Моделирование алгоритма оценки вероятного ущерба от несанкционированного доступа злоумышленника к конфиденциальной информации

Тип работы:
Дипломная
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Введение

Каждый этап развития человечества характеризуется какими-то присущими ему особенностями. Так современный век смело можно назвать информационным. Нас окружает большое количество информации различного характера и применения, не вся эта информация предназначена для широкого доступа.

По режиму доступа информация делится на открытую и с ограниченным доступом. В свою очередь информация с ограниченным доступом делится на конфиденциальную и секретную. Под конфиденциальной информацией понимаются сведения, находящиеся в собственности, использовании или в распоряжении отдельных физических или юридических лиц и распространяются по их желанию в соответствии с предусмотренными ими условиями.

По содержанию конфиденциальная информация может иметь профессиональный, деловой, производственный, банковский, коммерческий, персональный и иной характер.

Практически в любой сфере жизни человека существует информация, не предназначенная для широкого ознакомления. В настоящее время существует множество методов позволяющих существенно снизить возможность доступа злоумышленников к конфиденциальной информации. Все они в идеале призваны обеспечить полную защиту сведений, но на практике не существует способа, который бы давал 100% защиту от действий злоумышленников. Поэтому, наряду с методами защиты информации, также разрабатываются методы оценки величины ущерба от её утечки, методы оценки риска утечки конфиденциальной информации, методы оценки вероятности осуществления угроз конфиденциальной информации и д.р. Все эти направления необходимы для полного анализа проблемы защиты информации. Среди них особо следует выделить методы оценки ущерба.

Актуальность исследований в данном направлении состоит в том, что разрабатываемые методы позволяют определить как потери, которые может понести владелец конфиденциальной информации, так и выявить и описать возможные пути реализации угроз. Помимо вышеописанных свойств этих методов, они также используются для обоснования затрат, которые производятся для создания систем защиты. Так, например, экономически не выгодно тратиться на систему защиты, которая по затратам больше, чем цена защищаемой информации. Данной проблемой занимается много специалистов по защите информации. Кроме того, в современных системах оценки рисков от утечки конфиденциальных сведений также заложен аппарат оценки ущерба (например, в системе Гриф).

Таким образом, объектом исследования является процесс моделирования алгоритма оценки вероятного ущерба от несанкционированного доступа злоумышленника к конфиденциальной информации на примере автоматизированной информационной системы.

Предметом исследования стала реализация алгоритма в пакете прикладных программ Mathcad, в связи с рядом преимуществ, предоставляемых данным пакетом.

Целью работы является построение математической модели для определения вероятного ущерба от несанкционированного доступа к конфиденциальной информации.

Исходя из поставленной цели, были определены следующие задачи:

1. Рассмотреть основные виды угроз конфиденциальной информации и провести их классификацию.

2. Изучить основные методы оценки ущерба.

3. Определить внешние параметры модели оценки ущерба.

4. Построить математическую модель оценки ущерба на основе проведенных исследований.

Необходимо также отметить, что разработка и исследование новых методов оценки ущерба от угроз конфиденциальной информации, а также применение существующих позволяет в значительной степени повышает уровень систем защиты.

Целью дипломной работы является разработка модели оценки ущерба конфиденциальной информации от внешних угроз. Для достижения поставленной задачи требуется проанализировать виды угроз конфиденциальной информации, проанализировать основные методы оценки ущерба, определить внешние параметры модели оценки ущерба конфиденциальной информации от внешних угроз и построить модель оценки ущерба конфиденциальной информации от внешних угроз.

Работа состоит из 5 глав.

В первой главе рассматриваются анализ и классификация угроз конфиденциальной информации, существующих методов оценки ущерба конфиденциальной информации от внешних угроз.

Во второй главе рассматривается построение математической модели оценки ущерба от воздействия на конфиденциальную информацию внешних угроз.

В третьей главе рассматривается алгоритм построения математической модели оценки ущерба конфиденциальной информации от внешних угроз, Реализация алгоритма построения математической модели оценки ущерба и анализ влияния входных параметров модели на величину ущерба.

В четвертой главе рассчитывается технико-экономическая эффективность проекта.

В пятой главе рассматривается безопасность и экологичность проекта.

В заключении даются краткие выводы, сделанные в результате работы.

1. Анализ задачи оценки ущерба конфиденциальной информации

1. 1 Классификация угроз конфиденциальной информации

Угроза информационной безопасности — это потенциальная возможность нарушения режима информационной безопасности. Преднамеренная реализация угрозы называется атакой на информационную систему. Лица, преднамеренно реализующие угрозы, являются злоумышленниками.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем, например, неконтролируемый доступ к персональным компьютерам или нелицензионное программное обеспечение (к сожалению даже лицензионное программное обеспечение не лишено уязвимостей).

История развития информационных систем показывает, что новые уязвимые места появляются постоянно. С такой же регулярностью, но с небольшим отставанием, появляются и средства защиты.

