Главная страница | Контакты | Случайная страница Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Информации

Риск нарушения безопасности информации не определяется только вероятностями проявления тех или иных угроз. Совершенно очевидно, что с другой стороны он характеризуется возможным ущербом, который будет иметь место в случае их реализации.

Вопрос оценки ущерба представляет на сегодняшний день наиболее сложную задачу, практически не поддающуюся формализации и решаемую только с использованием методов экспертных оценок. При этом в целях формирования прогнозных оценок ущерба можно с успехом применять описанную нами выше технологию формализации профессиональных знаний, опирающуюся на некоторые модели, которые могут составить первоначальную базу моделей, в дальнейшем уточняемую и видоизменяемую экспертом.

Исходной посылкой при разработке этих моделей может явиться очевидное предположение, что полная ожидаемая стоимость защиты информации может быть выражена суммой расходов на защиту и потерь от ее нарушения. При этом подходе оптимальным решением было бы выделение на защиту информации средств в размере С_opt (см. рис. 3.4), поскольку именно при этом обеспечивается минимизация общей стоимости защиты информации.

Как видно на рис. 3.4, при оптимальном решении целесообразный уровень затрат на защиту равен уровню ожидаемых потерь при нарушении защищенности. Поэтому для оценки суммарных затрат, достаточно определить только уровень потерь.

Рис. 3.4. Стоимостные зависимости защиты информации

Для решения этой задачи используем подход, основанный на построении динамической модели оценки потенциальных угроз.

Допустим, что проявление угрозы рассматриваемого типа характеризуется случайной переменной `l с распределением вероятностей f(l). Заметим, что функция распределения f(l) должна определяться на основе обработки данных о фактах реального проявления угроз этого типа, которая проводится экспертом с обязательной оценкой достоверности используемой информации (см. предыдущий раздел).

Если рассматривать проявление данной угрозы в течение определенного периода времени, то числу этих проявлений ` r будет соответствовать распределение вероятностей f(r/l), которое может быть выражено функцией распределения Пуассона:

, (3.10)

где t – период времени, за который определены значения r.

По ряду значений r₁, r₂,..., r_n функция f(l), может быть выражена функцией гамма-распределения

, (3.11)

где a и b параметры распределения, определяемые по рекурентным зависимостям:

(3.12)

где r₁,r₂,...,r₃ – число проявлений рассматриваемой угрозы в периоды наблюдения t₁,t₂,...,t₃.

Далее отметим, что безусловное распределение вероятностей проявления угроз за период времени t может быть представлено в виде:

. (3.13)

Тогда результирующее распределение

(3.14)

Количество проявлений угроз при этом характеризуется математическим ожиданием

(3.15)

и дисперсией

(3.16)

Таким образом, мы описали вероятности проявления угроз. Для того, чтобы оценить ущерб от проявления угроз, рассмотрим для начала средние оценки ущерба, для которых может быть принята нормальная функция распределения с параметрами m и V:

(3.17)

где и – функции нормального и гамма-распределений вероятностей;

n' и c ' – параметры нормального и гамма распределений.

Если в заданныйпериод времени имеет место r проявлений рассматриваемой угрозы, которые приводят к ущербу x₁,x₂,...,x_r соответственно, то параметры распределения вероятностей ожидаемых потерь корректируются следующим образом:

(3.18) где

Выделим далее неопределенные параметры m и V из функции распределения вероятностей для стоимости проявления угрозы данного типа. Тем самым будет получено прогнозируемое распределение для ущерба от возможного проявления рассматриваемой угрозы

(3.19)

где – член семейства распределения Стьюдента.

Ожидаемое изменение значения определяется параметрами:

(3.20)

Ожидаемые полные затраты в условиях проявления рассматриваемой угрозы определяются по формуле:

. (3.21)

Поскольку полные затраты в условиях проявления угроз являются случайными величинами (из-за случайного характера наносимого ущерба), то для их оценки необходимо знание соответствующей функции распределения вероятностей.

Таким образом, если бы существовали систематизированные статистические данные о проявлениях угроз и их последствиях, то рассмотренную модель можно было бы использовать для решения достаточно широкого круга задач защиты информации. Более того, эта модель позволяет не только находить нужные решения, но и оценивать их точность, что, как подчеркивалось выше, имеет принципиальное значение. К сожалению, в силу ряда объективных и субъективных причин такая статистика в настоящее время практически отсутствует, что делает особо актуальной организацию непрерывного и регулярного сбора и обработки данных о проявлениях угроз, охватывающих возможно большее число реальных ситуаций.

