Методы и методики оценки качества КСИБ
Методы и методики оценки качества КСИБ.
1.1. Метод оценки уязвимости информации Хоффмана.
В работе Хоффмана система обеспечения безопасности рассматривается как набор средств, состоящей из п характеристик (табл. 1). В идеальном случае эти характеристики следовало бы рассматривать как набор независимых друг от друга элементов, каждый из которых является необходимым для обеспечения безопасности. На практике набор характеристик представляет собой пересекающийся набор средств, которые в случае совместного использования увеличивают степень обеспечения безопасности данной вычислительной системы.
Пусть Gi — некоторая «хорошая мера» характеристики Fi (например, доверительный уровень или мера трудоемкости, характеризующей объем работы по преодолению барьера защиты и т. д.). Если характеристика Fi отсутствует в данной системе, то Gi=0.
Пусть Wi — субъективный весовой коэффициент важности, присвоенный характеристике Fi некоторым лицом или организацией. Заметим, что O<=Gi<=l и Wi>0 для 1<=i<=n.
Линейный метод «взвешивания и подсчета» можно использовать для вычисления степени обеспечения безопасности SR системы S, оцениваемой экспертом r.
Степень обеспечения безопасности вычисляется по уравнению
(1)
Рекомендуемые материалы
Отметим, что уравнение (1) противоречит до некоторой степени теории о том, что «крепость цепи определяется крепостью ее слабейшего звена».
Таблица 1 - Средства, реализующие систему обеспечения безопасности
Основанные на возможностях вычислительной техники | F1 —преобразования секретной информации F2— средства управления доступом (включают идентификацию, установление подлинности, проверку полномочий) F3 — возможность регистрировать и реагировать на угрозы F4 — защищенное от постороннего вмешательства программное обеспечение F5 — защищенные от постороннего вмешательства аппаратные средства ... Fm |
Не основанные на возможностях вычислительной техники | Fm + 1 —непривлекательность для потенциальных злоумышленников F m + 2 —административные мероприятия по обеспечению безопасности F m + 3 — вспомогательные технические средства по обеспечению безопасности F m + 4 —правовые запреты, увеличивающие степень безопасности … Fn |
Обозначим частичную оценку степени обеспечения безопасности (где не все F i известны или рассматриваются) через SRp(s, r). Заметим, что идеально безопасная система будет иметь оценку, равную 1, а совершенно незащищенная система имеет оценку, равную 0. Для обеспечения математической строгости модели потребуем, чтобы
Хотя веса задаются отдельными экспертами или организациями, можно было бы стандартизовать веса или диапазоны весов и узаконить их представителями промышленности или правительством, так же как стандарт на сам список F средств обеспечения безопасности. При этом важным средствам защиты следовало бы иметь веса больше 1, а средствам, вносящим относительно небольшой вклад в обеспечение безопасности — меньше 1. Выбор оценок важности и качества характеристик, видимо, всегда останется субъективным.
Оценки степени безопасности следовало бы рассматривать независимо от значений, приписываемых любым отдельно взятым экспертом. В самом деле, одним из параметров оценки безопасности, который мы опишем ниже, будет сам эксперт (или организация), производящий оценку. Хотя полученные результаты могут оказаться математически не совсем точными, они содержат не больше подводных камней, чем те, которые получаются при использовании любых других методов. Слепое использование этих или других оценок может привести к большим ошибкам. Тем не менее в некоторых случаях они могут быть весьма полезны.
Пример оценок степени безопасности реальных систем
Рассмотрим несколько реальных систем и оценим возможную (частичную) степень обеспечения безопасности*. Следует заметить, что в этих примерах мы пренебрежем средствами, которые не основываются на возможностях вычислительной техники, так как они обычно полностью зависят от реализации системы обеспечения безопасности. Если эксперты задали субъективные веса для различных средств защиты
(заметим, что )
F 1 — преобразование секретной информации W1 ==1,00,
F 2 — средства установления подлинности W2=0,70,
F 3 — возможности регистрации угроз и реакции на них Wз=1,10/
F4 — трудности разрушения программных средств W4=l,20, и если эксперт r задает значения, указанные в табл. 1, то частичные степени обеспечения безопасности (1) можно вычислить так, как это показано в табл. 2.
* Это допущение означает, что мы рассматриваем систему обеспечения безопасности не как двоичную функцию (0 или 1), а как имеющую несколько различных значений.
