Интеллектуальные компьютерные технологии защиты информации

Администрация - руководители наиболее высокого ранга. Они ответственны за:

общую безопасность находящихся в их ведении систем (как владельцы этих систем), включая принятие решений по выдаче разрешений на подключение к своей сети других сетей;

обеспечение достаточного финансирования для нужд безопасности КИС;

назначение АДМИНИСТРАТОРОВ БЕЗОПАСНОСТИ КИС для каждого производственного подразделения;

определение круга основных обязанностей для координаторов по безопасности КИС и обеспечение их обучения в достаточном объеме.

Кроме рассмотренных категорий целесообразно выделить еще две категории:

Администраторы безопасности КИС - сотрудники, назначенные администрацией для обеспечения безопасности определенных ресурсов и распространения знаний по безопасности КИС в отдельных подразделениях. Они ответственны за:

реализацию правил обеспечения безопасности информационных ресурсов подразделения или функционального комплекса;

обеспечение администрирования установленных для них средств безопасности;

обеспечение полной осведомленности среди сотрудников подразделений о важности поддержания безопасности КИС;

обеспечение информирования всех сотрудников своих подразделений о существовании руководств по безопасности;

помощь руководителям подразделений в выявлении потенциальных рисков и составлении инструкций для своих подразделений.

Администраторы сетей / системные администраторы - сотрудники, назначенные руководителями подразделений для сопровождения и эксплуатации локальных сетей (LAN) или локальных систем. Они несут определенную ответственность за вверенные им системы, которая заключается в:

администрировании и идентификации пользователей;

снятие резервных копий с различных систем и их данных.

1.5 Классификация ресурсов и контроль за ними

Обеспечение соответствующей защиты ресурсов организации невозможно без их идентификации. Все основные информационные ресурсы должны быть четко определены, взяты на соответствующий учет с назначением ответственного лица.

1.5.1 Отчетность по ресурсам

Отчетность за использование ресурсов помогает обеспечить адекватность мер безопасности. По основным ресурсам должны определяться их владельцы с возложением на них ответственности за поддержание соответствующих мер безопасности. Реализация этих мер может быть делегирована другим лицам, но ответственность по отчетности остается на назначенных владельцах ресурсов.

1.5.2 Инвентаризация ресурсов

Инвентаризация ресурсов помогает обеспечить эффективность мер безопасности и может способствовать достижению других целей, например, обеспечению здоровья и личной безопасности, страхованию и управлению активами. Инвентаризация должна проводиться в отношении основных ресурсов каждой информационной системы. Каждый компонент ресурсов должен быть четко определен в соответствии с классификацией по его принадлежности и применяемым к нему мерам безопасности. Примерами ресурсов, ассоциирующихся с информационными системами, могут быть:

информационные ресурсы: базы и файлы данных, системная документация, руководства для пользователей, учебные материалы, операционные процедуры и процедуры поддержки, схемы обеспечения непрерывного функционирования, схемы нейтрализации неисправности;

программные ресурсы: прикладное программное обеспечение, системное программное обеспечение, средства разработки приложений и утилиты;

физические ресурсы: компьютеры и коммуникационное оборудование, магнитные носители информации (ленты и диски), другое техническое оборудование (источники питания, кондиционеры),мебель, помещения;

услуги: вычислительные и коммуникационные услуги, другие технические (отопление, освещение,энергоснабжение, кондиционирование воздуха).

1.5.3 Классификация информации

Классификация информации должна использоваться для определения необходимости принятия мер безопасности, их объема и приоритетности.

Информация имеет различную степень уязвимости и важности. Отдельные компоненты информации могут нуждаться в дополнительной защите или в особом обращении. Для определения соответствующих уровней обеспечения безопасности и информирования пользователей о необходимости особого обращения с информацией должна использоваться система классификации мер безопасности.

1.5.4 Принципы классификации

При классификации мер безопасности и определении соответствующих мероприятий по защите информации следует принимать во внимание необходимость предоставления информации, а также последствия несанкционированного доступа или разрушения информации. В частности, следует обратить внимание на следующие факторы:

конфиденциальность: производственная необходимость предоставления или ограничения доступа к информации с соблюдением конфиденциальности и контроля, требуемых в отношении ограниченного доступа к информации;

целостность: производственная необходимость проверки изменений информации и контроль,необходимый для защиты правильности и полноты информации;

доступность: производственная необходимость иметь доступ к информации и соблюдение принятых видов контроля для ее получения.

Ответственность за определение классификационной принадлежности единицы информации, например, документа, записи данных, файла данных или дискеты, а также за периодичный пересмотр классификации должна лежать на лице, подготовившем данные, или на владельце данных.

Следует уделить особое внимание интерпретации классификационных меток на документах, поступающих от других организаций, которые могут быть различными в отношении одной и той же информации либо похожими.

1.5.5 Маркирование информации

Информация ограниченного доступа и выходные данные систем, обрабатывающих подобную информацию, должны быть снабжены соответствующими метками. Однако зачастую информация перестает быть уязвимой по истечении некоторого периода времени, например, когда она становится достоянием широкой публики. Этот факт следует принимать во внимание, поскольку обеспечение излишней секретности приводит к неоправданным дополнительным расходам.

Выходные данные, поступающие от информационных систем, содержащих информацию ограниченного доступа, должны иметь соответствующую метку. Маркировка должна отражать степень секретности наиболее уязвимых сведений в выходных данных. Это относится к распечатанным отчетам, экранным дисплеям, магнитным носителям (лентам, дискетам, кассетам), электронным сообщениям и электронной передаче файлов.

