«Методы и модели оценки инфраструктуры системы защиты информации в корпоративных сетях промышленных предприятий Монография Санкт-Петербург 2012 1 УДК 004.056 ББК 32.81 К-68 Рецензент: Доктор физико-математических наук, ...»

В моделях (2.1) – (2.3) приняты следующие обозначения: Sij — затраты на защиту j-го информационного актива i-м средством; Si — затраты, общие для всех информационных активов, на защиту i-м средством; I — множество средств защиты информации; J — множество защищаемых информационных активов; rij — оценка качества защиты i-м средством j-го информационного актива (частный коэффициент защищенности, показывающий, какая часть атак угрозы i-го вида отражается); aj — весовой коэффициент j-го информационного актива в общей оценке ИЗИ, a j = 1; Rдоп — допустимый уровень качества ИЗИ в целом; yi — двоичная булева переменная, принимающая значение «1», если i-е средство ЗИ может быть использовано в ИЗИ, и «0» — в противном случае, причем i-е средство защиты в системе может быть использовано только один раз.

Ограничение (2.2) обеспечивает обязательность защиты j-го информационного актива промышленного предприятия на определенном уровне.

Модель максимизации уровня защищенности информационных активов предприятия. Данная модель описывает двойственную задачу по отношению к исходной задаче. В этом случае ограничение на уровень качества ЗИ становится критерием, а критерий исходной задачи — ограничением:

Таким образом, в данной модели требуется максимизировать уровень качества СЗИ при соблюдении следующих ограничений:

где Sдоп — допустимая стоимость системы защиты информации для конкретного предприятия, xij { 0;1.

Выбор оптимальной СЗИ должен основываться только на множестве недоминированных вариантов (в частном случае, на множестве Парето). Причем, увеличение затрат на защиту информации на предприятии должно сопровождаться повышением качества защиты.

Целесообразно совместное использование предлагаемых моделей минимизации затрат на построение инфраструктуры ЗИ и максимизации уровня защищенности информационных активов предприятия.

Так, при ограничении на допустимые затраты на защиту информации может быть достигнуто максимальное значение качества ИЗИ. Однако в некоторых случаях эта задача может иметь не одно, а несколько решений (профилей защиты). Для выбора того решения, из числа найденных решений, которое требует минимальных затрат на защиту, следует, очевидно, решать вторую задачу.

В ней в качестве ограничения должно присутствовать найденное в исходной задаче значение качества ИЗИ.

В концептуальной модели ИЗИ предусмотрено, что наряду с реализацией основных функций защиты, определяемых типовыми требованиями, система должна обладать свойствами, обеспечивающими защиту от основных угроз.

Следовательно, система показателей ИБ должна базироваться на оценке свойств системы защиты, показанных для примера на рис. 2.4. При этом система показателей защиты должна обеспечивать оценку как по частным свойствам, так и комплексную оценку ИБ в целом как показано на рис. 2.5.

Анализ информационной инфраструктуры бизнес-процессов, условий их реализации, а также вероятных угроз ИБ позволяет сформировать систему показателей ИБ бизнес-процессов, представленную на рис. 2.6.

Для учета специфики российских компаний оценку стоимости информационных активов целесообразно проводить затратным методом.

Наряду с количественной оценкой защищенности бизнес-процессов необходимо учитывать ценность самих информационных ресурсов бизнеспроцессов.

Оценка инфраструктурной части промышленного предприятия должна являться составной частью оценки бизнеса в целом. При этом обычно выделяют единовременные и текущие затраты.

системы защиты информации бизнес-процессов предприятия случайных помех в бизнес-процесс вмешательства Рис. 2.5. Взаимосвязь обобщенных показателей защиты информации и комплексного показателя информационной защищенности бизнес-процессов предприятия К единовременным затратам относятся затраты на формирование политики безопасности предприятия: организационные затраты и затраты на приобретение и установку средств защиты. Текущие затраты — это те затраты, которые необходимы к внедрению даже если уровень угроз безопасности достаточно низкий. Как правило, это затраты на поддержание уже достигнутого на предприятии уровня защищенности информационной среды.

Вероятность информации — нарушитель — перехват e-mail; — сбой по систе- — корректировка бизнесиз числа штат- — перехват теле- ме электропита- планов;

ных сотрудни- фонного разгово- ния; — корректировка клиентской — нарушитель — перехват носи- граммного обес- — корректировка договоров;

из числа посто- телей информа- печения; — вмешательство в ценовую Рис. 2.6. Основные показатели информационной безопасности Общие затраты на информационную безопасность предприятия складываются из затрат на предупредительные мероприятия, затрат на контроль и восполнение потерь (внешних и внутренних). С изменением уровня защищенности информационной среды изменяются величины составляющих общих затрат и соответственно их сумма — общие затраты на безопасность. В ряде случаев единовременные затраты на формирование политики ИБ предприятия не включаются в общие затраты на обеспечение информационной безопасности, если такая политика на предприятии уже выработана.

При оценке затрат на систему безопасности на любом предприятии необходимо учитывать процентное соотношение общих затрат на информационную безопасность от общего объема продаж произведенной продукции или оказанных услуг.

Основным показателем экономической эффективности затрат на ИЗИ промышленного предприятия, как любого инвестиционного проекта, является чистая приведенная стоимость NVP в заданный период времени T:

где ift ( R ) — изменение входного денежного потока в t-ый подпериод с учетом проведения мероприятий по защите информации; of t ( R ) — изменение выходного денежного потока с учетом проведения мероприятий по защите информации; KR — внеоборотные и оборотные информационные активы ИЗИ; E — годовая норма прибыли на капитал.

Организация ИЗИ на предприятии влияет на результаты его хозяйственной деятельности и должна отвечать граничным условиям, приведенным в табл.2.1.

Граничные условия эффективности затрат на построение инфраструктуры защиты информации Основные показатели деятельности предприятия Прибыль годовая Стоимость предприятия (доходный подход) Рентабельность В таблице 2.1 приняты следующие обозначения: П(R) — годовой прирост прибыли в результате мероприятий по ЗИ; П(R) — прибыль при условии проведения мероприятий по ЗИ за год; П — прибыль в условиях отсутствия ЗИ (базовый вариант) за год; CR — годовые эксплуатационные затраты на ЗИ; Фпр — стоимость производственных фондов; PVT — прогнозная стоимость в T-ый год (базовый вариант) в условиях отсутствия мероприятий по ЗИ; PVT(R) — прогнозная стоимость с учетом проведения мероприятий по ЗИ; ift — входной денежный поток; oft — выходной денежный поток; ift(R) — изменение входного денежного потока в t-ый год с учетом проведения мероприятий по ЗИ;

oft(R) — изменение выходного денежного потока в t-ый год с учетом проведения мероприятий по ЗИ.

1. Предложена концептуальная модель инфраструктуры системы защиты информации на промышленном предприятии, позволяющая разработать систему математических моделей оценки и оптимизации этой инфраструктуры.

2. Выполнен анализ состава затрат на создание инфраструктуры системы защиты информации промышленного предприятия.

3. Разработана система показателей информационной безопасности бизнеспроцессов предприятия, обеспечивающая оценку инфраструктуры системы защиты информации, как по отдельным ее свойствам, так и в целом.

РАЗРАБОТКА МОДЕЛЕЙ И МЕТОДОВ

ОЦЕНКИ ИНФРАСТРУКТУРЫ СИСТЕМЫ ЗАЩИТЫ

ИНФОРМАЦИИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ

инфраструктуры системы защиты информации Уровень качества формируемой ИЗИ на промышленном предприятии определяется комплексным показателем информационной защищенности, построенным на основе частных показателей информационной защищенности.

В соответствии с концептуальной моделью (2.1) – (2.5) задача формирования ИЗИ на промышленном предприятии может быть сформулирована в двух постановках:

где R — комплексный показатель информационной защищенности; Rтр — показатель информационной защищенности требуемого уровня, S — ресурсы на защиту информации в стоимостном выражении.

Очевидно, что целям создания надежной ИЗИ соответствует постановка (3.1), т.к. она обеспечивает требуемый уровень информационной защищенности бизнес-процессов. При этом предполагается, что выделяемые ресурсы будут, по возможности, минимизированы, но их в любом случае будет достаточно для обеспечения условия R Rmp.

Однако практика показывает, что построение ИЗИ проходит в условиях фиксированного выделения финансовых ресурсов, что в общем случае может и не обеспечить требуемый уровень защищенности. Поэтому задача формирования ИЗИ заданного уровня может быть сформулирована на основе обобщения постановок (3.1), (3.2). В этом случае имеет место поэтапное решение задачи.

В каждом отдельном случае (на каждом конкретном предприятии) стоимость (ценность) информационных активов, а значит и ущерб от реализации информационных угроз, могут различаться по абсолютному значению. Однако это не означает, что относительная ценность информационных активов для каждого отдельного предприятия различна [65–67]. Поэтому комплексный показатель информационной защищенности, физический смысл которого заключается в средневзвешенной вероятности отражения информационных атак, может иметь вполне определенное числовое значение.

Комплексный показатель информационной защищенности в интервалах, установленных методом половинного деления, может быть расчитан на основании данных табл. 3.1.

В соответствии с концептуальной моделью ИЗИ бизнес-процессов на основе свойств СЗИ и системы показателей ИБ разработаны модели оценки и оптимизации ИЗИ бизнес-процессов, взаимосвязь которых показана на рис. 3.1.

Данная совокупность моделей располагается на двух уровнях: на уровне показателей защищенности и на уровне комплексной оценки и оптимизации.

Модели уровня показателей защищенности реализуют оценку частных показателей информационной безопасности.

Модели уровня комплексной оценки и оптимизации предназначены для:

— формирования комплексного показателя защищенности;

— имитации функционирования ИЗИ;

— оптимизации и выбора варианта ИЗИ.

Структура комплекса моделей отражает взаимосвязь и влияние отдельных компонентов ИЗИ в процессе ее создания, оптимизации и выбора окончательного варианта.

