Таким образом, весь процесс анализа уровня безопасности условно можно разделить на этапы сбора и анализа полученных данных и модификации параметров системы защиты.

3.6 Описание пошаговой методики

Оценка защищенности с учетом приведенных выше расчетных формул и выбор оптимального варианта системы защиты (необходимого набора механизмов защиты) осуществляется следующим образом:

1. Расчет параметров С_i, _i, р_i. для оценки защищенности по исходным данным, полученным статистическим или, в случае недостатка статистики, одним из приведенных выше способов (оптимистически-пессимистический подход, метод экспертной оценки).

2. Расчет критериев защищенности D, Ц_С3И ,П_СЗИ (dП_СЗИ) для каждого варианта системы защиты (набора механизмов защиты).

3. Выбор системы защиты (набора механизмов защиты при разработке системы) с максимальным коэффициентом защищенности D, удовлетворяющей ограничениям по стоимости Ц_С3И и производительности П_С3И.

4. Анализ изменения коэффициента защищенности dD при задании приращений для критериев Ц_С3И и dП_СЗИ методом последовательного выбора уступок с оценкой целесообразности выбора системы, удовлетворяющей новым ограничениям.

Для получения более точных данных приближенных к реальности и в большей степени соответствующих специфике организации, на первом этапе (подготовительном), предшествующем этапу расчета параметров, требуется провести тщательное описание системы. Этот пункт является неотъемлемой частью многих международных стандартов в области информационной безопасности. Его значимость очевидна, т.к. чем лучше специалист знает объект который ему предстоит защищать, тем более точную оценку он сможет получить[8].

На данном шаге описываются цели создания информационной системы, ее границы, информационные ресурсы, требования в области ИБ и компонентов управления информационной системой и режимом ИБ.

Описание информационной системы рекомендуется выполнять в соответствии со следующим планом:

· аппаратные средства ИС, их конфигурация;

· используемое ПО;

· интерфейсы системы, то есть внешние и внутренние связи с позиции информационной технологии;

· типы данных и информации;

· персонал, работающий в данной ИС (обязанности);

· миссия данной ИС (основные цели);

· критичные типы данных и информационные процессы;

· функциональные требования к ИС;

· категории пользователей системы и обслуживающего персонала;

· формальные требования в области ИБ, применимые к данной ИС (законодательство, ведомственные стандарты и т.д.);

· архитектура подсистемы ИБ;

· топология локальной сети;

· программно-технические средства обеспечения ИБ;

· входные и выходные потоки данных;

· система управления в данной ИС (должностные инструкции, система планирования в сфере обеспечения ИБ);

· существующая система управления в области ИБ (резервное копирование, процедуры реагирования на нештатные ситуации, инструкции по ИБ, контроль поддержания режима ИБ и т.д.).

· организация физической безопасности;

· управление и контроль внешней по отношению к ИС средой (климатическими параметрами, электропитанием, защитой от затоплений, агрессивной среды и т.д.).

· На втором шаге методике при оценке стоимости СЗИ может использоваться 2 подхода:

1. Первый подход - назовем его наукообразным - заключается в том, чтобы освоить, а затем применить на практике необходимый инструментарий получения метрики и меры безопасности, а для этого привлечь руководство компании (как ее собственника) к оценке стоимости защищаемой информации, определению вероятностей потенциальных угроз и уязвимостей, а также потенциального ущерба. Если информация не стоит ничего, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален - и руководство это подтверждает - проблемой ИБ можно, наверное, не заниматься. Если же информация стоит определенных денег, угрозы и потенциальный ущерб ясны, то понятны и рамки бюджета на корпоративную систему ИБ. Существенно, что при этом становится возможным привлечь руководство компании к осознанию проблем ИБ и построению корпоративной системы защиты информации и заручиться его поддержкой. В качестве такого подхода для оценки стоимости системы защиты может использоваться данная методика без введения ограничений на параметр Ц_СЗИ, а ориентироваться только на требуемый уровень защищенности [5].

2. Второй подход (назовем его практическим) состоит в следующем: можно попробовать найти инвариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Поэтому эксперты-практики в области защиты информации нашли некий оптимум, позволяющий чувствовать себя относительно уверенно, - стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС - в зависимости от уровня конфиденциальности информации. Это и есть та самая оценка на основе практического опыта (best practice), на которую можно положиться. Очевидно, что второй подход не лишен недостатков. Здесь, скорее всего, не удастся заставить руководство глубоко осознать проблемы ИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и существенно сэкономить на услугах внешних консультантов[4].

В данном разделе была описана пошаговая методика оценки средств СЗИ. Описаны параметры, с которыми оперирует методика, методы их получения и оценки. Также был описан принцип оценки рисков, положенный в основу методики и выведена формула для получения количественной оценки уровня защищенности, обеспечиваемого СЗИ.

