современные методы оценки информационной безопасности автоматизированных систем
В статье приведены анализ подходов к оценке информационной безопасности автоматизированных систем, недостатки существующих методик оценки информационной безопасности. Структурированы основные принципы разработки таких методик. Показаны важность и актуальность исследований в этом направлении.
Проблема обеспечения информационной безопасности (ИБ) современных автоматизированных систем (АС) компаний стоит в ряду первых и самых важных. Сложность этих систем, разветвленность составляющих их основу компьютерных сетей еще больше усугубляют ситуацию. Под информационной безопасностью в АС понимается состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. В теоретическом плане одним из актуальных направлений является разработка методик оценки ИБ на этапах проектирования, разработки и функционирования АС.
Важность этого направления заключается, прежде всего, в обосновании необходимости применения тех или иных средств обеспечения ИБ и способов их использования, а также в определении их достаточности или недостаточности для конкретной АС. Кроме того, ИБ, как любая характеристика, должна иметь единицы измерения. Очевидно, что по своей сути оценка ИБ является комплексной. Комплексность проявляется в том, что она характеризует защищенность информации и поддерживающей инфраструктуры от всей совокупности угроз и на всех стадиях жизненного цикла АС.
Анализ показывает, что в настоящее время существуют два основных подхода к оценке ИБ АС.
Первый – на основе характеристик защитных для объекта оценки механизмов и достаточности системы защиты. Суть подхода в том, что вывод об уровне ИБ делается на основании значение показателя эффективности системы защиты. При этом в рамках данного подхода внимание уделяется лишь одному из аспектов информационной безопасности – защите информации от несанкционированного доступа.
Второй подход основан на тесной связи системы показателей количественных оценок ИБ АС с эффективностью функционирования этой АС в условиях воздействия всех видов угроз ИБ. Второй подход является методологически более верным с точки зрения системного анализа, так как в этом случае выполняется один из основных принципов системного подхода, который заключается в том, что каждый элемент системы, выполняя определенную функцию, способствует достижению цели (выполнению общесистемной функции). Об эффективности функционирования этого элемента можно говорить тогда, когда существует прирост эффективности системы в целом. То есть если в том виде деятельности компании, который связан с применением АС, наблюдается улучшение ситуации, рост соответствующих показателей, то можно говорить и об эффективности системы обеспечения ИБ.
Анализ показывает, что разработка методики оценки ИБ предполагает наличие или разработку модели объекта оценки, модели системы защиты, а в ряде случаев модели потенциального нарушителя (например, при оценке АС военного назначения).
Наличие модели объекта оценки необходимо для определения существующих в нем связей, процессов, выявления конкретных элементов, требующих защиты, характерных уязвимостей и угроз, а также выработки показателей ИБ. Модель потенциального нарушителя необходима для определения конкретных стратегий поведения нарушителя, а также уточнения характера угроз, источником которых он является.
Одной из самых распространенных является так называемая оценка по требованиям нормативных документов. В результате удовлетворения тем или иным требованиям АС относят к тому или иному классу защищенности. Примером такого подхода может служить международный стандарт ИСО/МЭК 15408.99 «Критерии оценки безопасности информационных технологий», разработанный в рамках проекта «Общие критерии». Из-за отсутствия соответствующей теории и расчетных соотношений в данном стандарте не приведены единицы измерения и количественная оценка безопасности информации в АС. Другой подход, основанный на анализе рисков, предусматривает оценку рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС.
Известные методики можно классифицировать по типу используемой в них процедуры принятия решения на одноэтапные, в которых оценки риска выполняется с помощью одноразовой решающей процедуры, и многоэтапные, с предварительным оцениванием ключевых параметров.
Одноэтапные методики, как правило, используются на начальной стадии проектирования АС, когда ключевые факторы, определяющие информационную безопасность, еще не выявлены. Недостатком одноэтапных процедур является высокая степень «субъективного фактора» в оценке риска и трудности их использования для анализа риска.