Рассмотренная выше модель может быть сформулирована и в терминах теории игр. Предположим, что злоумышленник затрачивает x средств с целью преодоления защиты, на создание которой израсходовано у средств. В результате он может получить защищаемую информацию, количество которой оценивается функцей I(x,y). Положим далее, что f (n) – есть ценность для злоумышленника n единиц информации, а g (n) – суммарные затраты на создание этого же числа единиц информации. Тогда чистая прибыль злоумышленника

(3.22)

а потери собственника информации

(3.23)

В соответствии с известными правилами теории игр оптимальные стратегии обеих сторон могут быть определены из условий:

(3.24)

Для практического использования этой модели необходимо определить стоимость информации, а также задать функции I, f и g, что в условиях отсутствия необходимого объема статистических данных является практически неразрешимой проблемой, если опираться на формальные методы.

Таким образом, мы снова вынуждены возвращаться к описанным выше приемам автоформализации знаний, которые составляют основу методологического базиса теории защиты информации.

Рассмотренные нами подходы и модели позволяют в общем случае определять текущие и прогнозировать будущие значения показателей уязвимости информации. Необходимо только сделать некоторые существенные замечания относительно их адекватности. Во-первых, практически все приведенные нами модели построены в предположении независимости случайных событий, совокупности которых образуют сложные процессы защиты информации, а во-вторых – для обеспечения работы моделей необходимы исходные данные, формирование которых при отсутствии достоверной статистики сопряжено с большими трудностями.

Таким образом, при использовании этих моделей фактически делаются следующие допущения:

возможности проявления каждой из потенциальных угроз не зависят от проявления других;

каждый из злоумышленников действует независимо от других, т.е. не учитываются возможности формирования коалиции злоумышленников;

негативное воздействие на информацию каждой из проявившихся угроз не зависит от такого же воздействия других проявившихся угроз;

негативное воздействие проявившихся угроз на информацию в одном каком-либо элементе системы может привести лишь к поступлению на входы связанных с ним элементов искаженной информации с нарушенной защищенностью и не оказывает влияния на такое же воздействие на информацию в самих этих элементах;

каждое из используемых средств защиты оказывает нейтрализующее воздействие на проявившиеся угрозы и восстанавливающее воздействие на информацию независимо от такого же воздействия других средств защиты;

благоприятное воздействие средств защиты в одном элементе системы лишь снижает вероятность поступления на входы связанных с ним элементов искаженной информации и не влияет на уровень защищенности информации в самих этих элементах.

В действительности же события, перечисленные выше, являются зависимыми, хотя степень зависимости различна – от незначительной, которой вполне можно пренебречь, до существенной, которую необходимо учитывать. Однако строго формальное решение данной задачи в силу приводившихся нами выше причин в настоящее время невозможно, поэтому остаются лишь методы экспертных оценок и в частности, технология автоформализации знаний эксперта.

Что касается обеспечения моделей необходимыми исходными данными, то как неоднократно отмечалось, практическое использование любых предлагаемых моделей оценки уязвимости упирается в ограничения, связанные с неполнотой и недостоверностью исходных данных. В связи с этим отметим, что материалы данной главы, посвященные оценке и корректировке достоверности интегрированной базы данных моделирования, дают необходимый инструментарий для работы экспертов-аналитиков.

Вообще, правильно поставленная работа с исходными данными в условиях высокой степени их неопределенности является ключевым моментом в решении любых задач, связанных с обеспечением информационной безопасности. Поэтому проблема заключается не просто в формировании необходимых данных, а в перманентном их оценивании и уточнении. Поскольку экспертные оценки и технология автоформализации знаний в этих условиях становятся одними из основных методов решения основных задач защиты информации, а адекватность экспертных оценок существенно зависит от объема их выборки, то необходима организация и перманентное осуществление массовой экспертизы в системе органов, ответственных за защиту информации. Существо концепции такой экспертизы будет рассмотрено в главе 6.

Глава четвертая

МЕТОДОЛОГИЯ ОПРЕДЕЛЕНИЯ ТРЕБОВАНИЙ К ЗАЩИТЕ

ИНФОРМАЦИИ

4.1. Постановка задачи и методика определения требований