение аутентичности.

Каждой приведенной выше угрозе соответствует соответствующая предоставляемая услуга защищенной системы, т. е., услуга конфиденциальности, целостности, доступности, наблюдаемости и аутентичности соответственно. Система при этом считается защищенной или безопасной, если обеспечивает все вышеперечисленные услуги

Все угрозы для корпоративных сетей в общем случае могут быть поделены на две категории:

- угрозы, исходящие от злоумышленника;

- угрозы, связанные с реализацией, поддержкой или с нарушением среды функционирования КАС;

Угрозы, исходящие от злоумышленника:

- перехват (и возможно разглашение) конфиденциальной информации - нарушение конфиденциальности;

- несанкционированные источником модификация, формируемой им информации, либо создание информации от его имени - нарушение целостности;

- ложный отказ источником факта формирования и передачи информации определённому получателю в заданное время - нарушение аутентичности;

- ложное утверждение получателем факта получения информации от определённого источника в заданное время - нарушение аутентичности;

- ложное утверждение источником факта формирования и передачи информации определённому получателю в заданное время - нарушение аутентичности;

- ложный отказ получателем факта получения информации от определённого источника в заданное время - нарушение аутентичности;

- несанкционированное изменение алгоритмов функционирования некоторой подсистемы КАС - возможна любая базовая угроза;

- блокирование работоспособности некоторой подсистемы АС (web, pop, smtp сервера) - нарушение доступности.

Угрозы, связанные с реализацией, поддержкой или с нарушением внутренней среды функционирования КАС:

- неверная с точки зрения безопасности реализация и развертывание продукта;

- неверная поддержка и администрирование продукта;

- нарушение среды функционирования продукта.

В действительности, правильная реализация продукта подразумевает, надежную аутентификацию и авторизацию пользователя, а также защищенные каналы связи с ним и между составляющими частями системы. Эти факторы напрямую уменьшают приведенные угрозы, связанные с нарушителем. Кроме того, верная реализация продукта подразумевает определенную настройку его составляющих частей и используемых технологий, что уменьшает риск неправильной поддержки и администрирования продукта. Кроме того, решение принципа работы с минимальными привилегиями, а также с защищенными каналами связи между компонентами системы позволяет снизить риски, связанные с безопасностью, при нарушении среды функционирования продукта, которое, может быть связано как с уязвимостями операционной системы и др. компонентов, так и с преднамеренными (в том числе, физическими) действиями злоумышленника.

Остановимся более подробно на базовых угрозах, и приведем примеры реализации данных угроз.

1. Угрозы нарушения конфиденциальности. Конфиденциальность - свойство информации, которое заключается в том, что информация не может быть получена неавторизованным пользователем, то есть пользователем который не имеет привилегий на использование данной информации. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого. Конфиденциальность призвана обеспечить защиту передаваемых данных от пассивных атак, то есть защита потока данных от возможности его аналитического исследования. Это означает невозможность для нарушителя обнаружить как источник информации, так и ее содержимое. Основным способом обеспечения конфиденциальности является шифрование информации на ключах пользователей. При этом ознакомиться с содержанием информации могут только владельцы ключей на которых зашифрована информация. Обеспечение этого свойства является, пожалуй, одним из важнейших, поскольку при нарушении целостности и доступности информации в результате порчи или кражи ее можно восстановить из архивов, а вот при нарушении конфиденциальности она станет общедоступной, что может повлечь огромные убытки. К угрозам нарушения конфиденциальности информации относят хищение (копирование) и утечку информации. Основными видами атак направленных на нарушение конфиденциальности является пассивное подслушивание и перехват в каналах связи, незаконное использование прав (маскарадинг) похищение ключевой информации. Примером перехвата может служить прослушивание канала в сети. Такая атака является пассивным воздействием и ведет к нарушению конфиденциальности информации. Наличие ключевой информации у злоумышленника может привести к нарушению конфиденциальности зашифрованных сообщений и тем самым нарушить их конфиденциальность. Зачем использовать сложные методы криптоанализа, требующие больших затрат, если можно использовать более простую схему, тем более что чаще всего сотрудники компаний сами того даже не подозревая могут распространять важные данные или к ним могут быть применены методы социальной инженерии которые в данный момент представляют большую угрозу для всех областей информационной деятельности.

