- идентифицировать терминалы, ЭВМ, узлы компьютерной сети, каналы связи, внешние устройства ЭВМ по их логическим адресам (номерам);

- по именам идентифицировать программы, тома, каталоги, файлы, записи и поля записей;

- осуществлять контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

Подсистема регистрации и учета должна:

- регистрировать вход (выход) субъектов доступа в систему (из системы), либо регистрировать загрузку и инициализацию операционной системы и ее программного останова. При этом в параметрах регистрации указываются:

1) дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

2) результат попытки входа -- успешная или неуспешная (при НСД);

3) идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

4) код или пароль, предъявленный при неуспешной попытке;

- регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС;

- регистрировать выдачу печатных (графических) документов на «твердую» копию. При этом в параметрах регистрации указываются:

1) дата и время выдачи (обращения к подсистеме вывода);

2) краткое содержание документа (наименование, вид, код, шифр) и уровень его конфиденциальности;

3) спецификация устройства выдачи (логическое имя (номер) внешнего устройства);

4) идентификатор субъекта доступа, запросившего документ;

- регистрировать запуск (завершение) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. При этом в параметрах регистрации указывается:

1) дата и время запуска;

2) имя (идентификатор) программы (процесса, задания);

3) идентификатор субъекта доступа, запросившего программу (процесс, задание);

4) результат запуска (успешный, неуспешный -- несанкционированный);

- регистрировать попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается:

1) дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная -- несанкционированная);

2) идентификатор субъекта доступа;

3) спецификация защищаемого файла.

- регистрировать попытки доступа программных средств к дополнительным защищаемым объектам доступа (терминалам ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей). При этом в параметрах регистрации указывается:

1) дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная, несанкционированная;

2) идентификатор субъекта доступа;

3) спецификация защищаемого объекта [логическое имя (номер)];

- проводить учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

- регистрировать выдачу (приемку) защищаемых носителей;

- осуществлять очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. При этом очистка должна производиться однократной, произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов);

Подсистема обеспечения целостности должна:

- обеспечивать целостность программных средств системы защиты информации от НСД (СЗИ НСД), обрабатываемой информации, а также неизменность программной среды. При этом:

- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;

- целостность программной среды обеспечивается использованием трансляторов с языка высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

- осуществлять физическую охрану СВТ (устройств и носителей информации). При этом должны предусматриваться контроль доступа в помещение АС посторонних лиц, а также наличие надежных препятствий для несанкционированного проникновения в помещение АС и хранилище носителей информации. Особенно в нерабочее время;

- проводить периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;

- иметь в наличии средства восстановления СЗИ НСД. При этом предусматривается ведение двух копий программных средств СЗИ НСД, а также их периодическое обновление и контроль работоспособности;

2.2.2 Требования к защите секретной информации

В общем случае требования к защите секретной информации схожи с требованиями к защите конфиденциальной информации, однако существуют принципиальные отличия. Так как секретная информация имеет высший ранг, то требования предъявляемые к ней на порядок выше. Поэтому, из-за сходства в требованиях этих двух категорий информации, отметим, только те пункты, которые относятся непосредственно к защите секретной информации.

Подсистема управления доступом должна:

- управлять потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации;

Подсистема регистрации и учета должна:

- регистрировать выдачу печатных (графических) документов на «твердую» копию. Данное действие должно указывать фактический объем выданного документа (количество страниц, листов, копий) и результат выдачи (успешный -- весь объем, неуспешный);

- регистрировать попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается:

1) имя программы (процесса, задания, задачи), осуществляющих доступ к файлам;

2) вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т.п.);

- регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указывается:

1) имя программы (процесса, задания, задачи), осуществляющих доступ к файлам;

2) вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.);

- регистрировать изменения полномочий субъектов доступа, а также статуса объектов доступа. В параметрах регистрации указывается:

1) дата и время изменения полномочий;

2) идентификатор субъекта доступа (администратора), осуществившего изменения;

- осуществлять автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;

- проводить учет защищаемых носителей с регистрацией их выдачи (приема) в специальном журнале (картотеке);

- проводить несколько видов учета (дублирующих) защищаемых носителей информации;

- сигнализировать о попытках нарушения защиты;

Подсистема обеспечения целостности должна:

- осуществлять физическую охрану СВТ (устройств и носителей информации). При этом должно предусматриваться постоянное наличие охраны на территории здания и помещений, где находится АС. Охрана должна производиться с помощью технических средств охраны и специального персонала, а также с использованием строгого пропускного режима и специального оборудования в помещении АС;

- предусматривать наличие администратора или целой службы защиты информации, ответственных за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;

- проводить периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью специальных программных средств не реже одного раза в год;

- использовать только сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД;

Сравним две рассмотренные выше группы требований и их особенности для защиты информации различных категорий (конфиденциальной и секретной). Ясно, что ключевыми механизмами защиты, образующими основную группу механизмов защиты от НСД («Подсистема управления доступом») являются:

- идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия;

- контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Дополнительным требованием и принципиальным отличием при защите секретной информации является то, что механизмом защиты должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации.

Все три перечисленных механизма являются основополагающими. Связаны они следующим образом: все права доступа к ресурсам (разграничительная политика доступа к ресурсам) задаются для конкретного субъекта доступа (пользователя). Поэтому субъект доступа (пользователь) должен быть идентифицирован при входе в систему, соответственно, должна быть проконтролирована его подлинность. Обычно это делается путем использования секретного слова -- пароля.

