ДИПЛОМНА РОБОТА
Розробка ефективних систем захисту інформації в автоматизованих системах
Зміст
РЕФЕРАТ
ПЕРЕЛІК СКОРОЧЕНЬ
ВСТУП
1. АНАЛІЗ НОРМАТИВНО-ПРАВОВОЇ БАЗИ ЗАБЕЗПЕЧЕННЯ КОМПЛЕКСНОГО ЗАХИСТУ ІНФОРМАЦІЇ В АВТОМАТИЗОВАНИХ СИСТЕМАХ
1.1 Загальні поняття та визначення в галузі проектування захищених автоматизованих систем
1.2 Класифікація автоматизованих систем
1.2.1 Особливості АС класу 1
1.2.2 Особливості АС класу 2 і 3
1.2.3 Системи інформаційної безпеки
1.3 Порядок створення комплексної системи захисту інформації
1.3.1 Аналіз структури автоматизованої інформаційної системи
1.3.2 Визначення технічного рішення
1.3.3 Реалізація та експлуатація КСЗІ
Висновки по розділу 1
2. ОБГРУНТУВАННЯ НАПРЯМКІВ СТВОРЕННЯ КОМПЛЕКСНОГО ЗАХИСТУ ІНФОРМАЦІЇ В АВТОМАТИЗОВАНИХ СИСТЕМАХ
2.1 Оцінка необхідності захисту інформації від НСД
2.2 Вимоги до захисту інформації від НСД в АС
2.2.1 Вимоги до захисту конфіденційної інформації
2.2.2 Вимоги до захисту секретної інформації
2.3 Основні принципи захисних заходів від НСД в АС
2.4 Математичний аналіз ефективності захисних заходів
Висновки по розділу 2
3. РОЗРОБКА МЕТОДИКИ ОЦІНКИ ЕФЕКТИВНОСТІ ЗАХИСНИХ ЗАХОДІВ У АВТОМАТИЗОВАНИХ СИСТЕМАХ
3.1 Загальні принципи оцінки ефективності захисних заходів
3.2 Підхід до оцінки ефективності захисних заходів
Висновки по розділу 3
4. ВИБІР ШЛЯХІВ ПІДВИЩЕННЯ ЕФЕКТИВНОСТІ ЗАХИСНИХ ЗАХОДІВ У АВТОМАТИЗОВАНИХ СИСТЕМАХ
4.1 Вибір контрольованих параметрів за максимальним значенням (з урахуванням захисту каналу)
4.2 Вибір контрольованих параметрів за заданим коефіцієнтом готовності
4.3 Вибір контрольованих параметрів за максимальним значенням ймовірності безвідмовної роботи після проведення діагностики
4.4 Оцінка оптимального часу між проведенням функціональних перевірок інформаційного каналу
Висновки по розділу 4
5. РОЗРОБКА РЕКОМЕНДАЦІЙ З ВИКОРИСТАННЯ ПРИСТРОЇВ, МЕТОДІВ І ЗАХОДІВ ЩОДО ЗАХИСТУ ІНФОРМАЦІЇ В АВТОМАТИЗОВАНИХ СИСТЕМАХ
5.1 Організаційні заходи
5.1.1 Рекомендації по категоріювання інформації в інформаційній системі підприємства
5.1.2 Рекомендації по категоріювання користувачів інформаційної системи підприємства
5.2 Інженерно-технічні заходи
5.2.1 Рекомендації щодо усунення несанкціонованого використання диктофона
5.2.2 Рекомендації щодо захисту інформації постановкою перешкод
5.3 Рекомендації із захисту інформації, яка обробляється в автоматизованих системах
Висновки по розділу 5
Методи захисту від електромагнітних полів
Електробезпека
ЕКОНОМІЧНЕ ОБГРУНТУВАННЯ
ВИСНОВКИ І РЕКОМЕНДАЦІЇ
СПИСОК ДЖЕРЕЛ
ДОДАТОК А. Основні інструкції і правила для користувачів і обслуговуючого персоналу
А.1 Інструкція користувача по дотриманню режиму інформаційної безпеки
А.1.1 Загальні вимоги
А.1.2 Робота в автоматизованій інформаційній системі
А.2 Інструкція з безпечного знищення інформації та обладнання
А.3 Правила парольного захисту
А.4 Правила захисту від шкідливого програмного забезпечення
А.5 Правила здійснення віддаленого доступу
А.6 Правила здійснення локального доступу
ДОДАТОК Б. Рекомендовані сучасні засоби пошуку від витоку та захисту інформації в приміщеннях
Комплекс контролю радіоелектронної обстановки і виявлення засобів несанкціонованого знімання інформації ТОР
Аналізатор провідних комунікацій LBD-50
Комплекс віброакустичного захисту об'єктів інформатизації 1-ї категорії БАРОН
Телефонний модуль для комплексного захисту телефонної лінії від прослуховування Прокруст-2000
Система захисту інформації Secret Net 4.0
РЕФЕРАТ
Пояснювальна записка до віпускної кваліфікаційної роботи спеціаліста «Розробка ефективних систем Захисту інформації в автоматизованих системах» складається з 117 стор., Містіть 11 малюнків, 7 таблиць, Перелік посилання з 43 найменуванням.
Об'єкт Дослідження - комплексна система Захисту інформації в автоматизованих системах.
Метод Дослідження - системний аналіз методів та засобів Захисту інформації від виток.
У результаті виконання ВКР спеціаліста проаналізовано: нормативно-правову базу та Сучасні підході в Галузі проектування комплексних систем Захисту інформації, запропоновано підхід Щодо оцінкі ефектівності проведення захисний заходів; в автоматизованих системах, проведень математичний аналіз ефектівності захисний заходів;, запропоновані шляхи Щодо покращення захисний заходів; від НСД в автоматизованих системах. Розроблені Рекомендації Щодо методів організаційного та інженерно-технічного Захисту інформації в автоматизованих системах
Результати віконаної ВКР спеціаліста рекомендується вікорістовуваті для досліджень, Що проводяться студентами в навчально процесі та для обгрунтування системи Захисту інформаційної системи на підпріємстві.
Ключові слова: Автоматизована система, інформаційна БЕЗПЕКА, комплексна система.
ABSTRACT
Explanatory message to final qualifying work of specialist «Development of the effective systems of priv in CASS» consists of 117 р., Contains 11 pictures, 7 tables, list of references from 43 names.
A research object is the complex system of priv in CASS.
A research method is an analysis of the systems of methods and facilities of priv from a source.
As a result of implementation of final qualifying work of specialist is analyzed: normatively legal base and modern approaches in industry of planning of the complex systems of priv, offered approach in relation to the estimation of efficiency of lead through of protective measures in CASS, the mathematical analysis of efficiency of protective measures is conducted, offered ways in relation to the improvement of protective measures from NSD in CASS. The developed recommendations are in relation to the methods of organizational and technical priv in CASS
The results of executed final qualifying work of specialist it is recommended to draw on for researches which are conducted students in an educational process and for the ground of the system of defense of the informative system on an enterprise.
Keywords: CAS, INFORMATIVE SAFETY, COMPLEX SYSTEM.
ПЕРЕЛІК СКОРОЧЕНЬ
АІС (АС) - Автоматизована інформаційна система
ВТСС - Допоміжні технічні засоби та системи
ДССЗЗІ - Державна служба спеціального зв'язку та захисту інформації
ЗМ - Захисні заходи
ЗП - Захищає приміщення
ІТС - Інформаційно-телекомунікаційна система
КЗ - Контрольована зона
КСЗІ - Комплексна система захисту інформації
НСД - Несанкціонований доступ
ОТСС - Основні технічні засоби і системи
СВТ - Засоби обчислювальної техніки
СІБ - Системи інформаційної безпеки
ЗЗІ - Системи захисту інформації
ТЗ - Технічне завдання
ТРП - Технічно-робочий проект
ЕОМ - Електронно0вичіслітельная машина
ВСТУП
Інформаційна безпека - порівняно молода, що швидко розвивається область інформаційних технологій. Словосполучення інформаційна безпека в різних контекстах може мати різний зміст. Стан захищеності національних інтересів в інформаційній сфері визначається сукупністю збалансованих інтересів особистості, суспільства і держави.
Під інформаційною безпекою розуміють захищеність інформації і підтримуючої інфраструктури від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятний збиток суб'єктам інформаційних відносин, у тому числі власникам і користувачам інформації і підтримуючої інфраструктури.
Разом з тим, захист інформації - це комплекс заходів спрямованих на забезпечення інформаційної безпеки.
З методологічної точки зору правильний підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин та інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем. Загрози інформаційній безпеці - це зворотний бік використання інформаційних технологій.
Говорячи про системи безпеки, потрібно відзначити, що вони повинні не тільки і не стільки обмежувати допуск користувачів до інформаційних ресурсів, скільки визначати і делегувати їх повноваження у спільному рішенні завдань, виявляти аномальне використання ресурсів, прогнозувати аварійні ситуації та усувати їх наслідки, гнучко адаптуючи структуру в умовах відмов, часткової втрати або тривалого блокування ресурсів.
Не варто, однак, забувати про економічну доцільність застосування тих чи інших заходів забезпечення безпеки інформації, які завжди повинні бути адекватні існуючим загрозам.
Паралельно з розвитком засобів обчислювальної техніки і появою нових способів порушення безпеки інформації розвивалися і удосконалювалися засоби захисту. Необхідно відзначити, що більш старі види атак нікуди не зникають, а нові тільки погіршують ситуацію. Існуючі сьогодні підходи до забезпечення захисту інформації дещо відрізняються від існуючих на початковому етапі. Головна відмінність сучасних концепцій у тому, що сьогодні не говорять про якомусь одному універсальному засобі захисту, а мова йде про КСЗІ, що включає в себе:
нормативно-правовий базис захисту інформації;
засоби, способи і методи захисту;
органи і виконавців.
Іншими словами, на практиці захист інформації являє собою комплекс регулярно використовуваних засобів і методів, заходів і здійснюваних заходів з метою систематичного забезпечення необхідної надійності інформації, що генерується, зберігається та обробляється на об'єкті АС, а також передається по каналах. Захист повинна носити системний характер, тобто для отримання найкращих результатів всі розрізнені види захисту інформації повинні бути об'єднані в одне ціле і функціонувати в складі єдиної системи, що представляє собою злагоджений механізм взаємодіючих елементів, призначених для виконання завдань із забезпечення безпеки інформації.
Більш того, КСЗІ призначена забезпечувати, з одного боку, функціонування надійних механізмів захисту, а з іншого - управління механізмами захисту інформації. У зв'язку з цим повинна передбачатися організація чіткої й налагодженої системи управління захистом інформації.
Наведені факти роблять проблему проектування ефективних систем захисту інформації актуальною на сьогоднішній день.
У даній роботі розглянуті основні принципи створення КСЗІ для АІС.
Метою роботи є «Дослідження сучасних систем захисту інформації в АС».
Для досягнення поставленої мети, в ході виконання роботи вирішувалися наступні завдання:
аналіз нормативно-правової бази забезпечення захисту інформації в АС, а також проектування захищених АС;
дослідження ступеня захищеності сучасних АС з наступною оцінкою ефективності її захисних заходів;
вибір шляхів підвищення ефективності захисних заходів в АС;
розробка рекомендацій з використання захисних заходів в АС.
Таким чином, об'єктом дослідження є захищена АС, а предметом - використовувані захисні заходи.
Поряд з існуючими нормативно-правовими документами [1-5,7-8,10-14] теоретичну базу досліджень становлять праці відомих учених у галузі захисту інформації від витоку технічними каналами: В.В. Домарева [21], А.А. Хорєва [38-40] та інших
Практичні результати грунтуються на дослідженні ефективності організаційних та інженерно-технічних заходів щодо захисту інформації в АС.
Кваліфікаційна робота спеціаліста складається з вступу, п'яти розділів, висновків, списку використаної літератури та додатків.
У першому розділі проводиться аналіз сучасної нормативно-правової бази в галузі захисту інформації, а також проектування захищених АС. Також був проаналізований сучасний метод побудови КСЗІ, відповідно до нормативних документів технічного захисту інформації України.