4. Применение методики определения уровня защищенности и обоснования эффективности средстВ защиты КИС

4.1 Описание защищаемой корпоративной системы

Разработанная нами методика позволяет оценить уровень защищенности КИС при определенном наборе средств СЗИ и, соответственно, оценить эффективность средств СЗИ. Относительно КИС проведем оценку СЗИ по данной методике именно в аспекте сетевой защиты. Так как эта область ИБ является очень динамичной и требует к себе особого внимания.

Уровень защищенности и эффективность средств защиты будем оценивать для сети представленной на рисунке 4.1. Этот пример отражает в себе корпоративную сеть небольшого предприятия, с несколькими филиалами и сотрудниками, работающими на дому с возможностью удаленного подключения к сети.

Рисунок 4.1. Пример КИС небольшого предприятия

Система состоит из следующих элементов:

· точка доступа VPN для удаленного подключения к КИС сотрудников предприятия либо удаленных офисов;

· межсетевой экран с поддержкой proxy и NAT;

· IDS -система обнаружения вторжений;

· сервер обновлений ПО, клиентских ОС;

· сервер антивирусной защиты;

· почтовый корпоративный сервер smtp и pop3.

· внутренняя локальная сеть с рабочими станциями сотрудников отделов.

· файл-сервер на котором хранятся документы отделов и информация общего пользования. Данный сервер одновременно является контроллером домена Windows NT.

На компьютерах сотрудников установлена операционная система MS Windows 2000 SP4 с последним набором обновлений и стандартным ПО от Microsoft.входящим в комплект поставки ОС. На контроллере домена установлена ОС Windows 2003 Server.

Для данной сети защищаемая информация хранится как на локальных компьютерах пользователей по отделам, так и на файл-сервере. Причем с этими данными пользователи должны иметь возможность работать как в локальной сети, так и удаленно из дома или из другого филиала предприятия. Для оценки уровня критичности данного сервиса отметим сделаем предположение, что 30 процентов персонала компании, имеющие доступ к защищаемой информации работают удаленно. Это обусловлено повышенной мобильностью персонала, частыми командировками, а также с целью повышения общей продуктивности персонала многие сотрудники работают на дому.

Как уже говорилось в первом разделе, в данном примере определения уровня защищенности КИС будет определяться только в сетевом аспекте, с защитой как от внешнего так и о внутреннего злоумышленника.

4.2 Определение списка угроз для данной КИС

В первую очередь нам нужно оценить информационные угрозы, вероятности их отражения СЗИ, а также величину потерь в результате реализации угроз. Для этого получения точных оценок требуется наиболее полное перечислений угроз сетевой безопасности для описанной сети. Важно выявить и идентифицировать полный список угроз, так как именно в этом случае будет получена точная оценка. Для перечня угроз можно использовать как стандарты в области безопасности, которые содержат в себе списки угроз и контрмер по защите от них, так и личный опыт по защите в данной области. В большинстве случаев стандарты дают только общий список угроз, берущийся за основу и достаточный для базового уровня защищенности. Для обеспечения более высоких требований к информационной безопасности этот список должен быть дополнен [5].

Применительно к конкретной системе этот список может дополняться пунктами, характеризующими данную систему и составленных на основе её специфики, области ее деятельности предприятия, специфической модели нарушителя, и стоимости информации.

За основу списка взят список угроз из германского стандарта BSI [9]. Этот стандарт появился в Германии в 1998 г. как «Руководство по защите информационных технологий для базового уровня защищенности». Можно выделить следующие блоки этого документа:

· методология управления ИБ (организация менеджмента в области ИБ, методология использования руководства);

· компоненты информационных технологий:

- основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях);

- инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа);

- клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы);

- сети различных типов (соединения «точка-точка», сети Novell NetWare, сети с ОС UNIX и Windows, разнородные сети);

- элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.);

- телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы);

- стандартное ПО;

- базы данных;

· каталоги угроз безопасности и контрмер (около 600 наименований в каждом каталоге).

При этом все каталоги структурированы следующим образом. Угрозы по классам:

· форс-мажорные обстоятельства;

· недостатки организационных мер;

· ошибки человека;

· технические неисправности;

· преднамеренные действия.

Контрмеры по классам:

· улучшение инфраструктуры;

· административные контрмеры;

· процедурные контрмеры;

· программно-технические контрмеры;

· уменьшение уязвимости коммуникаций;

· планирование действий в чрезвычайных ситуациях.

Все компоненты рассматриваются по такому плану: общее описание, возможные сценарии угроз безопасности (перечисляются применимые к данному компоненту угрозы из каталога угроз безопасности), возможные контрмеры (перечисляются возможные контрмеры из каталога контрмер). Фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты информационных технологий и максимально учесть их специфику. Стандарт оперативно пополняется и обновляется по мере появления новых компонентов. Каталоги угроз безопасности и контрмер, содержащие по 600 позиций, являются наиболее подробными из общедоступных. Ими можно пользоваться самостоятельно - при разработке методик анализа рисков, управления рисками и при аудите информационной безопасности. Мы также ссылаемся на этот стандарт для определения базовых угроз безопасности. В соответствие с тем, что наша оценка защищенности дается в сетевом аспекте угрозы из стандарта выбирались из двух подклассов: технические неисправности и преднамеренные действия.

