Информационная безопасность / Eremenko - Sistemy zashchity informatsii 2016
.pdfМожно выделить три варианта повышения эффективности мероприятий по обеспечению комплексной безопасности объекта защиты:
|
K |
|
B |
|
|
|
|
1) |
∑(Y1k |
− Y2k ) → max, |
∑( |
Kз |
+ |
Эз )b |
= const; |
|
k =1 |
|
b=1 |
|
|
|
|
|
K |
|
B |
|
|
|
|
2) |
∑(Y1k |
− Y2k ) = const, |
∑( |
Kз |
+ |
Эз )b |
→ min; |
|
k =1 |
|
b =1 |
|
|
|
|
|
K |
|
B |
|
|
|
|
3) |
∑(Y1k − Y2k ) → max, ∑( |
Kз |
+ Эз )b → min. |
||||
k =1 |
|
b =1 |
|
|
|
|
|
|
|
|
|
|
|
||
(16)
(17)
(18)
Вероятный ущерб от реализации угрозы определяется следующим образом:
где Y1 – |
Y = Y 1 + Y 2 + Y 3 + Y 4 + Y 5 + Y 6 + Y 7 |
, |
(19) |
|
прямые потери; |
|
|
||
Y2 – |
затраты на ликвидацию и расследование; |
|
|
|
Y3 – |
социально-экономические потери; |
|
|
|
Y4 |
– |
косвенный ущерб; |
|
|
Y5 – |
экологический ущерб; |
|
|
|
Y6 |
– |
потери от выбытия трудовых ресурсов; |
|
|
Y7 |
– |
ущерб от потери информационных ресурсов. |
|
|
Все потенциальные угрозы безопасности объекта защиты так или иначе влияют на его экономическое состояние и на соотношение «затраты – ущерб» при управлении безопасностью. В этой связи целесообразно таким образом формировать программу управления, чтобы затраты на обеспечение безопасности были адекватны потенциальным угрозам. Подобная ситуация предопределяет необходимость оценки вероятности реализации угрозы.
Оценка вероятности реализации угроз и связанная с этим оценка возможных потерь – наиболее сложная и ответственная часть всего процесса обеспечения безопасности. От того, насколько, с одной стороны, достаточно полно выявлены реальные и прогнозируемые (потенциальные) угрозы, зависит в конечном счете степень защищенности объекта. С другой стороны, сознательное превышение достаточности при учете тех угроз, влияние которых непосредственно на функционирование объекта маловероятно или локализация которых невозможна или малоэффективна, приведет к значительному повышению затрат на безопасность и может существенно сказаться на реально достигаемой экономической эффективности защиты.
61
Отсюда возникает задача оптимизации уровня защищенности объекта от угроз, позволяющая достичь максимальной эффективности выбранного варианта комплекса защитных мер. При этом необходимо учитывать весьма важное ограничение: несмотря на кажущееся наличие прямой зависимости между размерами выделяемых на защиту средств и эффективностью защиты, существует предельно допустимая величина затрат, определяемая рентабельностью проектируемой системы защиты – нормой прибыли на инвестируемые в нее средства.
Повышение рентабельности защиты возможно как за счет обоснованной экономии издержек на ее организацию и эксплуатацию, так и за счет их оптимального распределения по пространству угроз.
Другое направление сокращения издержек заключается в зонировании системы безопасности. Решающее значение для формирования эффективной системы безопасности в целом имеет взаимное расположение зон защиты, образующих в совокупности ее структуру. Отдельные специалисты выделяют три основных вида структур систем безопасности:
−систему независимых или непересекающихся зон;
−систему с частичным пересечением зон;
−систему из полностью зависимых или «вложенных» друг в друга зон защиты.
Самой простой в организационном отношении является структура независимых зон защиты [19]. В такой структуре каждая из зон автономна при противодействии внешним и внутренним угрозам. Это позволяет достаточно оперативно и полно использовать для реализации задач защиты собственные материально-технические ресурсы, однако делает невозможным использование ресурсов других зон, высвобождающихся при отсутствии угроз. Качество противодействия угрозам в системах с независимыми зонами оценивается частными
иобщими показателями эффективности (рентабельности) защиты. Так, при статистически независимых угрозах общая эффективность защиты (Е) оказывается линейно связанной с частными показателями эффективности защиты Ej(j =1,..., М) каждой из М зон:
M |
|
Е = ∑ δj E j , |
(20) |
j=1
где δj – относительная значимость j-й зоны защиты;
62
Nj
∑Pij δij
|
δj = |
j=1 |
|
, |
|
|
N |
|
(21) |
||
|
|
M |
j |
|
|
|
|
∑ ∑ Pij δij |
|
||
|
|
j=1i=1 |
|
||
где M – |
число зон защиты в проектируемой структуре системы безо- |
||||
пасности объекта; |
|
|
|
|
|
Nj – |
общее число угроз, проявляющихся в j-й зоне защиты; |
||||
Рij– |
вероятность проявления угроз i-го вида в j-й зоне защиты; |
||||
dij |
– абсолютная значимость |
j-й зоны защиты |
в отношении |
||
i-го вида угроз.