Примечание. Физические метки являются наиболее подходящими для маркировки. Тем не менее в некоторых случаях, например, при электронной передаче, функция маркирования выполняется иными средствами, такими, как процедуры, контракты или почтовые уведомления.

1.6 Обеспечение безопасности персоналом

Снизить риски, возникающие вследствие ошибок, кражи, мошенничества или неправильного обращения с техникой, возможно только при должной организации работ с персоналом.

1.6.1 Обеспечение безопасности при составлении должностных инструкций и проверка благонадежности

Обеспечение мер безопасности должно начинаться уже на стадии приема на работу; они должны предусматриваться должностными инструкциями и контрактными условиями. Выполнение мер безопасности должно отслеживаться в период работы сотрудника.

Руководители должны обеспечить, чтобы должностные инструкции включали все необходимые обязанности по соблюдению мер безопасности. Принимаемые на работу лица должны пройти соответствующую проверку на благонадежность, особенно для уязвимых видов деятельности. Все служащие и сторонние пользователи должны подписать обязательство о соблюдении конфиденциальности (о неразглашении тайны, нераспространении информации ограниченного пользования).

1.6.2 Отражение мер безопасности в должностных инструкциях

В должностные инструкции должна быть включена ответственность за соблюдение мер безопасности в соответствии с проводимой в организации политикой информационной безопасности. Сюда входят общие обязанности по реализации или соблюдению политики безопасности, а также особые обязанности по защите конкретных ресурсов или по выполнению конкретных процедур и процессов обеспечения безопасности.

1.6.3 Проверка на благонадежность при приеме на работу

Принимаемые на работу должны подвергаться проверке, если работа связана с доступом к средствам обработки уязвимой информации. При этом необходимо:

представление, по крайней мере, двух положительных характеристик, одна служебная и одна личная;

проверка автобиографических данных на полноту и достоверность; подтверждение образовательной и профессиональной квалификации; проверка идентичности личности, например, паспортных данных;

проверка кредитоспособности при приеме на ответственные должности, например, проверка финансового положения.

1.6.4 Договор о соблюдении конфиденциальности

Пользователи информационными средствами организации должны подписать соответствующее обязательство в отношении конфиденциальности (о неразглашении). Служащие обычно подписывают такое обязательство как часть основных условий приема на работу.

Персонал отделений и сторонние пользователи, не связанные существующим контрактом, содержащим обязательства по соблюдению конфиденциальности, должны обязательно подписать такой договор, прежде чем получить доступ к информационным средствам организации.

Договора о соблюдении конфиденциальности должны пересматриваться в случае изменений условий приема на работу или контрактных условий, особенно когда служащие собираются увольняться или по окончании срока действия контракта.

1.7 Обучение пользователей

Чтобы обеспечить информированность пользователей о существующих угрозах для информационной безопасности и связанных с ними проблемах, а также предоставить им все необходимое для реализации выработанной организацией политики обеспечения безопасности в процессе работы, необходимо планировать и регулярно осуществлять мероприятия по обучению.

Пользователи должны быть обучены процедурам безопасности и правильному использованию информационных средств.

Пользователи должны получить официальное письменное разрешение на доступ с указанием прав и ограничений.

1.7.1 Теоретическое и практическое обучение информационной безопасности

До получения разрешения на доступ к информационным услугам пользователи должны пройти соответствующее обучение в отношении политики и процедур обеспечения безопасности, включая требования безопасности и контроля, а также обучение по правильному использованию информационных средств, например, по процедурам подключения к системе, использованию пакетов прикладных программ.

Примечание. Данные меры необходимы для обеспечения правильного выполнения процедур безопасности и минимизации возможных рисков для конфиденциальности, целостности и доступности данных или услуг, которые могут возникнуть из-за ошибки пользователя.

Такая политика должна применяться в отношении служащих организации и сторонних пользователей.

1.8 Реагирование на инциденты

Информация об инциденте должны быть доведена до руководства как можно быстрее. Это необходимо для того, чтобы сократить ущерб от инцидентов, касающихся проблем безопасности, и сбоев в работе, а также отслеживать такие инциденты и делать соответствующие выводы на будущее.

1.8.1 Доведение информации об инцидентах, касающихся проблем безопасности

Должна быть разработана официальная процедура доведения такой информации совместно с процедурой реагирования на инциденты с указанием действий, которые следует предпринять при получении сообщения об инциденте. Все служащие организации и подрядчики должны владеть процедурой сообщения об инцидентах и обязаны докладывать о таких инцидентах как можно быстрее в соответствующую службу.

Все служащие организации и подрядчики должны быть ознакомлены с процедурами доклада о различного вида инцидентах (нарушение защиты, угроза, уязвимые места защиты или сбои), которые могут повлиять на безопасность ресурсов организации. Они обязаны сообщать о любых обнаруженных или вызывающих подозрение инцидентах как можно быстрее в соответствующую службу. Организация должна создать формальную дисциплинарную процедуру в отношении служащих, чьи действия привели к нарушению безопасности.

1.8.2 Сообщение об уязвимости защиты

Пользователи информационными услугами обязаны фиксировать и сообщать обо всех замеченных или предполагаемых уязвимых местах средств защиты в отношении систем или услуг. Пользователи должны сообщать об этом либо непосредственному руководителю, либо своему поставщику услуги как можно быстрее. Пользователи должны знать, что ни при каких обстоятельствах они не должны предпринимать самостоятельные попытки проверить слабые места, вызывающие подозрение.

Примечание. Это делается в целях их же защиты, поскольку их действия по проверке слабых мест могут быть интерпретированы как потенциальное злоупотребление.

