Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах

Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах

Для аналізу захищеності інформації автоматизованих систем запропоновано застосування кількісних характеристик у вигляді величин залишкового ризику чи ймовірностей подолання порушником засобів захисту тих або інших властивостей захищеності; наведено вирази для їх розрахунків та моделі відповідних сис...

Повний опис

Збережено в:
Бібліографічні деталі
Дата:2004
Автори: Матов, О.Я., Василенко, В.С., Будько, М.М.
Формат: Стаття
Мова:Ukrainian
Опубліковано: Інститут проблем реєстрації інформації НАН України 2004
Назва видання:Реєстрація, зберігання і обробка даних
Теми:
Методи захисту інформації в комп’ютерних системах і мережах
Онлайн доступ:http://dspace.nbuv.gov.ua/handle/123456789/50657
Теги: Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
Назва журналу:Digital Library of Periodicals of National Academy of Sciences of Ukraine
Цитувати:Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах / О.Я. Матов, В.С. Василенко, М.М. Будько // Реєстрація, зберігання і оброб. даних. — 2004. — Т. 6, № 2. — С. 62-74. — Бібліогр.: 7 назв. — укр.

Репозитарії

Digital Library of Periodicals of National Academy of Sciences of Ukraine
id irk-123456789-50657
record_format dspace
spelling irk-123456789-506572013-11-06T19:00:14Z Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах Матов, О.Я. Василенко, В.С. Будько, М.М. Методи захисту інформації в комп’ютерних системах і мережах Для аналізу захищеності інформації автоматизованих систем запропоновано застосування кількісних характеристик у вигляді величин залишкового ризику чи ймовірностей подолання порушником засобів захисту тих або інших властивостей захищеності; наведено вирази для їх розрахунків та моделі відповідних систем захисту інформації. Для анализа защищенности информации автоматизированных систем предложено применение количественных характеристик в виде величин остаточного риска или вероятностей преодоления нарушителем средств защиты тех или других свойств защищенности, приведены выражения для их расчетов и модели соответствующих систем защиты информации. For the analysis of information security of the automated systems the application of quantitative characteristics in the form of values of residual risk or probabilities of overcoming by the violator of protection facilities of different security properties is offered. The expressions for their calculations and models of proper information protection systems are given. 2004 Article Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах / О.Я. Матов, В.С. Василенко, М.М. Будько // Реєстрація, зберігання і оброб. даних. — 2004. — Т. 6, № 2. — С. 62-74. — Бібліогр.: 7 назв. — укр. 1560-9189 http://dspace.nbuv.gov.ua/handle/123456789/50657 681.3 uk Реєстрація, зберігання і обробка даних Інститут проблем реєстрації інформації НАН України
institution Digital Library of Periodicals of National Academy of Sciences of Ukraine
collection DSpace DC
language Ukrainian
topic Методи захисту інформації в комп’ютерних системах і мережах
Методи захисту інформації в комп’ютерних системах і мережах
spellingShingle Методи захисту інформації в комп’ютерних системах і мережах
Методи захисту інформації в комп’ютерних системах і мережах
Матов, О.Я.
Василенко, В.С.
Будько, М.М.
Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах
Реєстрація, зберігання і обробка даних
description Для аналізу захищеності інформації автоматизованих систем запропоновано застосування кількісних характеристик у вигляді величин залишкового ризику чи ймовірностей подолання порушником засобів захисту тих або інших властивостей захищеності; наведено вирази для їх розрахунків та моделі відповідних систем захисту інформації.
format Article
author Матов, О.Я.
Василенко, В.С.
Будько, М.М.
author_facet Матов, О.Я.
Василенко, В.С.
Будько, М.М.
author_sort Матов, О.Я.
title Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах
title_short Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах
title_full Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах
title_fullStr Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах
title_full_unstemmed Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах
title_sort визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах
publisher Інститут проблем реєстрації інформації НАН України
publishDate 2004
topic_facet Методи захисту інформації в комп’ютерних системах і мережах
url http://dspace.nbuv.gov.ua/handle/123456789/50657
citation_txt Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах / О.Я. Матов, В.С. Василенко, М.М. Будько // Реєстрація, зберігання і оброб. даних. — 2004. — Т. 6, № 2. — С. 62-74. — Бібліогр.: 7 назв. — укр.
