На правах рукописи

Боридько Иван Сергеевич

МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ

АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОТ

НЕСАНКЦИОНИРОВАННОГО ДОСТУПА С УЧЕТОМ

МЕНЕДЖМЕНТА ИНЦИДЕНТОВ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Специальность: 05.13.19 – Методы и системы защиты информации, информационная безопасность

Автореферат диссертации на соискание ученой степени кандидата технических наук

Серпухов 2013 2

Работа выполнена в Межрегиональном общественном учреждении «Институт инженерной физики» (МОУ «ИИФ») в отделе специального программно-математического обеспечения.

Научный руководитель: доктор технических наук, старший научный сотрудник Смирнов Дмитрий Вячеславович.

Официальные оппоненты:

1. Доктор технических наук, профессор Куприянов Александр Ильич – профессор кафедры радиотехники и радиотехнических систем ФГБОУ ВПО «Московский авиационный институт (национальный исследовательский университет)».

2. Кандидат технических наук доцент Сирченко Василий Иванович – заместитель начальника отдела Восьмого управления ГШ ВС РФ.

Ведущая организация: 18 ЦНИИ МО РФ, г. Москва.

Защита диссертации состоится «11» сентября 2013 г. в 14 часов 30 минут на заседании диссертационного совета Д 520.033.01 при МОУ «Институт инженерной физики» по адресу: 142210, г. Серпухов, Большой Ударный пер., д. 1а Отзывы на автореферат в 2-х экз. просьба направлять по адресу:

142210, г. Серпухов, Большой Ударный пер., д. 1а, Межрегиональное общественное учреждение «Институт инженерной физики» (МОУ «ИИФ»), ученому секретарю диссертационного совета Д 520.033.01.

С диссертацией можно ознакомиться в библиотеке Межрегионального общественного учреждения «Институт инженерной физики».

Автореферат разослан «» _2013 г.

Ученый секретарь диссертационного совета Д 520.033. кандидат технических наук, доцент О.В. Коровин

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Широкое распространение информационных технологий привело к тому, что бизнес все более зависит от имеющихся у него автоматизированных систем (АС). Применение АС приносит прибыль, поэтому расходы на их внедрение растут. Однако внедрение АС неизбежно сопровождается уязвимостями в программном обеспечении и ошибками реализации, что приводит к все новым возможностям потенциальных атак со стороны нарушителей.

Как отмечается во многих исследованиях, количество зарегистрированных инцидентов ИБ в последние годы увеличивается. Под инцидентом ИБ понимается появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ. С инцидентами связан риск их возникновения, который обычно трактуют как сочетание значения ущерба и вероятности его возникновения.

Для снижения рисков до приемлемого уровня в составе АС реализуется система защиты информации. В общем случае данная система делится на систему защиты информации от несанкционированного доступа, систему физической защиты, систему противодействия техническим средствам разведки. В работе рассматривается только система защиты информации от несанкционированного доступа, для которой используется аббревиатура «СЗИ».

Значение причиненного ущерба в известной литературе считается скалярной величиной. Однако для многих важных для практики случаев ущерб можно считать функцией от времени пребывания АС в небезопасном состоянии. Например, чем дольше находится в недоступности Интернет-магазин фирмы, тем больший ущерб ей причиняется.

Чем дольше нарушитель знает пароль для доступа к АС, тем больше конфиденциальных сведений он может похитить. Учет времени при анализе ущерба, а значит и рисков ИБ в подобных сценариях, приобретает существенное значение.

Однако до настоящего времени методические подходы, позволяющие учесть временной фактор при расчете ущерба, слабо разработаны. Причинами этого являются с одной стороны то, что подходы к созданию СЗИ во многом унаследованы от подходов к защите государственной тайны. С другой стороны до последнего времени на рынке отсутствовали средства менеджмента инцидентов ИБ, позволяющие уменьшать время пребывания АС в небезопасном состоянии.

Налицо противоречие между имеющейся необходимостью учета зависимости рисков ИБ от времени и отсутствием методического обеспечения, позволяющего выполнять этот учет при проектировании СЗИ.

Одним из перспективных путей преодоления этого противоречия представляется путь, связанный с управлением инцидентами ИБ. Согласно этому предлагаемому подходу задача снижения риска ИБ возлагается не только на СЗИ, но и на подсистему менеджмента инцидентов ИБ. Вообще говоря, чем больше ресурсов будет отведено на подсистему менеджмента инцидентов ИБ, тем меньше будет время нахождения АС в небезопасном состоянии. С другой стороны, чем больше ресурсов вложено в создание СЗИ, тем меньше в общем случае вероятность попадания АС в небезопасное состояние.