1.8.3 Сообщение о сбоях программного обеспечения

Пользователи услуг информационной техники должны фиксировать все программы, которые, по их мнению, работают некорректно, т.е. не соответствуют спецификациям, а также сообщать об этом в местную службу поддержки или же непосредственно провайдеру услуг.

Следует разработать процедуры немедленных действий лиц, которые предполагают, что сбой обусловлен умышленным искажением части программы, например, наличием компьютерного вируса. При этом особое внимание должно быть уделено следующим аспектам:

Записать симптомы и любые сообщения, появляющиеся на экране.

Прекратить использование компьютера, при возможности изолировать его. Немедленно поставить в известность службу технической поддержки. Если оборудование подлежит осмотру, оно должно быть отключено от локальной сети организации до того, как на него вновь будет подано питание. Дискеты не должны передаваться на другие машины.

Немедленно сообщить о происшествии в соответствующую службу.

Пользователи не должны ни при каких обстоятельствах не пытаться изъять подозрительные программы. Восстановление должно производиться опытным персоналом, имеющим соответствующую подготовку.

1.8.4 Процедуры дисциплинарного воздействия

Должны существовать официальные процедуры дисциплинарного воздействия в отношении сотрудников, нарушивших правила и процедуры политики безопасности в организации. Наличие таких процедур будет сдерживать служащих, которых могут склонить к нарушению процедур обеспечения безопасности. Кроме того, они должны обеспечивать корректное и справедливое обращение со служащими, подозреваемыми в совершении серьезных или неоднократных нарушений требований безопасности. Процедуры дисциплинарного воздействия должны разрабатываться под руководством специалиста по кадрам (юриста) и согласовываться с руководством организации.

2. Основные положения теории защиты информации

"Если, рассуждая о природе богов и происхождении вселенной, мы не достигнем желанной нашему уму цели, то в этом нет ничего удивительного, поскольку следует помнить, что и я, говорящий, и вы судьи - всего лишь люди; так что если наши соображения будут правдоподобны, не следует стремиться ни к чему больше».

Платон

"Я сделал как мог, и пусть, кто может - сделает лучше».

Древние римляне

2.1 Введение

Теория защиты информации определяется как система основных идей, относящихся к защите информации в современных системах ее обработки, дающая целостное представление о сущности проблемы защиты, закономерностях ее развития и существенных связях с другими отраслями знания, формирующаяся и развивающаяся на основе опыта практического решения задач защиты и определяющая основные ориентиры в направлении совершенствования практики защиты информации.

В приведенном определении уже содержатся общие сведения о задачах теории защиты, в более же развернутом виде теория защиты должна:

предоставлять полные и адекватные сведения о происхождении, сущности и развитии проблем защиты;

полно и адекватно отображать структуру и содержание взаимосвязей с родственными и смежными областями знаний;

аккумулировать опыт предшествующего развития исследований, разработок и практического решения задач защиты информации;

ориентировать в направлении наиболее эффективного решения основных задач защиты и предоставлять необходимые для этого научно-методологические и инструментальные средства;

формировать научно обоснованные перспективные направления развития теории и практики защиты информации.

Сформулированным выше целевым назначением теории защиты предопределяется ее состав и общее содержание. Составными частями ее, очевидно, должны быть:

полные и систематизированные сведения о происхождении, сущности и содержании проблемы защиты;

систематизированные результаты ретроспективного анализа развития теоретических исследований и разработок, а также опыта практического решения задач защиты, полно и адекватно отображающие наиболее устойчивые тенденции в этом развитии;

научно обоснованная постановка задачи защиты информации в современных системах ее обработки, полно и адекватно учитывающая текущие и перспективные концепции построения систем и технологий обработки, потребности в защите информации и объективные предпосылки удовлетворения;

общие стратегические установки на организацию защиты информации, учитывающие все многообразие потенциально возможных условий защиты;

методы, необходимые для адекватного и наиболее эффективного решения всех задач защиты и содержащие как общеметодологические подходы к решению, так и конкретные прикладные методы решения;

методологическая и инструментальная база, содержащая необходимые методы и инструменталь ные средства решения любой совокупности задач защиты в рамках любой выбранной стратегической установки;

научно обоснованные предложения по организации и обеспечению работ по защите информации;

научно обоснованный прогноз перспективных направлений развития теории и практики защиты информации.

Приведенный перечень составных частей даже при таком очень общем представлении их содержания предметно свидетельствует о большом объеме и многоаспектнос^ти теории защиты, что, естественно, порождает значительные трудности ее формирования. Эти трудности усугубляются еще тем, что проблема защиты информации относится к числу сравнительно новых, причем по мере развития исследований, разработок и практической их реализации появляются новые аспекты, защита информации представляется все более комплексной и все более масштабной проблемой. Существенное влияние оказывает также неординарность проблемы защиты, наиболее значимым фактором которой является повышенное влияние на процессы защиты случайных трудно предсказуемых событий. Всем изложенным предопределяется настоятельная необходимость выбора и обоснования методологических принципов формирования самой теории защиты.

2.2 Возникновение и история развития проблемы защиты информации

Проблема защиты информации, вообще говоря, имеет многовековую историю. Ведь даже наскальные рисунки (не говоря уже о древних рукописях) есть не что иное, как попытка сохранить информацию о реалиях объективного мира. Применение же специальных мер в целях сохранения информации в тайне практиковалось еще в древние времена: достоверно, например, известно, что выдающийся политический деятель и полководец Древнего Рима Цезарь использовал для этих целей криптографическое преобразование текстов сообщений (вошедшее в историю под названием шифра Цезаря), хотя по современным представлениям весьма примитивное.