Из выражения (20) следует, в частности, сравнительно простая оценка предельного «снизу» качества (надежности) защиты каждой из зон:
Q |
|
³ 1 - |
1 |
(1 - Q ), |
(22) |
j |
|
||||
|
0 |
|
|||
|
|
|
δj |
|
|
где Q0 – уровень качества (надежности) системы защиты в целом. Исходя из зонного принципа организации защиты, можно сфор-
мулировать ряд важных предпосылок по структуризации системы защиты в целом [20]:
1)чем выше значимость зоны dj, тем более эффективной должна быть ее защита, и, следовательно, тем больше средств необходимо выделять для ее организации;
2)в системах с высоким уровнем эффективности общей защиты большая часть издержек должна быть связана с обеспечением безопасности особо важных зон или зон с максимальной относительной значимостью.
Так, при общей эффективности защиты Е = 95 % и значимости
особо важной зоны dj = 0,9 частная эффективность защиты Ej > 89 %, что практически совпадает с общей величиной Е.
Однако эти предпосылки справедливы только по отношению к структуре системы из независимых зон и требуют уточнений для других, более сложных структур. Анализ показывает, что при некоторых иных допущениях (равнозначность угроз, линейный характер ос-
63
новных зависимостей и др.) относительная величина q выигрыша по затратам на ресурсы будет определяться из неравенства
M |
|
|
q ³ M ∑ δ2j |
³ 1. |
(23) |
j=1
Величина эффекта, как экономия затрат на безопасность, определяется, помимо факторов затратного характера, и разбросом относительной значимости зон. Так, если система безопасности состоит из четырех зон с относительной значимостью: d1 = 0,8; d2 = 0,1; d3 = 0,07; d4 = 0,03 (что соответствует некоторым коммерческим структурам с охраняемой внешней территорией), то в соответствии с формулой (23) получим значение q > 2,62, т. е. оптимизация распределения ресурсов позволит в данном случае обеспечить равную общую эффективность защиты при меньших в 2,62 раза расходах по сравнению с затратной схемой использования ресурсов.
Оптимизация распределения ресурсов по зонам защиты дает возможность экономически обосновать выбор для каждой из них и объекта защиты в целом состав комплекса специальных технических средств. Критерием оптимальности этой композиции может быть выбрана сумма средних потерь от реализации угроз и затрат на систему защиты.
Обозначим вероятность реализации j-й угрозы в отношении k-го защищаемого элемента при неиспользовании i-го способа (метода) защиты Рijk, а ущерб компании от ее реализации – Lijk. Тогда математическое ожидание ущерба от реализации ijk-й угрозы (Мijk) равно:
M ijk = Pijk Lijk (i = 1,.., N j ; j = 1,..,M;k = 1,..,K ). |
(24) |
Очевидно, что математическое ожидание ущерба от реализации j-й угрозы в результате неиспользования i-го способа (метода) защиты всем защищаемым элементам в этом случае будет:
Mij = ∑ Pijk Lijk (i = 1,.., N j ; j = 1,..,M ). |
(25) |
k |
|
64
Соответственно, математическое ожидание ущерба от реализации всех угроз в отношении k-го защищаемого элемента при неприменении i-го способа (метода) защиты (Мik) составит:
M ik = ∑ Pijk Lijk (i = 1,.., N j ; k = 1,..,K). |
(26) |
j |
|
Математическое ожидание ущерба от неприменения всех способов (методов) защиты k-го элемента от j-й угрозы (Мjk) составит:
M jk = ∑ Pijk Lijk (j = 1,..,M; k = 1,..,K). |
(27) |
|
|
i |
|
Тогда максимально допустимые затраты (Zopt) на систему обеспечения безопасности предприятия (в смысле непревышения затрат на ее содержание над полным математическим ожиданием ущерба от реализации всех угроз в отношении всех защищаемых элементов при применении всех методов защиты) будут равны полному математическому ожиданию ущерба от их реализации:
Zopt = M = ∑ Pijk Lijk . |
(28) |
i, j,k |
|
Оптимальность затрат на организацию защиты определяется на период, в течение которого функционирует объект защиты, и на тот период, на который разрабатывается стратегия. Этот период должен (по крайней мере) равняться периоду Т, на который определялась вероятность реализации угроз.
