автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модель и метод дуального субъектного взаимодействия в нотации стандарта ГОСТ ИСО\МЭК 15408 (ОК)

На правах рукописи

Т^7

Пастухов Андрей Сергеевич /

Модель и метод дуального субъектного взаимодействия в нотации стандарта ГОСТ ИСО\МЭК 15408 (ОК)

Специальность 05 13 19 Методы и системы защиты информации, информационная безопасность

ООЗ163676

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

3 1 ЯНВ7РМ

САНКТ-ПЕТЕРБУРГ 2008

003163676

УДК 681 3 51 /6 42

Работа выполнена на кафедре «Безопасные информационные технологии» Санкт-Петербургского государственного университета информационных технологий, механики и опгики (СПб ГУ ИТМО)

Защита состоится "19" февраля 2008 г в 15 часов 50 минут на заседании диссертационного совета Д 212 227 05 при Санкт-Петербургском Государственном университете информационных технологий, механики и оптики, по адресу 101197, Санкт-Петербург, ул Саблинская, д 14.

С диссертацией можно ознакомиться в библиотеке СПб ГУ ИТМО

Автореферат разослан " 19 " января 2008 г

Ученый секретарь Диссертационного совета

Д 212 227 05 /

кандидат технических наук /

Научный руководитель

Доктор технических наук, профессор Осовсцкий Леонид Георгиевич Доктор технических наук, профессор Гатчин Юрий Арменакович Кандидат технических паук, доцент Масловский Владимир Михайлович Федеральная Служба по Техническому и Экспортному Контролю России,

Официальные оппоненты

Ведущая организация

доцент

/и.

Поляков В И

Актуальность темы исследования

Стандарт ГОСТ Р ИСО/МЭК 15408 "Информационная технология Методы и средства обеспечения безопасности Критерии оценки безопасности информационных технологий" (краткое название - "Общие критерии", сокращенно - ОК) начал действовать в России с 1 января 2004 г

Разработка этого стандарта преследовала следующие основные цели

• унификация национальных стандартов в области оценки безопасности ИТ,

• повышение уровня доверия к оценке безопасности ИТ,

• сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов

Международный стандарт КОЛЕС 15408, а также ею российский вариант ГОСТ Р ИСО/МЭК 15408 «Информационная технология Методы и средства обеспечения безопасности Критерии оценки безопасности информационных технологий» в применении к оценке безопасности изделий информационных технологий (ИТ) являются по сути «мстасредствами, задающими систему понятий, в тер*\«шах которых должна производиться оценка, и содержащими относительно полный каталог требований безопасности (функциональных и доверия), но не предоставляющих конкретных, наборов требований и критериев для тех или иных типов продуктов и систем ИТ, выполнение которых необходимо проверять Эти требования и критерии фигурируют в профилях защиты (ПЗ) и заданиях по безопасности (ЗБ)л

Внедрение ОК в России спланировано поэтапно До 2007 г организации, в информационных системах которых циркулирует конфиденциальная информация, могут самостоятельно выбирать по каким стандартам (старым или новым) проводить аттестацию Однако, поскольку внедрение новою ГОСТ явчяется частью правительственной программы по вступлению России в ВТО (что предполагает, в частности, унификацию некоторых стандартов в области информационной безопасности), в настоящее время становится неизбежной масштабная деятельность по оцениванию и сертификации продуктов ИТ по стандарту ОК

Помимо безусловно важных методов и рекомендаций по оценке информационной безопасности ИТ ОК так же содержат системотехническую модель общего контекста безопасности (ОКБ), иллюстрирующую взаимодействие высокоуровневых понятии информационной безопасности и их взаимосвязь

Однако указанный стандарт не )читываег дуальный характер конкурентного взаимодействия двух субьектов - Втадельца информационною актива и Нарушителя информационной безопасности, что не позволяет на практике построить обоснованный профиль защиты Дтя того чтобы должным образом учесть этот аспект в еышеукгзанчом взаимодействии требуется усовгршечствовать и уточнить модель ОКБ

Расширенная трактовка взаимодействия субъектов ОКБ требует создания программно-инструментальных средств, реализующих модель данного взаимодействич

Современные методы разработки подобных средств предполагают широкое применение формальных и структурных моделей предметной обтасти, по крайней мере, на стадиях специфицирования и высокоуровневого проектирования

Решение перечисленных задач, как и многих других, связанных с иереосмысаением подхода ОК г контексту ОКБ представляется трудновыполнимым без представления модифицированной модели ОКБ и взаимосвязей ее элементов в интегральной структурированной форме, то есть в виде формальных моделей Разработка таких моделей является совершенно необходимым условием для применения новых подходов на практике

Цель диссертационной работы - уточнение модели ОКБ в части \'че'га дуального субъеютюго взаимодействия и метода оценки защищенности ИТ на основе указанной модели

Объект исследования

Объектом исследования в данной работе является модель ОКБ как совокупность понятий, методов, средств, функций и процессов

Предметом исследования в работе являются структурные, математические, формальные и имитационные модели защищенности информационных технологий, описывающие взаимодействие эпеменюв ОКБ ОК и их взаимосвязи, а также процессы деятельности разработчиков систем защиты информации (СЗИ)

Методы исследования

При решении поставленных задач использовались методы объектного, функционального информационного и имитационного моделирования, математические методы оп гимизации, математические методы микроэкономики, методы теории игр

Основные научшле положения, выносимые на защиту

1 Разработана структурная модель дуального взаимодействия Субъектов ОКБ отличающаяся от существующей модели усовершенствованием структуры своих этементов и наличием механизма дуального конкурентного взаимодействия , 2 Разработана формализованная системотехническая модель взаимодействия субъектов ОКБ, отличающаяся от существующей модели наличием цепного механизма развития конкурирующих субъектов

3 Разработана математическая балансная модель защищенности ИТ, отличающаяся от существующей введением функции защищенности ИТ и прослеживаемыми зависимостями между коэффициентами атаки и защиты

4 Разработана методика оценки проектируемой СЗИ по критерию «эффективность-стоимость», учитывающая специфику СЗИ как комплексного объекта моделирования

5 Разработана имитационная модель конфликтного взаимодействия субъектов ОКБ в условиях отражения информационной атаки

Основные результаты работы

1 Разработана структурная модель дуального взаимодействия Субъектов ОКБ, отличающаяся от существующей модели усовершенствованием структуры своих элементов и наличием механизма дуального конкурентного взаимодействия

2 Разработана формализованная системотехническая модель взаимодействия субъектов ОКБ, отличающаяся от существующей модели наличием цепного механизма развития конкурирующих субъектов

3 Разработана математическая балансная модель защищенности ИТ, отличающаяся от существующей введением функции защищенности ИТ и прослеживаемыми зависимостями между коэффициентами атаки и защиты

4 Разработана методика оценки проектируемой системы защиты информации по критерию «эффективность-стоимость», учитывающая специфику СЗИ как комплексного объекта моделирования

5 Предложены методы применения системы структурных моделей основных компонентов защищенности ИТ в нотации ОК для решения разнообразных практических задач, связанных с развитием научных подходов к модели ОКБ

6 Разработан программно-инструментальный комплекс имитационного моделирования, использующяи принципы теории игр, который позволяет выявить

влияние различных критериев на исход конфликтного взаимодействия субъектов ОКБ

Научная новизна

Научная новизна результатов работы обусловлена следующими фдаоррми

1 Выполненные исследования позволяют учесть характер поля у1роз и его источники, применительно к ОКБ

2 Разработана усовершенствованная и уточненная модель ОКБ, применительно к ситуации дуального конфликтного взаимодействия

3 Использование методики оценка проекта по критерию «эффективность-стоимость» применительно к разработке СЗИ

4 Применение методов научного моделирования и теории игр при разработке моделирующего комплекса, реализующего конфликтное взаимодеиствие субъектов ОКБ