Проблеме обоснованного построения СЗИ посвящено немало работ, обзор части из которых приведен в главе 2 диссертационной работы. В данном направлении активно работали российские ученые Герасименко В.А., Малюк А.А., Зегжда П.Д., Щеглов А.Ю., Парахин В.Н. и др. Анализ упомянутых работ показывает, что они сохраняют свою востребованность. Вместе с тем, в этих работах не рассмотрено влияния менеджмента инцидентов ИБ на эффективность СЗИ.

Исходя из всего вышесказанного, цель диссертационной работы заключается в повышении эффективности СЗИ за счет менеджмента инцидентов ИБ и решения задачи многокритериального выбора СЗИ по разработанным ЧПЭ.

Объект исследования – СЗИ АС организации.

Предмет исследования – модель защищенности АС от несанкционированного доступа и методика синтеза СЗИ АС организации.

Границы исследования – вопросы, связанные с особенностями построения СЗИ для защиты секретной информации не рассматриваются. Помимо СЗИ рассматривается подсистема менеджмента инцидентов ИБ, которую, по мнению автора, необходимо включать в состав СЗИ (что пока не закреплено руководящими документами).

Для достижения поставленной цели решается научная задача разработки методики синтеза СЗИ с учетом менеджмента инцидентов ИБ в АС.

Научная новизна результатов диссертационной работы заключается в следующем:

1) предложен подход к нахождению вероятностей преднамеренных атак на основе анализа потенциала нарушителя, тогда как в большинстве известных работ вероятность атак находится, исходя из предположения о пуассоновском законе распределения их плотности.

Предложенный подход позволяет учесть больше априорных сведений о нарушителе, что дет возможность более точно определить вероятности атак и соответствующие риски;

2) продемонстрировано, что остаточный риск ИБ зависит не только от эффективности СЗИ, но и от эффективности подсистемы менеджмента инцидентов ИБ. В известных работах при вычислении остаточных рисков менеджмент инцидентов ИБ, снижающий время пребывания АС в небезопасном состоянии, не учитывается. Показано, что требуемой величины остаточного риска можно достичь при меньших затратах за счет распределения бюджета между финансированием СЗИ и управлением последствиями от инцидентов ИБ;

3) предложены качественные зависимости риска ИБ от времени длительности атаки, обусловленной средствами восстановления и средствами защиты; зависимости времени нахождения АС в незащищенном состоянии от стоимости средств восстановления. Подобные зависимости не встречаются в известной литературе, хотя позволяют более точно оценивать риски ИБ;

4) разработана методика синтеза СЗИ, в которой учтены новые подходы к оценке остаточного риска (его зависимость от времени) и реализация мероприятий менеджмента инцидентов ИБ;

5) для решения задачи оптимального выбора эффективного варианта СЗИ из ряда возможных впервые применен метод многокритериального потокового ранжирования.

Практическая значимость. Разработанные модели и методики могут найти применение при обосновании проектов по созданию СЗИ, являться основой нормативных документов в данной области, стать отправной точкой для определения количественных зависимостей между различными параметрами СЗИ и подсистемы менеджмента инцидентов ИБ в ходе выполнения НИОКР.

Методы исследований. Поставленные задачи решены на основе применения методов теории операций, теории вероятностей, математической статистики, многокритериальной оптимизации.

Основные результаты, выносимые на защиту:

1) Модель защищенности автоматизированной системы от несанкционированного доступа, учитывающая зависимость рисков от длительности инцидентов ИБ.

2) Методика синтеза системы защиты информации автоматизированной системы от несанкционированного доступа с учетом менеджмента инцидентов информационной безопасности.

3) Алгоритм оптимального выбора эффективного варианта системы защиты информации от несанкционированного доступа на основе многокритериального потокового ранжирования.

Достоверность результатов работы обеспечивается строгостью применения математических моделей, непротиворечивостью полученных результатов с известными достижениями.

Апробация работы. Основные научные результаты работы докладывались на 5 конференциях:

6-я Всероссийская научная конференция «Проблемы развития технологических систем государственной охраны, специальной связи и информации». Орел, 2009;

Межвузовская научно-методическая конференция «Актуальные проблемы совершенствования системы качества образования». Калининград, 2010;

IV Всероссийская научно-техническая школа-семинар «Информационная безопасность – актуальная проблема современности». Краснодар, 2012;

XXXI Всероссийская научно-техническая конференция «Проблемы эффективности и безопасности функционирования сложных технических и информационных систем». Серпухов, 2012 г.;

8-я Межведомственная научная конференция «Актуальные проблемы развития технологических систем государственной охраны, специальной связи и информационного обеспечения». Орел, 2013.

