Анотація: В лекції дається докладне визначення інформаційної безпеки, розглядаються аспекти управління ризиками. Описується модель безпеки з повним перекриттям.
Вступ
Метою даного курсу є вивчення сучасних методик аналізу та управління ризиками, пов'язаними з інформаційною безпекою (ІБ). У зв'язку з тим, що в процесі управління ризиками може проводитися впровадження конкретних засобів і механізмів захисту, в практичної частини курсу упор робиться на управління ризиками в системах, що базуються на операційних системах (ОС) сімейства Microsoft Windows.
Ризиком в сфері ІБ називатимемо потенційну можливість понести збитки через порушення безпеки інформаційної системи (ІС). Найчастіше поняття ризику змішують з поняттям загрози.
Загрозою ІБ називають потенційно можлива подія неважливо, навмисне чи ні, яке може негативно впливали на комп'ютерну систему, а також інформацію, що зберігається і обробляється в ній.
Уразливість ІС - це якась невдала характеристика, яка робить можливим виникнення загрози. Уразливість є недостатня захищеність і / або деякі помилки в системі, а також наявність в системі потайних входів в неї, залишені розробниками цієї системи при її налагодженні і налаштуванні.
Від загрози ризик відрізняє наявність кількісної оцінки можливих втрат і (можливо) оцінки ймовірності реалізації загрози.
Але розберемося, навіщо потрібно досліджувати ризики в сфері ІБ і що це може дати при розробці системи забезпечення ІБ для ІС. Для будь-якого проекту, що вимагає фінансових витрат на його реалізацію, дуже бажано вже на початковій стадії визначити, що ми будемо вважати ознакою завершення роботи і як будемо оцінювати результати проекту. Для задач, пов'язаних із забезпеченням ІБ це більш ніж актуально.
На практиці найбільшого поширення набули два підходи до обгрунтування проекту підсистеми забезпечення безпеки.
Перший з них заснований на перевірці відповідності рівня захищеності ІС вимогам одного із стандартів в області інформаційної безпеки. Це може бути клас захищеності відповідно до вимог керівних документів Держтехкомісії РФ (зараз це ФСТЕК Росії), профіль захисту, розроблений відповідно до стандарту ISO-15408, або будь-якої іншої набір вимог. Тоді критерій досягнення мети в області безпеки - це виконання заданого набору вимог. Критерій ефективності - мінімальні сумарні витрати на виконання поставлених функціональних вимог: де ci - витрати на i-е засіб захисту.
Основний недолік даного підходу полягає в тому, що в разі, коли необхідний рівень захищеності жорстко не заданий (наприклад, через законодавчі вимоги) визначити "найбільш ефективний" рівень захищеності ІС досить складно.
Другий підхід до побудови системи забезпечення ІБ пов'язаний з оцінкою і управлінням ризиками. Спочатку він стався з принципу "розумної достатності" застосованого до сфери забезпечення ІБ. Цей принцип може бути описаний таким набором тверджень:
- абсолютно непереборної захисту створити неможливо;
- необхідно дотримуватися балансу між витратами на захист і одержуваних ефектом, в т.ч. і економічним, що полягає в зниженні втрат від порушень безпеки;
- вартість засобів захисту не повинна перевищувати вартості інформації, що захищається (або інших ресурсів - апаратних, програмних);
- витрати порушника на несанкціонований доступ (НСД) до інформації повинні перевищувати той ефект, який він отримає, здійснивши подібний доступ.
Але повернемося до ризиків. В даному випадку, розглядаючи ІС в її початковому стані, ми оцінюємо розмір очікуваних втрат від інцидентів, пов'язаних з інформаційною безпекою (як правило, береться певний період часу, наприклад - рік). Після цього, робиться оцінка того, як пропоновані засоби і заходи забезпечення безпеки впливають на зниження ризиків, і скільки вони коштують. Якщо уявити деяку ідеальну ситуацію, то ідею підходу відображає наведений нижче графік ( Мал. 1.1 ) [ 1 ].
У міру того, як витрати на захист ростуть, розмір очікуваних втрат падає. Якщо обидві функції мають вигляд, представлений на малюнку, то можна визначити мінімум функції "Очікувані сумарні витрати", який нам і потрібен.
На жаль, на практиці точні залежності між витратами і рівнем захищеності визначити не представляється можливим, тому аналітичний метод визначення мінімальних витрат в представленому вигляді непридатний.
Для того, щоб перейти до розгляду питань опису ризику, введемо ще одне визначення. Ресурсом або активом називатимемо іменований елемент ІС, що має (матеріальну) цінність і підлягає захисту.
Тоді ризик може бути ідентифікований наступним набором параметрів:
- загроза, можливої реалізацією якої викликаний даний ризик;
- ресурс, щодо якого може бути реалізована дана загроза (ресурс може бути інформаційний, апаратний, програмний і т.д.);
- вразливість, через яку може бути реалізована дана загроза щодо даного ресурсу.
Важливо також визначити те, як ми дізнаємося, що небажане подія відбулася. Тому в процесі опису ризиків, зазвичай також вказують події-"тригери", що є ідентифікаторами ризиків, що сталися або очікуються незабаром (наприклад, збільшення часу відгуку web-сервера може свідчити про виробленої на нього однією з різновидів атак на "відмова в обслуговуванні" ).
Виходячи зі сказаного вище, в процесі оцінки ризику треба оцінити вартість збитку і частоту виникнення небажаних подій і ймовірність того, що подібна подія завдасть шкоди ресурсу.
Розмір збитку від реалізації погрози щодо ресурсу залежить від:
- Від вартості ресурсу, який наражається на ризик.
