47289 (588477), страница 11

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 11)

Эти две формулы связаны следующим соотношением:

где — общая интенсивность потока несанкционированных попыток нарушения основных свойств информации злоумышленниками.

В качестве основного критерия защищенности будем использовать коэффициент защищенности (D), показывающий относительное уменьшение риска в защищенной системе по сравнению с незащищенной системой.

, (3.3)

где R_защ – риск в защищенной системе;

R_нез – риск в незащищенной системе.

Таким образом, в данном случае задача оптимизации выглядит следующим образом:

Для решения этой задачи сведем ее к однокритериальной посредством введения ограничений. В результате получим:

где Ц_зад и П_зад – заданные ограничения на стоимость системы защиты и производительность системы.

Целевая функция выбрана исходя из того, что именно она отражает основное функциональное назначение системы защиты — обеспечение безопасности информации.

Производительность системы П_сзи рассчитывается с применением моделей и методов теории массового обслуживания и теории расписаний (в зависимости от того, защищается ли система оперативной обработки, либо реального времени) [32]. На практике возможно задание ограничения по производительности (влияние на загрузку вычислительного ресурса защищаемой системы) не непосредственно в виде требуемой производительности системы, а как снижение производительности (dП_сзи) информационной системы от установки системы защиты. В этом случае задача оптимизации будет выглядеть следующим образом:

или после сведения ее к однокритериальной:

где Ц_зад и dП_зад — заданные ограничения на стоимость системы защиты и снижение производительности.

Заметим, что на наш взгляд, именно такой принцип сведения задачи к однокритериальной целесообразен [32], т.к. в любом техническом задании на разработку системы защиты указывается, в какой мере система защиты должна оказывать влияние на производительность системы. Как правило, внедрение системы защиты не должно снижать производительность системы более чем на 10%. Кроме того, обычно вводится ограничение на стоимость системы защиты.

Если рассчитанное значение коэффициента защищенности (D) не удовлетворяет требованиям к системе защиты, то в допустимых пределах можно изменять заданные ограничения и решить задачу методом последовательного выбора уступок пример которого будет рассмотрен ниже. При этом задается приращение стоимости и снижение производительности:

Ц*_зад = Ц_зад + Ц ,

П*_зад = П_зад - П или dП*зад = dП_зад + dП.

В таком виде задача решается в результате реализации итерационной процедуры путем отсеивания вариантов, не удовлетворяющих ограничительным условиям, и последующего выбора из оставшихся варианта с максимальным коэффициентом защищенности.

Теперь выразим коэффициент защищенности через параметры угроз. В общем случае в системе присутствует множество видов угроз. В этих условиях зададим следующие величины:

W – количество видов угроз, воздействующих на систему;

– стоимость (потери) от взлома i-того вида;

– интенсивность потока взломов i-того вида, соответственно;

– вероятность появления угроз i-того вида в общем потоке попыток реализации угроз, причем ;

– вероятность отражения угроз i-того вида системой защиты. Соответственно, для коэффициента потерь от взломов системы защиты имеем:

,

где R_i(p) – коэффициент потерь от взлома i-того типа; показывает, какие в среднем потери приходятся на один взлом i-того типа. Для незащищенной системы P_{угр i} = Q_i , для защищенной системы

P_{угр i} = Q_i*(1-p_i).

Соответственно, для коэффициента потерь от взломов системы защиты в единицу времени имеем:

,

где – коэффициент потерь от взломов i-того типа в единицу времени.

Для незащищенной системы , для защищенной системы . Соответственно, из (3.3) имеем:

. (3.4)

Если в качестве исходных параметров заданы вероятности появления угроз Q_i то коэффициент защищенности удобно считать через вероятности появления угроз. Если же в качестве исходных параметров заданы интенсивности потоков угроз _i , то, естественно, коэффициент защищенности считается через интенсивность.

Очевидно, что при использовании любого математического метода проектирования системы защиты необходимо задавать определенные исходные параметры для оценки ее защищенности. Однако именно с этим связаны основные проблемы формализации задачи синтеза системы защиты. Поэтому мы отдельно рассмотрим основные пути решения данной задачи, рассмотрим возможные способы задания вероятностей и интенсивностей угроз.

3.4 Задание входных параметров системы для методики

3.4.1 Способы задания интенсивностей и вероятностей угроз

Основной проблемой проведения количественной оценки уровня защищенности является задание входных параметров для системы защиты — вероятностей и интенсивностей угроз. Рассмотрим возможные способы задания вероятностей и интенсивностей угроз.

1.Метод статистической оценки _i (Q_i) и p_i.