Таблица 2 - Субъективные оценки характеристик безопасности в выбранных системах, оцененных экспертом r
Система | G, | G2 | G3 | G4 | SRp {s,r) в функции от W1, W2, W3, W4. |
SRP (IBM OS/360 + Resource Security System, r) | 0 | 0,5 | 0,7 | 0,90 | (0,5 W2 + 0,7 W3 + 0,9 W4)/4 |
SRp (ADEPT-50,r) | 0 | 0,6 | 0,5 | 0,90 | (0,6 W2 + 0,5 W3 + 0,9 W4)/4 |
SRp (DEC PDP 11 /45 + UCLA-VM [Popek, 1974], r) | 0 | 0,6 | 0,0 | 0,99 | (0,6 W2 + 0,99 W4)/4 |
SRp (MULTICS, r) | 0 | 0,8 | 0,5 | 0,70 | {0,8 W2 + 0,5W3 + 0,7W4)/4 |
SRp (CDC 6400, r) | 0 | 0,4 | 0,2 | 0,80 | (0,41Г2 + 0,2Г3 + 0,8Г4)/4 |
SRp (IBM OS/360, r) | 0 | 0,4 | 0,0 | 0,20 | (0,4W2 + 0,2 W4)/4 |
SRp (INTEL MCS-8, r) | 0 | 0,0 | 0,0 | 0,00 | 0 |
Этот пример является только иллюстративным. Очевидно, различные организации и эксперты будут приписывать разные веса характеристикам. Кроме того, перечень, приведенный в табл. 1, является лишь первым приближением к некоторому «наилучшему» перечню характеристик. Добавление одной или двух дополнительных характеристик может привести к тому, что поменяются местами многие оценки приведенных выше в качестве примера систем. Если мы сможем составить такой набор независимых характеристик (в котором добавление или удаление одной или двух характеристик даст небольшое изменение или не даст вовсе оценки степени безопасности для большинства систем), то мы, возможно, приблизимся к «наилучшему» перечню. Но сделать это далеко не просто. В реальном мире характеристики связаны между собой довольно сложными зависимостями так же, как и их веса.
Таблица 3 – Частичные оценки степени безопасности для выбранных систем, оцененные экспертом r
IBM OS/360 + Resource Security System | 0,550 |
ADEPT-50 | 0,513 |
DEC PDP-11/45 + UCLA- VM | 0,402 |
MULTICS | 0,486 |
CDC 6400 | 0,365 |
IBM OS/360 | Лекция "Введение" также может быть Вам полезна. 0,130 |
INTEL MCS-8 | 0,000 |
Даже в этом случае остаются нерешенными некоторые задачи с таким типом схемы измерений. Должны ли оценки связываться с анализом степени риска для каждой рассматриваемой системы? Будет ли секретность данных, которые следует защищать, оказывать влияние на оценку системы? И, наконец, можно ли положиться на простое числовое значение, которое имеет тенденцию скрывать относительный вклад составляющих ее компонентов и может таким образом ввести нас в заблуждение? Не существует никаких теоретических методов присвоения числовых значений вероятностям определенных угроз. До тех пор пока не будут накоплены статистические данные, позволяющие приписывать правильные значения этим вероятностям (или их приблизительные значения), оценка степени безопасности вычислительной системы будет основываться преимущественно на интуиции и на ограниченном опыте.
1.2. Метод экспертных оценок.
Метод получения информации об объекте с помощью специалистов-экспертов в определенной области. Широко используется в прогнозировании или принятии плановых решений, помогает оценить значимость показателей и проверить качество методик, применяемых для сбора данных, повысить обоснованность практик, рекомендаций и т.д. Для подготовки экспертизы формируется группа специалистов. В ее задачи входят:
а) постановка проблемы, определение целей и задач экспертизы, ее границ, основных этапов;
б) разработка процедуры экспертизы;
в) отбор экспертов, проверка их компетентности и формирование групп экспертов;
г) проведение опроса и согласование оценок;
д) формализация полученной информации, ее обработка и анализ и интерпретация.
В состав группы входят специалисты в данной области знания, а также специалисты по экспертным методам (социологи, психологи, математики), всего может быть 5-7 человек.
В основе экспертизы обычно лежит вопросник, с помощью которого и осуществляется сбор требуемой информации. В своем классическом варианте вопросник отсутствует при свободном интервью, аналитических экспертных оценках и т.п. Вопросник, или анкета, - это структурно организованный набор вопросов, каждый их которых логически связан с центральной задачей экспертизы. Вопросы анкеты в зависимости от их содержания делятся на три группы:
а) данные о самом эксперте - его возрасте, стаже работы, образовании, научном звании, узкой специальности;
б) вопросы по существу исследуемой проблемы;
в) вопросы, позволяющие оценить мотивы, которых придерживался эксперт в своем анализе. По форме вопросы могут быть открытыми, закрытыми и полузакрытыми, прямыми и косвенными. Для обеспечения поступления надежной и достоверной информации обычно сочетают все типы вопросов. Рекомендуется в ходе опроса менять последовательность альтернатив. При использовании оценочных шкал положительные и отрицательные стороны уравновешивают. Вопросы по одной под проблеме устанавливаются в порядке постепенного перехода от более общих ко все более специфическим, конкретным.