2. Угрозы нарушения целостности. Целостность - свойство информации, которое заключается в том, что информация не может быть модифицирована неавторизованным пользователем. Поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации. Существует множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные. Основная задача мер по обеспечению целостности заключается в возможности выявления факта модификации сообщения, что информация не была повреждена, разрушена или изменена любым способом. Искажение информации означает полный контроль над информационным потоком между объектами системы или возможность передачи сообщений от имени другого объекта. Для реализации целостности используются различные виды цифровой подписи, и однонаправленные функции хэширования. Примером нарушения целостности информация может быть подделка писем электронной почты, или документов, намеренное изменение информации с целью обмана либо выдачи себя за кого то другого что может повлечь за собой убытки или сказаться на репутации субъекта.

3. Угрозы нарушения доступности. Доступность - свойство ресурса системы (КАС, услуги, объекта КАС, информации), которое заключается в том, что пользователь и/или процесс, который владеет соответствующими полномочиями, может использовать ресурс в соответствии с правилами установленными политикой безопасности, не ожидая больше заданного (короткого) промежутка времени, то есть когда он находится в состоянии, необходимом пользователю, в месте, необходимом пользователю, и в то время когда он ему необходим. То есть обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае должна быть гарантия что информация всегда доступна и поддерживается в пригодном состоянии. Цель взломщика - добиться, чтобы операционная система на атакованном объекте вышла из строя и, следовательно, для всех остальных объектов системы доступ к ресурсам данного объекта был бы невозможен.

Основными видами атак приводящих к недоступности информации являются DoS-атаки (отказ в обслуживании) что приводит к невозможности законных пользователей информации ею воспользоваться в нужный момент. Разновидностью DoS-атаки, скорее ее усовершенствованием, является DDoS-атака. Ее отличительной чертой является распределенность по сети Internet: обычно она реализуется с узлов на которых несанкционированно установлено вредоносное ПО с централизованным управлением, которое задействуется командой по сети и инфицированные машины начинают забрасывать пакетами жертву. К сожалению на данный момент нет стопроцентной защиты от данного вида атак, как впрочем и от остальных. Примерами такого рода атак являются атаки на публичные WEB-сервера на которых хранятся разнородные данные, и как результат вывод их из строя и невозможность качественно предоставлять сервис. Атака может быть направлена на WEB-сервер компании, на почтовую службу или на шлюз корпоративной сети с целью отрезать ее от сети.

4. Угрозы нарушения аутентичности. Аутентичность - обеспечивается при помощи процедуры аутентификации. Аутентификация - это процедура проверки соответствия предъявленного идентификатора объекта КАС на предмет принадлежности его этому объекту. Угрозы нарушения аутентичности заключаются в том, что в результате проведения некоторых действий пользователь и (или) процесс выдает себя за другого пользователя и имеет возможность воспользоваться чужими правами и привилегиями. Примерами реализации такой угрозы являются:

- атака типа человек посередине (Man in the middle). Заключается в том, что злоумышленник незаметно внедряется в канал связи между двумя абонентами и получает полный контроль над информацией (модификация, удаления, создание дезинформации), которой обмениваются участвующие стороны. При этом он остается абсолютно невидимым для абонентов. Данная атака может свести на нет все средства по защите КАС. Есть пример реализации данной атаки на протокол SSL который используется сейчас в большинстве коммерческих систем электронной коммерции и банковской сфере;

- навязывание ложных сетевых адресов (ARP-spoofing) и доменных имен (DNS-spoofing), а также подмена web серверов их локальными копиями, выдающими себя за легальные (phishing).

