1. анализ нормативноправовой базы обеспечения комплексной защиты информации в автоматизированных системах
 Скачать 0.67 Mb.
|
3 РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ ЭФФЕКТИВНОСТИ ЗАЩИТНЫХ МЕРОПРИЯТИЙ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ3.1 Общие принципы оценки эффективности защитных мероприятийНа протяжении всех этапов человеческой деятельности, общество непрерывно создает, обрабатывает и передает разного рода информацию. С появлением электронно-вычислительной машины (ЭВМ) процесс работы с информацией стал намного более быстрым и технологичным. Создаются первые базы данных и СУБД со своими языками программирования, локальные сети и глобальная сеть Интернет. Появляются такие понятия, как «информационная система» (ИС), «информационные ресурсы» (ИР), «автоматизированная система» (АС). Согласно Федеральному Закону (ФЗ) РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», «информационная система - это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» [3]. Определение, принятое в настоящем ФЗ является достаточно компактным, не раскрывающим всю совокупность средств в работе информационной системы. Поэтому целесообразно предложить другое, более расширенное понятие ИС. Информационная система - это взаимосвязанная совокупность информационных, технических, программных, математических, организационных, правовых, эргономических, лингвистических и других средств, а также персонала, предназначенная для сбора, обработки, хранения и выдачи информации. Классификация ИС по степени автоматизации представлена на рисунке 1.1. Для защиты информационных ресурсов компьютера в АС, подключенного к сети Интернет используют антивирусное программное обеспечение. Антивирусное программное обеспечение - набор программ для обнаружения компьютерных вирусов и других вредоносных программ и лечения инфицированных файлов, а также для предотвращения заражения файлов или операционной системы вредоносным кодом. В основе защиты информационных ресурсов в АС организации лежат различные нормативно-правовые документы и стандарты в области информационной безопасности. Если соблюдение первых - это неукоснительное для любой организации и ее представителей правило, то соблюдение вторых (а точнее некоторых из них) может носить и добровольный характер. Остановимся на стандартах в области АС. Защита информационных ресурсов в АС, в целом, как и защита информации (ЗИ) - дело трудоемкое и дорогостоящее. Почти половина затрат по ЗИ приходится на покупку и установку программных и технических средств. Немалую часть затрат составляют организационные меры от НСД к информации. Организации ежегодно теряют миллионы средств от утечки конфиденциальной информации по различным каналам. Проблема защиты ИР актуальна как никогда ранее. Стремительное развитие информационных технологий побуждает специалистов по информационной безопасности осваивать и приобретать все более новые и современные средства защиты. Защита ИР организации - это прежде всего защита материальных ресурсов, так как любая защищаемая информация носит денежный эквивалент. Под защитой информации в автоматизированных системах управления технологическим процессом (АСУ ТП) следует понимать комплекс практических взаимосвязанных мероприятий, направленных на предотвращение раскрытия, несанкционированного использования, изменения, искажения, уничтожения, копирования, шпионажа и прочих негативных вмешательств в АСУ. Для усовершенствования мероприятий, направленных на обеспечение безопасности АСУ ТП, профессиональные сообщества ведут совместные разработки базовых методик в области защиты баз данных (БД). Деятельность в этом направлении включает стандартизацию технических мероприятий, разработку нормативных документов, создание методик обучения администраторов и пользователей. Автоматизированные системы управления осуществляют сбор, хранение и систематизацию данных, необходимые для оптимального контроля над технологическими процессами. АСУ ТП создаются на основе надежной вычислительной техники промышленной разработки и предназначены для круглосуточного долгосрочного использования на технологическом объекте. Последствия сбоя в работе АСУ ТП представляют серьезную опасность для людей, оборудования, окружающей среды, могут иметь катастрофический характер. Для выстраивания грамотной и эффективной защиты следует выявить потенциальных нарушителей в АСУ, определить уровень угроз. Основную угрозу АСУ представляют террористически настроенные группы, цель которых заключается во вмешательстве в процесс управления автоматизированной системой с последующим выводом ее из строя. Террористические группировки собирают технические детали для разработки и проведения атак, поэтому следует вовремя обезопасить систему. Способность структуры АСУ ТП стабильно обеспечивать непрерывный технологический процесс, не зависящий от внешних факторов воздействия, является ее основополагающим показателем. Разработка и внедрение инновационных технологий в сфере охраны сведений АСУ рассматривается как приоритетная задача на государственном уровне, поскольку сохранность такой информации напрямую связана с безопасной обстановкой в стране. Следовательно, к критериям безопасности производства стратегически важно добавить нормативные составляющие для обеспечения грамотного подхода к проектированию и внедрению системы. При технически грамотном процессе система защиты сведений будет закрыта от пользователей, причем данный факт не повлияет на функциональность. Следует