2.3 Основные принципы защитных мероприятий от НСД в АС

Проведя оценку необходимости защиты информации от НСД, становится вопрос о дальнейшем направлении проектирования системы защиты информации. Ведь именно по полученным результатам можно судить о сложности проектируемой системы. Имея такие результаты, необходимо оценить вероятность проявляемых угроз на информационную систему, а также сформировать модель нарушителя, после чего следует приступить к формированию защитных мероприятий. Опираясь на требования по защите информации от НСД, которые были рассмотрены ранее, можно привести основные принципы защитных мероприятий от НСД в АС.

Уточним, что одним из основных компонентов АС является автоматизированное рабочее место (АРМ) - программно технический комплекс АС (или средства вычислительной техники (СВТ)), предназначенный для автоматизации деятельности определенного вида. В простейшем случае АРМ представляется как ПЭВМ и работающий на ней пользователь.

Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки промышленного шпионажа [18].

Тут же приводятся основные принципы защиты информации от НСД, которые включают в себя:

- обеспечение защиты СВТ комплексом программно-технических средств;

- обеспечение защиты АС комплексом программно-технических средств и поддерживающих их организационных мер.

Однако такие защитные мероприятия необходимо начинать непосредственно с организационных мероприятий. Последние, в рамках системы защиты информации от НСД (СЗИ НСД) в АС, которые обрабатывают или хранят информацию, являющуюся собственностью государства и отнесенную к категории секретной, должны отвечать государственным требованиям по обеспечению режима секретности проводимых работ [18].

В свою очередь, в [19] предлагается закрытие каналов несанкционированного получения информации начинать с контроля доступа пользователей к ресурсам АС. Эта проблема решается путем ряда следующих принципов:

- ПРИНЦИП ОБОСНОВАННОСТИ ДОСТУПА. Данный принцип заключается в обязательном выполнении двух основных условий: пользователь должен иметь достаточную "форму допуска" для получения информации требуемого им уровня конфиденциальности, и эта информация необходима ему для выполнения его производственных функций. Заметим здесь, что в сфере автоматизированной обработки информации в качестве пользователей могут выступать активные программы и процессы, а также носители информации различной степени сложности. Тогда система доступа предполагает определение для всех пользователей соответствующей программно-аппаратной среды или информационных и программных ресурсов, которые будут им доступны для конкретных операций.

- ПРИНЦИП ДОСТАТОЧНОЙ ГЛУБИНЫ КОНТРОЛЯ ДОСТУПА. Средства защиты информации должны включать механизмы контроля доступа ко всем видам информационных и программных ресурсов АС, которые в соответствии с принципом обоснованности доступа следует разделять между пользователями.

- ПРИНЦИП РАЗГРАНИЧЕНИЯ ПОТОКОВ ИНФОРМАЦИИ. Для предупреждения нарушения безопасности информации, которое, например, может иметь место при записи секретной информации на несекретные носители и в несекретные файлы, ее передаче программам и процессам, не предназначенным для обработки секретной информации, а также при передаче секретной информации по незащищенным каналам и линиям связи, необходимо осуществлять соответствующее разграничение потоков информации.

- ПРИНЦИП ЧИСТОТЫ ПОВТОРНО ИСПОЛЬЗУЕМЫХ РЕСУРСОВ. Данный принцип заключается в очистке ресурсов, содержащих конфиденциальную информацию, при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.

- ПРИНЦИП ПЕРСОНАЛЬНОЙ ОТВЕТСТВЕННОСТИ. Каждый пользователь должен нести персональную ответственность за свою деятельность в системе, включая любые операции с конфиденциальной информацией и возможные нарушения ее защиты, а также за случайные или умышленные действия, которые могут привести к несанкционированному ознакомлению с конфиденциальной информацией, ее искажению или уничтожению, либо исключению возможности доступа к такой информации законных пользователей.

- ПРИНЦИП ЦЕЛОСТНОСТИ СРЕДСТВ ЗАЩИТЫ. Данный принцип подразумевает, что средства защиты информации в АС должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей, а для своего сопровождения должны включать специальный защищенный интерфейс для средств контроля, сигнализации о попытках нарушения защиты информации и воздействия на процессы в системе

Реализация перечисленных принципов осуществляется с помощью так называемого "монитора обращений", контролирующего любые запросы к данным или программам со стороны пользователей (или их программ) по установленным для них видам доступа к этим данным и программам. Схематично такой монитор можно представить в виде, показанном на рис. 2.2.

Практическое создание монитора обращений, как видно из приведенного рисунка, предполагает разработку конкретных правил разграничения доступа в виде так называемой модели защиты информации.

Спроектировав модель защиты информации, необходимо проверить ее в действии. Однако реализация такой модели будет стоит заказчику больших затрат, если вдруг при ее реализации одна или несколько защитных функций системы не окажется эффективной. Поэтому целесообразно будет провести математический анализ эффективности защитных мероприятий.

