автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методика обработки рисков нарушения безопасности информации в объектно-ориентированных сетях хранения данных

На правах рукописи Алферов Игорь Леонидович

МЕТОДИКА ОБРАБОТКИ РИСКОВ НАРУШЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ОБЪЕКТНО-ОРИЕНТИРОВАННЫХ СЕТЯХ ХРАНЕНИЯ ДАННЫХ

Специальность: 05.13.19 - «Методы и системы защиты информации, информационная безопасность»

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Автор:

,1 з т ?ою

Москва-2010

004601851

Работа выполнена в Национальном исследовательском ядерном университете «МИФИ» (НИЯУ МИФИ)

Научный руководитель: кандидат технических наук, доцент

Запечников Сергей Владимирович

Официальные оппоненты: доктор технических наук, профессор,

заслуженный деятель науки РФ Ловцов Дмитрий Анатольевич

кандидат физико-математических наук, доцент Варфоломеев Александр Алексеевич

Ведущая организация: Санкт-Петербургский институт информатики и

автоматизации Российской академии наук (СПИИРАН)

Защита состоится ч5£ »

2010 г. в ¿5 часов 00 минут на

заседании диссертационного совета ДМ 212.130.08 при Национальном исследовательском ядерном университете «МИФИ» по адресу. 123557, г. Москва, ул. Пресненский вал, д. 19, Центр информационных технологий и систем органов исполнительной власти (ЦИТиС), тел. для справок: +7 (495) 323-95-26, 324-84-98.

С диссертацией можно ознакомиться в библиотеке Национального исследовательского ядерного университета «МИФИ».

Отзывы в двух экземплярах, заверенные печатью организации, просьба направлять по адресу: 115409, г. Москва, Каширское ш., д. 31, диссертационные советы МИФИ, тел.:+7 (495) 323-95-26.

Автореферат разослан « 23 .» лирел-Я_20Юг.

Ученый секретарь диссертационного совета:

кандидат технических наук, доцент

Горбатов В.С.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Информационные технологии к настоящему времени стали фундаментальным средством автоматизации и повышения эффективности труда, проникшим во все сферы человеческой деятельности. Развитие современных коммерческих и общественных организаций происходит параллельно с развитием используемых ими информационных систем (ИС), в которых все большие требования предъявляются к объему, оперативности доступа, надежности и безопасности долговременного хранения массивов данных.

Для удовлетворения растущих требований до последнего времени применялись две наиболее популярные архитектуры - сети хранения данных (СХД, англ. Storage Area Network, SAN) и сетевые хранилища данных (англ. Network Attached Storage, NAS). Обе архитектуры предназначены для обеспечения эффективного доступа к данным со стороны клиентских узлов сети, но каждая обладает своими недостатками. В частности, в СХД организация совместного доступа к данным возможна только с помощью вспомогательных внешних механизмов синхронизации доступа между клиентами, требующих дополнительного сетевого взаимодействия, в то время как в сетевых хранилищах данных все передаваемые данные проходят через централизованный сервер, что ограничивает производительность и масштабируемость сети. Кроме того, в обеих архитектурах используется традиционный блочный интерфейс доступа к устройствам хранения данных (УХД), предполагающий выполнение функций оптимизации, связанных с физическим распределением данных и их кэшированием, клиентским программным обеспечением. В большинстве случаев в качестве клиентского программного обеспечения выступает реализация какой-либо файловой системы общего назначения, которая выполняет лишь поверхностную оптимизацию независимо от специфики отдельных массивов хранимых данных. Также блочный интерфейс не позволяет реализовать эффективную модель безопасности, так как управление доступом включает в себя решение сложной задачи отображения правил доступа на блочный уровень и требует высоких затрат ресурсов, а имеющаяся возможность управления доступом на уровне логических разделов УХД не обладает достаточной гибкостью.

Все эти сложности традиционных подходов привели к возникновению новой технологии, соединяющей их достоинства и устраняющей недостатки - архитектуре объектного хранения данных (англ. Object Storage Architecture, OSA). Исследования таких ученых, как G. Gibson, D. Nagle, H. Gobioff, J. Zelenka, P. Braam, и других специалистов в 90-х годах заложили основы концепции объектного хранения данных, как способа повышения масштабируемости и производительности систем хранения данных посредством расширения функций обработки информации, выполняемых УХД. В последние несколько лет концепция объектного хранения данных получила существенное развитие совместными усилиями представителей различных фирм-производителей (HP, IBM, Intel, Lingua Data, Panasas, Seagate, Veritas, Xyratex) в рабочей группе OSD Technical Workgroup ассоциации SNIA (Storage Networking Industry Association). Данная архитектура продолжает стремительно развиваться и ее промышленные реализации (например, PanFS, Lustre) уже применяются для практического решения задач хранения данных.

Одним из важных движущих факторов при разработке архитектуры объектного хранения данных являлось обеспечение безопасности информации (ОБИ) в построенных на основе этой архитектуры сетях. Вопросы ОБИ в системах хранения данных, использующих концепцию объектного хранения данных, исследовали Н. Gobioff, В. Reed, A. Azagury, М. Factor, S. Halevi, D. Naor, V. Kher, С. Olson, E. Miller, D. Nagle, A. Leung и другие известные зарубежные специалисты. Среди отечественных трудов можно отметить работы С. В. Запечникова, посвященные решению задач ОБИ в СХД, а также научные и практические положения в области ОБИ в распределенных компьютерных системах, разработанные А. Ю. Щербаковым, Д. П. Зегждой, Д.А. Ловцовым и др.

Принятый в 2004 г. стандарт ANSI INCITS 400-2004, определяющий расширения интерфейса SCSI для взаимодействия с объектно-ориентированными УХД (ООУХД, англ. Object Storage Device, OSD), задает протокол безопасности, который выполняется при осуществлении доступа к ООУХД. Рабочая группа NFSv4 Workgroup в составе Internet Engineering Task Force (IETF) в настоящее время завершает разработку протокола NFSv4.1, включающего в себя механизмы взаимодействия клиентов с сервером метаданных и параллельного доступа к ООУХД в составе ООСХД на основе архитектуры pNFS (parallel NFS). При этом в имеющихся стандартах и проектах уровень разработанности вопросов ОБИ в ООСХД остается недостаточным. В частности, недостаточно разработанными являются методы безопасного обмена с серверами метаданных, защиты конфиденциальности данных в процессе их передачи по каналам связи, защиты данных при хранении на физических носителях.

Также следует отметить, что в современных организациях основным движущим фактором, определяющим используемые методы ОБИ, становится их экономическая эффективность. В этих условиях внедрение и использование ООСХД в современных организациях сопряжено с построением системы защиты от существующих в среде сетей хранения данных угроз, требующей комплексного экономически обоснованного подхода, применения различных стандартов и технологий и их интеграции. В связи с этим актуальной является научно-техническая задача разработки и применения методики обработки рисков нарушения безопасности информации (БИ) в ООСХД, позволяющей оптимизировать применение средств защиты информации в ООСХД с учетом связанных с ними затрат и ожидаемого ущерба от возможных нарушений БИ.

Целью диссертационной работы является повышение информационной безопасности предприятий, использующих ООСХД в составе корпоративных ИС, путем разработки и применения методики обработки рисков нарушения БИ в ООСХД, моделей и протоколов ОБИ в ООСХД.

Объектом исследования являются ООСХД.

Предметом исследования являются риски нарушения БИ в ООСХД.

В соответствии с поставленной целью в диссертационной работе решаются следующие задачи:

• анализ и систематизация существующих организационно-управленческих

подходов к ОБИ предприятий, включая методы управления рисками наруше-

ния БИ и методы ОБИ в ООСХД в рамках данных подходов, постановка задачи разработки методики обработки рисков нарушения БИ в ООСХД;

• обоснование и разработка согласованной с организационно-управленческими подходами к управлению рисками методики обработки рисков нарушения БИ в ООСХД, позволяющей учитывать требования, предъявляемые к экономическому обоснованию деятельности по ОБИ;

• разработка схемы применения механизмов защиты (МЗ) в ООСХД для комплексного снижения и устранения рисков нарушения БИ в рамках разработанной методики обработки рисков нарушения БИ в ООСХД;

• разработка комплекса протоколов аутентификации клиентских приложений при доступе к информации, размещенной на ООУХД и серверах метаданных в составе ООСХД;

• разработка модели обеспечения целостности и конфиденциальности информации, хранимой на ООУХД в составе ООСХД;

• разработка математической модели функционирования системы предотвращения вторжений уровня ООУХД;

• разработка информационного и программного обеспечения для применения методики обработки рисков нарушения БИ в ООСХД, включая примерный состав базового каталога МЗ для ООСХД и программное инструментальное средство для автоматизации выполнения методики;

• экспериментальный анализ эффективности разработанной методики обработки рисков нарушения БИ в ООСХД в промышленных предприятиях и определение практических рекомендаций по ее использованию. Основными методами исследований, используемыми в работе, являются

методы системного анализа, исследования операций, дискретной оптимизации, теории вероятностей и теории множеств.

На защиту выносятся следующие основные результаты работы:

• методика обработки рисков нарушения БИ в ООСХД;

• комплекс протоколов аутентификации клиентских приложений при доступе к информации, размещенной на ООУХД и серверах метаданных в составе ООСХД;

• модель обеспечения целостности и конфиденциальности информации, хранимой на ООУХД.

Научная новизна результатов, полученных лично автором, заключается в следующем:

• обоснована и разработана методика обработки рисков нарушения БИ в ООСХД, основанная на математической модели учета влияния БИ в ООСХД на процессы деловой деятельности (ПДД) и применении методов дискретной оптимизации для поиска экономически обоснованного набора средств защиты информации;

• разработан комплекс протоколов аутентификации узлов ООСХД при доступе к информации, размещенной на ООУХД и серверах метаданных в составе сети, на основе применения ролевой модели контроля доступа, ролевых ключей и распределенного хранения информации о политике безопасности;

• построена модель обеспечения целостности и конфиденциальности информационных объектов, хранимых на ООУХД в составе ООСХД, в том числе на устройствах, не являющихся доверенными, и реализующие ее протоколы сопровождения политики безопасности и доступа к информационным объектам, основанные на использовании алгоритмов шифрования и электронной цифровой подписи (ЭЦП), ролевой модели контроля доступа, распределенного хранения информации о политике безопасности и группового распределения ключей.

Теоретическую значимость представляет осуществленное в работе развитие математического аппарата для анализа и обработки рисков нарушения БИ, разработанная математическая модель учета влияния БИ в ООСХД на процессы деловой деятельности, разработанные модели и протоколы ОБИ в ООСХД.

Практическую значимость представляет разработанная методика обработки рисков нарушения БИ в ООСХД и реализованное программное инструментальное средство для ее автоматизации ИСКР 1.0 (подтверждается актом о внедрении результатов диссертационной работы в компании ООО "Одноклассники", актом об использовании результатов диссертационной работы в Небанковской Кредитной Организации "Международная Расчетная Палата" (ООО)). В работе сформулированы практические рекомендации по выполнению разработанной методики обработки рисков в рамках общего управления рисками нарушения БИ предприятий, организации рабочей группы для выполнения методики, определению организационного порядка ее выполнения, формированию каталога МЗ с учетом разработанной схемы применения МЗ в ООСХД, а также применению разработанного программного инструментального средства ИСКР 1.0 для уменьшения трудоемкости выполняемых процессов.

Достоверность полученных результатов подтверждается математическими доказательствами и формальными выводами основных утверждений, сформулированных в работе, использованием известных проверенных на практике методов, протоколов и алгоритмов, а также практикой применения результатов работы в крупных промышленных предприятиях.

Реализация результатов исследования. Результаты диссертационной работы использованы для обеспечения безопасности информации в системах хранения данных компании ООО "Одноклассники" и Небанковской Кредитной Организации "Международная Расчетная Палата" (ООО), а также внедрены в учебный процесс на факультете "Информационная безопасность" Национального исследовательского ядерного университета «МИФИ». Результаты исследования представляют практическую ценность для обеспечения безопасности информации в системах хранения данных российских и зарубежных корпоративных структур различного масштаба.

Публикации и апробация работы. По теме диссертации опубликованы 10 печатных работ, в том числе 4 научных статьи в журналах Перечня ВАК и 6 тезисов научных докладов. Результаты диссертационной работы докладывались на Общероссийской научно-технической конференции "Методы и технические средства обеспечения безопасности информации" (С.-Петербург, 2006-2007 гг.), Всероссийской научной конференции "Проблемы информационной безопасности в системе высшей школы" (Москва, 2007-2008 гг.), Всероссийской научно-технической кон-

ференции студентов, аспирантов и молодых ученых "Научная сессия ТУСУР-2007" (Томск, 2007 г.), а также на семинарах кафедры "Информационная безопасность банковских систем" МИФИ (Москва, 2007-2009 гг.).

Структура и объем работы. Работа состоит из введения, четырех глав, заключения, списка использованных источников, включающего 188 наименований, и шести приложений. Текст диссертации изложен на 219 страницах, включая 12 рисунков и 7 таблиц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертации, выделены и сформулированы цель и задачи исследования, описана структурно-логическая схема диссертационного исследования.

В первой главе - "Анализ задач обеспечения безопасности информации в объектно-ориентированных сетях хранения данных" - проведены анализ и постановка задачи разработки методики обработки рисков нарушения БИ в ООСХД.

В работе исследована общая задача ОБИ в корпоративных системах хранения данных и ООСХД в частности, определены пути ее решения в рамках сложившихся к настоящему времени организационно-управленческих подходов к ОБИ, научно-методической и нормативно-технической базы в области ОБИ предприятия, а также системы стандартов и документов в области обеспечения безопасности хранения данных. На основе выявленной научно-методической и информационной базы исследования задач ОБИ в ООСХД (рис. 1) проведена постановка задачи разработки методики обработки рисков нарушения БИ в ООСХД.