Структура и объем диссертации. Диссертационная работа изложена на 135 стр. и включает 135 стр. основного текста, 30 рисунков, таблиц. Список литературы содержит 105 наименования.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертации, сформулирована цель работы и положения, выносимые на защиту, приведены краткие сведения о структуре диссертации.

В первой главе выполнен анализ требований законодательства, нормативных документов в области ИБ АС, рассмотрено понятие эффективности СЗИ и предложен ряд новых ЧПЭ СЗИ, введено понятие зависящего от времени риска, поставлена задача на исследование.

Выявлены источники требований по ИБ, разновидности тайн, которые защищать обязательно с точки зрения действующего законодательства. В АС, в которых обрабатывается информация, сведения которой содержат данные тайны, СЗИ должна быть реализована обязательно и соответствовать требованиям руководящим документов в этой области. В АС критически важных сегментов информационной инфраструктуры также необходима реализация СЗИ, в независимости от того, содержит ли обрабатываемая в них информация какую-либо тайну.

Анализ нормативных документов по заданию требований ИБ показал, что в настоящее время в качестве основных документов действуют РД Гостехкомиссии, требования в которых заданы жестко, что не всегда оправданно. Например, РД Гостехкомиссии не делают различий между локальными и распределенными АС, между АС, расположенных в подземном бункере и в незащищенном помещении. С другой стороны, в России принят международный стандарт ГОСТ Р ИСО/МЭК 15408-2008, позволяющий гибко и оправданно задавать требования, с учетом рисков ИБ.

Проблеме менеджмента инцидентов ИБ, несмотря на введение в действие в России международного стандарта в этой области, пока не уделяется должного внимания.

ЧПЭ СЗИ можно разделить на внешние и внутренние.

К внешним ЧПЭ СЗИ отнесены обеспечиваемая защищенность АС, снижение риска ИБ, стоимость СЗИ, сроки ее создания, используемые СЗИ ресурсы и т.п..

К внутренним ЧПЭ СЗИ отнесены наличие и уровень сертификатов соответствия по требованиям ИБ у элементов СЗИ, однородность средств защиты информации (СрЗИ), масштабируемость, сопровождаемость, простота освоения СрЗИ и т.п.

При проектировании СЗИ все вышеприведенные ЧПЭ должны тем или иным образом учитываться. При решении оптимизационных задач по синтезу СЗИ многие из ЧПЭ могут быть вынесены в ограничения.

Как правило, в организации имеется множество ресурсов, каждый из которых обладает некоторой ценностью. Утрата ресурса означает ущерб, который зависит от времени нахождения АС в незащищенном состоянии или времени восстановления АС после инцидента: U i t восстi.

Время восстановления t восст i каждого ресурса зависит от стоимости мер и средств менеджмента инцидентов для этого ресурса:

t восст i t d i, где d i - стоимость мер и средств менеджмента инцидентов i-го ресурса.

С ресурсом связан потенциальный риск его утраты Ri (может быть частичной, временной), а также остаточный риск Ri*, который приемлем для организации ( Ri* - совокупность затрат на защиту информации и вероятностного ущерба, причиненного в результате реализации преднамеренных и непреднамеренных угроз).

Риск Ri зависит от ущерба U i t восст, от вероятности атаки ( PДФi, PАi ), от вероятности pСрЗИi того, что СрЗИ пропустит эту атаку. Можно считать, что чем выше стоимость CСрЗИ i СрЗИ внутри одного класса, тем выше его возможности по отражению атаки, следовательно, вероятность пропуска меньше.

Вероятность преднамеренной атаки зависит от потенциала нарушителя p Ai П. Подробнее понятие потенциала нарушителя рассмотрено в главе 2 диссертационной работы.

Поток случайных воздействий дестабилизирующих факторов можно считать ординарным пуассоновским, как это обычно описывается в литературе.

Тогда получаем выражение для риска ИБ от воздействия случайных и преднамеренных факторов на один из ресурсов:

В общем случае задача проектирования оптимальной по критерию стоимости СЗИ, удовлетворяющей требованиям заказчика, может быть записана в виде:

где C - суммарная стоимость СЗИ с учетом мер восстановления после инцидента: C i CСрЗИi j d j, k 1,...K - варианты построения СЗИ.

