Организация режима информационной безопасности

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Методика оценка эффективности средств защиты

1.1 Проблема выбора эффективного решения

1.2 Критерии оценивания системы СЗИ

1.3 Оценка защищенности при помощи рисков

1.4 Задание входных параметров системы

1.4.1 Способы задания интенсивностей и вероятностей угроз

1.4.2 Способы задания стоимости информационных ресурсов

1.5 Метод уступок при выборе оптимального варианта защиты

1.6 Описание пошаговой методики



Введение

В настоящее время организация режима информационной безопасности становится критически важным стратегическим фактором развития любой отечественной компании. При этом, как правило, основное внимание уделяется требованиям и рекомендациям соответствующей нормативно-методической базы в области защиты информации. Вместе с тем многие ведущие отечественные компании сегодня используют некоторые дополнительные инициативы, направленные на обеспечение устойчивости и стабильности функционирования корпоративных информационных систем для поддержания непрерывности бизнеса в целом.

Сейчас все чаще в информационных источниках встречается понятие системного подхода при построении СЗИ. Понятие системности заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла ИС. При этом все средства, методы и мероприятия, используемые для защиты информации, объединяются в единый, целостный механизм - систему защиты. К сожалению, необходимость системного подхода к вопросам обеспечения безопасности информационных технологий пока еще не находит должного понимания у пользователей современных ИС.

Сегодня специалисты из самых разных областей знаний, так или иначе, вынуждены заниматься вопросами обеспечения информационной безопасности. Это обусловлено тем, что в ближайшие лет сто нам придется жить в обществе информационных технологий, куда перекочуют все социальные проблемы человечества, в том числе и вопросы безопасности.

Каждый из указанных специалистов по-своему решает задачу обеспечения информационной безопасности и применяет свои способы и методы для достижения заданных целей. Самое интересное, что при этом каждый из них в своем конкретном случае находит свои совершенно правильные решения. Однако, как показывает практика, совокупность таких правильных решений не дает в сумме положительного результата - система безопасности в общем и целом работает неэффективно.

Если собрать всех специалистов вместе, то при наличии у каждого из них огромного опыта и знаний, создать систему информационной безопасности зачастую так и не удается. Разговаривая об одних и тех же вещах, специалисты зачастую не понимают друг друга, поскольку у каждого из них свой подход, своя модель представления системы защиты информации. Такое положение дел обусловлено отсутствием системного подхода, который определил бы взаимные связи (отношения) между существующими понятиями, определениями, принципами, способами и механизмами защиты.

Таким образом, многообразие вариантов построения информационных систем порождает необходимость создания различных систем защиты, учитывающих индивидуальные особенности каждой из них. В то же время, большой объем имеющихся публикаций вряд ли может сформировать четкое представление о том как же приступить к созданию системы защиты информации для конкретной информационной системы, с учетом присущих ей особенностей и условий функционирования. Возникает вопрос: можно ли сформировать такой подход к созданию систем защиты информации, который объединил бы в нечто единое целое усилия, знания и опыт различных специалистов? При этом желательно что бы указанный подход был универсальным, простым, понятным и позволял бы в одинаковой степени удовлетворить любые требования информационной безопасности.

Практическая задача обеспечения информационной безопасности состоит в разработке модели представления системы (процессов) ИБ, которая на основе научно-методического аппарата, позволяла бы решать задачи создания, использования и оценки эффективности СЗИ для проектируемых и существующих уникальных ИС. Основной задачей модели является научное обеспечение процесса создания системы информационной безопасности за счет правильной оценки эффективности принимаемых решений и выбора рационального варианта технической реализации системы защиты информации.