Практическая ценность результатов

Построечные в работе формальные модели взаимодействия двух конкурирующих фирм в условиях дуального конфликта являются необходимой базой разработки функциональных и проектных спецификаций для программного обеспечения поддержки проектирования СЗИ по ОК

Разработанная в диссертации методика оценки разрабатываемой СЗИ по критерию ьэффективность-стоимостьч> и программно-инструментальный комплекс поддержки деятельности по аудиту уязвимосгей СЗИ ь условиях дуального конкурентного взаимодействия могут использоваться для решения широкого спектра практических задач

Материалы диссертации могут быть использованы при разработке методических материалов для учебного процесса в вузах, осуществляющих подготовку специалистов по информационной безопасности а также в системе повышения квалификации сотрудников испытательных лабораторий, центров аудита ИБ, фирм-разработчиков и организаций-пользователей

Область применения результатов

Помимо приведенных выше областей практической деятельности, построенные в работе формальные модели защищенности ИТ могут использоваться при разработке семейств профилей защиты и заданий но безопасности конкретных ИТ Важную, как в

теоретическом так и в праетическом отношении, область приложений полученных результатов составляет решение задач согласования международных, национальных и корпоративных стандартов в области информационной безопасности, в частности -интеграция государственных стандартов РФ в систему оценки и сертификации по ОК

Апробация работы

Основные положения и результаты диссертационной работы докладывались и обсуждались на XXXVI научной и учебно-методической конференции Санкт-Петербургского Государственного университета информационных технологий, механики и оптики (СПбГУ ИТМО), 30 января - 02 февраля 2007, г С-Петербург, на IV межвузовской конференции молодых ученых (13 - 14 апреля 2007г , г Санкт-Петербург), на 11-ой научно-технической конференции «Майоровские чтения Теория и технология программирования и защиты информации Применение вычислительной техники» (18 мая 2007г, г Санкт-Петербург), на VI Всероссийской конференции «Обеспечение информационной безопасности Региональные аспекты» (11-15 сентября 2007 г Г. Сочи) и на V Саша-Петербургской межрегиональной конференции «Информационная безопасность регионов России (ИБРР-2007) (23-25 октября 2007 г г Санкт-Петербург)

Внедрение результатов

Результаты работы реализованы

• в отчете о научно-исследовательской работе "Разработка меюдических документов по обеспечению безопасности информации на критически важных объектах информационно-телекоммуникационной инфраструктуры Союзного государства в условиях динамичного изменения угроз" ГОУВПО "СПбГУ ИТМО",

• при аттестации информационной безопасности корпоративной сети ОАО «Кировский Завод»,

• при аттестации информационной безопасности корпоративной сети ОАО «Металлургический завод «Электросталь»,

• в учебном процессе кафедры БИТ СПбГУ ИТМО по специальностям 075300, 075400

Структура и объем диссершкин

Диссертация состоит из списка сокращений, введения, четырех глав, заключения и списка литературы Материал изложен на 104 страницах машинописного текста, содертит 14 рисунков и 2 таблицы, список литературы состоит из 56 наименований

Во введении обосновывается актуальность темы, сформулированы ее ¡¡¿ль, научная новизна, приредены сведения о практическом использовании полученных научных результатов и представлены основные положения, выносимые на защиту

В первой главе представлена постановка задачи исследования общего контекста безопасное га ИГ и доказана насущная необходимость разработки альтернативного подхода к нему

В первом разделе данной главы анализируется эволюция линейки стандартов «Общие Критерии» и описаны цели, стоявшие перед разработчиками Далее сказано об гармонизированном российском переводе данного стандарта, а именно ИСО/МЭК 15408 Даетя краткий обзор актуальных практическяч задач решаемых в процессе развития стандарта, и обоснована необходимость формализованного моделирования концепции ОКБ ОК для «тч успешного решения

Во втором раюспе. обоснована необходимость и актуальность построения структурных моделей концепции ОКБ ОК в целом и ее компонентов и дан обзор существующих работ по этой тематике Здесь же дано описание модели общего контекста безопасности ь нотации ОК и приведены выдержки из подхода ОК к концепции ОКБ Гак же говорится о том, как важно построить точную формализованную модель ОКБ и учесть все аспекты взаимодействия ее элементов Далее приведена системотехническая модель концепции ОКБ, учитывающая принципы взаимодействия систем-элементов ОКБ , его особенности и решаемые задачи Здесь же сказано о разнообразии вариантов принятия решений по защите ИБ и необходимости ввести специальный критерий для сравнения эффективности деятельности системы

В третьем разделе обоснована актуальность математического исследования взаимодействия элемелтов ОК в рамг ах концепции ОКБ Далее, на основе разработанных математических моделей приведена идея построения имитационной модели вышеуказанною взаимодействия Приведена краткая справка по испочьзованию имитационного моделирования и отмечены некоторые важные аспекта, которые следует учесть при создании имитационном модели и проведении экспериментов Здесь же перечислены некоторые статистические и иные методы, которые могут быть полезны как

при определении, так и при описании соотношений между компонентами и переменными систем.

В результате анализа, в качестве основного для создания модели проведения серии экспериментов был выбран метод Монте-Карло благодаря своей наглядности и относительной простоте функционирования.

Во второй главе представлены формальные модели защищенности в контексте ОК, как решение поставленной в первой главе задачи.

В первом разделе второй главы задача структурного моделирования защищенности ИТ раскрыта ках задача построения структурных моделей основных компонентов ОК, приведен возможный спектр этих моделей, обоснован минимальный набор из трех моделей (структурная модель дуального взаимодействия субъектов ОКБ, формализованная системотехническая модель взаимодействия субъектов ОКБ, математическая балансная модель защищенности) и сформулирован порядок их построения, согласования, уточнения и пополнения. Далее по приведенному в ОК описанию общего хонтекста безопасности ИТ построена его структурная модель и описаны методы ее уточнения и пополнения. Затем проанализировано взаимодействие элементов вышеупомянутой модели, и по результатам анализа построена структурная модель дуального взаимодействия Субъектов ОКБ. (рис. 1.1)

Рисунок 1.1- Структурная модель дуального взаимодействия Субъектов ОКБ

В кочш. раздела проведен анализ конкурентного взаимодействия субъектов OK в условиях дуального информационного противоборства и на основании полученных данных была построена математическая балансная модель )ащищенности Имеются следующие элементы математической модели I лавные элементы

AI, А2 - активы, принадлежащие соответственно субъекту А и субъекту В Yl, \ 2 - уязвимости в СЗИ субъекта А и субъекта В соответственно J1, 12 - yi-розы, порождаемое в отношении друг друга субъектами А и В Побочные элементы

JotI, Jot2 - все угрозы, отраженные СЗИ субъектов А и В соответственно Joial, JoTa2 - угрозы, активно отраженные СЗИ субъектов А и В Коэффициенты

Кз1- , Кз2 ~ коэффициенты успешности выполнения защитных

функций СЗИ субъектов А и В

, Joxal t, „ JoTa2 , .