Угрозы которым подвержена корпоративная сеть в области сетевой защиты следующие [9]:

· Неэффективный мониторинг событий безопасности в КИС.

· Неавторизованное использование прав (маскарадинг)

· Неконтролируемое использование ресурсов

· Недоступность данных

· Манипуляция данных и ПО.

· Потеря конфиденциальности важных данных в UNIX системах

· Неавторизованное использование ИТ системы

· Прослушивание сети

· Нарушение конфиденциальности данных

· Злоупотребление правами пользователей и администраторов

· Троянские кони

· Вирусы

· DoS и DDoS атаки

· Макровирусы

· Уязвимости ПО или ошибки

· Подбор паролей

· IP Spoofing

· DNS Spoofing

· WEB Spoofing

· Захват сетевых подключений

· Различные виды сканирования сети

· Атаки на протоколы

· Вредоносное ПО :spyware, adware

· Переполнение буфера

· Монополизация канала

· Уязвимости протоколов аутентификации

4.3 Оценка стоимости информационных ресурсов

Следующим пунктом методики является оценка информационных ресурсов компании и оценка ущерба в результате реализации угроз. Этот пункт является важным звеном методики. Он позволяет ранжировать информационные ресурсы компаний по степени их критичности для ведения нормальной деятельности предприятия. На этом этапе становится понятно какие ресурсы требуют защиты в первую очередь и какие средства на это могут быть потрачены. То есть этот пункт позволяет нам определить в первую очередь стоимость информационных ресурсов, а во-вторых, задает предел стоимости СЗИ.

Для оценки уровня ущерба выраженного в денежном эквиваленте мы используем пессимистический подход и будем считать что убытки будут максимальны при реализации хотя бы одной из угроз. В частном случае, как правило, каждая из угроз представляет для информации определенное воздействие, которое не может характеризоваться полным разрушением информации либо ее непригодностью. К тому же практика и данные статистики защиты КИС показывают, что реализации хотя бы одной из угроз может привести к компрометации и нарушении целостности всей системы. А злоумышленники, как правило, начинают свое вторжение с мельчайших угроз и ошибок в деятельности персонала, последовательно увеличивая свои привилегии в системе. В нашем случае для простоты примера мы воспользуемся именно пессимистическим способом оценки стоимости информации. При этом угрозы классифицируем по способу воздействия на информацию. Разделим их на две группы: в первую включим угрозы, приводящие к недоступности информационного ресурса, во вторую угрозы, приводящие к нарушению целостности и конфиденциальности. Размер ущерба в денежном эквиваленте для двух видов воздействия составляет 1000 грн/час и 50000 грн соответственно. То есть компания несет убытки 1000 грн/час если ее сотрудники не могут получить своевременный доступ к информационному ресурсу (удаленные пользователи) и 50000 грн. если информация станет общедоступной или станет нечитаемой в результате искажений. В качестве основного источника защищаемой информации определен файл сервер находящийся внутри КИС.

4.4 Оценка уровня защищенности КИС и обоснование эффективности

выбранных средств защиты

Для оценки вероятности отражения угроз каждым из средств защиты использовался метод экспертной оценки. В качестве экспертов выступали сотрудники кафедры БИТ. Результат экспертной оценки вероятностей отражения угроз СЗИ приведен в таблице 4.1.

Общий уровень защищенности обеспечиваемый СЗИ будем считать по формуле (3.5) при этом будем использовать первый способ оптимистически-пессимистического подхода. При использовании этого способа предполагаем, что _i = , = const, что интенсивности угроз равные и равны константе. Таким образом, подставляя значения вероятностей p_i и сумму потерь С_i в формулу (3.3) получаем общий уровень защищенности системы равный:

D = 0.903932*100% = 90 %.

Таблица 4.1. Таблица вероятностей отражения угроз безопасности СЗИ, полученная экспертным методом оценки.

