автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка методов оценки эффективности систем защиты информации в распределенных информационных системах специального назначения

ООЗ^а I

На правах рукописи

ЧЕМИН АЛЕКСАНДР АЛЕКСАНДРОВИЧ

РАЗРАБОТКА МЕТОДОВ ОЦЕНКИ ЭФФЕКТИВНОСТИ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ

Специальность - 05.13.19 «Методы и системы защиты информации. Информационная безопасность»

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

" з ЛЕК 2009

Москва - 2009

003487043

Работа выполнена на кафедре «Вычислительные системы и сети» Московского государственного института электроники и математики

Научный руководитель:

доктор технических наук, профессор Саксонов Евгений Александрович

Официальные оппоненты:

доктор технических наук, профессор Кечиев Леонид Николаевич

кандидат военных наук, доцент Шевченко Александр Николаевич

Ведущая организация:

Федеральное государственное унитарное предприятие Межрегиональный научно-исследовательский институт «Интеграл» (ФГУП Межотраслевой НИИ «Интеграл»)

Защита диссертации состоится «15» декабря 2009 г. в 12:00 часов

на заседании диссертационного совета Д 212.133.03

Московского государственного института электроники и математики по адресу: 109028, г. Москва, пер. Б.Трехсвятительский, д. 3

С диссертацией можно ознакомиться в библиотеке Московского государственного института электроники и математики

Автореферат разослан « /Д» ноября 2009 г.

Ученый секретарь диссертационного совета к.т.н., с.н.с.

Леохин Ю.Л.

Общая характеристика работы Актуальность проблемы

С распространением информационных технологий организации становятся все более зависимыми от информационных систем и услуг, а, следовательно, все более уязвимыми по отношению к угрозам безопасности. Сетевая архитектура превратилась в распределенные вычислительные среды, где безопасность стала зависеть от всех ее элементов, так как дня ее нарушения стало достаточным получить доступ к одному из них.

В особенности это стало чувствительным для ключевых систем информационной инфраструктуры (КСИИ) или, как их еще называют, критически важных информационных систем (КВИС), от безопасного функционирования которых зависит не только конфиденциальность, но и управление объектами, нарушение функционирования которых может привести к чрезвычайной ситуации или значительным негативным последствиям. При этом, с повышением оперативности выполнения задач, решаемых в КВИС, существенно снизились требования к конфиденциальности обрабатываемой информации, так как время её актуальности стало несопоставимо со временем возможной реакции и ответных действий.

КВИС, а также другие системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из категорий безопасности информации, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий), получили названия - специальные информационные системы (СпецИС). К СпецИС, также отнесены информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья граждан, а также те, в которых предусмотрено принятие на основании исключительно автоматизированной обработки решений, порождающих юридические последствия1.

Одним из наиболее важных критериев отнесения ИС к СпецИС является то, что построение их средств защиты информации (СЗИ) базируется не на типовых требованиях, установленных в зависимости от класса защищенности (безопасности) АС (ИС), а в зависимости от угроз, которые могут быть реализованы в

1 Приказ ФСТЭК, ФСБ и Мининформсвязи от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка классификации информационных систем персональных данных».

результате нарушения характеристик безопасности информации.

Для нейтрализации таких воздействий к СпецИС стали предъявляться новые требования по созданию систем обнаружения компьютерных атак (СОКА) или обнаружения вторжений (СОВ), анализа защищенности (САЗ) и т.д.

Одним го ключевых показателей СпецИС стала адекватность функционирования подсистемы защиты. Нарушение параметров ее адаптивной настройки, несоответствующих предметной области применения, оргструктуре, политике безопасности организации и потребностям пользователя, может привести как к нарушениям безопасности информации, так и блокировке доступа пользователей. При этом потери, как от нарушения безопасности функционирования подобных систем, так и от снижения их характеристик за счет применения средств защиты информации, могут иметь вполне реальное финансовое выражение.

Диссертация опирается на результаты работ Костогрызова А.И., Зегжды Д.П., Щербакова А.Ю., Домарева В.В., Галатенко А., а также на труды зарубежных авторов и другие источники.

Анализ показал, что имеющиеся в настоящий момент научные проработки и модели в области построения СЗИ не лишены ряда недостатков, среди которых необходимо выделить: не адекватное и не полное описание информационных процессов; слабую формализацию методов, на основе которых создаются комплексы средств защиты информации, что ведет к их избыточности и удорожанию; отсутствие алгоритмов динамического изменения уровня доступа в зависимости от уровня угрозы, создаваемой легальными пользователями; отсутствие методов регулирования параметров защиты, адаптированных к модели угроз безопасности конкретной СпецИС.

Все это приводит к отсутствию единых и достаточно универсальных подходов к решению задачи оценки эффективности СЗИ в распределенных СпецИС, что значительно усложняет сравнение различных вариантов СЗИ и обоснованный выбор приемлемого.

Таким образом, одним из важных вопросов функционирования СпецИС стали обеспечение и оценка эффективности используемых средств защиты, в итоге определяющих качество СЗИ. Эффективность СЗИ должна определяться характеристиками функций защиты, связанных не только с созданием сложных барьеров их преодоления, но и не вызывающих нарушений работоспособности (т.е. отсутствием сбоев и отказов) других подсистем и характеристик. Данные факторы определяют степень пригодности средств защиты для пользо-

вателей, позволяя обеспечить необходимый уровень контроля и своевременно предотвратить возможные риски.

Этим обуславливается актуальность решения задачи разработки новых методов оценки эффективности СЗИ, создаваемых в СпецИС с целью нейтрализации актуальных угроз безопасности информации.

Цель исследований

Анализ, обобщение и систематизация фактов о сложившейся практике управления эффективным применением СпецИС и выявляемых нарушениях, синтез новых методов оценки эффективности СЗИ, позволяющих моделировать события, связанные с прогнозированием возможных последствий от инцидентов информационной безопасности, а также устанавливать причинно-следственные связи между ними и вырабатывать численные критерии значимости риска при оценке эффективности СЗИ в СпецИС с учетом целевой функции деятельности организации и результатов процесса, представляющего действительную ценность.

Для достижения поставленной цели в работе сформулированы и решены следующие задачи:

1. Исследованы аспекты практического применения формальных моделей безопасности вычислительной сети СпецИС при создании СЗИ.

2. Проведен анализ и сравнение распространенных формальных моделей безопасности и стандартов информационной безопасности, выявлены ограничения в их применении.

3. Формализованы правила построения политик безопасности при создании систем информационной защиты. Определена новая форма организации знаний о предметной области возникновения преднамеренных угроз адекватная методам их прогнозирования и устанавливающая взаимнооднозначное определение механизмов их нейтрализации.

4. Исследованы способы формирования оценок эффективности информационных систем и найдены методы определения оптимальных показателей затрат, необходимых для нейтрализации риска возникновения угроз адекватно степени их актуальности.

5. Разработаны методы анализа моделей безопасности в СпецИС и установлены критерии, позволяющие получать численные оценки защищенности.

6. Разработан метод оценки эффективности СЗИ, позволяющий на базе определения достаточного уровня информационной безопасности формировать ра-

циональный комплекс средств защиты, используя декомпозицию применяемых механизмов защиты, информационных технологий и ресурсов СпецИС.

Методы исследований

Для решения поставленных задач использовались: методы теории информации, теории вероятностей и случайных процессов, методы дискретной математики, формальной логики, математическое моделирование, методы теории принятия решений, методы многокритериальной оптимизации, технологии и стандарты вычислительных сетей.

Для оценки уровня безопасности, реализуемой механизмами защиты, применялись формальные и неформальные экспертные оценки.

Основные положения, выносимые на защиту:

1. Обзор моделей безопасности и их классификация. Влияние показателей эффективности СЗИ на адекватное распределение функций защиты между различными уровнями сетевого взаимодействия.

2. Метод построения модели угроз, адаптированной к оценке ущерба от деструктивного действия и риска, создаваемого потенциалом предполагаемого нарушителя.

3. Метод формирования рационального комплекса средств защиты, основанный на достижении достаточного уровня эффективности, определяемого критериями предельных издержек и риска функционирования СпецИС.

4. Математическая модель оценки уровня эффективности СЗИ, основанная на численных методах прогнозирования событий и анализа инцидентов.

Научная новизна результатов диссертации определяется следующими результатами:

- сформулированы новые базовые положения, описывающие оценку эффективности выполнения политик безопасности в зависимости от возникающих инцидентов;

- предложен метод расчета количественной оценки уровня защищенности СпецИС, отличающийся от существующих моделей;

- разработан метод создания системы защиты информации на основе формализации задачи оптимизации состава комплексов средств защиты при различной глубине декомпозиции системы защиты;

Основным научным результатом проведенных исследований является комплексный подход к решению проблемы создания методов построения систем защиты для распределенных вычислительных сетей, основанных на показателях

эффективности.

Достоверность и обоснованность результатов диссертации обусловлены использованием результатов анализа современных СЗИ и методов оценки их эффективности, корректностью формальных выводов при построении моделей, соответствием полученных общих результатов с частными случаями, приведенными другими авторами, а также подтверждаются данными о практическом применении результатов при создании и анализе СЗИ для конкретных СпецИС.

Практическая значимость результатов диссертации заключается в том, что разработанные математические модели и метод оптимального проектирования защищенных сетей может применяться для эффективного построения СЗИ с минимизацией затрат на проектирование и реализацию. Использование предложенных методов позволяет проводить исследования и получать количественные оценки эффективности СЗИ. Методы могут применяться для технико-экономического обоснования при создании и развитии СЗИ в СпецИС.

Реализация результатов исследований

Основные результаты реализованы в Военно-Морском Флоте, в Государственном научно-исследовательском навигационно-гидрографическом институте (ГНИНГИ), а также использованы в ОАО «Информационные технологии и компьютерные системы» («ИнфоТеКС») при проектировании подсистем защиты персональных данных в Государственной информационной системе обязательного медицинского страхования (ТИС ОМС) территориальных Фондов обязательного медицинского страхования (ТФОМС).

Апробация работы.

Результаты, полученные в результате диссертационных исследований:

1) докладывались на ежегодной Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ (2009 г.), на X Всероссийской научно-практической конференции Российской академии ракетных и артиллерийских наук «Актуальные проблемы защиты и безопасности» (секция «Военно-Морской Флот»), г. Санкт-Петербург (2007 г.)

2) использовались в НИР «Разработка программы первоочередных действий по навигационно-гидрографическому обеспечению морской деятельности России на период до 2020 года. Разработка Плана первоочередных действий по навигационно-гидрографическому обеспечению морской деятельности России на период 2009 - 2010 г.г.»; в НИР «Разработка типовых требований по комплексной безопасности информации систем, создаваемых при строительстве

подводных лодок» (2008 г.).

Публикации.

По теме диссертации опубликовано 8 печатных работ, из них 2 в изданиях, рекомендованных ВАК.