В частности, модели уровня показателей защищенности являются первоначальными для процесса создания ИЗИ. Исходные данные для этих моделей, как следует из рис. 3.1, являются исходными данными для имитационной модели, которая наряду с моделью формирования комплексного показателя является центральной на уровне комплексной оценки и оптимизации.

Классификация значений комплексного показателя информационной защищенности предприятия комплексного показателя ин- Характеристика состояния системы формационной информационной безопасности предприятия защищенности Менее 0,50 очень значительны. Фирма за короткий период (до года) Слабая защита теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы Средняя защита Повышенная Ущерб от реализации информационных атак не затрагивает положение фирмы на рынке и не приводит к наСильная защита Раскрытие информации и реализация информационОчень сильная ной атаки принесут ничтожный экономический ущерб 0,99 – 0,9999… Особая защита ущерб фирме минимален или отсутствует Модель оптимизации показателей защищенности Имитационная модель функционирования инфраструктуры защиты информации Модель оценки защищенности от Организация Рис. 3.1. Взаимосвязь а) моделей оценки и оптимизации инфраструктуры защиты информации в б) модели информационной системы предприятия 3.2. Методы оценки информационной защищенности Для оценки информационной защищенности предприятия от несанкционированного доступа (НСД) используется совокупность множеств:

где Н — множество возможных нарушителей; S — множество целей нарушителей; L — множество способов реализации действий нарушителей; Y — множество факторов, характеризующих условия функционирования СЗИ; U — множество вариантов средств защиты; D — множество моделей действия нарушителей.

Математическая модель (ММ) функционирования СЗИ от НСД имеет вид:

где r — показатель защищенности информации от НСД; f — число ММ функционирования средств защиты.

В связи с тем, что задача оценки защищенности от НСД учитывает различные типы нарушителей и возможные варианты их действий, в основу оценки защищенности положены методы прямого вычисления вероятности некоторого события, зависящего от характеристик определяющих его факторов. При этом в качестве показателя защищенности информации используется вероятность подбора разрешенной комбинации санкционирующего пароля за определенный интервал времени, которая зависит от типа нарушителя, его цели и способа действия. Отличительной особенностью метода парирования является учет вариабельности ожидаемых схем действия потенциальных нарушителей как из числа штатных сотрудников предприятия, так и посторонних (внешних) лиц.

Неточность и неполнота исходной информации приводят к необходимости применения на предприятии специальных методов оценки показателя защищенности информации. К такой оценке, в частности, относится вероятность перехвата информации при ее приеме или передаче. Для адекватной действиям злоумышленника оценки защищенности информации от перехвата используется метод, основанный на аппарате нечетких множеств. Важное достоинство класса методов построения нечетких множеств состоит в том, что они не требуют больших затрат времени и средств по сравнению с традиционными методами получения и анализа точных исходных данных, которое, в общем случае, может оказаться и невозможным.

Процесс построения нечеткого множества для аппроксимации показателя защищенности информации от перехвата основывается на количественном представлении входных и выходных показателей модели в форме нечетких множеств, которые задаются на множестве действительных чисел в виде балльной шкалы отношений.

С точки зрения аналитической обработки наиболее удобны простейшие случаи нечетких множеств с кусочно-линейными функциями принадлежности элементов.

Принимая 100-балльную шкалу отношений за основу для измерения значений показателя уровня защищенности информации от перехвата, вводят следующие значения лингвистических переменных, определяющих уровень качества защиты:

— очень низкий уровень качества защиты информации. Этот уровень ниже минимально необходимого в соответствии с требованиями к данному показателю защищенности информации от перехвата;

— низкий (начальный) уровень качества защиты информации, соответствующий минимальным требованиям к показателю защищенности информации от перехвата;

— средний уровень качества защиты информации, характерный для типового на промышленном предприятии значения показателя защищенности информации от перехвата;

— высокий уровень защищенности информации от перехвата, характерный для предприятий с хорошо защищаемой информационной системой;

— очень высокий уровень защищенности информации от перехвата, выходящий за пределы 100-балльной шкалы и отражающий тот факт, что нет предела в совершенствовании структуры системы информационной безопасности на предприятии (математическая абстракция).

Алгоритм нечеткой оценки качества защиты информации от перехвата сводится к получению парных произведений частных показателей качества защиты в виде треугольных нечетких чисел и соответствующих весовых коэффициентов, представленных также в виде треугольных нечетких чисел, с последующим сложением этих парных произведений.

3.3.1. Обоснование целесообразности использования метода нечеткого моделирования для вычисления показателей защищенности информации от перехвата Неточность и неполнота исходной информации приводят к необходимости применения специальных методов оценки показателей защищенности информации. Перспективным направлением для решения этой задачи является использование моделирования на основе аппарата нечетких множеств [68–70].

Важное достоинство класса методов построения нечеткого множества состоит в том, что они не требуют больших затрат времени и средств по сравнению с традиционными методами получение точных значений оценок.

Появление на рынке ряда коммерческих программных средств, ориентированных на решение задач нечеткого моделирования [71, 72], свидетельствует об эффективности применения методов построения нечетких множеств для решения важных практических задач.

В основе методов нечеткого моделирования лежит понятие нечеткого множества (fuzzyset), представляющего собой совокупность элементов произвольной природы, относительно которых нельзя с полной определенностью утверждать — принадлежит ли тот или иной элемент рассматриваемой совокупности данному множеству элементов или нет [71].

Формально нечеткое множество определяется как множество упорядоченных пар или кортежей вида A=< x, µA(x) >, x X, где X — универсальное множество (универсум), содержащее в рамках нечеткого множества элемент х;

µA(x) — функция принадлежности элемента х нечеткому множеству A.

Множество X является носителем нечеткого множества, это обычное (четкое) множество элементов х.

Функция принадлежности (membership function) — математическая функция, определяющая степень или уверенность, с которой элемент множества X принадлежит заданному нечеткому множеству A. Данная функция ставит в соответствие каждому элементу х действительное число из интервала [0, 1]. Чем ближе это число к единице, тем больше степень или уверенность, с которой элемент х принадлежит нечеткому множеству A.

Выбор функции принадлежности является творческой задачей эксперта (группы экспертов). В общем случае вид функции принадлежности может быть выбран произвольным образом. Однако для упрощения расчетов и сокращения объема исходной информации целесообразно использовать те из них, которые допускают аналитическое представление в виде математической функции общего вида.

Выбор типовых функций принадлежности должен быть согласован с возможностями их программной реализации в используемых инструментальных средствах.

Лингвистическая переменная характеризуется наименованием и множеством значений (термов) и определяется соответствующей функцией принадлежности. Примером лингвистической переменной является «Защищенность информации от перехвата», а значениями этой лингвистической переменной могут быть: «Средний уровень защищенности информации от перехвата» с функцией принадлежности µср(x), «Высокий уровень защищенности информации от перехвата» с функцией принадлежности µвыс(x) и т.д.

На практике получили распространение такие типы функций принадлежности как кусочно-линейные Z-образные, S-образные и колоколообразные функции принадлежности.

Процесс получения оценки показателя защищенности информации от перехвата основывается на количественном представлении входных и выходных показателей модели в форме нечетких множеств, которые задаются на множестве действительных чисел в виде балльной шкалы отношений.

Заданные на множестве действительных чисел нечеткие множества называют нечеткими величинами. С точки зрения аналитической обработки, наиболее удобны простейшие частные случаи нечетких величин с кусочнолинейными функциями принадлежности. В зависимости от вида функции принадлежности различают такие нечеткие величины как треугольное нечеткое число и трапециевидный нечеткий интервал.

Входные и выходные нечеткие величины в моделях оценки качества могут быть представлены также кусочно-линейной Z-образной и кусочно-линейной S–образной функциями принадлежности.

Таким образом, треугольное нечеткое число может быть представлено в виде кортежа из трех чисел A = < b,, >, где b — модальное значение треугольного числа, которому соответствует функция принадлежности µ (b) = 1;

и — левый и правый коэффициенты нечеткости треугольного нечеткого числа (а = b – ; с = b + ).

Метод нечеткой оценки качества защищенности информации от перехвата включает в себя три этапа:

1. Фаззификация первичных показателей оценки защищенности информации от перехвата.

2. Вывод итогового показателя оценки защищенности информации от перехвата в виде нечеткого числа.

3. Дефаззификация показателя оценки защищенности информации от перехвата.

Под фаззификацией (fuzzification) понимается процесс получения значений оценок функции принадлежности для термов лингвистических переменных, определяющих первичные показатели защищенности информации от перехвата.

Алгоритм нечеткой оценки качества защиты информации от перехвата сводится к получению парных произведений частных показателей качества в виде треугольных нечетких чисел и соответствующих весовых коэффициентов, представленных также в виде треугольных нечетких чисел, с последующим сложением этих парных произведений.

Оценку качества защищенности информации от перехвата можно представить следующим образом:

где rij — значение обобщенного показателя качества защищенности информации от перехвата; rijk — значение k-го частного показателя качества защищенности в виде треугольного нечеткого числа; kik — весовой коэффициент k-го частного показателя качества защищенности в виде треугольного нечеткого числа; J — множество информационных активов; I — множество средств защиты информации от перехвата; N — множество частных показателей качества защищенности от перехвата.

Таким образом, в алгоритме получения итогового показателя оценки качества защищенности присутствуют операции умножения треугольных нечетких чисел. В результате выполнения этих операций также получается треугольное нечеткое число, рассчитываемое в соответствии со следующими формулами [71].

Пусть b и g два треугольных нечетких числа (например, показатель качества и его весовой коэффициент), заданных параметрически в виде кортежей:

Тогда их парное произведение (b и g) образует новое число:

где параметры a3, 3, 3 определяются следующим образом:

Сложение двух треугольных нечетких чисел:

приводит к появлению треугольного числа:

где параметры a5, 5, 5 определяются следующим образом:

Как было показано ранее, итоговый показатель оценки качества защиты информации, получаемый в результате свертки частных нечетких показателей, представляет собой также нечетное треугольное число.