/- л Экономические аспекты ОБИ

г \ Показатели для экономтеского обоснования: объем затрат, окупаемость инвестиций, чистая приведенная стоимость) внутренняя норма рентабельности V--' Выбор уровня затрат на ОБИ и набора контрмер

Оптимизационные Управление рисками задачи нарушения БИ

Процессно-орие нтиробанные

{JSO/IEC270Û1, СО BIT, ISM3,

mi/rrsM)

Организационно-управленческие подходы к ОБИ

Ориентированные »а лучшие практики

{ISO/1EC 27002, BSÍÍT-Grundschutz Catalogues, ISF Standard of Good _Practice)_

Ориентированные

на продукт (Common Criteria/ ESO/IEC15403}

Ориентированные на управление рисками

(tSO/IEC 27005, AS/NZS 4360, CRAMM, EBIOS, MAGERIT, MEHARÍ, OCTAVE, NtST SP 800-30, CO RAS)_

Источники информации по угрозам и механизмам защиты доя ООСХД в составе корпоративной ИС

Технические стандарты ^ и документация

Каталоги методов управления рисками

(ESO/¡ЕС 27002, IT-

GrundschutZ Catalogues, CRAMM, MEHARÍ)

Международные стандарты ОБИ для отдельных компонент ИТ (ISO/IEC10181, ISO/IEC 11770, tSO/lEC 18033, ISO/IEC 1802S, ISO/IEC 18043)

Лучшие практики по ОБИ для систем хранения данных (SNIA BCPs)

механизмов защиты ООСХД

(ANSI 1NCTJ3 400-2004, ANSI INCITS 426-2007, V^ RFC3723, NFS v41 Draft) JJ

Рис. 1. Научно-методическая и информационная база исследования задач ОБИ в ООСХД

Проведенное автором исследование факторов, обуславливающих потребность предприятий в ОБИ, и применяемых подходов к обоснованию затрат на ОБИ показало, что современная мировая практика требует решения как организационных, так и технических вопросов ОБИ в рамках единого экономически обоснован-

ного подхода, опирающегося на оценку технико-экономических показателей: затрат, окупаемости инвестиций (англ. Return on Investment, ROI), чистой приведенной стоимости (ЧПС, англ. Net Present Valué, NPV) и внутренней нормы рентабельности (англ. Internal Return Rate, IRR). В работе отдельно исследованы основные задачи, возникающие в ходе анализа и синтеза систем защиты информации: оценка ущерба от реализации атак нарушителей, оценка эффективности МЗ, выбор уровня затрат на ОБИ и набора применяемых мер ОБИ. Анализ известных методов и моделей для выбора уровня затрат на ОБИ и набора применяемых мер ОБИ показал, что они базируются на понятийном и алгоритмическом аппарате концепции управления рисками, а также решении оптимизационных задач с целевыми функциями, соответствующими выделенным технико-экономическим показателям.

В соответствии с концепцией управления рисками в работе введены основные теоретические понятия:

• риск - набор упорядоченных пар неблагоприятных событий и вероятностей их реализации за период времени:

ЛВД = {(01,^(г)),...,(0п,Рп(г))}, где 0¡, i=/,...,n - неблагоприятные события, Р„ i=l,...,n - вероятности их реализации, г - рассматриваемый период времени, neN, N- множество натуральных чисел;

• уровень риска - математическое ожидание ущерба, вызываемого неблагоприятными событиями риска за период времени:

\ык(т)\=£мт)т,т)], /=1

где i (Оi) - случайная величина ущерба, возникающего при единичном наступлении события 0¡, J[0¡, т) - случайная величина количества событий 0¡, наступающих за период времени г,

• ожидаемый ущерб - математическое ожидание совокупного ущерба от реализации рисков за период времени:

m

;=1

где Riskj(r), i=l, ...,m, meN-рассматриваемые риски, содержащие непересекающиеся множества неблагоприятных событий.

В работе проведен анализ и систематизация литературных источников, международных стандартов, нормативных и справочных документов, определяющих организационно-управленческие подходы к ОБИ. Показано, что предприятия испытывают потребность в инфраструктуре непрерывного управленческого контроля за ОБИ, реализуемой системами управления информационной безопасностью (СУИБ, англ. Information Security Management System, ISMS). Организационно-управленческие подходы к ОБИ условно классифицированы на несколько подгрупп: процессно-ориентированные (ISO/IEC 27001, COBIT, ITIL/ITSM, ISM3), ориентированные на лучшие практики (ISO/IEC 27002, BSI IT-Grundschutz Catalogues, ISF Standard of Good Practice), ориентированные на продукт (Common Criteria / ISO/IEC 15408), ориентированные на управление рисками (ISO/IEC 27005, AS/NZS 4360, CRAMM, EBIOS, MAGERIT, MEHARI, OCTAVE, NIST SP 800-30, CORAS). Подходы, ориентированные на управление рисками, предоставляют основу для реализации процессов управления рисками в СУИБ, построенных в соответ-

ствии с моделями СУИБ, определенными в процессно-ориентированных подходах. Выявлено, что большинство известных организационно-управленческих подходов к ОБИ и методов управления рисками нарушения БИ характеризуется недостаточной разработанностью вопросов управления затратами на ОБИ, что обуславливает необходимость более глубокой разработки вопросов экономически оправданного решения задач ОБИ в ООСХД.

Согласно существующим источникам информации по угрозам и МЗ для ООСХД в составе корпоративных ИС (каталоги методов управления рисками (ISO/IEC 27002, IT-Grundschutz Catalogues и др.), международные стандарты ОБИ для отдельных компонент ИТ (ISO/IEC 10181, ISO/IEC 18028, ISO/IEC 18043 и др.), лучшие практики по ОБИ для систем хранения данных SNIA BCPs, технические стандарты и документация МЗ ООСХД (ANSI INCITS 400-2004, ANSI INCITS 4262007, RFC 3723 и др.)) в работе проведен анализ задач ОБИ в ООСХД в рамках организационно-управленческих подходов к ОБИ. На основе выявленных структурно-функциональных особенностей ООСХД и системного анализа множества МЗ для ООСХД, приведенных в существующих источниках информации, определены недостаточно разработанные технологические возможности ОБИ в ООСХД: шифрование данных в протоколах доступа клиентов к ООУХД, использование систем обнаружения и предотвращения вторжений в среде ООСХД, хранение данных на ООУХД в зашифрованном виде, хранение кодов проверки целостности и аутентичности данных на ООУХД.

На базе полученных обзорно-аналитических результатов проведена формальная постановка основной задачи для достижения цели диссертационной работы, заключающейся в разработке методики обработки рисков нарушения БИ в ООСХД, реализующей оператор F(S,X,E,L), где S - система, состоящая из ООСХД предприятия, хранимой и обрабатываемой в них информации, а также ПДД предприятия, использующих ресурсы ООСХД, X - организационно-техническая среда эксплуатации ООСХД предприятия, Е - набор технико-экономических показателей эффективности ПДД предприятия, использующих ресурсы ООСХД, L - функция проверки ограничений на показатели эффективности Е, включающая проверку одного из возможных требований их оптимизации. Значением оператора F(S,X,E,L), если оно может быть найдено, является преобразование c(S) системы S, изменяющее уровни рисков нарушения БИ в ООСХД и приводящее к тому, что функция L для преобразованной системы дает положительный результат.

Для решения задачи разработки методики обработки рисков нарушения БИ в ООСХД, реализующей оператор F, автором выделены частные задачи разработки самой методики, ее информационного и программного обеспечения. В целях расширения множества функций L, для которых оператор F способен находить преобразования системы S, в работе поставлены задачи разработки информационного обеспечения методики: 1) разработать схему применения МЗ в ООСХД, позволяющую достичь более высокой по сравнению с моделью безопасности, предложенной в стандарте ANSI INCITS 400-2004, производительности операций аутентификации, контроля доступа и сопровождения политики безопасности; 2) разработать комплекс протоколов аутентификации клиентских приложений (КП) при доступе к информации, размещенной на ООУХД и серверах метаданных в составе ООСХД; 3)

разработать модель обеспечения целостности и конфиденциальности данных, хранимых на ООУХД в составе ООСХД; 4) исследовать эффективность применения систем обнаружения и предотвращения вторжений в среде ООСХД и разработать математическую модель функционирования системы предотвращения вторжений (СПВ) уровня ООУХД.

Вторая глава - "Обоснование и разработка методики обработки рисков нарушения безопасности информации в объектно-ориентированных сетях хранения данных" - посвящена решению задачи разработки методики обработки рисков нарушения БИ в ООСХД.

В рамках исследования решена задача обоснования и разработки согласованной с международным стандартом управления рисками нарушения БИ ISO/IEC 27005 методики обработки рисков нарушения БИ в ООСХД, устанавливающей практическую последовательность действий по реализации процессов определения контекста управления рисками, идентификации рисков, анализа рисков и обработки рисков в ООСХД. Основные результаты этого этапа исследования представлены автором диссертации в работах [1,5,6].

Разработка методики выполнена в соответствии со следующими основными требованиями: 1) определение процедур идентификации рисков, анализа рисков и обработки рисков нарушения БИ для ООСХД предприятия; 2) выбор контрмер (мер по модификации рисков нарушения БИ, включая снижение уровней рисков, передачу рисков, отказ от рисков и принятие рисков) в условиях комбинированных ограничений и требований оптимизации для технико-экономических показателей: уровень затрат, окупаемость инвестиций, ЧПС, внутренняя норма рентабельности; 3) наличие структурированной информации по возможным угрозам и МЗ (практическим реализациям контрмер снижения уровней рисков нарушения БИ) для ООСХД, позволяющей находить удовлетворяющие ограничениям и требованиям решения по обработке рисков; 4) соответствие всех процедур международному стандарту ISO/IEC 27005 и возможность их интеграции в более общие методы обработки рисков, согласованные с данным стандартом.

В целях создания математического аппарата для поиска контрмер в условиях заданных ограничений и требований оптимизации для технико-экономических показателей в работе построена математическая модель учета влияния БИ в ООСХД на ПДД, учитывающая структурно-функциональные особенности ООСХД. Основными ее компонентами являются: A={Conf, Int, Avail, TempAvail} - множество измерений безопасности (Conf - конфиденциальность, Int - целостность, Avail - постоянная доступность, TempAvail - доступность с допустимыми ограниченными временными интервалами недоступности), В - множество ПДД организации, D' -множество информационных объектов ООСХД, D - множество доменов данных (ДД) (соответствуют элементам разбиения множества D' по принципу зависимости от нарушений измерений безопасности его элементов фиксированных подмножеств множества В), W - множество доменов клиентских приложений ООСХД (домены структурных компонентов ООСХД определяются посредством группирования компонентов по принципу совпадения множеств используемых в них МЗ), N - множество доменов сетевых соединений ООСХД, О - множество доменов ООУХД сети, М - множество доменов серверов метаданных ООСХД, a(b) VbeB- функции сниже-

ния эффективности ПДД в связи с нарушениями измерений безопасности ДД, у(Ь) VbeB- функции периодов нарушения работы ПДД в связи с нарушениями измерений безопасности ДД, c(b) VbeB — функции ущерба для организации от нарушений ПДД, 5- множество возможных контрмер для ООСХД, S'cS- множество возможных МЗ для ООСХД, I-функция уровня затрат на реализацию контрмер в отчетные периоды времени, VLe{W,N,0,M} - функции снижения уровней уязвимости доменов структурных компонентов ООСХД.

В рамках данной модели нарушение безопасности информационного объекта (ДД) ООСХД характеризуется нарушениями функционирования ПДД организации в соответствии с функциями а и у. Для вычисления случайной величины ущерба для организации от наступления события нарушения измерения безопасности информационного объекта (или ДД) используется формула:

i(a, d)=>Yj с(6' Y(b> а< d)> a(b> а>

ЬеВ

где а - измерение безопасности информационного объекта (ДД), d - информационный объект (ДД), y(b,a,d) - показатель снижения эффективности ПДД b вследствие нарушения измерения безопасности а информационного объекта (ДД) d, a(b,a,d) -показатель периода воздействия на ПДД b нарушения измерения безопасности а информационного объекта (ДД) d, c(b,x,y) - ущерб для организации от снижения эффективности ПДД Ъ, характеризуемого показателем х, в течение периода времени, характеризуемого показателем у.

Предложенная математическая модель учета влияния БИ в ООСХД на ПДД также включает в себя другие соотношения, позволяющие вычислять уровни рисков нарушения измерений безопасности информационных объектов (ДД) и на их основе технико-экономические показатели:

I Risk' (г) 1= í/(а' d)P:-d(Г)> еСЛи{,{а' d)<Ic )w (T)<Pc [ i(a,d),если(Ка,d)> Iс) a (г) > Рс),

LE{s,t)=

_ ajA.deD _

ROI(s, т) = (LE(0, г) - LE(s, т) - l(s, r))/J(s, r), ROI(0, г) = О,

" LE(0,г „) -LE(s,t„) » I(s,t ) NPV(s,d,Ar,N) = У—-\ULL-Y y

U o+flo' рга+dy

lRR(s,Ar,N) = d\№rG^N)___0.

Здесь .v - некоторый набор применяемых контрмер, P*d (г)- вероятность нарушения измерения безопасности а ДД d в течение периода времени г при наличии контрмер s (предполагается, что значения P*d(г) близки к нулю), Iq - минимальное значение ущерба, являющегося катастрофическим для организации, Рс - максимально допустимая вероятность катастрофического ущерба, LE{s,r)_- ожидаемый ущерб для организации за период времени г при наличии контрмер s, ROí(s, т) -окупаемость инвестиций на реализацию контрмер s за период времени г, /(.?, т) -уровень затрат на реализацию контрмер £за период времени г, NPV(s,d,Av,N) -ЧПС_контрмер i для N отчетных периодов тр, p~l,...,N равной длительности Ат, IRR(s, Д г, N)- внутренняя норма рентабельности контрмер здля N отчетных перио-

дов тр, р=1, ...,ЛГ равной длительности Ат, с1- ставка дисконтирования для вычисления ЧПС (отражает стоимость инвестируемого капитала).

На основе построенной математической модели учета влияния БИ в ООСХД на ПДД в работе выявлен набор данных, необходимых для определения контекста управления рисками, который включает в себя значения: 1тах - максимальный уровень затрат на реализацию контрмер, ЬЕтах - максимальный ожидаемый ущерб, ЛО/„,„ - минимальная окупаемость инвестиций, NPVm¡„ - минимальная ЧПС, //?/?„„„

- минимальная внутренняя норма рентабельности, г еК={ор1СоШ, ор1К01, орМР V} -решаемая в рамках процесса обработки рисков нарушения БИ оптимизационная задача для технико-экономических показателей (ор(Соз1 - минимизация суммарных затрат организации, связанных с реализацией рисков и их обработкой, ор(Л01 -максимизация окупаемости инвестиций, ор№РУ- максимизация ЧПС).