Но поскольку здесь рассматриваются вопросы защиты информации в автоматизированных системах ее обработки, то и ретроспективный анализ их происхождения и развития будем производить на глубину реального существования этих систем. В ведущих, с точки зрения информатизации, странах (прежде всего США) рассматриваемая проблема находится в центре внимания специалистов и интенсивно разрабатывается уже более 30 лет. Достаточно красноречивым свидетельством этого внимания может служить тот факт, что число публикаций по различным аспектам защиты информации только в открытой печати исчисляется многими тысячами, причем среди них многие десятки - это публикации монографического характера. Издаются специальные журналы, регулярно проводятся конференции, соответствующие дисциплины включены в учебные планы всех вузов, готовящих специалистов по вычислительной технике и ее использованию.

Прежде всего, специалисты единодушны в оценке чрезвычайной важности проблемы защиты, причем в подтверждение приводятся многочисленные конкретные факты злоумышленных действий над информацией, находящейся в КИС. Последствия таких действий нередко были достаточно тяжелы.

Под воздействием указанных выше фактов и в связи с расширяющейся открытостью, в последние годы резко возрос интерес к проблеме защиты информации в КИС, а соответствующие работы ведутся широким фронтом и с растущей интенсификацией. Свидетельством сказанному служат следующие факты:

Непрерывно растет число публикаций в открытой печати, среди которых имеются достаточно серьезные монографии.

Регулярно проводятся специальные конференции и семинары.

Издаются специализированные журналы.

Организована регулярная подготовка, повышение и оценка уровня квалификации (сертификация) профессиональных специалистов по защите информации.

Основой научно-методологического базиса, создающего объективные предпосылки для решения всей совокупности задач защиты информации на регулярной основе является так называемый системно-концептуальный подход, характерные особенности которого состоят в следующем:

Полный учет особенностей существующих и перспективных концепций построения, организации и обеспечения функционирования КИС.

Системный учет всей совокупности потенциально возможных дестабилизирующих факторов, влияющих на защищенность информации.

Наиболее полный учет имеющихся и перспективных возможностей (способов, методов, средств)защиты информации.

Разработка унифицированных подходов к формированию перечня, способов, методов и средств решения задач защиты.

Рассмотрим теперь развитие методологических подходов к организации и обеспечению защиты информации.

Естественно, что за истекшее после возникновения проблемы время существенно изменилось как представление о ее сущности, так и методологические подходы к решению. Указанные изменения происходили постепенно и непрерывно, поэтому всякая периодизация этого процесса в значительной мере будет носить искусственный характер. Тем не менее относительно подходов к защите информации весь период активных работ по рассматриваемой проблеме довольно четко делится на три этапа, которые условно можно назвать начальным, развитым и комплексным.

Начальный этап защиты характеризовался тем, что под защитой информации (защитой информации содержащей сведения составляющие тайну) понималось предупреждение несанкционированного ее получения лицами или процессами (задачами), не имеющими на это полномочий, и для этого использовались формальные (т.е. функционирующие без участия человека) средства. Наиболее распространенными механизмами защиты были проверки по паролю прав на доступ к КИС (цель - предупредить доступ незарегистрированных пользователей) и разграничение доступа к массивам (базам) данных (цель - предупредить доступ зарегистрированных пользователей к данным, находящимся за пределами их полномочий).

Проверка прав на доступ по паролю заключалась в том, что каждому зарегистрированному пользователю предоставлялся персональный пароль (некоторый набор символов из вполне определенного алфавита), все пароли хранились в защищенной области ЗУ, доступ пользователя к КИС разрешался только тогда, когда предъявленный им пароль совпадал с хранящимся в ЗУ. Основное достоинство данного механизма в его простоте, основной недостаток - низкая надежность: короткие пароли можно разгадать простым перебором возможных комбинаций, длинные - трудно запоминать; кроме того, искусный злоумышленник при определенных усилиях проникал в ту область ЗУ, в которой хранились эталонные пароли. В целях повышения надежности проверки прав разработаны следующие меры: увеличение длины алфавита, из которого формировались пароли; использование нескольких паролей; шифрование эталонных паролей и др.

Разграничение доступа к массивам (базам) данных осуществлялось несколькими способами: разделением массивов (баз) на зоны по степени секретности с предоставлением каждому пользователю соответствующего уровня доступа; по выдаваемым пользователям мандатам, в которых указывались идентификаторы тех элементов массивов (баз) данных, к которым им разрешался доступ; по специально составленной матрице полномочий, по строкам которой размещались идентификаторы пользователей, по столбцам - идентификаторы элементов массивов (баз) данных, а на пересечении строк и столбцов- условное обозначение прав соответствующего пользователя относительно соответствующего элемента данных (доступ запрещен, разрешено читать, записывать, то и другое и т.п.). Механизмы разграничения доступа оказались достаточно эффективными и настолько необходимыми, что в той или иной модификации используются до настоящего времени, и будут использоваться и в будущем.

Рассмотренные механизмы защиты реализовывались с помощью специальных программ, которые выполняли свои функции под управлением операционной системы защищаемой ЭВМ. Но для обеспечения эффективного их функционирования необходимы специальные организационные мероприятия: генерирование и распределение паролей, внесение эталонных паролей в ЗУ ЭВМ, формирование и ведение реквизитов разграничения доступа, общая организация защиты и др.