Для практического использования итогового показателя предусматривается его дефаззификация (defuzzification), предполагающая получение четкой интервальной оценки или единственного количественного значения показателя.

Для целей дефаззификации используется понятие четкого множества (интервала), ближайшего к нечеткому множеству [71]. Характеристическая функция ближайшего четкого множества по отношению к нечеткому множеству определяется следующим выражением:

где µ(x) — функция принадлежности.

Характеристическая функция принимает значение «1» для каждого элемента данного четкого множества и значение «0» для всех остальных элементов, не входящих в данное множество.

Для приведения значения показателя защищенности информации от перехвата к уровню вероятности перехвата, интервальная оценка может быть заменена средним значением четкого интервала (медианой) или должна вводиться с использование дополнительной информации.

Показатель защищенности информации от уничтожения (повреждения) при сбоях зависит от возможностей восстановительных резервов, информационного и программного обеспечения инфраструктуры системы защиты информации предприятия.

В связи с тем, что параметры информационного и программного обеспечения СЗИ являются исходными и зависят от структуры конкретной информационной системы, в основу оценки защищенности от сбоев положены методы прямого аналитического оценивания вероятности события, заключающегося в успешности решения всего объема задач в условиях возможного разрушения (восстановления) ПО и информационных массивов (ИМ) данных.

Выражения для определения вероятности успешного решения всего объема задач за директивное время, для определения величины объема информации, циркулирующей в компьютерной сети при решении задачи каждым абонентом jh, j=1, 2, …, L; k=1, 2, …, K; h=1, 2, …, mj, имеют вид:

где Pjihk ( Plrkf ) — вероятность успешной передачи информации между узлами j(l) и i(r) при решении h-м абонентом j-ым компьютером (размещенном в l-м узле) k-й задачи (к f-му ИМ); Pjihk = Pjihk Pjihk ; Plrkf = Plrkf Plrkf ; Pjihk ( Pirlj ) — вероятности поступления запроса на решение (на доступ к информации) и поступления сообщения, содержащего результаты решений (обращения), h-м абонентом (k–м ИМ) j-м компьютером, размешенном в l-м узле, k-ой задачи (к f-му ИМ) в i-м узле, находящемся в r-м узле, сети соответственно; Pjhkl, Plkfr — вероятность того, что k–й ИМ, хранящийся на l-м компьютере, не будет в процессе обращения к нему h–м абонентом разрушен или же будет успешно восстановлен, и вероятность того, что f-ый ИМ, хранящийся на r-м компьютере, не будет в процессе обращения к нему k-го ИМ, находящегося на l-м компьютере, разрушен или же будет успешно восстановлен; Qjhkl — вероятность того, что k-ый ИМ, хранящийся в l-м узле, будет разрушен к моменту обращения к нему h-гo абонента jго компьютера, Q jhkl = rkl + (1 rkl ) g jhkl ; Qikfr — вероятность того, что f-ый ИМ, хранящийся в r-м узле, будет разрушен к моменту обращения к нему k-гo ИМ, хранящегося на i-м компьютере, Qikfr = rfr + (1 rfr ) g ikfr ; Tijhk (Tlrkf ) — среднее время передачи сообщения из i-го (l-го) узла сети в j-й (r-й) при решении (обращении) h-м абонентом (k-го ИМ) i-го компьютера, размещенного в l-м узле, k-й задачи (к f-му ИМ); jhk =1, если h-й абонент на j-м компьютере имеет право решать k-ю задачу, jhk =0 — в противном случае; gjhkr — число обращений k-го ИМ к r-му ИМ при решении задачи h-м абонентом на i-м компьютере.

Принимая во внимание все составляющие, зависящие от наличия и средств восстановительного резерва, представляется возможным оценить уровень защищенности промышленного предприятия от уничтожения (повреждения) информации при сбоях. При этом вероятность уничтожения (повреждения) информации при сбоях целесообразно ассоциировать с минимальной вероятностью решения задачи, определяемой возможным разрушением ПО, т.е.

ry = min { Pjhk }, jL, hmj, kK.

от несанкционированного вмешательства Несанкционированное вмешательство в бизнес-процесс является угрозой, принципиально отличающейся от угрозы НСД к информации. Угроза вмешательства предполагает наличие нарушителя, обладающего в общем случае всеми правами доступа. Для оценки защищенности от несанкционированного вмешательства целесообразно использовать теорию игр, которая позволяет решать задачу в условиях неопределенной информации о действиях «злоумышленника», что соответствует указанному типу нарушителей. Задача рассматривается как игра двух лиц: проектанта СЗИ (первого игрока) против «природы»

(второго игрока) — фиктивного игрока, стратегия которого нам неизвестна.

Пусть A1 — это игра, в которой первая сторона (СЗИ) выбирает вариант защиты iM, а вторая сторона (система информационного нападения) выбирает, причем одновременно, вариант нападения из jN. Эта ситуация характерна тем, что обеим сторонам известны множества M, N, но им неизвестен конкретный выбор противника i, j. В качестве целевой функции эффективности первой стороной принимается известная обеим сторонам функция защищенности информации в рассматриваемой бизнес–системе.

Пусть также функция защищенности R ( j, i ) определена и ограничена на NM. Число S1 = supinf R ( j, i ) есть наилучший гарантированный исход в A1 для первой стороны (нижнее значение игры A1 ). Аналогично, A2 означает игру, в которой вторая сторона выбирает jN, а затем первая сторона, точно зная исход выбора второй стороны, выбирает iM. Число S2 = inf sup R ( j, i ) есть наилучjN iM ший гарантированный исход для первой стороны в A2 (верхнее значение игры A2 ). Игры A1 и A2 соответствуют двум крайним степеням информированности одной стороны о выборе другой стороны: в A2 имеется точная информация о конкретном выборе, тогда как в A1 известно лишь, что этот выбор осуществлен из множества N. Если практическая реализация величины S1 первой стороной в A1 никак не связана с поведением второй стороны, то для реализации S2 в A необходимо использование точной информации о выборе второй стороны, понимая под реализацией или достижимостью гарантированных исходов их достижимость с точностью до произвольного малого > 0. Если S1 = S2, то функция R ( j, i ) имеет седловую точку на NM. В этом случае для достижения гарантированного исхода S2 нет необходимости в получении какой бы то ни было информации о конкретном выборе второй стороны, и этот исход достижим первой стороной в игре A1.

Реально же стратегиями первой стороны в A1 будут всевозможные функции i(k), определенные на k со значениями в M. По аналогии, наилучший гарантированный исход в A1 для первой стороны есть число:

С известными ограничениями число S может быть ассоциировано с вероятностью защищенности промышленного предприятия от несанкционированного вмешательства в его бизнес–процессы.

информационной защищенности бизнес-процессов Одним из основных законов развития систем ЗИ является взаимосвязь показателей. При изменении одного показателя, даже наиболее важного, его влияние на рост обобщенного показателя постепенно затухает из-за ограничений, создаваемых другими показателями, которые при этом могут оставаться неизменными. Постоянный темп роста обобщенного показателя может достигаться также при одновременном и пропорциональном изменении всех показателей, входящих в систему. Таким образом, если оценивается уровень конкретной ИЗИ с определенными значениями показателей, то каждый из них имеет постоянную весомость. Если в новой ИЗИ, по сравнению с базовой, изменен хотя бы один показатель, то изменяются весомости всех показателей, входящих в иерархию. Из системологии известно, что явление затухания влияния одного частного показателя на обобщенный показатель, обычно характеризуется показательными (экспоненциальными) зависимостями, имеющими участок насыщения.

Целям определения уровня информационной защищенности в наибольшей степени отвечают методы, основанные на получении обобщенной оценки путем агрегирования единичных показателей в обобщенные с помощью коэффициентов весомости. Как показал Гермейер, наиболее распространенной обобщенной оценкой является аддитивная функция свертки вида:

где N — число показателей, находящихся на нижнем уровне иерархии; Ki — коэффициент весомости показателя i-го свойства.

При этом каждое свойство может характеризоваться одним или несколькими единичными показателями.

Задача заключается в том, чтобы выразить в обобщенном показателе определенные количества различных по качеству свойств. Для сравнения различных количеств разнокачественных показателей их необходимо привести к безразмерной шкале, т.е. каждому показателю ai, имеющему размерность и свою шкалу измерения, ставится в соответствие безразмерный показатель ri. Такой переход можно осуществить, если допустить следующее.

При функционировании ИЗИ каждый i–й единичный показатель может оставаться постоянным, принимать ряд дискретных значений или измениться непрерывно:

где m — число дискретных значений, которые показатель принимает в процессе эксплуатации; aimin, aimax — предельные значения показателя, определяемые техническими условиями (физическими возможностями); aij — j-е значение i-го показателя.

В диапазоне [aimin, aimax] каждому j-му значению i-го показателя соответствует вероятность того, что это значение реализуется в процессе функционирования ИЗИ. Эта вероятность описывается функцией плотности распределения вероятностей i(aij).

В общей случае диапазон изменения i-го показателя в ИЗИ может быть меньше, чем диапазон [aimin, aimax]: aiн > aimin, aiв < aimax, где aiн, aiв — предельные (нижнее и верхнее) значения показателей i-го свойства в реальной ИЗИ.

Тогда безразмерный показатель ri, выражающий соотношение достигнутого значения к необходимому, определится из выражения:

Очевидно, что диапазон измерения безразмерного показателя: 0 ri 1.

В случае равномерного распределения, способы перехода к безразмерным показателям примут вид:

Далее необходимо определить коэффициенты весомости Ki. При этом следует считать, что коэффициент весомости любого i–го показателя отражает относительную весомость (важность) одной единицы ri по отношению к другим безразмерным показателям, находящимся на одном уровне иерархии. Произведение под знаком суммы обобщенного показателя показывает количественный вклад каждого свойства в комплексное свойство. Любое свойство ИЗИ становится исполнимым, будучи выраженным в каком-либо числовом показателе.