Многоэтапные методики с предварительным оцениванием ключевых параметров являются более конструктивными. Например, методика оценки риска, изложенная в специальных рекомендациях 800-30 (NIST) предполагает предварительное оценивание двух параметров: потенциального ущерба и вероятности реализации угрозы. Однако достаточно «жесткий» механизм получения оценок риска существенно ограничивает возможности данной методики. Известны методики получения оценок риска с предварительным оцениванием трех ключевых параметров (метод CRAMM). Здесь кроме потенциального ущерба и вероятности реализации угрозы оценивается степень уязвимости АС. Можно говорить, что методика оценивания риска CRAMM по сравнению с методикой NIST является более конструктивной, поскольку она позволяет анализировать большее количество параметров по более точным шкалам. Однако по существу механизм вывода оценок рисков, представленный в CRAMM, остался табличным, то есть отражает только взаимосвязи между уровнями, определенными для шкал входных данных и величиной риска.
В статье «Оценка рисков информационной безопасности на основе нечеткой логики» (Балашов П.А., Кислов Р.И., Безгузиков В.П., «Защита информации. Конфидент» №5’2003) описан новый метод оценки рисков, основанный на применении аппарата нечеткой логики в качестве средства повышения точности оценок в методиках NIST и CRAMM. Этот механизм, по существу, является экспертной системой, в которой базу знаний составляют правила, отражающие логику взаимосвязи входных величин и риска. Анализ показывает, что степень объективности исходных данных (данная проблема оставлена авторами за рамками статьи) вызывает большие сомнения в силу субъективности метода экспертной оценки, лежащего в основе измерения значений исходных параметров. Кроме того, практическое применение метода с опорой на предлагаемые авторами программные средства будет затруднено в силу необходимости выполнения большого объема ручной работы на подготовительном этапе.
Известен подход к определению множества рисков как к декартовому произведению множества угроз, множества уязвимостей и множества активов объекта оценки - R = Y x V x A. Это множество рисков определяет множество ущербов U = R x S, где S – множество ценностей активов. На основе оценок элементов указанных множеств предлагается ввести обобщенные и частные интегральные показатели защищенности. В качестве обобщенных интегральных показателей защищенности ОИ предлагается использовать:
- средний риск нанесения ущерба владельцам активов от воздействия всех видов угроз без использования средств обеспечения безопасности, характеризующий уязвимость;
- средний ущерб, наносимый владельцам активов при реализации всех видов угроз без использования средств обеспечения безопасности.
В качестве частных интегральных показателей защищенности предложено использовать:
- средний риск нанесения ущерба при реализации угрозы определенного вида через все возможные уязвимости на активы всех типов, характеризующий степень опасности угрозы определенного вида, и соответствующий ему ущерб;
- средний риск нанесения ущерба от воздействия всех видов угроз через все возможные уязвимости на определенный тип активов, характеризующий незащищенность активов определенного типа, и соответствующий ему ущерб и т. д.
Таким образом, вопрос оценки ИБ в АС, несмотря на существующие в настоящее время решения, по-прежнему остается актуальным. При всей важности этого направления, до настоящего времени нет простых в описании и использовании и достаточно точных методик оценки ИБ АС (под точностью надо понимать, прежде всего, адекватность используемых при оценке моделей).
Решение задачи совершенствования методик оценки уровня ИБ АС связано с первоначальными условиями, которые должны быть заданы в техническом задании на АС, а также повышением объективности исходных данных, используемых при расчете.
Первоначальные условия должны содержать модель ожидаемого поведения нарушителя. У квалифицированного нарушителя более широкие возможности, следовательно, при оценке потребуется рассмотреть большее количество возможных каналов несанкционированного доступа.
Добиться повышения объективности исходных данных можно несколькими путями. Во-первых, за счет повышения комплексности подхода к проблеме оценки, которая должна выражаться во включении в рассмотрение мер защиты не только преимущественно организационного или программно-технического характера, а всех поддающихся достаточно точной оценке мер защиты, включая и физическую защиту. Во-вторых, повысить объективность исходных данных можно за счет изменения подхода к оцениванию ресурсов, для чего, прежде всего, необходимо определить соответствующий критерий оценивания.