В этой связи более приемлемым является другой способ — способ упреждающей защиты, заключающийся в разработке механизмов защиты от возможных, предполагаемых и потенциальных угроз.

Некоторые угрозы нельзя считать следствием целенаправленных действий вредного характера. Существуют угрозы, вызванные случайными ошибками или техногенными явлениями.

Знание возможных угроз информационной безопасности, а также уязвимых мест системы защиты, необходимо для того, чтобы выбрать наиболее экономичные и эффективные средства обеспечения безопасности.

Угрозы информационной безопасности классифицируются по нескольким признакам:

— по составляющим информационной безопасности (доступность, целостность, конфиденциальность), против которых, в первую очередь, направлены угрозы;

— по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, персонал);

— по характеру воздействия (случайные или преднамеренные, действия природного или техногенного характера);

— по расположению источника угроз (внутри или вне рассматриваемой информационной системы).

Отправной точкой при анализе угроз информационной безопасности является определение составляющей информационной безопасности, которая может быть нарушена той или иной угрозой: конфиденциальность, целостность или доступность.

Угрозы, классифицируемые по расположению источника угроз, бывают внутренние и внешние.

Внешние угрозы исходят также от субъектов, не входящих в состав пользователей и обслуживающего персонала системы, разработчиков системы, и не имеющих непосредственного контакта с информационными системами и ресурсами.

Внутренние угрозы исходят от пользователей и обслуживающего персонала системы, разработчиков системы, других субъектов, вовлеченных в информационные процессы и имеющих непосредственный контакт с информационными системами и ресурсами, как допущенных, так и не имеющих доступа к информации.

Источниками внешних угроз являются:

— недобросовестные конкуренты;

— преступные группировки и формирования;

— отдельные лица и организации административно-управленческого аппарата.

Источниками внутренних угроз могут быть:

— администрация предприятия;

— персонал;

— технические средства обеспечения производственной и трудовой деятельности.

Основная особенность любой вычислительной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Особенность данного вида угроз заключается в том, что местоположение злоумышленника изначально неизвестно.

Каждая угроза влечет за собой определенный ущерб — моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале — полностью, реально — значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы конфиденциальной информации могут быть классифицированы следующим образом (рисунок 1. 1):

По величине принесенного ущерба:

— предельный, после которого фирма может стать банкротом;

— значительный, но не приводящий к банкротству;

— незначительный, который фирма за какое-то время может компенсировать и др. ;

По вероятности возникновения:

— весьма вероятная угроза;

— вероятная угроза;

— маловероятная угроза;

По причинам появления:

— стихийные бедствия;

— преднамеренные действия;

По характеру нанесенного ущерба:

— материальный;

— моральный;

По характеру воздействия:

— активные;

— пассивные;

По отношению к объекту:

— внутренние;

— внешние.

По сфере воздействия на информационные ресурсы и системы источник угроз информационной безопасности можно разделить на внешние и внутренние с точки зрения их нахождения вне или внутри системы при ее проектировании и функционировании, а также места приложения возможных способов нарушения информационной безопасности.

Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку — злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.

Если речь идет об ошибках в ПО, то окно опасности «открывается» с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.

Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда — недель), поскольку за это время должны произойти следующие события:

— должно стать известно о средствах использования пробела в защите;

— должны быть выпущены соответствующие заплаты;

— заплаты должны быть установлены в защищаемой ИС.

Новые уязвимые места и средства их использования появляются постоянно; это значит, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат — как можно более оперативно.

Некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.

Иметь представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. Слишком много мифов существует в сфере информационных технологий, поэтому незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений.

Понятие «угроза» в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в ИБ, зависят от интересов субъектов информационных отношений (и от того, какой ущерб является для них неприемлемым).

1.2 Анализ потенциальных угроз конфиденциальной информации

Конфиденциальная информация — информация, не составляющая государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальная информация, в свою очередь, включает множество видов тайны, которые сводятся к шести основным видам:

1. Персональные данные.

2. Тайна следствия и судопроизводства.

3. Служебная тайна.

4. Профессиональная тайна.

5. Коммерческая тайна.

6. Тайна изобретения, полезной модели и промышленного образца.

Под угрозой, или опасностью, утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных.

Обобщенная схема потенциальных угроз конфиденциальной информации представлена на рисунке 1. 2, где параметр характеризует множество угроз конфиденциальной информации, а параметры, , …, — определенные угрозы конфиденциальной информации.

Риск угрозы дестабилизирующего воздействия любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. К угрозам, создаваемым этими лицами, относятся: несанкционированное уничтожение документов, ускорение угасания (старения) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и др.

Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку) или утерю носителя, значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников.