Специфическими особенностями решения задачи создания систем защиты являются:

· неполнота и неопределенность исходной информации о составе ИС и характерных угрозах;

· многокритериальность задачи, связанная с необходимостью учета большого числа частных показателей (требований) СЗИ;

· наличие как количественных, так и качественных показателей, которые необходимо учитывать при решении задач разработки и внедрения СЗИ;

В курсовой работе разработана методика, позволяющая получать количественную оценку состояния защищенности информационной системы, при этом учитывая мнения экспертов, а также их опыт при оценке системы защиты на основании оценки вероятности угроз. Данная методика использует наработки из области рисков, позволяя строить СЗИ по своим характеристикам соразмерной масштабу угроз. Таким образом, методика должна позволить выбирать средства защиты оптимальные для каждой конкретной системы, характеризуемой специфическим набором угроз, требованиями и моделью нарушителя. Использование данной методики для оценки существующих систем позволит принять решение о целесообразности их усовершенствования, и позволит избежать неэффективного использования средств СЗИ при ее проектировании.



1. Методика оценка эффективности средств защиты

защищенность угроза программный

1.1 Проблема выбора эффективного решения

Любая целенаправленная деятельность человека, начиная от бытовой и оканчивая профессиональной, представляет собой непрерывную последовательность принимаемых и реализуемых решений. Поэтому умение принимать эффективные решения отличает высококвалифицированных специалистов и жизненно успешных людей. Это обстоятельство определило давний и неугасающий интерес к разработке формальных методов, правил-алгоритмов, процедур, которым можно обучить, как альтернативы субъективному интуитивному искусству принятия решений. В процессе исследований было установлено, что принимаемые решения различаются по значимости последствий, особенностям ситуаций, в которых принимается решение, степени полноты и точности исходной информации, но с формальной точки зрения имеют общую методологию и инструментарий реализации. При этом большинство формальных процедур принятия решений является инвариантными предметной области.

Широкое распространение современной вычислительной техники, ее интенсивное использование во всех сферах как средства автоматизации интеллектуальной деятельности человека, придало дополнительный импульс изучению и формализации процессов принятия решений. Они отличаются сложностью, возможными последствиями, но с формальной точки зрения могут быть представлены одной обобщенной моделью, инвариантной конкретному содержанию проблемы принятия решений. Анализ позволяет выделить следующие основные задачи обобщенной процедуры принятия решения: [31]

· формирование цели, ее анализ и формализация;

· определение множества возможных путей ее достижения (множества решений);

· формирование оценки (меры) позволяющей сравнивать (ранжировать) возможные решения между собой по качеству;

· выбор из возможного множества экстремального, т.е. наилучшего по качеству единственного решения.

В теории принятия решений совокупность перечисленных задач образует общую проблему принятая решений, третья называется задачей оценивания, а четвертая - задачей оптимизации.

Конечной целью решения общей задачи принятия решений является выбор из допустимого множества решений X единственного наилучшего, т.е. экстремального по выбранным частным критериям решения

(3.1)

Если задача однокритериальная, т.е. n=1, то она имеет единственное решение, в случае если п>1, т.е. задача является многокритериальной, ее однозначное решение можно получить только в частных случаях, а в общем случае задача не имеет единственного решения.

Выше было показано, что задача многокритериальной оптимизации (2.1) является некорректной, так как в общем случае не обеспечивает определения единственного оптимального решения из допустимого множества X. Эта некорректность может быть устранена путем регуляризации задачи, т.е. введением некоторой дополнительной информации. математических соотношений или правил, позволяющих обеспечить выбор единственного решения. При реализации неконструктивного подхода источником регуляризационной информации является ЛПР. Однако ЛПР данную информацию не формализует, а использует на интуитивном уровне [31].

Общий подход к решению этой проблемы заключается в трансформации многокритериальной задачи в однокритериальную со скалярным критерием. Это обусловлено следующими двумя причинами. Во-первых, значение скалярного количественного критерия можно интерпретировать как точку на числовой оси, и ранжирование таких точек не представляет затруднений, так как отношения предпочтения и эквивалентности превращаются соответственно в неравенство (>) и равенство (=). Во-вторых, все методы поиска экстремума ориентированы на скалярную функцию.

