Автореферат (1137233)
Текст из файла
На правах рукописиСавельева Александра АлександровнаМОДЕЛИ И МЕТОДЫ КОМПЛЕКСНОЙ ОЦЕНКИ АППАРАТНОПРОГРАММНЫХ СРЕДСТВ ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИИ ЦЕЛОСТНОСТИ ИНФОРМАЦИИСпециальность 05.13.19 – «Методы и системы защиты информации,информационная безопасность» (технические науки)АВТОРЕФЕРАТдиссертации на соискание ученой степеникандидата технических наукМосква – 2011Работа выполнена в Национальном исследовательском университете«Высшая школа экономики»Научный руководитель: кандидат технических наук, доцентАвдошин Сергей МихайловичОфициальные оппоненты: доктор технических наук, профессорЩеглов Андрей ЮрьевичСанкт-Петербургский государственныйуниверситет информационных технологий,механики и оптики, Факультет Компьютерныхтехнологий и управления, кафедра"Вычислительной техники"кандидат технических наук, доцентСкородумов Борис ИвановичНациональныйисследовательскийядерныйуниверситет «МИФИ», Факультет «Информационная Безопасность», кафедра «ИнформационнаяБезопасность Банковских Систем»Ведущая организация:Московский энергетический институт (техническийуниверситет)Защита диссертации состоится «28» июня 2011 г.
в 10 часов 00 минут на заседании диссертационного совета Д. 212.133.03 Московского государственного института электроники и математики (технического университета) поадресу: 109028 Москва, Б.Трехсвятительский пер., д. 3.С диссертацией можно ознакомиться в библиотеке Московского государственного института электроники и математики (технического университета)Автореферат разослан «__» мая 2011 г.Ученый секретарьдиссертационного совета Д. 212.133.03,доктор технических наук, доцентЛеохин Ю.Л.2ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫАктуальность темы. На протяжении последних десятилетий непрерывнорастет потребность организаций в надежных средствах и методах защитыинформации.
В связи с этим внимание специалистов по обеспечению информационной безопасности (ИБ) привлекает проблема оценки влияния стоимости и качества средств защиты информации на бизнес. В России, как отмечается в работах Б.И. Скородумова, проблемы ИБ традиционно рассматривались преимущественно для защиты государственной тайны в военных илиправительственных автоматизированных системах. В результате практикаоценки средств обеспечения ИБ с экономических позиций пока не получилаширокого распространения, несмотря на наличие глубоких теоретическихисследований в этой области (в т.ч. работы А.И. Костогрызова ,А.А. Кононова, А.А.
Чемина. и др.). Сегодня это существенно мешает развитию коммерческого сектора российской экономики. Задачи разработки методов и средств проведения экспертизы и контроля качества защиты информации включены в перечень приоритетных проблем научных исследований вобласти информационной безопасности Российской Федерации, который былутвержден Советом Безопасности Российской Федерации 7 марта 2008 г. Нетолько в нашей стране, но и за рубежом наблюдается сравнительно небольшойобъем публикаций, посвященных методам и моделям комплексной оценкисредств обеспечения конфиденциальности и целостности информации.
Исследователи, как правило, фокусируются на математических аспектах оценкиустойчивости к взлому, оставляя без внимания другие актуальные задачи (такие, как человеческий фактор и удобство использования систем защиты). Исключением являются работы Б. Йи (2001), В.П. Иванова (2004), У.Маурера(2005), К.Лампрехта (2006). Тем не менее, предлагаемые в указанных публикациях методы имеют ряд существенных недостатков, в числе которых:— применимость только к системам, основанным на сохранении в секретемеханизма защиты информации;— отсутствие возможности учитывать контекст использования системы защиты (критичность защищаемой информации, оснащенность злоумышленника и др.);— представление результатов оценки в форме, неудобной финансистам дляпринятия решений о необходимости инвестиций в средства защиты информации.На сегодняшний день отсутствуют подходы к решению задачи комплекснойоценки средств обеспечения конфиденциальности и целостности информации,позволяющие перейти от технических показателей способности системы противостоять угрозам со стороны злоумышленников к экономическим показателям окупаемости, понятным руководителям и финансистам.