Общая оценка механизмов начального этапа защиты сводится к тому, что они обеспечили определенный уровень защиты, однако проблему в целом не решили, поскольку опытные злоумышленники находили способы и пути их преодоления.

Наиболее серьезной попыткой решения проблем защиты информации на принципиальных подходах первого этапа была программа разработки так называемой системы безопасности ресурса (СВР), выполнявшаяся по заданию одного из военных ведомств США. В соответствии с заданием СВР должна была представлять собою операционную систему для используемых ЭВМ, содержащую такие механизмы, которые обеспечивали бы высоконадежную защиту обрабатываемой информации от несанкционированного доступа в злоумышленных целях.

Основными механизмами защиты стали рассмотренное выше опознавание пользователей и разграничение доступа. В качестве обеспечивающих предусматривались механизмы контроля защиты и регистрации фактов несанкционированных действий.

Для того времени СВР была наиболее мошной системой защиты. Для ее проверки была создана специальная комиссия, которая испытывала ее в течение нескольких дней путем попыток несанкционированного проникновения к защищенной информации. Результаты проверки для СВР были неутешительны: значительное число попыток несанкционированного проникновения оказалось успешным, причем ряд этих проникновений не был обнаружен механизмами контроля и зафиксирован механизмами регистрации. В итоге заказывающее ведомство отказалось от практического применения СВР в своей работе.

Второй этап назван этапом развитой защиты, причем эта развитость определяется тремя характеристиками:

Постепенное осознание необходимости комплексирования целей защиты. Первым итогом на этом пути стало совместное решение задач обеспечения целостности информации и предупреждения несанкционированного ее получения.

Расширение арсенала используемых средств защиты, причем как по их количеству, так и по разнообразию. Повсеместное распространение получило комплексное применение технических, программных и организационных средств. Широко стала практиковаться защита информации путем криптографического ее преобразования. В целях регулирования правил защиты в ведущих странах установленным порядком стали приниматься специальные законодательные акты.

Все применяемые средства зашиты в КИС все более целенаправленно стали объединяться в функциональные самостоятельные системы (подсистемы) защиты.

Для иллюстрации размаха работ на втором этапе скажем, что только для решения задачи опознавания пользователей разрабатывались методы и средства, основанные на следующих признаках:

Традиционные пароли, но по усложненным процедурам.

Голос человека, поскольку он - индивидуальная характеристика.

Отпечатки пальцев, индивидуальность которых общеизвестна.

Геометрия руки, причем доказано, что по длине четырех пальцев руки человека можно опознать его с высокой степенью надежности.

Рисунок сетчатки глаза, который тоже является индивидуальной характеристикой человека.

Личная подпись человека, причем идентифицируемыми характеристиками служит графика написания букв, динамика подписи и давление пишущего инструмента.

Фотография человека.

В последнее время для рассматриваемых целей широко используются персональные карточки, содержащие идентифицирующую информацию, необходимую и достаточную для надежного опознавания человека.

Таким образом, второй этап может быть охарактеризован весьма интенсивными поисками, разработкой и реализацией способов, методов и средств защиты.

Третий этап назван этапом комплексной защиты, он приходит на смену второму, поэтому это этап будущего. Характерная его особенность заключается в попытках аналитико-синтетической обработки данных всего имеющегося опыта теоретических исследований и практического решения задач защиты и формирования на этой основе научно-методологического базиса защиты информации. Иными словами, основная задача третьего этапа - перевод всего дела защиты информации на строгую научную основу.

К настоящему времени в плане решения названной задачи уже разработаны основы целостной теории защиты информации, формирование этих основ может быть принято за начало третьего этапа в развитии методологии защиты.

Основные выводы, вытекающие из основ теории защиты, сводятся к следующему:

Защита информации в современных КИС должна быть комплексной как по целям защиты, так и по используемым способам, методам и средствам.

В целях создания условий для широкомасштабной оптимизации защиты должен быть разработан и обоснован набор стратегических подходов, полный в смысле учета всех потенциально возможных требований и условий защиты.

В целях создания объективных предпосылок для рациональной реализации любого стратегического подхода на регулярной основе должен быть разработан развитой и унифицированный методико-инструментальный базис, обеспечивающий высокоэффективное решение любого набора задач защиты.

Все перечисленные выше цели могут быть достигнуты лишь при том условии, что проблемы защиты информации будут решаться в органической взаимосвязи с проблемами информатизации основных сфер жизнедеятельности общества.

2.3 Методы исследования проблем защиты информации

Методологический базис составляют совокупности методов и моделей, необходимых и достаточных для исследований проблемы защиты и решения практических задач соответствующего назначения.

На формирование названных методов большое влияние оказывает тот факт, что процессы защиты информации подвержены сильному влиянию случайных факторов и особенно тех из них, которые связаны с злоумышленными действиями людей - нарушителей защищенности. Те же методы, стройная структура которых сформирована в классической теории систем, разрабатывались применительно к потребностям создания, организации и обеспечения функционирования технических, т.е. в основе своей формальных систем. Адекватность этих методов для удовлетворения указанных потребностей доказана практикой многих десятилетий. Но попытки применения методов классической теории систем к системам того типа, к которому относятся и системы защиты информации, с такой же убедительностью доказали их недостаточность для решения аналогичных задач в данных системах. В силу сказанного в качестве актуальной возникла задача расширения комплекса методов классической теории систем за счет включения в него таких методов, которые позволяют адекватно моделировать процессы, существенно зависящие от воздействия трудно предсказуемых факторов. К настоящему времени названная задача в какой-то мере решена, причем наиболее подходящими для указанных целей оказались методы нечетких множеств, лингвистических переменных (нестрогой математики), неформального оценивания, неформального поиска оптимальных решений.