Существует несколько способов трансформации многокритериальных оптимизационных задач в однокритериальные. Одним из этих методов является метод главного критерия, который мы в дальнейшем используем для решения оптимизационной задачи по оценке эффективности системы защиты.

Принцип базируется на выделении главного критерия и переводе всех остальных критериев в ограничения. Для этого проводится анализ конкретных особенностей многокритериальной задачи, из множества частных критериев выбирается один - самый важный, и он принимается в качестве единственного критерия оптимизации. Для каждого из остальных частных критериев назначается предельное значение, ниже которого он не может опускаться. Таким образом, все частные критерии, кроме одного превращаются в ограничения, дополнительно суживающие область допустимых решений X. Тогда исходная многокритериальная задача (3.1) превращается в однокритериальную вида

(2.2)



где - оптимизационный скалярный критерий; - наихудшие допустимые значения частных критериев -ограничений; знак ">" используется для критериев, которые необходимо максимизировать, а знак "<" - минимизировать.

Вывод главного (оптимизационного) критерия и уровней ограничений для всех других критериев является субъективной операцией, осуществляемой экспертами или ЛПР. Следует отметить, что можно рассмотреть несколько различных вариантов и сравнить результаты.

При реализации рассмотренного метода необходимо обращать особое внимание на то. чтобы допустимое множество решений, заданное частными критериями - ограничениями, не оказалось пустым..

1.2 Критерии оценивания системы СЗИ

В любой области деятельности для выбора эффективной системы, эта система должны характеризоваться некоторыми параметрами, на основании которых и делается выбор. В качестве таких параметров для СЗИ можно выделить следующие: производительность, стоимость, производительность, управляемость, совместимость, защищенность и пр. Как уже было отмечено выше, выбор оптимальной системы по такому множеству ее характеристик является классической задачей оптимизации и не всегда может иметь эффективное решение. Тем более что многие параметры противоречивы: с ростом уровня защищенности, например, растет стоимость, сложность настройки, в то же время падает производительность. Поэтому в нашей методике будет производиться оценка эффективности системы по параметру защищенности, как основного показателя, характеризующего уровень обеспечиваемой защиты СЗИ, а на остальные характеристики вводятся ограничения. Будем оценивать защищенность системы (Z) количественно в зависимости от стоимости защищаемой информации, вероятности взлома, стоимости самой системы защиты, производительности системы:

,

где Синф -- стоимость защищаемой информации;

рвзл -- вероятность взлома;

Цсзи -- стоимость СЗИ;

П -- производительность системы.

С учетом введенного понятия защищенности системы оптимизационная задача состоит в обеспечении максимального уровня защищенности (как функции стоимости защищаемой информации и вероятности взлома) при минимальной стоимости системы защиты и минимальном влиянии ее на производительность системы:

Zopt= тахZ(Синф,рвзл,Цсзи,П).

С учетом сказанного может быть сделан важный вывод о многокритериальном характере задачи проектирования системы защиты. При этом, кроме обеспечиваемого уровня защищенности, должен учитываться еще ряд важнейших характеристик системы. Например, обязательно должно учитываться влияние системы защиты на загрузку вычислительного ресурса защищаемого объекта.

В общем случае загрузка вычислительного ресурса определяется количеством прикладных задач, решаемых объектом в единицу времени.

Исходные параметры для задачи проектирования системы защиты, а также возможности сведения задачи к однокритериальной [32] проиллюстрированы рисунке 1.1.



Рисунок 1.1 Критерии оценки защищенности

1.3 Оценка защищенности при помощи рисков

Рассмотрим защищенность системы с точки зрения риска. Заметим, что использование теории рисков для оценки уровня защищенности на сегодняшний день является наиболее часто используемым на практике подходом. Риск (R) -- это потенциальные потери от угроз защищенности:

R(p) = Синф*рвзл.