У другому розділі було проаналізовано основні принципи захисних заходів в АС для подальшого підвищення їх ефективності. В основі даного аналізу була проведена оцінка необхідності захисту інформації від НСД, на підставі якої були визначені вимоги по захисту інформації від несанкціонованого доступу. На підставі таких вимог і формуються захисні заходи для конкретних АС, а проведений математичний аналіз ефективності таких заходів дозволяє поліпшувати якість і надійність системи захисту.
У третьому розділі були розглянуті загальні принципи їх оцінки ефективності. На підставі цього була запропонована методика оцінки ефективності захисних заходів, використання якої передбачає лише наявність даних про необхідні вимоги захищеності і даних про повноту виконання цих вимог.
У четвертому розділі запропоновано можливі шляхи оптимізації захисних заходів в АС. В якості такої оптимізації розглядається вибір контрольованих параметрів за різних показниками ефективності.
П'ятий розділ містить розроблені рекомендації щодо поліпшення організаційних та інженерно-технічних заходів щодо захисту інформації в АС.
У висновку наведено основні результати досліджень.
Список використаної літератури містить 41 найменування.
У додатку містяться матеріали ілюстративного характеру, фотографії і технічні характеристики деяких захисних пристроїв, а також наведено ряд інструкцій і правил для користувачів та обслуговуючого персоналу.
1 АНАЛІЗ НОРМАТИВНО-ПРАВОВОЇ БАЗИ ОБЕЧПЕЧЕНІЯ КОМПЛЕКСНОГО ЗАХИСТУ ІНФОРМАЦІЇ В АВТОМАТИЗОВАНИХ СИСТЕМАХ
Бурхливе зростання конфіденційної і комерційної інформації, а також істотне збільшення фактів її розкрадання викликає підвищений інтерес все більшого числа організацій до створення власних захищених інформаційних систем.
Проектування захищених інформаційних систем процес досить складний, який припускає наявність відповідних знань і досвіду, у її творців.
Споживач може не вникати в розробку такого проекту і подробиці його розвитку, проте він зобов'язаний контролювати кожен його етап на предмет відповідності технічним завданням і вимогам нормативних документів. У свою чергу, персональний досвід проектувальників вимагає використання існуючих нормативних документів у цій галузі для отримання найбільш якісного результату.
Таким чином, процес проектування захищених інформаційних систем повинен грунтуватися на знанні і строгому виконанні вимог існуючих нормативних документів, як з боку її розробників, так і з боку замовників.
1.1 Загальні поняття та визначення в галузі проектування захищених автоматизованих систем
Існуюча в Україні нормативна база ще не досягла необхідного розвитку в даній області. Так, наприклад, з величезного списку стандартів і нормативних документів України можна виділити лише деякі, які можуть бути використані при проектуванні захищених АС [2-5].
Тому, при проведенні даного роду робіт, фахівці використовують також міжнародні (ISO) і міждержавні (ГОСТи, затверджені до 1992 року, включно) стандарти [6].
Згідно з одним із таких стандартів [7] АС являє собою систему, що складається з персоналу та комплексу засобів автоматизації його діяльності, реалізовує інформаційну технологію виконання установлених функцій.
Залежно від виду діяльності виділяють наступні види АС: автоматизовані системи управління (АСУ), системи автоматизованого проектування (САПР), автоматизовані системи наукових досліджень (АСНИ) і ін
Залежно від виду керованого об'єкта (процесу) АСУ ділять на АСУ технологічними процесами (АСУТП), АСУ підприємствами (АСУП) і т.д.
У нашому випадку АС являє собою середовище обробки інформації, і також інформаційних ресурсів в інформаційно-телекомунікаційній системі. Тому надалі будемо використовувати поняття автоматизована інформаційна система.
Закон України «Про інформацію» [1] трактує поняття «інформація» в наступному вигляді: «під інформацією розуміється документовані або публічно оголошені відомості про події та явища, що відбуваються в суспільстві, державі та навколишньому середовищі».
У свою чергу, захист інформації в АС - діяльність, яка спрямована на забезпечення безпеки оброблюваної в АС інформації і АС в цілому, і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків у результаті реалізації загроз [2].
Таким чином, АІС являє собою складну систему, яку доцільно розділяти на окремі блоки (модулі) для полегшення її подальшого проектування. У результаті цього, кожен модуль буде незалежний від інших, а в комплексі вони будуть складати цілісну систему захисту.
Виділення окремих модулів АІС дозволяє службі захисту інформації:
своєчасно і адекватно реагувати на певні види загроз інформації, які властиві певному модулю;
в короткі терміни впроваджувати систему захисту інформації в модулях, які щойно з'явилися;
спростити процедуру контролю системи захисту інформації в цілому (під системою захисту інформаційної інфраструктури підприємства в цілому слід розуміти сукупність модулів систем захисту інформації).
Поступово нарощуючи кількість модулів, а також ускладнюючи структуру захисту, АІС набуває певної комплексність, яка має на увазі використання не одного типу захисних функцій у всіх модулях, а їх добуток.
Таким чином, побудова КСЗІ стає невід'ємним фактором у розробці ефективної системи захисту від несанкціонованого доступу.
Згідно з [8] КСЗІ - сукупність організаційних та інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС.
Звідси видно, що, наприклад, простим екрануванням приміщення при проектуванні КСЗІ не обійтися, тому що цей метод передбачає лише захист інформації від витоку по радіоканалу.
У загальному випадку поняття «комплексність» представляє собою рішення в рамках єдиної концепції двох або більше різнопланових завдань (цільова комплексність), або використання для вирішення однієї і тієї ж задачі різнопланових інструментальних засобів (інструментальна комплексність), або те й інше (загальна комплексність).
Цільова комплексність означає, що система інформаційної безпеки повинна будуватися таким чином:
захист інформації, інформаційних ресурсів та систем особистості, суспільства і держави від зовнішніх і внутрішніх загроз;
захист особи, суспільства і держави від негативного інформаційного впливу.
Інструментальна комплексність передбачає інтеграцію всіх видів і напрямків ІБ для досягнення поставлених цілей.
Сучасна система захисту інформації повинна включати структурну, функціональну і тимчасову комплексність.
Структурна комплексність передбачає забезпечення необхідного рівня захисту в усіх елементах системи обробки інформації.
Функціональна комплексність означає, що методи захисту повинні бути спрямовані на всі виконувані функції системи обробки інформації.
Тимчасова комплексність передбачає безперервність здійснення заходів щодо захисту інформації, як в процесі безпосередньої її обробки, так і на всіх етапах життєвого циклу об'єкта обробки інформації.
1.2 Класифікація автоматизованих систем
Нормативним документом [4] передбачається розподіл АС на 3 класи:
Клас 1 - одномашінний однокористувацький комплекс, який обробляє інформацію однієї або кількох категорій конфіденційності. Приклад - автономна персональна ЕОМ, доступ до якої контролюється з використанням організаційних заходів.
Клас 2 - локалізований багатомашинний багатокористувацький комплекс, що обробляє інформацію різних категорій конфіденційності. Приклад - локальна обчислювальна мережа.
Клас 3 - розподілений багатомашинний багатокористувацький комплекс, який обробляє інформацію різних категорій конфіденційності. Приклад - глобальна обчислювальна мережа.
1.2.1 Особливості АС класу 1
Інформація з обмеженим доступом, а саме: конфіденційна інформація, що належить державі, та інформація, що містить державну таємницю, створюється, обробляється і зберігається в режимно-секретному (РСО) органі. Така інформація, в більшості випадків, обробляється з використанням АС класу 1, які мають такі особливості:
в кожен момент часу з комплексом може працювати тільки один користувач, хоча в загальному випадку осіб, які мають доступ до комплексу, може бути кілька, але всі повинні мати однакові повноваження (права) щодо доступу до оброблюваної інформації;
технічні засоби (носії інформації та засоби введення / виводу), з точки зору, захищеності відносяться до однієї категорії і всі вони можуть використовуватися для зберігання та / або введення / виведення всієї інформації.
Для проведення робіт, пов'язаних з побудовою КСЗІ РСО, фахівцям організації виконавця повинен бути оформлений допуск до державної таємниці.
При створенні КСЗІ РСО використовуються тільки ті технічні засоби захисту інформації, які мають експертний висновок або сертифікат відповідності державної служби спеціального зв'язку та захисту інформації (ДССЗЗІ) Україна, застосування інших технічних засобів захисту інформації заборонено.
Методика проведення робіт з побудови КСЗІ АС класу 1базіруется на наступних вихідних даних:
Об'єкт захисту - робоча станція.
Захист інформації від витоку по технічних каналах здійснюється за рахунок використання робочої станції в захищеному виконанні або спеціальних засобів.
Захист від несанкціонованого доступу до інформації здійснюється спеціальними програмними або апаратно-програмними засобами захисту від несанкціонованого доступу.
Захист комп'ютера від вірусів, троянських і шпигунських програм - антивірусне програмне забезпечення.
1.2.2 Особливості АС класу 2 і 3
В основному в АС класу 2 і класу 3 обробляється конфіденційна або відкрита інформація, яка належить державі і до якої висуваються вимоги щодо забезпечення цілісності та доступності.
Особливості АС класу 2: наявність користувачів з різними повноваженнями по доступу та / або технічних засобів, які можуть одночасно здійснювати обробку інформації різних категорій конфіденційності.
Особливості АС класу 3: необхідність передачі інформації через незахищену середовище або, в загальному випадку, наявність вузлів, які реалізують різну політику безпеки.
АС класу 3 відрізняється від АС класу 2 наявністю каналу доступу в Інтернет.
Так само, як і для створення КСЗІ РСО, для створення КСЗІ АС класу 2 і класу 3 організація-виконавець повинна мати ліцензію на проведення робіт у сфері технічного захисту інформації, а також використовувати сертифіковані технічні засоби захисту інформації.
Методика проведення робіт з побудови КСЗІ АС класу 2 (3) базується на таких вихідних даних:
Об'єктами захисту є робочі станції, канали передачі даних, веб-сервери, периметр інформаційної системи і т. д.
Захист від несанкціонованого доступу здійснюється за допомогою базових засобів операційної системи або з використанням спеціальних програмних, апаратно-програмних засобів.
Захист каналів передачі даних через незахищену середу - апаратні, програмні, апаратно-програмні засоби шифрування інформації.
Захист периметру - програмні, апаратні міжмережеві екрани, системи виявлення атак.
Захист комп'ютера (мережі) від вірусів, троянських і шпигунських програм - антивірусне програмне забезпечення.
Захист електронного документообігу та електронної пошти - використання засобів електронного цифрового підпису.
Споживачами КСЗІ АС класу 2 і класу 3 є органи державної влади, а також підприємства, діяльність яких пов'язана з обробкою конфіденційної інформації, що належить державі.
1.2.3 Системи інформаційної безпеки
Виділяють ще один тип АС [9] - системи інформаційної безпеки (СІБ).
СІБ представляють собою рішення, спрямоване на забезпечення захисту критичної інформації організації від розголошення, витоку і несанкціонованого доступу. Як і КСЗІ, СІБ об'єднує в собі комплекс організаційних заходів і технічних засобів захисту інформації.
СІБ в основному призначені для захисту інформації в АС класу 2 і класу 3. Однак між КСЗІ та СІБ є принципові відмінності.
Перша відмінність полягає в тому, що при побудові СІБ немає необхідності виконувати вимоги нормативних документів у сфері технічного захисту інформації, так як основними споживачами СІБ є комерційні організації, які не обробляють інформацію, що належить державі. Другим принциповою відмінністю є відсутність контролюючого органу, і, як наслідок, спроектована СІБ не вимагає проведення державної експертизи. Ще одна відмінність від КСЗІ - вільний вибір технічних засобів, можливе застосування будь-яких апаратних і програмних засобів захисту інформації.
СІБ можна рекомендувати комерційним організаціям, які піклуються про збереження своєї комерційної (критичною) інформації або збираються вживати заходів щодо забезпечення безпеки своїх інформаційних активів.
Для визначення необхідності побудови СІБ та напрями робіт із захисту інформації, а також для оцінки реального стану інформаційної безпеки організації необхідно проводити аудит інформаційної безпеки.
Стосовно до КСЗІ РСО та КСЗІ АС класу 2 і класу 3 проведення такого аудиту теж є першим етапом робіт. Такі роботи називаються обстеженням інформаційної інфраструктури організації.
