4. Способы задания соответствия между параметрами угроз, защищаемых объектов и элементов защиты

Существуют различные классификации угроз:

– по принципам и характеру воздействия на систему;

– по используемым техническим средствам;

– по целям атаки и т.п.

Очевидно, что стоимость потерь С удобнее задавать для угроз, классифицированных по целям атаки. Что касается характеристики интенсивности угроз, то она определяется с помощью средств аудита и сетевого мониторинга, которые различают угрозы по принципам и характеру воздействия на систему (механизму атаки, способу проникновения). Вероятность отражения угрозы средствами защиты р. определяется в соответствии с теми механизмами, которые реализованы в каждом средстве. Причем каждый из механизмов в общем случае может отражать несколько видов атак.

Соответствие между этими параметрами показано на рисунке 1.5.

Стоимость потерь Интенсивность угроз Вероятность отражения

Рисунок 1.5 – Взаимозависимость параметров защиты

Для успешного приведения в соответствие различных параметров оценки защищенности необходимо корректное построение модели нарушителя. В этой модели должны быть отражены практические и теоретические возможности нарушителя, его априорные знания, время и место действия.

4. Анализ методик и стандартов системного подхода для оценки и управления рисками в локальной вычислительной сети

Для уменьшения рисков в ЛВС необходим системный подход к проектированию или анализу уже имеющейся системы защиты компьютерной информации от НСД [49 - 51].

Первоначально каждый из механизмов защиты рассматривался и анализировался по отдельности. На практике каждый из механизмов защиты реализуются в рамках одной системы защиты, а потому нельзя не учитывать их взаимное влияние. Следовательно, необходимо придерживаться системного подхода, в рамках которого механизмы защиты рассматриваются и анализируются в совокупности. Таким образом, при проектировании или анализе системы необходимо учитывать следующие аспекты:

– комплексирование разнородных механизмов в единой системе;

– взаимное влияние защитных механизмов;

– оптимальность системы защиты.

Система защиты компьютерной информации от НСД может рассматриваться в двух приложениях:

– защита автономного компьютера;

– защита компьютера в составе сети, например, в составе локальной вычислительной сети (ЛВС);

– ориентация на статистику угроз.

При этом очевидно, что задача защиты компьютера как самостоятельного объекта, предназначенного для хранения и обработки информации, должна решаться в обоих случаях.

Рассмотрим комплексное использование разнородных механизмов в единой системе. Никакой механизм защиты в отдельности не сможет обеспечить качественной защиты в целом. Защита информации требует комплексирования разнородных механизмов в единой системе. Причем при проектировании системы следует анализировать не отдельно взятые механизмы, а решение конкретной задачи обеспечения безопасности всей системой защиты в целом, то есть реализованной совокупностью механизмов. Таким образом, далее будем говорить о требованиях к заданным свойствам защищенности, обеспечиваемых совокупностью реализованных защитных механизмов.

Необходимые характеристики могут быть заданы либо количественно, либо качественно. В частности, при качественном задании характеристик целесообразно задать угрозы (из существующей статистики и возможные — потенциальные), которым необходимо противодействовать при решении задачи входа в систему.

Необходимо учитывать взаимное влияние различных механизмов защиты. Использование одного механизма защиты может существенно изменить требования к реализации другого механизма. То есть, требования к отдельному механизму могут быть существенно снижены за счет расширения функций другого механизма.

Реализация системы защиты влияет на другие параметры защищаемого объекта, прежде всего, на его производительность (загрузку вычислительного ресурса защищаемого компьютера). Это обусловливает необходимость выбора оптимальных решений, при этом оптимальность должна рассматриваться по совокупности параметров.

При проектировании системы защиты целесообразно ориентироваться на существующую статистику угроз. Системный подход предполагает проектирование системы защиты в предположении, что существуют потенциальные (неизвестные) угрозы, которые характеризуются скрытыми (неявными) каналами НСД. Поэтому при проектировании системы защиты необходимо рассматривать не конкретные угрозы, а характерные признаки их возникновения и противодействовать не угрозам, а возможным каналам их возникновения.

Принципы системного подхода при проектировании системы защиты позволяют значительно усилить ее. Все вышесказанное в этом разделе позволяет сформулировать принципы системного подхода при проектировании системы защиты. Принципы эти таковы:

– любой механизм защиты должен проектироваться с учетом его влияния на безопасность системы в целом и с учетом функций защиты, реализуемых другими механизмами. То есть должно выполняться классическое условие системного проектирования — учитываться влияние подсистемы на систему в целом, состоящую из совокупности подсистем.

– проектирование системы защиты – многокритериальная задача. Поэтому при разработке механизма защиты должен учитываться не только обеспечиваемый им уровень безопасности, но и, по крайней мере, его влияние на производительность защищаемого объекта.

– проектирование системы защиты должно осуществляться в предположении существования потенциальных (неизвестных) угроз, которые характеризуются скрытыми (неявными) каналами НСД. При этом необходимо рассматривать не конкретные угрозы, а характерные признаки их возникновения и противодействовать не угрозам, а возможным каналам их возникновения.