Под злоумышленником понимается лицо, действующее в интересах конкурента, противника или в личных корыстных интересах (агентов иностранных спецслужб, промышленного и экономического шпионажа, криминальных структур, отдельных преступных элементов, лиц, сотрудничающих со злоумышленником, психически больных лиц и т. п.).

В отличие от объективного распространения утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения ими и использования в своих целях.

Основной угрозой безопасности информационных ресурсов ограниченного распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат — овладение информацией и противоправное ее использование или совершение иных дестабилизирующих действий.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники других организационных структур, работники коммунальных служб, экстремальной помощи, прохожие, посетители фирмы), а также сотрудники данной фирмы, не обладающие правом доступа в определенные помещения, к конкретному документу, информации, базе данных. Каждое из указанных лиц может быть злоумышленником или его сообщником, агентом, но может и не быть им.

Целями и результатами несанкционированного доступа может быть не только овладение ценными сведениями и их использование, но и их видоизменение, модификация, уничтожение, фальсификация, подмена и т. п.

Обязательным условием успешного осуществления попытки несанкционированного доступа к информационным ресурсам ограниченного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица. Основным виновником несанкционированного доступа к информационным ресурсам является, как правило, персонал, работающий с документами, информацией и базами данных. При этом надо иметь в виду, что утрата информации происходит в большинстве случаев не в результате преднамеренных действий злоумышленника, а из-за невнимательности и безответственности персонала. Следовательно, утрата информационных ресурсов ограниченного доступа может наступить при:

— наличии интереса конкурента, учреждений, фирм или лиц к конкретной информации;

— возникновении риска угрозы, организованной злоумышленником, или при случайно сложившихся обстоятельствах;

— наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией.

Эти условия могут включать:

— отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;

— неэффективную систему защиты информации или отсутствие этой системы, что образует высокую степень уязвимости информации;

— непрофессионально организованную технологию обработки и хранения конфиденциальных документов;

— неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;

— отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа;

— отсутствие контроля со стороны руководства фирмы за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;

— бесконтрольное посещение помещений фирмы посторонними лицами.

Рассмотрение наиболее распространенных угроз, которым подвержены современные информационные системы дает представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.

Задание возможных угроз информационной безопасности проводится с целью определения полного перечня требований к разрабатываемой системе защиты. Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для анализа риска реализации угроз и формулирования требований к системе защиты автоматизированной системы (АС). Кроме выявления возможных угроз, должен быть проведен их анализ на основе классификационных признаков.

1. 3 Классификация последствий от воздействия угроз

Наиболее актуальной является классификация по величине ущерба. Эта классификация является наиболее значимой для данной работы. Каждая угроза влечет за собой определенный ущерб. Исходя из этого основания, угрозы можно классифицировать по следующим уровням ущерба:

1. Угрозы, приводящие к предельным уровням ущерба, после которых фирма может стать банкротом. Являются наиболее серьезными видами ущерба. Величина затрачиваемых ресурсов злоумышленниками, как правило, пропорциональна нанесенному ущербу. Из-за большой ресурсоемкости, а также большой сложности данный вид угроз на практике реализуется не так часто, как остальные виды угроз. Основу данного типа составляют внешние угрозы.

2. Угрозы, приводящие к значительному уровню ущерба, но не приводящие к банкротству. Обычно составляет основу для рассмотрения при составлении систем защиты. Данный вид угроз примерно в одинаковых пропорциях составляют внутренние и внешние угрозы. При исследовании и составлении различных моделей часто ориентируются на этот вид угроз.

Угрозы, приводящие к незначительному уровню ущерба, который фирма за какое-то время может компенсировать. На практике является наиболее часто встречающимся. Основу данного вида ущерба составляют внутренние угрозы. Основным фактором при реализации является человеческое звено: действия персонала, администрации предприятия и т. д.

1. 4 Анализ существующих методов оценки ущерба

В настоящее время наряду с увеличением сложности и надежности методов защиты информации, совершенствуются также методы несанкционированного доступа к конфиденциальной информации. В результате наносится определенный экономический ущерб организации, который в ряде случаев может привести к серьезным последствиям. Для того, чтобы заранее определить возможный ущерб, используются различные методы анализа. Среди них можно выделить следующие: натурный эксперимент, полунатурное моделирование, методы математического моделирования и экспертные методы

Натурный эксперимент. Натурный эксперимент применяется при исследовании, как правило, внешних угроз, приводящих к существенным уровням риска. Суть метода заключается в создании полной копии реального объекта защиты, а также всех его взаимосвязей (внутренних и внешних) с другими объектами некоторой системы. После завершения подготовительного этапа, на полученной модели начинается моделирование различных действий злоумышленников по реализации несанкционированного доступа к объекту защиты. Все результаты моделирования оформляются документально и подвергаются статистической обработке, на основании которой выводятся практические рекомендации по обеспечению целостной защиты информации. Преимуществом данного метода является высокая достоверность результатов эксперимента, а также возможность в реальном времени и на реальных системах исследовать поставленную задачу. Недостатком является сложность и большая стоимость экспериментальных исследований, так как требуется на практике реализовать несколько десятков одинаковых экспериментов. Таким образом, применение данного метода является достаточно проблематичным.