заметить, что программный и технический комплекс мер, направленный на сохранение информации в АСУ ТП, является общим для всех сфер и отраслей, в которых применяется. Выполнение данных требований и рекомендаций позволяет обеспечить бесперебойное действие автоматизированной системы управления в стандартных режимах, а при условии возникновения угрозы – значительно снизить риски несанкционированного вторжения. Важнейшей составляющей промышленной инфраструктуры является автоматизированная система управления технологическим процессом. Обеспечить максимально возможную многоуровневую защиту АСУ ТП – приоритетная задача. Увеличение объема накопленных сведений в АСУ значительно расширило границы использования системы. Ведущими специалистами созданы комплексные методики обеспечения безопасности автоматизированной системы для управления технологическим процессом. Есть основные типы способов защиты – физические мероприятия, организационные протоколы, технические средства. Физические мероприятия: -ограждение территории и охрана сооружений с оборудованием; -установка контрольно-пропускного пункта у входа в помещение с оборудованием, установка специальных замков для регулирования доступа; -установка системы охранной сигнализации. Организационные протоколы ориентированы на человеческий фактор. Основная их задача заключается в определении и выполнении норм по обеспечению слаженного функционирования составляющих компонентов АСУ ТП путем утверждения пакета соответствующей документации. Программа технической безопасности является основным фактором, обеспечивающим охрану автоматизированной системы управления. Она включает следующие мероприятия: Управление системой обеспечения безопасности АСУ ТП. Управление доступом к АСУ. Организация антивирусной безопасности АСУ. Обеспечение безопасного сетевого взаимодействия АСУ. Выявление вторжений в систему. Анализ безопасности АСУ ТП. Реагирование на инциденты. На текущий момент задача обеспечения защиты и безопасности АСУ ТП становится все более актуальной. Особое внимание следует уделить не столько соблюдению конфиденциальности АСУ, сколько сохранению цельности и непрерывности ее функционирования, поскольку корректный и контролируемый технологический процесс обеспечивает прежде всего безопасность здоровья и жизнедеятельности людей, а также защиту окружающей среды. Оценка эффективности является важным элементом разработки проектных и плановых решений, позволяющим определить уровень прогрессивности действующей структуры, разрабатываемых проектов или плановых мероприятий и проводится с целью выбора наиболее рационального варианта структуры или способа ее совершенствования. Эффективность защитных мероприятий (ЗМ) должна оцениваться на стадии проектирования, для получения наилучших показателей работоспособности системы в целом. В общем случае эффективность ЗМ оценивается как на этапе разработки, так и в процессе эксплуатации системы защиты. В оценке эффективности ЗМ, в зависимости от используемых показателей и способов их получения, можно выделить три подхода [22]: классический; официальный; экспериментальный. Под классическим подходом к оценке эффективности понимается использование критериев эффективности, полученных с помощью показателей эффективности. Значения показателей эффективности получаются путем моделирования или вычисляются по характеристикам реальной АС. Такой подход используется при разработке и модернизации КСЗИ. Однако возможности классических методов комплексного оценивания эффективности применительно к ЗМ ограничены в силу ряда причин. Высокая степень неопределенности исходных данных, сложность формализации процессов функционирования, отсутствие общепризнанных методик расчета показателей эффективности и выбора критериев оптимальности создают значительные трудности для применения классических методов оценки эффективности. Большую практическую значимость имеет подход к определению эффективности ЗМ, который условно можно назвать официальным. Политика безопасности информационных технологий проводится государством и должна опираться на нормативные акты. В этих документах необходимо определить требования к защищенности информации различных категорий конфиденциальности и важности. Под экспериментальным подходом понимается организация процесса определения эффективности существующих КСЗИ путем попыток преодоления защитных механизмов системы специалистами, выступающими в роли злоумышленников. Такие исследования проводятся следующим образом. В качестве условного злоумышленника выбирается один или несколько специалистов в области информационной борьбы наивысшей квалификации. Составляется план проведения эксперимента. В нем определяются очередность и материально-техническое обеспечение проведения экспериментов по определению слабых звеньев в системе защиты. При этом могут моделироваться действия злоумышленников, соответствующие различным моделям поведения нарушителей: от неквалифицированного злоумышленника, не имеющего официального статуса в исследуемой АС, до высококвалифицированного сотрудника службы безопасности. Другими словами, на практике защита информации представляет собой комплекс регулярно используемых средств и методов, принимаемых мер и осуществляемых мероприятий с целью систематического обеспечения требуемой надежности информации, генерируемой, хранящейся и обрабатываемой на объекте АС, а также передаваемой по каналам. Защита должна носить системный характер, то есть для получения наилучших результатов все