1.3 Требование руководящих документов к оценке защищенности АС

Наиболее значимым нормативным документами в области информационной безопасности, определяющий критерии для оценки защищенности АС, и требования, предъявляемые к механизмам защиты, является [11] "ГОСТ Р ИСО/МЭК 15408-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий". Руководящий документ состоит из трех частей:

- часть 1 РД определяет виды требований безопасности (функциональные и требования доверия), основные конструкции представления требований безопасности (профиль защиты, задание по безопасности) и содержит основные методические положения по оценке безопасности ИТ;

- часть 2 РД содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам;

- часть 3 РД содержит систематизированный каталог требований доверия к безопасности и оценочные уровни доверия, определяющие меры, которые должны быть приняты на всех этапах жизненного цикла продуктов или систем ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.

Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в [3] РД "ФСТЭК АС. Защита от НСД к информации. Классификация АС и требования по защите информации и СВТ". РД "Защита от НСД к информации. Показатели защищенности от НСД к информации". [2].

РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

- первая группа содержит только один седьмой класс;

- вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

- третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

- четвертая группа характеризуется, верифицированной защитой содержит только первый класс.

РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

- наличие в АС информации различного уровня конфиденциальности;

- уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

- режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

При анализе системы защиты внешнего периметра корпоративной сети, в качестве основных критериев используется РД "СВТ. МЭ. Защита от НСД к информации". Показатели защищенности от НСД к информации. Данный документ определяет показатели защищенности МЭ. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

- управление доступом;

- идентификация и аутентификация;

- регистрация событий и оповещение;

- контроль целостности;

- восстановление работоспособности.

На основании показателей защищенности определяется следующие пять классов защищенности МЭ:

- простейшие фильтрующие маршрутизаторы - 5 класс;

- пакетные фильтры сетевого уровня - 4 класс;

- простейшие МЭ прикладного уровня - 3 класс;

- МЭ базового уровня - 2 класс;

- продвинутые МЭ - 1 класс.

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию Особой важности. Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки совершенно секретной информации и т. п.

Развитием нормативной базы в этом направлении является разработка Профилей защиты для различных классов СВТ, АС и МЭ на базе Общих критериев. В настоящее время создано уже значительное количество англоязычных профилей защиты. Значительные усилия в этом направлении предпринимаются ФСТЭК.

Специальные требования и рекомендации по защите конфиденциальной информации (СТР-К) [4], содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой информации, информации, обрабатываемой средствами вычислительной техники, а также по защите информации при подключении к сетям общего пользования.

В документе рассматриваются, в том числе следующие вопросы:

- защита информации на рабочих местах на базе автономных ПЭВМ;

- защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ;

- защита информации в локальных вычислительных сетях;

- защита информации при межсетевом взаимодействии;

- защита информации при работе с системами управления базами данных.

СТР-К может использоваться при проведении аудита безопасности АС для оценки полноты и правильности реализации организационных мер защиты информации в АС.

Аттестации АС и сертификация СВТ по требованиям безопасности информации, аудит и обследование безопасности, в отдельных случаях, предполагают использование помимо перечисленных, и других документов ФСТЭК.

1.4 Анализ современных технологий оценки защищенности АС и их недостатков

Система Internet Scanner [24], предназначенного для обнаружения уязвимостей путем проведения тестов сетевых сервисов, ОС, прикладного ПО, маршрутизаторов, МСЭ, Web-серверов и пр. По итогам тестирования Internet Scanner формирует отчеты, содержащие описание обнаруженных уязвимостей, их расположение на узлах информационной системы и рекомендации по их устранению.

Система имеет сертификат ФСТЭК №1426. Применение сертифицированной системы Internet Scanner дает два преимущества по сравнению с другими аналогичными средствами. Во-первых, информационные системы, органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации (Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации, ст.19) [1]. Сертификация системы Internet Scanner позволяет применять ее в государственных организациях. Во-вторых, сертификат выдается по результатам сертификационных испытаний, проводимых независимой испытательной лабораторией, назначаемых ФСТЭК. В процесс испытаний осуществляется большое число тестов, которые гарантируют отсутствие недекларированных возможностей.