Следовательно, весомость, характеризующая важность i–го свойства по отношению к совокупности других свойств, зависит от показателей этих свойств, т.е. Ki = F(r1, r2, …, rN).

Естественно, что для конкретной ИЗИ произведение Ki ri есть величина постоянная. Сомножители произведения Ki ri могут принимать любые значения в зависимости от выбора системы координат, но такие, что при любых преобразованиях где jk — номер системы координат или номер преобразования.

Выражение (3.3) иллюстрирует инвариантность количественной оценки свойства Ki ri относительно преобразований.

Если рассматривать (3.3) с позиций инвариантности, вклад каждого из двух свойств, входящих в комплексное свойство более высокого уровня иерархии, то очевидно, что этот вклад в общем случае будет различен. Неравноценность вклада R также инвариантна относительно уравнений преобразования:

Если рассматривать более общий случай, то условию непрерывности внутри диапазона изменения безразмерных показателей к условию независимости показателей отвечают не все системы. В этом случае инвариантность не существует, а, следовательно, применение аддитивной формы обобщенного показателя неправомерно.

Если обобщенный показатель определяется тремя, четырьмя и большим числом показателей, то составляется система из шести, восьми и т.д. уравнений, решение которой для любого ri 0 имеет вид:

где Nk — число безразмерных показателей, составляющих обобщенный показатель; р — переменный показатель степени.

Тогда обобщенный показатель определяется из выражения:

где R — обобщенный показатель, отнесенный к весомости К0.

Коэффициент 1/Nk введен в (3.4) для того, чтобы независимо от числа Nk значение обобщенного показателя было в пределах [0, 1].

Отличительной чертой метода комплексной оценки информационной защищенности бизнес-процессов предприятия является то, что коэффициенты весомости не рассматриваются как постоянные величины. Действительно, чем труднее обеспечить заданное значение показателя, тем важнее его роль, т.е. чем ближе показатель к своему предельному значению, тем меньше его весомость.

показателей информационной защищенности Комплексный показатель информационной защищенности заданного уровня строится на основе агрегирования оптимизируемых частных показателей.

Приступая к решению оптимизационной задачи необходимо, прежде всего, решить вопрос, какие частные показатели защищенности от потенциальных угроз должны быть улучшены и как эти изменения в целом повлияют на уровень ИБ бизнес-процессов предприятия. Для этого необходимо исследовать функцию многих переменных, чтобы определить, как изменение одного из аргументов ri влияет на функцию агрегирования и определить такое свойство, показатель которого при изменении его на некоторую величину дает наибольший прирост функции защищенности R0.

Такая задача относится к классу задач оптимизации проектноконструкторских решений. Для ее разрешения удобно использовать метод наискорейшего градиентного подъема. При этом градиент функции защищенности определяется из выражения:

В общем случае для определения величины составляется матрица:

норма которой определяется выражением:

Величина при этом выбирается исходя из условия 1/L. Однако в слуR чае линейности функции R0 ( r1, r2,..., rn ) очевидно, что = 0.

Поэтому для нахождения целесообразно воспользоваться следующим уравнением:

решением которого является значение, обеспечивающее нахождение максимума R0.

Следует отметить, что важно не конечное значение комплексного показателя (так как оно может быть задано изначально), а динамика его изменения и последовательность показателей, оказывающих наибольшее влияние на изменение комплексного показателя при отыскании градиента в каждой точке функции R0 ( r1, r2,..., rn ). Последовательными приращениями частных показателей можно регулировать скорость сходимости результирующего показателя, т.е. динамика изменения градиента функции комплексного показателя отражает путь совершенствования и последовательность улучшения свойств СЗИ. Математический алгоритм выбора пути оптимизации инфраструктуры защиты информации на основе исследования градиента функции комплексного показателя имеет следующий вид:

1. Исходя из иерархии свойств СЗИ, устанавливается вид функции R0 ( r1, r2,..., rn ).

2. Задается предел изменения аргументов и шаг изменения, общий для всех частных показателей:

где r0,i — значение i-го безразмерного показателя; rimax — наибольшее возможное значение i-гo безразмерного показателя.

3. Вычисляются значения функции в точках с координатами 4. Определяется n новых значений комплексного показателя при условии, что каждому из аргументов дается приращение :

где R'0,i — значение комплексного показателя при изменении i-го аргумента на величину.

5. Проверяется условие ri+ rimax. Если условие не соблюдается, то необходимо принимать ri+ + rimax.

6. Определяется приращение функции R'0,i при изменении каждого i–го показателя на величину :

7. Приращения функции ранжируются. Каждому ri ставится в соответствие приращение R'0,i:

8. Определяется максимальное приращение max{R'0,i}.

9. Для всех i=1, 2,..., n вычисления по пунктам 4–8 повторяются n раз, до тех пор, пока R'0,i = R'0,imax при всех ri = rimax.

Указанная процедура соответствует процессу оптимизации целевой функции создания СЗИ. В результате исследования частных приращений функции защищенности и ранжирования показателей по наибольшему приросту определяется порядок их оптимизации. Пример итерационного процесса оптимизации инфраструктуры системы защиты информации показан на рис. 3.2, а.

Инфраструктура СЗИ ориентирована на функции, выполняемые предприятием. Поэтому первичной согласно процессному подходу к управлению является модель бизнес-процессов, построение которой осуществляется в модуле BPM (см. рис. 3.2, б). В процессе анализа и спецификации бизнес-функций выявляются основные информационные объекты, подлежащие защите, которые документируются как структуры данных, связанные с циркулирующими на предприятии информационными потоками.

Исходной информацией для создания структур данных являются используемые в организации документы: должностные инструкции, описания производственных операций (технологические процессы, конструкторская документация) и видов продукции, финансовая отчетность, планы поставок и др. Эти данные структурируются в том виде, в котором они существуют в практической деятельности предприятия. Нормализация и удаление избыточности данных производится при построении концептуальной модели данных в CDM. После создания такой модели бизнес-процессов предприятия информация сохраняется в репозитории проектов.

Отобразить на новую Модель представления Модель специфиADM взаимодействия IPM взаимодействия ISM BPM (Business Process Model) — модель бизнес-процессов;

PDS (Primary Data Structure) — структура первичных данных;

CDM (Conceptual Data Model) — концептуальная модель данных;

SPM (System Process Model) — модель процессов системы защиты информации;

ISA (Information System Architecture) — архитектура информационной системы;

ADM (Application Data Model) — модель данных приложения;

IPM (Interface Presentation Model) — модель представления интерфейса взаимодействия;

ISM (Interface Specification Model) — модель спецификации интерфейса взаимодействия.

Рис. 3.2. Пример последовательной оптимизации показателей информационной защищенности предприятия а) В процессе анализа деятельности предприятия выявляются и документируются структуры первичных данных PDS. Эти структуры заносятся в репозиторий модуля BPM при описании циркулирующих в организации документов.

Очевидно, что в модели бизнес-процессов первичные структуры данных связаны с потоками передачи и средствами хранения информации.

На основе структур первичных данных создается концептуальная модель данных CDM. От структур первичных данных концептуальная модель отличается удалением избыточности, стандартизацией наименований понятий и нормализацией. Эти операции выполняются при помощи экспертной информации.

Цель построения концептуальной модели данных — описать используемую на предприятии информацию на уровне, достаточном для ее представления в корпоративной базе данных в структурированном нормализованном виде.

На основе модели бизнес-процессов и концептуальной модели данных разрабатывается архитектура ИС по защите информации ISA. Определяются входящие в систему приложения (модели защиты) ADM. Для каждого приложения специфицируются используемые данные и реализуемые функции (виды защиты). Основное содержание модели ISA — структурные компоненты СЗИ и средства взаимодействия между ними. Концептуальная модель данных рассматривается как метамодель, состоящая из автономных моделей, соответствующих различным видам реализуемых на предприятии методов защиты.

При разработке СЗИ должна быть сконструирована структура корпоративной базы данных (в частности, на основе реляционной модели представления информации). Концептуальная модель данных после нормализации используется для реляционного конструирования (см. рис. 3.2, а). После преобразования форматов представления данных формируется модель реляционной базы данных, используемая на предприятии. Эта модель детализируется способом физической реализации (типом данных СУБД, типом ключей, индексов, ограничений ссылочной целостности и т.д.). Правила обработки данных определяются как непосредственно на языке программирования СУБД, так и в декларативной форме, не привязанной к физической реализации (используются инфологические и датологические модели представления данных). Средства интеграции реляционных СУБД переводят декларативные правила описания СУБД на требуемый язык программирования системы, что способствует унификации представления информации на предприятии и типизации процедур ее защиты.

С помощью модели системных бизнес-процессов документируется поведение каждого механизма защиты информации на предприятии. В модуле SPM создается модель системных процессов, определяющая, каким образом на предприятии реализуются бизнес-процессы. Эта модель создается отдельно для каждого механизма защиты и базируется на способе представления (хранения, использования) данных в ней.

Инфраструктура защиты информации реализуется посредством анализа интерфейсных объектов (экранных форм, отчетов, процедур обработки данных) и принятия соответствующих решений по обеспечению ИБ. Каждый интерфейс системы защиты информации взаимодействует со своим информационным подмножеством базы данных. Для этого в модели данных предусматривается своя подсистема обработки данных для каждого вида интерфейса взаимодействия «злоумышленник–система защиты». Уточняются также правила обработки данных, специфичные для каждого интерфейса взаимодействия. Система обработки интерфейсного обмена оперирует с данными в ненормализованном виде, поэтому спецификация данных оформляется как отдельная подсистема ISM модели данных интерфейса.