Kal^---, Ка2=--— - коэффициенты, показывающие успешность атак,

JotI Jot2

порождаемых СЗИ субъектов А и В

Кот1, Кот2 - коэффициенты, показывающие успешность отражения угроз СЗИ

субъектов А и В

PdccMoipHM частный случаи, в котором

Y1=Y2, А1=А2, Кот1 - Кот2

Подобные условия необходимы для упрощения вычислений и большей точности при выражении конкурентных отношении наших субъектов Зададим дополнительное ограничение

Кз1

Кз 1 ä Кз2, откуда следует что,-ä 1

Кз2

Запишем данное неравенство, но за основу возьмем Kai и Ка2 Почучнм соотношение (1)

ü^f. > 1 (ij Kai Л7

Данное соотношение наглядно демонстрирует решающее влияние угроз Jl, J2 на нашу модель

Введем функцию защищенности Г показывающую зависимость

коэффициента защищенности Кз1 от отношения коэффициентов атаки Kai и Ка2 Почучим следующие соотношения (2), (3)

Кз1 = —- [2]

Ка2 1 J

[3]

Kai

Условием баланса защищенности в конкурентной борьбе субъектов А. и В является обратная пропорциональность отношения коэффициентов защищенности к отношению коэффициентов успешности атак (4) Кз1 Ка2

--=------[41

Кз2 Kai

Во втором разделе разработан контекст рещения задачи формализованного моделирования и сформулированы основные свойства модели цель и точка зрения моделирования, содержание (определение) модели и границы моделирования

Рассматривается взаимодействие СЗИ UA, находящейся в составе макросистемы субъектов SA и макросистемы субъектов SB, которой принадлежит СЗИ UB

Системы конкурируют друг с другом за обладание информационным ресурсом, принадлежащим системе

GB—♦ [SA (Ga,Ya,Ca,A)]> <Sb (Gd,Yb,Cb,B) Макросистемы SA, Sa образуют конкурентную метасубъектнуто систему S(SA, SB), в которой ей составные части конкурируют между собой за обладание информационным ресурсом Gß

2 1 Принципы взаимодействия макросистем

1 Организация комплексной защиты информации требует больших материальных затрат С3 поэтому определение необходимости (да/нет) такой системы является задачей социального (СУ-СВ) управления

2 Системы SA, SB имеют близкие потенциалы научный, технический, технологический и между ними существуют отношения эквивалентности (баланса)

3 В системе (А'<В) отношений задача достигнуть абсолютного превосходства является неразрешимой Превосходство может быть достигнуто в локальной нише защищенности и на ограниченном интервале времени

4 Конкурентные (А^В) отношения имеют мотив к развитию средств Ai, Bj Процесс А><В взаимодействия имеет дискретно-непрерывный характер и описывается следующей логической последовательностью (СЗИ А - СЗИ В) -» (СЗИ А со средствами защиты

модернизированная СЗИ В)-» (усовершенствованная СЗ И А

усовершенствованная СЗИ В)—» и тд Схематически этот процесс предиавлен на рисунке 1 2

Со Ы (Л (и (Д Ы

—о—о—о-►

1 ¡Л, (10 + ф) ¡1, а, + ф) и0, (I, +■ ф) | >

Ф

Рис 1 2 Цепная модель развития конкурирующих информационно-технических систем

Усложнение структуры СЗИ и ее дальнейшее развитие расширяет количество вариантов (многообразие) эффективной комплексной защиты, что показано в таблице 1

Таблица 1

Факторы, влияющие на эффективность информационно-технических систем в условиях

конкурентной борьбы

Технические (микро-) Системотехнические (макро-)

1.1 Информационным потенциал 0и 2 1 Структура защитного комплекса <321

Позиционирование Режимы.

1 2 - по направленности д|ы 22 - фоновый 0й

1.3 - по предельной уязвимости 2.3 - автономный 0й

1 4 - по угрожаемому активу 24 - централизованный <2^

1 5 - по количеству угроз <ги Принцип защиты

1 6 - по сходству угроз р.4 25 - зональный а»

1 7 Вид угрозы </' 26 - объектный

1 8 Тип угрозы ди* Принцип сопротивления

1 9 Время, необходимое для отражения атаки О09 27 - приоритетность угрозы д»

1 10 Управляемость дН) 28 - спектр угроз

1.11 Пропускная способность 2.9 - по коэффициенту эффективности

1 12 Надежность о12 30 Адаптация к изменению

1 13 Устойчивость к контрборьбе 3 1 Мобильность защи гы дл

32 Совместимость контрмер

На основе исстедования конкурентного в¡анмодействия информационно-технических систем была предложена методика применения критерия «эффективность-стоимость» для минимизации заграт на создание СЗИ, оиюваш.ая на след)тощих положенчях

• Постулируется что СЗИ оптимальна, при условии максимизации отношения «эффективность-стоимость;4

э

4-'= — = тах,

С

где Т - критерий «эффективность-стоимость»,

Э - эффективность СЗИ (вероятность решения поставленной задачи»,

С - стоимость СЗИ

• В условиях существования множества вариантов решений СЗИ каждом) варианту соответствует свое значение критерия и принято, «то его максимальное значение на множестве вариантов будет соответствовать оптимальному

• Множество способов создания вариаций поля контрмер определяется факторами, приведенными в таблице 1

• Эффективность поля контрмер через схечно-конструктивиые решения системы коррелируется со стоимостью затрат на их реализацию

• Оценка стоимости вариантов СЗИ на момет их р<ьр?5отки осуществляется по аналогиям Выбирается аналог, характеристики назначения, функции которого известны и осуществляется их конкретизация по покгтгелям -энергетического потенциала, спектру и количеству отражаемых угроз

• Оптимизация проектных решений достигается за счет варьирования параметров I» ИБ в составе СЗИ и оценки вариантов по критерию ¥

В третье и разделе представлена имитационная модель, описывающая конфликтную ситуацию, в которой происходит информационное противоборство СЗИ двух конкурирующих субъектов ОКБ

Данная модель позволяет оценить возможные исходы противоборства и выявить влияние некоторых критериев, присущих калздой субъектных систем, на эти исходы

Основная цель построения этой модели — создать средство дЛя оценки в'шяния отдельных параметров защиты при отражении ею информационной атаки Каждая из противоборствующих сторон стремится уничтожить другую При этом возможны лишь четыре исхода

— атака отбита, защита не получила повреждений,

— атака успешна, защита разрушена,

— обе стороны уничтожены,

— обе стороны выживают

Кроме важнейших технических данных нападающей и обороняющейся сторон, модель должна содержать и определенные «правила игры», которые для данного случая можно записать так

1 Частичные повреждения атакующего или защиты в модели не рассматриваются В любой момент атаки каждая из сторон может либо быть полностью уничтожена, либо сохранять полную боеспособность

2 Целью для защиты может служить лишь атакующий

3 И атакующий, и защищающийся начинают работу лишь тогда, когда противник попадает в соответствующую зону поражения

4 Стороны продолжают вести атаку до тех пор, пока не наступит один из первых трех возможных исходов

5 Атакующий продолжает воздействие на цель до наступления одного из первых трех возможных исходов

Основные технические данные информационной атаки V — время подготовки атаки,

— интервал между атаками, М —количество атак,

Б.1 —максимальное время до срабатывания защиты,

ЩК) — среднее время атаки,

РКЯ) —вероятность поражения защиты

Основные технические данные защиты от вирусных атак

Б?—интервал между запусками контрмер,

N—количество возможных контрмер,

Яг—максимальное время до атаки,

ЩЯ) — среднее время защиты от атаки,

Рг(К) — вероятность поражения атакующего

Кроме вероятности наступления каждого из четырех исходов боя, нас интересует и ожидаемая цена достижения благоприятного исхода Программа вычисляет ее по накопленной статистике предыдущих боевых ситуаций

Один прогон машинной программы модели позволяет получить следующее 1 Хронологическую последовательность критических событий предыдущих боев

2 Последоватетьность событий каждого боя

3 Вероятность появления каждою из иоодов на большом интервале времени

4 Частотные ропределении атак, когооые необходимы, чтобы поразить цели, для защищающейся сюроны и для атакующей

5 Ожидаемое чисто защитных конгрмер и информационных агак противника, необходимых для поражимя цели

Принцип работы модели

После того как параметры, характеризующие атакующую и обороняющуюся стороны, введены в модель, машинная программ?