Основным способом задания интенсивностей потоков угроз _i (вероятностей угроз Q_i ) и вероятностей взломов p_i является получение этих значений на основе имеющейся статистики угроз безопасности информационных систем, в которых реализуется система защиты. Если существует статистика для аналогичной информационной системы, то задавать исходные параметры для оценки защищенности можно на ее основе. При этом желательно, чтобы сходные информационные системы эксплуатировалась на предприятиях со сходной спецификой деятельности.

Однако при практической реализации такого подхода возникают следующие сложности. Во-первых должен быть собран весьма обширный материал о происшествиях в данной области. Во-вторых данный подход оправдан далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если же система сравнительно невелика и эксплуатирует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз могут оказаться недостоверными

Заметим, что статистика угроз периодически публикуется достаточно авторитетными изданиями, т.е. всегда существуют исходные данные для использования данного подхода для большинства приложений средств защиты информации. Обычно эта статистика доступна в Интернете на сайтах специализированных организаций.

Если же необходимая статистика по угрозам безопасности отсутствует, то можно воспользоваться одним из других подходов, описанных далее.

2.Оптимистически-пессимистический подход. В рамках данного подхода предусмотрено два разных способа.

Первый способ — это способ равных интенсивностей _i = , = const. При этом способе для расчета защищенности константа а может быть выбрана любой. В формуле (3.4) она будет вынесена за скобки и в конечном итоге сократится, так что защищенность в данном случае будет зависеть только от потерь:

(3.5)

Второй способ — это способ пропорциональности потерям

_i = *C_i , = const. При этом способе предполагается, что чем больше потери от взлома, тем чаще осуществляются попытки несанкционированного доступа к этой информации. То есть интенсивности потоков угроз прямо пропорциональны потерям. В этом случае защищенность будет зависеть от квадрата потерь:

(3.6)

3. Метод экспертной оценки. Экспертная оценка исходных параметров для расчета защищенности может осуществляться с использованием так называемой дельфийской группы. Дельфийская группа — это группа экспертов, созданная в целях сбора информации из определенных источников по определенной проблеме.

При этом необходимо задать лингвистический словарь возможных оценок экспертов, определить набор вопросов и условных значений квалификаций отдельных экспертов. После определения всех входных переменных производится поочередный опрос каждого эксперта. После опроса всех экспертов с учетом их квалификации определяется общая оценка группы и согласованность (достоверность) ответов для каждого вопроса.

Эксперт оценивает эффективность (вероятность) отражения угроз элементами защиты р_i и вероятность появления угроз Q_i Вероятности эксперт задает лингвистическими оценками: отлично, хорошо, удовлетворительно, плохо, не отражает; вероятно, близко к нулю, близко к единице, весьма вероятно и т.п. Затем эти лингвистические оценки при помощи словаря переводятся в числа р_i и Q_i в диапазоне [0; 1]. В приложении А описываются дополнительные методы экспертных оценок.

Для задания вероятности появления угрозы возможна оценка вероятности появления угрозы i-того вида в общем потоке угроз:

Исходя из заданной квалификации экспертов, рассчитываются их веса (значимость) в группе по формуле:

где S_e — квалификация эксперта, задаваемая в некотором диапазоне, например, от 0 до 10 в зависимости от опыта, образования и других качеств эксперта.

Затем оценки суммируются с учетом весов экспертов:

где р_ie и Q_ie – оценка вероятностей отражения и появления

угроз, сделанные одним экспертом;

k_e – «вес» эксперта в группе.

После расчета общей оценки всей группы рассчитывается согласованность ответов, которая может использоваться для оценки достоверности результатов. Согласованность рассчитывается при помощи среднеквадратического отклонения и выражается в процентах.

Максимальная согласованность достигается при одинаковых значениях оценок экспертов и в этом случае равняется 100%. Минимальная согласованность достижима при максимальном разбросе оценок экспертов.

3.4.2 Способы задания стоимости информационных ресурсов

Важнейшей характеристикой защищаемого объекта (как следствие, и системы защиты) является стоимость потерь от взлома. Рассмотрим возможные способы задания стоимости потерь. Метод позволяет установить ценность ресурсов. Ценность физических ресурсов в данном методе зависит от цены их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях:

• недоступность ресурса в течение определенного периода времени;

• разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

• нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

• модификация данных - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

• наличие ошибок, связанных с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба рекомендуется воспользоваться некоторыми из перечисленных критериев:

• ущерб репутации организации;

• нарушение действующего законодательства;

• ущерб для здоровья персонала;

• ущерб, связанный с разглашением персональных данных отдельных лиц;

• финансовые потери от разглашения информации;

• финансовые потери, связанные с восстановлением ресурсов;

• потери, связанные с невозможностью выполнения обязательств;

• дезорганизация деятельности.

1.Стоимость похищенной/искаженной/утерянной информации.

Характеристики

Список файлов ВКР