Андрей Бакуренко, Военная академия Республики Беларусь
Проблема обеспечения информационной безопасности (ИБ) современных автоматизированных систем (АС) компаний стоит в ряду первых и самых важных. Сложность этих систем, разветвленность составляющих их основу компьютерных сетей еще больше усугубляют ситуацию. Под информационной безопасностью в АС понимается состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. В теоретическом плане одним из актуальных направлений является разработка методик оценки ИБ на этапах проектирования, разработки и функционирования АС.
Важность этого направления заключается, прежде всего, в обосновании необходимости применения тех или иных средств обеспечения ИБ и способов их использования, а также в определении их достаточности или недостаточности для конкретной АС. Кроме того, ИБ, как любая характеристика, должна иметь единицы измерения. Очевидно, что по своей сути оценка ИБ является комплексной. Комплексность проявляется в том, что она характеризует защищенность информации и поддерживающей инфраструктуры от всей совокупности угроз и на всех стадиях жизненного цикла АС.
Анализ показывает, что в настоящее время существуют два основных подхода к оценке ИБ АС.
Первый – на основе характеристик защитных для объекта оценки механизмов и достаточности системы защиты. Суть подхода в том, что вывод об уровне ИБ делается на основании значение показателя эффективности системы защиты. При этом в рамках данного подхода внимание уделяется лишь одному из аспектов информационной безопасности – защите информации от несанкционированного доступа.
Второй подход основан на тесной связи системы показателей количественных оценок ИБ АС с эффективностью функционирования этой АС в условиях воздействия всех видов угроз ИБ. Второй подход является методологически более верным с точки зрения системного анализа, так как в этом случае выполняется один из основных принципов системного подхода, который заключается в том, что каждый элемент системы, выполняя определенную функцию, способствует достижению цели (выполнению общесистемной функции). Об эффективности функционирования этого элемента можно говорить тогда, когда существует прирост эффективности системы в целом. То есть если в том виде деятельности компании, который связан с применением АС, наблюдается улучшение ситуации, рост соответствующих показателей, то можно говорить и об эффективности системы обеспечения ИБ.
Анализ показывает, что разработка методики оценки ИБ предполагает наличие или разработку модели объекта оценки, модели системы защиты, а в ряде случаев модели потенциального нарушителя (например, при оценке АС военного назначения).
Наличие модели объекта оценки необходимо для определения существующих в нем связей, процессов, выявления конкретных элементов, требующих защиты, характерных уязвимостей и угроз, а также выработки показателей ИБ. Модель потенциального нарушителя необходима для определения конкретных стратегий поведения нарушителя, а также уточнения характера угроз, источником которых он является.
Одной из самых распространенных является так называемая оценка по требованиям нормативных документов. В результате удовлетворения тем или иным требованиям АС относят к тому или иному классу защищенности. Примером такого подхода может служить международный стандарт ИСО/МЭК 15408.99 «Критерии оценки безопасности информационных технологий», разработанный в рамках проекта «Общие критерии». Из-за отсутствия соответствующей теории и расчетных соотношений в данном стандарте не приведены единицы измерения и количественная оценка безопасности информации в АС. Другой подход, основанный на анализе рисков, предусматривает оценку рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС.
Известные методики можно классифицировать по типу используемой в них процедуры принятия решения на одноэтапные, в которых оценки риска выполняется с помощью одноразовой решающей процедуры, и многоэтапные, с предварительным оцениванием ключевых параметров.
Одноэтапные методики, как правило, используются на начальной стадии проектирования АС, когда ключевые факторы, определяющие информационную безопасность, еще не выявлены. Недостатком одноэтапных процедур является высокая степень «субъективного фактора» в оценке риска и трудности их использования для анализа риска.