Возможна и несколько другая постановка задачи, когда на суммарную стоимость СЗИ накладываются ограничения C C. Тогда можно поставить задачу минимизации риска и сравнивать результат с требуемым. Однако в такой постановке целесообразно рассматривать задачу в случае, когда количество ресурсов различных невелико, так как зачастую сумма ущербов не имеет смысла (например, сложно объединить ущерб от атаки на Интернет-магазин организации и на используемую в ней программу бухучета).

В работе приведена наиболее общая постановка задачи на исследование. Пусть имеется L вариантов построения СЗИ, каждый из которых характеризуется N частными показателями эффективности, на М из которых наложены ограничения в виде неравенств. Требуется найти оптимальный по данным частным показателям эффективности (ЧПЭ) вариант построения СЗИ. Математически эта задача формулируется в виде:

где N – количество ЧПЭ, по которым проводится оптимизация СЗИ, М - количество ЧПЭ, по которым заданы ограничения, L – количество вариантов СЗИ, среди которых выбирается оптимальная.

Во второй главе разрабатывается модель защищенности автоматизированной системы от несанкционированного доступа, учитывающая зависимость рисков от длительности инцидентов ИБ.

Анализ подходов к моделированию СЗИ, в том числе, моделей, построенных на основе теории графов, автоматов, сетей Петри, вероятностных моделей, выполнялся по возможности расчета таких параметров, как вероятностей преодоления рубежей защиты, времени преодоления рубежей защиты и времени обнаружения воздействия; рисков ИБ.

С целью выявления недостатков известных моделей защищенности АС (с полным перекрытием, с частичным перекрытием) выполнен их анализ. Показано, что они не учитывают среды безопасности АС, структуры построения АС и вида обрабатываемой информации.

Отмечено, что остаточный риск ИБ зависит не только от СЗИ, но и от системы менеджмента инцидентов ИБ. Рассмотрена задача нахождения баланса между ресурсами, выделяемыми на СЗИ, и на систему восстановления после инцидентов ИБ.

На рисунке 1 через ССрЗИi обозначена стоимость механизмов защиты, парирующих атаки, через d i - стоимость механизмов защиты, обеспечивающих восстановление после инцидентов, U1,...,U L - набор ресурсов АС S, на которые производятся атаки.

При этом на один ресурс может быть реализовано несколько атак.

Точно также как и одна атака может быть направлена на несколько ресурсов.

Риск Ri зависит от времени нахождения в небезопасном состоянии АС t восст.

Вероятности pi и qi (успешной атаки и возвращения в безопасное состояние, соответственно) зависят от интервала времени, на котором они рассматриваются.

Рисунок 1 – Модель защищенности АС от несанкционированного доступа, учитывающая временные и стоимостные факторы, а также тип ущерба Вероятность pi, кроме того, зависит от стоимости СрЗИ CСрЗИi, а время нахождения в небезопасном состоянии АС t восст зависит от стоимости средств восстановления d i. Качественно эти зависимости изображены на рисунке 2.

Рисунок 2 – Качественные зависимости между стоимостью и вероятностно-временными характеристиками: а) зависимости вероятностей pi и q i от интервала времени, стоимости средств защиты и менеджмента инцидентов, соответственно; б) зависимость времени восстановления tвосст от стоимости менеджмента инцидентов d i. Стрелками показаны направления увеличение стоимости средств защиты и менеджмента инцидентов Как видно из рисунка 2 (а), вероятности pi и qi с увеличением интервала времени наблюдения стремятся к 1. При этом с увеличением стоимости СрЗИ вероятность перехода в небезопасное состояние уменьшается. С увеличением стоимости средств восстановления вероятность перехода в безопасное состояние увеличивается. Как показано на рисунке 2 (б), если не решать задачу восстановления, то АС всегда будет в небезопасном состоянии.

Предлагается следующее выражение для расчета времени восстановления:

где коэффициент 0 отражает особенности (в том числе, затратность) восстановления ресурса и имеет размерность [руб*час], t min необходимое время восстановления ресурса при неограниченных затратах на восстановление.