С использованием построенной математической модели, положений международного стандарта 180/1ЕС 27005 и метода дерева атак в диссертации выполнен анализ процессов идентификации, анализа и обработки рисков нарушения БИ в ООСХД, позволивший установить практические действия для реализации данных процессов, включая сбор информации, вычисление на ее основе уровней рисков и технико-экономических показателей, а также решение поставленной оптимизационной задачи. Полученная в результате методическая основа оформлена в работе в виде методики обработки рисков нарушения БИ в ООСХД, удовлетворяющей поставленным требованиям. В работе показано, что разработанная методика обладает рациональной трудоемкостью за счет применения дискретных шкал для отдельных измеряемых величин, группирования рассматриваемых сущностей в множества малой мощности, применения многократно используемого каталога МЗ для ООСХД и использования методов дискретной оптимизации для решения оптимизационных задач с помощью вычислительной техники.

Разработанная методика обработки рисков нарушения БИ в ООСХД имеет следующую структуру.

1. Общие положения. В этом разделе даются основные понятия, определяются условия применения методики и цель ее выполнения.

2. Номенклатура используемых данных и структура методики. Задается номенклатура для исходных и результирующих данных методики. Определяется, что выполнение методики осуществляется в виде двух последовательных процедур

- определения контекста и обработки рисков.

3. Определение контекста. Определяется практическая последовательность действий для получения всех необходимых параметров методики с использованием доступных внешних источников информации, в которые входят: мнения лиц, принимающих решения, результаты экспертных оценок, исторические статистические данные, релевантная открытая информация, например, научные публикации, отчеты профильных организаций, публикации в средствах массовой информации.

4. Обработка рисков. Определяются формулы для вычисления на основе полученной в ходе определения контекста информации уровней рисков и технико-экономических показателей, постановка оптимизационной задачи поиска набора контрмер для ООСХД в условиях заданных параметров и возможные методы ее решения. Для решения оптимизационной задачи рекомендуется использование

метода ветвей и границ или метода перебора с возвратом. Результатом выполнения методики является определение набора контрмер, внедрение которых оптимизирует технико-экономические показатели деятельности предприятия по ОБИ в ООСХД.

Основными отличительными особенностями разработанной методики являются: 1) применение цикла обработки рисков нарушения БИ, соответствующего международному стандарту ISO/IEC 27005; 2) оценка уровней рисков на основе математической модели учета влияния БИ в ООСХД на ПДД; 3) снижение трудоемкости за счет группирования сущностей и их взаимосвязей в домены на основе структурных особенностей объектно-ориентированного хранения информации и логической организации ООСХД; 4) снижение трудоемкости за счет каталогизации информации о МЗ для ООСХД; 5) поиск набора контрмер для ООСХД в качестве решения оптимизационной задачи, сформулированной для целевой функции одного из технико-экономических показателей: суммарных затрат организации, связанных с реализацией рисков и их обработкой, окупаемости инвестиций, ЧПС; 6) возможность расширенного применения при использовании адаптированных каталогов МЗ для систем хранения данных, не являющихся объектно-ориентированными, но обладающих логической организацией соответствующей логической организации ООСХД.

В третьей главе - "Разработка моделей и протоколов обеспечения безопасности информации в объектно-ориентированных сетях хранения данных" -

решены задачи разработки информационного обеспечения методики обработки рисков нарушения БИ в ООСХД: разработана схема применения МЗ в ООСХД, комплекс протоколов аутентификации КП при доступе к информации в ООСХД, модель обеспечения целостности и конфиденциальности данных, хранимых на ООУХД, математическая модель функционирования СПВ уровня ООУХД.

Для того чтобы предоставить основу для формирования каталога МЗ для ООСХД, применимого в рамках разработанной методики обработки рисков, в работе исследованы недостаточно разработанные в существующих научно-технических публикациях технологические возможности ОБИ в ООСХД. На основе анализа схемы и сценариев доступа КП к информации в ООСХД, соответствующих стандарту ANSI INCITS 400-2004 и архитектуре pNFS, определен общий перечень МЗ, необходимых для снижения вероятностей нарушения измерений безопасности хранимых в сети данных. Для отдельных видов МЗ исследованы возможности по улучшению производительности операций аутентификации, контроля доступа и сопровождения политики безопасности по сравнению с моделью безопасности ООСХД, приведенной в стандарте ANSI INCITS 400-2004. На основе полученных результатов в работе предложена схема применения МЗ в ООСХД, представляющая собой совокупность МЗ, реализующих их протоколов и алгоритмов, которые применяются в каждом из сценариев выполнения операций над хранимыми в сети данными с целью снижения вероятностей нарушения измерений безопасности этих данных.

Предложенная схема применения МЗ в ООСХД содержит: 1) предположения относительно доверия к узлам ООСХД; 2) перечень протоколов прикладного уровня для выполнения операций над данными в ООСХД; 3) перечень применяемых МЗ; 4) описание сценариев доступа КП к информации в ООСХД и соответствующе-

го им применения протоколов прикладного уровня и МЗ для ОБИ. На рис. 2 приведена иллюстрация предложенной схемы и сценария доступа КП к информационному объекту, размещенному в ООСХД.

s 1: получйть_мандат I (и/,т,нэбор_ролей}

Сетевое соединение n^N

3: аутентификация {и/,о,набор_ролей} 5: установить^ защищенное. соединение(у/,о, се анс {нэбор_роле й)) 7: операция^,©, нэ&ор^роле й, сбъе кт)

2: мандат ~j I (\«,т,на6ор_ролей) J --------7 /

□ Резервирование

□ Шифрование и контроль целостности данных при передаче

{ 4: сеанс(м/,о,на6ор_ролей) б". з ащи ще н ное_с ое ди не н и е {w(o, набор_рол е й) 8: результ5т(операция(«,о, и або р_рол е й ,о6ъе кт))

{□Аутентификация и

контроль доступа клиентов

□ Аудит

□ Система предотвращения вторжений

□ Резервирование

Аутентификация и контроль доступа клиентов

□ Аудит

□ Система предотвращений вторжений

□ резервирование

□ Шифрование и контроль ^целостности данных при хранении

Рис. 2. Схема применения МЗ в ООСХД

В рамках предложенной схемы применения МЗ в ООСХД в работе проведена разработка комплекса протоколов аутентификации КП, модели обеспечения целостности и конфиденциальности данных, хранимых на ООУХД, и математической модели функционирования СПВ уровня ООУХД. Основные результаты этого этапа исследования представлены автором диссертации в работах [2-4,7-10].

Комплекс протоколов аутентификации разработан на основе следующих основных требований: 1) обеспечение взаимной аутентификации между КП и ООУХД или серверами метаданных; 2) работа через открытые сетевые соединения без дополнительных протоколов защиты; 3) поддержка ролевой модели контроля доступа (англ. Role-Based Access Control, RBAC); 4) устойчивость к активным и пассивным сетевым атакам; 5) повышение производительности. Предложенный комплекс протоколов включает в себя два протокола; GetCap - протокол получения КП от сервера метаданных мандата на использование назначенных ему ролей, Auth - протокол аутентификации КП на ООУХД иди сервере метаданных с использованием мандата для установления защищенного соединения. Каждый из протоколов представлен в двух вариантах - для ООСХД с защищенной синхронизацией системного времени узлов сети и без нее. В основу разработанных протоколов положено использование ролевых ключей и распределенное хранение информации о политике безопасности, при котором соответствие ролей и привилегий сопровождается децентрализованно на ООУХД, а соответствие пользователей (КП) и ролей - централизованно на серверах метаданных. При этом повышение производительности протоколов достигается за счет отсутствия избыточных операций, снижения количества используемых ключей доступа, снижения интенсивности обменов между КП и серверами метаданных. Объединение протоколов GetCap и Auth при отсутствии синхронизации

системного времени узлов сети имеет следующий вид.

(1)Л -» М : 1Л, /„, Na , Wto^s S Л^С^ (/,, Н (roleList), L),

(2)A M : EK^(N A,idKeyM,roleList,L,IB), rokKeyш = MAClllKv<ii(activeRoleList),

(3)A<-B:NB, кшДкл,к„),

(4)ЛВ :/A,roleList,L,activeRoIeList,(/..,,, A^, A,),

Здесь /1 - КП, В - ООУХД или сервер метаданных, М - сервер метаданных, idKeyAB ~ личный ключ А для взаимодействия с В, roleKeyAB - ролевой ключ А для взаимодействия с В, roleList - полный набор ролей А, activeRoleList - набор ролей Л, активируемых в сеансе, Z, - срок действия и/или номер версии личного ключа id-Key ¿в, Км- общий секретный ключ А и М, Квм- общий секретный ключ В и Л/, Л'-случайные числа, Е- симметричный алгоритм шифрования, MAC - код аутентификации сообщений (например, НМАС), Я - хэш-функция с трудно обнаруживаемыми коллизиями, / - функция комбинирования сеансовых подключей, к - сеансовый ключ защищенного соединения А и В.

Для разработанных протоколов в работе проведен анализ их корректности с использованием формального метода верификации протоколов защиты - BAN-логики. Доказано, что в условиях заданных предположений о доверии к участникам протокола они достигают требуемых результатов и являются корректными.

В качестве основы для создания МЗ в диссертации предложена модель обеспечения целостности и конфиденциальности информации, размещенной на ООУХД, удовлетворяющая следующим основным требованиям: 1) защита конфиденциальных объектов с помощью симметричного шифрования; 2) защита целостности и аутентичности информационных объектов с помощью ЭЦП; 3) возможность использования в сети ООУХД, не являющихся доверенными; 4) отсутствие возможности раскрытия ключей доступа любыми КП; 5) поддержка ролевой модели контроля доступа; 6) повышение производительности. Данная модель включает в себя ряд технических решений, позволяющих обеспечивать целостность и конфиденциальность информации на ООУХД в соответствии со следующими требованиями: 1) использование доверенных посредников между КП и ООУХД - криптографических адаптеров (КА), осуществляющих обработку и передачу трафика между КП и ООУХД при доступе к защищенным информационным объектам; 2) шифрование и подпись информационных объектов ООУХД на независимых ключах, помещаемых в специальные информационные объекты - ключевые блоки, размещаемые на том же ООУХД и шифруемые на ролевых мастер-ключах (РМК), ставящихся в соответствие каждой роли; 3) распределение РМК на основе протокола группового распределения ключей TGDH (Tree-Based Group Diffie-Hellman) между КП и КА в соответствии с назначенными КП ролями; 4) распределенное хранение информации о политике безопасности, при котором соответствие ролей и привилегий сопровождается децентрализованно на ООУХД, а соответствие пользователей (КП) и ролей - централизованно на серверах метаданных. При этом распределение РМК на основе протокола TGDH обеспечивает возможность вычисления РМК только парой, состоящей из КП и КА, что исключает раскрытие ключей доступа для КП. Необходимые для работы протокола данные, включающие в себя деревья затемненных долей РМК КП и КА, сохраняются на серверах метаданных.

Операции назначения и отзыва ролей КП в рамках данного протокола с учетом установленного распределенного хранения информации о политике безопасности осуществляются посредством малого количества действий и с участием минимального количества участников.

Описание модели обеспечения целостности и конфиденциальности информации, размещенной на ООУХД, в работе представлено в виде спецификации, включающей в себя предположения относительно доверия к узлам ООСХД и используемой политики безопасности, а также реализующие модель протоколы выполнения основных операций сопровождения политики безопасности и доступа к информационным объектам в ООСХД.

Заключительная часть главы посвящена исследованию вопросов обнаружения и предотвращения вторжений на уровне ООУХД. Показано, что СПВ, размещаемые на уровне ООУХД, обладают рядом положительных качеств: 1) высокая вероятность обнаружения любых атак на ИС, обращающихся к хранимой на ООУХД информации; 2) высокий уровень надежности вследствие сложности компрометации СПВ; 3) возможность обнаружения атак в случае компрометации других узлов ООСХД и ИС, частью которой она является; 4) возможность оперативного реагирования на инциденты нарушения БИ и предотвращения распространения вторжений в ИС; 5) облегчение расследования инцидентов нарушения БИ.

В работе выделяются четыре базовые категории признаков вторжений, которые могут обнаруживаться на уровне ООУХД: модификация редко изменяемых данных и атрибутов, шаблоны доступа, нарушение целостности содержимого информационных объектов, подозрительное содержимое информационных объектов. Исследование этих категорий и вариантов ответной реакции позволило предложить математическую модель функционирования СПВ уровня ООУХД, основанную на организации исполнения на ООУХД конфигурируемых правил обнаружения и ответной реакции на определенные виды операций над информационными объектами, форматы информационных объектов и временные характеристики шаблонов доступа. Модель определяет формулы генерации ответной реакции СПВ на основе входных данных, описывающих поступающие от КП запросы доступа к информационным объектам, хранимым на ООУХД, и может служить основой для практической реализации СПВ уровня ООУХД.

Четвертая глава - "Разработка и применение инструментального средства для обработки рисков нарушения безопасности информации в объектно-ориентированных сетях хранения данных1' - посвящена разработке информационного и программного обеспечения методики обработки рисков нарушения БИ в ООСХД для ее практического применения, а также экспериментальному анализу эффективности методики.

Так как применение разработанной методики обработки рисков нарушения БИ в ООСХД сопряжено с большим объемом организационной и вычислительной работы, в рамках диссертационного исследования поставлена задача разработки программного инструментального средства, позволяющего снизить трудоемкость практического выполнения шагов методики за счет автоматизации обработки необходимой информации и проведения вычислений. Для определения возможностей по упрощению спецификации в рамках инструментального средства каталога МЗ для

ООСХД в работе проведен анализ структуры и состава данного каталога. Выявлено, что значительная часть информации, содержащейся в каталоге, может многократно использоваться при применении методики обработки рисков нарушения БИ как в рамках одной, так и в рамках различных организаций. С учетом этого свойства предложена схема каталогизации информации о МЗ для ООСХД в форме актуализируемого базового каталога, позволяющая снизить трудозатраты на формирование актуальных каталогов МЗ перед применением методики обработки рисков.