Полунатурное моделирование. Полунатурное моделирование позволяет избежать недостатков, присущих натурным экспериментальным исследованиям. Данный метод исключает необходимость создания полной копии реального объекта. Суть метода заключается в замене некоторых частей реальной системы приближенными до некоторой степени объектами. Обычно на практике при использовании этого метода заменяют только самые сложные части реального объекта. При этом уменьшается стоимость экспериментальных исследований и снижается сложность моделирования, но в результате точность и достоверность полученных сведений также снижается пропорционально принятым допущениям при создании копии системы. Еще одним недостатком данного метода можно считать недостаточность решенности проблемы подобия человеко-машинной системы реальной системе, в результате чего объективность и достоверность результатов снижается по сравнению с натурным экспериментом.

Методы математического моделирования. Методы математического моделирования являются одними из наиболее распространенных при моделировании и анализе ущерба от несанкционированного доступа к конфиденциальной информации.

Под математическим моделированием будем понимать процесс установления соответствия данному реальному объекту некоторого математического объекта, называемого математической моделью, и исследование этой модели, позволяющее получать характеристики рассматриваемого реального объекта. Вид математической модели зависит как от природы реального объекта, так и задач исследования объекта и требуемой достоверности и точности решения этой задачи. Любая математическая модель, как и всякая другая, описывает реальный объект лишь с некоторой степенью приближения к действительности. Математическое моделирование для исследования характеристик процесса функционирования систем можно разделить на аналитическое, имитационное и комбинированное.

Для аналитического моделирования характерно то, что процессы функционирования элементов системы записываются в виде некоторых функциональных соотношений (алгебраических, интегродифференциальных, конечноразностных и т. п.) или логических условий. Аналитическая модель может быть исследована следующими методами:

1. Аналитическим, когда стремятся получить в общем виде явные зависимости для искомых характеристик;

2. Численным, когда, не умея решать уравнений в общем виде, стремятся получить числовые результаты при конкретных начальных данных;

3. Качественным, когда, не имея решения в явном виде, можно найти некоторые свойства решения (например, оценить устойчивость решения).

Наиболее полное исследование процесса функционирования системы можно провести, если известны явные зависимости, связывающие искомые характеристики с начальными условиями, параметрами и переменными системы_S. Однако такие зависимости удается получить только для сравнительно простых систем. При усложнении систем исследование их аналитическим методом наталкивается на значительные трудности, которые часто бывают непреодолимыми. Поэтому, желая использовать аналитический метод, в этом случае идут на существенное упрощение первоначальной модели, чтобы иметь возможность изучить хотя бы общие свойства системы. Такое исследование на упрощенной модели аналитическим методом помогает получить ориентировочные результаты для определения более точных оценок другими методами. Численный метод позволяет исследовать по сравнению с аналитическим методом более широкий класс систем, но при этом полученные решения носят частный характер. Численный метод особенно эффективен при использовании ЭВМ.

В отдельных случаях исследования системы могут удовлетворить и те выводы, которые можно сделать при использовании качественного метода анализа математической модели. Такие качественные методы широко используются, например, в теории автоматического управления для оценки эффективности различных вариантов систем управления.

В настоящее время распространены методы машинной реализации исследования характеристик процесса функционирования больших систем. Для реализации математической модели на ЭВМ необходимо построить соответствующий моделирующий алгоритм.

При имитационном моделировании реализующий модель алгоритм воспроизводит процесс функционирования системы S во времени, причем имитируются элементарные явления, составляющие процесс, с сохранением их логической структуры и последовательности протекания во времени, что позволяет по исходным данным получить сведения о состояниях процесса в определенные моменты времени, дающие возможность оценить характеристики системы S.

Основным преимуществом имитационного моделирования по сравнению с аналитическим является возможность решения более сложных задач. Имитационные модели позволяют достаточно просто учитывать такие факторы как наличие дискретных и непрерывных элементов, нелинейные характеристики элементов системы, многочисленные случайные воздействия и др., которые часто создают трудности при аналитических исследованиях. В настоящее время имитационное моделирование — наиболее эффективный метод исследования больших систем, а часто и единственный практически доступный метод получения информации о поведении системы, особенно на этапе ее проектирования.