1) вычисляет количество запущенных контрмер, направленных на информационные атаки,

2) определяет моменты времени, когда происходят атака и активация контрмер,

31 вычисляет соответствующий диапазон действия информационной агаки и защитных контрмер при каждом запуске,

4) вычисляет моменты времени, когда каждая из информационных атак и защитных конгрмер достигнет соответствующей цели,

5) дает временную последовательное гь критических событий боя,

6) на основе этой последовательности делает вероятностную выборку по методу Монте-Карло,

7) вычисляет вероятности исходов и другие выходные величины модели

В третьей главе приводится методика использования технологических средств моделирования дуального конкурентного взаимодействия субъектов ОКБ в стадии открытого конфликта СЗИ

Ниже представлена структура третьей главы

В первом разделе описывается функциональное назначение моделирующего комплекса

Во второч разделе развернуто даекя описание логики функционирования моденирующего комплекса принцип работы модели, уравнения матемашческсй модели, описание cq:)yктypы программы, сведения о языке программирования, входные данные, выходные данные

В третьем разделе приводится методика использования моделирующего комплекса, как средства инструментально-технологической поддержки Интерфейс программы представлен на рисунке 3 !

*J

| 2Ö0

входные данные:

>Сарактсристики нападения Время цвд подготовки атаки Количество возможных атак Интервал между атаками тая время до включения защиты 15000 Средне« время атаки Вероятность поражения цели,'

F

1 1800

Харакгеряспши задлгш Количество KJjnrpMijj Интервал между контрмерами щах время до атаки Среденее время работы защиты Вероятность поражения цели, %

Начать экслериаиенг

Открыть лог-файл

Ага*а успштм, эиш а разрушена Агата 1>т5и1Э^эашитэряБота1т ! 0£Е сторгош уетткккекы ; Обе сторонк высиди

Рис. 3.1. Внешний вид моделирующего комплекса конфликтного взаимодействия

субъектов ОКБ

В четвертой главе приводится краткое описание методов функционального анализа стандарта ИСО\МЭК 15408 с учетом дуального конкурентного взаимодействия.

Ниже представлена структура четвертой главы;

В первом разделе описываются инновационные аспекты функционального анализа стандарта ИСО\МЭК 15408.

Во втором разделе дается обоснование использования функциональной модели оценки состояния СЗИ в контексте дуального конкурентного взаимодействия: происходит минимизация ошибок на стадиях проектирования, снижение роста угроз ИБ, повышение конкурентоспособности СЗИ

В третьем разделе детально описывается метод расширения классов защищенности стандарта ИСО\МЭК 15408 с учетом дуального конкурентного взаимодействия: задается название нового класса, приводится структурированное графическое представление нового класса требований безопасности, далее делается детальное описание нового класса в соответствии со стандартом ГОСТ Р ИСО\МЭК 15408.

В четвертом разделе приводится анализ дуального конкурентного взаимодействия в контексте использования технологических средств моделирования, в частности средства «Дуаль». Целью анализа является оценка чувствительности конкурентного взаимодействия на изменение некоторых параметров взаимодействия на примере пяти различных случаев дуального конфликтного взаимодействия.

В заключении диссертации изложены основные выводы, обобщения и предложения, вытекающие из логики и результатов исследования.

ОСНОВНЫЕ ВЫВОДЫ И РЕЗУЛЬТА 1Ы РАБОТЫ

Проведенный в работе анализ корпуса нормативно-методических документов по Общим Критериям позволил расширить и уточнить модель общего контекста безопасности защищенности ИГ Была обоснована возможность применения к ней методов научного анализа, в первую очередь - методов построение формальных моделей

Применение этих методов, скорректированных с учетом специфики ОКБ как объекта моделирования, позволило получить следующие основные результаты

1 Разработана структурная модель дуального взаимодействия Субъектов ОКБ, отличающаяся от существующей модели усовершенствованием структуры своих элементов и наличием механизма дуального конкурентного взаимодействия

2 Разработана формализованная системотехническая модель взаимодействия субъектов ОКБ, отличающаяся от существующей моде ни наличием цепного механизма развития конкурирующих субъектов

3 Разработана математическая балансная модель защищенности ИТ, отличающаяся от существующей введением функции защищенное™ ИТ и прослеживаемыми зависимостями между коэффициентами атаки и защиты

А Разработана методика оценки проектируемой системы защиты информации по критерию «ффективность-соимосль», учитывающая специфику СЗИ как комплексного объекта моделирования

5 Предчожены методы применения системы структурных моделей основных компонентов защищенности ИТ в нотации ОК для решения разнообразных практических задач, связанных с развитием научных подходов к модели ОКБ

6 Разработан программно-инструментальный комплекс имитационного моделирования, использующий принципы теории игр, который позволяет выявить влияние различных критериев на исход конфликтного взаимодействия субьектов ОКБ

СПИСОК РАБОТ, ОПУБЛИКОВАННЫХ ПО ТЕМЕ ДИССЕРТАЦИИ

1 Осовецкий Л Г Пастухоз А С , Модифицированная модель высокоуровневых понятий информационной безоптсности в контексте парносубъектного балансового конкурентного взаимодеиствия // Труды XXXVI научной и учебно-методической конференции Санкт-Петербургского Государственного

университета информационных технологий, механики и оптики (СПбГУ ИТМО), (30 января - 02 февраля 2007, г С-Петербург)

2 Пастухов А С Модифицированная модель общего контекста безопасности в нотации Общих Критериев на основе конкурентного парно-субъективного взаимодействия // Научно-техническии вестник СПбГУ ИТМО Выпуск 39 Исследования в области информационных технологий Труды молодых ученых - СПб СПбГУ ИТМО, 2007

3 Пастухов А С Модифицированная модель общего контекста безопасности в нотации Общих Критериев на основе конкурентного парно-субъектного взаимодействия // Труды XI научно-технической конференции «Майоровские чтения Теория и технология программирования и защиты информации Применение вычислительной техники» (18 мая 2007г, г Санкт-Петербург)

4 Пастухов А С Расширенная и уточненная модель общего контекста безопасности в нотации Общих Критериев на основе дуального субъектного конкурентного взаимодействия // Труды VI Всероссийской конференции «Обеспечение информационной безопасности Региональные аспекты» (11-15 сентября 2007 г г Сочи)

5 Пастухов А С Расширение и уточнение модели общего контекста безопасности в нотации Общих Критериев на основе дуального субъектного конкурентного взаимодействия // Труды V Санкт-Петербургской межрегиональной конференции «Информационная безопасность регионов России (ИБРР-2007) (23-25 октября 2007 г г Санкт-Петербург)

6 Пастухов А С , Суханов А В Лаврухин Ю Н Модель и метод дуального субъектного взаимодействия в нотации стандарта ГОСТ ИСОУМЭК 15408 (ОК) // Статья задепонирована в научно-технический журнал Изв ВУЗОВ Приборостроение 2008 Т 51 4

Тиражирование и брошюровка выполнены в учреждении «Университетские телекоммуникации» 197101, Санкт-Петербург, Саблинская ул, 14 Тел (812) 233 4669 Объем 1 у п л Тираж 100 экз

ОГЛАВЛЕНИЕ

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

ВВЕДЕНИЕ.

1.ПОСТАНОВКА ЗАДАЧИ РАСШИРЕННОГО И УТОЧНЕННОГО МОДЕЛИРОВАНИЯ СУБЪЕКТОВ ОБЩЕГО КОНТЕКСТА БЕЗОПАСНОСТИ (ОКБ) В НОТАЦИИ ОБЩИХ КРИТЕРИЕВ.

1.1. Сущность и спецификация стандарта ISO/IEC 15408 «Common

Criteria for Information Technology Security Evaluation»

1.1.1 Анализ эволюции линейки стандартов «Общие Критерии».

1.1.2. Актуальность формального моделирования ОКБ ОК

1.2 Структурное и формальное моделирование ОКБ

1.2.1. Структурная модель Общего Контекста Безопасности

1.2.2. Формализованная системотехническая модель взаимодействия субъектов ОКБ.

1.3. Математическое и имитационное моделирование взаимодействия субъектов ОКБ.

1.3.1 Математическое моделирование ОКБ.

1.3.2 Имитационное моделирование взаимодействия субъектов ОКБ.