series Реєстрація, зберігання і обробка даних
work_keys_str_mv AT matovoâ viznačennâzališkovogorizikupriocíncízahiŝenostíínformacíívínformacíjnotelekomuníkacíjnihsistemah
AT vasilenkovs viznačennâzališkovogorizikupriocíncízahiŝenostíínformacíívínformacíjnotelekomuníkacíjnihsistemah
AT budʹkomm viznačennâzališkovogorizikupriocíncízahiŝenostíínformacíívínformacíjnotelekomuníkacíjnihsistemah
first_indexed 2025-07-04T12:26:13Z
last_indexed 2025-07-04T12:26:13Z
_version_ 1836719248570843136
fulltext Методи захисту інформації в комп’ютерних системах і мережах 62 УДК 681.3 О. Я. Матов1, В. С. Василенко2, М. М. Будько2 1Інститут проблем реєстрації інформації НАН України вул. М. Шпака, 2, 03113 Київ, Україна 2НВО «Електронмаш» Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах Для аналізу захищеності інформації автоматизованих систем запро- поновано застосування кількісних характеристик у вигляді величин за- лишкового ризику чи ймовірностей подолання порушником засобів за- хисту тих або інших властивостей захищеності; наведено вирази для їх розрахунків та моделі відповідних систем захисту інформації. Ключові слова: загроза, захищеність інформації, конфіденційність інформації, цілісність інформації, доступність інформації, засоби за- хисту, залишковий ризик, ймовірність подолання засобів захисту, мо- дель засобу захисту, порушник. Загальновідомо, що на сучасному етапі розвитку інформаційно-телекому- нікаційних систем (ІТС) захист їх ресурсів, насамперед інформації, є дуже важли- вою і актуальною проблемою. Для цього розробляються або використовуються системи захисту, які забезпечують той чи інший рівень захищеності інформації ІТС. Нормативними документами [1–3] властивості захищеності інформації в ІТС визначені наступним чином: 1) конфіденційність інформації — властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем або проце- сом; 2) цілісність інформації — властивість інформації, яка полягає в тому, що ін- формація не може бути модифікована неавторизованим користувачем або проце- сом. 3) доступність — властивість інформації, яка полягає в тому, що користувач або процес, який володіє відповідними повноваженнями, може використати її від- повідно до правил, установлених політикою безпеки, не очікуючи довше заданого (малого) проміжку часу, тобто коли інформація знаходиться у вигляді, необхід- ному користувачеві, і в той час, коли вона йому потрібна. © О. Я. Матов, В. С. Василенко, М. М. Будько Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2004, Т. 6, № 2 63 Для визначення вимог та оцінки захищеності інформації в ІТС використову- ються критерії оцінки захищеності. Відомо також, що досягнуті результати із за- безпечення ефективності захисту можна оцінювати або величиною можливих збитків по кожному з класів порушень, або за допомогою залишкового ризику [4] чи інших показників ефективності захищених систем. Але ці критерії чи показни- ки є якісними, а не кількісними, що на етапах проектування чи вибору засобів си- стеми технічного захисту інформації потрібної якості звужує можливості оцінки рівня та ефективності захищеності ресурсів, насамперед, захищеності інформації, наприклад, з погляду оптимального співвідношення витрат на засоби захисту та досягнутих при цьому результатів (можливості з оптимізації параметрів систем захисту). Тому в статті пропонується введення кількісних показників захищеності ін- формації в ІТС, які можна використовувати як для визначення залишкового ризи- ку, так і в якості параметрів управління при оптимізації шкоди, яка запобігається при застосуванні засобів захисту і розглянута в [5]. Окрім того, корисні і ті моделі систем захисту (забезпечення відповідних функціональних властивостей), які за- стосовані для оцінки запропонованих у статті кількісних показників захищеності інформації в ІТС. Такі моделі можна застосовувати при проектуванні ефективних систем технічного захисту інформації. В якості кількісних показників залишкового ризику пропонується викорис- товувати ймовірності порушення конфіденційності qпк, цілісності qпц, доступності qпд. Визначення величин означених кількісних характеристик дозволяє оцінити рівень забезпечення захищеності інформації застосованими засобами захисту, чи ступінь забезпечення захищеності інформації засобами, які проектуються для впровадження. В обох випадках необхідно мати методику для їх визначення та фактичний склад застосованих засобів чи моделі засобів системи захисту, які роз- робляються для впровадження. Нижче пропонується варіант такої методики для випадку оцінки захищеності проектуємих систем. Методика передбачає, що для визначення показників захищеності інформації (залишкового ризику) необхідно детально проаналізувати взаємодію засобів реа- лізації атак, спрямованих на подолання механізмів забезпечення кожного з цих показників захищеності інформації ІТС, із засобами протидії цим загрозам. У ме- тодиці для визначеного об’єкта захисту необхідно передбачити наступні три етапи: 1) формулювання моделі порушника та загроз; 2) визначення, хоча б у загальному вигляді, засобів протидії загрозам — мо- делі захисту інформаційного об’єкта; 3) розробка моделі взаємодії засобів реалізації атак