Структура и объем диссертации.

Диссертация состоит из четырех глав, введения, заключения, списка литературы и приложений.

КРАТКОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении дается определение информационных систем специального назначения, приводится краткая характеристика работы и сведения о ее апробации. Обоснована актуальность проблемы разработки методов оценки эффективности СЗИ для управления безопасностью в распределенных СпецИС. Сформулированы цели и задачи работы, представлены положения, выносимые на защиту, показаны научная новизна и практическая значимость работы.

Первая глава посвящена анализу современного состояния теории и практики применения механизмов защиты, целей и возможных атак нарушителя, а также разработке методологических подходов к оценке эффективности системы защиты информации (СЗИ).

Проведены исследование и оценка подходов к методам построения защищенной СпецИС, которые имеются в ГОСТах и РД по созданию АСЗИ, показаны различия между ними. Устанавливаются взаимосвязи между методами анализа риска, оценки ущерба, моделирования угроз, выбора защитных мер и специфики создания СЗИ для СпецИС, эти связи должны лежать в основе разработки и формирования СЗИ (рисунок 1).

Анализ риска

| Идентификация активов

Идентификация исходной защищенности

Модель угроз

Установление зависимостей между активами и ресурсами Оценка угроз (Ц) Оценка уязвимостейОО— Модель нарушителя (Н)

Оценка рисков

Выбор мер ЗИ

Идентификация плакируемых мер ЗИ

Приемлемость риска

— Нет

Идентификация ограничений

Концепция ЗИ (Политика безопасности)

Рисунок 1. Схема формирования СЗИ Установлено, что в настоящее время существующая классификация защи-

щенности АС строится исходя из уровня конфиденциальности обрабатываемых в них сведений. Вместе с тем, изучение рассмотренных методов показало, что при оценке защищенности нельзя устанавливать приоритет уровня (степени) конфиденциальности защищаемой информации, над другими категориями безопасности. Показано, что для отдельных СпецИС критический уровень опасности наступает при несанкционированных действиях (блокировка, отказ, сбой), которые превалируют над опасностью, создаваемой утечкой конфиденциальной информации, а меры защиты могут вступать в противоречие с целевой функцией создания ИС.

Показано также, что недостатками существующей методологии являются отсутствие взаимно-однозначного соответствия при сопоставлении выявленных угроз требованиям нормативных документов, определяющим спецификацию защитных функций для базовой СЗИ. Выявлены коллизии между установленными экспертным путем уязвимостями и, либо отсутствием в руководящих документах требований по их нейтрализации, либо их неадекватностью для конкретных условий. Так, например, в РД , содержащих методы построения СЗИ на основе оценочных матриц состояния угроз с заранее установленными значениями были выявлены опасные состояние, допускающие при достаточно вероятном уровне опасности не предпринимать мер по ее нейтрализации.

Известные методы в основном формируют общие понятия о применении тех или иных функций безопасности на различных этапах и стадиях жизненного цикла системы. Вместе с тем, они не формируют конкретных подходов оценки ситуации и не предлагают способов выбора наиболее эффективных вариантов защиты, их сравнительного анализа, выявления избыточности и принятия решений о построении наиболее рациональной СЗИ. Построенные на различных комбинациях субъективных и эмпирических мер с использованием оценочных таблиц-матриц с заранее определенными значениями из расчета на некоторые типовые ИС, эти методы в итоге не дают общего представления об адекватности таких оценок конкретной ИС. Большинство предлагаемых систем защиты содержит отсылочные нормы, специфицирующие ряд показателей, численные методы расчетов которых и степень их влияния на итоговую защищенность системы не определяются (например, исходя из мотивов нарушителя, сговора между потенциальными нарушителями).

Для реализации мер эффективного функционирования СЗИ, на основании проведенного анализа, была обоснована необходимость разработки практически

применимых моделей и методов оценки и прогнозирования риска информационной безопасности основанных на условиях возможного возникновения угроз, ущерба от их реализации, факторах экономической целесообразности и принципах разумной достаточности. Сформулированы цели и основные задачи исследований.

Вторая глава посвящена методам определения концепции защиты ИС, оценки применимости существующих моделей безопасности, выбора механизмов защиты и анализа защищенности.

Показано, что основной проблемой построения СЗИ является разработка модели угроз, базирующейся на классификационной схеме преднамеренных воздействий на информационную систему, описании (документирования) последовательности действий нарушителя на дереве угроз, построении пространственной графовой, а также систематизированной в формате интегральной структуры модели каналов доступа, способов реализации угроз, деструктивных действий и последствий, которые они вызывают.

При этом, в качестве инструментов, позволяющих провести всесторонний анализ угроз и определить реальность их реализации, помимо применения общепринятых моделей безопасности, рассмотрены авторские инструментально-моделирующие методы и «КОК» (комплексы оценки качества), составленные по работам А.И.Костогрызова и В.А.Галатенко.

Рассмотрены различные сценарии угроз НСД, возможности технологических преград и способы их преодоления.

Наглядный процесс анализа такого сценария может быть представлен в виде графа реализации атаки в следующем виде (Рисунок 2).

Рисунок 2. Фрагмент графа атак, аннотированного контрмерами и показателями экономической эффективности

ЕК0| - эффективность защиты от реализации контрмеры (например расходов на информационную безопасность). Екоа - эффективность действий атакующего (например, исходя из расходов на преодоление системы и получаемой выгоды).

Проведенные исследования позволили сделать вывод, что численная оценка объективных показателей защищенности и вероятности угроз может быть получена в случае применения комбинированного метода, когда исследуемые вопросы анализируются комплексно.

Поскольку СпецИС создается для решения конкретных задач, то вполне очевидно, что ее потенциальные возможности должны соответствовать требуемому объему задач. Поэтому в конкретных ситуациях алгоритмы оценки могут существенно различаться. Это ведет к тому, что применение известных методов напрямую зависит от входных данных и для объективности оценки требует учета всего множества возможных способов преодоления преград, которые должны быть заданы либо в явном виде перечислимого множества, либо в виде набора правил, позволяющих отнести способ воздействия к множеству реализуемых угроз. Состав этих множеств определяется экспертным путем и требует формализации, т.к. прямой перебор и получение полного рабочего пространства возможных способов преодоления преград и заблаговременно прогнозируемых событий приводит к неразрешимости данного множества, а при его упрощении может привести к потере адекватности. Так, что проблема вычислимости связана с тем, что за разумное время принятия решения невозможно достигнуть перечисления всего набора требуемых показателей и оценить их адекватность.

В связи с этим, при возрастании количества оценок, реальное распределение вероятностей возможных альтернатив часто заменяется каким-то априорным распределением, полученным путем анализа и оценок, сделанных экспертным путем, которые изобилуют большим количеством «вкусовых» предпочтений, а, следовательно, являются субъективными.

Также, существующие модели не позволяют адекватно и полно описать информационные процессы, происходящие в распределенных вычислительных сетях, т.к. требуется детальная проработка аспектов поведения сетей на различных уровнях функционирования. Кроме того, не существует единой модели, комплексно охватывающей три основных направления обеспечения безопасности: конфиденциальности, целостности или доступности - каждая из них предназначена для применения в одном из аспектов защиты. При этом, одновременное применение разных моделей часто приводит к противоречивым требованиям, как, например, модели Биба и Белла-ЛаПадуллы.

Вышеизложенные проблемы предлагается преодолевать за счет аппроксимации некоторым разрешимым подмножеством, и проводить оценку эффектив-

ности относительно него, что снижает требования к предварительному проведению оценок множества способов преодоления преград, адекватных рассматриваемой системе, а следовательно позволяет достигнуть критериев достаточности для моделирования угроз и их оценки.

Третья глава посвящена выбору критериев и разработке методов оценки эффективности, анализа защищенности и построения СЗИ с заданным уровнем обеспечения без опасности.

В имеющихся методиках оценка способов преодоления преград осуществляется по расчетам временной или вычислительной сложности преодоления рубежей защиты, которые, в итоге, могут быть представлены в вероятностной форме. Однако, это противоречит рассмотренным в первой главе принципам построения ИБ, основанным на комплексных показателях защищенности, утверждающих, что нарушение заданных характеристик безопасности является следствием предпосылок, связанных между собой цепью событий в виде осведомленности (информированности) нарушителя и привлекательности результата атаки, наличия средств реализации угрозы и возможности их создания и применения (характеризующие потенциал нарушителя, а следовательно вероятность возникновения угрозы), наличия пригодной уязвимости, её доступности и способа использования (характеризующие защищенность ИС, а следовательно вероятность реализации угрозы), а также наличия благоприятных условий для реализации.

Таким образом, недостатком большинства моделей является отсутствие численных методов определения величины итоговой защищенности, вероятности и, соответственно, риска возникновения негативного события, оценка которых делается экспертным путем.

При этом считается, что риском события с вероятностью меньше определенного порогового значения можно пренебречь, несмотря на то, что потенциальный ущерб от них может быть велик. Это противоречит традиционной практике, когда руководители склонны уделять чрезмерное внимание рискам с большим ущербом и малой вероятностью, в то время, как в управлении рисками в первую очередь учитывают риски с умеренным ущербом, но высокой вероятностью (например, атаки вредоносного программного обеспечения), многократно реализующиеся в течение рассматриваемого периода.

По результатам моделирования угроз разрабатываются оптимальные варианты построения системы защиты информации в АС (ГОСТ 51583), которые

прежде чем перейти к их выбору для наглядности представляют в виде «замысла» мероприятий по защите информации, содержащего основную идею применяемых методов, необходимых для определения механизмов защиты (рисунок 3).

Объект

Методы ЗИ

Снизить ушёрб

| Скрыть | Устранить доступность Затруднить применимость способа Предотвратить \язвимость Дублирование Спецпреобразование форм представления н хранения

Резервирование

Страхование другие способы

.........->-0:3 - функция безопасности

-- реализация угрозы

Рисунок 3. «Замысел» защиты, определяющий взаимосвязь между схемой реализации угроз и методами их нейтрализации

Это позволяет представить реализуемую политику безопасности конкретной СпецИС формальным образом с применением моделей безопасности без рассмотрения конкретных деталей их реализации. Т.о. по сравнению с неформальным представлением политики безопасности не требуется оперирования большим количеством объектов, перечислимым множеством которых будет трудно воспользоваться.

В ранее рассмотренных моделях принята зависимость коэффициента опасности события (К°Т) от ущерба (&{), вызванного деструктивным действием произошедшего события (ЕсП). При этом критерием уровня конфиденциальности (секретности) также является ущерб (О), от разглашения сведений, превышающий приемлемое значение. Так как при наступлении деструктивного события ущерб наступает независимо от издержек, вложенных в СрЗИ, можно считать, что всегда будет постоянен и равен 1, т.е. gг во всех случаях -константа, зависящая только от того, какое значение приобретает ЕсП, 1 или 0.