В качестве источников информации о МЗ для базового каталога выделяются: 1) каталоги методов управления рисками нарушения БИ (ISO/IEC 27002, IT-Grundschutz Catalogues, CRAMM, MEHARI); 2) международные стандарты, детализирующие обеспечение сетевой безопасности и использование систем обнаружения вторжений (ISO/1EC 18028, ISO/IEC 18043); 3) лучшие практики по обеспечению безопасности систем хранения данных SNIA BCPs; 4) технические стандарты и документация МЗ, предусмотренных в протоколах, применяемых для построения ООСХД (ANSI INCITS 400-2004, ANSI INCITS 426-2007, RFC 3723, NFSv4.1 [Internet Draft] и др.); 5) научно-исследовательские работы и публикации; 6) предложенная в диссертации схема применения МЗ для ООСХД, разработанные модели и протоколы; 7) продукты мировых производителей программного и аппаратного обеспечения.

В развитие информационного обеспечения методики обработки рисков нарушения БИ в ООСХД в диссертации определен и представлен в табличной форме примерный состав базового каталога МЗ для ООСХД, содержащий множество частных реализаций МЗ, предусматриваемых разработанной схемой применения МЗ в ООСХД.

С учетом полученных результатов автором разработано программное инструментальное средство автоматизации ИСКР 1.0 для применения разработанной методики обработки рисков нарушения БИ в ООСХД, удовлетворяющее базовым требованиям совместимости, удобства в использовании, высокой производительности, переносимости и обновляемое™. На основе анализа базовых требований в качестве наиболее подходящего технологического решения для реализации инструментального средства ИСКР 1.0 использована клиент-серверная архитектура доступа к Web-приложению, написанному на языке программирования Java и реализующему графический пользовательский интерфейс для редактирования каталога МЗ для ООСХД и выполнения шагов методики обработки рисков. Функциональные требования к реализации инструментального средства определены посредством последовательного рассмотрения спецификации исходных данных и отдельных шагов методики обработки рисков нарушения БИ в ООСХД с точки зрения возможности использования инструментального средства для автоматизации выполняемых действий.

Разработанное инструментальное средство ИСКР 1.0 обладает следующими особенностями: 1) представление каталога МЗ в виде XML-файла для многократного использования; 2) наличие двух отдельных Web-интерфейсов для редактирования каталога МЗ и применения методики обработки рисков нарушения БИ в ООСХД; 3) ввод информации о значениях функций, определенных над конечными множествами с помощью HTML-форм табличного вида; 4) ввод и редактирование

информации, связанной с сущностями из одного множества, с помощью визуального редактора, реализованного в виде HTML-страницы; 5) реализация алгоритма поиска решения оптимизационной задачи на основе метода перебора с возвратом в рамках выделенного потока на Web-сервере в асинхронном режиме.

Экспериментальный анализ эффективности разработанной в диссертации методики обработки рисков нарушения БИ в ООСХД был проведен в двух крупных промышленных предприятиях. В компании ООО "Одноклассники", сопровождающей высоконагруженный Web-pecypc www.odnoklassniki.ru, задача обработки рисков была поставлена следующим образом: определить и привести в исполнение набор контрмер, использование которых в рамках ООСХД, применяемой для хранения архива переписки пользователей, позволит минимизировать ожидаемые суммарные затраты компании на применение контрмер и покрытие ущерба, связанного с нарушением безопасности данных переписки пользователей, за период 3 года. На основе такой формулировки и дополнительных исходных данных с помощью средства ИСКР 1.0 был получен результирующий набор контрмер и расчетные значения технико-экономических показателей: в течение трех лет ожидаемый предотвращенный ущерб составляет 428 тыс. долл. (оценки выполнялись в долларах США), окупаемость инвестиций 1.02033, уровень затрат на внедрение и эксплуатацию контрмер 212 тыс. долл., ЧПС применения контрмер 160 тыс. долл., внутренняя норма рентабельности 5.4604.

В Небанковской Кредитной Организации "Международная Расчетная Палата" (ООО), обслуживающей расчетные и инвестиционные операции физических и юридических лиц, задача обработки рисков была поставлена следующим образом: определить и привести в исполнение набор контрмер, ЧПС применения которых в рамках ООСХД, используемой для хранения базы данных архива расчетных операций, является максимальной за период 5 лет. С помощью средства ИСКР 1.0 был получен результирующий набор контрмер и расчетные значения технико-экономических показателей: в течение пяти лет ожидаемый предотвращенный ущерб составляет 2841 тыс. руб., окупаемость инвестиций 0.103398, уровень затрат на внедрение и эксплуатацию контрмер 2575 тыс. руб., ЧПС применения контрмер 102 тыс. руб., внутренняя норма рентабельности 0.18185.

Экспериментальный анализ показал, что разработанная методика обработки рисков нарушения БИ в ООСХД может успешно применяться на практике для повышения технико-экономических показателей деятельности предприятий по ОБИ.

В заключении приведены основные результаты диссертационной работы, рассмотрены пути дальнейшего развития темы исследования.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

В диссертации представлены результаты теоретических и прикладных исследований, направленных на решение научно-технической задачи разработки и применения методики обработки рисков нарушения БИ в ООСХД, позволяющей оптимизировать применение средств защиты информации в ООСХД с учетом связанных с ними затрат и ожидаемого ущерба от возможных нарушений БИ.

Основным научным результатом исследования является создание методики обработки рисков нарушения БИ в ООСХД, позволяющей повысить информацион-

ную безопасность предприятий, использующих ООСХД в составе корпоративных ИС.

В процессе выполнения работы получены следующие основные результаты:

1. На основе исследования факторов, обуславливающих потребность предприятий в ОБИ, и применяемых подходов к обоснованию затрат на ОБИ установлена потребность в решении организационных и технических вопросов ОБИ в рамках единого экономически обоснованного подхода. Проведенный анализ и систематизация литературных источников, международных стандартов, нормативных и справочных документов, определяющих организационно-управленческие подходы к ОБИ, позволил установить в качестве научно-методической базы для решения задачи выбора уровня затрат на ОБИ и набора применяемых мер защиты понятийный и алгоритмический аппарат концепции управления рисками. На основе анализа литературных источников и документов, связанных с задачами ОБИ в ООСХД и их решением в рамках организационно-управленческих подходов, произведена формальная постановка задачи обработки рисков нарушения БИ в ООСХД и решаемой в диссертации задачи разработки методики обработки рисков нарушения БИ в ООСХД.

2. На основе понятийного и алгоритмического аппарата концепции управления рисками, положений международного стандарта управления рисками нарушения БИ 180/1ЕС 27005, результатов анализа подходов к экономическому обоснованию деятельности по ОБИ, а также методов системного анализа и методов дискретной оптимизации построена математическая модель учета влияния БИ в ООСХД на процессы деловой деятельности. На базе этой модели обоснована и разработана методика обработки рисков нарушения БИ в ООСХД. Методика обладает рациональной трудоемкостью и позволяет решать задачи анализа и синтеза систем защиты информации в ООСХД. В частности, методика позволяет выбирать меры по ОБИ в ООСХД с учетом связанных с ними затрат и ожидаемого ущерба от возможных нарушений БИ таким образом, чтобы обеспечить оптимизацию технико-экономических показателей деятельности предприятия по ОБИ в ООСХД.

3. В рамках информационного обеспечения для методики обработки рисков нарушения БИ в ООСХД предложена схема применения механизмов защиты в ООСХД, позволяющая обеспечить пренебрежимо малую вероятность нарушения безопасности информации при осуществлении к ней доступа в рамках ООСХД, а также повысить производительность операций аутентификации, контроля доступа и сопровождения ПБ по сравнению со стандартизированной моделью безопасности ООСХД.

4. В рамках схемы применения механизмов защиты в ООСХД предложен комплекс протоколов аутентификации клиентских приложений при доступе к информации, размещенной на ООУХД и серверах метаданных в составе ООСХД. Предложенные протоколы поддерживают установление защищенных соединений между клиентами и ООУХД или серверами метаданных для обеспечения целостности и конфиденциальности передаваемых данных и обеспечивают повышенную производительность операций аутентификации. Доказано, что протоколы являются корректными.

5. Разработана модель обеспечения целостности и конфиденциальности информации, хранимой на ООУХД в составе ООСХД, основанная на использовании ролевой модели контроля доступа и протокола группового распределения ключей ТООН, а также реализующие ее протоколы для производительного выполнения основных операций сопровождения ПБ и контроля доступа. Разработанная модель предназначена для использования в рамках схемы применения механизмов защиты в ООСХД и позволяет использовать в составе сети ООУХД, не являющиеся доверенными.

6. Анализ возможности применения систем обнаружения и предотвращения вторжений для снижения уровней рисков нарушения БИ в рамках схемы применения механизмов защиты в ООСХД показал, что СПВ уровня ООУХД позволяют снижать уровни рисков нарушения БИ для всей ИС, содержащей ООСХД, в том числе в условиях частичной компрометации ИС и обхода нарушителями других механизмов защиты ООСХД. Разработана математическая модель функционирования СПВ уровня ООУХД, показывающая принципиальную возможность создания такой системы, и определены требования к практической реализации СПВ уровня ООУХД.

7. В развитие информационного обеспечения разработанной методики обработки рисков нарушения БИ в ООСХД предложена схема каталогизации информации о механизмах защиты для ООСХД в форме актуализируемого базового каталога, позволяющая существенно снизить трудозатраты на подготовительный этап перед выполнением методики, а также определен примерный состав базового каталога механизмов защиты для ООСХД.

8. Для дополнительного снижения практических трудозатрат на выполнение методики обработки рисков нарушения БИ в ООСХД разработано ее программное обеспечение в форме инструментального средства автоматизации ИСКР 1.0, упрощающего спецификацию необходимой для выполнения методики информации и автоматизирующего вычисление результата.

9. Экспериментальный анализ эффективности разработанной методики обработки рисков нарушения БИ в ООСХД, проведенный в крупных промышленных предприятиях - ООО "Одноклассники" и Небанковской Кредитной Организации "Международная Расчетная Палата" (ООО) - показал, что она может успешно применяться на практике для повышения технико-экономических показателей деятельности предприятий по ОБИ. Определены практические рекомендации по использованию методики, ее информационного и программного обеспечения в рамках общего процесса управления рисками на предприятии.

ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

Статьи в журналах, включенных ВАК в перечень ведущих рецензируемых научных журналов и изданий, в которых должны быть опубликованы основные научные результаты диссертаций

1. Алферов И.Л. Управление информационными рисками в объектно-ориентированных сетях хранения данных / И.Л. Алферов // Безопасность информационных технологий. - 2007. - № 3. - С. 23 - 30.

2. Алферов И.Л. Криптографические методы обеспечения целостности и конфиденциальности информации на объектно-ориентированных устройствах хранения данных / И.Л. Алферов // Безопасность информационных технологий. - 2007. -№ 1.-С. 29-36.

3. Алферов И.Л. Аутентификация клиентов при доступе к информации в объектно-ориентированных сетях хранения данных / И.Л. Алферов // Безопасность информационных технологий. - 2008. - № 4. - С. 62 - 70.

4. Алферов И.Л. Предотвращение вторжений на уровне объектно-ориентированных устройств хранения данных / И.Л. Алферов // Безопасность информационных технологий. - 2008. - № 4. - С. 71 - 78.

Тезисы научных докладов

5. Алферов И.Л. Анализ информационных рисков в объектно-ориентированных сетях хранения данных / И.Л. Алферов // В сб. Методы и технические средства обеспечения безопасности информации: Материалы XVI Общероссийской научно-технической конференции. - СПб.: Изд-во Политехнического ун-та, 2007.-С. 50.

6. Алферов И.Л. Моделирование угроз для объектно-ориентированных сетей хранения данных / И.Л. Алферов // В сб. докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых «Научная сессия ТУСУР-2007», 3 - 7 мая 2007 г. - С. 46 - 48.

7. Алферов И.Л. Криптографическая защита информации от непосредственного считывания с носителей объектных устройств хранения данных / И.Л. Алферов // В сб. Методы и технические средства обеспечения безопасности информации: Материалы XV Общероссийской научно-технической конференции. - СПб.: Изд-во Политехнического ун-та, 2006. - С. 66.

8. Алферов И.Л. Управление доступом к информации, размещенной на недоверенных устройствах в составе объектной сети хранения данных / И.Л. Алферов // В сб. Научная сессия МИФИ - 2007. XIV Всероссийская научная конференция «Проблемы информационной безопасности в системе высшей школы». - М.: МИФИ, 2007.-С. 14-15.

9. Алферов И.Л. Механизмы аутентификации клиентов при доступе к информации в объектных сетях хранения данных / И.Л. Алферов // В сб. Научная сессия МИФИ - 2007. XIV Всероссийская научная конференция «Проблемы информационной безопасности в системе высшей школы». - М.: МИФИ, 2007. - С. 16-17.

Ю.Алферов И.Л. Обнаружение вторжений на уровне объектно-ориентированных устройств хранения данных / И.Л. Алферов // В сб. Научная сессия МИФИ - 2008. XV Всероссийская научная конференция «Проблемы информационной безопасности в системе высшей школы». - М.: МИФИ, 2008. - С 14 - 15.

Алферов Игорь Леонидович

МЕТОДИКА ОБРАБОТКИ РИСКОВ НАРУШЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ОБЪЕКТНО-ОРИЕНТИРОВАННЫХ СЕТЯХ ХРАНЕНИЯ ДАННЫХ

Подписано в печать 21.04.2010. Тираж 100 экз. ЗАО "КопиМакс". 115054, г. Москва, Павелецкая площадь, д.2, стр.1, тел. +7(495)937-0770.

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ.

ВВЕДЕНИЕ.

Глава 1. АНАЛИЗ ЗАДАЧ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ОБЪЕКТНО-ОРИЕНТИРОВАННЫХ СЕТЯХ ХРАНЕНИЯ ДАННЫХ.

1.1. Управление рисками в задачах обеспечения безопасности информации.

1.2.Системы управления информационной безопасностью.

1.3. Методы обеспечения безопасности информации в объектно-ориентированных сетях хранения данных.

Выводы по главе

Глава 2. ОБОСНОВАНИЕ И РАЗРАБОТКА МЕТОДИКИ ОБРАБОТКИ РИСКОВ НАРУШЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ОБЪЕКТНО-ОРИЕНТИРОВАННЫХ СЕТЯХ ХРАНЕНИЯ ДАННЫХ.

2.1. Контекст управления рисками.

2.2. Идентификация, анализ и обработка рисков.

2.3. Методика обработки рисков в объектно-ориентированных сетях хранения данных.77 Выводы по главе 2.

Глава 3. РАЗРАБОТКА МОДЕЛЕЙ И ПРОТОКОЛОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ОБЪЕКТНО-ОРИЕНТИРОВАННЫХ СЕТЯХ ХРАНЕНИЯ ДАННЫХ.