із засобами протидії цим загрозам та формульних співвідношень для визначення показників захищеності інформації, у відповідності з якими можна розрахувати величини залишкового ризику. Врахуємо при цьому, що узагальнені моделі такої взаємодії значною мі- рою уже розглянуто і представлено в [5-7]. Нижче розглядаються більш детальні моделі, які дозволяють, на погляд авторів, досягти тих цілей, які поставлено перед статтею. На першому етапі методики виконується класифікація порушників на: О. Я. Матов, В. С. Василенко, М. М. Будько 64 — «випадкових порушників» — авторизованих користувачів, які порушили політику безпеки тієї чи іншої послуги ненавмисно, а помилково, шляхом вико- нання непередбачених дій з об’єктом захисту шляхом випадкового подолання за- собів управління (адміністрування), доступом до нього тощо; — «терплячих зловмисників» — авторизованих користувачів, які порушили політику безпеки тієї чи іншої послуги навмисно, але без рішучих дій, маскую- чись, шляхом підбору атрибутів доступу інших користувачів з метою приховано- го подолання засобів управління (адміністрування) доступом до нього тощо; — «рішучих зловмисників», які мають на меті будь-що порушити ту чи іншу властивість захищеної інформації. Для цього такі зловмисники прагнуть подолати засоби організаційного обмеження доступу, охоронної сигналізації, управління доступом до фізичних ресурсів, елементи будівельних конструкцій та ін. й отри- мати змогу фізичного доступу до засобів обробки, зберігання чи передавання ін- формаційних об’єктів з метою виведення їх з ладу, зміни режимів функціонуван- ня, крадіжки носіїв, наприклад, накопичувачів на жорстких чи гнучких магнітних дисках тощо; — зловмисників, які використовують засоби віддаленого доступу до інфор- маційних об’єктів: витоки інформації технічними каналами, спеціальні впливи на інформацію технічними каналами, мережне обладнання локальних чи розподіле- них мереж, у тому числі й засоби телекомунікаційних мереж. Така класифікація дозволяє більш чітко визначати способи унеможливлення несанкціонованих дій порушників та засоби, які потрібні для побудови моделей взаємодії засобів реалізації атак із засобами захисту відповідних властивостей за- хищеності інформації (чи взагалі ресурсів ІТС). Окрім того будемо вважати, що загрози захищеності інформації відомі, хоча б на рівні, викладеному в [6], а найбільш суттєві загрози визначені. Такий підхід дозволяє визначити деяку узагальнену модель загроз ресурсам локальних обчис- лювальних мереж (ЛОМ), наприклад, таку, яка наведена на рис. 1. Рис. 1. Узагальнена модель загроз інформаційному об’єкту ЛОМ Контрольована зона Спеціальні впливи технічними каналами Витоки інформації технічними каналами Зона безпеки інформації Засоби організаційного обмеження доступу Об'єкт захисту Засоби охоронної та пожежної сигналізації Спроби внутрішньо- та зовнішньо- мережного НСД Вірусні атаки Спроби фізичного НСД Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2004, Т. 6, № 2 65 На другому етапі (визначення моделі захисту інформаційного об’єкта) буде- мо вважати ІТС складною, ієрархічною, розподіленою інформаційно-обчислю- вальною системою, елементами якої є ЛОМ. Нехай елементи різних рівнів ієрар- хічної структури ІТС при цьому пов’язані елементами телекомунікаційної мережі (ТКМ). Нехай також об’єктом захисту є інформаційні ресурси ЛОМ, а засоби тех- нічного захисту ресурсів певної ЛОМ складаються із засобів організаційного об- меження доступу, охоронної сигналізації, адміністрування доступу — внутріш- ньомережних засобів управління доступом до ресурсів ЛОМ, зовнішньомережних засобів управління доступом до ресурсів даної ЛОМ (із ТКМ), засобів захисту від витоків інформації технічними каналами, засобів захисту від спеціальних впливів на інформацію технічними каналами та засобів антивірусного захисту і забезпе- чують реалізацію певного набору функцій з обслуговування множини запитів. З розглянутого витікає, що загрози об’єкту захисту (інформаційним ресурсам певної ЛОМ) можуть здійснюватися шляхом несанкціонованого доступу, тобто шляхом подолання порушником: — засобів організаційного обмеження доступу; — засобів охоронної сигналізації; — внутрішньомережних засобів управління доступом — засобів адміністру- вання доступу (проблемно-орієнтованих засобів захисту базового програмного забезпечення — операційних систем та систем керування базами даних (за їх ная- вності); — засобів захисту інформації у ТКМ (від несанкціонованого доступу до ре- сурсів даної ЛОМ із телекомунікаційної мережі); — засобів антивірусного захисту (від впровадження комп’ютерних вірусів). Окрім того, впливи на інформаційні об’єкти можливі за рахунок використання: — технічних каналів побічних електромагнітних випромінювань і наведень, акустичних каналів; — каналів спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту чи порушення цілісності інформації. Третій етап методики розглядається по відношенню до кожної з властивос- тей захищеності інформації ІТС. Для оцінки залишкового ризику при забезпеченні конфіденційності (ймо- вірність отримання інформації порушником з розкриттям змісту) подію, пов’язану з порушенням конфіденційності, слід розглядати