Ниже в самом общем виде излагается существо названных методов. При этом имеется в виду, что для более детального их изучения читатели будут обращаться к специальным публикациям.

2.3.1 Основные положения теории нечетких множеств

Под множеством понимается любое объединение некоторых различных между собой объектов (элементов - угроз, уязвимостей, ресурсов), которые при решении соответствующей задачи должны (или могут) рассматриваться как единое целое. В теории множеств разработаны средства описания элементов множества, отношений между элементами и различных операций над элементами. Теория множеств уже стала классической, по ней имеются учебники и пособия различного уровня, поэтому излагать здесь ее основы нет необходимости.

Средства классической теории множеств могут найти эффективное применение при моделировании систем защиты информации. Однако в этой теории рассматриваются лишь детерминированные множества, по крайней мере, в плане принадлежности множеству заявленных его элементов. Иными словами, предполагается, что каждый элемент, указанный в перечне или в условиях формирования элементов, несомненно, принадлежит множеству, в то время как в системах защиты информации большую роль играют случайные факторы. Например, случайным является принадлежность многих каналов несанкционированного получения информации (КНПИ) к множеству КНПИ, потенциально возможных в том или ином компоненте КИС, принадлежность многих средств защиты к множеству средств, с помощью которых может быть эффективно перекрыт тот или иной КНПИ и т.п. Указанные элементы принадлежат соответствующим множествам лишь с некоторой вероятностью. Для описания таких систем в последние годы интенсивно развивается так называемая теория нечетких множеств. Имеются попытки использования методов данной теории для построения моделей систем защиты информации.

2.3.2 Основные положения нестрогой математики

Нестрогой математикой, или математикой здравого смысла (называемой еще теорией лингвистических переменных) будем называть совокупность приемов построения и использования моделей больших систем, основывающихся на неформальных суждениях и умозаключениях человека, формируемых им исходя из жизненного опыта и здравого смысла. Интерес к такой математике проявляется в последние годы в связи с все возрастающей актуальностью задач анализа и синтеза организационных систем, а также управления процессами их функционирования. Как известно, многие системы организационного типа характеризуются высоким уровнем неопределенности, в силу чего не удается построить адекватные им модели с помощью средств традиционных методов моделирования. Необходим аппарат с таким диапазоном представления и оперирования, который был бы адекватен уровню неопределенности моделируемых систем. Характерными примерами таких систем являются системы, основные цели функционирования которых определяются потребностями людей. Нестрогая математика и представляется как основа методологии моделирования таких систем. К сожалению, в имеющихся публикациях отсутствует системное изложение данной методологии.

Поскольку основной объект нашего изучения - системы защиты информации - относится к системам с весьма высоким уровнем неопределенности (нарушение статуса защищенности информации, как правило, обусловливается целями и действиями людей), то представляется целесообразным включить методологию нестрогой математики в арсенал средств, предназначаемых для использования при решении проблем защиты. Этим и обусловлено выделение данного вопроса в самостоятельный раздел методологических основ защиты информации.

Исходным базисом нестрогой математики служит совокупность трех посылок:

в качестве меры характеристик изучаемых систем вместо числовых переменных или в дополнение к ним используются лингвистические переменные. Если, например, нас интересует такая характеристика, как вероятность доступа нарушителя к защищаемой информации, то в лингвистическом измерении значениями этой характеристики могут быть: «крайне незначительная», «существенная», «достаточно высокая», «весьма высокая» и т.п.;

простые отношения между переменными в лингвистическом измерении описываются с помощью нечетких высказываний, которые имеют следующую структуру: «из А следует В», где А и В - переменные в лингвистическом измерении. Примером такого отношения может быть: «Если в системе охранной сигнализации вероятность отказов датчиков значительная, то для предупреждения проникновения на контролируемую территорию посторонних лиц интенсивность организационного контроля над этой территорией должна быть повышенной». Переменными здесь являются «вероятность отказов датчиков» и «интенсивность организационного контроля», а лингвистическими значениями - «значительная» и «повышенная» соответственно;

сложные отношения между переменными в лингвистическом измерении описываются нечеткими алгоритмами. В качестве примера рассмотрим нечеткий алгоритм сложного отношения между переменными: «надежность компонентов системы защиты информации» и «интенсивность контроля храни лища носителей защищаемой информации».

Совершенно очевидно, что интенсивность контроля хранилищ носителей должна быть тем больше, чем выше степень угрозы хищения носителей, находящихся в хранилище. Степень угрозы хищения в свою очередь зависит от надежности: защиты территории, на которой расположены хранилища (НТ); защиты помещений, в которых находятся хранилища (НП); замков на дверях хранилищ (НЗ); библиотекарей хранилищ (НБ). Если для интенсивности контроля хранилищ носителей и для каждого из названных четырех параметров, влияющих на эту интенсивность, принять три возможных значения (малая (М), средняя (С), большая (Б)), то нечеткий алгоритм решения рассматриваемой задачи может быть представлен так, как показано на рис. 2.1.

Нетрудно видеть, что аппарат нестрогой математики может быть рекомендован для использования в таких ситуациях, в которых строгое описание систем и процессов их функционирования или невозможно или нецелесообразно в силу самого характера решаемой задачи. Так, в настоящее время нет необходимых данных для строгого определения значений параметров, определяющих степень уязвимости информации в КИС, эффективность систем защиты информации и т.п.