Когда результаты, полученные при воспроизведении на имитационной модели процесса функционирования системы S, являются реализациями случайных величин и функций, тогда для нахождения характеристик процесса требуется его многократное воспроизведение с последующей статистической обработкой информации и целесообразно в качестве метода машинной реализации имитационной модели использовать метод статистического моделирования. Первоначально был разработан метод статистических испытаний, представляющий собой численный метод, который применялся для моделирования случайных величин и функций, вероятностные характеристики которых совпадали с решениями аналитических задач (такая процедура получила название метода Монте-Карло). Затем этот прием стали применять и для машинной имитации с целью исследования характеристик процессов функционирования систем, подверженных случайным воздействиям, т. е. появился метод статистического моделирования. Таким образом, методом статистического моделирования будем в дальнейшем называть метод машинной реализации имитационной модели, а методом статистических испытаний (Монте-Карло) — численный метод решения аналитической задачи.

Метод имитационного моделирования позволяет решать задачи анализа больших систем S, включая задачи оценки: вариантов структуры системы, эффективности различных алгоритмов управления системой, влияния изменения различных параметров системы. Имитационное моделирование может быть положено также в основу структурного, алгоритмического и параметрического синтеза больших систем, когда требуется создать систему, с заданными характеристиками при определенных ограничениях, которая является оптимальной по некоторым критериям оценки эффективности.

При решении задач машинного синтеза систем на основе их имитационных моделей помимо разработки моделирующих алгоритмов для анализа фиксированной системы необходимо также разработать алгоритмы поиска оптимального варианта системы. Далее в методологии машинного моделирования будем различать два основных раздела: статику и динамику, — основным содержанием которых являются соответственно вопросы анализа и синтеза систем, заданных моделирующими алгоритмами.

Комбинированное (аналитико-имитационное) моделирование при анализе и синтезе систем позволяет объединить достоинства аналитического и имитационного моделирования. При построении комбинированных моделей проводится предварительная декомпозиция процесса функционирования объекта на составляющие подпроцессы и для тех из них, где это возможно, используются аналитические модели, а для остальных подпроцессов строятся имитационные модели. Такой комбинированный подход позволяет охватить качественно новые классы систем, которые не могут быть исследованы с использованием только аналитического и имитационного моделирования в отдельности.

Экспертные методы. Экспертные методы, применяемые в теории безопасности конфиденциальной информации, могут быть разбиты на два направления: методы первого направления преследуют цель создания базы данных путем экспертного опроса специалистов по защите информации и информационной безопасности. При этом принимаются следующие допущения:

1. Стоимость затрат на защиту конкретных сведений не учитывается. Правомочность такого допущения оправдывается тем, что экономический ущерб от утечки конфиденциальной информации, как правило, многократно превышает стоимость мероприятий по ее защите, так как эти мероприятия применяются к ряду или всем сведениям и имеют постоянный характер.

2. Оценка числового значения ущерба проводится для случая, когда вероятность утечки сведения принимается равной единице. Правомочность такого допущения оправдывается тем, что важность сведений определяется максимальным (потенциальным) ущербом для предприятия вследствие утечки этих сведений.

Оценка возможного ущерба от утечки конфиденциальной информации проводится в следующей последовательности (общий подход):

1. Применительно к сфере деятельности предприятия, сведения о которой подлежат экспертизе, соответствующим руководителем (ответственным лицом за данную сферу деятельности) разрабатываются предложения по формированию экспертной комиссии. В нее включаются специалисты, компетентные в данной сфере деятельности. В случае, если сфера деятельности охватывает кооперацию предприятий, то в состав экспертной комиссии могут включаться, по согласованию с соответствующими руководителями, представители этих предприятий. Численность экспертной комиссии зависит от сложности рассматриваемых вопросов, однако практика свидетельствует, что ее состав должен состоять не менее, чем из 5−7 экспертов. Формирование экспертной комиссии утверждается соответствующим приказом руководителя предприятия. В составе комиссии назначается ее председатель, а также секретарь, на которого возлагаются подготовка исходной документации, опросных листов для членов комиссии, оформление протокола заседания комиссии.

2. На заседании экспертной комиссии экспертам выдаются опросные листы. По предложениям экспертов принимается совместное решение по перечню сведений о рассматриваемой сфере деятельности, подлежащих экспертизе. Для ускорения решения этого вопроса председатель комиссии может поручить отдельным экспертам предварительную подготовку перечня возможных сведений о рассматриваемой сфере деятельности и доклад его на заседании комиссии. Перечень сведений, подлежащих экспертизе, принятый на заседании комиссии, вносится в опросные листы экспертов. Экспертные оценки проводятся отдельно по каждому из сведений. Эксперты совместно принимают решение о возможных действиях со стороны конкурентов в случае их осведомленности о рассматриваемых сведениях.

3. Председателем комиссии сообщаются исходные данные по экономическому показателю предприятия, а также экономический показатель сферы (области) деятельности предприятия (например, контракта или контрактов), к которой имеют отношение рассматриваемые сведения. Указанные показатели могут сообщаться в относительных значениях.

4. Каждым экспертом в опросном листе проставляется его мнение об относительном снижении экономического показателя предприятия применительно к каждому действию со стороны конкурентов, определяется суммарное относительное снижение экономического показателя предприятия вследствие всех возможных действий со стороны конкурентов.