Важливим моментом, який стосується експлуатації як КСЗІ АС класу 2 і класу 3, так і СІБ, є той факт, що недостатньо просто побудувати і експлуатувати ці системи захисту, необхідно постійно їх удосконалювати так само, як удосконалюються способи несанкціонованого доступу, методи злому і хакерські атаки.
Порівняльний аналіз всіх перерахованих систем захисту інформації представлений в таблиці 1.
Як ми бачимо, більш жорсткі вимоги висунуті до процесу побудови КСЗІ та виконавцю цих робіт у порівнянні з вимогами до побудови СІБ.
Надалі, при проектуванні системи захисту будемо брати за основу АС класу 1 і 2, тому що саме ці системи обробки інформації представляють найбільш великий інтерес у зловмисника з точки зору її розкрадання.
Таблиця 1.1 - Порівняльний аналіз систем захисту інформації
Особливості КСЗІ | РСО КСЗІ | АС класу 2 (3) | СІБ |
Споживачі послуг | Органи державної влади, комерційні організації | Органи державної влади, комерційні організації | Комерційні організації |
Оброблювана інформація | Конфіденційна інформація, яка належить державі, або інформація, що містить державну таємницю | Конфіденційна інформація, яка належить державі (фізичній особі), або відкрита інформація, яка належить державі | Критична інформація організації (персональна, фінансова, договірна інформація, інформація про замовників) |
Суб'єкти | Замовник Виконавець Контролюючий орган | Замовник Виконавець Контролюючий орган | Замовник Виконавець |
Наявність ліцензії на проведення робіт з побудови | Ліцензія на проведення робіт з технічного захисту інформації | Ліцензія на проведення робіт з технічного захисту інформації | Не потрібно |
Проведення державної експертизи | Обов'язково | Обов'язково | Не потрібно |
Технічні засоби захисту інформації | Тільки сертифіковані засоби захисту інформації | Тільки сертифіковані засоби захисту інформації | Будь-які засоби захисту інформації |
Виконання вимог нормативної бази | Обов'язково | Обов'язково | Не потрібно |
1.3 Порядок створення комплексної системи захисту інформації
Створення КСЗІ в ІТС здійснюється відповідно до нормативного документа системи технічного захисту інформації [10] на підставі технічного завдання (далі - ТЗ), розробленого згідно з вимогами нормативного документа системи технічного захисту інформації [5]. Крім того, при проектуванні КСЗІ можна керуватися стандартом [11].
До складу КСЗІ входять заходи та засоби, які реалізують способи, методи, механізми захисту інформації від:
витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричних та інших каналів;
несанкціонованих дій та несанкціонованого доступу до інформації, які можуть здійснюватися шляхом підключення до апаратури та ліній зв'язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав'язування хибної інформації, застосування закладних пристроїв чи програм, використання комп'ютерних вірусів і т.п. ;
спеціального впливу на інформацію, що може здійснюватися шляхом формування полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.
Для кожної конкретної ІТС склад, структура та вимоги до КСЗІ визначаються властивостями оброблюваної інформації, класом АС та умовами її експлуатації.
У загальному випадку, послідовність і зміст науково-дослідної розробки КСЗІ можна попередньо розділити на 4 етапи (рис 1.1).
Незважаючи на простоту структури розробки КСЗІ, більшість організацій дотримується саме цього алгоритму. Однак даний алгоритм - це лише основа проектування. Кожен представлений етап відображає безліч рівнів у ході проектування, в залежності від структури АС вимоги, що пред'являються до її системи захисту. Розглянемо ці етапи докладніше.
1.3.1 Аналіз структури автоматизованої інформаційної системи
Дана стадія розробки включає в себе наступні роботи:
проведення передпроектного обстеження;
розробка аналітичного обгрунтування щодо створення КСЗІ;
розробка технічного завдання на створення КСЗІ.
У ході даного етапу проводиться аналіз ризиків. Для перевірки здатності інформаційної системи протистояти спробам несанкціонованого доступу і впливу на інформацію іноді доцільно виконувати тести на проникнення.
Існує кілька видів обстеження [15]:
передпроектне діагностичне обстеження, яке виконується при модернізації чи побудові ЗЗІ;
аудит ЗЗІ на відповідність вимогам внутрішньокорпоративним стандартам або міжнародним / національним стандартам. Прикладом може служити сертифікаційний аудит системи управління ІБ по ISO 27001;
спеціальні види обстеження, наприклад, при розслідуванні комп'ютерних інцидентів.
Світовий досвід створення систем захисту для різного роду об'єктів дозволяє виділити три основні елементи, присутніх практично на будь-якому об'єкті і вимагають забезпечення їх безпеки [16]:
люди - персонал і відвідувачі об'єкта;
матеріальні цінності, майно та обладнання;
критична інформація - інформація з різними грифами таємності.
Кожен з виділених елементів має свої особливості, які необхідно врахувати при визначенні можливих загроз. За результатами аналізу можливих загроз безпеки АС формуються вимоги до захисту. Повний захист АС формується з приватних вимог захисту елементів шляхом об'єднання функціонально однорідних вимог по забезпеченню захисту.
За результатами даного етапу визначаються і формуються вимоги до захисту. Повний захист АС формується з приватних вимог захисту елементів шляхом об'єднання функціонально однорідних даних щодо забезпечення захисту. До таких даних відноситься захищається інформація на основі документально оформлених переліків захищаються відомостей, загрози безпеці інформації та модель ймовірного порушника, склад використовуваних технічних засобів і зв'язки між ними, складу розробленої організаційно-розпорядчої документації, клас захищеності АС в захищеному виконанні. Приймаються рішення, що стосуються складу технічних засобів і систем, передбачуваних до використання в системі, що розробляється, та заходів щодо забезпечення конфіденційності інформації на етапі проектування системи.
1.3.2 Визначення технічного рішення
У цілому процес проектування можна розділити на наступні етапи [15,25]:
підготовка ТЗ на створення системи захисту інформації;
створення моделі СЗІ;
розробка технічно-робочого проекту (ТРП) створення СЗІ та архітектури ЗЗІ. ТРП зі створення СЗІ включає наступні документи:
пояснювальну записку, яка містить опис основних технічних рішень по створенню ЗЗІ та організаційних заходів з підготовки ЗЗІ до експлуатації;
обгрунтування обраних компонентів ЗЗІ та визначення місць їх розміщення. Опис розроблених профілів захисту;
специфікацію на комплекс технічних засобів ЗЗІ;
специфікацію на комплекс програмних засобів ЗЗІ;
Визначення установок і режиму функціонування компонентів ЗЗІ:
розробка організаційно-розпорядчих документів системи управління ІБ (політик щодо забезпечення інформаційної безпеки, процедур, регламентів і ін);
розробка робочого проекту (включаючи документацію на використовувані засоби захисту і порядок адміністрування, план введення ЗЗІ в експлуатацію та ін), планування навчання користувачів і обслуговуючого персоналу інформаційної системи;
реалізація дозвільної системи допуску та організаційно-технічних заходів щодо захисту інформації в КСЗІ.
Проект повинен включати в себе розділи, присвячені забезпеченню автоматизації діяльності співробітників організації, інформаційного обміну по високошвидкісним лініях зв'язку, захисту інформації. При необхідності розробляються завдання і проекти на інші роботи, наприклад будівельно-монтажні. На основі цього документа буде створюватися КСЗІ, тому він повинен включати в себе опис всіх впроваджуваних технічних засобів, їх налаштування, а також всі необхідні організаційні рішення.
До складу розробляється організаційно-технічної та експлуатаційної документації входять технічний паспорт на КСЗІ, інструкції та керівництва для користувачів, адміністраторів системи, з експлуатації технічних засобів, накази, акти і розпорядження, пов'язані з проектуванням, впровадженням, випробуваннями і введенням в експлуатацію системи.
Технічне завдання на створення КСЗІ може розроблятися для ІТС створюваних вперше, а також під час модернізації вже існуючих ІТС у вигляді окремого розділу ТЗ на створення ІТС, окремого (часткового) ТЗ або доповнення до ТЗ на створення ІТС.
У ТЗ викладаються вимоги до функціонального складу і порядку розробки і впровадження технічних засобів, які забезпечують безпеку інформації в процесі її обробки в обчислювальній системі ІТС, а також вимоги до організаційних, фізичних та інших заходів захисту, що реалізуються поза обчислювальної системи ІТС на додаток до комплексу програмно-технічних засобів захисту інформації.
Проект КСЗІ розробляється на підставі та у відповідності до ТЗ. Під час розробки проекту КСЗІ обгрунтовуються і приймаються проектні рішення, які дають можливість реалізувати вимоги ТЗ, забезпечити сумісність і взаємодію різних компонентів КСЗІ, а також різних заходів і способів захисту інформації. У результаті створюється комплект робочої та експлуатаційної документації, необхідної для забезпечення тестування, проведення пусконалагоджувальних робіт, випробувань та управління КСЗІ.
Під реалізацією дозвільної системи допуску та організаційно-технічних заходів щодо захисту інформації розуміються проведення наступних дій:
визначення складу суб'єктів доступу до інформації, що захищається (співробітників організації);
ознайомлення працівників з правилами обробки інформації, що захищається і забезпечення інформаційної безпеки, накладення на всіх користувачів персональної відповідальності за розголошення ввіреній їм інформації, що захищається шляхом підпису ними відповідних документів;
розробка та затвердження переліку захищаються інформаційних ресурсів, матриці доступу співробітників до ресурсів, що захищаються;
визначення складу носіїв інформації, що захищається і їх маркування;
формування журналів обліку паролів, журналів обліку персональних ідентифікаторів, журналів обліку носіїв інформації, що захищається.
1.3.3 Реалізація та експлуатація КСЗІ
Роботи по впровадженню системи включають виконання наступних завдань:
закупівля, установка і настройка засобів захисту інформації в КСЗІ;
проведення приймально-здавальних випробувань;
атестація КСЗІ на відповідність вимогам керівних документів з безпеки інформації (добровільна);
навчання користувачів;
введення ЗЗІ в експлуатацію.
Закупівля, встановлення та налаштування (тестування) технічних засобів проводиться згідно з вимогами, наведеними в проекті на створення КСЗІ.
Тестування КСЗІ проводиться з метою перевірки її функціонування відповідно до встановлених вимог, а так само виявлення недоліків та їх усунення. Вона здійснюється у відповідності з програмою, в якій вказуються умови та порядок функціонування АС в захищеному виконанні, тривалість дослідної експлуатації, порядок усунення виявлених недоліків [17].
Приймально-здавальні випробування проводяться з метою перевірки повноти і якості реалізації системою своїх функцій в різних умовах функціонування. Вони здійснюються у відповідності з програмою, в якій зазначаються перелік випробовуваних об'єктів і висунутих до них вимог, критерії приймання системи та їх частин, умови та терміни проведення випробувань, методики випробувань та обробки результатів [17].
Під час приймально-здавальних випробувань:
відпрацьовують технології обробки інформації, оборот машинних носіїв інформації, управління засобами захисту, розмежування доступу користувачів до ресурсів ІТС та автоматизованого контролю дій користувачів;
співробітники служби захисту інформації та користувачі ІТС набувають практичних навичок з використання технічних та програмно-апаратних засобів захисту інформації, засвоюють вимоги організаційних та розпорядчих документів з питань розмежування доступу до технічних засобів та інформаційних ресурсів;
здійснюється (за необхідності) доопрацювання програмного забезпечення, додаткове налагоджування та конфігурування комплексу засобів захисту інформації від несанкціонованого доступу;
здійснюється (за необхідністю) коригування робочої та експлуатаційної документації.
За результатами приймально-здавальних випробувань приймається рішення про готовність КСЗІ в ІТС до представлення на державну експертизу.
Проведення атестації КСЗІ є добровільним, за винятком випадку, коли в організації зберігаються й обробляються відомості, власником яких є держава. Атестація проводиться з метою перевірки відповідності, системи захисту інформації, вимогам, встановленим нормативними документами Державної служби спеціального зв'язку та захисту інформації (ДССЗЗІ). Проведення атестації КСЗІ здійснюється відповідно до програми й методики атестаційних випробувань. За результатами випробувань складається висновок і. у разі позитивного рішення атестаційної комісії, видається атестат відповідності об'єкта інформатизації вимогам з безпеки інформації.