3.1. Схема применения механизмов защиты.

3.2. Протоколы аутентификации клиентских приложений.

3.3. Обеспечение целостности и конфиденциальности информации, размещенной на объектно-ориентированных устройствах хранения данных.

3.4. Обнаружение и предотвращение вторжений на уровне объектно-ориентированных устройств хранения данных.

Выводы по главе 3.

Глава 4. РАЗРАБОТКА И ПРИМЕНЕНИЕ ИНСТРУМЕНТАЛЬНОГО СРЕДСТВА ДЛЯ ОБРАБОТКИ РИСКОВ НАРУШЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ОБЪЕКТНО-ОРИЕНТИРОВАННЫХ СЕТЯХ ХРАНЕНИЯ ДАННЫХ.

4.1. Структура и состав каталога механизмов защиты.

4.2. Инструментальное средство для применения методики обработки рисков.

4.3. Экспериментальный анализ эффективности методики обработки рисков и практические рекомендации.

Выводы по главе 4.

Информационные технологии к настоящему времени стали фундаментальным средством автоматизации и повышения эффективности труда, проникшим во все сферы человеческой деятельности. Развитие современных коммерческих и общественных организаций происходит параллельно с развитием используемых ими информационных систем, в которых все большие требования предъявляются к объему, оперативности доступа, надежности и безопасности долговременного хранения массивов данных.

Для удовлетворения растущих требований до последнего времени применялись две наиболее популярные архитектуры — сети хранения данных (СХД, англ. Storage Area Network, SAN) и сетевые хранилища данных (апгл. Network Attached Storage, NAS). Обе архитектуры предназначены для обеспечения эффективного доступа к данным со стороны клиентских узлов сети, но каждая обладает своими недостатками. В частности, в СХД организация совместного доступа к данным возможна только с помощью вспомогательных внешних механизмов синхронизации доступа между клиентами, требующих дополнительного сетевого взаимодействия, в то время как в сетевых хранилищах данных все передаваемые данные проходят через централизованный сервер, что ограничивает производительность и масштабируемость сети. Кроме того, в обеих архитектурах используется традиционный блочный интерфейс доступа к устройствам хранения данных (УХД), предполагающий выполнение функций оптимизации, связанных с физическим распределением данных и их кэшированием, клиентским программным обеспечением. В большинстве случаев в качестве клиентского программного обеспечения выступает реализация какой-либо файловой системы общего назначения, которая выполняет лишь поверхностную оптимизацию независимо от специфики отдельных массивов хранимых данных. Также блочный интерфейс не позволяет реализовать эффективную модель безопасности, так как управление доступом включает в себя решение сложной задачи отображения правил доступа на блочный уровень и требует высоких затрат ресурсов, а имеющаяся возможность управления доступом на уровне логических разделов УХД не обладает достаточной гибкостью [1].

Все эти сложности традиционных подходов привели к возникновению новой технологии, соединяющей их достоинства и устраняющей недостатки — архитектуре объектного хранения данных (англ. Object Storage Architecture, OSA). Исследования таких ученых, как G. Gibson, D. Nagle, Н. Gobioff, J. Zelenka, P. Braam, и других специалистов в 90-х годах заложили основы концепции объектного хранения данных, как способа повышения масштабируемости и производительности систем хранения данных посредством расширения функций обработки информации, выполняемых УХД [2-4]. Концепция объектного хранения данных долгое время не выходила за рамки научных исследований и лишь в последние несколько лет получила существенное практическое развитие совместными усилиями представителей различных фирм-производителей (HP, IBM, Intel, Lingua Data, Panasas, Seagate, Veritas, Xyratex) в рабочей группе OSD Technical Workgroup ассоциации SNIA (Storage Networking Industry Association). Важным шагом стало принятие стандарта ANSI

INCITS 400-2004 [5], определяющего расширения интерфейса SCSI для взаимодействия с объектно-ориентированными УХД (ООУХД, англ. Object Storage Device, OSD). Данная архитектура продолжает стремительно развиваться, и некоторые ее промышленные реализации (например, PanFS [6], Lustre [7]) уже применяются для практического решения задач хранения данных.

Основная идея, лежащая в основе архитектуры объектного хранения данных, заключается в хранение совокупности данных и метаданных в виде абстрактных сущностей — объектов, которые могут представлять собой файлы, записи базы данных и любые другие информационные блоки. При этом функции управления дисковым пространством, синхронизации доступа и интеллектуального кэширования выполняются не клиентским программным обеспечением, а самим УХД в зависимости от типов и атрибутов хранимых объектов. Вместо предоставления клиентскому узлу логического массива несвязанных между собой блоков данных, адресуемых по индексу, ООУХД предоставляет ему коллекцию объектов. Такой подход имеет ряд существенных преимуществ [8].

1. Высокопроизводительный совместный доступ клиентских узлов к УХД В традиционных архитектурах функции логической организации данных (уровень виртуальной файловой системы) и физического распределения данных на УХД совмещает в себе выделенный файл-сервер. Причем в типичных режимах функционирования примерно 10% нагрузки занимает решение первой задачи и 90% — решение второй. В объектно-ориентированных СХД (ООСХД) выделенный сервер метаданных решает только первую задачу, а вторая задача и проверка прав доступа клиентов решаются на уровне УХД. Это позволяет клиентам получать доступ к данным напрямую без участия сервера метаданных, чем достигается возможность совместного доступа к УХД и существенный выигрыш в производительности.

2. Возможность построения СХД на основе IP-протокола (например, iSCSI [9]). IP-сети широко распространены, просты в управлении и более дешевы, чем сети на основе Fibre Channel [10], однако они в значительно большей степени подвержены атакам, в особенности при использовании открытых сегментов сетей общего пользования (Интернет). По этой причине СХД, использующие IP-протокол, требуют повышенной защищенности, как при контроле доступа, так и на транспортном уровне. ООСХД обладают всеми необходимыми свойствами для обеспечения требуемого уровня безопасности.

3. Объект представляет собой контейнер, содержащий данные и метаданные - совокупность атрибутов, связанных с хранимой информацией. Управление данными и метаданными производится одновременно, что значительно снижает усилия, прилагаемые для сопровождения метаданных в распределенных приложениях.

4. Использование расширенных функций ООУХД, таких как поддержка коллекций объектов, мультиобъектные операции, клонирование, управление пространством, обработка ошибок, позволяет увеличить производительность и упростить управление сетью за счет распределения между УХД работы, которая в традиционных СХД выполняется на централизованном файл-сервере. Расширенные функции включены в проект второй версии стандарта OSD-команд интерфейса SCSI (OSDv2) [11], разрабатываемый в настоящее время группой OSD Technical Workgroup.

После возникновения концепции объектного хранения данных внимание исследователей привлекла проблема обеспечения безопасности информации (ОБИ) в системах хранения данных, построенных на основе данной концепции. Этому способствовали структурные особенности архитектуры объектного хранения данных, такие как возможность параллельного совместного доступа клиентских узлов к ООУХД и возможность контроля доступа с высокой гранулярностью па уровне ООУХД. Вопросы ОБИ в системах хранения данных, использующих концепцию объектного хранения данных, исследовали Н. Gobioff, В. Reed, A. Azagury, М. Factor, S. Halevi, D. Naor, Y. Kher, C. Olson, E. Miller, D. Nagle, A. Leung и другие известные зарубежные специалисты [12-19]. К настоящему моменту среди отечественных ученых данная проблематика не получила большого внимания, однако можно отметить работы С. В. Запечникова, посвященные решению задач ОБИ в СХД, а также научные и практические положения в области ОБИ в распределенных компьютерных системах, разработанные А. Ю. Щербаковым, Д. П. Зегждой, Д.А. Ловцовым и другими отечественными исследователями [20-24].

Часть полученных в исследовательских работах результатов была использована при подготовке стандарта OSDvl (ANSI INCITS 400-2004 [5]), который определяет набор OSD-команд и протокол безопасности, выполняющийся при каждой передаче команды УХД. Протокол основан на использовании криптографически защищенных мандатов (англ. capability) - удостоверений (англ. credential), которые выпускаются доверенной стороной, выполняющей заданную политику безопасности. Само же взаимодействие клиентов с доверенной стороной при получении удостоверений, а также любые коммуникации в ООСХД, кроме обмена между клиентами и УХД, не определяются стандартом. Рабочая группа NFSv4 Workgroup в составе Internet Engineering Task Force (IETF) в настоящее время завершает разработку протокола NFSv4.1 [25, 26], включающего в себя механизмы взаимодействия клиентов с сервером метаданных и параллельного доступа к УХД в составе ООСХД на основе архитектуры pNFS (parallel NFS). Но и для NFSv4.1 освещение вопросов ОБИ остается недостаточным, так как некоторые задачи, например, обеспечение безопасного обмена с сервером метаданных, предлагается решать с помощью внешних методов защиты, таких как GSS-API [27]. Имеющиеся стандарты и проекты не охватывают также методов защиты конфиденциальности данных в процессе их передачи по каналам связи, а также защиту данных при хранении на физических носителях.

Помимо недостаточной разработанности отдельных вопросов ОБИ в ООСХД следует также отметить, что в современных организациях основным движущим фактором, определяющим используемые методы ОБИ, становится их экономическая эффективность. Это привело к тому, что в последние несколько лет экономические аспекты ОБИ привлекли повышенный интерес научной общественности. Им-посвящены работы R. Anderson, S. Butler, L. Gordon, M. Loeb, H. Cavusoglu,

С.А. Петренко, С.В. Симонова и других специалистов [28-33]. Одной из основных концепций, позволяющих осуществлять экономически обоснованный выбор методов ОБИ, является концепция управления рисками нарушения безопасности информации (БИ), получившая широкое развитие как в трудах исследователей К. Soo Ноо, Н. Kumamoto, Е. Henley, С.А. Петренко, С.В. Симонова и других [34-36], так и в системе национальных и международных стандартов [37, 38]. Потребности современных организаций предопределяют необходимость использования экономически обоснованных подходов к построению систем защиты информации в ООСХД, однако анализ существующих источников показывает, что такие подходы до настоящего времени не были достаточно разработаны.

Таким образом, внедрение и использование ООСХД в современных организациях сопряжено с построением системы защиты от существующих в среде сетей хранения данных угроз, требующей комплексного экономически обоснованного подхода, применения различных стандартов и технологий и их интеграции. В связи с этим актуальной является научно-техническая задача разработки и применения методики обработки рисков нарушения БИ в ООСХД, позволяющей оптимизировать применение средств защиты информации в ООСХД с учетом связанных с ними затрат и ожидаемого ущерба от возможных нарушений БИ.

Целью диссертационной работы является повышение информационной безопасности предприятий, использующих ООСХД в составе корпоративных ИС, путем разработки и применения методики обработки рисков нарушения БИ в ООСХД, моделей и протоколов ОБИ в ООСХД. Объектом исследования являются ООСХД.

Предметом исследования являются риски нарушения БИ в ООСХД.

В соответствии с поставленной целью в диссертационной работе решаются следующие задачи:

• анализ и систематизация существующих организациопно-управленческих подходов к ОБИ предприятий, включая методы управления рисками нарушения БИ и методы ОБИ в ООСХД в рамках данных подходов, постановка задачи разработки методики обработки рисков нарушения БИ в ООСХД;

• обоснование и разработка согласованной с организационно-управленческими подходами к управлению рисками методики обработки рисков нарушения БИ в ООСХД, позволяющей учитывать требования, предъявляемые к экономическому обоснованию деятельности по ОБИ;

• разработка схемы применения механизмов защиты в ООСХД для комплексного снижения и устранения рисков нарушения БИ в рамках разработанной методики обработки рисков нарушения БИ в ООСХД;

• разработка комплекса протоколов аутентификации клиентских приложений при доступе к информации, размещенной на ООУХД и серверах метаданных в составе ООСХД;

• разработка модели обеспечения целостности и конфиденциальности информации, хранимой на ООУХД в составе ООСХД;

• разработка математической модели функционирования системы предотвращения вторжений уровня ООУХД;

• разработка информационного и программного обеспечения для применения методики обработки рисков нарушения БИ в ООСХД, включая примерный состав базового каталога механизмов защиты для ООСХД и программное инструментальное средство для автоматизации выполнения методики;

• экспериментальный анализ эффективности разработанной методики обработки рисков нарушения БИ в ООСХД в промышленных предприятиях и определение практических рекомендаций по ее использованию.

Основными методами исследований, используемыми в работе, являются методы системного анализа, исследования операций, дискретной оптимизации, теории вероятностей и теории множеств.

Основным научным результатом исследования является создание методики обработки рисков нарушения БИ в ООСХД, позволяющей повысить информационную безопасность предприятий, использующих ООСХД в составе корпоративных ИС.

На защиту выносятся следующие основные результаты работы:

• методика обработки рисков нарушения БИ в ООСХД;

• комплекс протоколов аутентификации клиентских приложений при доступе к информации, размещенной на ООУХД и серверах метаданных в составе ООСХД;

• модель обеспечения целостности и конфиденциальности информации, хранимой на 00-УХД.

В ходе исследований лично автором был получен ряд результатов, характеризующихся научной новизной, а именно:

• обоснована и разработана методика обработки рисков нарушения БИ в ООСХД, основанная на математической модели учета влияния БИ в ООСХД на процессы деловой деятельности и применении методов дискретной оптимизации для поиска экономически обоснованного набора средств защиты информации в ООСХД;

• разработан комплекс протоколов аутентификации узлов ООСХД при доступе к информации, размещенной на ООУХД и серверах метаданных в составе сети, на основе применения ролевой модели контроля доступа, ролевых ключей и распределенного хранения информации о политике безопасности;

• построена модель обеспечения целостности и конфиденциальности информационных объектов, хранимых на ООУХД в составе ООСХД, в том числе на устройствах, не являющихся доверенными, и реализующие ее протоколы сопровождения политики безопасности и доступа к информационным объектам, основанные на использовании алгоритмов шифрования и электронной цифровой подписи, ролевой модели контроля доступа, распределенного хранения информации о политике безопасности и группового распределения ключей. Теоретическую значимость представляет осуществленное в работе развитие математического аппарата для анализа и обработки рисков нарушения БИ, разработанная математическая модель учета влияния БИ в ООСХД на процессы деловой деятельности, разработанные модели и протоколы ОБИ в ООСХД.