як складну та таку, що склада- ється з подій: — несанкціонованого отримання користувачем інформації тим чи іншим чи- ном з метою ознайомлення з нею чи будь-якого подальшого використання; — розкриття змісту інформації з обмеженим доступом (ІзОД) після отриман- ня її тим чи іншим чином. Останнє слід трактувати як можливість подолання по- рушником відповідних засобів криптозахисту. Модель взаємодії засобів реалізації атак з засобами протидії цим загрозам — засобами забезпечення конфіденційності інформації представлена на рис. 2 (на цьому рисунку ЗК — загрози конфіденційності, ЗЗК — засоби захисту конфіден- ційності). О. Я. Матов, В. С. Василенко, М. М. Будько 66 Рис. 2. Модель взаємодії засобів реалізації атак із засобами протидії загрозам — засобами забезпечення конфіденційності інформації Як витікає з моделі, несанкціоноване отримання користувачем інформації тим чи іншим чином є можливим за умови подолання неавторизованим користу- вачем засобів захисту у складі: 1) організаційного обмеження доступу (контроль доступу та управління дос- тупом до приміщень організаційними засобами, наприклад реалізацією перепуск- ного режиму до будівель чи окремих приміщень, та т.і.). Такі дії слід очікувати, скоріше за все, від «терплячих зловмисників» — авторизованих користувачів, які мають атрибути легального доступу до певних приміщень ІТС (наприклад, пере- пустки чи їх еквіваленти), або від «рішучих зловмисників», які вимушено викори- стовують підроблені атрибути легального доступу до приміщень ІТС; 2) охоронної сигналізації (тобто шляхом «обходу» засобів організаційного обмеження доступом. Такі дії слід очікувати, скоріше за все, від «рішучих злов- мисників», які мають на меті будь-що порушити ту чи іншу властивість захищеної інформації; 3) управління доступу, включаючи засоби управління фізичним доступом (дозвіл чи блокування доступу до приміщень, терміналів, системних блоків, кла- віатури та інших фізичних засобів) та адміністрування доступу (адміністрування суб’єктів, об’єктів, побудови і реалізації моделі захищеної системи, розмежування доступу тощо). Такі дії слід очікувати, скоріше за все, від «терплячих зловмисни- ків», які порушують політику безпеки даної послуги навмисно, але без рішучих дій, маскуючись, шляхом підбору атрибутів доступу інших користувачів з метою прихованого подолання засобів управління (адміністрування) доступом до інфор- ЗК за рахунок приймання витоків інформації технічними каналами Захищений ресурс ЗЗК від витоків інформації технічними каналами ЗК за рахунок подолання засобів охоронної сигналізації Засоби охоронної сигналізаціїв ЗК за рахунок подолання засобів організаційного обмеження доступу Засоби організаційного обмеження доступу ЗЗК шляхом адміністрування доступу Підсистема криптографічного захисту інформації ЛОМ ЗК за рахунок подолання засобів захисту в телекомунікаційній мережі Засоби захисту від загроз в ТКМ ЗК за рахунок вірусних атак Засоби антивірусного захисту Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2004, Т. 6, № 2 67 мації, або від «випадкових порушників» — авторизованих користувачів, які по- рушують конфіденційність не навмисно, а помилково — шляхом випадкового по- долання засобів управління (адміністрування) доступом до об’єкта захисту, вико- нання непередбачених дій відносно цього інформаційного об’єкта та т.п.; 4) засобів канального захисту в ТКМ (засобів захисту від несанкціонованого доступу із телекомунікаційної мережі до ресурсів даної ЛОМ); 5) засобів захисту від вірусних атак (засобів антивірусного захисту). При цьому ймовірність несанкціонованого доступу (ймовірність подолання засобів управління доступом) q1 можна визначити з виразу q1 = qуд · [1 - (1 - qоод)·(1 - qос)·(1 - qкткм)], де qуд — ймовірність подолання засобів управління доступом; qоод — ймовірність подолання засобів організаційного обмеження доступу; qос — ймовірність подо- лання засобів охоронної сигналізації; qкткм — ймовірність подолання засобів за- хисту інформацій у мережах її передавання (телекомунікаційних мережах). Примітка 1. Тут і надалі за відсутності того чи іншого виду захисту ймовір- ність його подолання вважається такою, що дорівнює одиниці. У свою чергу, ймовірність qуд подолання засобів управління доступом є також ймовірністю складної події, яка полягає в подоланні порушником як засобів управління фізичним доступом, так і засобів адміністрування доступом з викорис- танням механізмів базового та прикладного програмного забезпечення. Якщо по- значити ці ймовірності через qуфд і qад відповідно, то qуд = qуфд · qад. Тоді, зрозуміло, q1 = qуфд · qад·[1 - (1 - qоод)·(1 - qос) (1 - qкткм)]. Після отримання ІзОД тим чи іншим шляхом порушнику необхідно здійснити розкриття її змісту. Подія, яка полягає в тому, що порушник може розкрити зміст ІзОД (за умови подолання системи захисту даного інформаційного об’єкта) є та- кож складною і складається з трьох подій: першої — порушник знає мову, якою інформація представляється; другої — порушник знає і може застосувати програ- мні засоби або апаратуру для криптографічного перетворення (для дешифрування закритої інформації); третьої — має необхідні ключі (ключові набори) для такого