Преднамеренные атаки, имеющие наибольшую опасность, было бы неверным описывать каким-либо вероятностным законом. Они непосредственно связаны с потенциалом нападения нарушителя (его компетентностью, ресурсами и мотивацией). Подробно рассмотрены составляющие потенциала нападения, и предложена численная оценка мотивации нарушителя (по аналогии с известным подходом для оценки компетентности и ресурсов). Потенциал нападения вычисляется как произведение рейтинга уязвимостей и мотивации нарушителя. Оценка рейтинга уязвимостей основана на ГОСТ Р ИСО/МЭК 18045-2008, мотивацию нарушителя (высокую, среднюю и низкую) предлагается оценивать по следующей шкале:

0.9, 0.6, 0.3.

В рамках предлагаемого подхода получилось, что потенциал нападения нарушителя выражается числом от 0 до 49.5, а вероятность преднамеренного нападения связана с потенциалом нападения линейно. Зависимости между «слагаемыми» успешной преднамеренной атаки p усп.атаки показаны на рисунке 3. Непреднамеренные атаки могут моделироваться пуассоновским законом распределения.

Значение остаточного риска ИБ уменьшается с увеличением стоимости СЗИ до определенного предела. Дальнейшее увеличение стоимости СЗИ приводит к увеличению остаточного риска, так как увеличивается «доля» стоимости СЗИ (рисунок 4 (а)).

Рисунок 3 – Качественные зависимости между потенциалом нападения, стоимостью средств защиты ССрЗИ и вероятностью успешной атаки p усп.атаки Показано, что значение остаточного риска ИБ увеличивается с увеличением времени нахождения АС в незащищенном состоянии (рисунок 4 (б)). Снижение этого времени возможно при увеличении затрат на систему менеджмента инцидентов ИБ. Поэтому возможна постановка задачи определения баланса между затратами на СЗИ и затратами на подсистему менеджмента инцидентов ИБ (рисунок 4 (в)).

Рисунок 4 – а) зависимость значения риска R от стоимости СрЗИ; б) зависимость значения риска R от времени восстановления tвосст; в) качественная зависимость между стоимостью СрЗИ и стоимостью средств восстановления di при ограничении на суммарный бюджет В третьей главе разработана методика синтеза системы защиты информации автоматизированной системы от несанкционированного доступа с учетом менеджмента инцидентов информационной безопасности.

В целом шаги методики описаны ниже.

1. Общее описание архитектуры АС, ее составных элементов, системы защиты информации и правил политики безопасности. Анализ рисков с учетом их длительности, остаточных рисков и потенциала нападения нарушителя.

2. Формализация описания системы защиты информации, разработка формальных правил разграничения доступа 3. Формулирование требований, которым должна удовлетворять СЗИ и подсистема менеджмента инцидентов ИБ для качественного выполнения возложенных на них функций. Выбор ЧПЭ СЗИ и подсистемы менеджмента инцидентов ИБ.

4. Выбор частных показателей качества СрЗИ и средств восстановления АС, поиск имеющихся на рынке СрЗИ, удовлетворяющих требованиям, и определение необходимости создания новых. Анализ существующих проектов СЗИ и менеджмента ИБ.

5. Выбор эффективных вариантов СЗИ и восстановления АС на основе алгоритма многокритериальной потоковой оптимизации Отличие предлагаемой методики от известных методик синтеза СЗИ заключается в том, что в ней дополнительно учитываются:

- результаты анализа рисков, причем значение рисков считается увеличивающимся с увеличением времени нахождения АС в небезопасном состоянии;

- взаимосвязь остаточного риска со стоимостью используемых средств защиты информации и организационно-технических мероприятий менеджмента инцидентов ИБ;

- потенциал нападения нарушителя и его связь с вероятностью преднамеренной атаки;

- баланс стоимости между стоимостью средств защиты информации и мер по восстановлению после инцидентов информационной безопасности.

Рассмотрены все новые предлагаемые шаги методики, подробно рассмотрены вопросы менеджмента инцидентов ИБ. Последний шаг методики описан в главе 4.

Методика иллюстрируется гипотетическим примером АС организации, состоящей из внутрикорпоративной сети и расположенного в Интернете сайта, на котором расположена информация об организации и интернет-магазин продаж. Внутрикорпоративная сеть имеет различные домены безопасности (обработка коммерческой тайны, обработка персональных данных, открытой информации, сервер, почтовый сервер). Все домены соединены между собой и с Интернетом.

Для этой АС приведен пример формирования правил разграничения доступом, определения ущербов от нарушений ИБ в ее сегментах (при этом ущерб зависит от времени длительности атаки).

Ущерб от нарушения ИБ в гипотетической АС приведен в таблице 1.

Как видно из таблицы 1, ряд показателей ущерба зависят от времени нахождения в небезопасном состоянии.