	Вероятность отражения угрозы с учетом средств защиты	Общая вероятность	Ci	Ci*(1-pi)
Вид уязвимости	Средство защиты	Межсетевой экран/NAT	VPN шлюз	Сервер обновлений	IDS	Антивирус		Ущерб, грн
Троянские кони					0,95	0,95	30000	1500
Вирусы					0,90	0,9	10000	1000
DoS	0,80	0,99		0,99		0,99998	5000	0,1
DDoS	0,60	0,80		0,95		0,996	5000	20
Макро вирусы					0,60	0,6	30000	12000
Уязвимости ПО или ошибки			0,90			0,9	25000	2500
IP Spoofing	0,70	0,99		0,93		0,99979	20000	4,2
DNS Spoofing				0,90		0,9	25000	2500
WEB Spoofing				0,50		0,5	10000	5000
Захват сетевых подключений	0,50	0,99		0,90		0,9995	25000	12,5
Различные виды сканирования сети	0,60			0,90		0,96	5000	200
Недоступность данных				0,85		0,85	5000	750
Нарушение конфиденциальности данных		0,95	0,30			0,965	45000	1575
Некорректные параметры заголовков пакетов и запросов	0,7		0,5	0,8		0,97	9000	270
Автоматический подбор паролей (login)	0,75			0,9		0,975	35000	875
Атаки на протоколы			0,5	0,8		0,875	10000	1250
Неэффективный мониторинг событий безопасности в КИС	0,3			0,7		0,79	25000	5250
Монополизация канала	0,6			0,9		0,96	4000	160
Неавторизованное использование прав(маскарадинг)	0,3			0,9		0,93	30000	2100
Манипуляция данных и ПО		0,5	0,6	0,3	0,6	0,944	25000	1400
Неконтролируемое использование ресурсов	0,5	0,6	0,3	0,8	0,6	0,9888	30000	336
Потеря конфиденциальности важных данных в UNIX системах	0,7	0,8			0,5	0,97	31000	930
Неавторизованное использование ИТ системы	0,6	0,7	0,3	0,8	0,66	0,99429	40000	228,48
Прослушивание сети		0,9				0,9	40000	4000
Злоупотребление правами пользователей и администраторов	0,1	0,1				0,19	10000	8100
Вредоносное ПО :spyware, adware				0,5	0,95	0,975	38000	950
Переполнение буфера			0,8			0,8	15000	3000
								582000	55911,28
Уровень защищенности		0,90393251

В данном случае была произведена оценка защищенности уже существующей реальной системы с необходимым набором средств защиты. В практике чаще возникают ситуации когда необходимо выбрать из набора средств только те, которые в большей степени соответствуют нуждам компании, в данном случае обеспечивают наибольший уровень защиты, при этом система должна иметь минимальную стоимость и оказывать минимальное воздействие на производительность всей системы в целом.

Применим методику для выбора оптимальной системы защиты для той же системы. При этом введем ограничения на стоимость такой системы защиты. Предположим, что система защиты должна составлять от 10 до 20 процентов от общей стоимости КИС. Именно такой подход предлагают многие современные эксперты при оценке стоимости СЗИ. Допустим, что общая стоимость нашей КИС согласно данных ее владельца составляет 150 000 грн.. В этом случае целесообразно на систему защиты потратить 20000 грн.. В общем случае ограничения на стоимость СЗИ ограничиваются сверху стоимостью информации.

Оценим уровень защищенности при использовании следующих средств защиты: МЭ, VPN-шлюз, сервер обновлений и сервер антивирусной защиты. Оценка приведена в таблице 4.2. В этом случае уровень защищенности будет следующим D = 0.760958*100% = 76 %. Стоимость такого решения составит порядка 20000 грн [35].

В качестве альтернативного набора средств будем использовать МЭ, VPN-шлюз, и систему IDS (таблица 4.3). Для такой системы уровень защиты будет равняться D = 0.697539*100% = 69 %. Стоимость второго решения будет составлять 35000-40000 грн [35].

Таблица 4.2. Таблица вероятностей отражения угроз СЗИ состоящей из 4 компонентов: МЭ, VPN-шлюз, сервер обновлений и сервер антивирусной защиты.

	Вероятность отражения угрозы с учетом средств защиты	Общая вероятность	Ci	Ci*(1-pi)
Вид уязвимости	Средство защиты	Межсетевой экран/NAT	VPN шлюз	Сервер обновлений	IDS	Антивирус		Ущерб, грн
Троянские кони					0,95	0,95	30000	1500
Вирусы					0,90	0,9	10000	1000
DoS	0,80	0,99				0,998	5000	10
DDoS	0,60	0,80				0,92	5000	400
Макро вирусы					0,60	0,6	30000	12000
Уязвимости ПО или ошибки			0,90			0,9	25000	2500
IP Spoofing	0,70	0,99				0,997	20000	60
DNS Spoofing						0	25000	25000
WEB Spoofing						0	10000	10000
Захват сетевых подключений	0,50	0,99				0,995	25000	125
Различные виды сканирования сети	0,60					0,6	5000	2000
Недоступность данных						0	5000	5000
Нарушение конфиденциальности данных		0,95	0,30			0,965	45000	1575
Некорректные параметры заголовков пакетов и запросов	0,7		0,5			0,85	9000	1350
Автоматический подбор паролей (login)	0,75					0,75	35000	8750
Атаки на протоколы			0,5			0,5	10000	5000
Неэффективный мониторинг событий безопасности в КИС	0,3					0,3	25000	17500
Монополизация канала	0,6					0,6	4000	1600
Неавторизованное использование прав(маскарадинг)	0,3					0,3	30000	21000
Манипуляция данных и ПО		0,5	0,6		0,6	0,92	25000	2000
Неконтролируемое использование ресурсов	0,5	0,6	0,3		0,6	0,944	30000	1680
Потеря конфиденциальности важных данных в UNIX системах	0,7	0,8			0,5	0,97	31000	930
Неавторизованное использование ИТ системы	0,6	0,7	0,3		0,66	0,97144	40000	1142,4
Прослушивание сети		0,9				0,9	40000	4000
Злоупотребление правами пользователей и администраторов	0,1	0,1				0,19	10000	8100
Вредоносное ПО :spyware, adware					0,95	0,95	38000	1900
Переполнение буфера			0,8			0,8	15000	3000
								582000	139122,4
Уровень защищенности		0,76095808

Стоит отметить что снижение производительности, оказываемое системой защиты на КИС находится в пределах допустимых 10 процентов [32]. В нашем случае уровень производительности системы задается каналом доступа в сеть интернет. Для подключения к сети интернет вполне достаточной для нашей модели КИС является скорость 10 мбит/с. Все средства, используемые для защиты работают со скоростью значительно превышающей 10 мбит/с [18,36] и таким образом оказывают минимальное влияние на производительность системы.