перетворення. Ймовірності цих подій qзм, qзкп, qкн відповідно. При цьому ймовірність подолання неавторизованим користувачем засобів криптозахисту (можливість розкрити зміст ІзОД) інформації qкзі можна визначити з виразу qкзі = qзм · qзкп · qкн. О. Я. Матов, В. С. Василенко, М. М. Будько 68 Таким чином, у разі, коли для забезпечення конфіденційності при зберіганні чи передаванні інформації застосовуються засоби криптографічного захисту, qк1 = qкзі · qуфд · qад·[1 - (1 - qоод)·(1 - qос)·(1 - qкткм)]. Окрім того, несанкціоноване отримання користувачем інформації є можли- вим і під час її обробки (введенні з клавіатури, відображенні на моніторі, виве- денні на друк у дешифрованому вигляді тощо) шляхом використання витоків ін- формації технічними каналами, а також при використанні вірусних атак, за умови подолання неавторизованим користувачем відповідних засобів захисту. Нехай імовірність подолання засобів захисту від витоків інформації технічними канала- ми дорівнює qзві а ймовірність подолання засобів антивірусного захисту — qав. Не розкриваючи змісту подій, пов’язаних із порушенням конфіденційності з використанням витоків інформації технічними каналами чи з використанням віру- сних атак, вираз для розрахунку ймовірності qпк порушення конфіденційності ін- формації з подоланням розглянутих засобів захисту можна записати у вигляді qпк = 1 - (1 - qк1)·(1 - qзві)·(1 - qaв). Розглянута в методиці модель дозволяє зробити висновок про те, що для за- безпечення конфіденційності за рахунок унеможливлення доступу неавторизова- них користувачів до інформації та розкриття її змісту необхідно застосовувати засоби (апаратурні чи програмні) для адміністрування доступу, для криптографіч- ного перетворення (шифрування та дешифрування закритої інформації, а також засоби генерації та розповсюдження ключів), засоби управління фізичним досту- пом, засоби охоронної сигналізації та організаційного обмеження доступом. Для оцінки залишкового ризику при забезпеченні цілісності подію, пов’язану з її порушенням, слід розглядати як складну та таку, що складається з подій: — виведення з ладу, зміни режимів функціонування або несанкціонованого використання засобів зберігання носіїв інформації і порушення таким чином її ці- лісності; — несанкціонованої модифікації (зміни, підміни, знищення тощо) ІзОД у се- редовищах її обробки, зберігання чи передавання з метою унеможливлення пода- льшого її використання чи нанесення іншої шкоди власнику даного ресурсу. На рис. 3 представлена модель взаємодії атак з засобами протидії цим атакам — засобами забезпечення цілісності (на цьому рисунку ЗЦ — загрози цілісності, ЗЗЦ — засоби захисту цілісності). При цьому, як і для моделі взаємодії засобів реалізації загроз конфіденційно- сті інформації та засобів протидії цим загрозам, подолання неавторизованим ко- ристувачем системи захисту з імовірністю qпц можливе, якщо: — подолано засоби охоронної сигналізації або засоби організаційного обме- ження доступу та (і) засоби управління доступом, включаючи засоби управління фізичним доступом та адміністрування доступу. Ймовірність такої події q1 уже визначена раніше; — з імовірністю qцткм подолано засоби захисту цілісності від загроз у ТКМ; Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2004, Т. 6, № 2 69 — з імовірністю qсв подолано засоби захисту від спеціальних впливів на ін- формацію технічними каналами; — з імовірністю qав подолано засоби антивірусного захисту; — з імовірністю qкц подолано засоби контролю та поновлення цілісності ін- формації. Рис. 3. Модель процесу взаємодії засобів реалізації атак із засобами забезпечення цілісності ЛОМ Тоді, з використанням застосованих вище підходів, ймовірність порушення цілісності qпц можна знайти з виразу qпц = qкц · [1 – (1 – q1)·(1– qcв)·(1 – qав)]. Розглянута в методиці модель дозволяє зробити, по-перше, висновок про те, що для забезпечення цілісності за рахунок унеможливлення доступу до інформа- ції та модифікації неавторизованим користувачем змісту інформаційного об’єкта необхідно застосовувати засоби (апаратурні чи програмні) для адміністрування доступу, для контролю цілісності, для управління фізичним доступом, засоби охоронної сигналізації та організаційного обмеження доступом. По-друге, з останнього витікає необхідність, на відміну від моделі взаємодії засобів реалізації загроз та засобів забезпечення конфіденційності, застосування для забезпечення цілісності інформаційних об’єктів засобів з відповідними меха- нізмами контролю цілісності та замість засобів захисту від витоків — засобів за- хисту від спеціального впливу. Окрім того, для унеможливлення порушення цілі- сності за рахунок отримання неавторизованим користувачем доступу до інформа- ЗЦ за рахунок спеціальних впливів на інформацію технічними каналами Захищений ресурс ЗЗЦ від впливів на інформацію технічними каналами ЗЦ за рахунок подолання засобів охоронної сигналізації Засоби охоронної сигналізаціїв ЗЦ за рахунок подолання засобів організаційного обмеження доступу Засоби організаційного обмеження доступу ЗЗЦ шляхом управління доступом Засоби контролю та поновлення цілісності інформації ЗЦ за рахунок по долання засобів захисту в телекомунікаційні