3

2.4 Математический анализ эффективности защитных мероприятий

Любая система безопасности представляет собой организационно оформленные кадровые и материально-технические ресурсы и действует всегда во времени и пространстве угроз. Пространство угроз образуют объекты защиты - люди, работающие в коммерческой структуре, имущество и денежные средства предприятия, сведения, составляющие коммерческую или служебную тайну. Главная функция системы безопасности - противодействие угрозам с помощью людей и техники. Каждая угроза влечет за собой ущерб, а противодействие призвано снизить его величину, в идеале - полностью. Удается это далеко не всегда. Способность системы безопасности выполнять свою главную функцию всегда должна оцениваться количественно. К примеру, можно измерить относительный ущерб, предотвращенный ею (рис.2.3).

Рисунок 2.3 - Типичная зависимость эффективности Q₀ и рентабельности r₀ защиты от общих ресурсов

Величина Q₀ - мера общей эффективности защиты. Чем больше Q₀, тем меньший ущерб создадут угрозы. Таким образом, мерой риска является величина(1--Q₀). Стремление обеспечить высокоэффективную защиту, когда Q₀ близко к 1 (или 100%), вполне естественно, но это потребует значительных расходов на ресурсы. То есть чем выше совокупные ассигнования (В₀) на ресурсы, тем на большую эффективность защиты можно рассчитывать. Возникшая при этом зависимость видна на рис.2.3. Однако чрезмерные расходы на собственную безопасность не всегда оправданны экономически. Можно столкнуться с ситуацией, когда стоимость защиты (В₀) превысит уровень (R₀) максимального ущерба от реализации угроз. В этом случае возникает опасность угрозы «саморазорения» от защиты. Ее уровень также можно оценить, к примеру, величиной r разности относительного «защищенного» ущерба Q₀ и относительных затрат B₀/P₀ на ресурсы. Назовем эту величину рентабельностью защиты. Если она положительная (т.е. B₀<=P₀Q₀), то защита рентабельна. В отличие от эффективности, чем больше затраты (В₀), тем меньше рентабельность. Эта противоположность создает неоднозначную ситуацию в выборе стратегии защиты.

Рассмотрим типовую зависимость эффективности защиты (Q₀) и ее рентабельности (r₀) от максимального ущерба R₀ (рис.2.4). По сути, это является мерой масштабности бизнеса. Нетрудно увидеть, что сделать защиту одновременно и высокоэффективной, и высокорентабельной под силу лишь крупным коммерческим структурам (область G), для которых характерны большие величины максимального ущерба. Достаточно, например, чтобы B₀=R₀(l-Q₀).Тогда при rl,Q₀l. В худшем положении оказываются интересы среднего (область М) и малого (область S) бизнеса, поскольку из-за ограниченности ресурсов выбор стратегии защиты более сложен. Здесь рекомендации просты. Надо обеспечить максимально возможную эффективность при положительном показателе рентабельности защиты. То есть в первую очередь следует противодействовать наиболее вероятным и опасным угрозам. В любом случае нельзя забывать об экономии ресурсов. Совершенно ясно, что выбор стратегии защиты облегчается, если при меньших затратах удастся обеспечить равную или даже большую эффективность защиты.

Очевидны и источники экономии затрат: использование более экономичных средств и решений универсального характера; рациональное распределение ресурсов и более совершенные формы управления ими; привлечение кооперативных форм обеспечения безопасности и др. Весь этот перечень присущ крупным коммерческим структурам, однако для среднего и малого бизнеса он, к сожалению, существенно сужается. Идеология их системы безопасности должна строиться на рентабельной защите лишь от отдельных видов угроз. В противном случае защита может себя не оправдать. Поэтому надо иметь в виду, что экономии ресурсов в этих условиях будут способствовать кооперативные формы защиты в рамках единой местной или региональной системы безопасности.

Выгоду кооперативных форм противодействия угрозам иллюстрирует рис.2.5.

Рисунок 2.4 - Зависимость эффективности и рентабельности защиты от максимального ущерба R0

На нем представлены характерные зависимости величины риска (R=R₀(1-Q₀) и общих затрат (В₀) на ресурсы от эффективности автономной (I) и кооперативной (II) защиты. Точка пересечения (А₀) зависимостей R(Q) и B(Q) для автономной защиты соответствует примерно области минимальных общих потерь

R₀(1-Q₀)+B₀. Экономия ресурсов выразится в том, что исходная зависимость (I) окажется «выше» новой зависимости (II), которая отображает кооперацию в использовании ресурсов. Соответственно новая точка пересечения кривых (А1) окажется правее прежней (А₀). Практически это означает, что при сохранении рентабельности защиты увеличивается ее эффективность. Причем выигрыш тем существенней, чем больше экономия. На практике в основном кооперируются по двум формам - материально-техническим и кадровым ресурсам, которые и являются составными частями общего. Что касается первой формы, то она характерна для ситуаций, когда пространство угроз не расширяется. Иными словами, объединяются лишь материально-технические средства одного и того же предприятия, но предназначенные для различных целей.

Рисунок 2.5 - Характерные зависимости риска R и расходов на ресурсы В₀ как функций от эффективности защиты Q₀

В качестве примера можно назвать комплексную систему имущественной и информационной защиты. К общим средствам можно отнести контрольно-пропускную систему, средства ограничения доступа, телевизионные и другие системы выявления и верификации угроз, средства пожаротушения и др. Эта форма эффективна лишь для крупного бизнеса. Вторую форму, то есть кооперацию по кадровым ресурсам, используют в основном при решении проблемы безопасности на региональном уровне, когда пространство угроз намеренно расширяется (рассматриваются несколько коммерческих предприятий в одном регионе). В этом случае объединение происходит лишь на уровне сил так называемого быстрого реагирования. Именно такие силы противодействуют несанкционированным и силовым проникновениям, терроризму, пожару и т.п. Проблему, как правило, решают и с привлечением сил быстрого реагирования пожарного надзора, органов МВД и др.