Если же для разных видов угроз периоды определения вероятности их реализации различаются, то здесь будет возникать некоторая неопределенность. Так, если в качестве расчетного периода принять период минимальной длительности, то, с одной стороны, это увеличивает затраты на защиту от тех угроз, вероятность реализации которых определялась на более продолжительный период.
С другой стороны, в течение короткого периода не все виды угроз могут реализоваться, а значит, они могут быть и не учтены при принятии мер защиты от них. Тогда при реализации проектируемой системы возникает опасность проявления неучтенных угроз, обусловливающих дополнительный ущерб и превышение связанных с их
65
локализацией затрат. При этом система защиты может оказаться нерентабельной, не гарантирующей к тому же решение задач обеспечения безопасности.
Неопределенность в проявлении различного вида угроз в краткосрочных периодах может быть разрешена путем организации статистики этих проявлений и актуализации по накопленным статистическим данным структуры, функций и затрат на систему безопасности.
Рассмотрим теперь ситуацию, когда расчетный период, в котором определялась вероятность реализации угроз, принимался достаточно продолжительным. В этом случае в целом по периоду затраты на систему безопасности будут минимальными, но в отдельные промежутки времени (когда может реализоваться угроза с вероятностью, определенной на более короткие периоды) ущерб от реализации угроз может превысить затраты на систему безопасности. И тогда она может оказаться нерентабельной (с точки зрения рентабельности предприятия в целом) и не выполнит в этом коротком периоде свою задачу.
Возможный выход из такого противоречия – применение минимаксного подхода теории игр [17]. Он предполагает достижение минимума затрат на такую систему безопасности, которая обеспечивает максимальную результативность, т. е. гарантирует защиту от максимально допустимого ущерба как результата реализации угрозы, вероятность проявления которой определялась на короткий период, и размер ущерба от которой может в этом периоде необратимо дестабилизировать деятельность предприятия. Естественно, минимаксный подход будет целесообразен при более двух различающихся по продолжительности периодах, на которые определялись вероятности реализации угроз.
66
4.ВЫРАБОТКА КОНЦЕПТУАЛЬНОГО ПОДХОДА К АВТОМАТИЗАЦИИ ПРОЕКТИРОВАНИЯ КСЗИ
4.1. Типовое вариантное проектирование КСЗИ
Исходя из анализа особенностей структуры комплексных систем защиты информации наиболее эффективным механизмом решения задач автоматизации проектирования подобных систем является параметризация. Анализ определений, приведенных в различных работах [31], показывает, что под параметризацией понимается возможность изменения геометрических и/или негеометрических характеристик модели объекта проектирования путем изменения небольшого числа определяющих эти характеристики параметров.
Механизм параметризации можно представить следующим образом: в ходе построения модели объекта система накапливает сведения о различных параметрах элементов системы и соотношениях между ними, позволяя простым изменением параметров или геометрических отношений легко модифицировать и регенерировать модель. Полученная таким образом техническая модель объекта является параметрической.
Средства параметризации существенно повышают производительность проектных и оформительских работ. Параметризация позволяет эффективно решать следующие задачи:
1.Анализ объекта проектирования и изменение, в случае необходимости, его параметров (геометрические размеры и форма, взаимосвязи элементов объекта, а также другие негеометрические характеристики).
2.Повышение производительности и качества выполнения проектных работ путем применения опыта предшествующих разработок. Это означает, что параметрическая модель объекта может быть эффективно использована при проектировании подобных ему объектов или других его типоразмеров. При этом существенно ускоряется стадия подготовки рабочих чертежей, схем и другой нормативной документации на объект проектирования.
3.Ускорение выполнения графических работ при использовании библиотек параметрических графических элементов. Изображения
имодели часто повторяющихся элементов (например, стандартных объектов или условных обозначений), применяемых при создании
67
чертежей, могут быть подготовлены в виде параметрических моделей и объединены в библиотеки по группам. Их использование позволяет значительно сократить время и повысить качество подготовки чертежей.
4. Упрощение разработки прикладных систем, ориентированных на решение узких конкретных задач обеспечения информационной безопасности, на основе использования параметрической графической системы.
