Время восстановления системы защиты. Коэффициент готовности

Ранее нами рассматривалась целесообразность усиления средств защиты в части увеличения параметра «среднее время наработки на отказ». Од­нако не менее (если не более) важным является другая составляющая надежности системы защиты — так называемое «время восстановления».
Интервал времени, в течение которого после возникновения отказа си­стемы защиты обнаруженный канал НСД к информации устраняет­ся, будем называть временем восстановления (TJ.
В общем случае время восстановления является случайной величиной.
Однако принято учитывать его среднее значение. Характеризуется сред­нее время восстановления следующими компонентами:
» временем устранения соответствующего канала НСД к информации
разработчиком ф; » временем внедрения на защищаемый объект исправленной версии
системы защиты, включая ее настройку
Очевидно, можем принять, что среднее время восстановления определя­ется временем устранения соответствующего канала НСД к информации
разработчиком. Другой компонентой, ввиду ее относительной малости,
можем пренебречь. Поэтому примем:
Т.- ТУ
С учетом сказанного можем отметить, что в рассматриваемом случае среднее время восстановления -- это одна из основных характеристик
надежности функционирования системы защиты. Определяется она тем,
насколько предприятие-разработчик системы защиты оперативно исправ­ляет обнаруживаемые каналы НСД. Причем при использовании встро­енных механизмов защиты этим разработчиком является сам разработ­чик ОС (приложения).
Отметим, что характеристика «время восстановления» объективно зави­сит от сложности системы. Действительно, зачастую исправление одной ошибки требует тестирования практически всех функциональных моду­лей системы заново, поскольку в сложной технической системе все функ­циональные модули сильно взаимосвязаны.
Кстати говоря, исправление одной ошибки может привести к появлению дру­гих ошибок. Поэтому исправление ошибок в ОС и сложных приложениях тре­бует реализации соответствующей технологии внесения исправлений. Эта тех­нология предполагает серьезное тестирование ПО практически по всем
функциям, что может составлять месяцы. Например, для ОС семейства
Windows данный параметр можно охарактеризовать, как половину среднего интервала времени между выходами в свет доработок ОС Pack.
Отметим, что с учетом сложности исправления ошибок, на практике раз­работчики сложных систем стараются не исправлять ошибки поодиноч­ке, а приступать к тестированию системы уже по факту исправления некоторой совокупности ошибок (с учетом совокупности внесенных из­менений).
При этом необходимо учитывать, что в течение всего времени восста­новления можно считать систему защиты отказавшей, а защищаемый объект — незащищенным.
Следовательно, такая характеристика надежности системы защиты, как «время восстановления», может служить требованием к предприятию-раз­работчику системы защиты.
С позиций надежности эксплуатационные свойства системы защиты можно охарактеризовать коэффициентом готовности:
Коэффициент готовности, во-первых, характеризует долю времени, в течение которого система защиты работоспособна, а во-вторых, опреде­ляет вероятность того, что в любой произвольный момент времени сис­тема защиты работоспособна. Соответственно получаем долю времени, в
течение которого объект находится в незащищенном состоянии, а также вероятность того, что в любой момент времени объект незащищен:
Кнг = \-Кг.
Проведем грубую оценку характеристики «коэффициент готовности», что­бы оценить, насколько критична характеристика «время восстановления» при построении системы защиты. Примем интенсивность обнаружения
ошибки, которая может привести к НСД к информации, равной 1 в год (практика показывает, что для ряда ОС и приложений она значительно выше). В табл. 3.1 показано изменение коэффициента готовности систе­мы (вероятности нахождения системы в защищенном виде) при различ­ных значениях характеристики времени восстановления.
Изменение коэффициента готовности системы (вероятности нахождения системы
в защищенном виде) при различных значениях характеристики времени восстановления

Требования к системе защиты информации, исходя из отказоустойчивости
Требования к надежности вычислительной системы на практике опреде­ляются, как правило, значением коэффициента готовности не ниже 0,99 (в большинстве случаев 0,999 и выше). Соответственно, на основе представленных в табл. 1.5 исследований мы можем сделать вывод, что время восстановления системы защиты должно определяться днями, а не месяцами, как это происходит на практике при использовании встроен­ных в ОС (и приложения) защитных механизмов. При этом отметим, что
нами исследовался наиболее благоприятный случай, когда интенсивность
отказов принималась равной 1 в год. А если их будет два и более, какова будет вероятность защищенности системы?
Из сказанного могут быть сделаны следующие выводы:
1. Усиление средств защиты целесообразно для повышения надежнос­ти системы защиты — уменьшения времени восстановления системы при обнаружении канала НСД к информации. В этом случае следует говорить о целесообразности замещения всех встроенных механиз­мов защиты на механизмы систем защиты отечественной разработ­ки. Возможность же существенного снижения характеристики «вре­мени восстановления» при этом обусловливается двумя причинами: во-первых, объективной система защиты как таковая имеет на порядки меньшую сложность, чем ОС в целом (исправление ошибки в ней потребует на столько же меньших трудозатрат, чем аналогич­ные исправления в ОС), во-вторых, субъективной — отечественные производители могут с большей оперативностью обеспечить взаимо­действие с конечным потребителем средств защиты, в частности, при распространении исправленной версии ПО.
2. К разработчику системы защиты, при ее практическом использова­нии, должно выдвигаться требование к времени восстановления си-
стемы защиты — устранения каналов НСД к информации. Так как время восстановления системы защиты, с целью достижения высо­кого уровня ее отказоустойчивости, должно определяться днями (что на практике невозможно), то при построении системы защиты дол­жны решаться вопросы резервирования. 3. Недопустимо использовать средства добавочной защиты, не под­держиваемые конкретным предприятием-разработчиком (в частно­сти, свободно распространяемые и др.), а также распространяемые предприятием, не способным обеспечить необходимую оператив­ность восстановления системы защиты при обнаружении канала НСД к информации.
Таким образом, как видим, требования к времени восстановления сис­темы защиты очень высоки даже при использовании на защищаемом объекте средств защиты отечественного производителя.