Это логично, т.к. на момент создания СЗИ задачей СрЗИ является нейтрализация или существенное затруднение реализации деструктивного действия, величина которого определила необходимость принятия мер защиты.

Очевидно, что мероприятия по защите информации теряют смысл при затратах близких или равных стоимости ущерба от нарушения информационной безопасности, а также если оценка масштаба информированности показывает; что ресурсы затрачиваются на защиту информации, которая ни для кого уже не секрет, но продолжает обеспечиваться её конфиденциальность, а не другие параметры безопасности (целостность или доступность).

Понятие эффективности связывают с результативностью системы, выражающейся в отношении полезных конечных результатов ее функционирования к затраченным ресурсам. Эффективность является интегральным показателем на разных уровнях, который определяет итоговую характеристику функционирования. Следовательно, эффективность ИС определяет отношение характеристик результативности функционирования системы к издержкам, обеспечившим их получение.

Из вышеизложенного следует, что при наступлении ЕсП, те ресурсы, которые мы затратили на построение СЗИ (Сг(х)), также учитываются в качестве О, т.к. СЗИ не выполнила свои функции. Тогда основным коэффициентом эффективности СЗИ становится показатель её приближения к предельным издержкам на СЗИ (МСг).

Кег = ще МСг-Сг(х) + йост; йост = Р${Е&) * - риск ущерба, оставшийся после принятия мер на СЗИ, Рз(Ей0 - вероятность деструктивных событий, а Щ; =1.

В связи с тем, что в СпецИС помимо угроз, создаваемых нарушителями, мы имеем дело с частными характеристиками, улучшение которых не может быть достигнуто без ухудшения других частных критериев (например, надежность и стоимость, безопасность и производительность), то критерием эффективности таких систем является достижение состояния, называемого «Оптимальность по Парето» или равновесием Нэша.

Любой критерий эффективности можно считать показателем, но не каждый показатель следует рассматривать как критерий эффективности. Различные показатели по-разному характеризуют систему. Очевидно, что как критерии эффективности следует выбирать показатели, выражающие целевую функцию и поэтому влияющие на выработку решения.

Так, величина МСг в основном характерна для расчетов показателей «эф-фекгивность-стоимость» (Еес).

При этом, для систем, связанных не с получением прибыли, а с рисками их эксплуатации, эффективность напрямую зависит от показателя «ущерб-стоимость» {Eue) при воздействии на систему.

Т.е. если мы не можем с помощью СрЗИ уменьшить собственный G, то с их помощью мы можем увеличить затраты нарушителя и его риски на возникновение Ed. Иначе говоря, эффективней будет та система, в которой при наименьших затратах на её защиту требуются наибольшие затраты на её атаку

Для оценки данного определения была выбрана Модель Ланчестера (или CONCOM от Conventional Combat): by2 — сх2 = К] где К-2С - константа интегрирования; -х-ресурсы защищаемой системы; -у — ресурсы нарушителя; Ъ, с > О коэффициенты пропорциональности введенного условия; х и у описывают состояние Еес и Eue в начальный момент времени f.

Были учтены допущения: потенциалы защиты и нападения пропорциональны между собой в соответствии с некоторой закономерностью Сх~ by и Су= сх; при этом by и сх могут быть также интерпретированы, как темпы потерь, зависящие от количества и интенсивности воздействий атак, а также от уязвимо-стей СЗИ, соответственно b и с - являются коэффициентами потерь и ущерба.

Тогда при К=0 эффективность использования ресурсов строи пропорциональна, так как они сокращаются и одновременно иссякают (финальное состояние (0,0)), при К>0 первыми иссякают ресурсы х, т.е. у имеет превосходство, а при К<0 первыми иссякают ресурсы у, т.е. сторона х эффективнее использует свои ресурсы.

Т.к. совокупность критериев эффективности используется при выработке оптимального решения, желательно, чтобы критерии эффективности были тесно связаны с целями функционирования ИС, существенно зависели от контролируемых (управляемых) факторов и относительно просто интерпретировались.

Как было показано выше, в частном случае, мультипликативный критерий эффективности можно заменить одним критерием Kez, если его можно выделить как основной из тех, которые следует максимизировать или минимизировать. Например, увеличить вероятность защиты и уменьшить расходы.

Однако такой подход может компенсировать малую величину одного частного критерия избыточной величиной другого, в связи с чем может сглаживать уровни других частных критериев эффективности. Если не учесть один из неактуальных в настоящее время видов уязвимости можно построить вполне эффективную по выработанным критериям СЗИ, но её пригодность при этом может

значительно снизиться. Например, реализация ложного информирования об атаках на информационную систему приводит к усилению уровня контроля над процессами, что может занимать до 60-75% машинного ресурса, а следовательно снижать оперативность работы АС.

Таким образом, критерии эффективности СЗИ, как подсистемы ИС, непосредственно влияют на критерии эффективности ИС в целом. В связи с чем, эффективность оценивается не только по критериям оптимальности, но и пригодности и адаптивности.

Сущность данной оценки эффективности заключается в выборе показателей и критериев, по значению которых можно судить об успешном функционировании СпецИС, и разработке методов их расчета.

К основным методам оценки эффективности с использованием показателей относятся: метод физического моделирования, метод экспертных оценок, математические методы (весовой, трехвесовой, потенциально-долевой, комбинационный), комбинированный метод.

С использованием приведенных методов и текущей степени устойчивости отдельных элементов - S'y(t), была получена формула для расчета текущей эф-

inm-s^-K^)

фективности ИС: , где Uni - полные потенциалы от-

I.nm-s;(t)

î

дельных элементов, вычисляемые с помощью расчетных задач определения соотношений эффективность-угроза; S'y(t) - можно интерпретировать, как текущие степени оснащенности этих элементов механизмами защиты (Mz), что определяет их устойчивость; у ^ ' - текущие эффективности управления элементами ИС.

Основными критериями угроз была выбрана их декомпозиция, приводящая их к следующему виду: Х- хищения; К - копирования (в т.ч. утраты незарегистрированного носителя, съема с помощью технических средств разведки TCP); Р - разглашения (ознакомления, чтения или просмотра посторонним лицом); Б -блокировки; М- модификации; У-уничтожения.

Для определения вероятности использования злоумышленником различных средств воздействия на ИС была принята следующая модель воздействия (рисунок 4).

Воздействия через систему управления на процессы управления (материальная основа)

Воздействие »а среду : управления'

Предоставт виые \ технологии

СИСТЕМА ОСВЕЩЕНИЯ ОБСТАНОВКИ

ПУНКТЫ УПРАВЛЕН ИЯ

ДОБЫВАНИЕ ИНФОРМАЦИИ

Средства коммутации пакетов

СИСТЕМА СВЯЗИ

ДОСТАВКА .ИНФОРМАЦИИ

ПЕРЕРАБОТО ИНФОРМАЦИИ (Б ИНТЕРЕСАХ ПРИНЯТИЯ РЕШЕНИЯ!.

Средства и' системы ват. управления

Электрон-! - почта

Телексифер; енция

ПРИНЯШВ РЕШЕНИЯ

Рисунок 4. Модель воздействия

Проведенный анализ показал, что все способы реализации угроз, можно свести к следующим видам атак на ИС: КрА - криптографические атаки (Нкр); ВрП - атаки с использованием вредоносных программ (Нвр); УзСЗ - атаки с использованием уязвимостей СЗИ (ЗПО, СрЗИ), в т.ч. осуществляемые в обход функций безопасности или связанные с их неправильным применением, а также прямые нападения (Нуз); Мш - мошенничество, включая вмешательство и методы социальной инженерии (Нмш). При этом, в отличие от уязвимостей, атака на ИС является активным элементом, т.е. ИС может не иметь уязвимостей — тогда в соответствии с перечисленными выше методами атак, задачей нарушителя будет создать соответствующие условия для проведения атаки.

В этом случае вероятность возникновения угрозы Р(А) можно представить полной группой событий Н1, Н2,..., Нп — гипотез, о том, что атака производится с использованием п-ой уязвимости. При этом, все события попарно несовместны: Ш П Н] -0; г, }-1,2,...,п; Щ. Объединение событий образует пространство элементарных исходов О: 0=Н1иН2и... иНп. Следовательно, Н1, Н2,...,Нп образуют полную группу событий (гипотез). Тогда, если событие А состоит в том, что ИС была успешно атакована: ЛсЦ то имеет место формула: Р(А) = Р(Ш1)Р(Н1) + Р(А/Н2)Р(Н2) + ...+ Р(А/ Нп)Р(Нп).

Тогда по формуле Байеса (вероятности гипотез) вероятность того, что ИС

будет атакована с использованием 1-ой уязвимости Р(Нп/А}= ^ р"^^; ^Ь1

Для получения числовой оценки «Уровня опасности» были применены методы анализа иерархий (МАИ), с помощью матрицы парных сравнения, составляемой в соответствии с лингвистической шкалой оценок Т.Саати.

Согласно теореме Эрроу, если все индивидуальные предпочтения транзи-тивны, то нет никакой гарантии, что коллективные предпочтения, выведенные из индивидуальных при помощи какого-либо механизма, тоже будут транзитивны. В этом смысле труппы людей фундаментальным образом отличаются от отдельных личностей. Поэтому для придания полученным результатам объективной формы путем нормирования значений собственных векторов полученных иерархических структур был предложен иной метод формирования матрицы парных сравнений.

С практической точки зрения размер материальных и финансовых ресурсов предугадать сложно в силу их неустойчивости, определяемых микро и макро экономическими процессами. Вместе с тем, сам процесс локализации прямо пропорционален времени, необходимому для привлечения и реализации производственных, трудовых, интеллектуальных и др. ресурсов.

Пусть С=/ (материальные, финансовые, производственные, интеллектуальные, трудовые ресурсы) х/, которые хотя бы и в приближенном смысле, но можно представить без потери объективности.

При этом уровень ущерба можно определять по показателю затрат, необходимых на его локализацию, а следовательно представить в виде факторов Ш (1=<Х,К, У,М,Б>), которые вычисляются как отношение времени на локализацию - 7л к количеству успешных воздействий - Ку и общему времени на локализацию - ущерба в ИС, т.е. по формуле: КухТ?.

В данном виде значение представляет уровень ущерба, оцененный в виде времени, затраченного на локализацию последствий атаки наИС.

Тогда элементы матрицы парных сравнений будут определяться величиной отношений: ац = ; ¡=<ХЛ У,М,Б>, ]=<Х,К, У,М,Б>.

С использованием Байесовского вывода получено распределение вероятностей по целям воздействия на СпецИС, показана возможность составления Байесовской сети доверия и моделирования различных ситуаций.

Т.о. был разработан метод проведения декомпозиции угроз и способов их

реализации по конкретным типам нарушителей, что позволяет установить риски, создаваемые теми или иными потенциальными злоумышленниками, а также составить Модель нарушителя исходя из их потенциальной опасности.