Internet Scanner применяется для анализа защищенности АС на основе стека протоколов TCP/IP. Периодическое сканирование сетевых устройств и ПО позволяет устранить потенциальные уязвимости до того, как ими воспользуются злоумышленники. Internet Scanner состоит из 3 подсистем, предназначенных для тестирования устройств ИС (Intranet Scanner), МСЭ (Firewall Scanner) и Web-серверов (Web Security Scanner).

Подсистема Intranet Scanner (рисунок 1.2) - средство анализа сетевой безопасности для автоматического обнаружения уязвимостей. Подсистема, используя тесты, позволяет оценить эффективность и надежность конфигурации рабочих станции в составе АС. К системам, тестируемым Intranet Scanner, относятся АС, использующие ОС UNIX, ОС Microsoft Windows и др. ОС, поддерживающие стек протоколов TCP/IP, а также интеллектуальные принтеры (имеющие IP-адрес), удаленные терминалы и т. п. Администраторы безопасности, как правило, защищают компьютеры, на которых обрабатывается критичная информация. Однако общий уровень безопасности сети определяется уровнем безопасности самого слабого ее звена. Поэтому недооценка в защите редко используемых служб, например, сетевой печати или сетевого факса может быть использована злоумышленниками для проникновения в АС. Intranet Scanner обнаруживает слабые места и формулирует предложения по их коррекции или устранению.

Подсистема Firewall Scanner (рисунок 1.3) повышает уровень защищенности ИС путем тестирования МЭ на наличие известных уязвимостей и некорректной конфигурации.

Подсистема Web Security Scanner (рисунок 1.4) позволяет выявить известные уязвимости и неправильную конфигурацию Web-сервера и формирует рекомендации по повышению уровня его защищенности. Web Security Scanner проводит анализ ОС, под управлением которой работает Web-сервер, и приложения, реализующего функции Web-сервера.

Рисунок 1.2 - Подсистема Intranet Scanner.

В процессе тестирования оценивается безопасность файловой системы, проводится поиск известных уязвимостей и анализ пользовательских скриптов. Уязвимости идентифицируются и формируется отчет с рекомендациями по их устранению.

Система Internet Scanner гарантирует качество анализа защищенности АС за счет:

- разнообразия проводимых тестов;

- создания тестов, учитывающих специфику ПО, используемого в АС;

- автоматического обновления базы данных уязвимостей и компонентов системы Internet Scanner через Internet;

- задания глубины сканирования (5 иерархических уровней);

Рисунок 1.3 - Подсистема Firewall Scanner.

- централизованного управления процессом сканирования;

- параллельного сканирования до 128 сетевых устройств;

- запуска процесса сканирования по расписанию - для периодического проведения анализа защищенности АС;

- возможности управления из командной строки;

- наличия системы генерации отчетов;

- сохранения информации о процессе сканирования в базе данных;

- различных уровни детализации отчетов;

- различных форматы отчетов;

- функционирования под управлением ОС, поддерживающих стек протоколов TCP/IP: Linux, Windows, SunOS, Solaris, HP UX, AIX;



Рисунок 1.4 - Подсистема Web Security Scanner.

- простого и интуитивно понятного интерфейса;

- невысоких требований к ПО и аппаратному обеспечению.

Недостатком рассмотренных средств автоматического сканирования АС можно считать отсутствие численных показателей, позволяющих сопоставить качество различных СЗИ или динамику изменения защищенности конкретной АС в процессе эксплуатации.

Отсутствие количественной оценки не позволяет:

- оценить адекватность затрат на увеличение уровня защищенности;

- оценить возможность перекладывание рисков;

- продемонстрировать снижение уровня защищенности;

- сравнить текущий уровень защищенности с предыдущим.

1.5 Обобщенная методика оценки защищенности АС и постановка задачи квалификационной работы

Роль и место оценки защищенности в системе информационной безопасности АС отображено на рисунке 1.5.

Рисунок 1.5 - Роль и место оценки защищенности в системе ИБ АС

Результатом такой оценки является заключение о степени доверия контрмерам по уменьшению рисков для защищаемых активов. В этом заключении устанавливается уровень доверия как результат применения контрмер. Доверие является той характеристикой контрмер, которая дает основание для уверенности в их надлежащем действии. Заключение о результатах оценки может быть использовано владельцем активов при принятии решения о приемлемости риска для активов, создаваемого угрозами [18].

