4. Возможные оценки защиты информации Одними из наиболее сложных
и наименее определенных задач, которые непременно должны решаться
в процессе создания и совершенствования механизмов защиты ,
являются оценки угроз информации в СОД в зависимости от условий
функционирования, оценки последствий несанкционированного
получения информации, оценки уровня защищенности информации в СОД
и т.п. И теоретические исследования и практический опыт защиты
информации показывают, что определение точных значений названных
в � 3 величин, как правило, не представляется возможным. В связи
с этим широкое распространение получили приближенные оценки,
основанные на обработке данных, собранных в процессе
функционирования СОД и просто в процессе наблюдения над
соответствующими явлениями, а также на экспертных оценках. Одна
из первых шкал оценок потенциально возможных угроз и их
последствий выглядела так, как показано в табл. 3/1/. Таблица 3.
----------------------------------------------------------------Причины
Последствия ___________________________________________
Ёневозмож-Ёпотери Ё потери Ёискаже-Ёнесанк. Ёность об
ЁвходногоЁотдельныхЁние за-Ёсчитыв. Ёработки Ёмассива Ёзаписей
Ёписей Ёили коЁданных Ёданных Ё Ё Ёпиров.
дддддддддддддддддддддадддддддддаддддддддадддддддддадддддддаддддддд
Стихийные бедствия: Ё пожары Ё 2 2 - - - наводнения Ё 2 2 - - -
другие причины Ё 2 2 - - - Отказы в работе аппаратуры и ошибки в
программах работы ЭВМ: отказы Ё 5 - - - - нарушение дорожки Ё - -
3 - - в ЗУ на дисках Ё разрушение части Ё - - 3 - - ленты в НМЛ Ё
отказ внешнего ЗУ Ё - 3 - - - отказы аппаратуры Ё - 2 4 6 - и
(или) ошибки в Ё программах Ё ошибки при переда-Ё - - 4 6 - че
данных Ё повреждение перфо-Ё - - 4 5 - карт или другого Ё
материала ввода Ё данных, ошиби в раЁ бочих программах Ё Ошибки в
работе обслуживающего персонала и пользователей системы: ошибки
при перфо- Ё - - 4 7 - рации Ё ошибки оператора Ё - 3 4 5 - на
конечном устройЁ стве ввода данных,Ё ошибки операт. ЭВМЁ
неправильное сос- Ё - 3 - 3 - тавление и коррек-Ё тировка данных
Ё неправильный вари-Ё - 3 - 3 - ант программы Ё ошибки при
испыта-Ё - 3 4 4 - нии программ Ё потеря МЛ или МД, Ё - 3 - - 2
уничтожение МЛ илиЁ МД Ё Преднамеренное разрушение: саботаж Ё 2 2
- - - преднамеренные дейЁ 2 2 - - - ствия оператора Ё
преднамеренные дейЁ - 2 3 3 - ствия программистаЁ преднамеренные
дейЁ - 2 - - - ствия библиотекаряЁ МЛ Ё преднамеренные дейЁ - 2 3
3 - ствия оператора Ё оконечного устр-ваЁ преднамеренные дейЁ - -
3 3 - ствия пользователяЁ пользование аппараЁ - 2 3 3 3 турой для
"забавы"Ё Преступления: растрата(хищение) Ё - - 3 4 4
промышлен.шпионаж Ё - - - - 3 воровство служащи-Ё - - - - 3 ми
коммерч.секторовЁ воровство служащимиЁ - - - - 3 данных Ё П р и м
е ч а н и е. Цифрами условно обозначена вероятность появления
событий: 0- невозможно; 1-раз в 400 лет; 2-раз в 40 лет; 3 - раз
в 4 года (1000 рабочих дней); 4-раз в 100 рабочих дней; 5- раз в
10 рабочих дней; 6 - раз в день; 7- 10 раз в день.
----------------------------------------------------------------Более
развитую методику оценок разработали специалисты фирмы IBM /220/.