Вполне реальными являются также такие условия, когда строго количественные алгоритмы оценки ситуации и принятия решений являются нецелесообразными и даже вредными. Например, вряд ли целесообразно (по крайней мере, в настоящее время) пытаться строить строгий алгоритм для обеспечения выработки общей стратегии защиты информации. Построение такого алгоритма сопряжено с трудностями, преодоление которых неизбежно требует таких допущений, что адекватность этих алгоритмов становится весьма сомнительной. В то же время на основе чисто интуитивных рассуждений квалифицированных и опытных специалистов можно построить нечеткие (в указанном выше смысле) алгоритмы, которые, с одной стороны, будут достаточно простыми и адекватными реальным процессам, а с другой - создавать хорошие предпосылки для эффективного решения важных задач.

Нецелесообразность построения строгих алгоритмов может иметь место, например, в следующих ситуациях: реализация строгого алгоритма является трудоемкой, а время на его реализацию крайне ограничено; множество возможных ситуаций слишком велико, а возможности для их рассмотрения ограничены; поступающая информация такого качества, что результаты реализации строгого алгоритма являются сомнительными и т.п. В таких ситуациях, очевидно, целесообразным будет построение некоторых обобщенных алгоритмов, которые создадут предпосылки для наиболее рационального принятия решений в потенциально возможных ситуациях.

Именно такие подходы будут здесь использованы при обосновании рациональной технологии управления защитой информации, организации работ по защите информации и др.

Необходимо, однако, обратить внимание на следующее обстоятельство. При изложении вопросов практического использования методов нестрогой математики каждый раз акцентировалось внимание на том, что эти методы лишь создают предпосылки, необходимые для эффективного решения сооветствующей задачи, но не гарантируют эффективного решения. Такая гарантия может быть обеспечена лишь рациональными действиями людей, использующих нечеткие алгоритмы. Отсюда следует, что организация функционирования систем с высоким уровнем неопределенности должна включать в себя (и притом в качестве важнейшего атрибута) подготовку людей (персонала) к решению соответствующих задач с использованием методов нестрогой математики.

Вход

ИНТЕНСИВНОСТЬ КОНТРОЛЯ ХРАНИЛИЩ НОСИТЕЛЕЙ

Рис. 2.1. Структура нечеткого алгоритма определения интенсивности контроля хранилищ носителей

И, наконец, о соотношении методологии нестрогой математики и методологии теории нечетких множеств. При внимательном рассмотрении обеих названных методологий нетрудно усмотреть достаточно глубокую их аналогию. Объективным основанием для этого является то обстоятельство, что в основе обеих методологий лежит представление о неопределенности, размытости границ принадлежности элементов (представлений, суждений) определенному множеству. Однако существуют и принципиальные различия рассматриваемых методологий. В теории нечетких множеств, во-первых, предусматривается количественная оценка меры принадлежности рассматриваемых элементов тому или иному множеству, а во-вторых, предполагается разработка строгого алгоритма решения соответствующей задачи. В нестрогой математике нечеткость рассуждений последовательно проводится вплоть до алгоритма решения соответствующей задачи.

2.3.3 Неформальные методы оценивания

В процессе моделирования больших систем неизбежно приходится оценивать значения различных параметров этих систем. Значения некоторых параметров удается непосредственно измерить (например, геометрические характеристики доступных предметов, отрезки времени и т.п.) или вычислить по известным аналитическим зависимостям (например, вероятность сложного события по вероятностям составляющих его событий, площади геометрических фигур по известным их размерам и т.п.). Если имеются данные о функционировании моделируемой системы или ее аналога за достаточно продолжительное время, то значения некоторых параметров можно определить путем статистической обработки их значений, зафиксированных в процессе наблюдения. Общеизвестные методы математической статистики позволяют не только определить текущее значение параметра, но и оценить достоверность такого определения в зависимости от продолжительности (числа) наблюдений и их совпадения (разброса), установить необходимое число наблюдений для определения значения параметра с заданной точностью.

Иногда значения интересующих параметров удается определить по аналогии со значениями других, схожих с определяемыми, значения которых известны.

Однако нередки случаи, когда значения параметров моделируемых систем не удается получить названными выше методами. Такая ситуация бывает особенно характерной для систем с высоким уровнем неопределенности и не имеющих достаточной предыстории функционирования. Именно такими являются рассматриваемые здесь системы защиты информации. Например, в настоящее время нет данных, необходимых для определения таких параметров, как вероятности проявления дестабилизирующих факторов в различных КИС и различных условиях их функционирования, вероятности успешного использования злоумышленником проявившихся дестабилизирующих факторов, показатели эффективности функционирования различных средств защиты и многих других. В таких случаях неизбежно приходится пользоваться неформальными методами оценивания, основанными на оценках людей -специалистов в соответствующей сфере.

Из неформальных методов оценивания наиболее известными являются методы экспертных оценок. Экспертными оценками называются такие методы поиска решений сложных, не поддающихся формализации задач, которые основаны на суждениях (оценках, высказываниях) специально выбираемых (назначаемых) экспертов. Эти методы достаточно просты по своей сущности, они нашли широкое отражение в специальной литературе. Последовательность и содержание решения задач методами экспертных оценок в самом общем виде могут быть представлены следующим образом: разработка постановки задачи; обоснование перечня и содержания тех параметров задачи, для определения значений которых целесообразно использовать экспертные оценки; обоснование форм и способов экспертных оценок; разработка реквизитов (бланков, инструкций и т.п.), необходимых для проведения экспертных оценок; подбор и подготовка (обучение, инструктаж) экспертов, привлекаемых для решения задачи; организация и обеспечение работы экспертов; контроль и первичная обработка экспертных оценок; базовая обработка экспертных оценок.