Модель представления интерфейса IPM — это описание интерфейса информационного взаимодействия в том виде, в котором он доступен пользователям (зарегистрированным и злоумышленникам). В большинстве практических приложений это документ, отображаемый на экране средств вычислительной техники (бухгалтерская отчетность, договора, техническая документация и т.д.) или хранимый на жестком диске ПК.

После создания всех подсистем реляционной модели для механизмов защиты информации на предприятии проектируется детальная структура каждого конкретного способа защиты и общий механизм интеграции различных средств защиты в единую инфраструктуру системы защиты информации на промышленном предприятии.

3.8. Модель выбора варианта инфраструктуры Комплексный показатель качества СЗИ позволяет количественно оценить систему в целом [73]. Однако при сравнении различных вариантов СЗИ на стадиях создания системы имеется возможность их сравнения по всей совокупности частных показателей.

Алгоритм сравнения вариантов представляет собой ряд последовательных этапов, обеспечивающих отбор подмножества недоминируемых вариантов и выявление лучшего. Исходными данными при этом является матрица:

где rij — значение j-гo показателя i-го варианта; n — количество вариантов СЗИ;

m — количество частных показателей.

Очевидно, что веса показателей должны быть приведены к относительным значениям по формулам:

если рост показателя повышает качество СЗИ и если рост показателя снижает качество СЗИ.

Окончательно исходная матрица входных параметров будет иметь вид:

Для определения весовых коэффициентов частных показателей целесообразно воспользоваться энтропийными преобразованиями. Уровень энтропии каждого показателя определяется по формуле:

Следовательно, уровень изменчивости каждого показателя составит:

d j = 1 H j, j = 1, 2,..., n. Вес каждого показателя также можно оценить по формуле:

Таким образом, для построения матрицы решений необходимо каждый столбец исходной матрицы умножить на соответствующий весовой коэффициент. С учетом этого матрица решений примет вид:

Используя данную матрицу для каждой пары вариантов ak и al (k=1, 2, …, m; lk) вычисляется множество согласия: X lk = { j | xkj > xij }.

Множество X lk состоит из индексов тех показателей, по которым k-й вариант оказывается не хуже, чем вариант l. Поэтому множество несогласия состоит из индексов тех показателей, по которым l-й вариант превосходит k-й, т.е.

Ylk={1, 2, …, n} – Xkl.

Для построения матрицы согласия необходимо найти индексы согласия.

Индекс согласия для каждой пары вариантов вычисляется следующим образом:

Индекс согласия отражает важность (предпочтительность) варианта аk по отношению к варианту аl. Из найденных индексов согласия образуется матрица согласия S размерности mm.

Если матрица согласия определена на основе величин весомости частных показателей, то матрица несогласия формируется на основе значений показателей несогласия. Индекс несогласия рассчитывается для каждой пары вариантов аk и аl по формуле:

Из индексов несогласия составляется матрица несогласия H размерности mm. Тогда доминирующая матрица согласия будет иметь вид:

Элементы матрицы Z отражают факт доминирования одного варианта над другим. Доминирующая матрица несогласия строится аналогично матрице Z :

В завершении алгоритма определяется алгебраическая матрица доминирования как произведение доминирующих матриц согласия Z и несогласия Z, т.е. DA = Z Z. Чтобы удалить варианты, которые доминируются другими вариантами, нужно изъять те, для которых в соответствующих им столбцах матрицы DA имеется хотя бы одна единица.

1. Проведен анализ формирования ИЗИ.

2. Разработана система математических моделей оценки и оптимизации инфраструктуры системы защиты информации, включающая:

— модель оценки информационной защищенности от несанкционированного доступа к информации;

— модель оценки информационной защищенности от перехвата при передаче информации;

— модель оценки информационной защищенности информации от случайных помех и сбоев;

— модель оценки информационной защищенности от вмешательства в бизнес-процесс;

— модель формирования комплексного показателя информационной защищенности;

— модель оптимизации показателей информационной защищенности;

— модель выбора варианта инфраструктуры системы защиты информации.

3. Разработан метод построения нечеткого множества показателей для вычисления показателей информационной защищенности от перехвата.

4. Разработан алгоритм оценки качества защищенности информации от перехвата.

5. Разработаны методы оценки информационной защищенности от сбоев.

6. Разработан метод оценки информационной защищенности от несанкционированного вмешательства.

7. Разработан метод комплексной оценки информационной защищенности бизнес-процессов.

8. Разработана модель выбора оптимизируемых показателей информационной защищенности.

9. Разработана модель выбора варианта инфраструктуры системы защиты информации бизнес-процессов предприятия.

РАЗРАБОТКА ИМИТАЦИОННОЙ МОДЕЛИ

ДЛЯ КОМПЛЕКСНОЙ ОЦЕНКИ СРЕДСТВ

ЗАЩИТЫ ИНФОРМАЦИИ БИЗНЕС-ПРОЦЕССОВ

НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ

4.1. Основные свойства имитационной модели Для комплексной оценки предлагаемых мер и средств защиты информации бизнес-процессов на предварительном этапе проектирования СЗИ предприятия используются имитационные модели. Модели реализуют имитацию атак на информационную инфраструктуру бизнес-процессов в соответствии с обобщенной концептуальной моделью (см. рис. 4.1). Имитационная модель является структурным элементом схемы взаимосвязей показателей защищенности.

Попытки возможных атак имитируются в виде дискретно поступающих транзактов, целью которых является захват некоторого информационного ресурса. Такими ресурсами могут быть бухгалтерские, коммерческие, финансовые элементы информации, документы планирования, а также информация, циркулирующая в сети организации.

Совокупность поступающих транзактов создает входные потоки попыток атак на объекты защиты. При этом существенными свойствами потоков являются:

— тип источника атаки;

— время поступления транзактов-атак, подчиняющееся какому-либо закону распределения;

— максимально возможное число атак;

— время поступления первого транзакта-атаки;

— число одновременно поступающих транзактов-атак.

Основные ограничения и допущения при создании модели СЗИ:

— предполагается, что возможны все описанные в концептуальной модели типы угроз (несанкционированный доступ к информации, перехват информации при ее передаче (получении), уничтожение (повреждение) информации в результате различных видов сбоев в информационной инфраструктуре, несанкционированное вмешательство в бизнес-процесс);

— каждая атака может иметь целью получение (модификацию) любого информационного ресурса или их комбинации;

— потоки транзактов-атак являются пуассоновскими;

— время захвата информационного ресурса является случайной величиной;

— величина возможного ущерба в случае доступа злоумышленника на определенное время к конкретному информационному ресурсу фиксируется заданной константой.

Рис. 4.1. Схема имитации функционирования инфраструктуры системы защиты информации бизнес-процессов предприятия Имитационная модель, представленная на рис. 4.1, реализована в системе Arena 8.0 Professional и структурно состоит из блока имитации субъектов защиты, имитирующего нагрузку атак, блока имитации мер и средств защиты, имитирующего функционирование этих средств, и блока имитации объектов защиты, имитирующего доступ к информационным ресурсам в случае преодоления мер и средств защиты.

При этом блок имитации мер и средств защиты реализован в виде следующих модулей:

— защиты от НСД к информации;

— защиты от перехвата информации;

— защиты от сбоев;

— защиты от вмешательства в бизнес-процесс.

Модуль защиты от НСД к информации. Данный модуль реализует имитацию действий нарушителей различных категорий, а также функционирование средств защиты информации от НСД. «Выходным» процессом модуля является поток удачных попыток НСД, который направляется к информационным ресурсам бизнес-процесса предприятия.

Модуль имитации защиты от перехвата информации. Основу модуля составляет моделирование различного вида трафиков в сети предприятия. Модуль имитации защиты от перехвата информации устроен следующим образом.

Входной информационный поток атак задается генераторами заявок. Генератор, начиная с заданного момента времена, вырабатывает некоторое количество кадров с интервалом в единицу времени, которые поступают в очередь.

В дальнейшем имитируется процесс профилирования входящего в коммутатор трафика. Поступающие в очередь кадры обрабатываются в порядке абсолютного приоритета. Селектор дешифрирует кадры в соответствии со значениями ASCII кодов.

Кадры от генератора поступают на схему обработки высокоприоритетных кадров, обслуживаемых в соответствии с дисциплиной доступа к FIFO.

Кадры, порожденные генераторами, поступают на входы схемы взвешенных очередей. Каждая взвешенная очередь состоит из блока-очереди, регулятора времени и селектора.

Взвешенные очереди могут функционировать только тогда, когда в очереди отсутствуют приоритетные кадры.

Обработка кадров во взвешенной очереди организована с использованием того же самого ресурса, что и для приоритетных кадров. Однако занятие этого ресурса конкретным кадром определяется состоянием взвешенных очередей:

первым на обработку поступит кадр из наибольшей по заполнению очереди.

Таким образом, происходит дифференциация информации, поступающей в сеть (голос, рисунок, текст), что учитывается при расчете вероятности перехвата. Удачная попытка перехвата транслируется в информационную инфраструктуру бизнес-процесса предприятия.

Модуль защиты от сбоев. Модуль оценивает возможность прохождения транзакта-сбоя в блок объектов защиты. При этом учитываются возможности восстановительных резервов имитационной модели с учетом вероятности возникновения того или иного типа сбоя. В случае прохождения сбоя все доступнее информационные ресурсы «захватываются» транзактом-сбоем на время, необходимое для восстановления работоспособности системы.

Модуль защиты от вмешательства в бизнес-процесс. Этот модуль отслеживает игровую ситуацию, при которой игрок-злоумышленник пытается превысить свои полномочия (полномочия своей роли) в бизнес-процессе путем доступа к соответствующим информационным ресурсам. При этом другой игрок, отождествляемый с эквивалентными организационными мерами защиты, в плановом порядке контролирует выполнение принятого на предприятии протокола доступа к информации.

Транзакты-атаки, претендующие на объекты защиты, «захватывают» соответствующие информационные ресурсы на время, необходимое для совершения желаемых действий с этими ресурсами. Это же время является аргументом функции вычисления риска, который может быть нанесен при удачном осуществлении атаки. Таким образом, суммарный (совокупный) риск вычисляется как сумма частных рисков по всем атакованным информационным ресурсам.