Рисунок 2.6 - Зависимость эффективности защиты Q₀ от относительного времени Т_р/Т_у реакции системы с одновременным (I), опережающим (II) и запаздывающим (III) противодействием

Любая угроза и противодействие ей происходят, естественно, во времени и характеризуются определенными его масштабами. Исходя из этого ущерб от реализации угроз будет определяться тем, насколько полно данные события пересекаются во времени. Самый нежелательный вариант - запаздывающее противодействие, когда реакция системы защиты начинается к моменту завершения угрозы или после нее. Он характерен для систем информационной защиты. Несколько лучший вариант - одновременное противодействие, то есть оно начинается с появлением угрозы. И, наконец, наилучший - противодействие, носящее опережающий характер: реакция системы защиты начинается до начала реализации угрозы. Основанием для реакции могут быть оперативные данные, сигналы тревоги раннего оповещения и т.п.

На рис.2.6 представлена характерная зависимость эффективности защиты от относительного времени реакции системы (Т_р/Т_у) для всех трех вариантов противодействия.

Основные выводы и рекомендации очевидны. Одновременное противодействие будет достаточным для высокоэффективной защиты от угрозы, если реакция на нее будет быстрой. Эта задача вполне реальна для объектов большого бизнеса. Кооперативные же формы противодействия в условиях медленной реакции на угрозы не принесут эффекта, если отсутствуют средства задержки и блокирования угроз. Говоря о тактических вопросах системы безопасности бизнеса в части технических каналов связи, прежде всего имеют в виду скорость ее реакции, надежность решений, блокирование развития угроз и их ликвидацию. Особенно важно обеспечить жесткие требования к надежности всех систем защиты, которая зависит от времени их функционирования и периодичности обновления ресурсов. Если это время превышает 5 лет, то требование надежности реализуется несколькими способами, среди которых - резервирование решений, многорубежность защиты, автоматизация первичных решений, централизованное управление ресурсами в кризисных ситуациях и т.п. Прежде чем определиться в вопросах тактики, надо помнить, что она должна соответствовать стратегии и опираться на точный количественный анализ. Для объектов среднего и малого бизнеса такой анализ вполне реален даже без средств автоматизации. Однако необходимо привлечь специалистов и экспертов, которые бы проанализировали обстановку и свойства защищаемого объекта, разработали модель угроз, изучили рынок существующих средств и методов. Эти данные и помогли бы оценить саму систему и при необходимости модернизировать ее.

Выводы по разделу 2

Проведен анализ необходимости и возможности защиты информации от НСД, на основе которого можно предъявить требования к степени защищенности АС на предварительном этапе проектирования.

Определены основные требования к защите как конфиденциальной, так и секретной информации от несанкционированного доступа и проведен их сравнительный анализ, который показал, что такие требования довольно схожи, однако для секретной информации они на порядок выше.

Установлено, что защитные мероприятия необходимо начинать непосредственно с организационных мероприятий, которые, в свою очередь, должны отвечать государственным требованиям по обеспечению режима секретности проводимых работ.

Проанализированы основные принципы защитных мероприятий от несанкционированного доступа в АС, на основании которого установлено, что реализация таких принципов осуществляется с помощью так называемого "монитора обращений".

Для повышения эффективности используемых защитных мероприятий был проведен их математический анализ. На основании такого анализа установлено, что реализация защитных мероприятий для каждого предприятия (объекта) различна, соответственно и эффективность таких мероприятий от НСД для одних объектов будет выше (объекты большого бизнеса), а для других ниже (объекты малого бизнеса).

3 РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ ЭФФЕКТИВНОСТИ ЗАЩИТНЫХ МЕРОПРИЯТИЙ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

3.1 Общие принципы оценки эффективности защитных мероприятий

Оценка эффективности является важным элементом разработки проектных и плановых решений, позволяющим определить уровень прогрессивности действующей структуры, разрабатываемых проектов или плановых мероприятий и проводится с целью выбора наиболее рационального варианта структуры или способа ее совершенствования. Эффективность защитных мероприятий (ЗМ) должна оцениваться на стадии проектирования, для получения наилучших показателей работоспособности системы в целом.

В общем случае эффективность ЗМ оценивается как на этапе разработки, так и в процессе эксплуатации системы защиты. В оценке эффективности ЗМ, в зависимости от используемых показателей и способов их получения, можно выделить три подхода [22]:

- классический;

- официальный;

- экспериментальный.

Под классическим подходом к оценке эффективности понимается использование критериев эффективности, полученных с помощью показателей эффективности. Значения показателей эффективности получаются путем моделирования или вычисляются по характеристикам реальной АС. Такой подход используется при разработке и модернизации КСЗИ. Однако возможности классических методов комплексного оценивания эффективности применительно к ЗМ ограничены в силу ряда причин. Высокая степень неопределенности исходных данных, сложность формализации процессов функционирования, отсутствие общепризнанных методик расчета показателей эффективности и выбора критериев оптимальности создают значительные трудности для применения классических методов оценки эффективности.