Практическую значимость представляет разработанная методика обработки рисков нарушения БИ в ООСХД и реализованное программное инструментальное средство для ее автоматизации ИСКР 1.0 (подтверждается актом о внедрении результатов диссертационной работы в компании ООО "Одноклассники", актом об использовании результатов диссертационной работы в Небанковской Кредитной Организации "Международная Расчетная Палата" (ООО)). Также в работе сформулированы практические рекомендации по выполнению разработанной методики обработки рисков в рамках общего управления рисками нарушения БИ предприятий, организации рабочей группы для выполнения методики, определению организационного порядка ее выполнения, формированию каталога механизмов защиты с учетом разработанной схемы применения механизмов защиты в ООСХД, а также применению разработанного программного инструментального средства ИСКР 1.0 для уменьшения трудоемкости выполняемых процессов.

Достоверность полученных результатов подтверждается математическими доказательствами и формальными выводами основных утверждений, сформулированных в работе, использованием известных проверенных на практике методов, протоколов и алгоритмов, а также практикой применения результатов работы в крупных промышленных предприятиях.

Результаты диссертационной работы использованы для обеспечения безопасности информации в системах хранения данных компании ООО "Одноклассники" и Небанковской Кредитной Организации "Международная Расчетная Палата" (ООО). Также результаты исследования внедрены в учебный процесс на факультете "Информационная безопасность" Национального исследовательского ядерного университета "МИФИ". Результаты работы представляют практическую ценность для обеспечения безопасности информации в системах хранения данных российских и зарубежных корпоративных структур различного масштаба.

Полученные в работе результаты докладывались на Общероссийской научно-технической конференции "Методы и технические средства обеспечения безопасности информации" (С.Петербург, 2006-2007 гг.), Всероссийской научной конференции "Проблемы информационной безопасности в системе высшей школы" (Москва, 2007-2008 гг.), Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых "Научная сессия ТУСУР -2007" (Томск, 2007 г.), а также на семинарах кафедры "Информационная безопасность банковских систем" МИФИ (Москва, 2007-2009 гг.).

По теме диссертации опубликовано 10 печатных работ, в том числе 4 научных статьи в журналах Перечня ВАК и 6 тезисов научных докладов.

Работа состоит из введения, четырех глав, заключения, списка использованных источников и шести приложений.

В первой главе проводится исследование факторов, обуславливающих потребность предприятий в ОБИ, методов выбора уровня затрат на ОБИ, понятийного и алгоритмического аппарата концепции управления рисками. Выполняется систематизация и анализ международных стандартов, нормативных и справочных документов, определяющих организационно-управленческие подходы к ОБИ и управлению рисками нарушения БИ. Согласно существующей системе стандартов и документов в области хранения данных анализируется возможность по ОБИ в ООСХД в рамках организационно-управленческих подходов к обеспечению экономически оправданной БИ на предприятии в целом, а также выявляются недостаточно разработанные вопросы ОБИ в ООСХД. На основе полученных обзорно-аналитических результатов в главе проводится формальная постановка задачи обработки рисков нарушения БИ в ООСХД, выполняется ее декомпозиция на задачи разработки методики обработки рисков нарушения БИ в ООСХД, схемы применения механизмов защиты в ООСХД и отдельных моделей и протоколов ОБИ в ООСХД.

Во второй главе решается задача обоснования и разработки методики обработки рисков нарушения БИ в ООСХД. Для ее решения выполняется построение математической модели учета влияния БИ в ООСХД на процессы деловой деятельности и разработка согласованных с международным стандартом управления рисками нарушения БИ ISO/IEC 27005 [38] процедур определения контекстф^даравления рисками, идентификации рисков, анализа рисков и обработки рисков для ООСХД, позволяющих учитывать установленные в организации требования к экономическому обоснованию ОБИ в ООСХД.

В третьей главе в целях представления информационной обеспечения для применения методики обработки рисков нарушения БИ в ООСХД разрабатывается схема применения механизмов защиты в ООСХД, а также отдельные модели и протоколы ОБИ в ООСХД. Схема, модели и протоколы разрабатываются с учетом требований повышения производительности операций аутентификации, контроля доступа и сопровождения политики безопасности по сравнению со стандартизированной моделью безопасности ООСХД [5]. В главе разрабатывается комплекс протоколов аутентификации клиентских приложений при доступе к информации, размещенной па ОО-УХД и серверах метаданных в составе ООСХД, модель обеспечения целостности и конфиденциальности информации, хранимой на ООУХД в составе сети, а также математическая модель функционирования системы предотвращения вторжений уровня ООУХД.

Четвертая глава посвящена разработке информационного и программного обеспечения для применения методики обработки рисков нарушения БИ в ООСХД. На основе анализа структуры и состава каталога механизмов защиты, требующегося для применения методики, предлагается концепция использования базового каталога механизмов защиты, позволяющая снизить трудозатраты на выполнение методики. В главе исследуются возможности по автоматизации выполнения методики обработки рисков нарушения БИ в ООСХД и разрабатывается программное инструментальное средство, реализующее такую автоматизацию. Также представляются результаты экспериментального анализа эффективности разработанной методики обработки рисков нарушения БИ в ООСХД в промышленных предприятиях и определяются практические рекомендации по ее использованию.

Заключение содержит основные выводы и результаты, полученные в диссертации, определяет пути дальнейшего продолжения исследований.

Выводы по главе 4

1. Выявлено, что значительная часть информации, содержащейся в каталоге механизмов защиты, используемом в методике обработки рисков в ООСХД, может многократно использоваться при применении методики как рамках одной, так и в рамках различных организаций. С учетом этого свойства предложена схема каталогизации информации о механизмах защиты для ООСХД в форме актуализируемого базового каталога, позволяющая существенно снизить трудозатраты на подготовительный этап перед выполнением методики обработки рисков в ООСХД.

2. В развитие информационного обеспечения методики обработки рисков в ООСХД определен примерный состав базового каталога механизмов защиты для ООСХД, содержащий множество частных реализаций механизмов защиты, предусматриваемых разработанной схемой применения механизмов защиты в ООСХД.

3. Для дополнительного снижения практических трудозатрат на выполнение методики обработки рисков в ООСХД разработано ее программное обеспечение в виде инструментального средства автоматизации ИСКР 1.0, удовлетворяющего требованиям совместимости, удобства в использовании, высокой производительности, переносимости и обновляемости, упрощающего спецификацию необходимой для выполнения методики информации и автоматизирующего вычисление результата.

4. В качестве наиболее подходящего технологического решения для реализации инструментального средства ИСКР 1.0 использована клиент-серверная архитектура доступа к Web-приложению, реализующему графический пользовательский интерфейс для редактирования каталога механизмов защиты для ООСХД и выполнения шагов методики обработки рисков в ООСХД.

5. Экспериментальный анализ эффективности разработанной методики обработки рисков нарушения БИ в ООСХД, проведенный в крупных промышленных предприятиях - ООО "Одноклассники" и Небанковской Кредитной Организации "Международная Расчетная Палата" (ООО) — показал, что она может успешно применяться на практике для повышения технико-экономических показателей деятельности предприятий по ОБИ.

6. Определены практические рекомендации по использованию разработанной методики обработки рисков нарушения БИ в ООСХД, ее информационного и программного обеспечения в рамках общего процесса управления рисками на предприятии, включая вопросы организации рабочей группы для выполнения методики, определения организационного порядка выполнения методики, формирования каталога механизмов защиты для ООСХД, а также применения инструментального средства ИСКР 1.0 для уменьшения трудоемкости выполняемых процессов.

ЗАКЛЮЧЕНИЕ

В диссертации представлены результаты теоретических и прикладных исследований, направленных на решение научно-технической задачи разработки и применения методики обработки рисков нарушения БИ в ООСХД, позволяющей оптимизировать применение средств защиты информации в ООСХД с учетом связанных с ними затрат и ожидаемого ущерба от возможных нарушений БИ.

Основным научным результатом исследования является создание методики обработки рисков нарушения БИ в ООСХД, позволяющей повысить информационную безопасность предприятий, использующих ООСХД в составе корпоративных ИС.

В процессе выполнения работы получены следующие основные результаты:

1. На основе исследования факторов, обуславливающих потребность предприятий в ОБИ, и применяемых подходов к обоснованию затрат на ОБИ установлена потребность в решении организационных и технических вопросов ОБИ в рамках единого экономически обоснованного подхода. Проведенный анализ и систематизация литературных источников, международных стандартов, нормативных и справочных документов, определяющих организационно-управленческие подходы к ОБИ, позволил установить в качестве научно-методической базы для решения задачи выбора уровня затрат на ОБИ и набора применяемых мер защиты понятийный и алгоритмический аппарат концепции управления рисками. На основе анализа литературных источников и документов, связанных с задачами ОБИ в ООСХД и их решением в рамках организационно-управленческих подходов, произведена формальная постановка задачи обработки рисков нарушения БИ в ООСХД и решаемой в диссертации задачи разработки методики обработки рисков нарушения БИ в ООСХД.

2. На основе понятийного и алгоритмического аппарата концепции управления рисками, положений международного стандарта управления рисками нарушения БИ ISO/IEC 27005, результатов анализа подходов к экономическому обоснованию деятельности по ОБИ, а также методов системного анализа и методов дискретной оптимизации построена математическая модель учета влияния БИ в ООСХД на процессы деловой деятельности. На базе этой модели обоснована и разработана методика обработки рисков нарушения БИ в ООСХД. Методика обладает рациональной трудоемкостью и позволяет решать задачи анализа и синтеза систем защиты информации в ООСХД. В частности, методика позволяет выбирать меры по ОБИ в ООСХД с учетом связанных с ними затрат и ожидаемого ущерба от возможных нарушений БИ таким образом, чтобы обеспечить оптимизацию технико-экономических показателей деятельности предприятия по ОБИ в ООСХД.

3. В рамках информационного обеспечения для методики обработки рисков нарушения БИ в ООСХД предложена схема применения механизмов защиты в ООСХД, позволяющая обеспечить пренебрежимо малую вероятность нарушения безопасности информации при осуществлении к ней доступа в рамках ООСХД, а также повысить производительность операций аутентификации, контроля доступа и сопровождения ПБ по сравнению со стандартизированной моделью безопасности ООСХД.

4. В рамках схемы применения механизмов защиты в ООСХД предложен комплекс протоколов аутентификации клиентских приложений при доступе к информации, размещенной на ООУХД и серверах метаданных в составе ООСХД. Предложенные протоколы поддерживают установление защищенных соединений между клиентами и ООУХД или серверами метаданных для обеспечения целостности и конфиденциальности передаваемых данных и обеспечивают повышенную производительность операций аутентификации. Доказано, что протоколы являются корректными.

5. Разработана модель обеспечения целостности и конфиденциальности информации, хранимой на ООУХД в составе ООСХД, основанная на использовании ролевой модели контроля доступа и протокола группового распределения ключей TGDH, а также реализующие ее протоколы для производительного выполнения основных операций сопровождения ПБ и контроля доступа Разработанная модель предназначена для использования в рамках схемы применения механизмов защиты в ООСХД и позволяет использовать в составе сети ООУХД, не являющиеся доверенными.

6. Анализ возможности применения систем обнаружения и предотвращения вторжений для снижения уровней рисков нарушения БИ в рамках схемы применения механизмов защиты в ООСХД показал, что СПВ уровня ООУХД позволяют снижать уровни рисков нарушения БИ для всей ИС, содержащей ООСХД, в том числе в условиях частичной компрометации ИС и обхода нарушителями других механизмов защиты ООСХД. Разработана математическая модель функционирования СПВ уровня ООУХД, показывающая принципиальную возможность создания такой системы, и определены требования к практической реализации СПВ уровня ООУХД.

7. В развитие информационного обеспечения разработанной методики обработки рисков нарушения БИ в ООСХД предложена схема каталогизации информации о механизмах защиты для ООСХД в форме актуализируемого базового каталога, позволяющая существенно снизить трудозатраты на подготовительный этап перед выполнением методики, а также определен примерный состав базового каталога механизмов защиты для ООСХД.

8. Для дополнительного снижения практических трудозатрат на выполнение методики обработки рисков нарушения БИ в ООСХД разработано ее программное обеспечение в форме инструментального средства автоматизации ИСКР 1.0, упрощающего спецификацию необходимой для выполнения методики информации и автоматизирующего вычисление результата.

9. Экспериментальный анализ эффективности разработанной методики обработки рисков нарушения БИ в ООСХД, проведенный в крупных промышленных предприятиях - ООО "Одноклассники" и Небанковской Кредитной Организации "Международная Расчетная Палата" (ООО) -показал, что она может успешно применяться на практике для повышения технико-экономических показателей деятельности предприятий по ОБИ. Определены практические рекомендации по использованию методики, ее информационного и программного обеспечения в рамках общего процесса управления рисками на предприятии. к

Результаты проведенных исследований могут найти практическое применение в организациях различного профиля, использующих или планирующих использовать ООСХД в составе корпоративных ИС и предъявляющих высокие требования к ОБИ и экономическому обоснованию мер по ОБИ. Разработанные модели и протоколы ОБИ в ООСХД могут быть использованы при создании детальных спецификаций и промышленных образцов механизмов защиты для ООСХДз построенных на основе продукции различных производителей.

Перспективным направлением развития работ в области диссертационного исследования представляется разработка обобщенной методики обработки рисков нарушения БИ, применимой к: широкому классу компонент ИТ, способной учитывать как ограничения, накладываемые на технико-экономические показатели ОБИ, так и специальные ограничения, которые могут накладываться на уровни уязвимости компонент ИС в некоммерческих, государственных и военных организациях, а также позволяющей выполнять количественные вероятностные расчеты, допускающие анализ чувствительности решения, получаемого в результате выполнения методики. Также перспективным направлением видится дальнейшее исследование вопросов обнаружения и предотвращения вторжений на уровне УХД и анализ эффективности различных схем организации данного механизма.

1. Vacca J. The basics of SAN security — Part I электронный ресурс. / J. Vacca. 2002. — Режим доступа: http://www.enterprisestorageforum.com/sans/features/article.php/1431341.

2. Braam P. Object based storage / P. Braam, A. Dilger. Technical Report, Stelias Computing, 1999.

3. ANSI INCITS 400-2004 Information technology - SCSI object-based storage device commands (OSD). - 2004.

4. PanFS parallel file system электронный ресурс. Режим доступа: http://www.panasas.com/panfs.html.

5. Lustre: A scalable, high-performance file system электронный ресурс. / Cluster File Systems, Inc., 2002. — Режим доступа: http://eugen.leitl.org/whitepaper.pdf.