Як узгодження встановленої системи з робочим персоналом проводяться заходи щодо їх навчання. Такі заходи дозволять, як правило, усунути некоректне використання встановлених компонентів системи (обладнання, програмне забезпечення тощо), появи помилок та інших загроз, що виникають з боку персоналу.
Останній етап передбачає ведення постійного контролю стану КСЗІ, її роботи відповідно до розробленого регламенту і вимозі на її експлуатацію. Крім того, для підтримки якості роботи системи необхідно проводити перевірку ефективності засобів та методів захисту.
Висновки по розділу 1
Встановлено перелік основних нормативно-правових документів що регламентують проектування АІС в захищеному виконанні.
На підставі цих документів, проведено аналіз АС, в результаті якого існує 3 класи таких систем за ступенем складності і доступу до інформації, що циркулює в них.
Проаналізовано особливості кожного класу АС. Найбільш вимогливими до захисту є 1-й і 2-й класи.
Встановлено, що для проектування ефективної системи захисту необхідно АІС представити у вигляді різних модулів. У результаті цього, використовувані захисні заходи для кожного модуля будуть незалежні один від одного, а в цілому система захисту буде комплексною.
Проаналізовано порядок створення КСЗІ. Встановлено, що така розробка зазвичай складається з чотирьох етапів. Найбільш відповідальним є третій етап, тому що саме на даному етапі реалізуються всі захисні заходи щодо вимог та технічного рішенням, прийнятим на попередніх етапах.
2 ОБГРУНТУВАННЯ НАПРЯМКІВ СТВОРЕННЯ КОМПЛЕКСНОГО ЗАХИСТУ ІНФОРМАЦІЇ В АВТОМАТИЗОВАНИХ СИСТЕМАХ
Для кожного типу загроз, що виникають при функціонуванні системи інформаційної безпеки, може бути одна або декілька заходів протидії. У зв'язку з неоднозначністю вибору заходів протидії необхідний пошук деяких критеріїв, в якості яких можуть бути використані надійність забезпечення схоронності інформації та вартість реалізації захисту. Принимаемая захід протидії з економічної точки зору буде прийнятна, якщо ефективність захисту з її допомогою, виражена через зниження ймовірного економічного збитку, перевищує витрати на її реалізацію. У цій ситуації можна визначити максимально допустимі рівні ризику в забезпеченні збереження інформації і вибрати на цій основі одну або декілька економічно обгрунтованих заходів протидії, що дозволяють знизити загальний ризик до такої міри, щоб його величина була нижчою максимально допустимого рівня. З цього випливає, що потенційний порушник, який прагне раціонально використовувати надані йому можливості, не буде витрачати на виконання загрози більше, ніж він очікує виграти. Отже, необхідно підтримувати ціну порушення збереження інформації на рівні, що перевищує очікуваний виграш потенційного порушника. Розглянемо ці підходи.
Стверджується, що більшість розробників засобів обчислювальної техніки розглядає будь-який механізм апаратної захисту як деякі додаткові витрати з бажанням за їх рахунок знизити загальні витрати. При вирішенні на рівні керівника проекту питання про розробку апаратних засобів захисту необхідно враховувати співвідношення витрат на реалізацію процедури і досягається рівня забезпечення схоронності інформації. Тому розробнику потрібна деяка формула, що зв'язує рівень захисту і витрати на її реалізацію, яка дозволяла б визначити витрати на розробку потрібних апаратних засобів, необхідних для створення заздалегідь певного рівня захисту. У загальному вигляді таку залежність можна задати виходячи з таких міркувань. Якщо визначати накладні витрати, пов'язані із захистом, як відношення кількості використання деякого ресурсу механізмом управління доступом до загальної кількості використання цього ресурсу, то застосування економічних важелів управління доступом дасть накладні витрати, що наближаються до нуля.
2.1 Оцінка необхідності захисту інформації від НСД
При оцінці необхідності захисту підприємства від несанкціонованого доступу до інформації можна вважати, що повні витрати (втрати) визначаться виразом, який потрібно мінімізувати
, (2.1)
де повні втрати
, (2.2)
Rнез.сд. - Прибуток від неукладеним угод;
Rсорв.сд. - Прибуток від зірваних угод;
вартість витрат на інформаційний захист
, (2.3)
Rапп. - Витрати на апаратуру;
Rекс. - Експлуатаційні витрати;
Rреж. - Витрати на організацію режиму на підприємстві;
Рпи - імовірність втрат інформації;
Рнпі - умовна ймовірність невиявлення втрат інформації;
Ропі = (1-Рнпі) - ймовірність відсутності втрат інформації, (так як вони складають повну групу подій);
РООП - умовна ймовірність помилки у виявленні втрат інформації.
При цьому треба враховувати, що Рнпі à 1 за відсутності апаратних засобів контролю, а Rооп à 0 при повному охопленні контролем.
Враховуючи необхідність мінімізації вираження повних втрат, доцільність використання захисту буде при дотриманні умови
.
Практично це можна визначити за формулою
.
При цьому k = (2-5) і він вибирається більше при більшому вкладенні в це підприємство (страхувальний підхід).
Ймовірність не виявлення втрат інформації
.
Враховуючи певний досвід кількох підприємств, можна
вважати, що:
P 1 = 0,1 - при установці апаратури по захисту від підслуховування в приміщенні;
Р 2 = 0,1-0,2 - при установці апаратури по захисту від підслуховування по телефону;
Р 3 = 0,1-0,2 - при проведенні заходів щодо захисту комп'ютерних мереж;
Р4 = 0,1 - при введенні на підприємстві особливого режиму;
Р5 = 0,1-при захисті від запису на диктофон.
Незважаючи на інший (з точки зору знака і природи) характер залежності ймовірність помилки у виявленні втрат інформації можна наближено визначити як
.
Таким чином, застосування такого підходу в оцінці необхідності захисту інформації безумовно правомірно на попередньому етапі рішення, оскільки не вимагає великої кількості статистичних даних.
2.2 Вимоги до захисту інформації від НСД в АС
Захист інформації від НСД в Україну на сьогоднішній день регламентують нормативні документи [2,3,8,12-14].
Враховуючи дані нормативні документи, а також акцентіруемие класи АС (клас 1 і 2), сучасний ринок засобів захисту конфіденційної інформації можна умовно розділити на дві групи:
засоби захисту для держструктур, що дозволяють виконати вимоги нормативно-правових документів, а також вимоги нормативно-технічних документів (державних стандартів, нормативних документів ДССЗЗІ і т.д.);
засоби захисту для комерційних компаній і структур, що дозволяють виконати рекомендації ISO / IEC 17799:2002 (BS 7799-1:2000) «Управління інформаційною безпекою - Інформаційні технології. - Information technology - Information security management ».
Вимоги до захисту інформації від НСД можуть накладатися різні.
По-перше, на це впливає клас АС, який має на увазі обробку інформації різних категорій. Розглянута раніше класифікація АС, докладно описує цю характеристику.
По-друге, важливість об'єкта та вартість (важливість) інформації. Якщо об'єкт, є інформаційно важливим (не кажучи вже про державний об'єкті, так як на цей випадок необхідно керуватися виключно нормативними документами), то в такому випадку слід робити оцінку інформаційних ресурсів, інформаційної системи в цілому на визначення її важливості (провести аудит інформаційної безпеки) . Після цього, як окремим етапом, формуються вимоги до захисту даного об'єкта.
Однією з вимог забезпечення захисту інформації в АС, згідно [14] є те, що обробка в АС конфіденційної інформації повинна здійснюється з використанням захищеної технології.
Технологія обробки інформації є захищеною, якщо вона містить програмно-технічні засоби захисту та організаційні заходи, які забезпечують виконання загальних вимог із захисту інформації.
Загальні вимоги передбачають [14]:
наявність переліку конфіденційної інформації, яка підлягає автоматизованій обробці; у разі необхідності можлива її класифікація в межах категорії за цільовим призначенням, ступенем обмеження доступу окремої категорії користувачів та іншими класифікаційними ознаками;
наявність визначеного (створеного) відповідального підрозділу, якому надаються повноваження щодо організації і впровадження технології захисту інформації, контролю за станом захищеності інформації (далі - служба захисту в АС, СЗІ);
створення КСЗІ, яка являє собою сукупність організаційних та інженерно-технічних заходів, програмно-апаратних засобів, спрямованих на забезпечення захисту інформації під час функціонування АС;
розробку плану захисту інформації в АС, зміст якого визначено в додатку до НД ТЗІ 1.4-001;
наявність атестата відповідності КСЗІ в АС нормативним документам із захисту інформації;
можливість визначення засобами КСЗІ декількох ієрархічних рівнів повноважень користувачів та декількох класифікаційних рівнів інформації;
обов'язковість реєстрації в АС всіх користувачів і їхніх дій щодо конфіденційної інформації;
можливість надання користувачам тільки за умови службової необхідності санкціонованого та контрольованого доступу до конфіденційної інформації, яка обробляється в АС;
заборона несанкціонованої та неконтрольованої модифікації конфіденційної інформації в АС;
здійснення з допомогою СЗІ обліку вихідних даних, отриманих під час вирішення функціональної задачі, у формі віддрукованих документів, які містять конфіденційну інформацію, відповідно до керівних документів [14];
заборона несанкціонованого копіювання, розмноження, розповсюдження конфіденційної інформації, в електронному вигляді;
забезпечення з допомогою СЗІ контролю за санкціонованим копіюванням, розмноженням, розповсюдженням конфіденційної інформації, в електронному вигляді;
можливість здійснення однозначної ідентифікації і аутентифікації кожного зареєстрованого користувача;
забезпечення КСЗІ можливості своєчасного доступу зареєстрованих користувачів АС до конфіденційної інформації.
Наведені вимоги є базовими і застосовуються при захисті інформації від НСД в усіх типах АС.
Умовно розділивши, АС на найважливіші підсистеми забезпечення захисту інформації (рис 2.1), можна перерахувати також вимоги, пропоновані для захисту комп'ютерної інформації від НСД в АС для кожної окремої підсистеми.
2.2.1 Вимоги до захисту конфіденційної інформації
Підсистема управління доступом повинна задовольняти наступним вимогам:
ідентифікувати і перевіряти справжність суб'єктів доступу при вході в систему. Причому це має здійснюватися за ідентифікатором (коду) і паролю умовно-постійної дії довжиною не менше шести буквено-цифрових символів;
ідентифікувати термінали, ЕОМ, вузли комп'ютерної мережі, канали зв'язку, зовнішні пристрої ЕОМ за їх логічним адресами (номерах);
по іменах ідентифікувати програми, томи, каталоги, файли, записи і поля записів;
здійснювати контроль доступу суб'єктів до ресурсів, що захищаються відповідно до матриці доступу;
Підсистема реєстрації і обліку повинна:
реєструвати вхід (вихід) суб'єктів доступу до системи (з системи), або реєструвати завантаження і ініціалізацію операційної системи та її програмного зупину. При цьому в параметрах реєстрації зазначаються:
дата і час входу (виходу) суб'єкта доступу в систему (з системи) чи завантаження (зупинки) системи;
результат спроби входу - успішна або неуспішна (при НСД);
ідентифікатор (код або прізвище) суб'єкта, пред'явлений при спробі доступу;
код або пароль, пред'явлений при неуспішної спробі;
реєстрація виходу з системи або зупинки не проводиться в моменти апаратурного відключення АС;
реєструвати видачу друкованих (графічних) документів на «тверду» копію. При цьому в параметрах реєстрації зазначаються:
дата і час видачі (звернення до підсистеми виводу);
короткий зміст документа (найменування, вид, код, шифр) і рівень його конфіденційності;
специфікація пристрою видачі (логічне ім'я (номер) зовнішнього пристрою);
ідентифікатор суб'єкта доступу, запросити документ;
реєструвати запуск (завершення) програм і процесів (завдань, задач), призначених для обробки захищаються файлів. При цьому в параметрах реєстрації вказується:
дата і час запуску;
ім'я (ідентифікатор) програми (процесу, завдання);
ідентифікатор суб'єкта доступу, запитом програми (процес, завдання);
результат запуску (успішний, неуспішна - несанкціонований);
реєструвати спроби доступу програмних засобів (програм, процесів, завдань, завдань) до захищуваних файлів. У параметрах реєстрації вказується:
дата і час спроби доступу до захищається файлу з зазначенням її результату (успішна, неуспішна - несанкціонована);
ідентифікатор суб'єкта доступу;
специфікація захищається файлу.