При этом, моделирование таких рисков показало, что наибольшую опасность представляют так называемые инсайдеры - сотрудники, которые в организации наделены вполне легальными полномочиями. Это же подтверждается практикой расследований, показывающей, что успешность атаки напрямую зависит от наличия в организации сотрудника, который способствует её реализации.

Четвертая глава посвящена практическому применению полученных теоретических результатов для решения прикладных задач разработки и исследования эффективности систем защиты информации в распределенных информационных системах специального назначения.

В гааве приведены примеры, подтверждающие применение предложенных методов и алгоритмов в Автоматизированной системе обеспечения Военно-Морским Флотом цифровой картографической информацией субъектов экономической деятельности (ACO ЦКИ) ОКР «Багрень-2».

Для оценки возможных рисков в ACO ЦКИ были проведены системные исследований возможностей несанкционированного получения информации, определены ущербы и меры по локализации последствий, связанных с нарушением заданных характеристик безопасности. Установлена взаимосвязь рисков функционирования ACO ЦКИ с системами навигационного обеспечения в условиях современного противоборства.

Целевой функцией информационной безопасности применения ACO ЦКИ является обеспечение устойчивости системы морского навигационного обеспечения в целом. Выявлена группа критически важных информационных сегментов ACO ЦКИ и в зависимости от принадлежности того или иного элемента системы к группам по оценке последствий воздействия на них, была оценена условная вероятность их поражения (успешной атаки).

Разработаны методы выявления не обнаруживаемых нарушений дисциплины доступа легальных пользователей, связанных с несанкционированной работой под чужой учетной записью и превышением достаточного объема критического накопления данных. Тем самым достигнуто обеспечение адекватной защиты, позволяющей решать задачи формирования разрешительной системы доступа исполнителей по проведению операций чтения, записи и копирования данных с более тонкими настройками и контролем внутрисистемных процессов,

осуществляемых с нарушением правил разграничения доступа. Для анализа и обнажения аномалий в работе пользователей создан профиль пользователя.

В результате анализа требований безопасности по классам защищенности 1F и IД определена их неадекватность для ACO ЦКИ.

Для оптимизации требований к системе была предложена декомпозиция информационных ресурсов, а также доказана адекватность замены некоторых дорогостоящих средств защиты их альтернативными методами обеспечения безопасности, позволяющая выделить различные уровни эффективности в сегментированных контурах защиты коммерческих и внутренних потребителей.

Результаты расчетов эффективности СЗИ до и после применения рассматриваемых методов показывают, что предложенный вариант защиты позволяет оптимально перераспределить затраты, выделенные на создание подсистемы защиты АС от НСД с классом защищенности 1Г, достигнув класса защищенности 1Б, без увеличения стоимости работ, а также сократить расходы на последующую эксплуатацию комплекса.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

1. Проведенный обзор и сравнительный анализ распространенных моделей безопасности, механизмов защиты информации и нормативно-методических документов выявил ограничения в их применении при построении политик безопасности СпецИС. Эти ограничения приводят к противоречивости в их применении и неадекватности актуальным угрозам, что существенно снижает показатели эффективности таких систем.

Показано, что наиболее адекватно сущность механизмов защиты отражает метод оценки их эффективности по показателям риска и ущерба от нарушений безопасности, которые позволяет формализовать положения правил ПБ и конструктивно описать свойства механизмов защиты, а также распределить функции защиты между различными уровнями распределенного взаимодействия. Использование предложенного метода позволяет осуществить переход от формализованных правил к требованиям практической реализации.

2. Разработан метод построения модели угроз, базирующийся на схеме преднамеренных угроз, отличающийся формой организации знаний о предметной области преднамеренных угроз, систематизированных в морфологическую структуру модели нарушителя, несанкционированного доступа и оценки ущерба от деструктивного действия. Это позволяет осуществлять всесторонний анализ

гипотезы о реальных угрозах, их актуальности и потенциала нарушителей еще на стадии предпроектного обследования и, следовательно, повысить адекватность модели угроз для конкретной СпецИС.

3. Разработан метод анализа моделей противодействия угрозам нарушения информационной безопасности, базирующийся на выборе рационального варианта реагирования, новизна которого заключается в принятии решения на множестве альтернатив средств и методов защиты в зависимости от определения уровня эффективности, удовлетворяющего оптимальным показателям риска возникновения угроз и затрат, необходимых на их нейтрализацию в конкретной СпецИС. Метод позволяет заменить традиционно применяемые оценки взломо-стойкости их вероятностными аналогами и оценками эффективности, а также осуществлять динамическую оптимизацию механизмов защиты.

4. Разработан метод формирования рационального комплекса средств защиты, основанный на анализе морфологических признаков рубежей защиты, вероятности их преодоления, набора средств защиты (с учетом матрицы их совместимости), оценки технических характеристик, новизна которого заключается в выборе механизмов защиты по их целевой функции, исходя из соотношения показателей «эффективность-стоимость» к показателю «ущерб-эффективность». Данный метод позволяет проводить комплексные тематические и сертификационные исследования по взаимно-однозначному определению соответствия применяемых средств защиты угрозам, возникающим в СпецИС, новизна которых заключается в определении уровня эффективности механизмов защиты информации, применяемых в системе, по соотношению показателей предельных издержек и допустимого ущерба, определяющих риск функционирования СпецИС.

5. Разработан метод и алгоритм оценки уровня эффективности системы защиты информации, новизна которого заключается в том, что необходимые для расчетов вероятности угрозы оцениваются на основе численных методов представления аналитического прогнозирования событий, технических характеристик средств защиты и статистических данных по инцидентам информационной безопасности, что позволяет обеспечить применимость метода и алгоритма не только на стадии создания СЗИ, но и выполнять анализ эффективности её функционирования в ходе эксплуатации и экспертизы инцидентов.

6. Разработанные методы объединены в методику, регламентирующую их практическое применение при построении СЗИ. Методика и конкретные методы использованы при создании комплекса средств, необходимых для подсистемы

защиты информации в ACO ЦКИ и защиты персональных данных в ГИС ОМС ТФОМС.

Использование методов оценки уровня эффективности позволило обосновать достаточность требований, к используемым функциям безопасности исходя из актуальных угроз и действительных рисков их реализации, а также более эффективно перераспределить ресурсы, выделенные на защиту данных СпецИС.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Чемин A.A. Применение новых информационных технологий в подсистеме управления. // Морской сборник. 1. М.: 2006 г. - с. 32-37.

2. Чемин A.A. Новый взгляд на информационно-расчетные системы оценок ущерба от разглашения охраняемой информации в подсистеме управления. // Морской сборник. 9. М.: 2007. - с. 53-56.

3. Чемин A.A. Особенности применения систем расчета ущерба от разглашения охраняемой информации в подсистеме управления. // Известия Российской академии ракетных и артиллерийских наук. Актуальные проблемы зашиты и безопасности: Труды Десятой Всероссийской научно-практической конференции. Том. 4 «Военно-Морской Флот», М.: 2007. - с. 383-387.

4. Чемин A.A. Особенности построения системы защиты информации в автоматизированной системе обеспечения Военно-Морским Флотом субъектов оборонной и экономической деятельности Российской Федерации в Мировом океане. // Навигация и гидрография. 27. СПб.: ГНИНГИ МО РФ, 2008. -с. 94-100.

5. Чемин A.A. Методы построения систем защиты информации в распределенных информационных системах специального назначения. // Препринт. М.: МИЭМ, 2008. - 46 с.

6. Чемин A.A., Смолин В.М. Комплексный подход к построению подсистемы защиты информации в автоматизированной системе обеспечения ВМФ цифровой картографической информацией.// Научно-технический сборник № 33. СПб.: ГНИНГИ МО РФ, 2009. - с. 43-53.

7. Чемин A.A. Методика оценки эффективности систем защиты информации. Связанный Байесовский вывод. // Тезисы докладов ежегодной Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ. М.: МИЭМ, 2009.

8. Чемин A.A. «Методы анализа защищенности распределенных информационных систем специального назначения».// Препринт. М.: МИЭМ, 2009. - 45с.

Подписано в печать 11.11.2009. Формат 60x84/16. Бумага типографская № 2. Печать - ризография. Усл. печ. л. 1,4 Тираж 100 экз. Заказ <0-18.

Московский государственный институт электроники л математики 109028, Москва, Б.Трехсвятительский пер., 3.

Центр оперативной полиграфии (495) 916-88-04, 916-89-25

Введение.

Тенденции развития и задачи организации информационной безопасности в специализированных распределенных ИС.

Глава I. Методы построения СЗИ специализированных ИС.

1.1. Особенности построения, функционирования и защиты информации в СпецИС.

1.1.1. Информационные активы СпецИС.

1.1.2. Среда функционирования СпецИС.

1.1.2.1. Изучение и документирование технологического процесса автоматизированной обработки и хранения информации.

1.1.2.2. Изучение разрешительной системы доступа.

1.1.2.3. Определяются физические условия и условия окружающей среды.

1.1.2.4. Изучение и оценка существующих (исходных) мер защиты.

1.1.3. Специфика построения защищенной СпецИС.

1.1.3.1. Оценка уровня исходной защищенности.

1.1.3.2. Классификация АС по уровням защигценности.34 '

1.2. Угрозы безопасности информации в СпецИС.

1.2.1. Источники угроз. Модель нарушителя.

1.2.2. Анализ уязвимостей. Идентификация угроз.

1.2.3. Вероятность реализации угроз и оценка опасности.

1.2.4. Оценка актуальности угроз.

Выводы по первой главе.

Глава II. Концепция защиты ИС, модели безопасности, выбор механизмов защиты и методы анализа защищенности.

2.1. Политика безопасности и модели их построения.

2.1.1. Дискреционная политика безопасности.

2.1.2. Мандатная политика безопасности.

2.1.3. Политика безопасности информационных потоков.

2.1.4. Ролевая политика безопасности (role based access control).

2.2. Модели безопасности.

2.2.1. Информационные модели.

2.2.2. Специализированные модели.

2.2.3. Вероятностные модели.

2.2.4. Модели контроля целостности.

2.2.5. Модели защиты от угроз отказа в обслуживании.

2.3. Механизмы защиты и архитектура их применения.

2.3.1. Идентификация ограничений.

2.4. Оценки эффективности СЗИ и анализ защищенности.

2.4.1. Инструментально-моделирующие методы оценки эффективности.

2.4.2. Логико-аналитические методы оценки.

2.4.1. Контрольно-испытательные методы оценки эффективности.

Выводы по второй главе.Г.

Глава III. Выбор критериев, разработка методов оценки эффективности и анализа защищенности.

3.1. Концепция защиты.

3.1.1. Цель и замысел мероприятий по защите информации.

3.1.2. Выбор критериев оценки.

3.1.3. Уровень ущерба.

3.2. Модель оценки эффективности и защищенности.

3.2.1. Основной коэффициент эффективности.