Ее сущность в общем виде может быть представлена следующим
образом. В качестве показателя частоты возникновения
интересующего события принята величина S, которая принимает
следующие значения 0-почти никогда; 1-один раз в 1000 лет; 2-один
раз в 100 лет; 3-один раз в 10 лет; 4- один раз в год; 5 - десять
раз в год (примерно два раза в неделю); 7- тысячу раз в год
(примерно три раза в день). Показатель ущерба V в зависимости от
абсолютного значения потерь предложено выражать так: 0- 1 дол.,
1-10 дол., 2-100 дол., 3-1000 дол., 4 - 10000 дол., 5 - 100000
дол., 6 - 1000000 дол., 7 - 10 000 000 дол. Ожидаемый ущерб от
i-той угрозы (причины) предложено вычислять по формуле R =
10(S+V-4). i Общий ущерб есть сумма ущербов от всех причин, т.е.
R= суммаR i /стр 118/. Некоторые специалисты предлагают оценивать
ожидаемый ущерб по так называемым нижним и верхним взвешенным
значениям. При этом предполагается, что известны вероятности
появления угроз, а также минимальное и максимальное значение
ущерба при появлении угрозы. Тогда называемые оценки получаются
путем умножения вероятности появления угрозы на минимальное и
максимальное значения возможного ущерба. Если, например, пожар в
течение года может возникнуть с вероятностью, равной 0.5% , и
может вызвать потери от 5 тыс. дол до 2 млн.дол, то нижней
взвешенной оценкой будет 5000х0,005=25 дол, а верхней - 2 000
000х0,005=10 000 дол. В /21/ приведено описание одного из
возможных вариантов экспертных оценок систем безопасности.
Система характеризуется набором n характеристик /табл.4/. Для
изменения характеристики F введен показатель b довериi i тельный
уровень обеспечиваемой защиты, трудоемкость преодоления защиты и
т.п. Каждый эксперт дает оценку каждой характеристики /назначает
значение G /, а также присваиваеи характеристикам i субъективный
коэффициент важности W . Тогда при линейном методе i взвешивания
степень обеспечения безопасности SR системы S, оцениваемой
экспертом r, определяется выражением SR(s,r)=n WG /стр.118/ (1)
Однако при этом нарушается принцип, что "крепость всей цепи
определяется крепостью ее слабого звена". Требования этого
принципа можно учесть, если SR(s,r) принять в виде
SR'(s,r)=min{WG} /стр.119/ (2) Таблица 4
---------------------------------------------------------Тип
характеристики ЁОбозначение и наименование Ёхарактеристики
системы Ёбезопасности информации
----------------------------------------------------------------Определяемые
возможностя-Ё F1-криптографические средства ми вычислительной
техники Ё защиты Ё F2-средства управления доступом Ё F3-cредства
регистрации и реагиЁ рования на угрозы Ё F4-cредства защиты
программ Ё F5-аппаратные средства защиты Ё : Ё Fm Не определяемые
возможностяЁ Fm+1-непривлекательность СОД для ми вычислительной
техники Ё потенциальных злоумышленников Ё Fm+2-организационные
меры защиты Ё Fm+3-внешние /относительно аппараЁ туры СОД/
технические средства Ё защиты Ё Fm+4-законодательные и моральноЁ
этические меры защиты
--------------------------------------------------------------В
/21/ приведены частичные оценки некоторых систем, полученные по
рассмотренной методике: ADEPT-50 - 0,513; MULTICS - 0,486;
CDC6400 - 0,365; IBM08/360 - 0,130. Из попыток аналитического
решения задачи оценки угроз приведем следующую /220/. Пусть
/лямда/ есть средний показатель появления анализируемого типа
угроз, причем он рассмаривается как случайная переменная
/стр.119/ с распределенной вероятностью f(лямда). Данный
показатель определяется на основе факторов, имеющих место в
процессе функционирования СОД или подобных им систем. Если таких
данных нет, то показатели появления угроз могут быть определены