4.3. Синтез инфраструктуры системы защиты информации промышленного предприятия Как показывает опыт практической работы [74], для эффективной защиты автоматизированных систем (АС) предприятия, в том числе систем защиты информации, необходимо решить ряд организационных задач:

— создать специальное подразделение, обеспечивающее разработку правил эксплуатации АС, реализующее полномочия пользователей по доступу к ресурсам этой системы, осуществляющее административную поддержку технических средств защиты информации (правильную настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событии безопасности и т п.);

— разработать технологию обеспечения информационной безопасности, предусматривающую порядок взаимодействия подразделений организации по вопросам обеспечения безопасности при эксплуатации АС и модернизации ее программных и аппаратных средств;

— внедрить данную технологию путем разработки и утверждения необходимых нормативно-методических и организационно-распорядительных документов (концепций, положений, инструкций и т.п.).

Применение дополнительных средств защиты информации затрагивает интересы многих структурных подразделений организации. Не столько даже тех, в которых работают конечные пользователи АС, сколько подразделений, отвечающих за разработку, внедрение и сопровождение прикладных задач, за обслуживание и эксплуатацию средств вычислительной техники. Поэтому разрабатываемая технология обеспечения информационной безопасности предприятия должна обеспечивать:

— дифференцированный подход к защите различных автоматизированных рабочих мест (АРМ) и подсистем (уровень защищенности должен определяться с позиций разумной достаточности с учетом важности обрабатываемой информации и решаемых задач);

— унификацию вариантов применения средств защиты информации на АРМ с типизированными требованиями к уровню защиты;

— реализацию разрешительной системы доступа к ресурсам АС;

— минимизацию, формализацию (в идеале автоматизацию) и согласованность действий различных подразделений предприятия по реализации требований существующих положений и инструкций;

— учет динамики развития АС, регламентацию не только стационарного процесса эксплуатации защищенных подсистем, но и процессов их модернизации, связанных с многочисленными изменениями аппаратно-программной конфигурации АРМ;

— минимизацию необходимого числа специалистов отдела защиты информации.

Для внедрения технологии обеспечения информационной безопасности корпоративных бизнес-процессов необходимо разработать:

— концепцию обеспечения информационной безопасности. Данный документ определяет общую систему взглядов в организации на проблему защиты информации в АС и пути решения этой проблемы с учетом накопленного опыта и современных тенденций ее развития;

— положение о категорировании. Данный документ определяет порядок категорирования защищаемых ресурсов и требования по защите ресурсов различных категорий;

— план защиты АС. Данный документ определяет комплекс конкретных организационно-технических мер по защите информации, а также незаконного вмешательства в процесс функционирования конкретной АС. План защиты включает описание технологии обработки данных в защищаемой подсистеме, анализ угроз и оценку риска нанесения ущерба, правила эксплуатации системы, необходимый набор инструкций должностным лицам (инструкция пользователю АС, инструкция администратору безопасности АС и т.д.), определяет порядок взаимодействия подразделений и должностных лиц при внесении изменений в списки пользователей и программно-аппаратную конфигурацию АРМ, а также определяет распределение обязанностей и порядок составления, ведения и использования формуляров защищаемых ресурсов (информации, АРМ, задач и программных средств) в процессе развития АС [75].

Для решения указанных задач необходимо определить информационную инфраструктуру системы зашиты, т.е. осуществить синтез данной системы, основываясь на общей инфраструктуре бизнес-процессов. Для примера реализации методологи защиты информации рассмотрена отечественная фирма (далее предприятие), специализирующая на поставке продуктов питания, пищевых добавок и оборудования для пищевой промышленности.

В результате анализа деятельности предприятия были выявлены шесть базовых технологий работы и четыре общих, а также выделены четыре перспективных технологии работы.

К базовым технологиям относятся:

— поставка оборудования;

— поставка пищевых добавок и продуктов питания импортного производства;

— поставка и внедрение упаковки;

— гарантийное и техническое обслуживание оборудования;

— выдача лицензий;

— разработка технических условий.

Общие технологии — это функциональные модули, описывающие законченный процесс, который повторятся не менее чем в двух базовых технологиях и существует только совместно с ними.

Общие технологии, являющиеся неотъемлемыми частями базовых, включают:

— консультирование;

— растаможивание/затаможивание товаров;

— рекламу и маркетинг;

— сертификацию.

Текущий этап развития информационной системы предприятия предусматривает автоматизацию консультирования, сертификации, а также рекламы и маркетинга.

Базовые технологии работы включают не менее одной общей технологии.

Технологии работы определяются характером деятельности предприятия и существуют независимо от ее организационно-штатной структуры. Каждая технология работы состоит из последовательно и параллельно выполняющихся функций, которые могут различным образом конфигурироваться под конкретного исполнителя и любое должностное лицо посредством механизма полномочий. Полномочия регулируют доступ пользователей к прикладным задачам, к информации БД и к обобщенным данным, характеризующим состояние процессов деятельности предприятия.

Прикладная задача представляет собой программный модуль, поддерживающий некий логически законченный процесс, направленный на учет данных и облегчение выполнения пользователями их обязанностей в рамках технологии работы.

Любая технология работы предприятия включает несколько прикладных задач, логически увязанных между собой путем использования в каждой следующей прикладной задаче результатов задач предыдущих, хранящихся в корпоративной базе данных.

В качестве примера прикладных задач по базовой технологии поставки оборудования можно выделить:

— учет клиентов предприятия (поддержание справочника клиентов в актуальном состоянии);

— учет оборудования и его спецификации (поддержание справочника оборудования в актуальном состоянии);

— подготовка прайс-листов на оборудование;

— учет заявок на закупку оборудования;

— подготовка коммерческих предложений;

— поддержка процесса согласования с клиентом предмета сделки;

— формирование, учет и контроль исполнения бизнес-плана на поставку оборудования;

— формирование, учет и контроль схемы оплаты за оборудование;

— формирование схемы технологических линий (перечень требуемого оборудования);

— формирование, учет и контроль состояний договоров (приложений) на поставку, производство, сертификацию, доставку и страхование оборудования;

— обеспечение расчетов с клиентами предприятия;

— учет информации и документов по этапам поставки оборудования (заказ оборудования, производство, сертификация, страхование, доставка, монтаж, наладка, сдача в эксплуатацию и обучение персонала заказчика выпуску на нем продукции);

— учет платежей клиентов компании;

— поддержка процесса гарантийного обслуживания;

— подготовка материалов, поддерживающих процесс обучения;

— поддержка документооборота между АРМ должностных лиц.

Информационная система предприятия представляет собой разветвленную сеть, объединяющую локальные и удаленные рабочие места пользователей. Основными элементами ИС являются:

— локальная вычислительная сеть (ЛВС) центрального офиса предприятия;

— ЛВС филиала;

— интегрированная база данных.

ЛВС центрального офиса предприятия и филиала реализуется на основе архитектуры «клиент-сервер», объединяющей автоматизированные рабочие места сотрудников служб и подразделений.

Группы АРМ выделяются по функциональному признаку, с учетом выполнения выделенных базовых, общих и перспективных бизнес-процессов, перспективной организационной структуры предприятия, и ориентируются на дерево функций перспективной деятельности предприятия.

Состав АРМ ИС предприятия имеет следующий вид:

— АРМ руководителя:

— АРМ заместителей директора (начальников служб);

— АРМ коммерческой службы:

— АРМ отдела продуктов питания;

— АРМ группы ВЭС и растаможивания;

— АРМ технической службы:

— АРМ группы рекламы и маркетинга;

— АРМ финансовой службы:

— АРМ экономического отдела;

— АРМ службы обеспечения:

— АРМ специалиста по работе с персоналом;

— АРМ отдела информатизации;

— АРМ службы логистики:

— АРМ службы производства:

— АРМ службы технического обслуживания;

— АРМ производственного отдела;

— АРМ группы качества продукции.

В процессе выполненного объединения информационных потоков входящих и исходящих документов сформированы четыре типовые группы документов:

— договорные документы;

— первичные бухгалтерские документы;

— документы поддержки бизнес-процессов;

— отчетные документы.

Каждая группа документов в зависимости от технологии работы предприятия характеризуется уникальным, присущим только ей, перечнем документов.

Например, для технологии поставки оборудования входящими и исходящими документами будут следующие:

— договорные документы;

— первичные бухгалтерские документы;

— документы поддержки бизнес-процессов.

Процедуры документооборота предназначены для автоматизации процессов разработки, согласования и исполнений документов между службами и должностными лицами предприятия. Каждая процедура документооборота определяет схему взаимодействия АРМ по каждой группе входящих и исходящих документов, а также этапность и направленность действий исполнителей и должностных лиц.

4.4. Автоматизированная система мониторинга и пути совершенствования инфраструктуры защиты информации промышленного предприятия Мониторинг инфраструктуры системы защиты информации бизнеспроцессов представляет собой комплекс мер и мероприятий (организационных, технических и правовых), направленных на проведение наблюдений, оценки и прогноза изменений в информационной инфраструктуре и ее компонентах.

Необходимость использования мониторинга определяется тем, что стандартные средства и механизмы защиты информации недостаточны, так как они обеспечивают только базовые функции, не позволяя контролировать их выполнение и работоспособность информационной системы в целом. Так, практически во всех информационных системах, как минимум, необходимо отслеживать попытки регистрации в системе, ошибки в ПО, факты доступа к ресурсам, нештатные ситуации, снижение уровня защищенности и многое другое.

Мониторинг предназначен для выполнения функций контроля функционирования информационных систем, систем передачи данных, средств и механизмов защиты. Эффективность мониторинга зависит от правильной его организации. Предварительное изучение, оперативный контроль, анализ и обеспечение механизмов реагирования позволяет не только выявить факт компьютерной атаки или нарушения работоспособности, но и сформировать комплекс мер и мероприятий по предупреждению, локализации и устранению последствий.