разрозненные виды защиты информации должны быть объединены в одно целое и функционировать в составе единой системы, представляющей собой слаженный механизм взаимодействующих элементов, предназначенных для выполнения задач по обеспечению безопасности информации. Более того, КСЗИ предназначена обеспечивать, с одной стороны, функционирование надежных механизмов защиты, а с другой - управление механизмами защиты информации. В связи с этим должна предусматриваться организация четкой и отлаженной системы управления защитой информации. Принципиальное значение для оценок эффективности защитных мероприятий имеет выбор базы для сравнения или определение уровня эффективности, который принимается за нормативный. Здесь можно указать несколько подходов, которые могут дифференцированно использоваться применительно к конкретным случаям [23]. Один из них сводится к сравнению с показателями, характеризующими эффективность организационной структуры эталонного варианта системы защиты. Эталонный вариант может быть разработан и спроектирован с использованием всех имеющихся методов и средств проектирования систем защиты, на основе передового опыта и применения прогрессивных организационных решений. Характеристики такого варианта принимаются в качестве нормативных, при этом сравнительная эффективность анализируемой или проектируемой системы определяется на основе сопоставления нормативных и фактических (проектных) параметров системы с использованием преимущественно количественных методов сравнения. Может применяться также сравнение с показателями эффективности и характеристиками системы управления, выбранной в качестве эталона, определяющего допустимый или достаточный уровень эффективности организационной структуры. Однако возникают некоторые трудности применения указанных подходов, которые обусловлены необходимостью обеспечения сопоставимости сравниваемых вариантов. Поэтому часто вместо них используется экспертная оценка организационно-технического уровня анализируемой и проектируемой системы, а также отдельных ее подсистем и принимаемых проектных и плановых решений, или комплексная оценка системы защиты, основанная на использовании количественно-качественного подхода, позволяющего оценивать эффективность ЗМ по значительной совокупности факторов. Экспертная оценка может являться составным элементом комплексной оценки эффективности системы защиты, включающей все перечисленные подходы как к отдельным подсистемам, так и к системе в целом. Эффективность систем оценивается с помощью показателей эффективности. Иногда используется термин - показатель качества. Показателями качества, как правило, характеризуют степень совершенства какого-либо товара, устройства, машины. В отношении сложных человеко-машинных систем предпочтительнее использование термина показатель эффективности функционирования, который характеризует степень соответствия оцениваемой системы своему назначению. Определение показателя эффективности возможно двумя общенаучными методами [24]: экспериментом (испытанием) и математическим моделированием (в настоящее время часто называют вычислительным экспериментом). Применительно к защите информации показатели по значимости ("снизу вверх") разделяются так: технические - информационные (датчиковые) - системные - надсистемные (ценностные). Физически, применительно к защите информации от утечки, этот ряд выглядит так: сигнал / шум - вероятность обнаружения объекта – источника информации - вероятность его вскрытия - ущерб от утечки информации. При этом все частные показатели между собой функционально связываются. Для того чтобы оценить эффективность системы защиты информации или сравнить системы по их эффективности, необходимо задать некоторое правило предпочтения. Такое правило или соотношение, основанное на использовании показателей эффективности, называют критерием эффективности. Для получения критерия эффективности при использовании некоторого множества k-показателей используют ряд подходов. Обычно при синтезе системы возникает проблема решения задачи с многокритериальным показателем. 3.2 Подход к оценке эффективности защитных мероприятий Так как определение эффективности систем защиты информации относится к задачам многокритериальной оценки, то такую сложную систему невозможно достаточно правильно охарактеризовать с помощью единственного показателя. Соответственно применение при оценке эффективности защиты системы множества показателей будет характеризовать эффективность наиболее полно. При использовании известных методик оценки угроз есть определённые недостатки, которые не дают полной картины оценки эффективности защиты системы. К таким недостаткам относятся те оценки, которые имеют следующие характеристики методик [21]: а) Результаты характеристик представлены как шкалы оценок потенциальных угроз и их последствий. Такая методика имеет приближённые значения показателей, основанные на анализе имеющейся статистики нарушений или на экспертных оценках. Для определения значений показателя необходим значительный объём статистического материала, значит оценка не может быть использована для оценки эффективности и выбора мер защиты информации. б) Ri10(SV-4), где показатель частоты возникновения угрозы S выбирается из интервала [0,7], 0 – соответствует случаю, когда угроза почти не возникает, 7 – угроза возникает тысячу раз в год, V – показатель ущерба, который назначается в зависимости от S и принимает значения от 1 до 1 млн. долл. Оценка очень приближённая, и для определения значений