3.2.1. Комплексные оценки эффективности.

3.2.1.1. Модель Ланчестера.

3.2.1.2. Система показателей эффективности АС.

3.2.1.3. Методы ог/енки эффективности АС.

3.3. Анализ защищенности ИС. Связанный Байесовский вывод.

3.3.1. Модель воздействия.

3.3.2. Уровень опасности.

Выводы по третьей главе.

Глава IV. Архитектурные решения по построению СЗИ, практическая реализация и результаты исследований.

С распространением информационных технологий организации становятся все более зависимыми от информационных систем и услуг, а, следовательно, все более уязвимыми по отношению к угрозам безопасности. Сетевая архитектура превратилась в распределенные вычислительные среды, где безопасность стала зависеть от всех ее элементов, так как для ее нарушения стало достаточным получить доступ к одному из них.

В особенности это стало чувствительным для ключевых систем информационной инфраструктуры (КСИИ) или, как их еще называют, критически важных информационных систем (КВИС), от безопасного функционирования которых зависит не только конфиденциальность, но и управление объектами, нарушение функционирования которых может привести к чрезвычайной ситуации или значительным негативным последствиям. При этом, с повышением оперативности выполнения задач, решаемых в КВИС, существенно снизились требования к конфиденциальности обрабатываемой информации, так как время её актуальности стало несопоставимо со временем возможной реакции и ответных действий.

КВИС, а также другие системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из категорий безопасности информации, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий), получили названия - специальные информационные системы (СпецИС). К СпецИС, также отнесены информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья граждан, а также те, в которых предусмотрено принятие на основании исключительно автоматизированной обработки решений, порождающих юридические последствия1.

Одним из наиболее важных критериев отнесения ИС к СпецИС является

1 Приказ ФСТЭК, ФСБ п Мининформсвязи от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка классификации информационных систем персональных данных». то, что построение их средств защиты информации (СЗИ) базируется не на типовых требованиях, установленных в зависимости от класса защищенности (безопасности) АС (ИС), а в зависимости от угроз, которые могут быть реализованы в результате нарушения характеристик безопасности информации.

Для нейтрализации таких воздействий к СпецИС стали предъявляться новые требования по созданию систем обнаружения компьютерных атак (СОКА) или обнаружения вторжений (СОВ), анализа защищенности (САЗ) и т.д.

Одним из ключевых показателей СпецИС стала адекватность функционирования подсистемы защиты. Нарушение параметров ее адаптивной настройки, несоответствующих предметной области применения, оргструктуре, политике безопасности организации и потребностям пользователя, может привести как к нарушениям безопасности информации, так и блокировке доступа пользователей. При этом потери, как от нарушения безопасности функционирования подобных систем, так и от снижения их характеристик за счет применения средств защиты информации, могут иметь вполне реальное финансовое выражение.

Диссертация опирается на результаты работ Костогрызова А.И., Зегжды Д.П., Щербакова А.Ю., Домарева В.В., Галатенко А., а также на труды зарубежных авторов и другие источники.

Анализ показал, что имеющиеся в настоящий момент научные проработки и модели в области построения СЗИ не лишены ряда недостатков, среди которых необходимо выделить: не адекватное и не полное описание информационных процессов; слабую формализацию методов, на основе которых создаются комплексы средств защиты информации, что ведет к их избыточности и удорожанию; отсутствие алгоритмов динамического изменения уровня доступа в зависимости от уровня угрозы, создаваемой легальными пользователями; отсутствие методов регулирования параметров защиты, адаптированных к модели угроз безопасности конкретной СпецИС.

Все это приводит к отсутствию единых и достаточно универсальных подходов к решению задачи оценки эффективности СЗИ в распределенных СпецИС, что значительно усложняет сравнение различных вариантов СЗИ и обоснованный выбор приемлемого.

Таким образом, одним из важных вопросов функционирования СпецИС стали обеспечение и оценка эффективности используемых средств защиты, в итоге определяющих качество СЗИ. Эффективность СЗИ должна определяться характеристиками функций защиты, связанных не только с созданием NP-сложных барьеров их преодоления, но и не вызывающих нарушений работоспособности (т.е. отсутствием сбоев и отказов) других подсистем и характеристик. Данные факторы определяют степень пригодности средств защиты для пользователей, позволяя обеспечить необходимый уровень контроля и своевременно предотвратить возможные риски.

Этим обуславливается актуальность решения задачи разработки новых методов оценки эффективности СЗИ создаваемых в СпецИС, с целью нейтрализации актуальных угроз безопасности информации.

Цель исследований

Анализ, обобщение и систематизация фактов о сложившейся практике управления эффективным применением СпецИС и выявляемых нарушениях, синтез новых методов оценки эффективности СЗИ, позволяющих моделировать события, связанные с прогнозированием возможных последствий от инцидентов информационной безопасности, а также устанавливать причинно-следственные связи между ними и вырабатывать численные критерии значимости риска при оценке эффективности СЗИ в СпецИС с учетом целевой функции деятельности организации и результатов процесса, представляющего действительную ценность.

Для достижения поставленной цели в работе сформулированы и решены следующие задачи исследований:

1. Исследованы аспекты практического применения формальных моделей безопасности вычислительной сети СпецИС при создании СЗИ.

2. Проведен анализ и сравнение распространенных формальных моделей безопасности и стандартов информационной безопасности, выявлены ограничения в их применении.

3. Формализованы правила построения политик безопасности при создании систем информационной защиты. Определена новая форма организации знаний о предметной области возникновения преднамеренных угроз адекватная методам их прогнозирования и устанавливающая взаимнооднозначное определение механизмов их нейтрализации.

4. Исследованы способы формирования оценок эффективности информационных систем и найдены методы определения оптимальных показателей затрат, необходимых для нейтрализации риска возникновения угроз адекватно степени их актуальности.

5. Разработаны методы анализа моделей безопасности в СпецИС и установлены критерии, позволяющие получать численные оценки защищенности.

6. Разработан метод оценки эффективности СЗИ, позволяющий на базе определения достаточного уровня информационной безопасности формировать рациональный комплекс средств защиты, используя декомпозицию применяемых механизмов защиты, информационных технологий и ресурсов СпецИС.

Методы исследований

Для решения поставленных задач использовались: методы теории информации, теории вероятностей и случайных процессов, методы дискретной математики, формальной логики, математическое моделирование, методы теории принятия решений, методы многокритериальной оптимизации, технологии и стандарты вычислительных сетей.

Для оценки уровня безопасности, реализуемой механизмами защиты, применялись формальные и неформальные экспертные оценки.

Основные положения, выносимые на защиту:

1. Обзор моделей безопасности и их классификация. Влияние показателей эффективности СЗИ на адекватное распределение функций защиты между различными уровнями сетевого взаимодействия.

2. Метод построения модели угроз, адаптированной к оценке ущерба от деструктивного действия и риска, создаваемого потенциалом предполагаемого нарушителя.

3. Метод формирования рационального комплекса средств защиты, основанный на достижении достаточного уровня эффективности, определяемого критериями предельных издержек и риска функционирования СпецИС.

4. Математическая модель оценки уровня эффективности СЗИ, основанная на численных методах прогнозирования событий и анализа инцидентов.

Научная новизна результатов диссертации определяется следующими результатами:

- сформулированы новые базовые положения, описывающие оценку эффективности выполнения политик безопасности в зависимости от возникающих инцидентов;

- предложен метод расчета количественной оценки уровня защищенности СпецИС, отличающийся от существующих моделей;

- разработан метод создания системы защиты информации на основе формализации задачи оптимизации состава комплексов средств защиты при-различной глубине декомпозиции системы защиты;

Основным научным результатом проведенных исследований является комплексный подход к решению проблемы создания методов построения систем защиты для распределенных вычислительных сетей, основанных на показателях эффективности.

Достоверность и обоснованность результатов диссертации обусловлены использованием результатов анализа современных СЗИ и методов оценки их эффективности, корректностью формальных выводов при построении моделей, соответствием полученных общих результатов с частными случаями, приведенными другими авторами, а также подтверждаются данными о практическом применении результатов при создании и анализе СЗИ для конкретных СпецИС.

Практическая значимость результатов диссертации заключается в том, что разработанные математические модели и метод оптимального проектирования защищенных сетей может применяться для эффективного построения СЗИ с минимизацией затрат на проектирование и реализацию. Использование предложенных методов позволяет проводить исследования и получать количественные оценки эффективности СЗИ. Методы могут применяться для технико-экономического обоснования при создании и развитии СЗИ в СпецИС.

Реализация результатов исследований

Основные результаты реализованы в Военно-Морском Флоте, в Государственном научно-исследовательском навигационно-гидрографическом институте (ГНИНГИ), а также использованы в ОАО «Информационные технологии и компьютерные системы» («ИнфоТеКС») при проектировании подсистем защиты персональных данных в Государственной информационной системе обязательного медицинского страхования (ГИС ОМС) территориальных Фондов обязательного медицинского страхования (ТФОМС).

Апробация работы.

Результаты, полученные в результате диссертационных исследований:

1) докладывались на ежегодной Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ (2009 г.), на X Всероссийской научно-практической конференции Российской академии ракетных и артиллерийских наук «Актуальные проблемы защиты и безопасности» (секция «Военно-Морской Флот»), г. Санкт-Петербург (2007 г.)

2) использовались в НИР «Разработка программы первоочередных действий по навигационно-гидрографическому обеспечению морской деятельности России на период до 2020 года. Разработка Плана первоочередных действий по навигационно-гидрографическому обеспечению морской деятельности России на период 2009 - 2010 г.г.»; в НИР «Разработка типовых требований по комплексной безопасности информации систем, создаваемых при строительстве подводных лодок» (2008 г.).

Публикации.

По теме диссертации опубликовано 8 печатных работ, из них 2 в изданиях, рекомендованных ВАК.

Чемии А.А. Применение новых информационных технологий в подсистеме управления. // Морской сборник. 1. М.: 2006 г. - с. 32-37.

Чемин А.А. Новый взгляд на информационно-расчетные системы оценок ущерба от разглашения охраняемой информации в подсистеме управления. // Морской сборник. 9. М.: 2007. - с. 53-56.

Чемин А.А. Особенности применения систем расчета ущерба от разглашения охраняемой информации в подсистеме управления. // Известия Российской академии ракетных и артиллерийских наук. Актуальные проблемы защиты и безопасности: Труды Десятой Всероссийской научно-практической конференции. Том. 4 «Военно-Морской Флот», М.: 2007. - с. 383-387.

Чемин А.А. Особенности построения системы защиты информации в автоматизированной системе обеспечения Военно-Морским Флотом субъектов оборонной и экономической деятельности Российской Федерации в Мировом океане. // Навигация и гидрография. 27. СПб.: ГНИНГИ МО РФ, 2008. - с. 94 -100.

Чемин А.А. Методы построения систем защиты информации в распределенных информационных системах специального назначения. // Препринт. М.: МИЭМ, 2008. - 46 с.