Большую практическую значимость имеет подход к определению эффективности ЗМ, который условно можно назвать официальным. Политика безопасности информационных технологий проводится государством и должна опираться на нормативные акты. В этих документах необходимо определить требования к защищенности информации различных категорий конфиденциальности и важности.

Под экспериментальным подходом понимается организация процесса определения эффективности существующих КСЗИ путем попыток преодоления защитных механизмов системы специалистами, выступающими в роли злоумышленников. Такие исследования проводятся следующим образом. В качестве условного злоумышленника выбирается один или несколько специалистов в области информационной борьбы наивысшей квалификации. Составляется план проведения эксперимента. В нем определяются очередность и материально-техническое обеспечение проведения экспериментов по определению слабых звеньев в системе защиты. При этом могут моделироваться действия злоумышленников, соответствующие различным моделям поведения нарушителей: от неквалифицированного злоумышленника, не имеющего официального статуса в исследуемой АС, до высококвалифицированного сотрудника службы безопасности.

Принципиальное значение для оценок эффективности защитных мероприятий имеет выбор базы для сравнения или определение уровня эффективности, который принимается за нормативный. Здесь можно указать несколько подходов, которые могут дифференцированно использоваться применительно к конкретным случаям [23]. Один из них сводится к сравнению с показателями, характеризующими эффективность организационной структуры эталонного варианта системы защиты. Эталонный вариант может быть разработан и спроектирован с использованием всех имеющихся методов и средств проектирования систем защиты, на основе передового опыта и применения прогрессивных организационных решений. Характеристики такого варианта принимаются в качестве нормативных, при этом сравнительная эффективность анализируемой или проектируемой системы определяется на основе сопоставления нормативных и фактических (проектных) параметров системы с использованием преимущественно количественных методов сравнения. Может применяться также сравнение с показателями эффективности и характеристиками системы управления, выбранной в качестве эталона, определяющего допустимый или достаточный уровень эффективности организационной структуры.

Однако возникают некоторые трудности применения указанных подходов, которые обусловлены необходимостью обеспечения сопоставимости сравниваемых вариантов. Поэтому часто вместо них используется экспертная оценка организационно-технического уровня анализируемой и проектируемой системы, а также отдельных ее подсистем и принимаемых проектных и плановых решений, или комплексная оценка системы защиты, основанная на использовании количественно-качественного подхода, позволяющего оценивать эффективность ЗМ по значительной совокупности факторов. Экспертная оценка может являться составным элементом комплексной оценки эффективности системы защиты, включающей все перечисленные подходы как к отдельным подсистемам, так и к системе в целом.

Эффективность систем оценивается с помощью показателей эффективности. Иногда используется термин - показатель качества. Показателями качества, как правило, характеризуют степень совершенства какого-либо товара, устройства, машины. В отношении сложных человеко-машинных систем предпочтительнее использование термина показатель эффективности функционирования, который характеризует степень соответствия оцениваемой системы своему назначению.

Определение показателя эффективности возможно двумя общенаучными методами [24]: экспериментом (испытанием) и математическим моделированием (в настоящее время часто называют вычислительным экспериментом).

Применительно к защите информации показатели по значимости ("снизу вверх") разделяются так: технические - информационные (датчиковые) - системные - надсистемные (ценностные). Физически, применительно к защите информации от утечки, этот ряд выглядит так: сигнал / шум - вероятность обнаружения объекта - источника информации - вероятность его вскрытия - ущерб от утечки информации. При этом все частные показатели между собой функционально связываются.

Для того чтобы оценить эффективность системы защиты информации или сравнить системы по их эффективности, необходимо задать некоторое правило предпочтения. Такое правило или соотношение, основанное на использовании показателей эффективности, называют критерием эффективности. Для получения критерия эффективности при использовании некоторого множества k-показателей используют ряд подходов. Обычно при синтезе системы возникает проблема решения задачи с многокритериальным показателем.

3.2 Подход к оценке эффективности защитных мероприятий

Так как определение эффективности систем защиты информации относится к задачам многокритериальной оценки, то такую сложную систему невозможно достаточно правильно охарактеризовать с помощью единственного показателя. Соответственно применение при оценке эффективности защиты системы множества показателей будет характеризовать эффективность наиболее полно. При использовании известных методик оценки угроз есть определённые недостатки, которые не дают полной картины оценки эффективности защиты системы. К таким недостаткам относятся те оценки, которые имеют следующие характеристики методик [21]:

а) Результаты характеристик представлены как шкалы оценок потенциальных угроз и их последствий. Такая методика имеет приближённые значения показателей, основанные на анализе имеющейся статистики нарушений или на экспертных оценках. Для определения значений показателя необходим значительный объём статистического материала, значит оценка не может быть использована для оценки эффективности и выбора мер защиты информации.

б) Ri?10(S?V-4), где показатель частоты возникновения угрозы S выбирается из интервала [0,7], 0 - соответствует случаю, когда угроза почти не возникает, 7 - угроза возникает тысячу раз в год, V - показатель ущерба, который назначается в зависимости от S и принимает значения от 1 до 1 млн. долл. Оценка очень приближённая, и для определения значений показателя необходим значительный объём статистического материала, показатель не может быть использован для оценки эффективности и выбора мер защиты информации.