Процесс оценки защищенности АС можно представить в виде модели черного ящика (рисунок 1.6), входными данными которой являются:

- свидетельство оценки. К свидетельствам оценки защищенности относятся записи, изложение фактов или любая информация, которая имеет отношение к критериям оценки защищенности и может быть проверена. Такими свидетельствами оценки защищенности могут быть доказательства выполняемой и выполненной деятельности по обеспечению ИБ в виде отчетных, нормативных, распорядительных документов, результатов опросов, наблюдений;

- контекст оценки. Контекст оценки объединяет цели и назначение оценки защищенности, вид оценки (независимая оценка, самооценка), объект и области оценки, ограничения оценки и роли.

Воздействующими факторами будут:

- модель оценки. Модель оценки защищенности определяет сферу оценки, отражающую контекст оценки в рамках критерия оценки, отображение и преобразование оценки в параметры объекта оценки, а также устанавливает показатели, обеспечивающие оценку защищенности в сфере оценки. Модель оценки необходима для процесса реализации оценки;

- критерии оценки. Критерии оценки - это все то, что позволяет установить значения оценки для объекта оценки. В качестве критериев оценки защищенности могут использоваться требования, процедуры, сочетание требований и процедур.

На выходе получаем результаты оценки защищенности, которые могут быть представлены в качественном и количественном виде. Показатели результатов оценки позволяю определить текущий уровень защищенности.



Рисунок 1.6 - Общий вид процесса оценки защищенности АС

Обобщенная методика оценки защищенности АС (рисунок 1.7) состоящая из трех этапов:

- предварительный этап. На этом этапе исследуют исходные данные АС (структуру АС, топологию ВС и т. п.);

- основной этап включает в себе три уровня: организационный уровень, уровень тестирования, уровень вторжения. На данном этапе изучаются нормативные документы, действующие на АС, анализируется информация статистики инцидентов на АС, выявляются уязвимости АС, при помощи средств сканирования, исследуется АС с использованием выявленных уязвимостей;

- заключительный этап. Анализ и систематизация полученных результатов исследования.

В дипломной работе будут рассмотрены:

- основной этап (Уровень тестирования, уровень вторжения);

- заключительный этап.



Рисунок 1.7 - Обобщенная методика оценки защищенности АС

При этом выделим следующие задачи:

- построить математическую модель оценки защищенности;

- выбрать критерий оценки;

- разработать процедуру определения вероятности реализации угроз

- разработать процедуру оптимизации СЗИ;

- разработать обобщенный алгоритм оценки защищенности АС.

1.6 Выводы

Проведен анализ и классификация угроз информации, что дает представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее эффективные средства обеспечения безопасности.

Рассмотрены требования руководящих документов к оценке защищенности. Выявлено, что нормативные документы по оценке ИБ не содержат конкретных методик оценки защищенности.

Проанализированные современные технологии оценки защищенности, на примере система Internet Scanner. Недостатком рассмотренного средств автоматического сканирования АС можно считать отсутствие количественной оценки.

На основе проведенного анализа сформулированы задачи работы:

- построить математическую модель оценки защищенности

- выбрать критерий оценки

- разработать процедуру определения вероятности реализации угроз

- разработать процедуру оптимизации стоимости СЗИ.

- разработать обобщенный алгоритм оценки защищенности АС

2. РАЗРАБОТКА МОДЕЛИ ОЦЕНКИ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ

2.1 Обоснование выбора эффективного решения

Любая целенаправленная деятельность человека, начиная от бытовой и оканчивая профессиональной, представляет собой непрерывную последовательность принимаемых и реализуемых решений [15]. Поэтому умение принимать эффективные решения отличает высококвалифицированных специалистов и жизненно успешных людей. Это обстоятельство определило давний и неугасающий интерес к разработке формальных методов, правил-алгоритмов, процедур, которым можно обучить, как альтернативы субъективному интуитивному искусству принятия решений. В процессе исследований было установлено, что принимаемые решения различаются по значимости последствий, особенностям ситуаций, в которых принимается решение, степени полноты и точности исходной информации, но с формальной точки зрения имеют общую методологию и инструментарий реализации. При этом большинство формальных процедур принятия решений является инвариантными предметной области.