Основной задачей системы мониторинга является контроль правильной реализации политики безопасности, а также формирование параметров и оценка состояния информационной безопасности бизнес-процессов.

Понятие мониторинг включает в себя следующие базовые принципы:

— наблюдение за факторами воздействия и состоянием информационных систем;

— оценку фактического состояния ИС;

— прогноз состояния ИС и оценку прогнозируемого состояния;

— обеспечение реагирования.

Система мониторинга включает в себя следующий комплекс мероприятий:

— выбор технических средств и методов анализа;

— методы сбора, регистрации и протоколирования;

— реагирование;

— представление и распространение информации.

Для обеспечения мониторинга используются как технические (технологические), так и организационные и правовые методы. К техническим методам относятся:

— анализ защищенности;

— обнаружение несанкционированной активности;

— контроль информационных потоков;

— протоколирование и регистрация.

Организационные мероприятия по обеспечению мониторинга безопасности включают:

— создание и эксплуатацию системы обеспечения реагирования и восстановления, обеспечивающей ограничение масштабов ущерба информационной инфраструктуре на объектах повышенного риска (потенциально-опасных объектах) и жизнеобеспечения населения;

— создание и эксплуатацию системы обмена информацией о фактах и методах, компьютерных нападений и несанкционированных вторжений в СЗИ;

— разработку требований (профилей) по безопасности информации, учитывающих особенности функционирования информационных систем на объектах;

— разработку программы сотрудничества с международными профильными центрами (CIAC, CERT, FIRST и другие) в части обмена информацией о фактах и методах компьютерных нападений и несанкционированных вторжений в СЗИ.

При этом должно быть обеспечено взаимодействие между экспертами, работающими в области информационной безопасности, организована подготовка и аттестация специалистов, разработан комплекс методического обеспечения.

Координирующую роль при организации системы мониторинга должны выполнять центры компетенции, специализированные структуры, организованные в единую систему. В систему центров компетенции должны входить:

— центры компетенции, организованные по отраслевым, либо технологическим признакам;

— система взаимодействия по вопросам реагирования на инциденты компьютерной безопасности, нормативной и руководящей деятельности;

— система взаимодействия с профильными организациями и ведомствами;

— нормативно-руководящая и консультационная деятельность;

— научная и образовательная деятельность.

При создании центра компетенции в его составе должны быть предусмотрены следующие направления:

— тестирования технических средств;

— реагирования на инциденты компьютерной безопасности;

— сертификации и аттестации по отраслевым нормативным документам;

— лицензирования;

— экспертирования.

В России на проблемы обеспечения мониторинга информационной безопасности начали обращать внимание только в последнее время, однако за рубежом уже накоплен определенный практический опыт. При этом работы в данном направлении ведутся как общественными, так и государственными организациями (например, Computer Incident Advisory Capability, U.S., Department of Energy (CIAC), Forum of Incident Response and Security Team (FIRST), Computer Emergency Response Team (CERT) Coordination Center), а также коммерческими организациями.

В качестве основных требований к системам, обеспечивающим мониторинг информационной безопасности предприятий, могут быть выдвинуты следующие:

— полнота обнаружения атак;

— высокая производительность и масштабируемость СЗИ;

— минимум вероятности ложных тревог;

— умение объяснять причину «тревоги»;

— интеграция с системой управления и другими сервисами безопасности;

— наличие технической возможности удаленного мониторинга информационной системы.

Полнота обнаружения атак представляет собой очевидное требование.

Требование высокой производительности обусловлено желанием и необходимостью обеспечения условий, при которых система мониторинга сама не порождала бы отказ в обслуживании при возрастании потока событий безопасности, вызванного, в том числе, и увеличением объема (масштабируемость) контролируемых программно-аппаратных средств. Высокая производительность компьютеров и пропускная способность современных каналов связи даже при достаточно малой интенсивности ложных тревог, например 10-7, приводит к тому, что администратор безопасности должен реагировать на десятки атак в течение часа. Собственно эти условия порождают требование необходимости объяснения причин атаки, как средства, помогающего администратору отличить «ложную тревогу» от реальной атаки. При реализации функций управления и сервисов безопасности необходимо избежать дублирования собираемых данных и производимых над ними предварительных операций обработки, например, очистки данных, вычисления средних значений, что требует интеграции этих компонентов.

В системах мониторинга информационной безопасности используются две основные стратегии (направления) сбора данных:

— сбор данных о поведении аппаратно-программных средств;

— сбор данных о поведении приложений и пользователей.

В случае использования первой стратегии собираются данные, вырабатываемые компонентами СЗИ, такие как значения полей передаваемых пакетов, количество пакетов разных протоколов, последовательности системных вызовов, интенсивности обращений к системным вызовам, поля записей в базах данных, поля в принятых пакетах, векторы прерываний и так далее. При этом из пакетов может выделяться содержимое разных сетевых уровней, производиться дефрагментация пакетов для получения возможности анализа их полного содержимого и выполняться реконструкция потоков пакетов для получения возможности учета информации о развитии атаки.

При использовании второй стратегии собираемые данные представляют собой последовательности команд, выдаваемых каждым пользователем или приложением, интенсивности выдачи команд и обращений к внешним устройствам для различных временных интервалов, а также другие данные, характеризующие поведение пользователя или приложения.

К собираемым данным предъявляются следующие основные требования:

— полнота (обеспечение сбора всех значений требуемых данных, например, всех системных вызовов без пропусков, возникающих из-за несовершенства применяемого метода и особенностей операционной системы);

— достоверность (обеспечение неискаженности данных, например, из-за отказов оборудования и действий злоумышленников);

— своевременность (возможность получения доступа к данным в реальном времени с целью выработки адекватной ответной реакции).

Описание с помощью адекватной математической модели поведения одного из параметров системы, группы параметров или всей системы в целом позволяет аналитически или с помощью численного моделирования дать ответы на вопросы о реальных сроках эксплуатации системы, эффективности настройки ее параметров, надежности, защищенности и ряда других характеристик.

При этом характеристики СЗИ в значительной степени зависят от особенностей используемого оборудования.

Цифровые телекоммуникационные системы и распределенные вычислительные комплексы в отличие от технических средств предыдущих поколений по своей архитектуре и принципам функционирования могут со сравнительно небольшими дополнительными затратами предоставлять к анализу гигантские объемы информации о происходящих в них процессах. Уже на первых этапах изучения этой информации специалисты стали обращать внимание на то, что получаемые ими данные по своей природе заметно отличаются от тех, с которыми они сталкивались ранее при передаче сигналов, в теории массового обслуживания, электротехнике и других практически значимых направлениях.

Работы по этой тематике стали появляться в печати с начала 90-х годов прошлого века. К основным особенностям данных, которые обычно отмечаются в предметной области защиты информации, относятся:

— стохастичность большинства изучаемых характеристик, обусловленная принципами работы систем, а не помехами и ошибками измерений;

— отсутствие стационарности многих процессов как в «широком смысле»

слова (изменяющееся среднее значение и ковариационная функция), так и в «узком» (изменение характера одномерных и многомерных распределений со временем);

— отсутствие распределения Гаусса для наблюдаемых значений и возможности описания распределения каким-либо из хорошо известных параметрических семейств распределения вероятностей;

— частое «загрязнение» данных нехарактерными значениями (выбросами);

— самоподобие данных, приводящее к фрактальным процессам.

Указанные особенности данных резко сокращают возможности применения к их анализу традиционных математических алгоритмов, ставят под сомнение целесообразность применения так называемых эффективных алгоритмов и алгоритмов, рассчитанных на свойства распределения Гаусса.

Кратко основные требования к математическим методам и алгоритмам, необходимым для анализа данных мониторинга компьютерных телекоммуникационных систем, можно сформулировать следующим образом:

— устойчивость (робастность) к различным возможным отклонениям данных от исходных предположений, допущений;

— независимость от, как правило, неизвестного распределения данных;

— более детальный учет на уровне модели возможной динамики изменения процесса.

Осуществляя мониторинг различных телекоммуникационных и распределенных вычислительных систем, решая различные актуальные задачи анализа сетевого трафика на протяжении последних лет [36, 76–82], были разработаны и апробированы на практике новые математические методы и алгоритмы анализа данных, отвечающие указанным выше требованиям. В частности, были разработаны и реализованы на практике алгоритмы:

— робастной знаковой процедуры оценки и прогноза динамики роста загрузки магистральных каналов телекоммуникационных сетей [79–82];

— однофакторного знакового оценивания внутрисуточных колебаний скорости передачи данных конечным пользователям [76];

— оценивания сетевой активности пользователей компьютерных сетей [78];

— выделения статистическими методами нехарактерной сетевой деятельности в задачах активного аудита [82].

Практика использования различных методов анализа данных в системах мониторинга показывает, что ни один из существующих методов не дает сегодня приемлемых значений ошибок первого и второго рода. Причем метод, дающий наименьшую ошибку, разный для разных наборов данных. Это служит основанием для попытки построения многокомпонентной системы мониторинга, в которой используется совместная работа нескольких систем мониторинга, применяющих разные методы выявления атак. Идея состоит в том, чтобы использовать для анализа данных именно ту систему мониторинга, которая наилучшим образом подходит для анализа этих данных. Для комбинирования результатов нескольких систем мониторинга в составе многокомпонентной системы мониторинга должен использоваться решатель.

Представляется, что нейросети могут использоваться не только как аппарат для выявления атак, но и как средство построения решателей, создание которых является основной проблемой при развитии многокомпонентных систем мониторинга.

В своей работе система мониторинга использует данные штатных журналов регистрации, событий операционных систем и систем управления базами данных типовых и специализированных приложений в составе АС, средств и подсистем обеспечения информационной безопасности, а также специализированных средств сбора первичных данных мониторинга.