Чемин А.А., Смолин В.М. Комплексный подход к построению подсистемы защиты информации в автоматизированной системе обеспечения ВМФ цифровой картографической информацией.// Научно-технический сборник №33. СПб.: ГНИНГИ МО РФ, 2009. - с. 43-53. (Автору принадлежит 7 е.).

Чемин А.А. Методика оценки эффективности систем защиты информации. Связанный Байесовский вывод. // Тезисы докладов ежегодной Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ. М.: МИЭМ, 2009.

Чемин А.А. «Методы анализа защищенности распределенных информационных систем специального назначения».// Препринт. М.: МИЭМ, 2009. -45с.

Структура и объем диссертации.

Диссертация состоит из четырех глав, введения, заключения, списка литературы и приложений.

Тенденции развития и задачи организации информационной безопасности в специализированных распределенных ИС.

Расширяющаяся пропасть» между угрозами информационной безопасности и тем, что делается для защиты от них, так эмоционально обозначается тенденция, которая отчетливо проявилась к настоящему времени [108].

С увеличением количества пользователей компьютерных систем стала расти и доступность таких систем для широких масс населения, что привело к понижению квалификации среднего пользователя. Данное обстоятельство существенно облегчило задачу злоумышленника, так как большинство из таких пользователей не в состоянии постоянно поддерживать безопасность своих систем на должном уровне, так как это требует соответствующих знаний, навыков, а также времени и средств.

В результате, организации, их информационные системы и сети все чаще стали сталкиваться с различными угрозами безопасности. При этом, наряду с такими источниками ущерба, как компьютерные вирусы, взлом и атаки типа отказа в обслуживании, которые требовали высокой квалификации злоумышленника, начали развиваться способы компьютерного мошенничества и социальной инженерии. Их проявление стало более распространенным, более агрессивными все более изощренным.

Организации становятся все более зависимыми от информационных систем и услуг, а следовательно — все более уязвимыми по отношению к угрозам безопасности. Этому также стало способствовать и применение технологии клиент-сервер, которая превратила сетевую архитектуру в распределенные вычислительные среды. В связи с чем, безопасность такой сети стала зависеть от всех ее элементов вычислительной техники, так как злоумышленнику теперь достаточно получить доступ к одному из них, чтобы нанести ущерб всей системе.

Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов повысило сложность управления доступом к информации. При этом, тенденция к использованию распределенной обработки данных ослабила эффективность способов централизованного контроля доступа[65].

В особенности это сало чувствительным для КВИС (или, как их еще называют - ключевые системы информационной инфраструктуры, далее - КСИИ [98]), от безопасного функционирования которых зависит не только благополучие, но и жизни людей.

Согласно ГОСТ Р 51583-2000 [71] к таким системам отнесены не только системы, содержащие гостайну, но и системы, используемые в управлении экологически опасными объектами.

При этом, исходя из определения понятий ценной информации и критически важных объектов, указанных в РД по Разработке СЗИ [88] и Требованиях по ОБИ КСИИ [98], критически важными также можно называть и другие информационные системы управляющие объектами, нарушение функционирования которых может привести к чрезвычайной ситуации или значительным негативным последствиям, а также системы обрабатывающие информацию, ущерб от нарушения защиты которой (связанный, например, с утечкой промышленных и коммерческих секретов) может превысить 1 млн. рублей.

Примером таких систем могут быть АС управления атомными и гидроэлектростанциями, станциями муниципального электро и водоснабжения, навигацией и безопасностью дорожного, морского и железнодорожного движения, ИС финансово-кредитной и банковской деятельностью, предупреждения о радиационном заражении и т.п.

Кроме того, необходимо учесть, что это распределенные комплексы средств автоматизации, объединенные единой сетью имеющей удаленный доступ к её ресурсам и использующие общедоступные каналы связи. При этом использование общедоступных каналов связи для управления данными системами постоянно растет. Например, в США для АС управления войсками уже используется до 95% гражданских линий связи, включая использование глобальной сети Интернет и спутников связи Интелсат. Известны случаи, когда корректировка огня артиллерийских батарей, велась, используя электронные карты, за тысячи миль от своих боевых позиций. Большинство пилотов военной авиации после вылета на задание перенацеливается уже в ходе полета, поражая цели с ходу, что значительно снижает боевые потери.

Также отмечается и то, что с повышением оперативности выполнения задач, решаемых при помощи КВИС, существенно снизились требования к конфиденциальности обрабатываемой информации, так как время её актуальности стало несопоставимо со временем возможной реакции и ответных действий.

Более существенное значение приобрели понятия целостности, доступности, оперативности и непрерывности технологических процессов, командной и управляющей информацией, которые не относятся к информации ограниченного доступа. Таким образом, на первое место встала эффективность функционирования АСУ, как главного системообразующего и управляющего компонента систем и комплексов, который определяет устойчивость их функционирования при сборе, обработке и передаче данных.

КВИС, а также другие системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности информации, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий), получили названия — специальные информационные системы (СпецИС).

К СпецИС, также отнесены информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья граждан, а также, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия или иным образом затрагивающих права и законные интересы граждан2.

При этом одним из наиболее важных критериев отнесения ИС к СпецИС является то, что построение их СЗИ базируется не на типовых требованиях, установленных в зависимости от класса защищенности (безопасности) АС (ИС), а в зависимости от угроз, которые могут быть реализованы в результате нарушения характеристик безопасности информации.

2 Приказ ФСТЭК, ФСБ и Минннформсвязи от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка классификации информационных систем персональных данных».

Это также исходит из того, что одной из особенностей эксплуатации СпецИС является создаваемая ими высокая опасность для общества в целом в связи с активной разработкой развитыми государствами «информационного оружия», которое как раз и ориентировано на то, что при относительно низком уровне затрат на его создание имеет высокий уровень эффективности применения [2].

Считается, что в обозримом будущем достижение конечных целей в конфликтных ситуациях будет осуществляться не столько ведением боевых действий, сколько подавлением систем государственного и военного управления, навигации и связи, а также воздействием на другие КВИС, от которых зависит устойчивость управления экономикой и вооруженными силами государства.

Обладая ударной силой для уничтожения соперника, информационное оружие не требует создания специализированных производств и сложной инфраструктуры по его эксплуатации. Разработка и реализация деструктивных воздействий по силам небольшой группе или даже одному специалисту, при этом нет необходимости физически пересекать границы и подвергать риску жизнь личного состава. Его уникальность заключается в том, что чем более развита информационная инфраструктура, тем шире набор целей.

Чтобы понять масштабы угрозы, достаточно представить, что будет, если в результате воздействия произойдет вброс в систему водоснабжения неочищенной (или наоборот пресыщенной хлористыми соединениями) воды, заведомо ложное информирование больших групп населения о высокой степени радиационного заражения или будут изменены итоги голосования в государственной автоматизированной системе «Выборы».

При этом общество уже сталкивается с одной из форм использования информационного оружия путем хищений и мошенничества, совершенных с помощью компьютерных преступлений, ежегодные потери от которых только через сеть Интернет, достигают более 5 млрд. дол.

Проводимые различными ведомствами учения по имитации несанкционированного проникновения в информационные системы показали, что 88% информационных атак увенчались успехом, из которых обнаруживаются только 4%.

При этом в зарубежных источниках утверждается, что сегодня в 30 странах мира ведутся программы по созданию средств информационного противоборства (информационного оружия). Так, в директивах Пентагона появилось совершенно новое и непривычное понятие - "информационная операция", которое совершило подлинную революцию в военном деле. В основу "информационной операции" против Ирака, как это уже официально записано в руководящих документах вооруженных сил США, был положен классический прием ведения войны - дезорганизация управления. Исход поединка "Давида и Голиафа" решил внезапный удар в "голову" противника, потерявшего "зрение", "слух" и "речь" почти одновременно [25].

За несколько недель до начала ведения боевых действий через агентуру с помощью портативных компьютеров в Багдаде были внедрены программные "вирусы-закладки", которые в назначенный день и час отключили телефонные станции и радиолокационные посты, парализовав уже в первые минуты воздушного налета систему ПВО Ирака. Это позволило авиации в первые несколько часов уничтожить основные объекты иракской системы ПВО и через 10 дней завоевать превосходство в воздухе [25].

Планирование деятельности, навигация, связь, материально-техническое снабжение, инженерное оборудование, транспортировка грузов, медицинское обеспечение, финансирование, госзаказ и электронная торговля прочно обосновались в паутине компьютерных сетей.

Таким образом, новым объектом информационных атак со стороны специально создаваемых и профессионально ориентированных на это организаций стали СпецИС.

Для их нейтрализации при создании СпецИС в защищенном исполнении появились новые требования по созданию систем обнаружения компьютерных атак (СОКА) или обнаружения вторжений (СОВ), анализа защищенности (САЗ), а также ряд дополнительных требований.

В результате СпецИС приобрели более жесткие требования к обеспечению их безопасности, времени и порядку выполнения автоматизированных функций, а также к оценке их защищенности от негативных информационных воздействий.

Выводы по третьей главе

С использованием Байесовского вывода получено распределение вероятностей по целям воздействия на СпецИС, показана возможность составления Байесовской сети доверия и моделирования различных ситуаций.

Т.о. был разработан метод проведения декомпозиции угроз и способов их реализации по конкретным типам нарушителей, что позволяет установить риски, создаваемые теми или иными потенциальными злоумышленниками, а также составить Модель нарушителя исходя из их потенциальной опасности.

При этом, моделирование таких рисков показывает, что наибольшую опасность представляют так называемые инсайдеры — сотрудники, которые в организации наделены вполне легальными полномочиями. Им гораздо проще получить доступ к интересующей их информации, чем любому постороннему лицу. Да и практика расследований также свидетельствует о том, что успешность атаки напрямую зависит от наличия в организации сотрудника, который способствует её реализации.

Глава IV. Архитектурные решения по построению СЗИ, практическая реализация и результаты исследовании

Практическое внедрение предложенных методов было реализовано в АСО ЦКИ «Багрень-2».

В соответствии с ТТЗ на ОКР «Багрень-2» целью её выполнения является создание автоматизированной системы обеспечения цифровой картографической информацией, разрешенной к открытому опубликованию в соответствии с Приказом ГК ВМФ от 19.04.99 № 155.

Тем не менее, следуя аналитической оценке возможных рисков, а также исходя из требований ст. 6, 9 Закона РФ «О государственной тайне» о необходимости заблаговременного отнесения получаемых в ходе ОКР сведений к гостайне, Заказчиком были заданы требования по проведению системных исследований возможностей получения информации, подлежащей засекречиванию, и локализации последствий её разглашения при использовании образца.

Целевой функцией проведения системных исследований стало составление перечня охраняемых сведений, которые могут быть получены в результате разглашения сведений, как об АС, создаваемой в ходе ОКР, так и циркулирующей в ней сведений.