й мережі Засоби захисту від загроз в ТКМ ЗЦ за рахунок вірусних атак Засоби антивірусного захисту О. Я. Матов, В. С. Василенко, М. М. Будько 70 ції з обмеженим доступом слід застосовувати такі ж засоби управління доступом (апаратурні чи програмні), як і для забезпечення конфіденційності . Примітка 2. Звернемо увагу на те, що з наведеного вище визначення цілісно- сті, як функціональної властивості захищеності інформації, не витікає ніяких ча- сових обмежень щодо тривалості процесу поновлення цілісності, в разі виявлення засобами контролю наявності її порушення. Це дає змогу для забезпечення ціліс- ності використовувати i ручні методи, наприклад, поновлення з застосуванням резервних копій інформаційних об’єктів чи шляхом забезпечення відкату проце- сів у разі виявлення порушення цілісності. Виходячи із наведеного вище визначення функціональної властивості захи- щеності інформації, для оцінки залишкового ризику при забезпеченні доступ- ності подію, пов’язану з її порушенням, слід розглядати як наслідок впливу на інформаційний об’єкт загроз, найбільш суттєвими з яких є: 1) несанкціонована модифікація інформаційного ресурсу (порушення ціліс- ності — вигляду ресурсу, необхідного користувачеві), включаючи зміни режимів його функціонування, місця зберігання, необхідного чи заданого користувачем, що потребує поновлення цілісності ресурсу шляхом, наприклад, використання йо- го резервної копії. Така подія передбачає можливість фізичного доступу до дже- рел чи носіїв інформаційних ресурсів, наявність реалізованої спроби несанкціоно- ваного доступу до інформаційного ресурсу, в тому числі каналами ТКМ та кана- лами спеціального впливу (порушник зумів здійснити маскування під авторизова- ного користувача чи модифікація не виявлена засобами контролю цілісності); 2) переведення ресурсу в режим штучної відмови шляхом: — несанкціонованого використання інформаційного ресурсу в той час, коли ресурс є необхідним користувачеві, та протягом часу довше заданого (малого) проміжку шляхом захоплення ресурсів (неконтрольованого використання, утри- мання, занадто тривалого використання) і створення таким чином перешкод ін- шим користувачам у використанні цих ресурсів; — постійного використання інформаційного ресурсу, наприклад, шляхом ге- нерації потоку заважаючих (несправжніх) запитів на використання ресурсу, об- слуговування несправжніх пакетів вхідної інформації з такою інтенсивністю, коли сумарна (разом із справжніми) інтенсивність запитів стає такою, що їх період (се- редня тривалість проміжку часу між двома сусідніми запитами) не перевищує тривалості обслуговування кожного з таких запитів, тобто такого потоку, коли захищений ресурс навмисно призначається для обслуговування лише заважаючих запитів; — блокування засобів адміністрування доступу, наприклад шляхом генерації такого потоку заважаючих запитів (спроб доступу тощо — завад процесу автен- тифікації), коли сумарна (разом із справжніми) інтенсивність запитів стає такою, що їх період (середня тривалість проміжку часу між двома сусідніми запитами) не перевищує тривалості процесів автентифікації у системах адміністрування досту- пу; — переривання передачі потоку даних шляхом блокування відповідних засо- бів (серверів доступу, маршрутизаторів, концентраторів та т. ін.); — постійного порушення цілісності з періодичністю меншою ніж час віднов- лення інформаційного ресурсу. Така подія передбачає наявність порушень ціліс- Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2004, Т. 6, № 2 71 ності за рахунок впливу природних факторів (збої, відмови), а також наявність реалізованих спроб несанкціонованого доступу до інформаційного ресурсу кана- лами спеціального впливу (без спроб маскування). Ймовірність першої з цих подій визначено вище (з використанням моделі, представленої на рис. 3) і вона дорівнює qпц. Для оцінки ймовірності порушення доступності шляхом переводу ресурсу в режим штучної відмови необхідно визначити інтенсивність потоку впливів на до- ступність ресурсу. Для цього скористаємося відомими з [6] підходами для розра- хунку результуючої інтенсивності як природних, так і штучних впливів на інфор- маційні ресурси технічними каналами. Під природними впливами будемо розуміти потоки будь-яких подій, які здатні вивести ІТС з ладу тимчасово (збої, для яких є характерним самоусунення), чи на тривалий термін (відмови, усунення яких ви- магає втручання персоналу), тобто потоки відмов. Причинами таких впливів мо- же бути недостатня спроможність уже згаданих первинних технічних засобів за- побігти дії таких впливів, недостатня надійність засобів ІТС, виходи за межі до- пустимих значень температури, вологості, радіаційного чи електромагнітного ви- промінювання, яке впливає на елементи ЛОМ, та т.п. Такі події впливають як без- посередньо на інформаційні ресурси ЛОМ, так і на засоби технічного захисту цієї системи. При цьому стійкість ЛОМ до природних загроз визначається в основно- му такою її властивістю як надійність і забезпечується відповідними заходами (резервування – гаряче та холодне, застосування елементів підвищеної надійності та т.