- Від ступеня руйнівності впливу на ресурс, яка виражається у вигляді коефіцієнта руйнівності. Як правило, зазначений коефіцієнт лежить в діапазоні від 0 до 1.
Таким чином, отримуємо оцінку, можна подати у вигляді добутку:
(Вартість ресурсу) * (Коеф. Руйнівного).
Далі необхідно оцінити частоту виникнення даного небажаного події (за якийсь фіксований період) і ймовірність успішної реалізації загрози. В результаті, вартість ризику може бути обчислена за формулою:
(Частота) * (Імовірність) * (Вартість ресурсу) * (Коеф. Руйнівного).
Приблизно така формула використовується в багатьох методиках аналізу ризиків, деякі з яких будуть розглянуті в подальшому. Очікуваний збиток порівнюється з витратами на заходи і засоби захисту, після чого приймається рішення щодо даного ризику. Він може бути:
- знижений (наприклад, за рахунок впровадження засобів і механізмів захисту, що зменшують ймовірність реалізації загрози або коефіцієнт руйнівності);
- усунутий (за рахунок відмови від використання підданого загрозі ресурсу);
- перенесений (наприклад, застрахований, в результаті чого в разі реалізації загрози безпеки, втрати буде нести страхова компанія, а не власник ІС);
- прийнятий.
Управління ризиками. Модель безпеки з повним перекриттям
Ідеї управління ризиками багато в чому походять від моделі безпеки з повним перекриттям, розробленої в 70-х роках [ 2 ].
Модель системи безпеки з повним перекриттям будується виходячи з постулату, що система безпеки повинна мати, принаймні, один засіб для забезпечення безпеки на кожному можливому шляху впливу порушника на ІС.
У моделі точно визначається кожна область, яка потребує захисту, оцінюються засоби забезпечення безпеки з точки зору їх ефективності та їх внесок в забезпечення безпеки у всій системі автоматичного.
Мал.1.2.
Двочастковий граф "угроза- об'єкт".
Мал. 1.3. Тридольний граф "загроза - засіб безпеки - об'єкт".
Вважається, що несанкціонований доступ до кожного з безлічі об'єктів, що захищаються (ресурсів ІС) Про пов'язаний з деякою "рівнем збитків" для власника ІС, і цей збиток може бути визначений кількісно.
З кожним об'єктом, що вимагає захисту, зв'язується деякий безліч дій, до яких може вдатися порушник для отримання несанкціонованого доступу до об'єкта. Потенційні злочинні дії по відношенню до всіх об'єктів формують набір загроз ІБ Т. Кожен елемент безлічі загроз характеризується ймовірністю появи.
Безліч відносин "об'єкт -загроза" утворюють дводольний граф ( Мал. 1.2 ), В якому ребро (ti, Оj) існує тоді і тільки тоді, коли ti є засобом отримання доступу до об'єкта oj. Слід зазначити, що зв'язок між погрозами і об'єктами не є зв'язком типу "один до одного" - загроза може поширюватися на будь-яке число об'єктів, а об'єкт може бути уразливий з боку більш ніж однієї загрози. Мета захисту полягає в тому, щоб "перекрити" кожне ребро даного графа і спорудити бар'єр для доступу цим шляхом.
Завершує модель третій набір, що описує засоби забезпечення безпеки М, які використовуються для захисту інформації в ІС. В ідеальному випадку, кожен засіб має усувати деякий ребро (ti, oj). Насправді, mk виконує функцію "бар'єру", забезпечуючи певний рівень опору спробам проникнення. Це опір - основна характеристика, притаманна всім елементам набору M. Набір М засобів забезпечення безпеки перетворює двочастковий граф в тридольний ( Мал. 1.3 ).
У захищеної системі все ребра подаються у формі (ti, mk) і (mk, oj). Будь-яке ребро в формі (ti, oj) визначає незахищений об'єкт. Слід зазначити, що один і той же засіб забезпечення безпеки може протистояти реалізації більш ніж однієї загрози і (або) захищати більше одного об'єкта. Відсутність ребра (ti, oj) не гарантує повного забезпечення безпеки (хоча наявність такого ребра дає потенційну можливість несанкціонованого доступу за винятком випадку, коли ймовірність появи ti дорівнює нулю).
Далі в розгляд включається теоретико-множинна модель захищеної системи - система забезпечення безпеки Клементса. Вона описує систему у вигляді пятікортежного набору S = {О, T, M, V, B}, де О - набір об'єктів, що захищаються; Т - набір загроз; М - набір засобів забезпечення безпеки; V - набір вразливих місць - відображення ТxO на набір упорядкованих пар Vi = (ti, oj), що представляють собою шляхи проникнення в систему; В - набір бар'єрів - відображення VxM або ТxОxМ на набір упорядкованих трійок bi = (ti, oj, mk) представляють собою точки, в яких потрібно здійснювати захист в системі.
Таким чином, система з повним перекриттям - це система, в якій є засоби захисту на кожен можливий шлях проникнення. Якщо в такій системі , то .
Далі виробляються спроби кількісно визначити ступінь безпеки системи, зіставляючи кожній дузі ваговий коефіцієнт.
Модель системи безпеки з повним перекриттям описує вимоги до складу підсистеми захисту ІС. Але в ній не розглядається питання вартості впроваджуваних засобів захисту і співвідношення витрат на захист і одержуваного ефекту. Крім того, визначити повне безліч "шляхів проникнення" в систему на практиці може виявитися досить складно. А саме від того, наскільки повно описано це безліч, залежить те, наскільки отриманий результат буде адекватний реальному стану справ.