реєструвати спроби доступу програмних засобів до додаткових захищених об'єктів доступу (терміналів ЕОМ, вузлам мережі ЕОМ, лініям (каналам) зв'язку, зовнішнім пристроям ЕОМ, програмам, томам, каталогами, файлів, записів, полів записів). При цьому в параметрах реєстрації вказується:
дата і час спроби доступу до захищається файлу з зазначенням її результату: успішна, неуспішна, несанкціонована;
ідентифікатор суб'єкта доступу;
специфікація об'єкта, що захищається [логічне ім'я (номер)];
проводити облік всіх захищаються носіїв інформації за допомогою їх маркування і з занесенням облікових даних до журналу (облікову картку);
реєструвати видачу (приймання) захищаються носіїв;
здійснювати очищення (обнулення, знеособлення) звільняються областей оперативної пам'яті ЕОМ і зовнішніх накопичувачів. При цьому очищення повинна проводитися одноразової, довільної записом у звільняється область пам'яті, раніше використану для зберігання захищаються даних (файлів);
Підсистема забезпечення цілісності повинна:
забезпечувати цілісність програмних засобів системи захисту інформації від НСД (СЗІ НСД), оброблюваної інформації, а також незмінність програмного середовища. При цьому:
цілісність СЗІ НСД перевіряється при завантаженні системи по контрольних сумах компонент СЗІ;
цілісність програмного середовища забезпечується використанням трансляторів з мови високого рівня і відсутністю коштів модифікації об'єктного коду програм в процесі обробки і (або) зберігання інформації, що захищається;
здійснювати фізичну охорону СВТ (пристроїв і носіїв інформації). При цьому повинні передбачатися контроль доступу в приміщення АС сторонніх осіб, а також наявність надійних перешкод для несанкціонованого проникнення в приміщення АС і сховище носіїв інформації. Особливо в неробочий час;
проводити періодичне тестування функцій ЗЗІ НСД при зміні програмного середовища і персоналу АС за допомогою тест-програм, що імітують спроби НСД;
мати в наявності засоби відновлення СЗІ НСД. При цьому передбачається ведення двох копій програмних коштів СЗІ НСД, а також їх періодичне оновлення і контроль працездатності;
2.2.2 Вимоги до захисту секретної інформації
У загальному випадку вимоги до захисту секретної інформації схожі з вимогами до захисту конфіденційної інформації, однак існують принципові відмінності. Так як секретна інформація має вищий ранг, то вимоги пред'являються до неї на порядок вище. Тому, через схожість у вимогах цих двох категорій інформації, відзначимо, тільки ті пункти, які відносяться безпосередньо до захисту секретної інформації.
Підсистема управління доступом повинна:
управляти потоками інформації за допомогою міток конфіденційності. При цьому рівень конфіденційності накопичувача повинен бути не нижче рівня конфіденційності записуваної на нього інформації;
Підсистема реєстрації і обліку повинна:
реєструвати видачу друкованих (графічних) документів на «тверду» копію. Ця дія має вказувати фактичний обсяг виданого документа (кількість сторінок, аркушів, копій) і результат видачі (успішний - весь обсяг, неуспішний);
реєструвати спроби доступу програмних засобів (програм, процесів, завдань, завдань) до захищуваних файлів. У параметрах реєстрації вказується:
ім'я програми (процесу, завдання, завдання), які здійснюють доступ до файлів;
вид запитуваної операції (читання, запис, видалення, виконання, розширення і т.п.);
реєструвати спроби доступу програмних засобів до наступних додатковим захищених об'єктів доступу: терміналам, ЕОМ, вузлам мережі ЕОМ, лініям (каналам) зв'язку, зовнішнім пристроям ЕОМ, програмам, томам, каталогами, файлів, записів, полів записів. У параметрах реєстрації вказується:
ім'я програми (процесу, завдання, завдання), які здійснюють доступ до файлів;
вид запитуваної операції (читання, запис, монтування, захоплення і т.п.);
реєструвати зміни повноважень суб'єктів доступу, а також статусу об'єктів доступу. У параметрах реєстрації вказується:
дата і час зміни повноважень;
ідентифікатор суб'єкта доступу (адміністратора), що здійснив зміни;
здійснювати автоматичний облік створюваних захищаються файлів за допомогою їх додаткового маркування, використовуваної в підсистемі управління доступом. Маркування повинна відображати рівень конфіденційності об'єкта;
проводити облік захищаються носіїв з реєстрацією їх видачі (прийому) у спеціальному журналі (картотеці);
проводити кілька видів обліку (дублюючих) захищаються носіїв інформації;
сигналізувати про спроби порушення захисту;
Підсистема забезпечення цілісності повинна:
здійснювати фізичну охорону СВТ (пристроїв і носіїв інформації). При цьому повинно передбачатися постійна наявність охорони на території будівлі та приміщень, де знаходиться АС. Охорона повинна проводитися за допомогою технічних засобів охорони та спеціального персоналу, а також з використанням суворого пропускного режиму та спеціального обладнання в приміщенні АС;
передбачати наявність адміністратора або цілої служби захисту інформації, відповідальних за ведення, нормальне функціонування і контроль роботи ЗЗІ НСД. Адміністратор повинен мати свій термінал і необхідні засоби оперативного контролю і впливу на безпеку АС;
проводити періодичне тестування функцій ЗЗІ НСД при зміні програмного середовища і персоналу АС з допомогою спеціальних програмних засобів не рідше одного разу на рік;
використовувати лише сертифіковані засоби захисту. Їх сертифікацію проводять спеціальні сертифікаційні центри або спеціалізовані підприємства, що мають ліцензію на проведення сертифікації засобів захисту ЗЗІ НСД;
Порівняємо дві розглянуті вище групи вимог та їх особливості для захисту інформації різних категорій (конфіденційної і таємної). Ясно, що ключовими механізмами захисту, що утворюють основну групу механізмів захисту від НСД («Підсистема управління доступом») є:
ідентифікація і перевірка дійсності суб'єктів доступу при вході в систему по ідентифікатору (коду) і паролю умовно-постійної дії;
контроль доступу суб'єктів до ресурсів, що захищаються відповідно до матриці доступу.
Додатковою вимогою і принциповою відмінністю при захист секретної інформації є те, що механізмом захисту спосіб керування потоками інформації за допомогою міток конфіденційності. При цьому рівень конфіденційності накопичувача повинен бути не нижче рівня конфіденційності записуваної на нього інформації.
Усі три зазначені механізму є основними. Пов'язані вони наступним чином: всі права доступу до ресурсів (розмежувальна політика доступу до ресурсів) задаються для конкретного суб'єкта доступу (користувача). Тому суб'єкт доступу (користувач) повинен бути ідентифікований при вході в систему, відповідно, повинна бути проконтрольована його справжність. Зазвичай це робиться шляхом використання секретного слова - пароля.
2.3 Основні принципи захисних заходів від НСД в АС
Провівши оцінку необхідності захисту інформації від НСД, стає питання про подальший напрямок проектування системи захисту інформації. Адже саме за отриманими результатами можна судити про складність проектованої системи. Маючи такі результати, необхідно оцінити ймовірність проявляються загроз на інформаційну систему, а також сформувати модель порушника, після чого слід приступити до формування захисних заходів. Спираючись на вимоги щодо захисту інформації від НСД, які були розглянуті раніше, можна навести основні принципи захисних заходів від НСД в АС.
Уточнимо, що одним з основних компонентів АС є автоматизоване робоче місце (АРМ) - програмно технічний комплекс АС (або засоби обчислювальної техніки (ЗОТ)), призначений для автоматизації діяльності певного виду. У найпростішому випадку АРМ представляється як ПЕОМ і працює на ній користувач.
Захист інформації від НСД є складовою частиною загальної проблеми забезпечення безпеки інформації. Заходи щодо захисту інформації від НСД повинні здійснюватися взаємопов'язане із заходами щодо спеціального захисту основних і допоміжних засобів обчислювальної техніки, засобів і систем зв'язку від технічних засобів розвідки промислового шпигунства [18].
Тут же наводяться основні принципи захисту інформації від НСД, які включають в себе:
забезпечення захисту СВТ комплексом програмно-технічних засобів;
забезпечення захисту АС комплексом програмно-технічних засобів і підтримуючих їх організаційних заходів.
Однак такі захисні заходи необхідно починати безпосередньо з організаційних заходів. Останні, в рамках системи захисту інформації від НСД (СЗІ НСД) в АС, які обробляють або зберігають інформацію, що є власністю держави і віднесену до категорії таємної, повинні відповідати державним вимогам щодо забезпечення режиму секретності робіт, що проводяться [18].
У свою чергу, в [19] пропонується закриття каналів несанкціоно ного отримання інформації починати з контролю доступу користувачів до ресурсів АС. Ця проблема вирішується шляхом ряду наступних принципів:
ПРИНЦИП ОБГРУНТОВАНОСТІ ДОСТУПУ. Даний принцип полягає в обов'язковому виконанні двох основних умов: користувач повинен мати достатню "форму допуску" для отримання інформації необхідної їм рівня конфіденційності, і ця інформація необхідна йому для виконання його виробничих функцій. Зауважимо тут, що у сфері автоматизованої обробки інформації в якості користувачів можуть виступати активні програми і процеси, а також носії інформації різного ступеня складності. Тоді система доступу припускає визначення для всіх користувачів відповідної програмно-апаратної середовища або інформаційних і програмних ресурсів, які будуть для них доступні для конкретних операцій.
ПРИНЦИП ДОСТАТНІЙ ГЛИБИНИ КОНТРОЛЮ ДОСТУПУ. Засоби захисту інформації повинні включати механізми контролю доступу до всіх видів інформаційних і програмних ресурсів АС, які відповідно до принципу обгрунтованості доступу слід розділяти між користувачами.
ПРИНЦИП РОЗМЕЖУВАННЯ ПОТОКІВ ІНФОРМАЦІЇ. Для попередження порушення безпеки інформації, яке, наприклад, може мати місце при записі секретної інформації на несекретні носії і в несекретні файли, її передачі програмами і процесам, що не призначені для обробки секретної інформації, а також при передачі секретної інформації по незахищених каналах та ліній зв'язку , необхідно здійснювати відповідне розмежування потоків інформації.
ПРИНЦИП ЧИСТОТИ ПОВТОРНО ВИКОРИСТОВУЮТЬСЯ РЕСУРСІВ. Даний принцип полягає в очищенні ресурсів, що містять конфіденційну інформацію, при їх видаленні або звільнення користувачем до перерозподілу цих ресурсів іншим користувачам.
ПРИНЦИП ПЕРСОНАЛЬНОЇ ВІДПОВІДАЛЬНОСТІ. Кожен користувач повинен нести персональну відповідальність за свою діяльність у системі, включаючи будь-які операції з конфіденційною інформацією і можливі порушення її захисту, а також за випадкові або навмисні дії, які можуть призвести до несанкціонованого ознайомлення з конфіденційною інформацією, її перекручення чи знищення, або виключенню можливості доступу до такої інформації законних користувачів.
ПРИНЦИП ЦІЛІСНОСТІ ЗАСОБІВ ЗАХИСТУ. Даний принцип передбачає, що засоби захисту інформації в АС повинні точно виконувати свої функції відповідно до перерахованими принципами і бути ізольованими від користувачів, а для свого супроводу повинні включати спеціальний захищений інтерфейс для засобів контролю, сигналізації про спроби порушення захисту інформації та впливу на процеси в системі
Реалізація перелічених принципів здійснюється за допомогою так званого "монітора звернень", контролюючого будь-які запити до даних або програм з боку користувачів (або їх програм) за встановленими для них видам доступу до цих даних і програм. Схематично такий монітор можна представити у вигляді, показаному на рис. 2.2.
Практичне створення монітора звернень, як видно із наведених денного малюнка, передбачає розробку конкретних правил разграні чення доступу у вигляді так званої моделі захисту інформації.