По существу, параметр риска здесь вводится как мультипликативная свертка двух основных параметров защищенности.

С другой стороны, можно рассматривать риск как потери в единицу времени:

R()=Синф*взл,

где взл -- интенсивность потока взломов (под взломом будем понимать удачную попытку реализации угрозы информации).

Эти две формулы связаны следующим соотношением:

где -- общая интенсивность потока несанкционированных попыток нарушения основных свойств информации злоумышленниками.

В качестве основного критерия защищенности будем использовать коэффициент защищенности (D), показывающий относительное уменьшение риска в защищенной системе по сравнению с незащищенной системой.

, (3.3)

где Rзащ - риск в защищенной системе;

Rнез - риск в незащищенной системе.

Таким образом, в данном случае задача оптимизации выглядит следующим образом:

Для решения этой задачи сведем ее к однокритериальной посредством введения ограничений. В результате получим:

где Цзад и Пзад - заданные ограничения на стоимость системы защиты и производительность системы.

Целевая функция выбрана исходя из того, что именно она отражает основное функциональное назначение системы защиты -- обеспечение безопасности информации.

Производительность системы Псзи рассчитывается с применением моделей и методов теории массового обслуживания и теории расписаний (в зависимости от того, защищается ли система оперативной обработки, либо реального времени) [32]. На практике возможно задание ограничения по производительности (влияние на загрузку вычислительного ресурса защищаемой системы) не непосредственно в виде требуемой производительности системы, а как снижение производительности (dПсзи) информационной системы от установки системы защиты. В этом случае задача оптимизации будет выглядеть следующим образом:

или после сведения ее к однокритериальной:

где Цзад и dПзад -- заданные ограничения на стоимость системы защиты и снижение производительности.

Заметим, что на наш взгляд, именно такой принцип сведения задачи к однокритериальной целесообразен [32], т.к. в любом техническом задании на разработку системы защиты указывается, в какой мере система защиты должна оказывать влияние на производительность системы. Как правило, внедрение системы защиты не должно снижать производительность системы более чем на 10%. Кроме того, обычно вводится ограничение на стоимость системы защиты.

Если рассчитанное значение коэффициента защищенности (D) не удовлетворяет требованиям к системе защиты, то в допустимых пределах можно изменять заданные ограничения и решить задачу методом последовательного выбора уступок пример которого будет рассмотрен ниже. При этом задается приращение стоимости и снижение производительности:

Ц*зад = Цзад + Ц,

П*зад = Пзад - П или dП*зад = dПзад + dП.

В таком виде задача решается в результате реализации итерационной процедуры путем отсеивания вариантов, не удовлетворяющих ограничительным условиям, и последующего выбора из оставшихся варианта с максимальным коэффициентом защищенности.

Теперь выразим коэффициент защищенности через параметры угроз. В общем случае в системе присутствует множество видов угроз. В этих условиях зададим следующие величины:

W - количество видов угроз, воздействующих на систему;

- стоимость (потери) от взлома i-того вида;

- интенсивность потока взломов i-того вида, соответственно;

- вероятность появления угроз i-того вида в общем потоке попыток реализации угроз, причем

;

- вероятность отражения угроз i-того вида системой защиты.

Соответственно, для коэффициента потерь от взломов системы защиты имеем:

,

где Ri(p) - коэффициент потерь от взлома i-того типа; показывает, какие в среднем потери приходятся на один взлом i-того типа. Для незащищенной системы Pугр i = Qi, для защищенной системы

Pугр i = Qi*(1-pi).

Соответственно, для коэффициента потерь от взломов системы защиты в единицу времени имеем:

,

где - коэффициент потерь от взломов i-того типа в единицу времени.