6. Factor M. Object storage: The future building block for storage systems / M. Factor, K. Meth, D. Naor, O. Rodeh, J. Satran. — IBM Haifa Research Laboratories, 2005.

7. Satran J. Internet small computer system interface (iSCSI): RFC 3720 электронный ресурс. / J. Satran, K. Meth, C. Sapuntzakis, M. Chadalapaka, E. Zeidner. Internet Engineering Task Force, 2004. - Режим доступа: http://tools.ietf.org/html/rfc3720.

8. ANSI INCITS 387-2004 Information technology - Fibre channel generic services-4. - 2004.

9. Information technology SCSI object-based storage device commands - 2 (OSD-2), TlO/Project 1729-D/Rev 5 электронный ресурс. - 2009. - Режим доступа: http://www.tl0.org/ftp/tl0/drafts/osd2/osd2r05.pdf.

10. Gobioff Н. Security for high performance commodity storage subsystem / H. Gobioff. — PhD thesis, Carnegie Mellon University, 1999.

11. Reed B. Authenticating network-attached storage / B. Reed, E. Chron, R. Burns, D. Long // IEEE Micro. 2000. - No. 20 (1). - P. 49 - 57.

12. Azagury A. A two layered approach for securing an object store network / A. Azagury, R. Canetti, M. Factor, S. Halevi, E. Henis, D. Naor, N. Rinetzky, O. Rodeh, J. Satran // Proc. of the 1st IEEE International Security in Storage Workshop. 2002.

13. Kher V. Decentralized authentication mechanisms for object-based storage devices / V. Kher, Y. Kim // Proc. of the 2nd IEEE International Security in Storage Workshop. 2003.174

14. Halevi S. Enforcing confinement in distributed storage and a cryptographic model for access control электронный ресурс. / S. Halevi, P. Karger, D. Naor. 2005. - Режим доступа: http://eprint.iacr.org/2005/169.pdf.

15. Olson С. Secure capabilities for a petabyte-scale object-based distributed file system / C. Olson, E. Miller // Proc. of the 2005 ACM Workshop on Storage Security and Survivability. 2005.

16. Factor M. The OSD security protocol / M. Factor, D. Nagle, D. Naor, E. Riedel, J. Satran // Proc. of the 3rd IEEE International Security In Storage Workshop. 2005.

17. Leung A. Scalable security for petascale parallel file systems / A. Leung, E. Miller, S. Jones // Proc. of the 2007 ACM/IEEE Conference on Supercomputing. 2007.

18. Запечников С.В. Исследование и разработка алгоритмов обеспечения безопасности доступа к информации в сетях хранения данных: дисс. . канд. тех. наук. / С.В. Запечников. — М.: МИФИ, 2003.

19. Щербаков А.Ю. Методы и модели проектирования средств обеспечения безопасности в распределенных компьютерных системах на основе создания изолированной программной среды: дисс. . докт. тех. наук. / А.Ю. Щербаков. М., 1997.

20. Зегжда Д.П. Принципы и методы создания защищенных систем обработки информации: дисс. . докт. тех. наук. / Д.П. Зегжда. СПб., 2002.

21. Ловцов Д.А. Управление безопасностью эргасистем. 2-е изд., испр. и доп. / Д.А. Ловцов, Н.А. Сергеев; Под ред. Д.А. Ловцова. - М.: РАУ-Университет, 2001. - 223 с.

22. Ловцов Д.А. Информационная теория эргасистем: Тезаурус. 2-е изд., испр. и доп. / Д.А. Ловцов. - М.: Наука, 2005. - 248 с.

23. Shepler S. NFS version 4 minor version 1 (Internet Draft) электронный ресурс. / S. Shepler, M. Eisler, D. Noveck. Internet Engineering Task Force, 2008. — Режим доступа: http://tools.ietf.org/html/draft-ietf-nfsv4-minorversionl-29.

24. Halevy В. Object-based pNFS operations (Internet Draft) электронный ресурс. / В. Halevy, В. Welch, J. Zelenka. Internet Engineering Task Force, 2008. - Режим доступа: http://tools.ietf.org/html/draft-ietf-nfsv4-pnfs-obj-l 2.

25. Linn J. Generic security service application program interface version 2, update 1: RFC 2743 электронный ресурс. / J. Linn. Internet Engineering Task Force, 2000. — Режим доступа: http://tools.ietf.org/htmI/rfc2743.

26. Anderson R. Why information security is hard an economic perspective / R. Anderson // Proc. of the 17th Annual Computer Security Applications Conference. - 2001. - P. 358 - 365.

27. Butler S. Security attribute evaluation method: A cost-benefit approach / S. Butler // Proc. of the 24th International Conference on Software Engineering (ICSE'02). ACM Press, 2002. - P. 232 -240.

28. Gordon L. The economics of information security investment / L. Gordon, M. Loeb // ACM Transactions on Information and System Security (TISSEC). 2002. - No. 5 (4). - P. 438 - 457.

29. Cavusoglu H. A model for evaluating IT security investments / H. Cavusoglu, B. Mishra, S. Rag-hunathan // Communications of the ACM. 2004. - No. 47 (7). - P. 87 - 92.

30. Camp L. Economics of information security / L. Camp, S. Lewis. — Kluwer Academic Publishers, 2004.

31. Петренко C.A. Информационная безопасность: Экономические аспекты / С.А. Петренко, С.В. Симонов, Р.И. Кислов // Jet Info. 2003. - № 10.

32. Kumamoto Н. Probabilistic risk assessment and management for engineers and scientists, 2nd edition / H. Kumamoto, E. Henley. Institute of Electrical and Electronics Engineers, Inc., New York, 1996.

33. Soo Hoo K. How much is enough? A risk-management approach to computer security / K. Soo Hoo. PhD thesis, Stanford University, 2000.

34. Петренко C.A. Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. М.: ДМК Пресс, 2004.

35. FIPS PUB 65 Guideline for automatic data processing risk analysis. — US Department of Commerce, National Bureau of Standards, 1979.

36. ISO/IEC 27005:2008 Information technology - Security techniques - Information security risk management. — 2008.

37. Information security breaches survey 2008 (Technical Report). UK Department for Business, Enterprise and Regulatory Reform (BERR), 2008.

38. Brealey R. Fundamentals of corporate finance / R. Brealey, S. Myers, A. Marcus. McGraw-Hill/Irwin, 2004.

39. Measuring the return on IT security investments (White Paper). Intel Information Technology, 2007.

40. The standard of good practice for information security (Technical Report). Information Security Forum, 2007.

41. Ивченко Г.И. Теория массового обслуживания. Учебное пособие для вузов / Г.И. Ивченко, В.А. Каштанов, Н.Н. Коваленко. М.: Высшая школа, 1982.

42. Клейнрок JI. Теория массового обслуживания / JI. Клейнрок. М.: Машиностроение, 1979.

43. Regulation (ЕС) No 460/2004 of the European Parliament and of the Council of 10 March 2004 establishing the European Network and Information Security Agency. 2004.

44. Risk management: Implementation principles and inventories for risk management/risk assessment methods and tools. — ENISA (European Network and Information Security Agency), 2006.

45. IEC 61882:2001 Hazard and operability studies (HAZOP studies) - Application guide. - 2001.

46. ГОСТ P 51901.11-2005 (МЭК 61882:2001). Менеджмент риска. Исследование опасности i работоспособности. Прикладное руководство. — М.: Стандартинформ, 2006.

47. Симонов С.В. Анализ рисков, управление рисками / С.В. Симонов // Jet Info. — 1999. — № 1.

48. Poore R. Valuing information assets for security risk management / R. Poore // Information Systems Security. 2000. - P. 13 - 23.

49. Pisello T. Is there a business case for IT security? / T. Pisello // Security Management. — 2004. — No. 38 (10).-P. 140-142.

50. Campbell K. The economic cost of publicly announced information security breaches: Empirical evidence from the stock market / K. Campbell, L. Gordon, M. Loeb, L. Zhou // Journal of Computer Security. 2003. - No. 11 (3). - P. 431 - 448.

51. Garg A. Quantifying the financial impact of IT security breaches / A. Garg, J. Curtis, H. Halper // Information Management & Computer Security. 2003. - No. 11 (2). - P. 74 - 83.

52. ISO/IEC 15408-1:2005 Information technology - Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model. — 2005.

53. ISO/IEC 15408-2:2005 Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional requirements. - 2005.

54. ISO/IEC 15408-3:2005 Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance requirements. - 2005.

55. Anderson R. Security engineering: A guide to building dependable distributed systems / R. Anderson. John Wiley and Sons, 2001.

56. BS 7799-1:1995 Information security management - Code of practice for information security management. - 1995.

57. BS-7799-2:1998 Information security management - Specification for information security management systems. - 1998.

58. ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management. — 2007.

59. ISO 9001:2000 Quality management systems - Requirements. - 2000.

60. ISO 14001:1996 Environmental management systems - Specification with guidance for use. -1996.

61. Shewhart W. Statistical method from the viewpoint of quality control / W. Shewhart. Dover Publications, Reprint, 1986.

62. ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements. — 2005.

63. COBIT v4.1. Information Technology Governance Institute, Rolling Meadows, 2007.

64. ISM3 v2.10 Information security management maturity model. — ISM3 Consortium, 2007.

65. ISO/IEC 20000-1:2005 Information technology - Service management - Part 1: Specification. — 2005.

66. ISO/IEC 20000-2:2005 Information technology - Service management - Part 2: Code of practice. - 2005.

67. ITIL: Service strategy. TSO, 2007.

68. IT-Grundschutz catalogues: Version 2005 электронный ресурс. Bundesamt fur Sicherheit in der Informationstechnik, 2005. - Режим доступа: http://www.bsi.bund.de/english/gshb/download/index.htm.

69. AS/NZS 4360:2004 Risk management. - Standards Australia and Standards New Zealand, Sydney, NSW, 2004.

70. EBIOS, section 1: Introduction. Secretariat general de la defense nationale, Direction centrale de la securite des systemes d'information, Sous-direction des operations, Bureau conseil, France, 2004.

71. MAGERIT Version 2, Methodology for information systems risk analysis and management, Book I - The method. — Ministerio de Administraciones Publicas, Spain, 2006.

72. MEHARI Risk analysis guide. - Club de la Securite de reformation Fran9ais (CLUSIF), 2007.

73. Alberts C. OCTAVE method implementation guide version 2.0 / C. Alberts, A. Dorofee. Carnegie Mellon University, 2001.

74. Stoneburner G. Risk management guide for information technology systems, NIST Special Publication 800-30 / G. Stoneburner, A. Goguen, A. Feringa. NIST, 2002.

75. The SOMAP.org: Open information security risk management handbook, Version 1.0 электронный ресурс. 2006. - Режим доступа: http://www.somap.org/methodology/somaphandbook.html.

76. Hogganvik I. A graphical approach to security risk analysis /1. Hogganvik. PhD thesis, Faculty of Mathematics and Natural Sciences, University of Oslo, 2007.

77. CobiT mapping: Mapping ISO/IEC 17799:2005 with CobiT 4.0 электронный ресурс. Information Technology Governance Institute, 2006. - Режим доступа:http://www.isaca.org/Template.cfm?Section=COBlT6&Template=/ContentManagement/Content

78. Display.cfm&ContentID=28886.

79. BSI standard 100-2 IT-Grundschutz methodology - Version 2.0. - Bundesamt fur Sicherheit in der Informationstechnik, 2008.

80. ISO/IEC 10181-1:1996 Information technology - Open systems interconnection - Security frameworks for open systems: Overview. — 1996.

81. ISO/IEC 11770-1:1996 Information technology - Security techniques - Key management - Part 1: Framework. — 1996.

82. ISO/IEC 18033-1:2005 Information technology - Security techniques - Encryption algorithms -Part 1: General.-2005.

83. ISO/IEC 18028-1:2006 Information technology - Security techniques - IT network security -Part 1: Network security management. — 2006.

84. ISO/IEC 18043:2006 Information technology - Security techniques - Selection, deployment and operations of intrusion detection systems. —2006.

85. Storage security best current practices (BCPs), Version 2.1.0 (SNIA Technical Proposal). Storage Networking Industry Association, 2008.

86. ANSI INCITS 426-2007 Information technology - Fibre channel security protocols (FC-SP). -2007.

87. Aboba B. Securing block storage protocols over IP: RFC 3723 электронный ресурс. / В. Ab-oba, J. Tseng, J. Walker, V. Rangan, F. Travostino. Internet Engineering Task Force, 2004. -Режим доступа: http://tools.ietf.org/html/rfc3723.

88. ISO/IEC 7498-1:1994 Information technology - Open systems interconnection - Basic reference model: The basic model. — 1994.

89. Hungate J. Application portability profile and open system environment users's forum / J. Hun-gate, M. Gray // Conference Report, Journal of Research of the National Institute of Standards and Technology, 1995.

90. ISO/IEC 10746-1:1998 Information technology - Open distributed processing - Reference model: Overview - Part 1. — 1998.

91. The open group architectural framework, Ver. 9 электронный ресурс. The Open Group, 2009. - Режим доступа: http://www.opengroup.org/architecture/togaf9-doc/arch/.

92. Запечников C.B. Стандартизация информационных технологий в аспекте защиты информации в открытых системах / С.В. Запечников. М.: МИФИ, 2000. - 135 с.

93. Common internet file system (CIFS) technical reference, Revision 1.0 электронный ресурс. -Storage Networking Industry Association, 2002. — Режим доступа: http://www.snia.org/techactivities/CIFS/CIFS-TR-lpOOFINAL.pdf.

94. Rajagopal M. Fibre channel over TCP/IP (FCIP): RFC 3821 электронный ресурс. / M. Raja-gopal, E. Rodriguez, R. Weber. — Internet Engineering Task Force, 2004. Режим доступа: http://tools.ietf.org/html/rfc3 821.

95. Kent S. Security architecture for the internet protocol: RFC 4301 электронный ресурс. / S. Kent, K. Seo. — Internet Engineering Task Force, 2005. — Режим доступа: http://tools.ietf.org/html/rfc4301.

96. Postel J. Transmission control protocol: RFC 793 электронный ресурс. / J. Postel. — DARPA Internet Program Protocol Specification, 1981. — Режим доступа: http://tools.ietf.org/html/rfc793.