Спроектувавши модель захисту інформації, необхідно перевірити її в дії. Однак реалізація такої моделі буде коштує замовникові великих витрат, якщо раптом при її реалізації одна або кілька захисних функцій системи не виявиться ефективною. Тому доцільно буде провести математичний аналіз ефективності захисних заходів.
2.4 Математичний аналіз ефективності захисних заходів
Будь-яка система безпеки являє собою організаційно оформлені кадрові та матеріально-технічні ресурси і діє завжди в часі і просторі загроз. Простір загроз утворюють об'єкти захисту - люди, що працюють в комерційній структурі, майно і грошові кошти підприємства, відомості, що становлять комерційну або службову таємницю. Головна функція системи безпеки - протидія загрозам з допомогою людей і техніки. Кожна загроза тягне за собою збитки, а протидія покликане знизити його величину, в ідеалі - повністю. Вдається це далеко не завжди. Здатність системи безпеки виконувати свою головну функцію завжди повинна оцінюватися кількісно. Наприклад, можна виміряти відносний збиток, відвернений нею (рис.2.3).
Малюнок 2.3 - Типова залежність ефективності Q 0 і рентабельності r 0 захисту від загальних ресурсів
Величина Q 0 - міра загальної ефективності захисту. Чим більше Q 0, тим менший збиток створять загрози. Таким чином, мірою ризику є величина (1-Q 0). Прагнення забезпечити високоефективний захист, коли Q 0 близько до 1 (або 100%), цілком природно, але це потребує значних витрат на ресурси. Тобто чим вище сукупні асигнування (У 0) на ресурси, тим на більшу ефективність захисту можна розраховувати. Виникла при цьому залежність видно на рис.2.3. Проте надмірні витрати на власну безпеку не завжди виправдані економічно. Можна зіткнутися з ситуацією, коли вартість захисту (В 0) перевищить рівень (R 0) максимального збитку від реалізації загроз. У цьому випадку виникає небезпека загрози «саморазоренія» від захисту. Її рівень також можна оцінити, наприклад, величиною r різниці відносного «захищеного» збитку Q 0 і відносних витрат B 0 / P 0 на ресурси. Назвемо цю величину рентабельністю захисту. Якщо вона позитивна (тобто B 0 <= P 0 Q 0), то захист рентабельна. На відміну від ефективності, чим більше витрати (В 0), тим менше рентабельність. Ця протилежність створює неоднозначну ситуацію у виборі стратегії захисту.
Розглянемо типову залежність ефективності захисту (Q 0) і її рентабельності (r 0) від максимального збитку R 0 (рис.2.4). По суті, це є мірою масштабності бізнесу. Неважко побачити, що зробити захист одночасно і високоефективної, і високорентабельної під силу лише великим комерційним структурам (область G), для яких характерні великі величини максимального збитку. Досить, наприклад, щоб B 0 = R 0 (lQ 0). Тоді при r ® l, Q 0 ® l. У гіршому становищі опиняються інтереси середнього (область М) і малого (область S) бізнесу, оскільки через обмеженість ресурсів вибір стратегії захисту більш складний. Тут рекомендації прості. Треба забезпечити максимально можливу ефективність при позитивному показнику рентабельності захисту. Тобто в першу чергу слід протидіяти найбільш ймовірним і небезпечним загрозам. У будь-якому разі не можна забувати про економію ресурсів. Абсолютно ясно, що вибір стратегії захисту полегшується, якщо при менших витратах вдасться забезпечити рівну або навіть більшу ефективність захисту.
Очевидні і джерела економії витрат: використання більш економічних засобів і рішень універсального характеру; раціональний розподіл ресурсів і більш досконалі форми управління ними; залучення кооперативних форм забезпечення безпеки та ін Весь цей перелік притаманний великим комерційним структурам, однак для середнього та малого бізнесу він, до жаль, істотно звужується. Ідеологія їх системи безпеки повинна будуватися на рентабельною захисту лише від окремих видів загроз. В іншому випадку захист може себе не виправдати. Тому треба мати на увазі, що економії ресурсів в цих умовах будуть сприяти кооперативні форми захисту в рамках єдиної місцевої або регіональної системи безпеки.
Вигоду кооперативних форм протидії загрозам ілюструє рис.2.5.
Малюнок 2.4 - Залежність ефективності і рентабельності захисту від максимального збитку R0
На ньому представлені характерні залежності величини ризику (R = R 0 (1-Q 0) і загальних витрат (В 0) на ресурси від ефективності автономної (I) і кооперативної (II) захисту. Точка перетину (А 0) залежностей R (Q ) і B (Q) для автономного захисту відповідає приблизно області мінімальних загальних втрат
R 0 (1-Q 0) + B 0. Економія ресурсів виразиться в тому, що вихідна залежність (I) виявиться «вище» нової залежності (II), яка відображає кооперацію у використанні ресурсів. Відповідно нова точка перетину кривих (А1) виявиться правіше колишньої (А 0). Практично це означає, що при збереженні рентабельності захисту збільшується її ефективність. Причому виграш тим істотніше, ніж більше економія. На практиці в основному кооперуються за двома формами - матеріально-технічним і кадровим ресурсів, які і є складовими частинами загального. Що стосується першої форми, то вона характерна для ситуацій, коли простір загроз не розширюється. Іншими словами, об'єднуються лише матеріально-технічні кошти одного і того ж підприємства, але призначені для різних цілей.
Рисунок 2.5 - Характерні залежності ризику R і витрат на ресурси В 0 як функцій від ефективності захисту Q 0
Як приклад можна назвати комплексну систему майнової та інформаційного захисту. До загальних засобів можна віднести контрольно-пропускну систему, засоби обмеження доступу, телевізійні та інші системи виявлення та верифікації загроз, засоби пожежогасіння та ін Ця форма ефективна лише для великого бізнесу. Другу форму, тобто кооперацію з кадрових ресурсів, використовують в основному при вирішенні проблеми безпеки на регіональному рівні, коли простір загроз навмисно розширюється (розглядаються декілька комерційних підприємств в одному регіоні). У цьому випадку об'єднання відбувається лише на рівні сил так званого швидкого реагування. Саме такі сили протидіють несанкціонованим і силовим проникненням, тероризму, пожежі і т.п. Проблему, як правило, вирішують і з залученням сил швидкого реагування пожежного нагляду, органів МВС та ін
Малюнок 2.6 - Залежність ефективності захисту Q 0 від відносного часу Т р / Т у реакції системи з одночасним (I), випереджаючим (II) і запізнілих (III) протидією
Будь-яка загроза і протидія їй відбуваються, природно, в часі і характеризуються певними її масштабами. Виходячи з цього збиток від реалізації загроз буде визначатися тим, наскільки повно ці події перетинаються в часі. Самий небажаний варіант - запізнюється протидія, коли реакція системи захисту починається до моменту завершення загрози або після неї. Він характерний для систем інформаційного захисту. Кілька кращий варіант - одночасне протидія, тобто вона починається з появою загрози. І, нарешті, найкращий - протидія, що носить випереджаючий характер: реакція системи захисту починається до початку реалізації загрози. Підставою для реакції можуть бути оперативні дані, сигнали тривоги раннього оповіщення і т.п.
На рис.2.6 представлена характерна залежність ефективності захисту від відносного часу реакції системи (Т р / Т у) для всіх трьох варіантів протидії.
Основні висновки та рекомендації очевидні. Одночасне протидія буде достатнім для високоефективної захисту від загрози, якщо реакція на неї буде швидкою. Це завдання цілком реальна для об'єктів великого бізнесу. Кооперативні ж форми протидії в умовах повільній реакції на загрози не принесуть ефекту, якщо відсутні кошти затримки та блокування загроз. Говорячи про тактичних питаннях системи безпеки бізнесу в частині технічних каналів зв'язку, перш за все мають на увазі швидкість її реакції, надійність рішень, блокування розвитку загроз та їх ліквідацію. Особливо важливо забезпечити жорсткі вимоги до надійності всіх систем захисту, яка залежить від часу їх функціонування та періодичності оновлення ресурсів. Якщо цей час перевищує 5 років, то вимога надійності реалізується декількома способами, серед яких - резервування рішень, многорубежность захисту, автоматизація первинних рішень, централізоване управління ресурсами в кризових ситуаціях і т.п. Перш ніж визначитися у питаннях тактики, треба пам'ятати, що вона повинна відповідати стратегії і спиратися на точний кількісний аналіз. Для об'єктів середнього і малого бізнесу такий аналіз цілком реальний навіть без засобів автоматизації. Однак необхідно залучити фахівців та експертів, які б проаналізували обстановку і властивості об'єкта, що захищається, розробили модель загроз, вивчили ринок існуючих засобів і методів. Ці дані і допомогли б оцінити саму систему і при необхідності модернізувати її.
Висновки по розділу 2
Проведено аналіз необхідності та можливості захисту інформації від НСД, на основі якого можна пред'явити вимоги до ступеня захищеності АС на попередньому етапі проектування.
Визначено основні вимоги до захисту як конфіденційної, так і секретної інформації від несанкціонованого доступу та проведено їх порівняльний аналіз, який показав, що такі вимоги досить схожі, проте для секретної інформації вони на порядок вище.
Встановлено, що захисні заходи необхідно починати безпосередньо з організаційних заходів, які, у свою чергу, повинні відповідати державним вимогам щодо забезпечення режиму секретності робіт, що проводяться.
Проаналізовано основні принципи захисних заходів від несанкціонованого доступу в АС, на підставі якого встановлено, що реалізація таких принципів здійснюється за допомогою так званого "монітора звернень".
Для підвищення ефективності використовуваних захисних заходів було проведено їх математичний аналіз. На підставі такого аналізу встановлено, що реалізація захисних заходів для кожного підприємства (об'єкта) різна, відповідно і ефективність таких заходів від НСД для одних об'єктів буде вище (об'єкти великого бізнесу), а для інших нижче (об'єкти малого бізнесу).
3 РОЗРОБКА МЕТОДИКИ ОЦІНКИ ЕФЕКТИВНОСТІ ЗАХИСНИХ ЗАХОДІВ У АВТОМАТИЗОВАНИХ СИСТЕМАХ
3.1 Загальні принципи оцінки ефективності захисних заходів
Оцінка ефективності є важливим елементом розробки проектних і планових рішень, що дозволяє визначити рівень прогресивності діючої структури, розроблювальних проектів або планових заходів і проводиться з метою вибору найбільш раціонального варіанта структури або способу її вдосконалення. Ефективність захисних заходів (ЗМ) повинна оцінюватися на стадії проектування, для отримання найкращих показників працездатності системи в цілому.
У випадку ефективність ЗМ оцінюється як на етапі розробки, так і в процесі експлуатації системи захисту. В оцінці ефективності ЗМ, в залежності від використовуваних показників і способів їх отримання, можна виділити три підходи [22]:
класичний;
офіційний;
експериментальний.
Під класичним підходом до оцінки ефективності розуміється використання критеріїв ефективності, отриманих за допомогою показників ефективності. Значення показників ефективності виходять шляхом моделювання або визначаються за характеристиками реальної АС. Такий підхід використовується при розробці і модернізації КСЗІ. Проте можливості класичних методів комплексного оцінювання ефективності стосовно до ЗМ обмежені в силу ряду причин. Високий ступінь невизначеності вихідних даних, складність формалізації процесів функціонування, відсутність загальновизнаних методик розрахунку показників ефективності та вибору критеріїв оптимальності створюють значні труднощі для застосування класичних методів оцінки ефективності.
Велику практичну значимість має підхід до визначення ефективності ЗМ, який умовно можна назвати офіційним. Політика безпеки інформаційних технологій проводиться державою і повинна спиратися на нормативні акти. У цих документах необхідно визначити вимоги до захищеності інформації різних категорій конфіденційності і важливості.
Під експериментальним підходом розуміється організація процесу визначення ефективності існуючих КСЗІ шляхом спроб подолання захисних механізмів системи спеціалістами, які виступають у ролі зловмисників. Такі дослідження проводяться таким чином. В якості умовного зловмисника вибирається один або декілька фахівців у галузі інформаційної боротьби найвищої кваліфікації. Складається план проведення експерименту. У ньому визначаються черговість і матеріально-технічне забезпечення проведення експериментів з визначення слабких ланок у системі захисту. При цьому можуть моделюватися дії зловмисників, які відповідають різним моделям поведінки порушників: від некваліфікованого зловмисника, що не має офіційного статусу в досліджуваній АС, до висококваліфікованого працівника служби безпеки.