Таблица 4.3. Таблица вероятностей отражения угроз СЗИ состоящей из 3 компонентов: МЭ, VPN-шлюз, система IDS.

	Вероятность отражения угрозы с учетом средств защиты	Общая вероятность	Ci	Ci*(1-pi)
Вид уязвимости	Средство защиты	Межсетевой экран/NAT	VPN шлюз	Сервер обновлений	IDS	Антивирус		Ущерб, грн
Троянские кони						0	30000	30000
Вирусы						0	10000	10000
DoS	0,80	0,99		0,99		0,99998	5000	0,1
DDoS	0,60	0,80		0,95		0,996	5000	20
Макро вирусы						0	30000	30000
Уязвимости ПО или ошибки						0	25000	25000
IP Spoofing	0,70	0,99		0,93		0,99979	20000	4,2
DNS Spoofing				0,90		0,9	25000	2500
WEB Spoofing				0,50		0,5	10000	5000
Захват сетевых подключений	0,50	0,99		0,90		0,9995	25000	12,5
Различные виды сканирования сети	0,60			0,90		0,96	5000	200
Недоступность данных				0,85		0,85	5000	750
Нарушение конфиденциальности данных		0,95				0,95	45000	2250
Некорректные параметры заголовков пакетов и запросов	0,7			0,8		0,94	9000	540
Автоматический подбор паролей (login)	0,75			0,9		0,975	35000	875
Атаки на протоколы				0,8		0,75	10000	2500
Неэффективный мониторинг событий безопасности в КИС	0,3			0,7		0,79	25000	5250
Монополизация канала	0,6			0,9		0,96	4000	160
Неавторизованное использование прав(маскарадинг)	0,3			0,9		0,93	30000	2100
Манипуляция данных и ПО		0,5		0,3		0,65	25000	8750
Неконтролируемое использование ресурсов	0,5	0,6		0,8		0,96	30000	1200
Потеря конфиденциальности важных данных в UNIX системах	0,7	0,8				0,94	31000	1860
Неавторизованное использование ИТ системы	0,6	0,7		0,8		0,976	40000	960
Прослушивание сети		0,9				0,9	40000	4000
Злоупотребление правами пользователей и администраторов	0,1	0,1				0,19	10000	8100
Вредоносное ПО :spyware, adware				0,5		0,5	38000	19000
Переполнение буфера						0	15000	15000
								582000	176031,8
Уровень защищенности		0,697539863

Из проведенного анализа можно выделить как более эффективный первый набор СЗИ, так как он обеспечивает больший уровень защищенности и при этом требует меньших капиталовложений. С помощью методики мы определили, что для данного примера КИС наиболее оптимальным решением по защите будет являться набор средств состоящий из: МЭ, VPN-шлюза, антивирусного сервера и сервера обновлений ПО. Если при анализе будет использоваться значительно большее количество вариантов СЗИ, для выбора наиболее эффективного может использоваться метод последовательных уступок, который был описан в предыдущем разделе.

Выводы

В магистерской работе была разработана методика, позволяющая оценить уровень защищенности КИС. Результатом методики является количественная оценка уровня защищенности. В результате количественной оценки можно более точно сравнивать несколько вариантов защиты и таким образом выбирать наиболее эффективный. На вход методики подаются вероятности реализации угроз и уязвимостей относительно защищаемой КИС, стоимость защищаемых ресурсов (оценка потери в случае выхода из строя информационного ресурса) и частота угроз каждого вида в общем потоке угроз. Вводятся ограничения на стоимость СЗИ и снижение уровня производительности системы, оказываемое СЗИ. На выходе методики получаем количественную оценку защищенности для всей СЗИ в целом.

На первом шаге составляется список угроз, характеризующий ИС со стороны информационной безопасности, определяем вероятности угроз и вероятности отражения угроз системой защиты, стоимость информационных ресурсов.

На втором шаге вводятся ограничения на стоимость СЗИ и на снижения уровня производительности КИС, оказываемое на КИС системой защиты.

На третьем шаге производится оценка по математическим формулам общего уровня защищенности КИС обеспечиваемого выбранными средствами защиты.

На четвертом шаге из множества вариантов защиты оцененных по методике выбирается тот, который максимально соответствует требованиям и не выходит за рамки вводимых ограничений.