экспертным путом. Если r есть число проявлений угроз в течение
года, то случайной величине r будет соответствоватьт
распределение вероятностей f(r/лямда). Если число проявлений
угрозы зависит только от продолжительности периода изменений и
среднего коэффициента проявления, то справедливым будет
распределение Пуанссона: /стр.119/ (3) где t -число интервалов
времени, за которое измерено r. Имея набор значений r1,r2,...rn
значения /лямда/ могут быть определены на основе формулы
гамма-распределения: /стр.119/ (4) Коэффициенты a и b могут быть
определены из рекурентных соотношений: a"+r1+...rn;
b"=b'+t1+...tn. (5) Распределение вероятностей числа проявления
угрозы за следующий период t подчиняется следующей зависимости:
f(r/a,d,t)= f(r/ t)f( /a,b)d ... cтр.119 (6) Результатирующее
распределение определяется зависимостью: Ф о р м у л а стр.119
(7) где p=t/(t+b). Ожидаемое изменение числа проявлений угроз в
последующий период t характеризуется математическим ожиданием и
дисперсией: E(r/t)=at/b; V(r/t)=at/b(b+t). (8) Но, как известно,
проявление угроз страшно не само по себе, а теми последствиями
(потерями), к которым оно приводит. Ввиду недостаточной
определенности самого понятия ущерба (особенно применительно к
угрозам несанкционированного получения информации) построение
аналитической модели для оценки ущерба сопряжено с еще большими
трудностями, чем рассмотренной выше модели для оценки вероятности
проявления самих угроз. В /220/ развивается следующий подход к
указанным оценкам. Первоначально предполагается, что ожидаемый
ущерб каждого проявления угрозы характеризуется величиной m и
средним отклонением v имеет вид: f(m,v/m',v',n',k')=f
(m/m',n',v)f (v/v',k'), (9) N g где f (.) f (.) - нормальные
распределения, а n' и k -паN g раметры гамма-распределения. Если
в следующие t периодов времени происходит r нарушений
безопасности, причем ущерб от них измерялся величинами
х1,х2,....хr, то корректировка величин m,v,n,k осуществляется по
таким зависимостям: m"=(n'm'+rx)n"; (10) v= ф о р м у л а стр.119
(11) n"=n'+r, k"=k'=r, где x= x /r и s = (x -x) /(r-1) /cм.119/
Получение более полных оценок сопряжено с проявлением гораздо
более сложных выкладок. В Стенфордском исследовательском
институте (США) ведется учет сведений о нарушениях безопасности
информации в СОД /220/. На основе этих данных производятся оценки
опасности угроз и возможного ущерба при их проявлении. Что
касается затрат на обеспечение безопасности данных, то некоторое
представление о них можно получить по данным, приведенным в
таблице 5. /21,23/. Весьма важным представляется следующее
положение, которое все настойчивее развивается в зарубежной
печати: система защиты даже, если при ее создании учтены все
рассмотренные выше требования, сможет эффективно выполнять свои
защитные функции лишь в случае, если в процессе
автоматизированной обработки информации в СОД будут наблюдаться
некоторые условия. Сформулировано значительное количество таких
условий, в систематизированном виде они могут быть представлены
следующим основным перечнем: 1. Обязательный контроль доступа к
системным областям ЗУ. 2. Определение уровня секретности всех,
обрабатываемых в СОД, а также уровня секретности программ и
задач. 3. Закрепление выполнения некоторых функций защиты за
пользователями системы (распределение функций защиты между
системой и пользователями). 4. Обязательное ознакомление
персонала СОД с наиболее важными правилами защиты информации и
определение для каждого лица персональных обязанностей по защите.
5. Ведение каталога данных, находящихся в системе, с указаниями
степени их секретности и возможных особых требований к их защите.