Современная тенденция использования принципов управления рисками при решении проблем,связанных с обеспечением ИБ (см. международный стандарт в области управления рисками информационной безопасности ISO/IEC 27005:2008 «Информационная технология. Методы и средства обеспечения безопасности. Ме3неджмент риска информационной безопасности»), не коснулась практик оценки соответствия аппаратно-программных средств обеспечения конфиденциальности и целостности информации потребностям организации. Это создаеттрудности при оценке соответствия системы менеджмента информационнойбезопасности (СМИБ) организации, использующей такие средства, требованиям международного стандарта ISO/IEC 27001:2005 (ИСО-МЭК 27001-2006)«Информационные технологии - Методы обеспечения безопасности - Системыуправления информационной безопасностью - Требования».Низкий уровень осведомленности сотрудников о принципах работы средствобеспечения конфиденциальности и целостности информации делает возможным приобретение некачественных продуктов.
По утверждению Б.Шнайера,«большинство людей не имеют достаточно времени, терпения и знаний, чтобысамостоятельно провести анализ, необходимый для принятия обоснованногорешения».Таким образом, актуальным является исследование и разработка моделей иметодов комплексной оценки аппаратно-программных средств обеспеченияконфиденциальности и целостности информации, применимых в рамкахвнутреннего или внешнего аудита, а также анализа рисков реализации угрознарушения ИБ активов организации.Цель и задачи работы.Объектом исследования являются методы и модели оценки средств защиты информации.Предметом исследования является изучение применимости моделей и методов оценки средств защиты информации для получения комплекснойоценки аппаратно-программных средств обеспечения конфиденциальности ицелостности информации с технической и экономической точек зрения.Цель исследования заключается в разработке и исследовании моделей иметодов комплексной оценки аппаратно-программных средств обеспеченияконфиденциальности и целостности информации.Для достижения поставленной цели были решены следующие задачи:— исследование существующих моделей и методов оценки аппаратнопрограммных средств обеспечения конфиденциальности и целостности информации;— разработка модели аппаратно-программных средств обеспечения конфиденциальности и целостности информации, ориентированной на получениекомплексной оценки с технической и экономической точек зрения;— разработка модели угроз нарушения безопасности информационных активов организации, защищенных с использованием аппаратно-программныхсредств обеспечения конфиденциальности и целостности;— разработка метода анализа рисков реализации угроз нарушения безопасности, использующего предложенные модели;— разработка набора инструментальных средств, позволяющих оценить способность аппаратно-программных средств обеспечения конфиденциальностии целостности информации противостоять идентифицированным угрозам.4— разработка и исследование с использованием инструментальных средствновых теоретико-числовых алгоритмов, применимых для анализа стойкостик взлому методов защиты на основе трудноразрешимости задачи дискретногологарифмирования в простых полях;— разработка метода построения оценки из предложенных компонент.Методы исследования.
При решении поставленных задач исследованияиспользован математический аппарат теории матриц, теории множеств, теории чисел, линейной алгебры и теории алгоритмов. При разработке программного обеспечения использовались методы объектно-ориентированногопрограммирования, компонентного программирования и восходящего проектирования.Основные положения, выносимые на защиту:— новые многокритериальные классификации и параметрические моделизлоумышленников, атак и средств обеспечения конфиденциальности и целостности, отличающиеся от существующих тем, что позволяют учитыватьвзаимосвязь между параметрами объектов при моделировании угроз нарушения конфиденциальности и целостности информации;— модель угроз безопасности информационных ресурсов коммерческой организации, позволяющая выделить множество наиболее опасных атак и отличающаяся от существующих тем, что является формализованной, расширяемой и ориентированной на использование математического аппарата теории управления рисками;— метод анализа рисков реализации угроз нарушения безопасности, использующий предложенные модели и отличающийся от существующих тем, чтопозволяет учитывать критичность защищаемых данных и возможности злоумышленника;— новый детерминированный метод решения систем линейных уравнений вкольцах вычетов, позволяющий ускорить работу алгоритмов дискретного логарифмирования типа index-calculus и отличающийся от известных аналоговотсутствием требования факторизации;— метод комплексной оценки аппаратно-программных средств обеспеченияконфиденциальности и целостности информации на основе предложенноймодели угроз и классификаций, отличающийся от известных аналогов тем,что позволяет перейти от технических показателей защищенности системы кэкономическим показателям окупаемости.Научная новизна:1.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
