kiev-security.org.ua-Защита информационных систем.Возможные оценки защиты информации. организация работ по защите информации в системах электронной обработки данных

4. Возможные оценки защиты информации Одними из наиболее сложных и наименее определенных задач, которые непременно должны решаться в процессе создания и совершенствования механизмов защиты , являются оценки угроз информации в СОД в зависимости от условий функционирования, оценки последствий несанкционированного получения информации, оценки уровня защищенности информации в СОД и т.п. И теоретические исследования и практический опыт защиты информации показывают, что определение точных значений названных в 3 величин, как правило, не представляется возможным. В связи с этим широкое распространение получили приближенные оценки, основанные на обработке данных, собранных в процессе функционирования СОД и просто в процессе наблюдения над соответствующими явлениями, а также на экспертных оценках. Одна из первых шкал оценок потенциально возможных угроз и их последствий выглядела так, как показано в табл. 3/1/. Таблица 3. ----------------------------------------------------------------Причины Последствия ___________________________________________ Ёневозмож-Ёпотери Ё потери Ёискаже-Ёнесанк. Ёность об ЁвходногоЁотдельныхЁние за-Ёсчитыв. Ёработки Ёмассива Ёзаписей Ёписей Ёили коЁданных Ёданных Ё Ё Ёпиров. дддддддддддддддддддддадддддддддаддддддддадддддддддадддддддаддддддд Стихийные бедствия: Ё пожары Ё 2 2 - - - наводнения Ё 2 2 - - - другие причины Ё 2 2 - - - Отказы в работе аппаратуры и ошибки в программах работы ЭВМ: отказы Ё 5 - - - - нарушение дорожки Ё - - 3 - - в ЗУ на дисках Ё разрушение части Ё - - 3 - - ленты в НМЛ Ё отказ внешнего ЗУ Ё - 3 - - - отказы аппаратуры Ё - 2 4 6 - и (или) ошибки в Ё программах Ё ошибки при переда-Ё - - 4 6 - че данных Ё повреждение перфо-Ё - - 4 5 - карт или другого Ё материала ввода Ё данных, ошиби в раЁ бочих программах Ё Ошибки в работе обслуживающего персонала и пользователей системы: ошибки при перфо- Ё - - 4 7 - рации Ё ошибки оператора Ё - 3 4 5 - на конечном устройЁ стве ввода данных,Ё ошибки операт. ЭВМЁ неправильное сос- Ё - 3 - 3 - тавление и коррек-Ё тировка данных Ё неправильный вари-Ё - 3 - 3 - ант программы Ё ошибки при испыта-Ё - 3 4 4 - нии программ Ё потеря МЛ или МД, Ё - 3 - - 2 уничтожение МЛ илиЁ МД Ё Преднамеренное разрушение: саботаж Ё 2 2 - - - преднамеренные дейЁ 2 2 - - - ствия оператора Ё преднамеренные дейЁ - 2 3 3 - ствия программистаЁ преднамеренные дейЁ - 2 - - - ствия библиотекаряЁ МЛ Ё преднамеренные дейЁ - 2 3 3 - ствия оператора Ё оконечного устр-ваЁ преднамеренные дейЁ - - 3 3 - ствия пользователяЁ пользование аппараЁ - 2 3 3 3 турой для "забавы"Ё Преступления: растрата(хищение) Ё - - 3 4 4 промышлен.шпионаж Ё - - - - 3 воровство служащи-Ё - - - - 3 ми коммерч.секторовЁ воровство служащимиЁ - - - - 3 данных Ё П р и м е ч а н и е. Цифрами условно обозначена вероятность появления событий: 0- невозможно; 1-раз в 400 лет; 2-раз в 40 лет; 3 - раз в 4 года (1000 рабочих дней); 4-раз в 100 рабочих дней; 5- раз в 10 рабочих дней; 6 - раз в день; 7- 10 раз в день. ----------------------------------------------------------------Более развитую методику оценок разработали специалисты фирмы IBM /220/. Ее сущность в общем виде может быть представлена следующим образом. В качестве показателя частоты возникновения интересующего события принята величина S, которая принимает следующие значения 0-почти никогда; 1-один раз в 1000 лет; 2-один раз в 100 лет; 3-один раз в 10 лет; 4- один раз в год; 5 - десять раз в год (примерно два раза в неделю); 7- тысячу раз в год (примерно три раза в день). Показатель ущерба V в зависимости от абсолютного значения потерь предложено выражать так: 0- 1 дол., 1-10 дол., 2-100 дол., 3-1000 дол., 4 - 10000 дол., 5 - 100000 дол., 6 - 1000000 дол., 7 - 10 000 000 дол. Ожидаемый ущерб от i-той угрозы (причины) предложено вычислять по формуле R = 10(S+V-4). i Общий ущерб есть сумма ущербов от всех причин, т.