Таблица 1 – Ущерб от нарушений ИБ в сегментах гипотетической АС, зависящий для некоторых сегментов от времени t (в часах), млн руб магазин сервер данные тайна информация В главе подробно рассмотрен процесс анализа рисков, состоящий из 10 этапов, в соответствии с ГОСТ Р ИСО/МЭК 27005-2010, с учетом разработанных предложений по учету потенциала нарушителя и ранжирования рисков. Найдены значения рисков для различных сегментов гипотетической АС, сформулированы требования к СЗИ и к подсистеме менеджмента инцидентами ИБ.

В частности, ранжирование рисков предложено вести по такой шкале (таблица 2):

Таблица 2 - Значения рисков для компонентов АС без применения СЗИ Подробно рассмотрены задаваемые ISO/IEC 27005-2011 требования к менеджменту инцидентами ИБ, рассмотрен процесс управления инцидентами в соответствии с известной схемой PDCA. Определены принципы выбора механизмов защиты информации, парирующих идентифицированные угрозы, и средств защиты информации. Рассмотрены особенности создания СЗИ для уже существующей АС.

В четвертой главе разработан алгоритм оптимального выбора оптимального варианта СЗИ на основе многокритериального потокового ранжирования.

Формальная постановка задачи многокритериального выбора параметров типовой СЗИ имеет следующий вид.

Пусть имеется информация об n СЗИ. Каждая СЗИ характеризуется m ЧПЭ, рассмотренными в главе 1.

Тогда i-ю СЗИ можно представить в виде вектора (а1(i ), а 2i ),..., а ni ) ), где а j - значение j-го ЧПЭ (параметр).

Имеется множество критериев оценки вариантов СЗИ где W = {w1, w2,… wm,} – коэффициенты относительной важности криm териев, w 1.

gj(Аi ) представляет собой функцию от параметра СЗИ НСД, m – количество критериев оценки СЗИ НСД, n – количество рассмотренных вариантов СЗИ НСД.

Необходимо проранжировать по предпочтительности множество СЗИ НСД А = { A1, А2,..., Аi,…, Аn } по совокупности критериев G и выбрать наилучшую из них в качестве кандидата в типовую.

С математической точки зрения задача многокритериального ранжирования (выбора) обычно формулируется следующим образом:

где P – отношение предпочтения по совокупности критериев G, т.е.

Аi P Аj, если Аi предпочтительнее Аj;

I – отношение неразличимости, т.е. Аi I Аj, если Аi неразличимо с Аj по совокупности критериев G.

Для решения указанной задачи разработан алгоритм, основанный на использовании метода многокритериального потокового ранжирования, заключающийся в следующем.

Этап 1. Подготовка исходных данных.

Анализ существующих СЗИ, выбор структуры СЗИ на основе дерева решений, формирование набора критериев для выбора оптимальной по параметрам СЗИ. Для каждого из критериев определение способа получения оценок параметров СЗИ.

Этап 2. Оценка параметров типовых СЗИ.

Оценка СЗИ, а также относительной важности критериев. Обобщение экспертных оценок, вычисление коэффициентов относительной важности.

Этап 3. Решение задачи многокритериального потокового ранжирования.

Этап 4. Анализ результатов экспертизы.

Если эксперты согласны с результатами ранжирования СЗИ, то наиболее предпочтительная из них принимается в качестве типовой СЗИ. Если нет, то процесс повторяется.

Алгоритм многокритериального потокового ранжирования (этап алгоритма обоснования параметров СЗИ) состоит из следующих шагов.

Шаг 1. Выбор типа функций предпочтения и задание их параметров по каждому из критериев.

Шаг 2. Определение матриц парных сравнений проектов по созданию СЗИ НСД по каждому из критериев.

Шаг 3. Расчет матрицы индексов многокритериального предпочтения и построение взвешенного графа предпочтений.

Шаг 4. Расчет исходящих потоков.

Шаг 5. Расчет входящих потоков.

Шаг 6. Расчет суммарных потоков.

Шаг 7. Формирование результирующего упорядочения проектов.

В методе МПР результат сравнения двух проектов aj А и akА выражается в терминах предпочтения. Для этого вводится в рассмотрение функция предпочтения описывающая интенсивность предпочтения проекта aj по отношению к проекту ak, таким образом, что Р(aj, ak) = 0 – означает неразличимость проектов aj и ak;

P(aj, ak) 0 – означает слабое предпочтение проекта aj над проектом ak;

P(aj, ak) 1 – означает существенное предпочтение проекта aj над проектом ak;

P(aj, ak) = 1 – означает явное предпочтение проекта aj над проектом ak.