Сбор и анализ материалов выполняется таким образом, что на элементы контролируемой системы не оказывается никаких блокирующих воздействий.

С целью получения первичных данных мониторинга определен перечень ОС, СУБД, а также перечень типовых и специализированных приложений, функционирующих в составе АС промышленного предприятия, данные журналов (протоколов) которых подлежат анализу системой мониторинга:

— ОС Novell NetWare 4.x;

— ОС Windows 9x/NT/2000;

— СУБД Оrас1е 8 и Оrас1е 9 Server;

— СЗИ Secret Net 3.x;

— СЗИ Secret Net 4.x;

— CЗИ Spectr-Z;

— журналы событий syslog;

— Microsoft Exchange Server 5.5 и др.

Иерархия системы мониторинга приведена на рис. 4.2.

Рис. 4.2. Схема иерархии системы мониторинга состояния информационной безопасности промышленного предприятия Основной функцией, реализуемой системой мониторинга, является автоматизированный анализ первичных данных с целью оценки состояния информационной безопасности контролируемой системы. В рамках реализации этой функции система мониторинга обеспечивает:

— автоматизированную настройку журналов регистрации событий подконтрольных ОС/СУБД на фиксацию данных, необходимых для проведения мониторинга контролируемой системы;

— съем (регистрацию) первичных данных мониторинга с объектов наблюдения;

— первичную фильтрацию данных аудита;

— выделение параметров, характеризующих действия субъектов, и сохранение их в базе данных системы мониторинга;

— анализ данных журналов регистрации событий в оперативном режиме;

— отображение текущего состояния (on-line) контролируемой системы;

— анализ деятельности субъектов в базисе используемых ими ресурсов, проецируемых на данные аудита;

— проведение детализированных «расследований» деятельности наблюдаемых субъектов за период их работы;

— графическое представление результатов анализа данных аудита;

— формирование отчетных форм по результатам «расследования» деятельности наблюдаемых субъектов;

— просмотр и распечатку всех формируемых отчетных форм.

1. Разработана имитационная модель как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.

2. Проведен синтез инфраструктуры системы защиты информации промышленного предприятия.

3. Предложена автоматизированная система мониторинга безопасности информационных активов, направленная на оценку и анализ текущего состояния показателей информационной безопасности, а также выработку необходимых корректирующих воздействий на инфраструктуру системы защиты информации предприятия.

БЕЗОПАСНОСТЬ КОРПОРАТИВНЫХ СЕТЕЙ

ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ

5.1. Основные проблемы безопасности корпоративных сетей на промышленном предприятии По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий. Актуальность и важность проблемы обеспечения информационной безопасности (ИБ) обусловлена следующими факторами:

— современные уровни и темпы развития средств ИБ значительно отстают от уровней и темпов развития информационных технологий;

— высокие темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности;

— доступность средств вычислительной техники, и, прежде всего персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих систем, как со злым умыслом, так и из чисто «спортивного интереса»;

— значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации. По оценкам специалистов в настоящее время около 70-90% интеллектуального капитала компании хранится в цифровом виде (текстовых файлах, таблицах, базах данных);

— многочисленные уязвимости в программных и сетевых платформах;

Стремительное развитие информационных технологий открыло новые возможности для бизнеса, однако привело и к появлению новых угроз. Современные программные продукты из-за конкуренции попадают в продажу с ошибками и недоработками. Разработчики, включая в свои изделия всевозможные функции, не успевают выполнить качественную отладку создаваемых программных систем. Ошибки и недоработки, оставшиеся в этих системах, приводят к случайным и преднамеренным нарушениям ИБ. Например, причинами большинства случайных потерь информации являются отказы в работе программноаппаратных средств, а большинство атак на компьютерные системы основаны на найденных ошибках и недоработках в программном обеспечении;

— бурное развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире. Подобная глобализация позволяет злоумышленникам практически из любой точки земного шара, где есть Интернет, за тысячи километров, осуществлять нападение на корпоративную сеть промышленных предприятий;

— современные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям.

Реализация той или иной угрозы безопасности может преследовать следующие цели:

— нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в корпоративной сети, может иметь большую ценность для ее владельца. Использование конфиденциальной информации другими лицами наносит значительный ущерб интересам владельца;

— нарушение целостности информации. Потеря целостности информации (полная или частичная, компрометация, дезинформация) — угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности;

— нарушение (частичное или полное) работоспособности корпоративной сети (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов корпоративной сети, их модификация или подмена могут привести к получению неверных результатов, отказу корпоративной сети от потока информации или отказам при обслуживании. Отказ от потока информации означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. Имея в виду, что такие сообщения могут содержать важные донесения, заказы, финансовые согласования и т.п., ущерб в этом случае может быть весьма значительным.

Поэтому обеспечение ИБ корпоративных сетей является одним из ведущих направлений развития информационных технологий в промышленной сфере.

Корпоративная информационная система (сеть) — информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы (из закона об Электронно-цифровой подписи).

Корпоративные сети (КС) относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации.

Проблема обеспечения ИБ является центральной для таких компьютерных систем. Обеспечение безопасности КС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования КС, а также попыткам модификации, хищения, вывода из строя или разрушения ее компонентов, то есть защиту всех компонентов КС — аппаратных средств, программного обеспечения, данных и персонала.

Исследовательская компания Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения ИБ:

— ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ;

— финансирование работ по созданию СЗИ на предприятии отсутствует;

— ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам). Наиболее типичным примером является компания с небольшим штатом сотрудников, занимающаяся, например, куплей/продажей товаров. Все технические вопросы находятся в сфере ответственности сетевого администратора, которым зачастую является студент высшего учебного заведения.

— 1 уровень:

— ИБ рассматривается руководством как чисто «техническая»

проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения ИБ предприятия;

— финансирование ведется в рамках общего ИТ-бюджета;

— ИБ реализуется средствами нулевого уровня и средствами резервного копирования, используются антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).

— ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;

— финансирование ведется в рамках отдельного бюджета;

— ИБ реализуется средствами первого уровня и средствами усиленной аутентификации, используются средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).

Третий уровень отличается от второго следующим:

— ИБ является частью корпоративной культуры, назначен CISA (старший представитель по вопросам обеспечения ИБ);

— финансирование ведется в рамках отдельного бюджета, который согласно результатам исследований аналитической компании Datamonitor в большинстве случаев составляет не более 5% ИТ-бюджета;

— ИБ реализуется средствами второго уровня и средствами системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).

Таким образом, серьезный подход к вопросам обеспечения ИБ появляется только на 2-м и 3-м уровнях. На 1-м и частично 0-м уровне зрелости согласно данной классификации имеет место так называемый «фрагментарный» подход к обеспечению ИБ. «Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы.

Достоинство этого подхода заключается в высокой избирательности к конкретной угрозе. Существенным недостатком подхода является отсутствие единой защищенной среды обработки информации.

Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов КС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

Более серьезные организации, соответствующие 2-му и 3-му уровням зрелости классификации Gartner, применяют «комплексный» подход к обеспечению ИБ. Этот же подход предлагают и крупные компании, профессионально занимающиеся защитой информации. Комплексный подход основывается на решении комплекса частных задач по единой программе. Этот подход в настоящее время является основным для создания защищенной среды обработки информации в КС, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально-этические, организационные, программные и технические способы обеспечения ИБ. Комплексный подход позволяет объединить целый ряд автономных систем путем их интеграции в так называемые интегрированные системы безопасности.

Методы решения задач обеспечения безопасности очень тесно связаны с уровнем развития науки и техники и, особенно, с уровнем технологического обеспечения промышленного предприятия. А характерной тенденцией развития современных технологий является процесс тотальной интеграции. Этой тенденцией охвачены микроэлектроника и техника связи, сигналы и каналы связи, системы и сети. В качестве примеров можно привести сверхбольшие интегральные схемы, интегральные сети передачи данных, многофункциональные устройства связи и т.п.

Дальнейшим развитием комплексного подхода или его максимальной формой является интегральный подход, основанный на объединении различных подсистем обеспечения безопасности, подсистем связи в единую интегральную систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных. Интегральный подход направлен на достижение интегральной безопасности. Основной смысл понятия интегральной безопасности состоит в необходимости обеспечить такое состояние условий функционирования промышленного предприятия, при котором оно надежно защищено от всех возможных видов угроз в ходе всего непрерывного производственного процесса.

Понятие интегральной безопасности предполагает обязательную непрерывность процесса обеспечения безопасности как во времени, так и в пространстве (по всему технологическому циклу деятельности) с обязательным учетом всех возможных видов угроз (несанкционированный доступ, съем информации, терроризм, пожар, стихийные бедствия и т.д.).

В какой бы форме ни применялся комплексный или интегральный подход, он всегда направлен на решение ряда частных задач в их тесной взаимосвязи с использованием общих технических средств, каналов связи, программного обеспечения и т.д. Например, применительно к информационной безопасности, наиболее очевидными из них являются задачи:

— ограничения доступа к информации;

— технического и криптографического «закрытия» информации;

— ограничения уровней паразитных излучений технических средств защиты;

— охраны и тревожной сигнализации.

Однако необходимо решение и других, не менее важных задач. Так, например, выведение из строя руководителей предприятия, членов их семей или ключевых работников должно поставить под сомнение само существование данного предприятия. Этому же могут способствовать стихийные бедствия, аварии, терроризм и т.п. Поэтому объективно обеспечить полную безопасность информации могут лишь интегральные системы безопасности, индифферентные к угрозам безопасности и обеспечивающие требуемую защиту непрерывно, как во времени, так и в пространстве, в ходе всего процесса подготовки, обработки, передачи и хранения информации.

5.2. Классификационные признаки корпоративных сетей В соответствии с введенным определением корпоративной сети ее состав в общем случае образуют следующие функциональные элементы:

1. Рабочие места (абоненты) промышленного предприятия, которые могут быть:

— сосредоточенными (территориально располагаются в рамках одного здания);