показателя необходим значительный объём статистического материала, показатель не может быть использован для оценки эффективности и выбора мер защиты информации. в)  где Wi– субъективный коэффициент важности j-ой характеристики СЗИ (системы защиты информации); Gi– назначенное экспертным путём значение каждой из характеристик; n – количество характеристик. Выражение позволяет получить приближённую оценку эффективности системы защиты информации. Может быть использован при отсутствии необходимых исходных данных для более точной и достоверной оценки, но имеет субъективный коэффициент важности, что не даёт возможности использования метода в системах, где мера степени безопасности системы указана явно. г) Оценка угроз: L – средний показатель появления угроз (случайная величина с распределением вероятности f(L)). Для оценки ущерба: случайная величина m со средним отклонением V . L определяется на основе анализа статистики нарушений или экспертным путём; m – определяется на основе анализа статистики нарушений или экспертным путём. Для оценки ущерба необходимо иметь статистику нарушений безопасности и измеренные значения ущерба в результате этих нарушений. Невозможно учесть влияние средств защиты информации на L и соответственно на m, а следовательно, и оценить эффективность мер защиты информации. При использовании счётного множества показателей W {Wi}, i 1,n , где n – количество показателей, оценка эффективности будет наиболее полной с учётом правильности выбора критериев оценки и количества выбранных показателей. Из основных подходов к многокритериальной оценке эффективности сложных систем видно, что они сводятся к свертыванию множества частных показателей Wi к единственному интегральному показателю W0 или использованию методов теории многокритериального выбора и принятия решений при наличии значительного числа частных показателей эффективности, приблизительно одинаково важных. При подходе к оценке эффективности, в которой эффективность выражается в нечётких показателях защиты информационной системы, в виде лингвистических переменных, таких, как: «абсолютно незащищённая», «недостаточно защищённая», «защищённая», «достаточно защищённая», «абсолютно защищённая», выстраивается необходимая и достаточная картина защищённости системы от НСД (несанкционированного доступа к информации) как в качественной, так и в количественной оценке, что в свою очередь является положительным свойством, имеющим превосходство над вышеперечисленными известными методиками. В такой методике принадлежность определённого уровня безопасности будет определятся на промежутке [0, 1], и показатели надёжности будут функцией принадлежности μA (xi), где xi – есть элемент множества Х – требования безопасности, а А – множество значений, определяющих выполнение требований безопасности в той или иной мере, и определяемое как:  ,где  пара «функция принадлежности \ элемент». Тогда возможно производить оценку эффективности по чётко определённым критериям безопасности следующим образом.Пусть Х={1, 2, 3, 4, 5} есть заданные наборы требований защиты системы, тогда нечёткое множество оценки защищённости системы, имеющей определённые критерии безопасности, будет: А = 0,2/1 + 0,4/2 + 0,6/3 + 0,8/4 + 1/5. Это следует интерпретировать так, что система, имеющая набор выполненных требований «1», относится к «абсолютно незащищённой», система, имеющая набор выполненных требований «2», относится к «недостаточно защищённой», система, имеющая набор выполненных требований «3», относится к «защищённой», система, имеющая набор выполненных требований «4», относится к «достаточно защищённой», система, имеющая набор выполненных требований «5», относится к «абсолютно защищённой». Причём набор «5» относится к «абсолютно защищённой» системе и т.д. Разные состояния безопасности системы выделяются в виде подмножеств нечёткого множества А. Вероятность взлома оцениваемой системы может соответствовать кардинальному числу (мощности) нечёткого множества, а именно: если Х={1, 2, 3, 4, 5} и А = 0,2/1 + 0,4/2 + 0,6/3 + 0,8/4 + 1/5, то Card A = |A|= 3, т.е. вероятность взлома будет 3k, где k – коэффициент соответствия. Каждый терм имеет определённые значения на промежутке [0, T], где Т – максимальное количество требований, определённых в системе защиты информации. Так, набор требований может быть на промежутке [0, 20], и соответственно набор «1» будет множеством выполненных требований, например, [0, 4]. Очевидно, что при таком подходе для оценки эффективности защищённости АС от НСД необходимы только данные о необходимых требованиях защищённости и данные о полноте выполнения этих требований. Предлагаемая методика даёт возможность её применения при оценке эффективности защищённости системы с помощью определённых нейросетевых приложений. При использовании методики совместно с программно-аппаратным комплексом можно достичь: постоянного мониторинга состояния информационной безопасности АС; прогнозирования возможности осуществления атак путём имитации угроз (предполагается наличие множества Q[1, q], где q – максимальное количество угроз); существенного затруднения или предотвращения реализации угрозы или множества угроз, которые существуют при невыполнении некоторых требований из промежутка [0, T]; изменения наборов требований для стремления системы защиты к лингвистической переменной «абсолютно защищённая». Комплекс также может обладать возможностью перевода состояния системы безопасности к более высокому уровню эффективности защиты. |