1.3.3 Методика имитационного моделирования взаимодействия субъектов ОКБ.

Стандарт ГОСТ Р ИСО/МЭК 15408 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" (краткое название - "Общие критерии", сокращенно - ОК) начал действовать в России с 1 января 2004 г.

Разработка этого стандарта преследовала следующие основные цели:

• унификация национальных стандартов в области оценки безопасности ИТ;

• повышение уровня доверия к оценке безопасности ИТ;

• сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов. [6]

Международный стандарт ISO/IEC 15408, а также его российский вариант ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» в применении к оценке безопасности изделий информационных технологий (ИТ) являются по сути «метасредствами, задающими систему понятий, в терминах которых должна производиться оценка, и содержащими относительно полный каталог требований безопасности (функциональных и доверия), но не предоставляющих конкретных наборов требований и критериев для тех или иных типов продуктов и систем ИТ, выполнение которых необходимо проверять. Эти требования и критерии фигурируют в профилях защиты (ПЗ) и заданиях по безопасности (ЗБ)»[51].

Внедрение ОК в России спланировано поэтапно. До 2007 г. организации, в информационных системах которых циркулирует конфиденциальная информация, могут самостоятельно выбирать по каким стандартам (старым или новым) проводить аттестацию. Однако, поскольку внедрение нового

ГОСТ является частью правительственной программы по вступлению России в ВТО (что предполагает, в частности, унификацию некоторых стандартов в области информационной безопасности), в настоящее время становится неизбежной масштабная деятельность по оцениванию и сертификации продуктов ИТ по стандарту ОК [17].

Помимо безусловно важных методов и рекомендаций по оценке информационной безопасности ИТ ОК так же содержат системотехническую модель общего контекста безопасности (ОКБ), иллюстрирующую взаимодействие высокоуровневых понятий информационной безопасности и их взаимосвязь [58].

Однако, указанный стандарт не учитывает дуальный характер конкурентного взаимодействия двух субъектов - Владельца информационного актива и Нарушителя информационной безопасности, что не позволяет на практике построить обоснованный профиль защиты. Для того чтобы должным образом учесть этот аспект в вышеуказанном взаимодействии требуется усовершенствовать и уточнить модель ОКБ.

Расширенная трактовка взаимодействия субъектов ОКБ требует создания программно-инструментальных средств, реализующих модель данного взаимодействия.

Современные методы разработки подобных средств предполагают широкое применение формальных и структурных моделей предметной области, по крайней мере, на стадиях специфицирования и высокоуровневого проектирования. [13]

Решение перечисленных задач, как и многих других, связанных с переосмыслением подхода ОК к контексту ОКБ представляется трудновыполнимым без представления модифицированной модели ОКБ и взаимосвязей ее элементов в интегральной структурированной форме, то есть в виде формальных моделей. Разработка таких моделей является совершенно необходимым условием для применения новых подходов на практике.

Целью данной работы является уточнение модели ОКБ в части учета дуального субъектного взаимодействия и метода оценки защищенности ИТ на основе указанной модели.

Объектом исследования в данной работе является модель ОКБ как совокупность понятий, методов, средств, функций и процессов.

Предметом исследования в работе являются структурные, математические, формальные и имитационные модели защищенности информационных технологий, описывающие взаимодействие элементов ОКБ ОК и их взаимосвязи, а также процессы деятельности разработчиков систем защиты информации (СЗИ).

Для решения поставленных задач планируется использовать методы объектного, функционального, информационного и имитационного моделирования, математические методы оптимизации, математические методы микроэкономики, методы теории игр.

Разрабатывается структурная модель дуального взаимодействия Субъектов ОКБ, отличающаяся от существующей модели усовершенствованием структуры своих элементов и наличием механизма дуального конкурентного взаимодействия.

Разрабатывается формализованная системотехническая модель взаимодействия субъектов ОКБ, отличающаяся от существующей модели наличием цепного механизма развития конкурирующих субъектов.

Разрабатывается математическая балансная модель защищенности ИТ, отличающаяся от существующей введением функции защищенности ИТ и прослеживаемыми зависимостями между коэффициентами атаки и защиты.

Разрабатывается методика оценки проектируемой системы защиты информации по критерию «эффективность-стоимость», учитывающая специфику СЗИ как комплексного объекта моделирования.

Предлагаются методы применения системы структурных моделей основных компонентов защищенности ИТ в нотации ОК для решения разнообразных практических задач, связанных с развитием научных подходов к модели ОКБ.

Разрабатывается программно-инструментальный комплекс имитационного моделирования, использующий принципы теории игр, который позволяет выявить влияние различных критериев на исход конфликтного взаимодействия субъектов ОКБ.

Научная новизна результатов работы обусловлена следующими факторами:

1. Выполненные исследования позволят учесть характер поля угроз и его источники, применительно к ОКБ.

2. Разрабатывается усовершенствованная и уточненная модель ОКБ, применительно к ситуации дуального конфликтного взаимодействия.

3. Используются методики оценки проекта по критерию «эффективность-стоимость» применительно к разработке СЗИ.

4. Применяются методы научного моделирования и теории игр при разработке моделирующего комплекса, реализующего конфликтное взаимодействие субъектов ОКБ.

Разрабатываемые в работе формальные модели взаимодействия двух конкурирующих фирм в условиях дуального конфликта являются необходимой базой разработки функциональных и проектных спецификаций для программного обеспечения поддержки проектирования СЗИ по ОК.

Примененная в диссертации методика оценки разрабатываемой СЗИ по критерию «эффективность-стоимость» и программно-инструментальный комплекс поддержки деятельности по аудиту уязвимостей СЗИ в условиях дуального конкурентного взаимодействия могут использоваться для решения широкого спектра практических задач.

Материалы диссертации могут быть использованы при разработке методических материалов для учебного процесса в вузах, осуществляющих подготовку специалистов по информационной безопасности, а также в системе повышения квалификации сотрудников испытательных лабораторий, центров аудита ИБ, фирм-разработчиков и организаций-пользователей.

Помимо приведенных выше областей практической деятельности, построенные в работе формальные модели защищенности ИТ могут использоваться при разработке семейств профилей защиты и заданий по безопасности конкретных ИТ. Важную, как в теоретическом, так и в практическом отношении, область приложений полученных результатов составляет решение задач согласования международных, национальных и корпоративных стандартов в области информационной безопасности, в частности - интеграция государственных стандартов РФ в систему оценки и сертификации по ОК.

Основные положения и результаты диссертационной работы докладывались и обсуждались на XXXVI научной и учебно-методической конференции Санкт-Петербургского Государственного университета информационных технологий, механики и оптики (СПбГУ ИТМО), 30 января - 02 февраля 2007, г. С-Петербург, на IV межвузовской конференции молодых ученых (13 - 14 апреля 2007г., г. Санкт-Петербург), на 11-ой научно-технической конференции «Майоровские чтения. Теория и технология программирования и защиты информации. Применение вычислительной техники» (18 мая 2007г., г. Санкт-Петербург), на VI Всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты» (11-15 сентября 2007 г. г. Сочи) и на V Санкт-Петербургской межрегиональной конференции «Информационная безопасность регионов России (ИБРР-2007) (23-25 октября 2007 г. г. Санкт-Петербург).

Структура и объем диссертации

Диссертация состоит из списка сокращений, введения, четырех глав, заключения, списка литературы и двух приложений. Материал изложен на

156 страницах машинописного текста, содержит 14 рисунков и 2 таблицы, список литературы состоит из 56 наименований.

Во введении обосновывается актуальность темы, сформулированы её цель, научная новизна, приведены сведения о практическом использовании полученных научных результатов и представлены основные положения, выносимые на защиту.

В первой главе представляется постановка задачи исследования общего контекста безопасности ИТ и доказывается насущная необходимость разработки альтернативного подхода к нему.