Параметрическое проектирование КСЗИ предполагает как необходимое условие наличие базовой схемы, сформированной на основе требований нормативных документов. Базовая структура объекта создается таким образом, чтобы имелась возможность задания переменных параметрам, определяющим ее состав. Помимо того определяется, на базе каких параметров и в каком диапазоне изменений этих параметров можно создавать отдельные варианты базовой системы. Возможные варианты образуются путем задания конкретных параметров переменным базовой структуры, т.е. в результате проектирования предусмотрена возможность получения комплекта проектной документации на КСЗИ реального объекта в зависимости от вида защищаемой информации, оценки угроз информационной безопасности и ряда других факторов.
С практической точки зрения основным способом реализации параметрического подхода является типовое вариантное проектирование, представляющее собой процесс проектирования, при котором создается обобщенная структура, а затем из нее синтезируется конкретная структура или структуры.
При этом в большей или меньшей степени типовое вариантное проектирование применяется при типизации. Типовое вариантное проектирование использует различные операторы проектирования, основанные на наборе эвристических методов, логических или математических алгоритмов.
Типовое проектирование является одной из разновидностей тех- нико-организационного проектирования и заключается в создании КСЗИ из готовых типовых элементов [31].
Процесс проектирования КСЗИ в этом случае состоит из трех основных этапов:
1. Разбиение проекта КСЗИ на отдельные составляющие (компоненты).
68
2.Выбор и приобретение имеющихся типовых проектных решений для каждого компонента КСЗИ.
3.Настройка и доработка типовых проектных решений в соответствии с требованиями конкретной предметной области.
Важным условием применения технологии типового вариантного проектирования является возможность декомпозиции КСЗИ на множество составляющих компонентов (комплексы, подсистемы, программные модули и т.д.). В зависимости от уровня декомпозиции КСЗИ различают следующие классы типовых проектных решений: элементные, подсистемные, объектные.
Типовое проектное решение (ТПР) – это представленное в виде комплекта проектной документации и/или набора отдельных модулей проектное решение, пригодное к многократному использованию [21].
Основные черты ТПР:
∙ Типовые проектные решения ориентированы на автоматизацию деятельности множества однородных объектов (путем настройки под конкретные особенности каждого из них).
∙Основная цель применения ТПР – уменьшение трудоемкости
истоимости проектирования и/или разработки КСЗИ.
∙Создание ТПР возможно только после тщательного и всестороннего изучения предметной области и предполагает обобщение накопленного в частных случаях опыта (путем классификации, типизации, абстрагирования, унификации и т.п.).
Ктиповым проектным решениям выдвигается ряд требований:
1.Возможность использовать ТПР для создания новой КСЗИ при минимальном участии разработчиков.
2.Способность удовлетворять максимально возможному числу потребностей в рамках своего функционального назначения.
3.Возможность адаптации проекта к конкретным условиям путем изменения параметров.
В общем виде система автоматизированного проектирования описывается следующей формулой [21]:
Xu : Iu → Ou , |
(29) |
где Xu – система проектирования; Iu – исходные данные;
Ou – выходные данные.
Для составляющих проектных действий Xu, Iu, Ou вводятся общие обозначения Z:
Z r – использование одного из многих известных решений;
69
Z j– использование единственного известного решения; Z p – использование нового решения.
Типовое вариантное проектирование базируется на использовании различных операторов проектирования Хru, основанных на наборе эвристических методов, логических или математических алгоритмов, описанных в литературе либо полученных на собственном или коллективном опыте и заложенных в базу знаний системы автоматизированного проектирования:
I ju 0 ju Х ru – метод, где входной информацией служат данные I ju, содержащие однозначное описание входных и выходных данных проектируемой системы. С использованием известных методов проектирования Xru в проект O ju закладываются технические решения;
I ju 0 ru Х ru – метод типового вариантного проектирования с получением нескольких альтернативных проектных решений для выбора из них наилучшего;
I ru 0 ru Х ru – метод типового проектирования, аналогичный предыдущему, но с варьированием исходных данных.
При автоматизированном проектировании КСЗИ необходимо автоматизировать прежде всего процесс получения конструктивных вариантов. Для реализации этой задачи наиболее подходит метод типового вариантного проектирования (рис. 23), который базируется на использовании стереотипных проектных действий. Процесс проектирования в данном случае представляет собой получение проектного
решения O |
j по исходным данным I j и известными способами X r на |
||||||
|
u |
|
|
u |
|
u |
|
базе известных решений. |
|
|
|
|
|
|
|
|
Iuj |
|
|
|
|
|
Ouj |
|
|
|
|
|
|
||
|
|
|
|
|
|
||
|
|
|
Xur |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 23. Обобщенная схема системы типового вариантного проектирования
В качестве исходных данных системы автоматизированного проектирования, реализующей метод типового вариантного проектирования, задаются входные и выходные данные проектируемой системы, а на выходе получается характеристика проектируемой системы.
70