В качестве исходных данных для проведения системных исследований были предусмотрены информационные риски, связанные с возможностью получения при несанкционированном использовании системы следующих засекреченных сведений, раскрывающих:

- картографическую обеспеченность подразделений для специфического функционирования военных объектов;

- содержание карт и планов крупных масштабов в графической, векторной, растровой, цифровой (электронной) и иных формах представления;

- содержание описательной информации на режимные объекты, районы, военно-морские базы, операционные направления;

- планы, организацию или осуществление мероприятий навигационно-гидрографического обеспечения. Планы и схемы гидрографических или геофизических исследований, их характер;

- материалы, позволяющие вычислить или уточнить координаты географических или гидрографических объектов, не подлежащих открытому опубликованию;

- местоположение режимных объектов, в том числе его географические, геоцентрические или прямоугольные координаты, линейные и угловые величины, привязку к ориентирам на местности, а также геопространственная информация, позволяющая соотнести её с режимным объектом;

- наносимую на карты специальную нагрузку, содержащую сведения, подлежащие засекречиванию в ВС РФ, ФАП и Роскартографии.

Кроме того, были выделены информационные риски, связанные с возможностью разглашения в ходе создания системы и выполнения ОКР следующих сведений, подлежащих засекречиванию, и раскрывающих: содержание или направленность опытно-конструкторских работ, проводимых в интересах обороны и безопасности государства; геопространственные сведения по территории Российской Федерации и другим районам Земли, раскрывающие результаты картографической или геодезической деятельности, имеющие важное оборонное или экономическое значение; о дислокации, назначении, степени готовности, защищенности, обеспечении безопасности или эксплуатации режимных объектов; о составе или состоянии систем управления войсками; о применении в военных целях средств, технологий двойного назначения; расходы денежных средств на опытно-конструкторские работы по созданию военной техники; методы, способы или средства защиты информации, содержащей сведения, составляющие государственную тайну, а также направленные на обеспечение режима секретности, планируемые и (или) проводимые мероприятия по защите информации от несанкционированного доступа, иностранных технических разведок и утечки по техническим каналам.

Таким образом системы навигационного обеспечения в условиях современного противоборства стали уязвимой целью.

В связи с чем, оценка угроз информационной безопасности АСО ЦКИ также зависит от боевой устойчивости системы навигационного обеспечения в целом.

Заключение (основные результаты и выводы)

1. Проведенный обзор и сравнительный анализ распространенных моделей безопасности, механизмов защиты информации и нормативно-методических документов выявил ограничения в их применении при построении политик безопасности СпецИС. Эти ограничения приводят к противоречивости в их применении и неадекватности актуальным угрозам, что существенно снижает показатели эффективности таких систем.

Показано, что наиболее адекватно сущность механизмов защиты отражает метод оценки их эффективности по показателям риска и ущерба от нарушений безопасности, которые позволяет формализовать положения правил ПБ и конструктивно описать свойства механизмов защиты, а также распределить функции защиты между различными уровнями распределенного взаимодействия. Использование предложенного метода позволяет осуществить переход от формализованных правил к требованиям практической реализации.

2. Разработан метод построения модели угроз, базирующийся на схеме преднамеренных угроз, отличающийся формой организации знаний о предметной области преднамеренных угроз, систематизированных в морфологическую структуру модели нарушителя, несанкционированного доступа и оценки ущерба от деструктивного действия. Это позволяет осуществлять всесторонний анализ гипотезы о реальных угрозах, их актуальности и потенциала нарушителей еще на стадии предпроектного обследования и, следовательно, повысить адекватность модели угроз для конкретной СпецИС.

3. Разработан метод анализа моделей противодействия угрозам нарушения информационной безопасности, базирующийся на выборе рационального варианта реагирования, новизна которого заключается в принятии решения на множестве альтернатив средств и методов защиты в зависимости от определения уровня эф-фективности, удовлетворяющего оптимальным показателям риска возникновения угроз и затрат, необходимых на их нейтрализацию в конкретной СпецИС. Метод позволяет заменить традиционно применяемые оценки взломостойкости их вероятностными аналогами и оценками эффективности, а также осуществлять динамическую оптимизацию механизмов защиты.

4. Разработан метод формирования рационального комплекса средств защиты, основанный на анализе морфологических признаков рубежей защиты, вероятности их преодоления, набора средств защиты (с учетом матрицы их совместимости), оценки технических характеристик, новизна которого заключается в выборе механизмов защиты по их целевой функции, исходя из соотношения показателей «эффективность-стоимость» к показателю «ущерб-эффективность». Данный метод позволяет проводить комплексные тематические и сертификационные исследования по взаимно-однозначному определению соответствия применяемых средств защиты угрозам, возникающим в СпецИС, новизна которых заключается в определении уровня эффективности механизмов защиты информации, применяемых в системе, по соотношению показателей предельных издержек и допустимого ущерба, определяющих риск функционирования СпецИС.

5. Разработан метод и алгоритм оценки уровня эффективности системы защиты информации, новизна которого заключается в том, что необходимые для расчетов вероятности угрозы оцениваются на основе численных методов представления аналитического прогнозирования событий, технических характеристик средств защиты и статистических данных по инцидентам информационной безопасности, что позволяет обеспечить применимость метода и алгоритма не только на стадии создания СЗИ, но и выполнять анализ эффективности её функционирования в ходе эксплуатации и экспертизы инцидентов.

6. Разработанные методы объединены в методику, регламентирующую их практическое применение при построении СЗИ. Методика и конкретные методы использованы при создании комплекса средств, необходимых для подсистемы защиты информации в АСО ЦКИ и защиты персональных данных в ГИС ОМС ТФОМС.

Использование методов оценки уровня эффективности позволило обосновать достаточность требований, к используемым функциям безопасности исходя из актуальных угроз и действительных рисков их реализации, а также более эффективно перераспределить ресурсы, выделенные на защиту данных СпецИС.

1. Анин Б.Ю. «Защита компьютерной информации» - СПб.: БХВ-Петербург, 2000. - 384 с. 1.BN 5-8206-0104-1

2. Баранов А.П., Борисенко Н.П., Зегжда П.Д., Корт С.С., Ростовцев А.Г. «Математические основы информационной безопасности». Орел, 1997г.

3. Белкин П.Ю., Михальский О.О., Першаков А.С. и др. «Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных». Учебное пособие для вузов. М: Радио и связь. - 1999. — 168 с.

4. Блэк У. «Интернет: протоколы безопасности». СПб: Питер, 2001. -288 с.

5. Ганин М.П. «Прикладные методы теории выработки решений». СПб: ВМА им. Н.Г.Кузнецова, 2007.

6. Дорот В., Новиков Ф. «Толковый словать современной компьютерной лексики». СПб: БХВ-Петербург, 2004.

7. Жельников В. «Криптография от папируса до компьютера». — М: ABF, 1996.-336 с.

8. Костогрызов А.И., Липаев В.В. «Сертификация функционирования автоматизированных информационных систем». Москва: Изд. "Вооружение. Политика. Конверсия", 1996. - 280 с.

9. Вахитов Ш.К. Монография «Новый (совершенно иной) подход к вопросу выбора показателя боевой эффективности сил и средств», Минобороны России, 2002 г.

10. Василенко О. Н. Теоретико-числовые алгоритмы в криптографии. — М.: МЦНМО, 2003.—328 с.

11. Галатенко В.А. «Основы информационной безопасности» М.: ИНТУИТ.РУ "Интернет-Университет Информационных Технологий", 2003. 280 с.

12. Гриняев С.Н. «О ходе работ в Министерстве обороны США по реализации основных положений национального Плана защиты информационных систем» http: //www.agentura.ru /equipment /psih /info /RU /EQUIPMENT /PSIH /INFO

13. Девянин П.Н. «Модели безопасности компьютерных систем: учебное пособие для студ. высш. учеб. заведений». — Москва: Издательский центр «Академия», 2005. -144 с.

14. Домарёв В.В. "Безопасность информационных технологий. Методология создания систем защиты информации" (Второе издание). Киев: ТИД Диа Софт, 2002. - 688 с.

15. Зегжда П.Д., Зегжда Д.П., Корт С.С., Семьянов П.В., Кузьмич В.М., Медведовский И.Д., Семьянов П.В., Ивашко A.M., Баранов А.П. «Теория и практика обеспечения информационной безопасности», М: «Яхтсмен», 1996. 192 с.

16. Зегжда Д.П., Ивашко A.M. «К созданию защищенных систем обработки информации. Проблемы информационной безопасности». Компьютерные системы. №1 1999. С. 99-106.

17. Зегжда Д.П., Ивашко A.M. «Основы безопасности информационных систем». М: Горячая линия - Телеком, 2000. — 452.

18. Зима В.М., Молдовян А.А., Молдовян Н.А. «Безопасность глобальных сетевых технологий». СПб: БХВ-Петербург, 2000. - 320 с.

19. Кононов Ю.М., Директоров Н.Ф., Дорошенко В.И., Житов Ю.И., Зава-лишин А.А., Мирошников В.И., Мясников О.Г., Ничиков А.В., Соловьев И.В., Шпак В.Ф. «Автоматизация управления и связь в ВМФ», СПб: «Элмор», 2001.

20. Лукацкий А.В. «Обанаружение атак». СПб: БХВ-Петербург, 2001.624 с.

21. Манойло А.В., «Государственная информационная политика в особых условиях». Монография. Москва: МИФИ, 2003 г. 388 с.

22. Митник К., Саймон В. «Искусство обмана», Перевод: Yarlan Zey. Москва: Компания АйТи, 2004 г. ISBN 5-98453-011-2.

23. Медведовский И.Д., Семьянов П.В., Леонов Д.Г. «Атака на Internet». СПб: Издательство ДМК, 1999 г.

24. Медведовский И.Д., Семьянов П.В., Леонов Д.Г., Лукацкий А.В. «Атака из Internet». СПб: Солон-Р, 2002 г.

25. Мещеряков Р.В., Шелупанов А.А., Белов Е.Б., Лось В.П. «Основы информационной безопасности». Томск: ТУСУР и ИКСИ Академии ФСБ России, 2002.-350 с.

26. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. «Защита информации в компьютерных системах и сетях». 2-е изд., перераб. и доп. — М: Радио и связь, 2001.-376 с.

27. Саати Т.Л. «Математические модели конфликтных ситуаций», Пер. с англ. под ред. Ушакова И.А., Мск, «Сов. радио», 1977.

28. Соколов А.В., Шаньгин В.Ф. «Защита информации в распределенных корпоративных сетях и системах». М: ДМК Пресс, 2002. - 656 с.

29. Стрижов В.В. «Методы индуктивного порождения регрессионных моделей». Москва: ВЦ им. Дородницына А.А. РАН, 2008 г. — 61 с.

30. Турский А. Панов С. «Защита информации при взаимодействии корпоративных сетей в Internet». Конфидент. — 1998. № 5. — С. 38-43.