е. R= суммаR i /стр 118/. Некоторые специалисты предлагают оценивать ожидаемый ущерб по так называемым нижним и верхним взвешенным значениям. При этом предполагается, что известны вероятности появления угроз, а также минимальное и максимальное значение ущерба при появлении угрозы. Тогда называемые оценки получаются путем умножения вероятности появления угрозы на минимальное и максимальное значения возможного ущерба. Если, например, пожар в течение года может возникнуть с вероятностью, равной 0.5% , и может вызвать потери от 5 тыс. дол до 2 млн.дол, то нижней взвешенной оценкой будет 5000х0,005=25 дол, а верхней - 2 000 000х0,005=10 000 дол. В /21/ приведено описание одного из возможных вариантов экспертных оценок систем безопасности. Система характеризуется набором n характеристик /табл.4/. Для изменения характеристики F введен показатель b довериi i тельный уровень обеспечиваемой защиты, трудоемкость преодоления защиты и т.п. Каждый эксперт дает оценку каждой характеристики /назначает значение G /, а также присваиваеи характеристикам i субъективный коэффициент важности W . Тогда при линейном методе i взвешивания степень обеспечения безопасности SR системы S, оцениваемой экспертом r, определяется выражением SR(s,r)=n WG /стр.118/ (1) Однако при этом нарушается принцип, что "крепость всей цепи определяется крепостью ее слабого звена". Требования этого принципа можно учесть, если SR(s,r) принять в виде SR'(s,r)=min{WG} /стр.119/ (2) Таблица 4 ---------------------------------------------------------Тип характеристики ЁОбозначение и наименование Ёхарактеристики системы Ёбезопасности информации ----------------------------------------------------------------Определяемые возможностя-Ё F1-криптографические средства ми вычислительной техники Ё защиты Ё F2-средства управления доступом Ё F3-cредства регистрации и реагиЁ рования на угрозы Ё F4-cредства защиты программ Ё F5-аппаратные средства защиты Ё : Ё Fm Не определяемые возможностяЁ Fm+1-непривлекательность СОД для ми вычислительной техники Ё потенциальных злоумышленников Ё Fm+2-организационные меры защиты Ё Fm+3-внешние /относительно аппараЁ туры СОД/ технические средства Ё защиты Ё Fm+4-законодательные и моральноЁ этические меры защиты --------------------------------------------------------------В /21/ приведены частичные оценки некоторых систем, полученные по рассмотренной методике: ADEPT-50 - 0,513; MULTICS - 0,486; CDC6400 - 0,365; IBM08/360 - 0,130. Из попыток аналитического решения задачи оценки угроз приведем следующую /220/. Пусть /лямда/ есть средний показатель появления анализируемого типа угроз, причем он рассмаривается как случайная переменная /стр.119/ с распределенной вероятностью f(лямда). Данный показатель определяется на основе факторов, имеющих место в процессе функционирования СОД или подобных им систем. Если таких данных нет, то показатели появления угроз могут быть определены экспертным путом. Если r есть число проявлений угроз в течение года, то случайной величине r будет соответствоватьт распределение вероятностей f(r/лямда). Если число проявлений угрозы зависит только от продолжительности периода изменений и среднего коэффициента проявления, то справедливым будет распределение Пуанссона: /стр.119/ (3) где t -число интервалов времени, за которое измерено r. Имея набор значений r1,r2,...rn значения /лямда/ могут быть определены на основе формулы гамма-распределения: /стр.119/ (4) Коэффициенты a и b могут быть определены из рекурентных соотношений: a"+r1+...rn; b"=b'+t1+...tn. (5) Распределение вероятностей числа проявления угрозы за следующий период t подчиняется следующей зависимости: f(r/a,d,t)= f(r/ t)f( /a,b)d ... cтр.119 (6) Результатирующее распределение определяется зависимостью: Ф о р м у л а стр.119 (7) где p=t/(t+b). Ожидаемое изменение числа проявлений угроз в последующий период t характеризуется математическим ожиданием и дисперсией: E(r/t)=at/b; V(r/t)=at/b(b+t). (8) Но, как известно, проявление угроз страшно не само по себе, а теми последствиями (потерями), к которым оно приводит. Ввиду недостаточной определенности самого понятия ущерба (особенно применительно к угрозам несанкционированного получения информации) построение аналитической модели для оценки ущерба сопряжено с еще большими трудностями, чем рассмотренной выше модели для оценки вероятности проявления самих угроз. В /220/ развивается следующий подход к указанным оценкам. Первоначально предполагается, что ожидаемый ущерб каждого проявления угрозы характеризуется величиной m и средним отклонением v имеет вид: f(m,v/m',v',n',k')=f (m/m',n',v)f (v/v',k'), (9) N g где f (.) f (.) - нормальные распределения, а n' и k -паN g раметры гамма-распределения. Если в следующие t периодов времени происходит r нарушений безопасности, причем ущерб от них измерялся величинами х1,х2,....хr, то корректировка величин m,v,n,k осуществляется по таким зависимостям: m"=(n'm'+rx)n"; (10) v= ф о р м у л а стр.119 (11) n"=n'+r, k"=k'=r, где x= x /r и s = (x -x) /(r-1) /cм.119/ Получение более полных оценок сопряжено с проявлением гораздо более сложных выкладок. В Стенфордском исследовательском институте (США) ведется учет сведений о нарушениях безопасности информации в СОД /220/. На основе этих данных производятся оценки опасности угроз и возможного ущерба при их проявлении. Что касается затрат на обеспечение безопасности данных, то некоторое представление о них можно получить по данным, приведенным в таблице 5. /21,23/. Весьма важным представляется следующее положение, которое все настойчивее развивается в зарубежной печати: система защиты даже, если при ее создании учтены все рассмотренные выше требования, сможет эффективно выполнять свои защитные функции лишь в случае, если в процессе автоматизированной обработки информации в СОД будут наблюдаться некоторые условия. Сформулировано значительное количество таких условий, в систематизированном виде они могут быть представлены следующим основным перечнем: 1. Обязательный контроль доступа к системным областям ЗУ. 2. Определение уровня секретности всех, обрабатываемых в СОД, а также уровня секретности программ и задач. 3. Закрепление выполнения некоторых функций защиты за пользователями системы (распределение функций защиты между системой и пользователями). 4. Обязательное ознакомление персонала СОД с наиболее важными правилами защиты информации и определение для каждого лица персональных обязанностей по защите. 5. Ведение каталога данных, находящихся в системе, с указаниями степени их секретности и возможных особых требований к их защите. Таблица 5 уммммммммммммммммммммммямммммммммммммммммммммммммммммммммммммммммммT Ё Характеристики Ё Вид СОД Ё Ё системы фмммммммммямммммммммяммммммямммммммммямммммм¦ Ё ЁМедицин- ЁСтрахова-ЁКадро-ЁКредитоваЁСудеб-Ё Ё Ё ская Ёния Ёвая Ёния Ёная Ё фммммммммммммммммммммммьмммммммммьмммммммммьммммммьмммммммммьмммммм¦ Ё 01 Ё 02 Ё 03 Ё 04 Ё 05 Ё 06 Ё фммммммммммммммммммммммьмммммммммьмммммммммьммммммьмммммммммьмммммм¦ ЁЧисло объектов Ё 1000 Ё 33000Ё 10 Ё 35000Ё 31 Ё ЁОбъем баз данных, Ё3 500 000Ё3 600 000Ё 20000Ё3 500 000Ё15 000Ё Ё/тыс.