В первом разделе данной главы анализируется эволюция линейки стандартов «Общие Критерии» и описаны цели, стоявшие перед разработчиками. Далее говорится о гармонизированном российском переводе данного стандарта, а именно ИСО/МЭК 15408.[26-29] Дается краткий обзор актуальных практических задач, решаемых в процессе развития стандарта, и обосновывается необходимость формализованного моделирования концепции ОКБ ОК для их успешного решения.

Во втором разделе обосновывается необходимость и актуальность построения структурных моделей концепции ОКБ ОК в целом и ее компонентов и дается обзор существующих работ по этой тематике. Здесь же дается описание модели общего контекста безопасности в нотации ОК и приводятся выдержки из подхода ОК к концепции ОКБ. Так же говорится о том, как важно построить точную формализованную модель ОКБ и учесть все аспекты взаимодействия ее элементов. Далее приводится системотехническая модель концепции ОКБ, учитывающая принципы взаимодействия систем-элементов ОКБ, его особенности и решаемые задачи. Здесь же говорится о разнообразии вариантов принятия решений по защите ИБ и необходимости ввести специальный критерий для сравнения эффективности деятельности системы.

В третьем разделе обосновывается актуальность математического исследования взаимодействия элементов ОК в рамках концепции ОКБ. Далее, на основе разрабатываемых математических моделей, приводится идея построения имитационной модели вышеуказанного взаимодействия. Приводится краткая справка по использованию имитационного моделирования и отмечаются некоторые важные аспекты, которые следует учесть при создании имитационной модели и проведении экспериментов. Здесь же перечисляются некоторые статистические и иные методы, которые могут быть полезны как при определении, так и при описании соотношений между компонентами и переменными систем.

В результате анализа, в качестве основного для создания модели проведения серии экспериментов выбирается метод Монте-Карло благодаря своей наглядности и относительной простоте функционирования.

Во второй главе представляются формальные модели защищенности в контексте ОК, как решение поставленной в первой главе задачи.

В первом разделе второй главы задача структурного моделирования защищенности ИТ раскрывается как задача построения структурных моделей основных компонентов ОК, приводится возможный спектр этих моделей, обосновывается минимальный набор из трех моделей (структурная модель дуального взаимодействия субъектов ОКБ, формализованная системотехническая модель взаимодействия субъектов ОКБ, математическая балансная модель защищенности) и формулируется порядок их построения, согласования, уточнения и пополнения. Далее по приведенному в ОК описанию общего контекста безопасности ИТ строится его структурная модель и описываются методы ее уточнения и пополнения. Затем анализируется взаимодействие элементов вышеупомянутой модели, и по результатам анализа строится структурная модель дуального взаимодействия Субъектов ОКБ. (рис. 1) т0 к о Я

О « I О я н

X р о to Л) й О"1 to v; cr я о

-i о W и р

К £ о to О) St о н а к Q

О о>

О) я о а

О « fcrt

В конце раздела проводится анализ конкурентного взаимодействия субъектов ОК в условиях дуального информационного противоборства и на основании полученных данных разрабатывается математическая балансная модель защищенности:

Имеются следующие элементы математической модели: Главные элементы:

Al, А2 — активы, принадлежащие соответственно субъекту А и субъекту

В.

Yl, Y2 — уязвимости в СЗИ субъекта А и субъекта В соответственно. J1, J2 - угрозы, порождаемые в отношении друг друга субъектами А и

В.

Побочные элементы:

JotI, Jot2 - все угрозы, отраженные СЗИ субъектов А и В соответственно.

1ота1, JoTa2 - угрозы, активно отраженные СЗИ субъектов А и В. Коэффициенты:

Jot1 Jot2

Кз1=——, Кз2 - коэффициенты успешности выполнения защитных функций СЗИ субъектов А и В. JOTS 1 JoTci2

Kal=-, Ка2=- - коэффициенты, показывающие успешность

JotI Jot2 атак, порождаемых СЗИ субъектов А и В.

Кот1, Кот2 - коэффициенты, показывающие успешность отражения угроз СЗИ субъектов А и В.

Рассматривается частный случай, в котором

Y1=Y2, А1=А2, Кот1 = Кот2.

Подобные условия необходимы для упрощения вычислений и большей точности при выражении конкурентных отношений наших субъектов. Задается дополнительное ограничение:

Кз1

Кз 1 > Кз2, откуда следует что,-> 1

Кз2

Данное неравенство записывается, но за основу берутся Ка1 и Ка2. Получается соотношение (1)

Ка2 J22

1 [1]

Kal J12

Данное соотношение наглядно демонстрирует решающее влияние угроз J1, J2 на нашу модель.

Водится функция защищенности F

КаО показывающая зависимость

Ка2, коэффициента защищенности Кз1 от отношения коэффициентов атаки Kal и Ка2. Получаются следующие соотношения (2), (3):

Кз1 =-i- [2]

Ка2

Кз2 =— [3]

Kal L J

Условием баланса защищенности в конкурентной борьбе субъектов А и В является обратная пропорциональность отношения коэффициентов защищенности к отношению коэффициентов успешности атак (4)

Кз1 = Ка2 Г41

Кз2 Kal

Во втором разделе разрабатывается контекст решения задачи формализованного моделирования и формулируются основные свойства модели: цель и точка зрения моделирования, содержание (определение) модели и границы моделирования.

Рассматривается взаимодействие СЗИ UA, находящейся в составе макросистемы субъектов SA и макросистемы субъектов SB, которой принадлежит СЗИ UB.

Системы конкурируют друг с другом за обладание информационным ресурсом, принадлежащим системе:

GB-+ [Sa(Ga;Ya;Ca;A)]> <Sb (Gd;Yb;Cb;B)

Макросистемы SA; SB образуют конкурентную метасубъектную систему S(SA; SB), в которой ей составные части конкурируют между собой за обладание информационным ресурсом GB.

Принципы взаимодействия макросистем.

1. Организация комплексной защиты информации требует больших материальных затрат Св поэтому определение необходимости (да/нет) такой системы является задачей социального (СУ-СВ) управления.

2. Системы SA; SB имеют близкие потенциалы: научный, технический, технологический и между ними существуют отношения эквивалентности (баланса).

3. В системе (А^В) отношений задача достигнуть абсолютного превосходства является неразрешимой. Превосходство может быть достигнуто в локальной нише защищенности и на ограниченном интервале времени.

4. Конкурентные (А^В) отношения имеют мотив к развитию средств Ai; Bj. Процесс А^В взаимодействия имеет дискретно-непрерывный характер и описывается следующей логической последовательностью: (СЗИ А - СЗИ В) —> (СЗИ А со средствами защиты - модернизированная СЗИ В)—» (усовершенствованная СЗИ А - усовершенствованная СЗИ В)—» и т.д. Схематически этот процесс представлен на рисунке 2 if 0 (to + ф) if, (tl + ф)

UB3 (t3 + ф)

Рис. 2. Цепная модель развития конкурирующих информационно-технических систем

На основе исследования конкурентного взаимодействия информационно-технических систем в [15] предлагается методика применения критерия «эффективность-стоимость» для минимизации затрат на создание СЗИ, основанная на следующих положениях.

• Постулируется, что СЗИ оптимальна, при условии максимизации отношения «эффективность-стоимость»: ш Э т=—= шах, С где критерий «эффективность-стоимость»;

Э — эффективность СЗИ (вероятность решения поставленной задачи»;

С - стоимость СЗИ.

• В условиях существования множества вариантов решений СЗИ каждому варианту соответствует свое значение критерия Ч* и принято, что его максимальное значение на множестве вариантов будет соответствовать оптимальному.

• Множество способов создания вариаций поля контрмер определяется факторами, приведёнными в таблице 1

• Эффективность поля контрмер через схемно-конструктивные решения системы коррелируется со стоимостью затрат на их реализацию. • Оценка стоимости вариантов СЗИ на момент их разработки осуществляется по аналогиям. Выбирается аналог, характеристики назначения, функции которого известны и осуществляется их конкретизация по показателям энергетического потенциала, спектру и количеству отражаемых угроз.

