- •Воронеж 2008
- •Воронеж 2008
- •Оглавление
- •Введение
- •1 Построение описательной модели функционирования преобразователя информации
- •1.1 Назначение и структура преобразователя информации
- •1.2 Информационные процессы на этапах принятия человеком решения
- •1.3 Технические средства реализации процессов функционирования преобразователя информации и возможные угрозы им
- •1.4 Выводы по первой главе
- •2 Состав угроз информационной безопасности воздействующих на преобразователь информации
- •2.1 Общие понятия
- •2.2 Классификация угроз
- •2.3 Типы воздействия угроз на информационную систему
- •2.4 Канал утечки информации
- •2.4.1 Визуально-оптический канал
- •2.4.2 Акустический и вибрационный канал
- •2.4.3 Электромагнитный канал
- •2.4.4 Материально-вещественный канал
- •2.4.5 Возможная защита информации от утечки по техническим каналам
- •2.5 Основные угрозы безопасности компьютерной сети
- •2.6 Выводы по второй главе
- •3 Формализованная модель функционирования преобразователя информации
- •3.1 Надсистемные исходные данные, задающие облик формализованной модели
- •3.2 Формализованная модель функционирования сапр при проектировании изделий на уровне представления «вид-класс-тип»
- •3.2.1 Общая схема информационного процесса проектирования нового изделия
- •3.2.2 Построение информационной структуры рассматриваемого информационного процесса
- •3.2.3 Количественные характеристики информационной структуры
- •3.3 Кибернетическая модель преобразователя информации, функционирующего в поле угроз иб
- •3.4 Выводы по третьей главе
- •394026 Воронеж, Московский просп., 14
3.2.3 Количественные характеристики информационной структуры
Выше были представлены информационные структуры содержания объектов из рассмотренных ранее примеров. Они наглядно демонстрируют уровни формирования структуры, а также элементы и связи для каждого из уровней. Тогда за количественную меру качества структуры можно принять её потенциал.
Под потенциалом любого объекта (простого, сложного, статического, динамического) понимается значение максимально возможного результата его действий, определяемого при условии, что действия выполняются совершенно правильно.
Тем самым математическая модель процедуры оценивания результата через потенциал получается более простой, ибо в ней отсутствует необходимость моделирования процесса достижения результата. В ней результат (потенциал объекта) определяется соотношением качеств (свойств) оцениваемого объекта при предположении, что эти качества реализуются правильно. В крупных системных моделях такое упрощение является решающим, ибо моделирование их функционирования является очень сложным, а по идее - избыточным.
Так как рассматриваемый нами объект - информационная структура - является «вместилищем» информации, то за количественную меру потенциала следует принять меру предметного многообразия, охватываемого структурой. В соответствии с этим за значение потенциала исходной структуры П0 целесообразно принять количественную величину, соответствующую мощности множества признаков и их связей, определяющей структуру разведываемой (вскрываемой, оцениваемой) ситуации.
В общем виде это можно записать так
П0=Card{Прi ; Свj } (1)
i=1..n
j=1..m
где Card - оператор, определяющий мощность множества, элементы которого стоят в фигурных скобках.
При этом следует констатировать, что потенциал информационной структуры в форме (1) нечувствителен к влиянию мер воздействия (на структуру) угроз ИБ. Чтобы обеспечить возможность учёта такого влияния, можно поступить двояко: сделать величину П0 зависимой и от мер воздействия угроз или исчислять соотношение потенциалов информационных структур и потенциалов мер воздействия на них, то есть определять отношение потенциалов
.
Так давно поступают при планировании крупных военных операций. При этом если это соотношение будет больше или равно 3, то сохранность информации гарантирована, и если не во всём объеме, то в отдельных наиболее важных аспектах. Следует также иметь ввиду, что значения П0 и ПугрИБ определяются соответствующими структурами. Сложность заключается в алгоритмах вычисления значений П0 и ПугрИБ и их структур.
Так как множества признаков и их связей являются счетными, то их мощность, фигурирующую в выражении (1), можно определить через количество индексов элементов, составляющих указанные множества. Для этого целесообразно использовать положения тензорного исчисления
Введем следующую индексацию элементов структуры:
{ai}, i=1..n - множество объектов, рассматриваемых в примере, показанном на рисунке 3.9;
{aij}, i=1..n, j=1..m - множество топологических признаков объектов, то есть множество элементов объектов;
{aijk}, i=1..n, j=1..m, k=1..K - множество топологических признаков ситуации второго уровня;
{aijkl}, i=1..n, j=1..m, k=1..K, l=1..L - множество функциональных (категориальных) признаков вскрываемой ситуации.
Из приведенных тензорных обозначений видно, что происходит последовательная детализация содержания ситуации, представляемой на рисунке 3.9 структурой, и эта детализация тензорной записью фиксируется.
Тогда справедливо
Card{Прi) = nmKL, (2)
где п, т, К, L - измерения объекта (ситуации) по индексам i, j, к, l соответственно.
Мощность множества связей Card{Свj} определяется прямым подсчетом по структуре. Но связь признаков не эквивалентна одному признаку. Для эквивалентирования их мощностей простейшим способом необходимо учесть количество точек фиксации каждой связи. Поэтому мощность множества связей, адекватная мощности множества признаков, равна
Card{Свj} = fNСв (3)
где f=3...5.