По способам привлечения экспертов к решению задач различают: простые суждения, интервьюирование и анкетирование. При использовании метода простых суждений эксперт устно или письменно высказывается по поставленному вопросу, при интервьюировании каждый эксперт устно или письменно отвечает (в диалоговом режиме) на серию вопросов, которые ставит организатор экспертизы, при анкетировании каждый эксперт отвечает письменно на вопросы, содержащиеся в заблаговременно составляемых одной или нескольких анкетах.

Принципиально важным для методов экспертных оценок является получение такой выборки оценок экспертов, на которой статистически устойчиво проявилось бы их общее мнение по решаемой проблеме. Отсюда одно из основных требований и одна из основных трудностей состоят в подборе такого количества компетентных экспертов, которого достаточно для получения статистически устойчивых решений. Однако при этом возникает серьезный вопрос о соизмерении компетентности различных экспертов по решаемой проблеме. Для решения этого вопроса в подавляющем большинстве существующих методик экспертных оценок вводится так называемый коэффициент компетентности, представляющий собою число в интервале от 0 до 1, причем оценке каждого эксперта присваивается вес, равный этому коэффициенту. Значение коэффициента компетентности определяется либо самим экспертом (самооценка) либо коллегами по экспертизе (взаимная оценка). В некоторых случаях используются одновременно обе оценки.

Технология использования методов экспертных оценок представляет собой последовательность следующих операций:

Формирование достаточно представительной группы компетентных экспертов.

Выбор способа организации работы с экспертами.

Выбор метода формирования экспертами суждений (оценок) по решаемым вопросам и проведение экспертизы.

Выбор метода обработки оценок группы экспертов.

Ниже кратко излагаются возможные подходы к решению перечисленных задач.

1. Формирование группы экспертов. В решении данной задачи существенно значимыми представляются два вопроса: персональный подбор экспертов и формирование представительной их группы.

При персональном подборе экспертов рекомендуется руководствоваться следующей совокупностью критериев:

* компетентность - наличие знаний и опыта по решаемой проблеме;

креативность - способность решать творческие задачи;

антиконформизм -- неподверженность влиянию авторитетов;

конструктивность мышления - способность давать практически значимые решения;

коллективизм - способность работать в коллективе в соответствии с общепризнанными этическими нормами поведения;

самокритичность -- способность критично относиться к собственной компетенции и своим суждениям;

наличие времени для работы в экспертных группах;

заинтересованность -- наличие желания в решении рассматриваемой проблемы.

Численность группы должна быть достаточно представительной для того, чтобы на основе совокупной обработки их суждений можно было определить статистически устойчивую оценку. Считается, что группа должна иметь численность не менее 20 человек.

Выбор способа работы с экспертами. Наиболее эффективными способами работами с экспертами считаются интервьюирование и анкетирование. Первый способ заключается в том, что руководитель экспертизы последовательно берет интервью (в общепринятой интерпретации этого понятия) у экспертов, второй - в том, что каждый эксперт самостоятельно заполняет заблаговременно разработанную анкету. К достоинствам первого способа относится возможность уточнять по ходу интервью оценки эксперта, используя для этого подходы метода психоинтеллектуальной генерации), второго - возможность экспертам не только глубоко сосредоточиться на решаемой проблеме, но и дополнительного изучения проблемы. Названные способы могут комбинироваться: например, проводится предварительное интервьюирование экспертов, затем эксперты заполняют анкеты, после чего осуществляет ся заключительное интервьюирование в целях изучения мотивов экспертов относительно их оценок и возможного уточнения этих оценок.

Выбор метода формирования экспертами оценок. Данная задача относится к наиболее важным в общей процедуре экспертных оценок. Она заключается в решении двух подзадач: выбора формы выражения оценки и выбора способа ее формирования.

Форма выражения оценки может быть неявной и явной. Неявное выражение состоит в том, что эксперт ранжирует оцениваемые элементы (объекты, явления) по степени их важности (линейное ранжирование) или делит на группы с возможным ранжированием в группах (групповое ранжирование). При явном выражении эксперты дают элементам лингвистические или количественные оценки. При этом количественная оценка может выражаться коэффициентом (весом) на непрерывной шкале (чаще всего от 0 до 1) или баллом из предложенного множества (пять, десять и т.п.).

По способу формирования оценки могут быть непосредственными (эксперт определяет значение каждого оцениваемого элемента на заданной шкале) и сравнительными, формируемыми на основе сравнения пар оцениваемых элементов и означающими ту степень предпочтения (значимости), которая, по мнению эксперта, имеет место в условиях решаемой задачи.

4.Выбор метода обработки результатов экспертизы. В табл. 2.1 приведены примеры возможных конечных результатов для всех их разновидностей, образуемых рассмотренной выше классификационной структурой.

а) Оценки экспертов осуществляются в форме ранжирования. Пустьr_ij(i = 1,2,...,n;j = 1,2,...,m)

есть ранг, присвоенный i-му элементу j-м экспертом. Обработка результатов заключается в построении обобщенной ранжировки. Для этого вводится конечномерное дискретное пространство ранжировок и метрика этого пространства. Ранжировка каждого эксперта представляется точкой в данном пространстве, а обобщенная - такой точкой в нем, которая наилучшим образом согласуется с точками, являющимися ранжировками экспертов. Однако определение обобщенной ранжировки представляется чрезвычайно сложной процедурой, что существенно ограничивает возможности практической реализации. Поэтому излагать здесь эту процедуру не будем, заинтересованным рекомендуем обратиться к специальным публикациям.