5. Окончательное значение ущерба от утечки сведений по результатам экспертной оценки комиссией определяется путем усреднений решений всех участвовавших в оценке экспертов. Критерием отнесения сведений к конфиденциальной информации предприятия является условие, когда значение ущерба больше нуля. Уровни возможного ущерба от утечки конкретных сведений характеризуют относительную важность этих сведений.

6. Заседание экспертной комиссии оформляется протоколом. Использование метода экспертных оценок предполагает присвоение конкретным экспертам «весовых коэффициентов» по признаку их компетенции, проведение повторных туров опросов в случае появления большого удаления оценок отдельных экспертов от усредненного значения групповой опенки.

Методы второго направления связаны с использованием материалов баз данных для формирования баз знаний экспертных систем. Как правило, экспертные методы используются в качестве основы для методов математического моделирования, в результате чего достигается большая точность при описании системы.

Анализ задачи оценки ущерба позволяет утверждать, что:

1. Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

2. Каждая угроза влечет за собой определенный ущерб — моральный или материальный, а защита и противодействие угрозе призвано снизить его величину.

3. Математическое моделирование для исследования характеристик процесса функционирования систем можно разделить на аналитическое, имитационное и комбинированное. Среди этих видов математического моделирования выбрано аналитическое моделирование.

4. При составлении математической модели необходимо учитывать большое количество внешних и внутренних факторов, что в конечном итоге усложняет модель.

5. Для того, чтобы заранее определить возможный ущерб, используются различные методы анализа. Среди них можно выделить следующие: натурный эксперимент, полунатурное моделирование, методы математического моделирования и экспертные методы.

2. Построение математической модели оценки ущерба от воздействия на конфиденциальную информацию внешних угроз

2.1 Концепция математической модели оценки ущерба конфиденциальной информации от внешних угроз

Информацию к расходуемому без остатка ресурсу непосредственно отнести нельзя (справедливость этого вывода подтверждается тем фактом, что в информационных процессах не действует закон сохранения). Поэтому нельзя определить ценность информации при рассмотрении модели ее использования только на информационном (внутреннем) уровне. Для установления цены информации необходимо установить связь ее содержания с ресурсом, который расходуется без остатка. Для этого необходимо связать содержание информации с величинами более высокого (внешнего) уровня, для которых выполняются законы сохранения или существуют более простые балансовые соотношения.

В качестве такой величины целесообразно принять значение потенциала информации, являющегося обобщенной количественной характеристикой мощи информации, достигаемой средствами, расходуемыми без остатка. Так как содержание мощи сложно и многомерно, потенциал является простейшим скалярным приближением, точности которого достаточно для сравнительной оценки эффективности (важности, ценности) обеспечивающих «вещей», к которым относится и информация.

Так как полученная таким образом цена информации будет не абсолютной, а сравнительной (субъективной, условной), т. е. справедливой только в определенных условиях, то кроме свойства частичной адекватности важно свойство наглядности получаемой оценки. В связи с этим достаточно наглядную оценку ценности информации можно получить при использовании более простой модели потенциала — раскрытого потенциала, зависящего от эффективности защиты информации. Он равен произведению значения общего потенциала информации, взятого до момента начала моделирования —, на вероятность реализации несанкционированного доступа к конфиденциальной информации, определяемую на математической модели функционирования системы —:

(2. 1)

Под общим потенциалом информации будем понимать тот положительный эффект (материальный или моральный), который может быть получен при использовании её на указанном интервале времени. При этом формальной основой отношения соперников при несанкционированном доступе к информации и при ее защите является максиминная задача:

(2. 2)

где, — значение раскрытого потенциала; r, z — стратегии по несанкционированному доступу к конфиденциальной информации и защиты информации, соответственно, реализуемые в условиях системы S.

2.2 Анализ внешних параметров модели оценки ущерба конфиденциальной информации от внешних угроз

Модель оценки ущерба не является замкнутой. Как известно, для полного отражения действительности модель должна учитывать множество внешних параметров, то есть данных из среды функционирования модели. Но на практике учесть все возможные параметры, в той или иной степени влияющие на итог моделирования, не представляется возможным или является настолько сложной и трудоемкой задачей, что само моделирование становится невыгодной задачей. Рассмотрим наиболее важные параметры, в значительной степени влияющие на итог моделирования, а также попытаемся обозначить числовые величины, в которых будут измеряться эти параметры.

Одним из основных внешних факторов можно выделить квалификацию злоумышленника: чем она выше, тем больше шанс на несанкционированный доступ. При одинаковых прочих условиях вероятность несанкционированного доступа будет больше у того злоумышленника, у которого выше квалификация. Так как данная величина не имеет четкой регламентированной единицы измерения и, кроме того, является абстрактной характеристикой, то применительно к рассматриваемому случаю ограничим квалификацию злоумышленника числом, заключенным в интервале от 0 до 1, при этом 0 говорит о профессиональной безграмотности злоумышленника, а 1 о его полном профессионализме.