в)

где W_i - субъективный коэффициент важности j-ой характеристики СЗИ (системы защиты информации); G_i - назначенное экспертным путём значение каждой из характеристик; n - количество характеристик. Выражение позволяет получить приближённую оценку эффективности системы защиты информации. Может быть использован при отсутствии необходимых исходных данных для более точной и достоверной оценки, но имеет субъективный коэффициент важности, что не даёт возможности использования метода в системах, где мера степени безопасности системы указана явно.

г) Оценка угроз: L - средний показатель появления угроз (случайная величина с распределением вероятности f(L)). Для оценки ущерба: случайная величина m со средним отклонением V . L определяется на основе анализа статистики нарушений или экспертным путём; m - определяется на основе анализа статистики нарушений или экспертным путём. Для оценки ущерба необходимо иметь статистику нарушений безопасности и измеренные значения ущерба в результате этих нарушений. Невозможно учесть влияние средств защиты информации на L и соответственно на m, а следовательно, и оценить эффективность мер защиты информации.

При использовании счётного множества показателей W ??{W_i}, i ??1,n , где n - количество показателей, оценка эффективности будет наиболее полной с учётом правильности выбора критериев оценки и количества выбранных показателей.

Из основных подходов к многокритериальной оценке эффективности сложных систем видно, что они сводятся к свертыванию множества частных показателей W_i к единственному интегральному показателю W₀ или использованию методов теории многокритериального выбора и принятия решений при наличии значительного числа частных показателей эффективности, приблизительно одинаково важных.

При подходе к оценке эффективности, в которой эффективность выражается в нечётких показателях защиты информационной системы, в виде лингвистических переменных, таких, как: «абсолютно незащищённая», «недостаточно защищённая», «защищённая», «достаточно защищённая», «абсолютно защищённая», выстраивается необходимая и достаточная картина защищённости системы от НСД (несанкционированного доступа к информации) как в качественной, так и в количественной оценке, что в свою очередь является положительным свойством, имеющим превосходство над вышеперечисленными известными методиками.

В такой методике принадлежность определённого уровня безопасности будет определятся на промежутке [0, 1], и показатели надёжности будут функцией принадлежности м^A (x_i), где x_i - есть элемент множества Х - требования безопасности, а А - множество значений, определяющих выполнение требований безопасности в той или иной мере, и определяемое как:

,

где пара «функция принадлежности \ элемент». Тогда возможно производить оценку эффективности по чётко определённым критериям безопасности следующим образом.

Пусть Х={1, 2, 3, 4, 5} есть заданные наборы требований защиты системы, тогда нечёткое множество оценки защищённости системы, имеющей определённые критерии безопасности, будет:

А = 0,2/1 + 0,4/2 + 0,6/3 + 0,8/4 + 1/5.

Это следует интерпретировать так, что система, имеющая набор выполненных требований «1», относится к «абсолютно незащищённой», система, имеющая набор выполненных требований «2», относится к «недостаточно защищённой», система, имеющая набор выполненных требований «3», относится к «защищённой», система, имеющая набор выполненных требований «4», относится к «достаточно защищённой», система, имеющая набор выполненных требований «5», относится к «абсолютно защищённой». Причём набор «5» относится к «абсолютно защищённой» системе и т.д. Разные состояния безопасности системы выделяются в виде подмножеств нечёткого множества А. Вероятность взлома оцениваемой системы может соответствовать кардинальному числу (мощности) нечёткого множества, а именно: если Х={1, 2, 3, 4, 5} и А = 0,2/1 + 0,4/2 + 0,6/3 + 0,8/4 + 1/5, то Card A = |A|= 3, т.е. вероятность взлома будет 3k, где k - коэффициент соответствия.

Каждый терм имеет определённые значения на промежутке [0, T], где Т - максимальное количество требований, определённых в системе защиты информации. Так, набор требований может быть на промежутке [0, 20], и соответственно набор «1» будет множеством выполненных требований, например, [0, 4].

Очевидно, что при таком подходе для оценки эффективности защищённости АС от НСД необходимы только данные о необходимых требованиях защищённости и данные о полноте выполнения этих требований. Предлагаемая методика даёт возможность её применения при оценке эффективности защищённости системы с помощью определённых нейросетевых приложений.

При использовании методики совместно с программно-аппаратным комплексом можно достичь:

- постоянного мониторинга состояния информационной безопасности АС;

- прогнозирования возможности осуществления атак путём имитации угроз (предполагается наличие множества Q[1, q], где q - максимальное количество угроз);

- существенного затруднения или предотвращения реализации угрозы или множества угроз, которые существуют при невыполнении некоторых требований из промежутка [0, T];

- изменения наборов требований для стремления системы защиты к лингвистической переменной «абсолютно защищённая».

Комплекс также может обладать возможностью перевода состояния системы безопасности к более высокому уровню эффективности защиты.

Выводы по разделу 3

Проанализированы основные методы оценки эффективности защитных мероприятий в АС. К их числу относятся:

- классический;

- официальный;

- экспериментальный.

Установлено, что для оценки эффективности защитных мероприятий в АС наиболее целесообразно выбирать многокритериальные показатели.

Разработан подход к оценке эффективности защитных мероприятий АС от НСД, для реализации которого достаточно иметь только данные о необходимых требованиях защищённости и данные о полноте выполнения этих требований.