Фактически уровень защищенности определяется как отношение рисков в защищенной системе к рискам незащищенной системе. В методику положен подход оценки систем при помощи рисков. Подход на основе рисков сейчас внедряется в многие области информационной безопасности так как он позволяет более точно описывать информационные ресурсы через характерные им уязвимости, стоимость самих ресурсов, и ранжировать риски и соответственно информационные ресурсы по степени критичности для деятельности организации.

К преимуществам методики следует отнести простоту ее реализации, распространённый математический аппарат, доступность для понимания.

В качестве недостатков можно отметить в первую очередь то, что методика не учитывает особенностей функционального взаимодействия средств защиты. Примером сказанного может выступать случай, когда устройство VPN доступа находится за антивирусным шлюзом и последний не может проверять зашифрованный трафик. Для разрешения такой ситуации требуется более детальная проработка средств защиты и их совместимости на начальных этапах проектирования СЗИ.

Таким образом, разработанная методика может использоваться для определения обеспечиваемого уровня защиты СЗИ, как на начальных этапах проектирования СЗИ так и на стадии оценки уровня защиты уже существующих систем с целью их модификации или при проведении аудита. Разработанная методика может применяться для оценки уровня защищенности организаций всех сфер деятельности, так как она характеризует информационную систему со стороны рисков и соответственно может быть конкретизирована под конкретную организацию. Степень конкретизации зависит от уровня зрелости организации, специфики ее деятельности, требуемого уровня защищенности и модели злоумышленника и прочих факторов. То есть в каждом конкретном случае методика может быть адаптирована под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса.

Уровень точности получаемой на выходе оценки зависит в первую очередь от полноты списка угроз и уязвимостей, как основных составляющих риска, точности оценки информационных ресурсов, а также точности оценки вероятностных характеристик реализации угроз. Для оценки этих характеристик может потребоваться привлечение, как технических специалистов, так и представителей управления самой компании, что позволяет в дальнейшем результативней финансировать и контролировать процесс внедрения СЗИ.

Перечень ССЫЛОК

1. ДСТСЗИ 1.1-003-99 Терминология в отрасли защиты информации в компьютерных системах от НСД. От 01.07.1999

2. Приказ Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины N 31 от 30.04.2004

3. Международный стандарт ISO/IEC 15408 “Общие критерии оценки безопасности информационных технологий”

4. Галицкий А.. Защита информации в сети - анализ технологий и синтез решений. ДМК. 2004.

5. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. -- М.:Компания Айти ; ДМКПресс, 2004.

6. Столлингс Вильям Криптография и защита сетей: принципы и практика, 2-е изд. - М. : Издательский дом «Вильямс», 2001.

7. Конеев И.Р., Беляев А.В.. Информационная безопасность предприятия. BHV-СПб. 2003

8. NIST 800-30 cтандарт США «Предотвращение и мониторинг инцидентов связанных с вредоносным ПО»

9. Германский стандарт «Руководство по защите информационных технологий для базового уровня защищенности».

10. Международный стандарт ISO 17799:2000 “Практические правила управления информационной безопасностью”

11. Л. Хмелев. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции "Безопасность информационных технологий", Пенза, июнь 2001

12. Норткатт Стивен. Защита сетевого периметра. Dia Soft. 2004.

13. Стивен Норткат. Обнаружение нарушений безопасности в сетях. Изд.3. Диалектика-Вильямс. 2003

14. http://ru.wikipedia.org/wiki/NAT

15. http://www.linux.ru/

16. http://www.securityfocus.com/ids

17. Стюарт Мак-Клар, Джо. Секреты хакеров. Изд.4. Безопасность сетей -готовые решения. Диалектика-Вильямс. 2004.

18. http://www.cisco.com/global/RU/index.shtml

19. http://www.ey.com/cis

20. http://www.anti-malware.ru/index.phtml?part=survey&surid=updates

21. Thomson K. “Reflection on Trysting Trust (Deliberate software bugs)” Communications of the ACM, August 1994.

22. Stephenson P. “Preventive medicine.” LAN magazine, Novemder 1999

23. Berg A. “Viruses: More infections then ever, users say.” LAN Times June 23,1997

24. http://www.nsca.com

25. http://www.anti-malware.ru/index.phtml?part=analysis

26. http://www.domarev.kiev.ua/

27. Петров А.А. Компьютерная безопасность. Криптографические методы защиты. -- М.:ДМК, 2000

28. Хетч Б., Колесников О. LINUX: создание виртуальных частных сетей (VPN). - М.: КУДИЦ-ОБРАЗ, 2004.

29. http://www.citforum.ru/

30. http://www.securitylab.ru

31. Петров Э.Г. «Методы и средства принятия решений в социально экономических и технических системах». -- Херсон: ОЛДИ-плюс, 2003.

32. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. -- СПб: Наука и Техника, 2004

33. http://www.uni.ru

34. http://www.kaspersky.ru

35. http://www.osp.ru/text/302/138646.html

36. http://www.ptsecurity.ru/analisis01.asp

37. http://www.pcwelt.de/news/sicherheit/107774/

38. http:///updates.drweb.com

39. http://www.av-test.org/

40. http://www.anti-malware.ru/index.phtml?part=analysis&anid=proactive

41. http://www.anti-malware.ru/index.phtml?part=compare&anid=packs

42. Форристал. Защита от хакеров WEB-приложений. ДМК. 2004.

43. Зима В.. Безопасность глобальных сетевых технологий. BHV-СПб. 2001.

Приложение А. Методы оценки субъективной вероятности

Как правило, на практике субъективную вероятность приходится привлекать в следующих случаях:

· когда объективная вероятность некачественная;

· если предполагается, что полученные закономерности и объективная вероятность не будут наблюдаться в будущем;

· когда нет объективных данных о наблюдениях в прошлом.

В таких ситуациях субъективную вероятность можно рассматривать как меру уверенности эксперта в возможности наступления события. Она может быть представлена по-разному: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами.

Покажем, как определить субъективную вероятность. Разделим процесс на три этапа [5]:

· подготовительный этап;

· получение оценок;

· анализ оценок.

Первый этап позволяет выделить объект исследования - некоторое множество событий. Далее проводится предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На основе такого анализа выбирается один из подходящих методов определения субъективной вероятности. На этом же этапе проводится подготовка эксперта или группы экспертов, ознакомление его с методом и проверка понимания поставленной задачи экспертами.

Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события. Здесь далеко не всегда удается установить окончательное распределение, поскольку результаты могут быть противоречивыми.

Третий этап заключается в исследовании и обобщении результатов опроса. Если вероятности, представленные экспертами, не согласуются с аксиомами вероятности, то это доводится до сведения экспертов и ответ уточняется так, чтобы они соответствовали аксиомам. Для некоторых методов определения субъективной вероятности третий этап исключается, поскольку сам метод состоит в выборе распределения, подчиняющегося аксиомам вероятности, которое в том или другом смысле наиболее близко к оценкам экспертов. Примеры таких методов - метод главного значения для конечного множества независимых событий и минимаксный метод для зависимых событий. Особую важность третий этап приобретает при агрегировании оценок, полученных от группы экспертов. Например, в методе Делфи, после анализа вероятностей, представленных отдельными экспертами, предполагается повторение второго этапа, то есть повторный опрос. Далее вновь следует третий этап, и в случае необходимости процедура выполняется еще раз.

А.1 Классификация методов получения субъективной вероятности

Методы определения субъективной вероятности можно классифицировать в зависимости от формы поставленных перед экспертами вопросов или от характеристик событий и случайных величин, а также от числа привлекаемых экспертов. В задачах оценки рисков в условиях неопределенности требуется оценивать вероятность (возможность) состояний внешней среды (неопределенных факторов). Поскольку внешняя среда может принимать лишь одно значение из заданного множества, то при оценке субъективных вероятностей обычно применяют методы, предназначенные для множеств несовместных событий. Среди методов, служащих для оценки вероятностей в случае конечных множеств несовместных событий, наибольшее практическое значение имеют три: метод прямого приписывания вероятностей, метод отношений и метод собственного значения, а в случае бесконечных множеств несовместных событий - метод изменяющегося интервала и метод фиксированного интервала.

Для практической реализации указанных методов необходима их детальная доработка и адаптация к характеру решаемых задач. Также понадобится разработать и реализовать конкретные алгоритмы проведения опроса экспертов по этим методам. В качестве дополнения к таким алгоритмам нужны процедуры графического представления данных, подготовленных экспертом. Это позволит эксперту вносить необходимые корректировки в свои прежние оценки исходя из общей картины. А для обработки вероятностей, представленных несколькими экспертами, следует создавать процедуры агрегирования вероятностей. В их основу может быть положен метод взвешенной суммы. Для лучшей согласованности оценок экспертов обычно разрабатывают итеративную процедуру проведения экспертизы, основанную на методе Делфи.

Условно методы нахождения субъективной вероятности можно разделить на следующие три группы.

Первая, самая многочисленная группа, - это прямые методы, состоящие в том, что эксперт отвечает на вопрос о вероятности события. К ним относятся метод изменяющихся интервалов, метод фиксированных интервалов, метод отношений, графический метод, метод собственного значения, методы оценки параметров распределения и др. Независимо от конкретного метода данной группы эксперт должен оценивать непосредственно вероятность событий.

Вторую группу образуют методы, в которых вероятность событий выводится из решений экспертов в гипотетической ситуации. Примером является метод лотерей, а также метод равноценной корзины. Формально говоря, применение методов второй группы требует от эксперта сравнения не вероятностей как таковых, а полезности альтернатив, при которых исход зависит от реализации случайной величины. Многие эксперты отмечают возрастающую сложность вопросов и более существенные ошибки при применении этих методов по сравнению с методами первой группы.

Третья группа - это гибридные методы, требующие от экспертов ответов на вопросы как о вероятности, так и о полезности. К гибридным методам относятся некоторые разновидности метода лотерей.