Другим не менее важным параметром является время, проведенное злоумышленником над реализацией попытки несанкционированного доступа. Чем больше времени, тем больше шанс на то, что попытка закончится успехом, но тем больше и шанс того, что злоумышленника поймают с поличным. На практике для этой величины в нашей модели будем использовать Марковские процессы с дискретными состояниями и непрерывным временем, которые, как известно, в большинстве случаев характеризуются двумя параметрами интенсивности и, где параметр характеризует интенсивность прямых переходов между составляющими системы S, а параметр , — обратных переходов (рисунок 2. 1).

Рисунок 2.1 — Пример графа Марковского процесса

Кроме того, необходимо также учитывать количество злоумышленников. Чем больше их количество, тем более вероятен случай несанкционированного доступа к объекту защиты. Когда происходит оценка ущерба при одновременном несанкционированном доступе нескольких злоумышленников. В нашем случае этот факт будет учтен при использовании максиминной задачи, когда среди возможного ущерба будет выбираться максимальный наносимый наиболее квалифицированным злоумышленником.

Также необходимо заметить, что любая конфиденциальная информация имеет также физическую составляющую. Которая, характеризует защиту конфиденциальной информации с физической стороны. Так, например, если информация находится в сети, то немаловажную роль при несанкционированном доступе к конфиденциальной информации играет техническое снаряжение злоумышленника. Чем оно выше, тем незаметнее, легче и качественнее он сможет реализовать угрозу. В математической модели для каждой её составляющей необходимо будет определить так называемую энергетическую вероятность обнаружения конфиденциальной информации, зависящую от технического оснащения злоумышленника.

Кроме параметров, связанных с действиями злоумышленников, в модели используются также параметры, связанные с различными законами распределения вероятностей. Значения этих параметров определяются при использовании статистических методов. Ограничения, накладываемые на эти параметры, связаны с самими законами распределения.

2. 3 Разработка процедуры определения размеров ущерба вследствие утечки конфиденциальной информации

Определение размеров ущерба вследствие распространения сведений, составляющих тайну, с использованием различных моделей является основой для решения о необходимости ограничения доступа к данным сведения и оценки эффективности мер защиты информации.

Наиболее общей характеристикой при этом являются размеры экономического ущерба. Методы определения размеров ущерба, который может быть нанесен безопасности общества или государства вследствие распространения сведений, составляющих тайну, зависят от следующих факторов:

— сферы деятельности, к которой относятся рассматриваемые сведения (экономической, научно-технической и др.);

— степени неопределенности информации, используемой при оценках величины ущерба;

— сферы проявления ущерба (в отдельных сферах деятельности, либо комплексно в некоторых сферах).

Рассмотрим модель для определения размеров ущерба, применимая в ситуации, когда сведения касаются достаточно узкой сферы деятельности, сфера проявления ущерба ограниченна, и исходящая информация для оценок вполне определенна. В данном случае целесообразно применять метод, основанный на модели «осведомленность-эффективность», позволяющий получить количественные оценки величины ущерба. В качестве методологической основы определения размеров ущерба при неопределенности исходной информации и сфер нанесения ущерба целесообразно выбрать метод, разработанный Т. Л. Саати.

Представленный метод оценки размеров ущерба, наступающего в результате распространения сведений, составляющих тайну, основан на анализе влияния изменения осведомленности соперника (конкурента) об этих сведениях на эффективность функционирования объектов защиты — носителей сведений. При этом анализируются объекты защиты, находящиеся в наиболее остром конфликте с соответствующими объектами соперника, от результатов которого зависит эффективность объектов защиты, их живучесть, а также затрагиваются жизненно важные интересы сторон.

Для определения возможного ущерба вследствие распространения сведений о защищаемых объектах выполняются определенные процедуры (рисунок 2. 2).

Концепция процедуры оценки ущерба конфиденциальной информации

Оценка априорной осведомленности соперника об объекте представляет собой задачу прогнозирования «за соперника» характеристик объекта, а также оценку точности и достоверности такого прогноза. Источниками информации при программировании являются:

— характеристики аналогичных объектов, опубликованные в открытой печати, передаваемые другим сторонам при проведении переговоров;

— характеристика аналогичных объектов соперника;

— технические, физические, экономические и другие ограничения на достижимые значения других характеристик защищаемых объектов;

— материалы, поступающие от служб безопасности организации, владеющим защищаемым объектом.

В качестве показателей оценки осведомленности соперника о защищаемых объектах могут использоваться:

— для сведений количественного характера — среднеквадратическая ошибка определения значения сведения (характеристики); отключение (смещение) математического ожидания значения; вероятность определения (измерения) значения с заданной точностью;

— для сведений качественного характера (например, наличие объекта или определенного свойства объекта) — вероятность правильного распознавания объекта; вероятность вскрытия данного сведения.