Многоэтапные методики с предварительным оцениванием ключевых параметров являются более конструктивными. Например, методика оценки риска, изложенная в специальных рекомендациях 800-30 (NIST) предполагает предварительное оценивание двух параметров: потенциального ущерба и вероятности реализации угрозы. Однако достаточно «жесткий» механизм получения оценок риска существенно ограничивает возможности данной методики. Известны методики получения оценок риска с предварительным оцениванием трех ключевых параметров (метод CRAMM). Здесь кроме потенциального ущерба и вероятности реализации угрозы оценивается степень уязвимости АС. Можно говорить, что методика оценивания риска CRAMM по сравнению с методикой NIST является более конструктивной, поскольку она позволяет анализировать большее количество параметров по более точным шкалам. Однако по существу механизм вывода оценок рисков, представленный в CRAMM, остался табличным, то есть отражает только взаимосвязи между уровнями, определенными для шкал входных данных и величиной риска.
В статье «Оценка рисков информационной безопасности на основе нечеткой логики» (Балашов П.А., Кислов Р.И., Безгузиков В.П., «Защита информации. Конфидент» №5’2003) описан новый метод оценки рисков, основанный на применении аппарата нечеткой логики в качестве средства повышения точности оценок в методиках NIST и CRAMM. Этот механизм, по существу, является экспертной системой, в которой базу знаний составляют правила, отражающие логику взаимосвязи входных величин и риска. Анализ показывает, что степень объективности исходных данных (данная проблема оставлена авторами за рамками статьи) вызывает большие сомнения в силу субъективности метода экспертной оценки, лежащего в основе измерения значений исходных параметров. Кроме того, практическое применение метода с опорой на предлагаемые авторами программные средства будет затруднено в силу необходимости выполнения большого объема ручной работы на подготовительном этапе.
Известен подход к определению множества рисков как к декартовому произведению множества угроз, множества уязвимостей и множества активов объекта оценки - R = Y x V x A. Это множество рисков определяет множество ущербов U = R x S, где S – множество ценностей активов. На основе оценок элементов указанных множеств предлагается ввести обобщенные и частные интегральные показатели защищенности. В качестве обобщенных интегральных показателей защищенности ОИ предлагается использовать:
- средний риск нанесения ущерба владельцам активов от воздействия всех видов угроз без использования средств обеспечения безопасности, характеризующий уязвимость;
- средний ущерб, наносимый владельцам активов при реализации всех видов угроз без использования средств обеспечения безопасности.
В качестве частных интегральных показателей защищенности предложено использовать:
- средний риск нанесения ущерба при реализации угрозы определенного вида через все возможные уязвимости на активы всех типов, характеризующий степень опасности угрозы определенного вида, и соответствующий ему ущерб;
- средний риск нанесения ущерба от воздействия всех видов угроз через все возможные уязвимости на определенный тип активов, характеризующий незащищенность активов определенного типа, и соответствующий ему ущерб и т. д.
Таким образом, вопрос оценки ИБ в АС, несмотря на существующие в настоящее время решения, по-прежнему остается актуальным. При всей важности этого направления, до настоящего времени нет простых в описании и использовании и достаточно точных методик оценки ИБ АС (под точностью надо понимать, прежде всего, адекватность используемых при оценке моделей).
Решение задачи совершенствования методик оценки уровня ИБ АС связано с первоначальными условиями, которые должны быть заданы в техническом задании на АС, а также повышением объективности исходных данных, используемых при расчете.
Первоначальные условия должны содержать модель ожидаемого поведения нарушителя. У квалифицированного нарушителя более широкие возможности, следовательно, при оценке потребуется рассмотреть большее количество возможных каналов несанкционированного доступа.
Добиться повышения объективности исходных данных можно несколькими путями. Во-первых, за счет повышения комплексности подхода к проблеме оценки, которая должна выражаться во включении в рассмотрение мер защиты не только преимущественно организационного или программно-технического характера, а всех поддающихся достаточно точной оценке мер защиты, включая и физическую защиту. Во-вторых, повысить объективность исходных данных можно за счет изменения подхода к оцениванию ресурсов, для чего, прежде всего, необходимо определить соответствующий критерий оценивания.
Андрей Бакуренко, Военная академия Республики Беларусь
Сетевые решения. Статья была опубликована в номере 10 за 2006 год в рубрике save ass…