ін.). Для боротьби зі збоями, які призводять до порушення цілісності програ- мних засобів та оброблюваної інформації, можна застосовувати засоби контролю та поновлення цілісності чи інші засоби поновлення після збоїв. Під штучними впливами розуміються ті події, які є наслідком діяльності ко- ристувачів, як авторизованих, так і неавторизованих по відношенню до ресурсів ЛОМ, що з якихось причин є забороненими для даних користувачів. Такі впливи — це спроби несанкціонованого доступу (НСД), і вони можуть бути випадковими (внаслідок помилки користувача), або зловмисними, тобто спеціальними, з метою використання чи то ресурсів, чи то інформації ЛОМ. Спроби НСД можуть вплинути на ЛОМ лише після подолання засобів управ- ління доступом та відповідних засобів забезпечення тієї чи іншої функціональної послуги. Потоки загроз доцільно вважати найпростішими з інтенсивностями λз. Зрозу- міло, що ця інтенсивність дорівнює сумі інтенсивностей загроз штучних λш та природних λ, так, що λз = λш + λ. Причому штучні загрози можуть бути внутрішніми з інтенсивністю λшв (з бо- ку авторизованих чи неавторизованих користувачів ЛОМ чи її елементів) і зовні- шніми з інтенсивністю λшз. Виявлення і подальша протидія загрозі (ймовірність захисту ЛОМ від загроз) залежить від того, чи запобігла (не допустила) система захисту впливу цієї загро- зи, чи установила факт її впливу і ліквідувала відповідні наслідки. О. Я. Матов, В. С. Василенко, М. М. Будько 72 Ця задача може вирішуватися застосуванням у ЛОМ засобів фільтрації зов- нішніх впливів (від елементів розподіленої обчислювальної мережі через засоби телекомунікаційної мережі), які впливають на дану ЛОМ (засоби фільтрації типу міжмережних екранів (firewall, брандмауерів), сервісів — посередників (proxy- services) тощо). Якщо стійкість таких засобів (у розумінні ймовірності їх подо- лання) дорівнює qф, то внаслідок відсіву (фільтрації) зовнішніх впливів системою фільтрації на її виході інтенсивність завад буде дорівнювати λшз× qф. Також ця задача вирішується шляхом управління доступом до інформаційних ресурсів ЛОМ (ідентифікація, автентифікація, надання певних повноважень чи при- вілеїв, з наступною їх перевіркою під час кожної із спроб доступу до ресурсів). Слід враховувати, що ймовірності qф та qад — ймовірності подолання систем фільтрації зовнішніх впливів та управління доступом — визначаються характери- стиками цих систем та коректністю виконання процедур адміністрування. Перш за все, ці ймовірності визначаються можливостями цих систем, як систем масово- го обслуговування (з певною продуктивністю, довжиною черг вхідних запитів, допустимим часом перебування запитів у чергах та т. ін.) обслуговувати певні по- токи запитів. Окрім того, ці ймовірності визначаються, наприклад, кількістю мо- жливих ідентифікаторів та кількістю можливих варіантів паролів і надійністю їх конфіденційного зберігання. Врахуємо при цьому, що на вході системи управління доступом діють як вну- трішні штучні впливи, так і зовнішні, не відфільтровані, впливи із загальною ін- тенсивністю λшв + λшз × qф. Внаслідок відсіву (фільтрації) цієї сукупності внутрішніх та зовнішніх впли- вів системою управління доступом на її виході інтенсивність завад буде дорівню- вати (λшв + λшз × qф) × qд, а результуюча інтенсивність λрі штучних впливів, які не виявлені і не відфільтровані системами управління доступом та фільтрації, складе λрш = (λшв + λшз × qф) × qад + λ. З урахуванням інтенсивності справжніх запитів λсз загальна інтенсивність λз впливів дорівнює λз = λсз + (λшв + λшз × qф) × qад + λ. При середній тривалості обслуговування в ІТС одного запиту (середньому значенні часу використання ресурсу tвр) і пуассонівському законі розподілу ймо- вірностей впливу ймовірність того, що під час звернення до ресурсу він уже вико- ристовується (ймовірність звернення до ресурсу на даному інтервалі tвр більше ніж однієї заявки — ймовірність порушення доступності шляхом переводу ресур- су до режиму штучної відмови) дорівнює qп3 = 1 – р0 = 1– ехр{–tвр λз}, де р0 — ймовірність відсутності впливів (ймовірність того, що на даному часово- му інтервалі виникне рівно нуль впливів), а отже ймовірність порушення доступ- ності ресурсу Визначення залишкового ризику при оцінці захищеності інформації в інформаційно-телекомунікаційних системах ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2004, Т. 6, № 2 73 qпд = 1 - (1 - qп3) · (1 - qпц). Розглянута модель дозволяє: — по-перше, запропонувати вирази для оцінки залишкового ризику при захи- сті доступності ресурсів у вигляді ймовірності порушення доступності та сформу- вати умову переходу захищеного ресурсу до режиму штучної відмови; — по-друге, зробити висновок про те, що для забезпечення доступності за ра- хунок унеможливлення доступу до інформації та модифікації неавторизованим користувачем змісту інформаційного об’єкта необхідно застосовувати засоби (апаратурні чи програмні) для управління доступом, контролю та поновлення ці- лісності, фільтрації пакетів, блокування засобів генерації безперервних запитів та т.