Для защищенной системы

Соответственно, из (3.3) имеем:

. (3.4)

Если в качестве исходных параметров заданы вероятности появления угроз Qi то коэффициент защищенности удобно считать через вероятности появления угроз. Если же в качестве исходных параметров заданы интенсивности потоков угроз i, то, естественно, коэффициент защищенности считается через интенсивность.

Очевидно, что при использовании любого математического метода проектирования системы защиты необходимо задавать определенные исходные параметры для оценки ее защищенности. Однако именно с этим связаны основные проблемы формализации задачи синтеза системы защиты. Поэтому мы отдельно рассмотрим основные пути решения данной задачи, рассмотрим возможные способы задания вероятностей и интенсивностей угроз.

1.4 Задание входных параметров системы

1.4.1 Способы задания интенсивностей и вероятностей угроз

Основной проблемой проведения количественной оценки уровня защищенности является задание входных параметров для системы защиты -- вероятностей и интенсивностей угроз. Рассмотрим возможные способы задания вероятностей и интенсивностей угроз.

1.Метод статистической оценки i (Qi) и pi.

Основным способом задания интенсивностей потоков угроз i (вероятностей угроз Qi ) и вероятностей взломов pi является получение этих значений на основе имеющейся статистики угроз безопасности информационных систем, в которых реализуется система защиты. Если существует статистика для аналогичной информационной системы, то задавать исходные параметры для оценки защищенности можно на ее основе. При этом желательно, чтобы сходные информационные системы эксплуатировалась на предприятиях со сходной спецификой деятельности.

Однако при практической реализации такого подхода возникают следующие сложности. Во-первых должен быть собран весьма обширный материал о происшествиях в данной области. Во-вторых данный подход оправдан далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если же система сравнительно невелика и эксплуатирует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз могут оказаться недостоверными

Заметим, что статистика угроз периодически публикуется достаточно авторитетными изданиями, т.е. всегда существуют исходные данные для использования данного подхода для большинства приложений средств защиты информации. Обычно эта статистика доступна в Интернете на сайтах специализированных организаций.

Если же необходимая статистика по угрозам безопасности отсутствует, то можно воспользоваться одним из других подходов, описанных далее.

2.Оптимистически-пессимистический подход. В рамках данного подхода предусмотрено два разных способа.

Первый способ -- это способ равных интенсивностей i = , = const. При этом способе для расчета защищенности константа а может быть выбрана любой. В формуле (3.4) она будет вынесена за скобки и в конечном итоге сократится, так что защищенность в данном случае будет зависеть только от потерь:

(3.5)

Второй способ -- это способ пропорциональности потерям

i = *Ci, = const. При этом способе предполагается, что чем больше потери от взлома, тем чаще осуществляются попытки несанкционированного доступа к этой информации. То есть интенсивности потоков угроз прямо пропорциональны потерям. В этом случае защищенность будет зависеть от квадрата потерь:

(3.6)

3. Метод экспертной оценки. Экспертная оценка исходных параметров для расчета защищенности может осуществляться с использованием так называемой дельфийской группы. Дельфийская группа -- это группа экспертов, созданная в целях сбора информации из определенных источников по определенной проблеме.

При этом необходимо задать лингвистический словарь возможных оценок экспертов, определить набор вопросов и условных значений квалификаций отдельных экспертов. После определения всех входных переменных производится поочередный опрос каждого эксперта. После опроса всех экспертов с учетом их квалификации определяется общая оценка группы и согласованность (достоверность) ответов для каждого вопроса.

Эксперт оценивает эффективность (вероятность) отражения угроз элементами защиты рi и вероятность появления угроз Qi Вероятности эксперт задает лингвистическими оценками: отлично, хорошо, удовлетворительно, плохо, не отражает; вероятно, близко к нулю, близко к единице, весьма вероятно и т.п. Затем эти лингвистические оценки при помощи словаря переводятся в числа рi и Qi в диапазоне [0; 1]. В приложении А описываются дополнительные методы экспертных оценок.