Тогда исходный потенциал структуры П0 равен
П0= Card{Прi}+ Card{Свj}= nmKL+ fNСв (4)
Потенциал П0 является обобщенной характеристикой качества типового структурного модуля, как «вместилища» информации. Количество помещаемой информации, при этом, определяется косвенно через количество учитываемых в структуре признаков и их связей. В типовом признаке содержится примерно 2-3 Кб данных. То есть в рассматриваемом структурном модуле содержится около 40 кбайт. Следует учесть, что таких модулей в сложных информационных объектах (ситуациях) несколько сотен.
Мы нашли только потенциал структуры как информационного вместилища. Нам, далее, необходимы потенциалы враждебного доступа к структуре и её уничтожения, чтобы от них защищаться. Для этого мы должны учитывать дополнительно возможности средств доступа, искажения, уничтожения, исчисляемые потенциально.
Значения потенциалов воздействия средств доступа к структуре для НСД к ней и ее искажения (уничтожения) определяются характеристиками (переменными), которые являются добавочными к характеристикам структуры. Это усложняет процедуру моделирования. Для частичного уменьшения сложности математической модели можно поступить двумя способами:
1) Отойти от внутренней (имманентной - Г.Гегель) сложности структуры без поиска величин адекватных ей добавочных параметров, рассматривая воздействия как чисто внешние;
2) Искать величину добавочных параметров к характеристикам мощности структуры, исходя из анализа её только внутренних свойств на уязвимость к рассматриваемым воздействиям.
В первом случае значения потенциалов воздействия можно определить так:
Пвскр =П0Рвскр
Пун =П0Рун (5)
где Рвскр и Рун - значения вероятностей совершения действий вскрытия (НСД) и уничтожения (искажения) структуры соответственно.
Суть первого способа, упрощающего модель, состоит в том, что значения Рвскр и Рун определяются исходя из физических (пространственно-временных) и технологических параметров использования средств воздействия соперником, не имеющих отношения к свойствам структуры. То есть необходимо иметь математическую модель оценивания возможностей этих средств. В этом случае значение риска нанесения ущерба защищаемой структуре равно (для случая вскрытой структуры):
Risk= Пвскр Ц=П0 РвскрЦ (6)
где Ц – величина ценности информации, теряемой при вскрытии структуры, соизмеримая с затратами на проектирование изделия.
Во втором случае значения потенциалов воздействия определяются исходя из внутренних (имманентных) свойств структуры, уязвимых к воздействию угроз информационной безопасности через средства обработки информации, задействованные по данной структуре. Рассмотрим первый и второй случаи подробнее.
Рисунок 3.11 – Взаимосвязь факторов, определяющих значение потенциалов структуры
Первый случай (определение вероятностей Рвскр и Рун) является наиболее простым, ибо при этом предполагается, что значения потенциалов Пвскр и Пун, вычисляемых по формулам (5), отличаются от значения потенциала П0 в худшую для владельца информации сторону. Констатируется, что значения Пвскр и Пун - это какой-то ущерб для владельца. Условность такого подхода очевидна, но он проще.
Во втором случае (вычисление потерь потенциала П0 от воздействий) содержание потерь должно быть рассмотрено в соответствии с существом содержания и свойств структуры. Результаты, полученные этим способом более достоверны, но ему сопутствует сложность вычислений.
Содержание указанных подходов и факторов, определяющих их существо, показано на рисунке 3.11. Из него можно сделать вывод, очень важный для нас: в отличие от потенциала П0, значение которого определяется полным множеством элементов структуры, значения потенциалов Пвскр и Пун определяется суженным множеством.
В первом случае механизм сужения множества является формальным: значение П0 умножается на величину Р, меньшую единицы.
Во втором случае суть этого механизма состоит в «уничтожении» некоторых элементов структуры (в ходе их получения, то есть информационной обработки) мерами воздействия угроз ИБ на технологические средства получения (обработки) информационных элементов. Тем самым во втором случае провозглашается процедурный подход к определению степени воздействия угроз ИБ на структуру, а в первом случае - указательный подход, сигнализирующий о том, что это будет так.
Второй случай является более убедительным, но более трудным для моделирования. Трудность определяется тем, что необходимо вычислять коэффициент близости процедуры создания информационной структуры и процедур ее разрушения или утечки. Такой подход является новым.
Эту трудность можно частично компенсировать получением приближённой оценки. Такую приближённую оценку можно определить установлением соотношения двух характеристик: значениями коэффициентов важности (информативности) элементов структуры и значениями коэффициентов уязвимости к рассматриваемым воздействиям на структуру (вскрытие и уничтожение). При этом значения указанных коэффициентов для этих двух воздействий, естественно, будут разными.
Тогда значения потенциалов воздействия на структуру, характеризующих её ущерб (потерю), можно записать так:
Пвскр П0 1важн 1уязв
Пун П0 2важн 2уязв
где метками 1 и 2 помечены воздействия «вскрытия» и «уничтожения» соответственно.
При этом коэффициент 1,2 изменяет свои значения от до 1, а коэффициент 1,2 изменяется от 0 до 1. Это объясняется тем, что элементов с нулевой важностью в структуре не бывает, а их восприимчивость к воздействиям (уязвимость), действительно, может быть равна 0. Так как назначение этих коэффициентов заключается в сужении полного множества элементов структуры, то их предельное значение равно 1.
Теперь нам необходимо рассмотреть подход к определению значений вероятностей Рвскр и Рун, как более понятных нам физических величин, то есть основных величин, определяющих значение риска по формуле (6).
Рвскр - это вероятность вскрытия сложного объекта средствами ТР, модель которой отработана в начале 80-х годов и достаточно хорошо изложена. Модели вычисления вероятности Рун пока нет. Для её разработки необходимо выходить на создание модели поля угроз информационной безопасности исследуемой структуры.