Эта функция предпочтения является функцией разности критериальных оценок двух проектов:

Приведены различные виды функций предпочтения (явного предпочтения, явного предпочтения с областью нечувствительности, линейного предпочтения и другие) и соображения по их выбору.

Элементы матрицы индексов многокритериального предпочтения имеют следующий вид:

где Hj(ai,ak) – элемент матрицы парных сравнений проектов по j-му показателю, wj – коэффициент относительной важности j-го критерия.

Индекс многокритериального предпочтения характеризует интенсивность предпочтения проекта aj по отношению к проекту ak одновременно по всем критериям. Этот индекс – положительное число в интервале от 0 до 1, причем, чем ближе величина индекса предпочтения к 1, тем проект aj считается более предпочтительной, чем проект ak.

Используя матрицу индексов многокритериального предпочтения, строится граф предпочтений, вершинам которого соответствуют рассматриваемые проекты. Находятся исходящие и входящие потоки, и выполняется результирующее упорядочение проектов СЗИ.

С учетом полученных результатов, а также проведенного в первой и второй главе анализа, в главе проведено сравнение подходов известных и предлагаемого к синтезу СЗИ по таким характеристикам как:

оценка риска;

структура СЗИ;

менеджмент инцидентов ИБ;

оценка вероятностей атак;

гибкость выбора механизмов защиты;

качественная или количественная оценка.

Показаны преимущества предлагаемого подхода.

Проведено численное моделирование эффективности СЗИ при ограничениях на бюджет ее создания для гипотетической АС, рассмотренной в главе 3, при трех возможных подходах к созданию СЗИ: без анализа рисков, с анализом рисков, но без учета менеджмента инцидентами ИБ, с анализом рисков и менеджментом инцидентов ИБ. В качестве обобщенного показателя эффективности было взято отношение стоимости СЗИ к сумме значения остаточного риска и стоимости СЗИ. Использовались данные из таблиц 1,2, предположения о стоимости СрЗИ различных классов. Использовалось также предположение о длительности нахождения АС в небезопасном состоянии при наличии/отсутствии менеджмента инцидентов ИБ. Результаты для трех подходов к построению СЗИ получились следующие: обобщенный показатель эффективности составил - 0.15, 0.29, 0.365.

Таким образом, учет рисков и менеджмента инцидентами ИБ позволили существенно снизить общий ущерб, создать более эффективную по обобщенному показателю эффективности СЗИ. Необходимо отметить, что при оценке ущерба в первых двух случаях затраты на менеджмент инцидентов ИБ были приняты равными нулю. На самом деле, после наступления инцидента ИБ собственник АС вынужден тратить дополнительные ресурсы на ликвидацию его последствий. Это делает учет менеджмента инцидентов ИБ при проектировании СЗИ еще более актуальным.

ЗАКЛЮЧЕНИЕ

Таким образом, в диссертационной работе получены следующие основные результаты:

1. Модель защищенности АС от несанкционированного доступа. Эта модель отличается от существующих учетом менеджмента инцидентов информационной безопасности. Чем больше внимания уделяется этому аспекту, тем меньше время нахождения АС в небезопасном состоянии, а, следовательно, меньше ущерб от инцидентов ИБ. Другое отличие разработанной модели состоит в отказе от вероятностных подходов к моделированию преднамеренных атак в пользу учета потенциала нарушителя.

2. Методика синтеза системы защиты информации от несанкционированного доступа для автоматизированных систем с учетом менеджмента инцидентов информационной безопасности.

3. Алгоритм оптимального выбора эффективного варианта СЗИ от несанкционированного доступа на основе многокритериального потокового ранжирования. Применение данного метода позволяет оптимальным образом осуществить выбор проекта СЗИ среди известных.

Для рассматриваемой в работе АС увеличение обобщенного показателя эффективности СЗИ при применении предлагаемого подхода в сравнении с существующими составила: по сравнению с подходом без анализа рисков ИБ – в 2,43 раза; по сравнению с подходом с анализом рисков ИБ, но без учета менеджмента инцидентов ИБ – в 1,25 раз.

Цель диссертационной работы, заключающаяся в повышении эффективности СЗИ от несанкционированного доступа за счет менеджмента инцидентов ИБ и решения задачи многокритериального выбора СЗИ по разработанным ЧПЭ, достигнута.