Для задания вероятности появления угрозы возможна оценка вероятности появления угрозы i-того вида в общем потоке угроз:

Исходя из заданной квалификации экспертов, рассчитываются их веса (значимость) в группе по формуле:

где Se -- квалификация эксперта, задаваемая в некотором диапазоне, например, от 0 до 10 в зависимости от опыта, образования и других качеств эксперта.

Затем оценки суммируются с учетом весов экспертов:

где рie и Qie - оценка вероятностей отражения и появления

угроз, сделанные одним экспертом;

ke - «вес» эксперта в группе.

После расчета общей оценки всей группы рассчитывается согласованность ответов, которая может использоваться для оценки достоверности результатов. Согласованность рассчитывается при помощи среднеквадратического отклонения и выражается в процентах.

Максимальная согласованность достигается при одинаковых значениях оценок экспертов и в этом случае равняется 100%. Минимальная согласованность достижима при максимальном разбросе оценок экспертов.

1.4.2 Способы задания стоимости информационных ресурсов

Важнейшей характеристикой защищаемого объекта (как следствие, и системы защиты) является стоимость потерь от взлома. Рассмотрим возможные способы задания стоимости потерь. Метод позволяет установить ценность ресурсов. Ценность физических ресурсов в данном методе зависит от цены их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях:

· недоступность ресурса в течение определенного периода времени;

· разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

· нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

· модификация данных - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

· наличие ошибок, связанных с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба рекомендуется воспользоваться некоторыми из перечисленных критериев:

· ущерб репутации организации;

· нарушение действующего законодательства;

· ущерб для здоровья персонала;

· ущерб, связанный с разглашением персональных данных отдельных лиц;

· финансовые потери от разглашения информации;

· финансовые потери, связанные с восстановлением ресурсов;

· потери, связанные с невозможностью выполнения обязательств;

· дезорганизация деятельности.

1.Стоимость похищенной/искаженной/утерянной информации.

Исходные данные:

ci[грн./бит]удельная цена информации;

v[6um/c]скорость получения/искажения/уничтожения информации;

t[c]...время нахождения субъекта в системе;

Vi[6um]объем информации.

Сi =min(ci*v*tj,ci*Vi).

2.Затраты от невозможности получения доступа к информации.

Исходные данные:

ci[грн./бит]удельная цена недоступности информации;

t[c]время восстановления системы.

Сi =ci*t.

Чтобы точнее определить ущерб в результате реализации угроз информации необходимо прибегнуть к некоторой классификации угроз и выделить тот принцип классификации который в большей мере характеризует стоимость потерь.

Существуют различные классификации угроз:

Ш по принципам и характеру воздействия на систему;

Ш по используемым техническим средствам;

Ш по целям атаки и т.п.

Очевидно, что стоимость потерь Сi удобнее задавать для угроз, классифицированных по целям атаки. Что касается характеристики интенсивности угроз, то она определяется с помощью средств аудита и сетевого мониторинга, которые различают угрозы по принципам и характеру воздействия на систему (механизму атаки, способу проникновения). Вероятность отражения угрозы средствами защиты рi определяется в соответствии с теми механизмами, которые реализованы в каждом средстве. Причем каждый из механизмов в общем случае может отражать несколько видов атак.

Таким образом, необходимо задавать соответствие между всеми этими параметрами (см. рисунок. 3.2). Для успешного приведения в соответствие различных параметров оценки защищенности необходимо корректное построение модели нарушителя. В этой модели должны быть отражены практические и теоретические возможности нарушителя, его априорные знания, время и место действия.

Рисунок 1.2 Взаимозависимость параметров защиты

Задание соответствия между стоимостью потерь и интенсивностью угроз можно осуществлять следующим образом:

1.Статистический подход. Статистический подход является основным, как обладающий большей достоверностью. Из анализа статистики можно выявить вероятности нанесения определенных видов ущерба при определенных видах взломов. Однако на практике далеко не всегда подобная статистика существует, в частности, при внедрении новых технологий защиты информации, новых версий ОС или приложений и т.д., т.к. для ее сбора требуется некоторое время. В этом случае может использоваться пессимистический подход.