Широкое распространение современной вычислительной техники, ее интенсивное использование во всех сферах как средства автоматизации интеллектуальной деятельности человека, придало дополнительный импульс изучению и формализации процессов принятия решений. Они отличаются сложностью, возможными последствиями, но с формальной точки зрения могут быть представлены одной обобщенной моделью, инвариантной конкретному содержанию проблемы принятия решений. Анализ позволяет выделить следующие основные задачи обобщенной процедуры принятия решения:

- формирование цели, ее анализ и формализация;

- определение множества возможных путей ее достижения (множества решений);

- формирование оценки позволяющей сравнивать возможные решения между собой по качеству;

- выбор из возможного множества экстремального, т.е. наилучшего по качеству единственного решения.

В теории принятия решений совокупность перечисленных задач образует общую проблему принятая решений, третья называется задачей оценивания, а четвертая - задачей оптимизации.

Конечной целью решения общей задачи принятия решений является выбор из допустимого множества решений единственного наилучшего, т.е. экстремального по выбранным частным критериям решения

(2.1)

Если задача однокритериальная, т.е. n=1, то она имеет единственное решение, в случае если n>1, т.е. задача является многокритериальной, ее однозначное решение можно получить только в частных случаях, а в общем случае задача не имеет единственного решения. Выше было показано, что задача многокритериальной оптимизации (2.1) является некорректной, так как в общем случае не обеспечивает определения единственного оптимального решения из допустимого множества . Эта некорректность может быть устранена путем регуляризации задачи, т.е. введением некоторой дополнительной информации, математических соотношений или правил, позволяющих обеспечить выбор единственного решения. При реализации неконструктивного подхода источником регуляризационной информации является ЛПР. Однако ЛПР данную информацию не формализует, а использует на интуитивном уровне. Общий подход к решению этой проблемы заключается в трансформации многокритериальной задачи в однокритериальную со скалярным критерием. Это обусловлено следующими двумя причинами. Во-первых, значение скалярного количественного критерия можно интерпретировать как точку на числовой оси, и ранжирование таких точек не представляет затруднений, так как отношения предпочтения и эквивалентности превращаются соответственно в неравенство (>) и равенство (=). Во-вторых, все методы поиска экстремума ориентированы на скалярную функцию. Существует несколько способов трансформации многокритериальных оптимизационных задач в однокритериальные. Одним из этих методов является метод главного критерия, который в дальнейшем используется для решения оптимизационной задачи по оценке эффективности системы защиты.

Принцип базируется на выделении главного критерия и переводе всех остальных критериев в ограничения. Для этого проводится анализ конкретных особенностей многокритериальной задачи, из множества частных критериев выбирается один - самый важный, и он принимается в качестве единственного критерия оптимизации. Для каждого из остальных частных критериев назначается предельное значение, ниже которого он не может опускаться. Таким образом, все частные критерии, кроме одного превращаются в ограничения, дополнительно суживающие область допустимых решений . Тогда исходная многокритериальная задача (2.1) превращается в однокритериальную вида

(2.2)

где - оптимизационный скалярный критерий;

- наихудшие допустимые значения частных критериев - ограничений; знак ">" используется для критериев, которые необходимо максимизировать, а знак "<" - минимизировать.

Вывод главного (оптимизационного) критерия и уровней ограничений для всех других критериев является субъективной операцией, осуществляемой экспертами или ЛПР. Следует отметить, что можно рассмотреть несколько различных вариантов и сравнить результаты.

При реализации рассмотренного метода необходимо обращать особое внимание на то, чтобы допустимое множество решений, заданное частными критериями - ограничениями, не оказалось пустым.