97. Kaufman С. Internet key exchange (IKEv2) protocol: RFC 4306 электронный ресурс. / ed. С. Kaufman. Internet Engineering Task Force, 2005. - Режим доступа: http://tools.ietf.org/html/rfc4306.

98. Leung A. Scalable security for large, high performance storage systems / A. Leung, E. Miller // Proc. of the 2nd International Workshop on Storage Security and Survivability. 2006.

99. Алферов И.Л. Управление информационными рисками в объектно-ориентированных сетях хранения данных / И.Л. Алферов // Безопасность информационных технологий. — 2007.-№3.-С. 23-30.

100. Bouti A. A state-of-the-art review of FMEA/FMECA / A. Bouti, A. Kadi // International Journal of Reliability, Quality and Safety Engineering. 1994.-No. l.-P. 515-543.

101. IEC 61025 Ed. 2.0 b:2006 Fault tree analysis (FTA). - 2006.

102. IEC 60300-3-9 Dependability management - Part 3: Application guide - Section 9: Risk analysis of technological systems. — 1995.

103. Nielsen D. The cause/consequence diagram method as a basis for quantitative accident analysis / D. Nielsen. Danish Atomic Energy Comission, RISO-M-1374, 1971.

104. Rausand M. System reliability theory: models, statistical models, and applications, 2nd edition/ M. Rausand, A. Hoyland. — Wiley-Interscience, 2003.

105. Fenton N. Combining evidence in risk analysis using Bayesian networks / N. Fenton, M. Neil // Safety Critical Systems Newsletter. 2004. -No. 14 (1). - P. 8 - 13.

106. IEC 61165 Ed. 2.0 Application of Markov techniques. - 2006.

107. Schneier B. Attack trees: Modeling security threats / B. Schneier// Dr. Dobb's Journal. — 1999. No. 24 (12).-P. 21 -29.

108. Hasan R. Toward a threat model for storage systems / R. Hasan, S. Myagmar, A. Lee, W. Yurcik // Proc. of the ACM International Workshop on Storage Security and Survivability (StorageSS '05).-2005.

109. Евланов Л.Г. Экспертные оценки в управлении / Л.Г. Евланов, В.А. Кутузов. М.: Экономика, 1978.

110. Kami Е. Probabilities and beliefs / Е. Kami // Journal of Risk and Uncertainty. 1996. - No. 13 (3). - P. 249 - 262.

111. Зайченко Ю.П. Исследование операций / Ю.П. Зайченко. Киев: Слово, 2003.

112. Ахо А.В. Структуры данных и алгоритмы / А.В. Ахо, Д.Д. Ульман, Д.Э. Хопкрофг. М.: Вильяме, 2000.

113. Oldfield R. Lightweight I/O for scientific applications (Technical Report SAND2006-3057) / R. Oldfield, A. Maccabe, S. Arunagiri, T. Kordenbrock, R. Reisen, L. Ward, P. Widener. Sandia National Laboratories, 2006.

114. ANSI INCITS 359-2004 Information technology - Role based access control. - 2004.

115. Ferraiolo D. An examination of federal and commercial access control policy needs / D. Ferrai-olo, D. Gilbert, N. Lynch // Proc. of the NIST-NCSC National Computer Security Conference. -1993.

116. Gallaher M. The economic impact of role-based access control (NIST Planning Report) / M. Gallaher, A. O'Connor, B. Kropp. NIST, 2002.

117. Cavusoglu H. The value of intrusion detection systems in information technology security architecture / H. Cavusoglu, B. Mishra, S. Raghunathan // Information Systems Research. — 2005. — No. 16(1).-P. 28-46.

118. Housley R. Internet X.509 public key infrastructure certificate and CRL profile: RFC 2459 электронный ресурс. / R. Housley, W. Ford, W. Polk, D. Solo. Internet Engineering Task Force, 1999.— Режим доступа: http://tools.ietf.org/html/rfc2459.

119. Wu Т. The SRP authentication and key exchange system: RFC 2945 электронный ресурс. / Т. Wu. Internet Engineering Task Force, 2000. — Режим доступа: http://tools.ietf.org/html/rfc2945.

120. Алферов И.JI. Криптографические методы обеспечения целостности и конфиденциальности информации на объектно-ориентированных устройствах хранения данных / И.Л. Алферов // Безопасность информационных технологий. 2007. - № 1. - С. 29 - 36.

121. Алферов И.Л. Аутентификация клиентов при доступе к информации в объектно-ориентированных сетях хранения данных / И.Л. Алферов // Безопасность информационных технологий. 2008. - № 4. - С. 62 - 70.

122. Алферов И.Л. Предотвращение вторжений на уровне объектно-ориентированных устройств храпения данных / И.Л. Алферов // Безопасность информационных технологий. — 2008,-№4.-С. 71-78.

123. Krawczyk Н. НМАС: Keyed-hashing for message authentication: RFC 2104 электронный ресурс. / H. Krawczyk, М. Bellare, R. Canetti. Internet Engineering Task Force, 1997. - Режим доступа: http://tools.ietf.org/html/rfc2104.

124. Haberman В. Network time protocol version 4 autokey specification (Internet Draft) электронный ресурс. / В. Haberman, D. Mills, U. Delaware. Internet Engineering Task Force, 2009. — Режим доступа: http://tools.ietf.org/html/draft-ietf-ntp-autokcy-07.

125. Burrows M. A logic of authentication / M. Burrows, M. Abadi, R. Needham // ACM Transactions on Computer Systems.- 1990.-No. 8 (l).-P. 18-36.

126. Fu K. Integrity and access control in untrusted content distribution networks / K. Fu. — PhD thesis, Massachusetts Institute of Technology, 2005.

127. Kim Y. Secure group services for storage area networks / Y. Kim, F. Maino, M. Narasimha, G. Tsudik // Proc. of the 1st IEEE International Security In Storage Workshop. 2002.

128. Grand J. Practical secure hardware design for embedded systems / J. Grand // Proc. of the 2004 Embedded Systems Conference. 2004.

129. Amit Y. On the performance of group key agreement protocols / Y. Amir, Y. Kim, C. Nita-Rotaru, J. Schultz, J. Stanton, G. Tsudik // ACM Transactions on Information and System Security (TISSEC). 2004. - No. 7 (3). - P. 457 - 488.

130. Kim Y. Tree-based group key agreement электронный ресурс. / Y. Kim, A. Perrig, G. Tsudik // Crypto logy ePrint Archive, Report 2002/009. 2002. - Режим доступа: http://eprint.iacr.org/2002/009.pdf.

131. Boneh D. The decision Diffie-Hellman problem / D. Boneh // Proc. of the 3rd Algorithmic Number Theory Symposium. 1998. - Vol. 1423. - P. 48 - 63.

132. Intrusion prevention systems (IPS) (White Paper). -NSS Group, 2004.

133. Cheswick W. Firewalls and internet security: Repelling the wily hacker, 2nd edition / W. Ches— wick, S. Bellovin, A. Rubin. Addison-Wesley, 2003.

134. Porras P. Emerald: Event monitoring enabling responses to anomalous live disturbances / P. Рог— ras, P. Neumann // Proc. of the 20th National Information Systems Security Conference. 1997.

135. Banikazemi M. Storage-based intrusion detection for storage area networks (SANs) / M. Banika.-zemi, D. Poff, B. Abali // Proc. of the 22nd IEEE/13th NASA Goddard Conference on Mass Storage Systems and Technologies. — 2005.

136. Pennington A. Storage-based intrusion detection: Watching storage activity for suspicious behavior / A. Pennington, J. Strunk, J. Griffin, C. Soules, G. Goodson, G. Ganger // Proc. of the 12th USENIX Security Symposium. 2003.

137. Strunk J. Intrusion detection, diagnosis, and recovery with self-securing storage / J. Strunk, <3 Goodson, A. Pennington, C. Soules, G. Ganger. Carnegie Mellon University Technical Report CMU-CS-02-140,2002.

138. Ganger G. Finding and containing enemies within the walls with self-securing network interfaces / G. Ganger, G. Economou, S. Bielski. Carnegie Mellon University Technical Report CMIJ CS-03-109, 2003.

139. Denning D. An intrusion-detection model / D. Denning // IEEE Transactions on Software Engineering. 1987.-No. 13 (2).-P. 222-232.

140. Farmer D. What are MACtimes? / D. Farmer // Dr. Dobb's Journal. 2000. - No. 25 (10). - p. 68 - 74.

141. Liu P. Intrusion confinement by isolation in information systems / P. Liu, S. Jajodia, C. McCol-lum // Journal of Computer Security. 2000. - No. 8 (4). - P. 243 - 279.

142. Ylonen T. The secure shell (SSH) protocol architecture: RFC 4251 электронный ресурс. / Т. Ylonen, С. Lonvick. — Internet Engineering Task Force, 2006. — Режим доступа: http://tools.ietf.org/html/rfc4251.

143. Stark R. Java and the Java virtual machine: definition, verification, validation / R. Stark, J Schmid, E. Borger. Springer, 2001.

144. Raggett D. HTML 4.01 specification / D. Raggett, A. Hors, I. Jacobs. W3C Recommendation, 1999.

145. Regular expressions / The Single UNIX Specification, Version 2. The Open Group, 1997.

146. Bray T. XML 1.1 (second edition) / T. Bray, C. Sperberg-McQueen, E. Maler, F. Yergeau, J. Cowan. W3C Recommendation, 2006.

147. Rescorla E. HTTP over TLS: RFC 2818 электронный ресурс. / E. Rescorla. Internet Engineering Task Force, 2000. - Режим доступа: http://tools.ietf.org/html/rfc2818.

148. McLaughlin В. Mastering Ajax, part 1: Introduction to Ajax электронный ресурс. / В. McLaughlin. IBM developerWorks, 2005. - Режим доступа: http://download.boulder.ibm.com/ibmdl/pub/software/dw/ajax/wa-ajaxintro 1/wa-ajaxintro 1 -pdf.pdf.

149. ISO/IEC 19501:2005 Information technology - Open distributed processing - Unified modeling language (UML) Version 1.4.2. - 2005.

150. EXOFS (Wikipedia article) электронный ресурс. Режим доступа: http://en.wikipedia.org/wiki/EXOFS.

151. Baryshnikov Y. IT security investment and Gordon-Loeb's 1/e rule электронный ресурс. / Y. Baryshnikov. — 2007. — Режим доступа: http://ect.belI-labs.com/who/ymb/ps/cyber.pdf.

152. Levy H. Stochastic dominance: Investment decision making under uncertainty, 2nd edition / H. Levy. Springer, 2006.

153. Conrad J. Analyzing the risks of information security investments with Monte-Carlo simulations / J. Conrad // Proc. of the 4th Workshop on the Economics of Information Security (WEIS05). -2005.

154. Bodin L. Evaluating information security investments using the analytic hierarchy process / L. Bodin, L. Gordon, M. Loeb // Communications of the ACM. 2005. - No. 48 (2). - P. 78 - 83.

155. Bodin L. Information security and risk management / L. Bodin, L. Gordon, M. Loeb // Communications of the ACM. 2008. - No. 51 (4). - P. 64 - 68.

156. Саати Т. Принятие решений. Метод анализа иерархий / Т. Саати. — М.: Радио и связь, 1993.

157. Xie N. SQUARE project: Cost/benefit analysis framework for information security improvement projects in small companies / N. Xie, N. Mead. Technical Note CMU/SEI-2004-TN-045, Software Engineering Institute, Carnegie Mellon University, 2004.

158. Rasmusen E. Games and information: An introduction to game theory, 4th edition / E. Rasmu-sen. Wiley-Blackwell, 2006.

159. Cavusoglu H. Decision-theoretic and game-theoretic approaches to IT security investment / H. Cavusoglu, S. Raghunathan, W. Yue // Journal of Management Information Systems. — 2008. — No. 25 (2).-P. 281 -304.

160. Cremonini M. Evaluating information security investments from attackers perspective: The re-turn-on-attack / M. Cremonini, P. Martini // Proc. of the 4th Workshop on the Economics of Information Security (WEIS05). 2005.

161. Brach M. Real options in practice / M. Brach. John Wiley and Sons, 2003.

162. Daneva M. Applying real options thinking to information security in networked organizations / M. Daneva. CTIT Technical Report TR-CTIT-06-11, Centre for Telematics and Information Technology, University of Twente, The Netherlands, 2006.

163. Scott M. Authenticated ID-based key exchange and remote log-in with simple token and PIN number электронный ресурс. / M. Scott // Cryptology ePrint Archive, Report 2002/164. — 2002. Режим доступа: http://eprint.iacr.org/2002/164.pdf.

164. IEEE Std 802.1X-2004 IEEE standard for local and metropolitan area networks: Port-based network access control. — 2004.

165. Bicakci K. Pushing the limits of address based authentication: How to avoid MAC address spoofing in wireless LANs / K. Bicakci, Y. Uzunay // Proc. of World Academy of Science, Engineering and Technology. 2008. - No. 32. - P. 244 - 254.

166. Simpson W. PPP challenge handshake authentication protocol (CHAP): RFC 1994 электронный ресурс. / W. Simpson. — Internet Engineering Task Force, 1996. — Режим доступа: http://tools.ietf.org/html/rfc 1994.

167. King С. Zoning: The key to flexible SAN management (White Paper) / C. King. QLogic, 2001.

168. Kent S. IP encapsulating security payload (ESP): RFC 4303 электронный ресурс. / S. Kent. -Internet Engineering Task Force, 2005. Режим доступа: http://tools.ietf.org/html/rfc4303.

169. Eisler M. RPCSECGSS protocol specification: RFC 2203 электронный ресурс. / M. Eisler, A. Chiu, L. Ling. Internet Engineering Task Force, 1997. - Режим доступа: http://tools.ietf.org/html/rfc2203.

170. Yan J. A design of metadata server cluster in large distributed object-based storage / J. Yan, Y. Zhu, H. Xiong // Proc. of the 21st IEEE/12th NASA Goddard Conference on Mass Storage Systems and Technologies. 2004. - P. 13-16.

171. ГОСТ P 50922-2006. Защита информации. Основные термины и определения. — М.: Стан-дартинформ, 2008.

172. Герасименко В.А. Основы защиты информации / В.А. Герасименко, А.А. Малюк. — М.: МИФИ, 1997.-537 с.

173. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования М.: Стандартинформ, 2008.

174. Федеральный закон от 10.01.2002 г. №1-ФЗ "Об электронной цифровой подписи". Собрание законодательства Российской Федерации. — 2002. - № 2.