Принципове значення для оцінок ефективності захисних заходів має вибір бази для порівняння або визначення рівня ефективності, який приймається за нормативний. Тут можна вказати кілька підходів, які можуть диференційовано використатися стосовно до конкретних випадків [23]. Один з них зводиться до порівняння з показниками, які характеризують ефективність організаційної структури еталонного варіанту системи захисту. Еталонний варіант може бути розроблений і спроектований з використанням всіх наявних методів і засобів проектування систем захисту, на основі передового досвіду і застосування прогресивних організаційних рішень. Характеристики такого варіанту приймаються як нормативних, при цьому порівняльна ефективність аналізованої чи проектованої системи визначається на основі зіставлення нормативних та фактичних (проектних) параметрів системи з використанням переважно кількісних методів порівняння. Може застосовуватися також порівняння з показниками ефективності та характеристиками системи управління, обраної як еталон, що визначає допустимий або достатній рівень ефективності організаційної структури.
Проте виникають деякі труднощі застосування зазначених підходів, які обумовлені необхідністю забезпечення порівнянності порівнюваних варіантів. Тому часто замість них використовується експертна оцінка організаційно-технічного рівня аналізованої і проектованої системи, а також окремих її підсистем і прийнятих проектних і планових рішень, або комплексна оцінка системи захисту, заснована на використанні кількісно-якісного підходу, що дозволяє оцінювати ефективність ЗМ по значній сукупності факторів . Експертна оцінка може бути складовим елементом комплексної оцінки ефективності системи захисту, що включає всі перераховані підходи як до окремих підсистем, так і до системи в цілому.
Ефективність систем оцінюється за допомогою показників ефективності. Іноді використовується термін - показник якості. Показниками якості, як правило, характеризують ступінь досконалості будь-якого товару, пристрої, машини. Відносно складних людино-машинних систем переважніше використання терміна показник ефективності функціонування, який характеризує ступінь відповідності оцінюваної системи своєму призначенню.
Визначення показника ефективності можливо двома загальнонауковими методами [24]: експериментом (випробуванням) і математичним моделюванням (в даний час часто називають обчислювальним експериментом).
Стосовно до захисту інформації показники по значущості ("знизу вгору") поділяються так: технічні - інформаційні (датчикової) - системні - надсістемние (ціннісні). Фізично, щодо захисту інформації від витоку, цей ряд виглядає так: сигнал / шум - ймовірність виявлення об'єкта - джерела інформації - імовірність його розкриття - збиток від витоку інформації. При цьому всі приватні показники між собою функціонально зв'язуються.
Для того щоб оцінити ефективність системи захисту інформації або порівняти системи за їх ефективності, необхідно задати деяке правило переваги. Таке правило або співвідношення, засноване на використанні показників ефективності, називають критерієм ефективності. Для отримання критерію ефективності при використанні деякого безлічі k-показників використовують ряд підходів. Зазвичай при синтезі системи виникає проблема виконання завдання з багатокритеріальним показником.
3.2 Підхід до оцінки ефективності захисних заходів
Так як визначення ефективності систем захисту інформації відноситься до завдань багатокритеріальної оцінки, то таку складну систему неможливо досить правильно охарактеризувати за допомогою єдиного показника. Відповідно застосування при оцінці ефективності захисту системи безлічі показників буде характеризувати ефективність найбільш повно. При використанні відомих методик оцінки загроз є певні недоліки, які не дають повної картини оцінки ефективності захисту системи. До таких недоліків відносяться ті оцінки, які мають такі характеристики методик [21]:
а) Результати характеристик представлені як шкали оцінок потенційних загроз та їх наслідків. Така методика має наближені значення показників, засновані на аналізі наявної статистики порушень або на експертних оцінках. Для визначення значень показника необхідний значний обсяг статистичного матеріалу, значить оцінка не може бути використана для оцінки ефективності і вибору заходів захисту інформації.
б) Ri 10 (S V - 4), де показник частоти виникнення загрози S вибирається з інтервалу [0,7], 0 - відповідає випадку, коли загроза майже не виникає, 7 - загроза виникає тисячу разів на рік, V - показник збитку, який призначається залежно від S і приймає значення від 1 до 1 млн. дол Оцінений дуже наближена, і для визначення значень показника необхідний значний обсяг статистичного матеріалу, показник не може бути використаний для оцінки ефективності і вибору заходів захисту інформації.
в)
де W i - Суб'єктивний коефіцієнт важливості j-ої характеристики ЗЗІ (системи захисту інформації); G i - Призначене експертним шляхом значення кожної з характеристик; n - кількість характеристик. Вираз дозволяє отримати наближену оцінку ефективності системи захисту інформації. Може бути використаний при відсутності необхідних вихідних даних для більш точної і достовірної оцінки, але має суб'єктивний коефіцієнт важливості, що не дає можливості використання методу в системах, де міра ступеня безпеки системи вказана явно.
г) Оцінка загроз: L - середній показник появи загроз (випадкова величина з розподілом ймовірності f (L)). Для оцінки збитку: випадкова величина m із середнім відхиленням V. L визначається на основі аналізу статистики порушень або експертним шляхом; m - визначається на основі аналізу статистики порушень або експертним шляхом. Для оцінки збитку необхідно мати статистику порушень безпеки і виміряні значення збитку в результаті цих порушень. Неможливо врахувати вплив засобів захисту інформації на L і відповідно на m, а отже, і оцінити ефективність заходів захисту інформації.
При використанні рахункового безлічі показників W {W i}, i 1, n, де n - кількість показників, оцінка ефективності буде найбільш повної з урахуванням правильності вибору критеріїв оцінки та кількості обраних показників.
З основних підходів до багатокритеріальної оцінки ефективності складних систем видно, що вони зводяться до згортання безлічі приватних показників W i до єдиного інтегральним показником W 0 або використання методів теорії багатокритеріального вибору та прийняття рішень при наявності значного числа приватних показників ефективності, приблизно однаково важливих.
При підході до оцінки ефективності, в якій ефективність виражається в нечітких показниках захисту інформаційної системи, у вигляді лінгвістичних змінних, таких, як: «абсолютно незахищена», «недостатньо захищена», «захищена», «достатньо захищена», «абсолютно захищена», вибудовується необхідна і достатня картина захищеності системи від НСД (несанкціонованого доступу до інформації) як в якісній, так і в кількісній оцінці, що в свою чергу є позитивною властивістю, що мають перевагу над вищезгаданими відомими методиками.
У такій методиці приналежність певного рівня безпеки буде визначатися на проміжку [0, 1], і показники надійності будуть функцією приналежності μ A (x i), де x i - є елемент множини Х - вимоги безпеки, а А - безліч значень, що визначають виконання вимог безпеки в тій чи іншій мірі, і визначається як:
,
де пара «функція приналежності \ елемент». Тоді можливо проводити оцінку ефективності за чітко визначеними критеріями безпеки наступним чином.
Нехай Х = {1, 2, 3, 4, 5} є задані набори вимог захисту системи, тоді нечітка множина оцінки захищеності системи, що має певні критерії безпеки, буде:
А = 0,2 / 1 + 0,4 / 2 + 0,6 / 3 + 0,8 / 4 + 1 / 5.
Це слід інтерпретувати так, що система, що має набір виконаних вимог «1», відноситься до «абсолютно незахищеною», система, що має набір виконаних вимог «2», відноситься до «недостатньо захищеною», система, що має набір виконаних вимог «3», відноситься до «захищеною», система, що має набір виконаних вимог «4», відноситься до «досить захищеною», система, що має набір виконаних вимог «5», відноситься до «абсолютно захищеною». Причому набір «5» відноситься до «абсолютно захищеною» системі і т.д. Різні стану безпеки системи виділяються у вигляді підмножин нечіткої множини А. Імовірність злому оцінюваної системи може відповідати кардинального числа (потужності) нечіткої множини, а саме: якщо Х = {1, 2, 3, 4, 5} і А = 0,2 / 1 + 0,4 / 2 + 0,6 / 3 + 0,8 / 4 + 1 / 5, то Card A = | A | = 3, тобто ймовірність злому буде 3k, де k - коефіцієнт відповідності.
Кожен терм має певні значення на проміжку [0, T], де Т - максимальна кількість вимог, визначених у системі захисту інформації. Так, набір вимог може бути на проміжку [0, 20], і відповідно набір «1» буде безліччю виконаних вимог, наприклад, [0, 4].
Очевидно, що при такому підході для оцінки ефективності захищеності АС від НСД необхідні тільки дані про необхідні вимоги захищеності і дані про повноту виконання цих вимог. Запропонована методика дає можливість її застосування при оцінці ефективності захищеності системи з допомогою певних нейромережевих додатків.
При використанні методики спільно з програмно-апаратним комплексом можна досягти:
постійного моніторингу стану інформаційної безпеки АС;
прогнозування можливості здійснення атак шляхом імітації загроз (передбачається наявність безлічі Q [1, q], де q - максимальна кількість загроз);
істотного ускладнення або запобігання реалізації загрози або безлічі загроз, які існують при невиконанні деяких вимог з проміжку [0, T];
зміни наборів вимог для прагнення системи захисту до лінгвістичної змінної «абсолютно захищена».
Комплекс також може мати можливість перекладу стану системи безпеки до більш високого рівня ефективності захисту.
Висновки по розділу 3
Проаналізовано основні методи оцінки ефективності захисних заходів в АС. До їх числа належать:
класичний;
офіційний;
експериментальний.
Встановлено, що для оцінки ефективності захисних заходів в АС найбільш доцільно вибирати багатокритеріальні показники.
Розроблено підхід до оцінки ефективності захисних заходів АС від НСД, для реалізації якого досить мати тільки дані про необхідні вимоги захищеності і дані про повноту виконання цих вимог.
4 ВИБІР ШЛЯХІВ ПІДВИЩЕННЯ ЕФЕКТИВНОСТІ ЗАХИСНИХ ЗАХОДІВ У АВТОМАТИЗОВАНИХ СИСТЕМАХ
4.1 Вибір контрольованих параметрів за максимальним значенням (з урахуванням захисту каналу)
Вибір параметрів для контролю за інформативним ознаками досить складний і вимагає великих фактичних даних.
Для інженерних розрахунків прийнятними є методи лінійного та динамічного програмування.
Розглянемо застосування лінійного програмування для визначення номенклатури контрольованих параметрів з метою отримання максимальної інформації про технічний стан (захисту) каналу при заданому коефіцієнті готовності і виконанні ряду обмежень (наприклад, вартість контролю, маса, габарити і так далі).
Вирішення цього завдання можливе за певних припущеннях. Поставимо задачу в термінології лінійного програмування.
Знайти підмножина контрольованих параметрів w безлічі Ω, максимізуючи при дотриманні обмежень лінійну функцію Β або
, (4.1.1)
де - Обмеження на вибір складу контрольованих параметрів;
- Досягнуте значення по s-му обмеження.
У роботі [26] автором розглядалося застосування як максімізіруемой функції критерію об'єктивності контролю [27] у вигляді
, (4.1.2)
де
(4.1.3)
. (4.1.4)
Тут - Інтенсивність проникнень у i-ий параметр;
- Інтенсивність проникнень в канал - .
Не змінюючи, практично, суті міркувань, можна прийняти , Що значно спрощує обчислення.
Приймаються наступні допущення, придатні для широкого класу каналів:
надійність параметрів не змінюється при введенні КУ;
параметри взаємонезалежні; для всіх параметрів виконується
. (4.1.5)
У середньому час відшукання несправного елемента (Без КУ) більше, ніж час усунення несправності або проникнення цього елемента; - Час відновлення i-гo елемента; для всіх елементів виконується умова
. (4.1.6)
4.2 Вибір контрольованих параметрів за заданим коефіцієнтом готовності
В якості обов'язкового обмеження можна вимагати отримання будь-якої характеристики надійності заданого значення, наприклад, коефіцієнта готовності у вигляді [26]
, (4.2.1)
,
де
(4.2.2)
. (4.2.3)
В якості можна використовувати ймовірність відмови, в припущенні .