4 ВЫБОР ПУТЕЙ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ ЗАЩИТНЫХ МЕРОПРИЯТИЙ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

4.1 Выбор контролируемых параметров по максимальным значениям (с учетом защиты канала)

Выбор параметров для контроля по информативным признакам достаточно сложен и требует обширных фактических данных.

Для инженерных расчетов приемлемыми являются методы линейного и динамического программирования.

Рассмотрим применение линейного программирования для определения номенклатуры контролируемых параметров с целью получения максимальной информации о техническом состоянии (защиты) канала при заданном коэффициенте готовности и выполнении ряда ограничений (например, стоимость контроля, масса, габариты и т.д.).

Решение этой задачи возможно при определенных допущениях. Поставим задачу в терминологии линейного программирования.

Найти подмножество контролируемых параметров множества Щ, максимизирующее при соблюдении ограничений линейную функцию В или

,(4.1.1)

где - ограничение на выбор состава контролируемых параметров;

- достигнутое значение по s-му ограничению.

В работе [26] автором рассматривалось применение в качестве максимизируемой функции критерия объективности контроля [27] в виде

, (4.1.2)

где

(4.1.3)

.(4.1.4)

Здесь - интенсивность проникновений в i-ый параметр;

- интенсивность проникновений в канал - .

Не меняя, практически, сути рассуждений, можно принять , что значительно упрощает вычисления.

Принимаются следующие допущения, пригодные для широкого класса каналов:

- надежность параметров не изменяется при введении КУ;

- параметры взаимонезависимые; для всех параметров выполняется

. (4.1.5)

В среднем время отыскания неисправного элемента (без КУ) больше, чем время устранения неисправности или проникновения этого элемента; - время восстановления i-гo элемента; для всех элементов выполняется условие

. (4.1.6)

4.2 Выбор контролируемых параметров по заданному коэффициенту готовности

В качестве обязательного ограничения можно потребовать получение какой-либо характеристики надежности заданного значения, например, коэффициента готовности в виде [26]

,(4.2.1)

,

где

(4.2.2)

. (4.2.3)

В качестве можно использовать вероятность отказа, в предположении .

Формализуем условие задачи.

Определить набор максимизирующий функцию

.(4.2.4)

При условиях

,

,

. (4.2.5)

Покажем применение расчетных соотношений на простом примере.

Пример. В коммуникационном устройстве имеется 10 определяющих параметров. Необходимый К_гз = 0,978, максимальная стоимость КУ G₂ = 150 усл.единиц, максимальная масса КУ G₂ = 80 усл.единиц. Данные о параметрах сведены в табл. 4.2.1.

Все параметры канала контролировать нельзя, так как нарушаются условия (4.2.5). Определяются величины и

,

Таблица 4.2.1
№	1	2	3	4	5	6	7	8	9	10
лi (1/ч)	1	0,5	2	0,8	1,5	1	0,5	0,5	0,2	2	10-2
фbi (ч)	2	4	6	2	1	0,2	4	2	2	2	10-1
фусi (ч)	1,6	1	4,8	1,4	0,8	0,16	1	0,5	0,6	1,6	10-1
g1i (усл.ед)	10	20	10	30	20	10	10	10	20	40
g2i (усл.ед)	5	10	20	20	20	10	5	10	5	5

после чего находятся коэффициенты b_i по формуле (4.1.3) и г_i, г_j по формулам (4.2.3). Все показатели сводятся в табл. 4.2.2.

Таблица 4.2.2
№	1	2	3	4	5	6	7	8	9	10
bi	0,11	0,06	0,17	0,1	0,15	0,11	0,06	0,06	0,11	0,17
гi	1,6	0,5	9,6	1,12	1,2	0,16	0,5	0,25	0,12	3,2	10-3
гj	2	2	12	1,6	1,5	0,2	2	1	0,4	4	10-3

Требуется найти набор

максимизирующий линейную функцию

(4.2.6)

при условиях

4.2.7)

Решая задачу методом направленного полного перебора, получаем оптимальный набор контролируемых параметров (1,3,4,5,6,10), при выполнении условий (4.2.7) и максимальном (4.2.6) .

Предложенная методика при ее наглядности и универсальности обладает следующими недостатками:

- большой объем вычислений при увеличении числа параметров (более 10), особенно при близости их характеристик;

- сложность приведения к задаче линейного программирования (из-за зависимости значения величины г от выбора z в выражении (4.2.7);

- трудности разработки вычислительного алгоритма для ЭВМ.

В связи с этими недостатками приведенные соотношения целесообразно применять только для каналов с малым числом параметров (единицы).

Однако преобразуя выражение (4.2.5) к виду

,(5.2.8)

или

,(5.2.9)

или

,(5.2.10)

где Л- интенсивность отказов канала;

ф_в - среднее время устранения одной неисправности или проникновения;

ф_вз -- заданное время восстановления;

,(5.2.11)

добиваемся отсутствия зависимости г от выбора z. Поэтому сравнительно просто можно придти к задаче линейного программирования с булевыми переменными в следующей математической постановке.

Определить набор , максимизирующий функцию

,

при условиях

При такой постановке задача может быть решена методами линейного программирования с булевыми переменными, в том числе и на ЭЦВМ.