2.2 Обоснование критерия оценивания СЗИ

В любой области деятельности для выбора эффективной системы, эта система должны характеризоваться некоторыми параметрами, на основании которых и делается выбор. В качестве таких параметров для СЗИ можно выделить следующие: производительность, стоимость, управляемость, совместимость, защищенность и пр. Как уже было отмечено выше, выбор оптимальной системы по такому множеству ее характеристик является классической задачей оптимизации и не всегда может иметь эффективное решение [15]. Тем более что многие параметры противоречивы: с ростом уровня защищенности, например, растет стоимость, сложность настройки, в то же время падает производительность. Поэтому в предложенной методике будет производиться оценка эффективности системы по параметру защищенности, как основного показателя, характеризующего уровень обеспечиваемой защиты СЗИ, а на остальные характеристики вводятся ограничения. Оценивается защищенность системы (Z) количественно в зависимости от стоимости защищаемой информации, вероятности взлома, стоимости самой системы защиты, производительности системы:

, (2.3)

где - стоимость защищаемой информации;

- вероятность взлома;

- стоимость СЗИ;

- производительность системы.

С учетом введенного понятия защищенности системы, задача оптимизации состоит в обеспечении максимального уровня защищенности (как функции стоимости защищаемой информации и вероятности взлома) при минимальной стоимости системы защиты и минимальном влиянии ее на производительность системы:

; (2.4)

С учетом сказанного может быть сделан важный вывод о многокритериальном характере задачи проектирования системы защиты. При этом, кроме обеспечиваемого уровня защищенности, должен учитываться еще ряд важнейших характеристик системы. Например, обязательно должно учитываться влияние системы защиты на загрузку вычислительного ресурса защищаемого объекта. В общем случае загрузка вычислительного ресурса определяется количеством прикладных задач, решаемых объектом в единицу времени. Исходные параметры для задачи проектирования системы защиты, а также возможности сведения задачи к однокритериальной проиллюстрированы на рисунке 2.1. Критерий стоимость определяется совокупностью стоимости защищаемой информации и стоимостью СЗИ. При этом стоимость СЗИ не должна превышать стоимость защищаемой информации. Стоимость информации определяет стоимость потерь при взломе одного и более МЗ. Критерий риска это обобщенный скалярный критерий, представленный в виде произведения нормированных частных критериев (вероятность взлома, стоимость потерь)



Рисунок 2.1 - Критерии оценки защищенности

В техническом задание на разработку СЗИ ограничивается стоимость СЗИ и снижение производительности системы во время функционирование СЗИ.

конфиденциальный информация автоматизированный программный

2.3 Построение математической модели оценки защищенности АС

В работе рассмотрена защищенность системы с точки зрения риска. Использование теории рисков для оценки уровня защищенности на сегодняшний день является наиболее часто используемым на практике подходом [14]. Риск (R) - это потенциальные потери при реализации угроз:

(2.4)

По существу, параметр риска здесь вводится как мультипликативная свертка двух основных параметров защищенности.

С другой стороны, можно рассматривать риск как потери в единицу времени:

, (2.5)

где - интенсивность потока взломов.

Эти две формулы связаны следующим соотношением:

(2.6)

где - общая интенсивность потока несанкционированных попыток нарушения основных свойств информации злоумышленниками.

В качестве основного критерия защищенности будет использоваться коэффициент защищенности (D), показывающий относительное уменьшение риска в защищенной системе по сравнению с незащищенной системой.

, (2.7)

где - риск в защищенной системе;

- риск в незащищенной системе.

Таким образом, в данном случае задача оптимизации выглядит следующим образом:

(2.8)

Для решения этой задачи необходимо привести ее к однокритериальной посредством введения ограничений:

(2.9)

где и - заданные ограничения на стоимость системы защиты и производительность системы.

Целевая функция выбрана исходя из того, что именно она отражает основное функциональное назначение системы защиты -- обеспечение безопасности информации.

