Как отмечалсь, для каждого типа угроз может быть одна или
несколько мер противодействия. В связи с неоднозначностью выбора
мер противодействия необходим поиск некоторых критериев, в
качестве которых могут быть использованы надежность обеспечения
сохранности информации и стоимость реализации защиты. Принимаемая
мера противодействия с экономической точки зрения будет
приемлема, если эффективность защиты с ее помощью, выраженная
через снижение вероятного экономического ущерба, превышает
затраты на ее реализацию. В этой ситуации можно определить
максимально допустимые уровни риска в обеспечении сохранности
информации и выбрать на этой основе одну или несколько
экономически обоснованных мер противодействия, позволяющих
снизить общий риск до такой степени, чтобы его величина была ниже
максимально допустимого уровня. Из этого следует, что
потенциальный нарушитель, стремящийся рационально использовать
предоставленные ему возможности, не будет тратить на выполнение
угрозы больше, чем он ожидает выиграть. Следовательно, необходимо
поддерживать цену нарушения сохранности информации на уровне,
превышающем ожидаемый выигрыш потенциального нарушителя.
Некоторые практические рекомендации по экономическим аспектам
защиты информации нашли отражение в работе Хофмана и Сяо и др.
Рассмотрим эти подходы. Утверждается, что большинство
разработчиков средств вычислительной техники рассматривает любой
механизм аппаратной защиты как некоторые дополнительные затраты с
желанием за их счет снизить общие расходы. При решении на уровне
руководителя проекта вопроса о разработке аппаратных средств
защиты необходимо учитывать соотношение затрат на реализацию
процедуры и достигаемого уровня обеспечения сохранности
информации. Поэтому разработчику нужна некоторая формула,
связывающая уровень защиты и затраты на ее реализацию, которая
позволяла бы определить затраты на разработку потребных
аппаратных средств, необходимых для создания заранее
определенного уровня защиты. В общем виде такую зависимость задал
Хофман исходя из следующих соображений. Если определять накладные
расходы, связанные с защитой, как отношение количества
использования некоторого ресурса механизмом управления доступом к
общему количеству использования этого ресурса, то экономические
методы управления доступом дадут накладные расходы,
приближающиеся к нулю. Допустим, что R - некоторый набор ресурсов
{r}, М - набор системных механизмов {m}, A - набор механизмов
управления доступом {a}.Если принять U (m,r) за количественную
меру использования ресурса r механизмом m, то накладные расходы,
связанные с защитой системы управления доступом, будут равны:
(следует формула) При наличии подобных зависимостей разработчик
может изучить возможности осуществления различных компромиссов и
определить механизм защиты и их объемы, которые должны быть
использованы в аппаратуре. Однако пока еще нет возможности
создать такую гибкую архитектуру ЭВМ, которая допускала бы
изменения с целью достижения заданного соотношения между
затратами и требуемым уровнем защищенности. Отмечается, что
существуют два возможных фактора, определяющих величину отношения
"затраты/уровень защиты" для механизмов, реализованных с помощью
аппаратных средств: 1) достигнутый уровень технологии, т.е.
механизм защиты должен быть создан с использованием существующей
и вновь разрабатываемой технологии при приемлемых затратах.
Достигнутые успехи в создании микропроцессоров, мини-ЭВМ, памяти,
контроллеров ввода-вывода позволили значительно расширить работы
по применению аппаратных средств защиты; 2) правильное
планирование разработок. Основа этого подхода - выяснение
необходимости проведения защитных мероприятий. С другой стороны,
целесообразность конструктивной реализации механизма защиты
адекватна удовлетворению требований по минимизации затрат на его
разработку с учетом вероятных попыток нарушения защиты. В
процессе идентификации и управления доступом возникает
необходимость в регистрации обращения пользователя к СОД. Обычно
функции регистрации выполняются операционной системой и требуют
для реализации небольших дополнительных затрат на
программирование и резервирование устройств для записи и хранения
регистрационной информации. В целях обеспечения сохранности этой
информации возможно ее хранение в зашифрованном виде. При наличии
надежных средств защиты наборов данных регистрационного журнала
может не потребоваться отдельного устройства для его ведения, но
во всех случаях этот журнал должен быть отделен от системы,
действия которой он регистрирует. Стирание информации с такого
устройства разрешается только определенным лицам и после принятия
существующего решения. При обсуждении экономических проблем
защиты информации особое место отводится вопросам затрат,
связанных с такими преобразованиями, которые приближенно могут
быть оценены временным коэффициентом шифрования (по Хоффману).