4.3 Выбор контролируемых параметров по максимальному значению вероятности безотказной работы после проведения диагностики

Методика выбора контролируемых параметров, приведенная в 4.2, может эффективно применяться только при независимости параметров (каждый параметр зависит только от одного элемента или каждый элемент имеет только один параметр).

Рассмотрим задачу выбора для случая, когда параметры взаимозависимы. Причем оптимальным считается такой набор, при контроле которого достигается максимальная апостериорная вероятность безотказной работы и соблюдается условие ограничения (стоимость контроля, время и т.д.).

Задачу выбора оптимального набора контролируемых параметров при ограничении можно решить методами сокращенного перебора. Сокращение перебора достигается использованием специальных правил, позволяющих исключать заведомо неоптимальные наборы. Один из таких алгоритмов приведен в работе [28], но он на наш взгляд слишком сложен для применения в инженерной практике.

Рассмотрим более простой алгоритм [29], пригодный для определения набора контролируемых параметров канала.

Постановка задачи.

Система состоит из N элементов. В каждый момент времени возможно только одно проникновение (возможен отказ лишь одного элемента). Работоспособность каждого элемента не зависит от состояния других. Отказ любого элемента вызывает выход из зоны допуска значения, по крайней мере, одного из М параметров.

Известные априорные вероятности q_i при отказе i-ro элемента и для каждого к-го параметра р_к определено подмножество S_к элементов, охваченных контролем этого параметра. Другими словами, величиной S_к можно характеризовать ненадежность к-го параметра.

Известны затраты g_к на контроль каждого параметра. При этом предполагается, что затраты g(w) на контроль любой совокупности w параметров слагаются из суммы затрат на контроль каждого параметра из этой совокупности.

Требуется из всех совокупностей (наборов) w, у которых g(w)<G_s -допустимых планов, (где G_s - s-oe ограничение на проведение контроля) выбрать ту совокупность, при которой вероятность безотказной работы устройства после проведения контроля (диагностики) была бы наибольшей.

Решение.

Обозначим: р_к - вероятность безотказной работы тех элементов, у которых контролируется к-й параметр (q_к = l - p_к). Вероятность безотказной работы устройства перед контролем

,(4.3.1)

при

. (4.3.2)

Взаимосвязь параметров и элементов задается матрицей вида

элементы которой определяются из условия

,(4.3.4)

где i - номер элемента;

к - номер параметра.

При этом параметры нумеруются так, чтобы соответствующие им затраты составляли неубывающий ряд

.

(Впоследствии предпочтительно начинать выбор параметров слева).

При продолжительном результате контроля к-го параметра, вероятность безотказной работы всех элементов, от которых зависит к-й параметр, принимается равной единице. В этом случае вероятность безотказной работы всей системы определится выражением

,

где

.(5.3.5)

При этом вероятность безотказной работы системы возрастет на величину

.

Предполагается, что затраты q_к и ограничение G_s таковы, что сумма любых двух значений затрат больше G_s. Тогда для контроля, очевидно, надлежит выбирать лишь один параметр. Этим параметром будет тот, у которого сумма S_к будет наибольшей, а следовательно и приращение ДР^(к) также наибольшее. Если таких параметров несколько, то из них надо выбрать тот, у которого произведение (1 - S_к)q_к - наименьшее и, следовательно, приращение вероятности, приходящееся на единицу затрат - наибольшее

.

Если систему проконтролировать некоторой совокупностью w приборов (р_w) и затраты при этом g(w) < G_s, то вероятность безотказной работы системы примет значение

,

где

.(4.3.5)

При этом общий множитель p_i (или общее слагаемое q_i) берется лишь один раз. Вероятность безотказной работы системы увеличится при этом на величину

.

Если при фиксированном числе параметров все наборы w таковы, что g(w) + g₁ > G_s и , то из всех наборов оптимальным будет тот, у которого сумма S_w - наибольшая, а, следовательно, и приращение вероятности будет наибольшим. Если окажется несколько наборов с одинаковой наибольшей суммой S_w , то оптимальным из них будет тот, у которого величина

наибольшая. Таковым будет набор, у которого произведение g(w)(1 - S_w) - наименьшее.

Алгоритм определения рационального набора контролируемых параметров реализуется в следующей последовательности:

1-й шаг. Параметры, у которых g_к > G_s не рассматриваются. Для оставшихся параметров вычисляются S_к и находится наибольшая из них S_к⁽⁰⁾ . Если таких параметров несколько, то из них выбирается тот, у которого R_к = g_к(1 - S_к) - наименьшее. Обозначим этот параметр р₁⁰.

2-й шаг. Исключаются из дальнейшего рассмотрения все параметры, у которых g_к = G_s (кроме р₁⁰, если g₁⁰ = G_s). Из оставшихся параметров формируются наборы по два параметра: (р₁,р₂)(р₁,р₃) … (р_м-1,р_м). Все пары (р_к,р₁), у которых g₂ = g_к + g₁ > G_s не рассматриваются. Вычисляются

и находится наибольшая из них S _к1⁽⁰⁾. Если таких пар несколько, то из них выбирается та, у которой R_к1 = (g_к+g₁)(l - S_к1) - наименьшее. Обозначим эту пару р₂⁰.

m-й шаг. Процесс продолжается до сочетаний по m?М параметров, если еще g_w>M < G_s. Из полученных наивыгоднейших наборов р₁⁰, р₂⁰, …, р_m⁰ выбирается тот, у которого наименьшее