Производительность системы рассчитывается с применением моделей и методов теории массового обслуживания и теории расписаний (в зависимости от того, защищается ли система оперативной обработки, либо реального времени). На практике возможно задание ограничения по производительности (влияние на загрузку вычислительного ресурса защищаемой системы) не непосредственно в виде требуемой производительности системы, а как снижение производительности () информационной системы от установки системы защиты. В этом случае задача оптимизации будет выглядеть следующим образом:

(2.10)

или после сведения ее к однокритериальной:

 (2.11)

где и - заданные ограничения на стоимость системы защиты и снижение производительности.

Именно такой принцип сведения задачи к однокритериальной целесообразен, т.к. в любом техническом задании на разработку системы защиты указывается, в какой мере система защиты должна оказывать влияние на производительность системы. Как правило, внедрение системы защиты не должно снижать производительность системы более чем на 10%. Кроме того, обычно вводится ограничение на стоимость системы защиты.

Если рассчитанное значение коэффициента защищенности (D) не удовлетворяет требованиям к системе защиты, то в допустимых пределах можно изменять заданные ограничения и решить задачу методом последовательного выбора уступок пример которого будет рассмотрен ниже. При этом задается приращение стоимости и снижение производительности:

(2.12)

или (2.13)

В таком виде задача решается в результате реализации итерационной процедуры, путем отсеивания вариантов, не удовлетворяющих ограничительным условиям, и последующего выбора из оставшихся варианта с максимальным коэффициентом защищенности.

Теперь необходимо выразить коэффициент защищенности через параметры угроз. В общем случае в системе присутствует множество видов угроз. В этих условиях задаются следующие величины:

- W - количество МЗ противодействующих определенным угрозам;

- - стоимость ущерба от взлома i-го вида;

- - интенсивность потока взломов i-го вида, соответственно;

- - вероятность появления угроз i-го вида в общем потоке попыток реализации угроз, причем ;

- - вероятность отражения угроз i-го вида системой защиты. Соответственно, для коэффициента потерь от взломов системы защиты имеем:

, (2.14)

где - коэффициент потерь от взлома i-го типа; показывает, какие в среднем потери приходятся на один взлом i-го типа. Для незащищенной системы , для защищенной системы

(2.15)

Соответственно, для коэффициента потерь от взломов системы защиты в единицу времени имеем:

, (2.16)

где - коэффициент потерь от взломов i-го типа в единицу времени.

Для незащищенной системы , для защищенной системы . Соответственно, из (2.7) коэффициент защищенности примет будет определяться как:

. (2.17)

Если в качестве исходных параметров заданы вероятности появления угроз то коэффициент защищенности удобно считать через вероятности появления угроз. Если же в качестве исходных параметров заданы интенсивности потоков угроз _i, то, естественно, коэффициент защищенности считается через интенсивность.

Очевидно, что при использовании любого математического метода проектирования системы защиты необходимо задавать определенные исходные параметры для оценки ее защищенности. Однако именно с этим связаны основные проблемы формализации задачи синтеза системы защиты. Поэтому в работе будет отдельно рассмотрены основные пути решения данной задачи, возможные способы задания вероятностей и интенсивностей угроз.

2.4 Обоснование входных параметров системы для модели оценки защищенности КАС

Входными данными модели оценки защищенности являются: интенсивность и вероятность реализации угроз, а так же стоимость информационных ресурсов системы.

2.4.1 Способы задания интенсивностей и вероятностей угроз

Основной проблемой проведения количественной оценки уровня защищенности является задание входных параметров для системы защиты -- вероятностей и интенсивностей угроз. Необходимо рассмотреть возможные способы задания вероятностей и интенсивностей угроз.

1. Метод статистической оценки _i (Q_i) и p_i.

Основным способом задания интенсивностей потоков угроз _i (вероятностей угроз Q_i ) и вероятностей взломов p_i является получение этих значений на основе имеющейся статистики угроз безопасности информационных систем, в которых реализуется система защиты. Если существует статистика для аналогичной информационной системы, то задавать исходные параметры для оценки защищенности можно на ее основе. При этом желательно, чтобы сходные информационные системы эксплуатировалась на предприятиях со сходной спецификой деятельности.

Если же необходимая статистика по угрозам безопасности отсутствует, то можно воспользоваться одним из других подходов, описанных далее.