Под этим коэффициентом понимается отношение времени, необходимого
для выборки, шифрования и размещения данных на хранение, ко
времени, необходимому только для выборки и размещения данных на
хранение. Такой коэффициент позволяет получить более или менее
независимую от типа ЭВМ меру временных затрат различных методов
защитного преобразования информации. Для сопоставления различных
методов шифрования при использовании разных ЭВМ и языков
программирования было выполнено пять тестов с различными ключами
шифрования[14]. Ъ1Нулевое преобразование Ъ0выполнялось в
соответствии с определением коэффициента -тестовы данные были
перемещены с одного раздела памяти в другой. Полученная скорость
шифрования явилась основой для сопоставления времени обработки
различных методов шифрования с базовым. Ъ1Шифрование ключом из
одного слова Ъ0- данные выбирались в память, к каждому из слов
данных добавлялся по модулю два постоянный ключ длиной в одно
слово, полученный результат отсылался на хранение. Ъ1Шифрование
длинным ключом Ъ0- действия выполняются по аналогии с предыдущим
тестом , только в качестве ключа используется 125 слов.
Ъ1Шифрование двойным ключом - Ъ0два периодических ключа длиной в
125 и 123 слова добавляются по модулю два к исходному тексту.
Ъ1Шифрование ключом ПСЧ Ъ0- в качестве ключа используется слово,
полученное датчиком псевдослучайных чисел. Сравнительная оценка
эффективности различных методов защитных преобразований
представлена в таблице 3.2, полученной на основе работы [14].
Скорости шифрования различны, но, как правило, эти различия
стираются, если временный коэффициент шифрования используется в
качестве основы для сравнения различных методов защитных
преобразований. Полученные экспериментальные данные при известной
стоимости времени центрального процессора позволяют оценить
стоимость защитных преобразований. При включении средств
обеспечения сохранности информации в состав операционных систем
затраты на защиту определяются практически расходами на
программирование. Так, Хоффман приводит следующий перечень
программных дополнений к экспериментальной версии ОС /360 при
реализации системы RSS [14]: - программная поддержка аппаратных
средств защиты; - вывод необходимых сообщений об ограниченном
характере использования информации при выдаче на печать; -
принудительное окончание шага задания в случае попытки нарушения
защиты или при попытке выполнения привилегированной команды; -
формирование и выдача сигнала о попытке нарушения защитных
функций; - автоматическое включение RSS главным планировщиком во
время первоначальной загрузки; - очитска (забивка нулями) блока
памяти при возвращении ресурса системе; - полная перезапись
остатков данных ограниченного использования в наборах данных
прямого доступа; - очистка аппаратных буферов при выходе
устройства из работы. Отмечается, что при использовании системы
RSS накладные расходы центрального процессора возрастают на 2 % и
на 10-15 % уменьшается пропускная способность системы обработки
данных. Очевидно, что определение ценности информации является
основой для принятия решения о степени защиты. Известно множество
попыток формализовать этот процесс на базе методов теории
информации, однако процесс оценки до сих пор остается весьма
субъективным. Рассматривая в общем виде вопросы проектирования
обработки данных в комплексе с обеспечением сохранности
информации, нельзя не отметить наличие первоначальных затрат,
связанных с реализацией системы защиты, и текущих
эксплуатационных затрат. К первоначальным затратам относятся
расходы, связанные с анализом требований, предъявляемых к системе
защиты информации, разработкой и реализацией средств и процедур,
приобретением нового оборудования для идентификации, шифрования и
контроля, капитальные затраты на физические средства защиты и др.
Эксплуатационные затраты отражают расходы, связанные с
поддержанием работоспособности средств защиты. К ним могут быть
отнесены дополнительные расходы системного времени, времени
центрального процессора, выделение дополнительной памяти для
размещения программы защиты, а также системного регистрационного
журнала, расходы на дополнительный штат и другие расходы.
Необходимо отметить, что пока нет достаточных методов измерения
степени безопасности информации, однако при проектировании
системы защиты первостепенным остается требование обеспечения
заданного уровня сохранности при приемлимой стоимости ее
реализации.