31. Atkinson R. "IP Authentication Header (AH)", RFC 1826. Naval Research Laboratory, August 1995.

32. Atkinson R. "IP Encapsulating Security Payload (ESP)", RFC 1827. Naval Research Laboratory, August 1995.

33. John J. Garstka «Обозревая особенности теории сетецентричной войны». Материалы IV конгресса евразийской интеллектуальной молодежи «Сетевые войны». Москва, С. 38-45, 2007 г.

34. Goguen J.A., Meseguer J. Security Policies and Security Models, Proceeding of the IEEE Symposium on Security and Privacy. 1982, pp.l 1-20.

35. Goguen J.A., Meseguer J. Unwinding and Interface Control. Proceeding of the IEEE Symposium on Security and Privacy. 1984, pp.75-86.

36. Kent S.T. "Internet Security Standards: Past, Present & Future". Standard-Viev. 1994. - V.2. - pp. 78-85.

37. Stephen Northcutt, Judy Novak. «Network Intrusion Detection». 3rd edition. Indianapolis, Indiana 46290: «New Riders», 2002. 456 p.

38. Ravi S. Sandhu, Edward J. Coyne, Hal L. Feinstein and Charles E. Youman Role-Based Access Control Models. IEEE Computer, Volume 29, N2, February 1996, pp. 38-47.

39. Bruce Schneier. "Why Cryptography Is Harder Than It Looks". Электронный ресурс] / Schneier.com is a personal website [1997] — Режим доступа: http://www.schneier.com/essay-037.html.

40. David J. Stang, Sylvia Moon. "Network Security Secrets". IDG Books Worldwide, 1995.

41. Закон Российской Федерации от 21 июля 1993 г. № 5485 «О государственной тайне».

42. Федеральный закон Российской Федерации от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».

43. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

44. Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г. N Пр-1895.

45. Постановление Правительства РФ от 4 сентября 1995 г. № 870 «Правила отнесения сведений, составляющих государственной тайну, к различным степеням секретности».

46. Постановление Правительства РФ от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации».

47. Математическая физика. Энциклопедия. М. БРЭ, 1998 г.

48. ГОСТ Р ИСО/МЭК 9594-8-98 «Информационная технология. Взаимосвязь открытых систем. Справочник»: ч 8. — Основы аутентификации.

49. ГОСТ Р ИСО/МЭК ТО 13335-2006 «Информационная технология. Методы и средства обеспечения безопасности информации»: ч. 1 Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

50. ГОСТ Р ИСО/МЭК ТО 13335-2006 «Информационная технология. Методы и средства обеспечения безопасности информации»: ч. 3 Методы менеджмента безопасности информационных технологий.

51. ГОСТ Р ИСО/МЭК ТО 13335-2006 «Информационная технология. Методы и средства обеспечения безопасности информации»: ч. 4 Выбор защитных мер.

52. ГОСТ Р ИСО/МЭК ТО 13335-2006 «Информационная технология. Методы и средства обеспечения безопасности информации»: ч. 5 Руководство по менеджменту безопасности сети.

53. ГОСТ Р ИСО/МЭК 15026-2002 «Информационная технология. Уровни целостности систем и программных средств».

54. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности информации. Критерии оценки безопасности информационных технологий»: ч. 1 — введение и общая модель.

55. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности информации. Критерии оценки безопасности информационных технологий»: ч. 2 функциональные требования безопасности.

56. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности информации. Критерии оценки безопасности информационных технологий»: ч. 3 — требования доверия к безопасности.

57. ГОСТ Р ИСО/МЭК 17799 2005 «Информационная технология. Практические правила управления информационной безопасностью».

58. Международный стандарт ИСО/МЭК 27002-2007 «Информационные технологии. Свод правил по управлению защитой информации».

59. ГОСТ 28147-89 «Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

60. ГОСТ РВ 50170-92 «Определение видов разведок».

61. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения».

62. ГОСТ Р 51275-99 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения".

63. ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».

64. ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования».

65. ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения»

66. ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»

67. ГОСТ Р 51901.4-2005 «Менеджмент риска. Руководство при проектировании при проектировании»

68. ГОСТ Р 51901.11-2005 «Менеджмент риска. Исследование опасности и работоспособности. Прикладное руководство».

69. ГОСТ Р 51901.14-2005 «Менеджмент риска. Структурная схема надежности и булевы методы».

70. ГОСТ Р 51901.15-2005 «Менеджмент риска. Применение марковских методов».

71. ГОСТ Р 52448-2005 «Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения».

72. ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества».

73. ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

74. ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».

75. ГОСТ Р ИСО/МЭК 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель»: часть 1 — Базовая модель.

76. ГОСТ Р ИСО/МЭК 7498-2-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель»: часть 2 Архитектура защиты информации.

77. Нормативно-методический документ. Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР). Москва, Гостехкомиссия России, 1997 г.

78. Нормативно-методический документ. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282. Москва, 2002 г.

79. РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Термины и определения».

80. РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" (РД АС).

81. РД Гостехкомиссии России "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (РД СВТ).

82. РД Гостехкомиссии России " Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации " (РД Концепция ЗИ от НСД).

83. РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (РД МЭ).

84. РД Гостехкомиссии России «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларируемых возможностей».

85. Методический документ Гостехкомиссии России «Методические рекомендации по разработке развернутых перечней сведений, составляющих государственную тайну». Москва, Решение Гостехкомиссии России от 3 декабря 1995 г. № 29

86. Методический документ ФСТЭК России «Методические рекомендации по технической защите информации, составляющей коммерческую тайну». Москва, 25 декабря 2007 г.

87. Методический документ ФСТЭК России «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (Требования по ОБИ КСИИ). Москва, 18 мая 2007 г.

88. Методический документ ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных». Москва, 15 февраля 2008 г.

89. Методический документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Москва, 14 февраля 2008 г.

90. Методический документ ФСТЭК России «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры». Москва, 18 мая 2007 г.

91. Методический документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Москва, 15 февраля 2008 г.

92. Концепция аудита информационной безопасности систем информационных технологий и организаций (проект). Электронный ресурс] / Официальныйсайт ФСТЭК России — Москва: 2006. Режим доступа: http://www.fstec.ru/razd/info.htm — Загл. с экрана.

93. РД 50-680-88 «Автоматизированные системы».

94. РД 50-682-89 «Автоматизированные системы. Общие положения».

95. РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».

96. Учебное пособие. Информационная безопасность и защита информации. Ростов-на-Дону. Ростовский юридический институт МВД России, 2004. 82 с.

97. Список используемых сокращений

98. КОК комплекс оценки качества ИС.73

99. МАИ метод анализа иерархий.132

100. ПРД правила разграничения доступа.25

101. РМД ролевая модель разграничения доступа.26

102. СЗИ — система защиты информации.17

103. СОКА система обнаружения компьютерных атак.29

104. СПВ — специальное программное воздействие.29

105. СФ среда функционирования АС или СрЗИ (употребляется в зависимости от контекстаизложения).30

106. СФС — среда функционирования СпецИС.22

107. ТСО технические средства охраны.26

108. TCP технические средства разведки.122

109. ФР функция распределения.74

110. ОП оперативная память ОС - операционная система

111. А={ак} уровни конфиденциальности (секретности);1. С стоимость.

112. Cz стоимость механизмов защиты.

113. D субъекты доступа информационной системы;1. Е — эффективность.

114. Еес эффективность мер защиты в соотношении «эффективность-стоимость», т.е. ожидаемое снижение риска информационной угрозы в результате установки механизмов защиты и соответствующих расходов.

115. Euc эффективность действий нарушителя в соотношении «ущерб-стоимость», т.е. ожидаемый ущерб в результате реализации угроз и расходов на еёреализацию.

116. Eua эффективность действий нарушителя в соотношении «эффективность-стоимость», т.е. его ожидаемая выгода от успешной атаки. Ех - способы реализации угроз Ed - деструктивное действие

117. О ресурсы информационной системы, они же объекты воздействия и объекты доступа;1. G виды ущерба

118. Н уровни нарушителей (агентов угрозы)1. Mz — механизмы защиты1. S={Sj} сведения;1. U виды угроз1. Y виды уязвимостей1. Z показатель защищенности

119. В ОКР «Автоматизированная система обеспечения ВМФ цифровой картографической информацией» (шифр «Багрень-2»).

120. Кроме того, на основании выполненных исследований в указанных ОКР и НИР Чеминым А.А. были опубликованы следующие научные статьи в изданиях ГНИНГИ МО РФ:

121. Председатель комиссии: доктор военных наук,профессор1. А.И.Исмаилов

122. Члены комиссии: кандидат технических наук^кандидат технических науки V-.i С

123. ПРЕДСЕДАТЕЛЬ КОМИССИИ: кандидат физико-математических наук

124. ЧЛЕНЫ КОМИССИИ: кандидат технических науккандидат физико-математических наук1. В.В.Филиппов

125. С.З.Данилюк А.В .Поташников1. Выпискаиз Основных положений единой методологии определения размеров ущерба, который может быть нанесен безопасности вследствие распространения охраняемых сведений

126. При рассмотрении сведений о конкретном объекте величина относительного ущерба при распространении /-го сведения является функцией времени а;(Т) и определяется некоторым рейтингом г,-.

127. Рассматриваемая задача решается поэтапно.

128. В начале (в момент времени Тн) определяется возможный ущерб ri(Ui,Li) и степень секретности ол(Тн) сведения Si, затем на множестве схем распространения Li(T) находится рациональная схема распространения Li*(T).

129. По рациональной схеме Li*(T) или фиксированной схеме Liq(T) определяется функция секретности ai*(T).

130. Дальнейшие исследования модели показывают, что её наиболее приемлемая реализация заключается в поиске критерия эффективности сокрытия сведений в течение прогнозируемого момента времени при его распространении по некоторым фиксированным схемам.

131. Ki(Tn) = l-p.(TY) ; (П2.48)где:

132. Тн начальное время принятия решения на оценку степени секретности сведения Si;

133. Тп момент времени определения основных характеристик схем распространения информации (шаг прогноза);

134. Tj целесообразный момент времени пересмотра степени секретности сведения Si;

135. Kq (Tj) показатель эффективности скрытия сведения Si на момент времени Tj при его распространении по q-й схеме;

136. CPi(Tj) стоимостная величина возможного ущерба от раскрытия сведения1. Si;

137. Cql(Tj) стоимость потерь от ограниченного распространения сведения Si по q-й схеме на момент времени Tj;

138. Pq(T) вероятность защиты сведения Si на момент времени Tj при его распространении по q-й схеме;

139. Р j(T) требуемая вероятность защиты сведения Si.

140. Однако подсчитано, что прямой перебор всех возможных функций секретности и поиск рациональной функции практически нереализуем из-за большого количества оценок, которые должны быть проведены.