Разработанные модели и методики могут применяться при проектировании СЗИ, при оценке ее эффективности, а также при оценке существующих СЗИ от несанкционированного доступа.

К направлениям дальнейших исследований можно отнести:

1) нахождение аналитических выражений для описания плотности распределения преднамеренных атак;

2) разработку подходов к оптимальному построению подсистемы менеджмента инцидентов ИБ;

3) нахождение аналитических зависимостей риска ИБ от времени длительности атаки;

4) нахождение рациональных критериев для решения задачи выбора оптимального варианта построения СЗИ методом многокритериального потокового ранжирования. Апробирование данной методики в ходе проектирования СЗИ в рамках выполнения ОКР.

СПИСОК РАБОТ, ОПУБЛИКОВАННЫХ АВТОРОМ ПО

ТЕМЕ ДИССЕРТАЦИИ

В рецензируемых научных журналах и изданиях 1. Боридько, И.С., Забелинский, А.А., Коваленко, Ю.И. Применение DLP-систем для защиты персональных данных // Безопасность информационных технологий, 2012. - № 3. - С.20 - 24.

2. Боридько, И.С., Боридько, С.И., Денисенко, В.Д. Обоснование выбора ошибок первого и второго рода при обнаружении компьютерных атак // Вопросы защиты информации, 2012. -№ 4. - С.47-49.

3. Боридько, И.С., Смирнов, Д.В. О подходе к синтезу системы защиты информации от несанкционированного доступа для автоматизированных систем в защищённом исполнении // Научный сборник № 57 (164), 2012.- М.:ВАГШ.- 279 с. – С.192-203.

4. Боридько, И.С., Забелинский, А.А., Коваленко, Ю.И. DLPсистемы: защита от инсайдеров // Безопасность информационных технологий, 2013. - № 1. - С.50 - 60.

5. Боридько, И.С. О подходе к формальному описанию политики безопасности в субъектно-объектной модели безопасности информации в автоматизированных системах // Нефть, газ и бизнес, 2013. - №4. -72 с. – С.28-32.

6. Боридько, И.С., Иванушкин, С.В., Пушкарев, Ю.А., Смирнов, Д.В. Методика обоснования параметров системы защиты информации от несанкционированного доступа // Известия института инженерной физики, 2012. - №3 (25) – С.15-21.

7. Боридько, И.С., Смирнов, Д.В. Политика безопасности в субъектнообъектной модели безопасности информации в автоматизированных системах // Известия института инженерной физики, 2013. - №1 (27) – С.16-21.

8. Боридько, И.С., Кирилов, Д.В. К исследованию затухания параметров электромагнитного поля // Вестник Института: сборник научных трудов. Выпуск 13. – М.: МИНИТ ФСБ России. 2013.

9. Боридько, И.С., Тихонов, Б.Н. Прогнозные модели определения периодичности контроля технического состояния активных систем защиты акустической информации // Вестник Института: сборник научных трудов. Выпуск 13. – М.: МИНИТ ФСБ России, 2013.

Доклады на конференциях 10. Боридько, И.С., Тихонов, Б.Н. Вероятностный подход к определению минимального размера зоны защищенности по ПЭМИ // Сборник материалов 6-й всероссийской научной конференции «Проблемы развития технологических систем государственной охраны, специальной связи и информации». Орел: Академия ФСО России, 2009.

11. Боридько, И.С., Тихонов, Б.Н. Метод группового специального исследования технических средств, обрабатывающих защищаемую информацию, по каналам побочных электромагнитных излучений // Труды Межвузовской научно-методической конференции «Актуальные проблемы совершенствования системы качества образования». Калининград, 2010.

12. Боридько, И.С., Королев, М.В. Сравнительный обзор современных систем акустической разведки // Сборник материалов 8-й Межведомственной научной конференции «Актуальные проблемы развития технологических систем государственной охраны, специальной связи и специального информационного обеспечения». Орел: Академия ФСО России, 2013.

13. Боридько, И.С. Погрешности параметров процессов, характеризующих изменение состояния объектов // Тихонов Б.Н., Моисеев С.А., Ходжаев И.А. Управление состоянием сложных радиоэлектронных изделий, находящихся в эксплуатации. Монография. - Орел: Академия ФСО России, 2010. – 208 с.

14. Боридько, И.С., Забелинский, В.А., Тараскин, М.М. Методика исследования угроз, уязвимостей и рисков в организации. Монография.

– М.:МИНИТ, 2013 г. – 124 с.