• Оптимизация проектных решений достигается за счёт варьирования параметров и ИБ в составе СЗИ и оценки вариантов по критерию VF.

В третьем разделе представляется имитационная модель, описывающая конфликтную ситуацию, в которой происходит информационное противоборство СЗИ двух конкурирующих субъектов ОКБ.

Данная модель позволяет оценить возможные исходы противоборства и выявить влияние некоторых критериев, присущих каждой из субъектных систем, на эти исходы.

Основная цель построения этой модели — создать средство для оценки влияния отдельных параметров защиты при отражении ею информационной атаки. Каждая из противоборствующих сторон стремится уничтожить другую. При этом возможны лишь четыре исхода: атака отбита, защита не получила повреждений; атака успешна, защита разрушена; обе стороны уничтожены; обе стороны выживают.

Кроме важнейших технических данных нападающей и обороняющейся сторон, модель должна содержать и определенные «правила игры», которые для данного случая можно записать так:

1. Частичные повреждения атакующего или защиты в модели не рассматриваются. В любой момент атаки каждая из сторон может либо быть полностью уничтожена, либо сохранять полную боеспособность.

2. Целью для защиты может служить лишь атакующий.

3. И атакующий, и защищающийся начинают работу лишь тогда, когда противник попадает в соответствующую зону поражения.

4. Стороны продолжают вести атаку до тех пор, пока не наступит один из первых трех возможных исходов.

5. Атакующий продолжает воздействие на цель до наступления одного из первых трех возможных исходов.

Основные технические данные информационной атаки:

V — время подготовки атаки;

D] — интервал между атаками;

М — количество атак;

Ri —максимальное время до срабатывания защиты;

Ui(R) — среднее время атаки;

Pi(R) —вероятность поражения защиты.

Основные технические данные защиты от информационных атак:

D2—интервал между запусками контрмер;

N—количество возможных контрмер;

R2—максимальное время до атаки;

U2(R) -— среднее время защиты от атаки;

P2(R) — вероятность поражения атакующего.

Кроме вероятности наступления каждого из четырех исходов боя, нас интересует и ожидаемая цена достижения благоприятного исхода. Программа вычисляет ее по накопленной статистике предыдущих боевых ситуаций.

Один прогон машинной программы модели позволяет получить следующее:

1. Хронологическую последовательность критических событий предыдущих боев.

2. Последовательность событий каждого боя.

3. Вероятность появления каждого из исходов на большом интервале времени.

4. Частотные распределения атак, которые необходимы, чтобы поразить цели, для защищающейся стороны и для атакующей.

5. Ожидаемое число защитных контрмер и информационных атак противника, необходимых для поражения цели.

Принцип работы модели

После того как параметры, характеризующие атакующую и обороняющуюся стороны, введены в модель, машинная программа:

1) вычисляет количество запущенных контрмер, направленных на информационные атаки;

2) определяет моменты времени, когда происходят атака и активация контрмер;

3) вычисляет соответствующий диапазон действия информационной атаки и защитных контрмер при каждом запуске;

4) вычисляет моменты времени, когда каждая из информационных атак и защитных контрмер достигнет соответствующей цели;

5) дает временную последовательность критических событий боя;

6) на основе этой последовательности делает вероятностную выборку по методу Монте-Карло;

7) вычисляет вероятности исходов и другие выходные величины модели.

В третьей главе приводится методика использования технологических средств моделирования дуального конкурентного взаимодействия субъектов ОКБ в стадии открытого конфликта СЗИ.

В первом разделе описывается функциональное назначение моделирующего комплекса.

Во втором разделе развернуто дается описание логики функционирования моделирующего комплекса: принцип работы модели, уравнения математической модели, описание структуры программы, сведения о языке программирования, входные данные, выходные данные.

В третьем разделе приводится методика использования моделирующего комплекса, как средства инструментально-технологической поддержки

В четвертой главе приводится краткое описание методов функционального анализа стандарта ИСО\МЭК 15408 с учетом дуального конкурентного взаимодействия.

Ниже представлена структура четвертой главы:

В первом разделе описываются инновационные аспекты функционального анализа стандарта ИСО\МЭК 15408.

Во втором разделе дается обоснование использования функциональной модели оценки состояния СЗИ в контексте дуального конкурентного взаимодействия: происходит минимизация ошибок на стадиях проектирования, снижение роста угроз ИБ, повышение конкурентоспособности СЗИ

В третьем разделе детально описывается метод расширения классов защищенности стандарта ИСО\МЭК 15408 с учетом дуального конкурентного взаимодействия: задается название нового класса, приводится структурированное графическое представление нового класса требований безопасности, далее делается детальное описание нового класса в соответствии со стандартом ГОСТ Р ИСО\МЭК 15408.

В четвертом разделе приводится анализ дуального конкурентного взаимодействия в контексте использования технологических средств моделирования, в частности средства «Дуаль». Целью анализа является оценка чувствительности конкурентного взаимодействия на изменение некоторых параметров взаимодействия на примере пяти различных случаев дуального конфликтного взаимодействия.

В заключении диссертации изложены основные выводы, обобщения и предложения, вытекающие из логики и результатов исследования.

Проведенный в работе анализ корпуса нормативно-методических документов по Общим Критериям позволил расширить и уточнить модель общего контекста безопасности защищенности ИТ. Была обоснована возможность применения к ней методов научного анализа, в первую очередь • методов построения формальных моделей.Применение этих методов, скорректированных с учетом специфики ОКБ как объекта моделирования, позволило получить следующие основные результаты.1. Разработана структурная модель дуального взаимодействия Субъектов ОКБ, отличающаяся от существующей модели усовершенствованием структуры своих элементов и наличием механизма дуального конкурентного взаимодействия.2. Разработана формализованная системотехническая модель взаимодействия субъектов ОКБ, отличающаяся от существующей модели наличием цепного механизма развития конкурирующих субъектов.3. Разработана математическая балансная модель защищенности ИТ, отличающаяся от существующей введением функции защищенности ИТ и прослеживаемыми зависимостями между коэффициентами атаки и защиты.4. Разработана методика оценки проектируемой системы защиты информации по критерию «эффективность-стоимость», учитывающая специфику СЗИ как комплексного объекта моделирования.5. Предложены методы применения системы структурных моделей основных компонентов защищенности ИТ в нотации ОК для решения разнообразных практических задач, связанных с развитием научных подходов к модели ОКБ.

6. Разработан программно-инструментальный комплекс имитационного моделирования, использующий принципы теории игр,

который позволяет выявить влияние различных критериев на исход конфликтного взаимодействия субъектов ОКБ. В работе показано, что перечисленные модели и методы являются важным инструментом реализации ее основной цели - поддержки продвижения, внедрения и эффективного применения "Общих Критериев" в России.В частности, построенные в работе формальные модели могут служить необходимой базой для разработки функциональных и проектных спецификаций для программного обеспечения поддержки процесса оценки ИТ по ОК. С помощью разработанной в диссертации методики и программно-инструментального комплекса поддержки функциональные модели могут использоваться для решения широкого спектра практических задач, возникающих при подготовке и проведении оценки, а так же на стадиях проектирования СЗИ Помимо этого построенные в работе формальные модели защищенности ИТ могут использоваться при разработке семейств профилей защиты и заданий по безопасности конкретных ИТ. Важную, как в теоретическом, так и в практическом отношении, область приложений полученных результатов составляет решение задач согласования международных, национальных и корпоративных стандартов в области информационной безопасности, в частности - интеграция государственных стандартов РФ в систему оценки и сертификации по ОК, а так же учет национальной специфики информационной безопасности в нотации ГОСТ Р ИСО\МЭК 15408.

1. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ Гостехкомиссии России. М.: ГТК РФ, 1992.