Таблица 5
уммммммммммммммммммммммямммммммммммммммммммммммммммммммммммммммммммT
Ё Характеристики Ё Вид СОД Ё Ё системы
фмммммммммямммммммммяммммммямммммммммямммммм Ё ЁМедицин-
ЁСтрахова-ЁКадро-ЁКредитоваЁСудеб-Ё Ё Ё ская Ёния Ёвая Ёния Ёная
Ё
фммммммммммммммммммммммьмммммммммьмммммммммьммммммьмммммммммьмммммм
Ё 01 Ё 02 Ё 03 Ё 04 Ё 05 Ё 06 Ё
фммммммммммммммммммммммьмммммммммьмммммммммьммммммьмммммммммьмммммм
ЁЧисло объектов Ё 1000 Ё 33000Ё 10 Ё 35000Ё 31 Ё ЁОбъем баз
данных, Ё3 500 000Ё3 600 000Ё 20000Ё3 500 000Ё15 000Ё
Ё/тыс.символов/ Ё Ё Ё Ё Ё Ё ЁЧисло пользователей Ё 50 Ё 60000 Ё
45 Ё 500000Ё 5000Ё ЁСтоимость разработки, Ё 726 Ё 5000 Ё 200 Ё
800 Ё 3000Ё Ё тыс.дол. Ё Ё Ё Ё Ё Ё ЁГодовые эксплуатацион-Ё 4000
Ё 13000 Ё 340 Ё 14000 Ё 2000Ё Ёные расходы до введе- Ё Ё Ё Ё Ё Ё
Ёния правил регулирова-Ё Ё Ё Ё Ё Ё Ёния секретности, Ё Ё Ё Ё Ё Ё
Ётыс.дол. Ё Ё Ё Ё Ё Ё ЁЗатраты на криптографиЁ 543 Ё 573 Ё 172 Ё
1416 Ё 348Ё Ёческую защиту,тыс.дол.Ё Ё Ё Ё Ё Ё ЁГодовые затраты
на подЁ 1797 Ё 1882 Ё 40 Ё 20453 Ё 216Ё Ёдержание секретности, Ё
Ё Ё Ё Ё Ё Ётыс.дол. Ё Ё Ё Ё Ё Ё ЁГодовые затраты на подЁ 45 Ё 15
Ё 12 Ё 145 Ё 11Ё Ёдержание секретности Ё Ё Ё Ё Ё Ё Ёпо отношению
к годовымЁ Ё Ё Ё Ё Ё Ёэксплуатационным затраЁ Ё Ё Ё Ё Ё Ётам, % Ё
Ё Ё Ё Ё Ё
-------------------------------------------------------------------6.Принятие
экстренных и решительных мер в случае нарушения безопасности
данных или угрозы такого нарушения. 7.Принятие специальных мер
для предотвращения несанкционированного доступа к носителям
информации, защищаемым данным и терминалам по причине нерадивости
или злоумышленных действий персонала СОД. 8.Периодический анализ
действительной степени угрозы для защищаемых данных.
9.использование новых (неординарных) средств и методов защиты.
10.Ни в коем случае не полагаться полностью на формальные
средства и методы защиты и перекладывать заботу о защите данных
только на службу защиты. 11.Держать в тайне максимальное
количество сведений, относящихся к обрабатываемым в системе
данным. 12.Тщательно выявлять возможные источники пожара и
обеспечивать необходимую противопожарную защиту. 13.Проверка и
ликвидация слабых мест в установках кондиционирования воздуха.
14.Разработка и изучение с персоналом инструкций и руководств для
действий на случай пожара. 15.Принятие необходимых мер защиты
системы от разрушительного воздействия дыма и воды.
16.Поддержание постоянных рабочих контактов с местной пожарной
охраной, полицейским управлением. 17.На вычислительном центре,
где обрабатываются защищаемые данные, должны быть разработаны
необходимые инструкции и предусмотрены меры защиты от взрывов
бомб. 18.Должна быть предусмотрена и документально оформлена
система штрафов на случай нарушения защиты по причине прекращения
подачи электроэнергии или резкого падения напряжения в сетях
питания. 19.Необходимо помнить, что магнитное поле может исказить
или уничтожить информацию, записанную на магнитных носителях.
20.Должны быть предусмотрены мероприятия по проверке имеющихся
или вносимых в помещения СОД портативных радиоприемников.
21.Организация периодической смены ключей, паролей и
другихреквизитов, используемых для организации защиты информации.
22.Организация периодической смены ключей, паролейи других
реквизитов, используемых для организации защиты информации.
23.Проектирование и периодическая проверка дублирующих
(резервных) средств обработки информации. 24.Контроль за
уничтожением производственных и бумажных отходов, остаточной
информации и секретных документов. 25.Поддержание чистоты и
порядка на рабочих местах. 26.Организация процедур защиты
документов и носителей информации в хранилищах, а также в
процессе их получения и использования. 27.Определение правил и
способов получения и доставки в ВЦ носителей из хранилища
архивов. 28.Организация защиты программ, используемых для
обработки защищаемых данных. 29.Разработка специальных процедур
контроля прикладных программ. 30.Регламентация процедур и
разработка инструкций для работы операторов системы и
пользователей. 31.Использование регистрационных журналов как
одного из средств защиты. 32.Проверка на эффективность аппаратных
и физических средств защиты.