Формалізуємо умову задачі.
Визначити набір максимізує функцію
. (4.2.4)
За умов
,
,
. (4.2.5)
Покажемо застосування розрахункових співвідношень на простому прикладі.
Приклад. В комунікаційному пристрої є 10 визначальних параметрів. Необхідний До гз = 0,978, максимальна вартість КУ G 2 = 150 усл.едініц, максимальна маса КУ G 2 = 80 усл.едініц. Дані про параметри зведені в табл. 4.2.1.
Всі параметри каналу контролювати не можна, так як порушуються умови (4.2.5). Визначаються величини і
,
Таблиця 4.2.1 | |||||||||||
№ | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | |
λ i (1 / ч) | 1 | 0,5 | 2 | 0,8 | 1,5 | 1 | 0,5 | 0,5 | 0,2 | 2 | 10 -2 |
τ bi (Ч) | 2 | 4 | 6 | 2 | 1 | 0,2 | 4 | 2 | 2 | 2 | 10 -1 |
τ усi (Ч) | 1,6 | 1 | 4,8 | 1,4 | 0,8 | 0,16 | 1 | 0,5 | 0,6 | 1,6 | 10 -1 |
g 1i (усл.ед) | 10 | 20 | 10 | 30 | 20 | 10 | 10 | 10 | 20 | 40 | |
g 2i (усл.ед) | 5 | 10 | 20 | 20 | 20 | 10 | 5 | 10 | 5 | 5 |
після чого знаходяться коефіцієнти b i за формулою (4.1.3) і γ i, γ j за формулами (4.2.3). Всі показники зводяться в табл. 4.2.2.
Таблиця 4.2.2 |
№ | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | |
b i | 0,11 | 0,06 | 0,17 | 0,1 | 0,15 | 0,11 | 0,06 | 0,06 | 0,11 | 0,17 | |
γ i | 1,6 | 0,5 | 9,6 | 1,12 | 1,2 | 0,16 | 0,5 | 0,25 | 0,12 | 3,2 | 10 -3 |
γ j | 2 | 2 | 12 | 1,6 | 1,5 | 0,2 | 2 | 1 | 0,4 | 4 | 10 -3 |
Потрібно знайти набір
максимізує лінійну функцію
(4.2.6)
за умов
4.2.7)
Вирішуючи задачу методом спрямованого повного перебору, отримуємо оптимальний набір контрольованих параметрів (1,3,4,5,6,10), при виконанні умов (4.2.7) і максимальному (4.2.6) .
Запропонована методика при її наочності і універсальності володіє наступними недоліками:
великий обсяг обчислень при збільшенні числа параметрів (більше 10), особливо при близькості їх характеристик;
складність приведення до задачі лінійного програмування (через залежність значення величини γ від вибору z у виразі (4.2.7);
труднощі розробки обчислювального алгоритму для ЕОМ.
У зв'язку з цими недоліками наведені співвідношення доцільно застосовувати тільки для каналів з малим числом параметрів (одиниці).
Однак перетворюючи вираз (4.2.5) до виду
, (5.2.8)
або
, (5.2.9)
або
, (5.2.10)
де Λ-інтенсивність відмов каналу;
τ в - середній час усунення однієї несправності або проникнення;
τ вз - заданий час відновлення;
, (5.2.11)
добиваємося відсутності залежності γ від вибору z. Тому порівняно просто можна прийти до задачі лінійного програмування з булевими змінними в такій математичній постановці.
Визначити набір , Максимізує функцію
,
за умов
При такій постановці завдання може бути вирішена методами лінійного програмування з булевими змінними, в тому числі і на ЕОМ.
4.3 Вибір контрольованих параметрів за максимальним значенням ймовірності безвідмовної роботи після проведення діагностики
Методика вибору контрольованих параметрів, наведена в 4.2, може ефективно застосовуватися тільки при незалежності параметрів (кожен параметр залежить тільки від одного елемента або кожен елемент має тільки один параметр).
Розглянемо задачу вибору для випадку, коли параметри взаємозалежні. Причому оптимальним вважається такий набір, при контролі якого досягається максимальна апостеріорна ймовірність безвідмовної роботи і дотримується умова обмеження (вартість контролю, час і т.д.).
Завдання вибору оптимального набору параметрів, що контролюються при обмеженні можна вирішити методами скороченого перебору. Скорочення перебору досягається використанням спеціальних правил, які дозволяють виключати завідомо неоптимальні набори. Один з таких алгоритмів наведено в роботі [28], але він на наш погляд дуже складний для застосування в інженерній практиці.
Розглянемо більш простий алгоритм [29], придатний для визначення набору контрольованих параметрів каналу.
Постановка завдання.
Система складається з N елементів. У кожен момент часу можливе тільки одне проникнення (можлива відмова лише одного елемента). Працездатність кожного елемента не залежить від стану інших. Відмова будь-якого елементу викликає вихід із зони допуску значення, принаймні, одного з М параметрів.
Відомі апріорні ймовірності q i при відмові i-ro елемента і для кожного до-го параметра π до визначено підмножина S до елементів, охоплених контролем цього параметра. Іншими словами, величиною S к можна характеризувати ненадійність к-го параметра.
Відомі витрати g до на контроль кожного параметра. При цьому передбачається, що витрати g (w) на контроль будь-якої сукупності w параметрів складаються із суми витрат на контроль кожного параметра з цієї сукупності.
Потрібно з усіх сукупностей (наборів) w, у яких g (w) <G s-допустимих планів, (де G s - s-oe обмеження на проведення контролю) вибрати ту сукупність, за якої ймовірність безвідмовної роботи пристрою після проведення контролю (діагностики ) була б найбільшою.
Рішення.
Позначимо: р к - ймовірність безвідмовної роботи тих елементів, у яких контролюється к-й параметр (q к = l - p к). Імовірність безвідмовної роботи пристрою перед контролем
, (4.3.1)
при
. (4.3.2)
Взаємозв'язок параметрів і елементів задається матрицею виду
елементи якої визначаються з умови
, (4.3.4)
де i - номер елемента;
к - номер параметра.
При цьому параметри нумеруються так, щоб відповідні їм витрати становили неспадними ряд
.
(Згодом бажано починати вибір параметрів зліва).
При тривалому результаті контролю до-го параметра, ймовірність безвідмовної роботи всіх елементів, від яких залежить к-й параметр, приймається рівною одиниці. У цьому випадку ймовірність безвідмовної роботи всієї системи визначиться виразом
,
де
. (5.3.5)
При цьому ймовірність безвідмовної роботи системи зросте на величину
.
Передбачається, що витрати q к і обмеження G s такі, що сума будь-яких двох значень витрат більше G s. Тоді для контролю, очевидно, слід вибирати лише один параметр. Цим параметром буде той, у якого сума S до буде найбільшою, а отже і збільшення Δ Р (к) також найбільше. Якщо таких параметрів кілька, то з них треба вибрати той, у якого твір (1 - S к) q к - найменше і, отже, приріст ймовірності, що припадає на одиницю витрат - найбільше
.
Якщо систему проконтролювати деякою сукупністю w приладів (π w) і витрати при цьому g (w) <G s, то ймовірність безвідмовної роботи системи прийме значення
,
де
. (4.3.5)
При цьому загальний множник p i (або загальне доданок q i) береться лише один раз. Імовірність безвідмовної роботи системи збільшиться при цьому на величину
.
Якщо при фіксованому числі параметрів всі набори w такі, що g (w) + g 1> G s і , То з усіх наборів оптимальним буде той, у якого сума S w - найбільша, а, отже, і збільшення ймовірності буде найбільшою. Якщо виявиться кілька наборів з однаковою найбільшою сумою S w, то оптимальним з них буде той, у якого величина
найбільша. Таким буде набір, у якого твір g (w) (1 - S w) - найменше.
Алгоритм визначення раціонального набору параметрів, що контролюються реалізується в такій послідовності:
1-й крок. Параметри, у яких g к> G s не розглядаються. Для решти параметрів обчислюються S к і знаходиться найбільша з них S до (0). Якщо таких параметрів кілька, то з них вибирається той, у якого R к = g до (1 - S к) - найменше. Позначимо цей параметр π 1 0.
2-й крок. Виключаються з подальшого розгляду всі параметри, у яких g к = G s (крім π 1 0, якщо g 1 0 = G s). З решти параметрів формуються набори по два параметри: (π 1, π 2) (π 1, π 3) ... (π м-1, π м). Всі пари (π до, π 1), у яких g 2 = g к + g 1> G s не розглядаються. Обчислюються
і знаходиться найбільша з них S к1 (0). Якщо таких пар кілька, то з них вибирається та, у якої R к1 = (g к + g 1) (l - S к1) - найменше. Позначимо цю пару π 2 0.
m-й крок. Процес триває до сполучень за m ≤ М параметрів, якщо ще g w → M <G s. З отриманих найвигідніших наборів π 1 0, π 2 0, ..., π m 0 вибирається той, у якого найменше
.
Відповідний набір параметрів є рішення поставленої задачі. При цьому ймовірність безвідмовної роботи системи після проведення діагностики досягає найбільшого значення
.
Точне рішення задачі по запропонованого алгоритму при великих М і N (кілька десятків) стає дуже громіздким. Можна використовувати наближені методи, які дозволяють отримати цілком прийнятну для інженерної практики точність. До них відносяться:
О. Метод вибору раціонального набору за кількістю максимально допустимих в наборі елементів.
Визначається середнє значення витрат на контроль одного параметра
.
Передбачається, що витрати g к = g c = const і раціональний набір контрольованих параметрів знаходиться серед наборів з максимально допустимим числом параметрів. За максимально допустиму кількість приймається
.
Потім розглядаються всі набори по n параметрів, у яких і з них вибирається оптимальний π n 0 по алгоритму, викладеному раніше.
Застосування цього методу наближеного ефективно при близьких значеннях витрат на контроль параметрів.
Б. Метод наближення до раціонального набору за розділами з найбільшим приростом ймовірності, що припадає на одиницю витрат (Метод найшвидшого спуску).
Передбачається, що з усіх поєднань по два найкращим є поєднання з таких параметрів π к1 0 і π к2 0, що значення V (к1 0) - найбільше з усіх V (к) та V (к1 0 к2 0) - найбільше з усіх V (КL к2). З усіх сполучень за три параметри найкращим є поєднання π к1 0 π к2 0 π к3 0 у якого значення V (к1 0 к2 0 к3 0) найбільше. Таким чином, за оптимальний набір приймається набір π к1 0 π к2 0 ... π Кn 0. При цьому приєднання до цього набору будь-якого з решти приладів не задовольняє умові обмеження на витрати
і .
У цьому методі виходить найменше число переборів. Його застосування найбільш ефективно при різкому відміну параметрів один від одного.
В. Комбінований метод, в якому застосовані попередні наближені методи і основні ідеї методу гілок і меж. За методом А визначається базовий набір w Б 0, складається їх n параметрів при g (w Б 0) <G s. У наборах і відшукуються такі параметри, щоб
. (4.3.6)
Комбінований метод, очевидно, найефективніший з розглянутих і дозволяє найбільш швидко підійти до вирішення задачі при
(4.3.7)
Такі операції проводяться до тих пір поки знаходяться параметри, що задовольняють умовам (4.3.6 і 7). При цьому оптимальним набором w 0 з {w Б 0, w Б 1, w Б 2, ..., w Б m} вважається той, у якого
.
Слід зазначити, що кількість кроків рішення при використанні алгоритму Р.Р. Убара, реалізованого за допомогою методу гілок і меж [28]. (При обліку допустимості та перспективності) дещо більша, ніж при методі В, і логіка алгоритму і елементарні обчислення складніше наведених вище.
Наведемо характеристики числа переборів варіантів без урахування допустимості та перспективності планів (табл.4.3.1).
Слід зазначити, що із зростанням М і n відмінність в числі переборів для цих методів швидко зростає. При обліку допустимості та перспективності наборів число переборів в трьох останніх методах різко падає (метод А грубіше інших і може застосовуватися тільки при сильних обмеженнях).
Таблиця 4.3.1 | ||
Метод (алгоритм) | Максимальне число переборів | n = 5 М = 7 |
Повний перебір |
| 127 |
А |
| 21 |