символов/ Ё Ё Ё Ё Ё Ё ЁЧисло пользователей Ё 50 Ё 60000 Ё 45 Ё 500000Ё 5000Ё ЁСтоимость разработки, Ё 726 Ё 5000 Ё 200 Ё 800 Ё 3000Ё Ё тыс.дол. Ё Ё Ё Ё Ё Ё ЁГодовые эксплуатацион-Ё 4000 Ё 13000 Ё 340 Ё 14000 Ё 2000Ё Ёные расходы до введе- Ё Ё Ё Ё Ё Ё Ёния правил регулирова-Ё Ё Ё Ё Ё Ё Ёния секретности, Ё Ё Ё Ё Ё Ё Ётыс.дол. Ё Ё Ё Ё Ё Ё ЁЗатраты на криптографиЁ 543 Ё 573 Ё 172 Ё 1416 Ё 348Ё Ёческую защиту,тыс.дол.Ё Ё Ё Ё Ё Ё ЁГодовые затраты на подЁ 1797 Ё 1882 Ё 40 Ё 20453 Ё 216Ё Ёдержание секретности, Ё Ё Ё Ё Ё Ё Ётыс.дол. Ё Ё Ё Ё Ё Ё ЁГодовые затраты на подЁ 45 Ё 15 Ё 12 Ё 145 Ё 11Ё Ёдержание секретности Ё Ё Ё Ё Ё Ё Ёпо отношению к годовымЁ Ё Ё Ё Ё Ё Ёэксплуатационным затраЁ Ё Ё Ё Ё Ё Ётам, % Ё Ё Ё Ё Ё Ё -------------------------------------------------------------------6.Принятие экстренных и решительных мер в случае нарушения безопасности данных или угрозы такого нарушения. 7.Принятие специальных мер для предотвращения несанкционированного доступа к носителям информации, защищаемым данным и терминалам по причине нерадивости или злоумышленных действий персонала СОД. 8.Периодический анализ действительной степени угрозы для защищаемых данных. 9.использование новых (неординарных) средств и методов защиты. 10.Ни в коем случае не полагаться полностью на формальные средства и методы защиты и перекладывать заботу о защите данных только на службу защиты. 11.Держать в тайне максимальное количество сведений, относящихся к обрабатываемым в системе данным. 12.Тщательно выявлять возможные источники пожара и обеспечивать необходимую противопожарную защиту. 13.Проверка и ликвидация слабых мест в установках кондиционирования воздуха. 14.Разработка и изучение с персоналом инструкций и руководств для действий на случай пожара. 15.Принятие необходимых мер защиты системы от разрушительного воздействия дыма и воды. 16.Поддержание постоянных рабочих контактов с местной пожарной охраной, полицейским управлением. 17.На вычислительном центре, где обрабатываются защищаемые данные, должны быть разработаны необходимые инструкции и предусмотрены меры защиты от взрывов бомб. 18.Должна быть предусмотрена и документально оформлена система штрафов на случай нарушения защиты по причине прекращения подачи электроэнергии или резкого падения напряжения в сетях питания. 19.Необходимо помнить, что магнитное поле может исказить или уничтожить информацию, записанную на магнитных носителях. 20.Должны быть предусмотрены мероприятия по проверке имеющихся или вносимых в помещения СОД портативных радиоприемников. 21.Организация периодической смены ключей, паролей и другихреквизитов, используемых для организации защиты информации. 22.Организация периодической смены ключей, паролейи других реквизитов, используемых для организации защиты информации. 23.Проектирование и периодическая проверка дублирующих (резервных) средств обработки информации. 24.Контроль за уничтожением производственных и бумажных отходов, остаточной информации и секретных документов. 25.Поддержание чистоты и порядка на рабочих местах. 26.Организация процедур защиты документов и носителей информации в хранилищах, а также в процессе их получения и использования. 27.Определение правил и способов получения и доставки в ВЦ носителей из хранилища архивов. 28.Организация защиты программ, используемых для обработки защищаемых данных. 29.Разработка специальных процедур контроля прикладных программ. 30.Регламентация процедур и разработка инструкций для работы операторов системы и пользователей. 31.Использование регистрационных журналов как одного из средств защиты. 32.Проверка на эффективность аппаратных и физических средств защиты.

111. Возможные оценки защиты информации. организация работ по защите информации в системах электронной обработки данных