2.Пессимистический подход. Если не имеется достаточной статистики, можно воспользоваться другим способом. Будем считать, что при проникновении в систему злоумышленник наносит наибольший вред, какой он только может причинить.

Именно этот подход мы используем для определения стоимости потерь в случае реализации хотя бы одной из угроз. К тому же, как показывает практика, при преодолении злоумышленником хотя бы одного из барьеров защиты, общий уровень защищенности всей системы резко снижается, что может привести к ее полной компрометации. Исходя из этих убеждений наш подход к оценке ущерба вполне обоснован, и уровень потерь будет равен максимальному при любых видах атак и нарушений.

При задании соответствия между интенсивностью угроз и вероятностью их отражения нужно учитывать, что, если в системе реализовано несколько механизмов, отражающих некоторую атаку, вероятность преодоления защиты рассчитывается следующим образом.

Если pk есть вероятность отражения i-той угрозы каждым средством защиты, то вероятность взлома системы будет:

,

а вероятность отражения угрозы системой защиты

.

1.5 Метод уступок при выборе оптимального варианта защиты

Качественная зависимость изменения основных параметров, характеризующих систему защиты, от ее сложности -- используемого набора механизмов защиты, представлена на рисунке 2.3. Проанализировав характер зависимостей от сложности системы, можем сказать, что стоимость системы защиты возрастает неограниченно, а производительность снижается в пределе до нуля.

В то же время кривая коэффициента защищенности (D) стремится к предельному значению - к единице (100%) и в некоторый момент достигает насыщения. Это в свою очередь приводит к тому, что при дальнейшем нарастании сложности (и, соответственно, увеличении цены, а также снижении производительности) увеличение коэффициента защищенности происходит незначительно.

Следовательно, при проектировании системы защиты, параметры защищенности которой расположены в области насыщения, целесообразно проанализировать параметры альтернативных вариантов. То есть целесообразно исследовать возможность использования менее сложных систем защиты и, задав некоторый промежуток снижения коэффициента защищенности (dD), выбрать систему, уровень защищенности которой удовлетворяет полученному (D-dD). Конечно, если таковые имеются. При этом может быть получен ощутимый выигрыш в цене и производительности.

Рисунок 1.3 Пример применения метода последовательного выбора уступок

В этом и состоит применение известного метода последовательных уступок при выборе оптимальной системы защиты. Этот метод, как уже упоминалось, подразумевает сведение многокритериальной задачи оптимизации к однокритериальной.

Метод последовательных уступок представляет собою итерационную человеко-машинную процедуру, используя которую разработчик, давая допустимые приращения одним параметрам (в частности, задавая снижение коэффициента защищенности), анализирует изменение других, принимая решение о допустимости вводимых уступок.

Таким образом, весь процесс анализа уровня безопасности условно можно разделить на этапы сбора и анализа полученных данных и модификации параметров системы защиты.

1.6 Описание пошаговой методики

Оценка защищенности с учетом приведенных выше расчетных формул и выбор оптимального варианта системы защиты (необходимого набора механизмов защиты) осуществляется следующим образом:

1. Расчет параметров Сi, i, рi. для оценки защищенности по исходным данным, полученным статистическим или, в случае недостатка статистики, одним из приведенных выше способов (оптимистически-пессимистический подход, метод экспертной оценки).

2. Расчет критериев защищенности D, ЦС3И,ПСЗИ (dПСЗИ) для каждого варианта системы защиты (набора механизмов защиты).

3. Выбор системы защиты (набора механизмов защиты при разработке системы) с максимальным коэффициентом защищенности D, удовлетворяющей ограничениям по стоимости ЦС3И и производительности ПС3И.