п., засоби управління фізичним доступом, охоронної сигналізації та організацій- ного обмеження доступом; — по-третє, зробити висновок про необхідність, на відміну від захисту від порушення конфіденційності та цілісності, передбачати можливість недопущення переводу ресурсу до режиму штучної відмови — порушення доступності об’єкта за рахунок унеможливлення вчасного використання того чи іншого ресурсу авто- ризованим користувачем, тобто необхідно передбачати механізми запобігання по- стійного або занадто тривалого використання цього ресурсу чи засобів його отри- мання порушником (установка квот — кількості звернень поспіль, допустимої три- валості чи допустимих часових інтервалів використання ресурсу, установка пріори- тетів на використання ресурсів та ін.), механізми забезпечення стійкості та віднов- лення процесів в умовах збоїв, механізми резервування інформаційних об’єктів, механізми аналізу потоків запитів від суб’єктів ЛОМ та ТКМ, контролю та понов- ленню цілісності інформаційних об’єктів (наприклад, в каналах ТКМ) та т.п. Змінну tвр при цьому, слід розглядати як середній час використання захище- ного ресурсу в умовах обслуговування автоматизованою системою усіх можливих запитів (для інформаційних об’єктів це — контроль цілісності, за необхідності її поновлення, виконання програмного засобу, читання чи запис інформації тощо). Визначення величини tвр виходить за рамки даної роботи, хоча в якості першого, грубого, наближення можна використати значення tвр = (Тkі - ΔТkі)/nіо, де: nіо — кількість інформаційних об’єктів, що потребують використання на інтервалі часу (Тkі - ΔТkі), Тkі, ΔТkі — періодичність та тривалість контролю відповідно [6]. При цьому, якщо середнє значення часу використання ресурсу перевищить середнє значення часового інтервалу між сусідніми запитами (інтенсивність запитів пере- вищує інтенсивність обслуговування), то кількість будь-яких запитів у черзі на використання ресурсу буде зростати до нескінченності, що є ознакою штучної ві- дмови захищеного ресурсу. Тобто умову, коли 1/λз ≤ tвр, слід розглядати як умову переходу захищеного ресурсу до режиму штучної відмови. Розглянуті вище моделі дозволяють отримати, окрім розглянутих кількісних характеристик — ймовірностей порушення конфіденційності, цілісності та досту- пності — також величину загального залишкового ризику. Неважко показати, що величину загального залишкового ризику у вигляді ймовірності порушення (подолання, злому) комплексної системи захисту можна при цьому розрахувати з виразу О. Я. Матов, В. С. Василенко, М. М. Будько 74 q = 1 - (1 - qпк) · (1 - qпц) · (1 - qпд), що добре узгоджується з близькими за змістом виразами з [7]. Примітка 3. Усі невизначені змінні у виразах, наведених для розрахунку за- пропонованих показників захищеності інформації (ймовірностей порушення тієї чи іншої властивості захищеності інформації), можуть бути розрахованими, якщо відомі чи їх складові, чи закони розподілу відповідних імовірностей. У багатьох випадках можна вважати розподіл імовірностей таких подій рівномірним, при- наймні, як найскладніший для функціонування систем захисту. В інших випадках для розрахунку ймовірностей можна використати параметри потоків відповідних випадкових величин. Оскільки детальний розгляд цього питання виходить за межі статті, обмежимося лише прикладом визначення ймовірностей, коли йдеться про необхідність прямого перебору, чи то ключових наборів (для засобів криптозахи- сту, контролю цілісності, та інше), чи то паролів (для засобів управління доступом тощо), коли закони розподілу можна вважати рівномірними. Якщо відома, напри- клад, кількість варіантів ключів засобів криптографічного захисту інформації Nкл = 2256, тоді ймовірність Ркзі може бути прийнятою рівною Ркзі = Nкл –1 = 2–256. Таким чином, методика, що пропонується, дозволяє отримати вирази для ви- значення показників захищеності інформації по кожній з функціональних послуг захисту від можливих загроз у вигляді залишкового ризику — ймовірності пору- шення захисту від загроз відповідного типу, та побудувати загальну модель сис- теми захисту в частині забезпечення необхідних властивостей захищеності і, за умовою оптимізації параметрів та характеристик у відповідності з [5], може бути використаною для проектування ефективних систем технічного захисту інформа- ції взагалі та їх складових зокрема. 1. Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціоно- ваного доступу (НД ТЗІ 1.1-002-99). 2. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу (НД ТЗІ 2.5-004-99). 3. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу (НД ТЗІ 2.5-005-99). 4. Типове положення про службу захисту інформації в автоматизованій системі (НД ТЗІ 1.4- 001-2000). 5. Будько М.М., Василенко В.С., Короленко М.П. Варіант формалізації процесу захисту інфо- рмації в комп’ютерних системах та оптимізації його цільової функції // Реєстрація, зберігання і оброб. даних. — 2000. — Т 2, № 2. — С. 73–84. 6. Будько М.М., Василенко В.С., Короленко М.П. Ефективність забезпечення цілісності інфо- рмації у телекомунікаціях // Реєстрація, зберігання і оброб. даних. — 2000. — Т 2, № 3. — С. 43– 65. 7. Антонюк А.А., Волощук А.Г., Заславская Е.А., Суслов В.Ю. Об одном подходе в моделиро- вании защиты информации // Перша міжнародна науково-практична конференція з програмування УкрПРОГ, 1998. — С. 505–510. Надійшла до редакції 27.02.2004

Схожі ресурси