Оценка влияния распространения влияния сведений об объектах на осведомленность соперника. Такая оценка осуществляется путем сравнения истинных значений сведений, которые могут быть известны сопернику. Если ошибки определения сведений по результатам прогнозирования несущественны, то распространение сведений об объекте практически не повлияет на осведомленность соперника на них.

Прогнозирование возможных контрмер злоумышленника против объекта защиты. Оно осуществляется с использованием информации о имеющихся у соперника способах и средствах воздействия на функционирование объекта и об их возможном развитии. При этом необходимо определить, какие из контрмер могут быть быстро реализованы в краткосрочном периоде времени. Следует отметить, что соперник предпринимает дополнительные контрмеры, если рассматриваемых объект представляет для него реальную угрозу (например, эффективность новых технологий конкурента значительно превышает эффективность уже существующих).

В процессе жизненного цикла объектов защиты, как правило, происходит постепенное изменение осведомленности соперника от незнания их характеристик до полного и достоверного их знания. Защищаемые объекты, как правило, сложны по составу, могут характеризоваться значительным количеством сведений, поэтому число возможных вариантов (состояний осведомленности) соперника может быть велико.

В то же время некоторые состояния осведомленности могут отличаться несущественно с точки зрения реализуемых на их основе контрмер и наносимого при этом ущерба. Поэтому в интересах сокращения числа исследуемых контрмер соперника выбирается ограниченное число принципиально отличающихся друг от друга состояний осведомленности о защищаемых объектах. Назовем эти состояния критическими. Каждое критическое состояние осведомленности характеризуется совокупностью (комбинацией) сведений, необходимых для реализации хотя бы одной из контрмер.

Между различными критическими состояниями осведомленности устанавливаются отношения предшествования и следования во времени в соответствии с расширением множества сведений, характеризующих эти варианты. В результате этого формируется граф изменения осведомленности об объекте (рисунок 2. 3).

Вершинами графа соответствуют различные состояния осведомленности, дугам — переходы из одного состояния в другое. Начальное состояние графа соответствует случаю отсутствия у соперника достоверных сведений; конечное состояние — его полной осведомленности о защищаемом объекте.

Контрмеры соперника по возможности их одновременной реализации подразделяются на следующие классы:

— простые (для данного состояния осведомленности существует только одна контрмера);

— альтернативные (из нескольких вариантов контрмер одновременно может реализоваться только одна);

— обобщенные, реализуемые путем наращивания контрмер, принятых для более ранних состояний осведомленности (при реализации всех мер формируется обобщенная мера).

Рисунок 2.3 — Обобщенная графическая модель взаимосвязи состояния осведомленности соперника об объекте, соответствующих им контрмер и эффективность функционирования объекта

Отношения между различными контрмерами отображаются в виде графа обобщенных контрмер, реализуемых путем наращивания. Вершинам графа соответствуют простые и обобщенные контрмеры, а дугам — включение данной контрмеры в обобщенную контрмеру. Взаимосвязи между вариантами осведомленности и контрмерами отображаются в виде дуг, соединяющих эти графы. Каждой из дуг, связывающих различные состояния графа, может быть поставлена в соответствие оценка вероятности и времени перехода системы из состояния в состояние.

Моделирование влияния контрмер соперника на эффективность функционирования защищаемого объекта происходит с использованием следующих мер.

Оценка возможного снижения эффективности объекта в зависимости от контрмер соперника осуществляется при применении моделей функционирования защищаемых объектов путем изменения исходных данных и параметров этих моделей. Для этого модели должны быть чувствительны к изменениям в действиях соперника в зависимости от его осведомленности об объекте.

Для получения оценок влияния осведомленности об объекте на эффективность его функционирования и величину возникающего ущерба моделируются процессы, отображаемые тремя взаимосвязанными графами: изменением осведомленности, реализацией контрмер и изменением эффективности функционирования объекта. Содержание этих процессов состоит в следующем.

Последовательно к определенному моменту времени достигается одно из состояний графа осведомленности, при котором начинается процесс реализации соответствующей контрмеры. При реализации этой контрмеры достигается одно из состояний в графе изменения эффективности функционирования объекта. Время достижения заданного состояния в графе изменения эффективности функционирования объекта определяется как сумма времени, необходимого сопернику для достижения соответствующего состояния осведомленности, и времени, необходимого для реализации связанных с этим состоянием контрмер.

Результаты расчетов эффективности функционирования объекта при различной осведомленности соперника упорядочиваются по величине эффективности и отображаются в виде графа изменения эффективности функционирования объекта.

Таким образом, рисунок 2. 3, наглядно иллюстрирует процесс изменения величины эффективности функционирования защищаемого объекта от изменения осведомленности соперника о нем.

ПоказатьСвернуть
Заполнить форму текущей работой