4. Анализ изменения коэффициента защищенности dD при задании приращений для критериев ЦС3И и dПСЗИ методом последовательного выбора уступок с оценкой целесообразности выбора системы, удовлетворяющей новым ограничениям.

Для получения более точных данных приближенных к реальности и в большей степени соответствующих специфике организации, на первом этапе (подготовительном), предшествующем этапу расчета параметров, требуется провести тщательное описание системы. Этот пункт является неотъемлемой частью многих международных стандартов в области информационной безопасности. Его значимость очевидна, т.к. чем лучше специалист знает объект который ему предстоит защищать, тем более точную оценку он сможет получить[8].

На данном шаге описываются цели создания информационной системы, ее границы, информационные ресурсы, требования в области ИБ и компонентов управления информационной системой и режимом ИБ.

Описание информационной системы рекомендуется выполнять в соответствии со следующим планом:

· аппаратные средства ИС, их конфигурация;

· используемое ПО;

· интерфейсы системы, то есть внешние и внутренние связи с позиции информационной технологии;

· типы данных и информации;

· персонал, работающий в данной ИС (обязанности);

· миссия данной ИС (основные цели);

· критичные типы данных и информационные процессы;

· функциональные требования к ИС;

· категории пользователей системы и обслуживающего персонала;

· формальные требования в области ИБ, применимые к данной ИС (законодательство, ведомственные стандарты и т.д.);

· архитектура подсистемы ИБ;

· топология локальной сети;

· программно-технические средства обеспечения ИБ;

· входные и выходные потоки данных;

· система управления в данной ИС (должностные инструкции, система планирования в сфере обеспечения ИБ);

· существующая система управления в области ИБ (резервное копирование, процедуры реагирования на нештатные ситуации, инструкции по ИБ, контроль поддержания режима ИБ и т.д.).

· организация физической безопасности;

· управление и контроль внешней по отношению к ИС средой (климатическими параметрами, электропитанием, защитой от затоплений, агрессивной среды и т.д.).

· На втором шаге методике при оценке стоимости СЗИ может использоваться 2 подхода:

1. Первый подход - назовем его наукообразным - заключается в том, чтобы освоить, а затем применить на практике необходимый инструментарий получения метрики и меры безопасности, а для этого привлечь руководство компании (как ее собственника) к оценке стоимости защищаемой информации, определению вероятностей потенциальных угроз и уязвимостей, а также потенциального ущерба. Если информация не стоит ничего, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален - и руководство это подтверждает - проблемой ИБ можно, наверное, не заниматься. Если же информация стоит определенных денег, угрозы и потенциальный ущерб ясны, то понятны и рамки бюджета на корпоративную систему ИБ. Существенно, что при этом становится возможным привлечь руководство компании к осознанию проблем ИБ и построению корпоративной системы защиты информации и заручиться его поддержкой. В качестве такого подхода для оценки стоимости системы защиты может использоваться данная методика без введения ограничений на параметр ЦСЗИ, а ориентироваться только на требуемый уровень защищенности [5].

2. Второй подход (назовем его практическим) состоит в следующем: можно попробовать найти инвариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Поэтому эксперты-практики в области защиты информации нашли некий оптимум, позволяющий чувствовать себя относительно уверенно, - стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС - в зависимости от уровня конфиденциальности информации. Это и есть та самая оценка на основе практического опыта (best practice), на которую можно положиться. Очевидно, что второй подход не лишен недостатков. Здесь, скорее всего, не удастся заставить руководство глубоко осознать проблемы ИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и существенно сэкономить на услугах внешних консультантов[4].

В данном разделе была описана пошаговая методика оценки средств СЗИ. Описаны параметры, с которыми оперирует методика, методы их получения и оценки. Также был описан принцип оценки рисков, положенный в основу методики и выведена формула для получения количественной оценки уровня защищенности, обеспечиваемого СЗИ.

Размещено на Allbest.ru