А.2 Методы получения субъективной вероятности

Постановка задачи заключается в том, что путем опроса экспертов следует построить вероятностное распределение на конечном множестве несовместимых (взаимоисключающих) событий.

Прямая оценка вероятностей событий.

В этом методе эксперту или группе экспертов предъявляется список всех событий. Эксперт должен указать последовательно вероятность всех событий. Возможны различные модификации метода. В одной из модификаций предлагается сначала выбрать наиболее вероятное событие из предложенного списка, а затем оценить его вероятность. После этого событие из списка удаляется, а к оставшемуся списку применяется уже описанная процедура. Сумма всех полученных вероятностей должна равняться единице.

Метод отношений.

Эксперту сначала предлагается выбрать наиболее вероятное событие. Этому событию приписывается неизвестная вероятность P1. Затем эксперт должен оценить отношения вероятностей всех остальных событий к вероятности P1 выделенного события (коэффициенты С2,..., CN). С учетом того, что сумма вероятностей равна 1, составляется уравнение:

Pl(l + C2+C3 + ... +CN) = 1.

Решив это уравнение и найдя величину P1, можно вычислить искомые вероятности.

Метод собственного значения.

Метод основан на том, что неизвестный вектор вероятностей (Р1,...,Pn) является собственным вектором некоторой специально построенной матрицы, отвечающим ее наибольшему собственному значению. Сначала эксперту задается вопрос, какое из двух событий более вероятно. Предположим, что более вероятно событие S1. Затем эксперта спрашивают, во сколько раз событие S1 вероятнее, чем S2. Полученное от эксперта отношение записывается на соответствующее место в матрице.

Метод равноценной корзины.

Этот метод позволяет получить вероятность исходя из экспертного сравнения полезности альтернатив. Предположим, надо вычислить вероятность некоторого события S1. Определим какие-либо два выигрыша, в частности денежных, которые существенно различны, например: первый выигрыш - 1 млн. грн., а второй О грн., и предложим эксперту на выбор участие в одной из двух лотерей. Первая лотерея состоит в том, что выигрыш в 1 млн. грн. эксперт получает, если состоится событие S1, а выигрыш в 0 грн. - если событие не происходит. Для организации второй лотереи представим себе гипотетическую корзину, заполненную белыми и черными шарами, первоначально в равном количестве, скажем, по 50 шаров каждого цвета. Если вынутый шар белый, то участнику достается 1 млн. грн., если черный - 0 грн. Эксперта просят отдать предпочтение одной из двух лотерей. Если с точки зрения эксперта лотереи равноценны, делается вывод о том, что вероятность события S1 равна 0,5. Если эксперт выбирает первую лотерею, то из корзины вынимается часть черных шаров и заменяется тем же количеством белых. Если предпочтение отдается второй лотерее, то часть белых шаров заменяется черными. В обоих случаях эксперту вновь предлагается поучаствовать в одной из двух лотерей. Изменяя соотношение шаров в гипотетической корзине, добиваются равноценности двух лотерей. Тогда искомая вероятность события S1 равна доле белых шаров в общем их количестве.

Некоторые рекомендации.

Известно, что субъективная вероятность, получаемая экспертным путем, существенно зависит от используемого метода. В частности, эксперт нередко склонен преувеличивать вероятность наименее вероятного события, а также недооценивать вероятность наиболее вероятного или преувеличивать дисперсию оцениваемой случайной величины. Рассмотрим несколько рекомендаций, выполнение которых позволит корректно проводить опрос эксперта с помощью различных методов:

· необходимо обучить эксперта процедуре проведения экспертизы. Особенно это касается экспертов, имеющих слабую подготовку по теории вероятностей;

· надо отдавать себе отчет в том, что сама процедура опроса эксперта является лишь одним звеном во всем процессе определения вероятностей. Предшествующие шаги по вычленению событий и выбору подходящего метода столь же важны. Нельзя пренебрегать также и последующим анализом полученных вероятностей с целью возможной их корректировки;

· старайтесь применять объективную информацию о вероятностях событий, например данные о том, как такие события происходили в прошлом. Эта информация должна быть доведена до эксперта. Не забывайте также обрабатывать алгебраическим путем предыдущие оценки эксперта, чтобы сопоставить их с его новыми оценками;

· для проверки надежности представленных данных рекомендуется обращаться к каким-либо другим методам нахождения субъективной вероятности или даже к модификации методов. Определенные различными методами вероятности необходимо показать эксперту для уточнения его оценок;

· при выборе конкретного метода нужно учитывать опыт работы эксперта с числовыми показателями. В любом случае употребление знакомых эксперту понятий, фраз, вопросов и шкал облегчает возможности численного представления вероятности;

· всегда, когда это возможно, старайтесь получать субъективную вероятность от нескольких экспертов, а затем некоторым образом агрегировать ее в одну;

· сложные методы, требующие больших усилий от эксперта, например метод лотерей, лучше не применять, за исключением случаев, когда имеются серьезные аргументы в пользу выбора этих методов.

Выполнение этих рекомендаций позволяет существенно улучшить оценки вероятности.