2. Анищенко В.В. Оценка информационной безопасности. PC Magazine, №2, 2000.

3. Афанасьев В.Н. Общие критерии безопасности информационных систем. Международная студенческая школа-семинар "Новые информационные технологии", г. Судак, 1 4 2 1 докладов XI в 2-х томах М.: МГИЭМ, 2003 641с.

4. Безопасность информационных технологий мая, 2003, Тезисы Госкомитет РФ по высшему образованию. М.: МИФИ. 1994. Вып. 1.

5. Безопасность государственный информационных технологий Московский (технический инженерно-физический институт университет), 1995. Вып. 3.

6. Бетелин В.В., Галатенко В.А., Кобзарь М.Т., Сидак А.А., Трифаленков И.А. Профили защиты на основе «Общих критериев». Аналитический обзор. Jet Info, Информационный бюллетень, №3(118), 2003.

7. Виноградов А.Н., Осипов Г.С, Жилякова Л.Ю. Динамические интеллектуальные системы. 4.

8. Моделирование целенаправленного поведения. Известия АН. Теория и системы управления. М: Наука, 2003,№1.стр.87-94

9. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2 кн. М.: Радио и связь, 1999.

10. Голов А. Построение эффективной системы информационной безопасности. М: Финансовая газета, 2006, №8.

11. Горобец Н.И. BSI и BS 7799 взгляд разработчиков. М: Защита информации. Инсайд, 2005, №2, 28-31.

12. Домарев В. В. Словарь терминов по информационной безопасности. Киев, 2002, http://www.domarev.kiev.ua/book-02/ploss.htm

13. Есауленко А. Часовые информационных ресурсов. М.: Сети, 2003, №18

14. Калайда И. А., Трубачев А.П. Современное состояние и направления совершенствования нормативной базы в области IT-безопасности. Information Security/Информационная безопасность, №3, 2004. 14. А.Н. Калянов, А.В. Козлинский, В.Н. Лебедев. Сравнительный анализ структурных методологий.- Системы управления базами данных, #05-06, 1997.

15. Каменнова М., Громов бизнеса. А., Ферапонтов М., Шматалюк М.: А. Моделирование Методология ARIS. Весть- МетаТехнология, 2001.

16. Кобзарь М., Сидак А. Стандартизация безопасности ИТ. Мир Связи. №3,2003.

17. Кобзарь М., Сидак А. Методология оценки безопасности информационных технологий по общим критериям. Jetlnfo, 6 (133), 2004.

18. Концепция защиты средств систем от вычислительной техники доступа и к автоматизированных несанкционированного информации: Руководящий документ Гостехкомиссии России. М.: ГТК РФ, 1992.

19. Липаев В.В. Технологические функциональной безопасности процессы и стандарты в жизненном цикле обеспечения программных средств. Jetlnfo, 3 (130), 2004.

20. Любимов А.В. Функциональная структура общих критериев оценки безопасности информационных технологий. Труды 9-й научно- технической конференции "Теория и технология программирования и

21. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов. М.: Горячая линия-Телеком, 2004. 280 с. ил.

22. Медведовский И. ISO 17799: Эволюция стандарта в период 2002 2005.

23. Насыпный В.В. Метод защиты арифметических вычислений в компьютерных системах. М.: Прометей, 1999.

24. Николаев А. Ю., Любимов А. В., Суханов А. В. Автоматизация оценки объектов информатизации в соответствии с требованиями руководящих документов "Безопасность информационных технологий" Гостехкомиссии России. IV ежегодная всероссийская конференция "Обеспечение информационной безопасности. Региональные аспекты." 1 3 1 7 сентября 2005, г. Сочи. Тезисы докладов, ее. 27 31. 25. ГОСТ Р ИСО/МЭК 15408-1-2

25. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть

26. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть

27. Функциональные требования безопасности. Госстандарт России, Москва, 2002. 27. ГОСТ Р ИСО/МЭК 15408-3-2

28. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть

29. Требования доверия к безопасности. Госстандарт России, Москва, 2002. 28. РД Безопасность информационных технологий. Общая методология оценки безопасности информационных технологий (проект). ФСТЭК России, 2005.

30. Охрименко А., Черней Г. А. Угрозы систем безопасности Лаборатория 1996, автоматизированных информационной информационных безопасности, http://www.security.ase.md/publ/ru/pubru05.html

31. Петросян Е.Р., Якимов О.С. Состояние и перспективы развития нормативного обеспечения информационной безопасности.

32. Приходько А.Я. Словарь-справочник по информационной безопасности. Серия «Информационная безопасность». М СИНТЕГ, 2001. 124 с.

33. Просяников Р.Е., Савельев М.С. Станут ли общими "Общие критерии". BYTE, 8, 2004. 33. РД Руководство по разработке профилей защиты и заданий по безопасности. ФСТЭК России, 2003.

34. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М.: Радио и связь, 1999.

35. Рэдклифф Д. Одна мера безопасности на всех. Computerworld, №12, 2000.

36. Стандарты информационной безопасности Галатенко В.А. По редакцией члена-корреспондента РАН В.Б. Бетелина М.: ИНТУИТ.РУ «Интернет-Университет Информационных Технологий», 2003. 328 с.

37. Снытников А.А. Лицензирование и сертификация в области защиты информации. М.: Гелиос АРВ, 2003. 192 с.

38. Снытников А.А., Туманов Л.В. Обеспечение и защита прав на информацию. М.: Городец-издат, 2001. 344 с.

39. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ от НСД к информации. Руководящий документ Гостехкомиссии России. М.: ГТК РФ, 1992.

40. Хикс Дж. Р., Аллен Р.Г.Д. Пересмотр теории ценности. Теория потребительского поведения и спроса. СПб.: Экономическая школа, 1993, ее. 117-141.

41. Шеер Август-Вильгельм. Бизнес-процессы. Основные понятия. Теория. Методы. Весть Метатехнология, 1999.

42. Шеин А. В. Об использовании "Общих критериев". Инфофорум, 02.04.2004.

43. Шеннон Роберт. Имитационное моделирование систем искусство и наука, М, Прометей, 2005.

44. Ярочкин В.И., Бузанова Я.В. Аудит безопасности фирмы: теория и практика: Учебное пособие для студентов высших учебных заведений. М.: Академический Проект; Королев: Парадигма, 2005. 352 с.

45. Common Criteria for Information Technology Security Evaluation. Version 2.

46. Part 1: Introduction and general model. January 2004.

47. Common Criteria for Information Technology Security Evaluation. Version 2.

48. Part 2: Security functional requirements. January 2004.

49. Common Criteria for Information Technology Security Evaluation. Version 2.

50. Part 3: Security Assurance Requirements. January 2004.

51. Common Methodology for Information Technology Security Evaluation. Evaluation Methodology. January 2

52. Revision 256. ССГМВ2004-01-004.

53. Common Criteria for Information Technology Security Evaluation (CCEB). Version 3.1 ,2006

54. Federal Information Processing Standards Publication

55. Announcing the Standard for "Integration Definition for Function Modeling (IDEF0)". 1993 December 21.

56. Federal Information Processing Standards Publication

57. Announcing the Standard for "Integration Definition for Information Modeling (IDEF1X)". 1993 December 21.

58. Information Integration for Concurrent Engineering (ПСЕ). IDEF5 Method Report. Knowledge Based Systems, Inc., 1408 University Drive East College Station, Texas, USA. September 21, 1994.

59. Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France Germany the Netherlands the United Kingdom Department of Trade and Industry, London, 1991 54. ISO/IEC 17799:2

60. Information technology Security techniques Code of practice for information security management (2nd edition). ISO/IEC, 2005.

61. Alex F Bielajew Fundamentals of the Monte Carlo method for neutral and charged particle transport, The University of Michigan, February 11, 2000.

62. Barish N. N., Economic Analysis for Engineering and Managerial Decision-Making, McGraw-Hill Book Co., New York, 1998.