На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Способы задания исходных параметров для оценки защищенности

Очевидно, что при использовании любого математического метода проек­тирования системы защиты необходимо задавать определенные исходные параметры для оценки ее защищенности. Однако именно с этим связаны основные проблемы формализации задачи синтеза системы защиты. По­этому мы отдельно рассмотрим основные пути решения данной задачи.
Способы задания вероятностей и интенсивностей угроз
Основной проблемой проведения количественной оценки уровня защи­щенности является задание входных параметров для системы защиты — вероятностей и интенсивностей угроз. Рассмотрим возможные способы задания вероятностей и интенсивностей угроз.
1. Метод статистической оценки Я, ((?,.) ид,. Основным способом зада­ния интенсивностей потоков угроз X, (вероятностей угроз О,) и вероят­ностей взломов Pj является получение этих значений на основе имею­щейся статистики угроз безопасности информационных систем, в которых реализуется система защиты. Если существует статистика для аналогич­ной информационной системы, то задавать исходные параметры для оценки защищенности можно на ее основе. При этом желательно, что­бы сходные информационные системы эксплуатировалась на предприя­тиях со сходной спецификой деятельности.
Заметим, что статистика угроз периодически публикуется достаточно авторитетными изданиями, т.е. всегда существуют исходные данные для использования данного подхода для большинства приложений средств защиты информации. Обычно эта статистика доступна в Интернете на
сайтах специализированных организаций.
Если же необходимая статистика по угрозам безопасности отсутствует,
то можно воспользоваться одним из других подходов, описанных далее.
2. Оптимистически-пессимистический подход. В рамках данного подхода предусмотрено два разных способа.
Первый способ — это способ равных интенсивностей VА, = а, а = const. При этом способе для расчета защищенности константа а может быть выбра­на любой. В формуле (1.2) она будет вынесена за скобки и в конечном итоге сократится, так что защищенность в данном случае будет зависеть только от потерь:Глава 3. Подходы к проектированию системы защиты
Второй способ — это способ пропорциональности потерям = а • а = const. При этом способе предполагается, что чем больше потери от взлома, тем чаще осуществляются попытки несанкционированного доступа к этой ин­формации. То есть интенсивности потоков угроз прямо пропорциональны потерям. В этом случае защищенность будет зависеть от квадрата потерь:
3. Метод экспертной оценки. Экспертная оценка исходных параметров для расчета защищенности может осуществляться с использованием так назы­ваемой дельфийской группы. Дельфийская группа — это группа экспертов, созданная в целях сбора информации из определенных источников по
определенной проблеме.
При этом необходимо задать лингвистический словарь возможных оценок
экспертов, определить набор вопросов и условных значений квалифика­ций отдельных экспертов. После определения всех входных переменных производится поочередный опрос каждого эксперта. После опроса всех экспертов с учетом их квалификации определяется общая оценка группы и согласованность (достоверность) ответов для каждого вопроса.
Эксперт оценивает эффективность (вероятность) отражения угроз элемен­тами защиты и вероятность появления угроз Вероятности эксперт задает лингвистическими оценками: отлично, хорошо, удовлетворитель­но, плохо, не отражает; вероятно, близко к нулю, близко к единице, весь­ма вероятно и т.п. Затем эти лингвистические оценки при помощи сло­варя переводятся в числа р. и Q: в диапазоне [0; 1].
Для задания вероятности появления угрозы возможна оценка вероятно­сти появления угрозы /-того вида в общем потоке угроз:
Я-
2><
Исходя из заданной квалификации экспертов, рассчитываются их веса (значимость) в группе по формуле:
67
Часть I. Компьютерная безопасность: современные требования, подходы, статистика угроз
где - - квалификация эксперта, задаваемая в некотором диапазоне, на­пример, от 0 до 10 в зависимости от опыта, образования и других качеств эксперта.
Затем оценки суммируются с учетом весов экспертов:
Pi = Ри v
<2,
где р.е и Qk — оценка вероятностей отражения и появления угроз, сделан­ные одним экспертом; - «вес» эксперта в группе.
После расчета общей оценки всей группы рассчитывается согласованность ответов, которая может использоваться для оценки достоверности резуль­татов. Согласованность рассчитывается при помощи среднеквадратичес-кого отклонения и выражается в процентах.
Максимальная согласованность достигается при одинаковых значениях оценок экспертов и в этом случае равняется 100%. Минимальная согла­сованность достижима при максимальном разбросе оценок экспертов.
Способы задания стоимости потерь
Важнейшей характеристикой защищаемого объекта (как следствие, и системы защиты) является стоимость потерь от взлома. Рассмотрим воз­можные способы задания стоимости потерь.
I
1. Стоимость похищенной/искаженной/утерянной информации.
Исходные данные:
...... удельная цена
v[6um/c]............скорость получения/искажения/уничтожения ин­формации;
t[c]....................время нахождения субъекта в системе;
VJ6um].............объем информации.
С,- «min(ct v t,ct Vi).
2. Затраты от невозможности получения доступа к информации.
Исходные данные:
с .[руб./бит.......удельная цена недоступности информации;
t[c] .................... время восстановления системы.
C,=crt.
68
Глава 3. Подходы к проектированию системы защиты
Способы задания соответствия между параметрами угроз, параметрами защищаемых объектов и параметрами элементов защиты
Существуют различные классификации угроз:
» по принципам и характеру воздействия на систему; » по используемым техническим средствам; * по целям атаки и т.п.
Очевидно, что стоимость потерь С. удобнее задавать для угроз, классифи­цированных по целям атаки. Что касается характеристики интенсивности угроз, то она определяется с помощью средств аудита и сетевого монито­ринга, которые различают угрозы по принципам и характеру воздействия на систему (механизму атаки, способу проникновения). Вероятность от­ражения угрозы средствами защиты р. определяется в соответствии с теми механизмами, которые реализованы в каждом средстве. Причем каждый из механизмов в общем случае может отражать несколько видов атак.
Таким образом, необходимо задавать соответствие между всеми этими параметрами (2). Для успешного приведения в соответствие раз­личных параметров оценки защищенности необходимо корректное по­строение модели нарушителя. В этой модели должны быть отражены практические и теоретические возможности нарушителя, его априорные знания, время и место действия.
Задание соответствия между стоимостью потерь и интенсивностью угроз
Задание соответствия между стоимостью потерь и интенсивностью угроз можно осуществлять следующим образом:
1. Статистический подход. Статистический подход является основным, как обладающий большей достоверностью. Из анализа статистики можно выявить вероятности нанесения определенных видов ущерба при опре­деленных видах взломов. Однако на практике далеко не всегда подобная статистика существует, в частности, при внедрении новых технологий
защиты информации, новых версий ОС или приложений и т.д., т.к. для
ее сбора требуется некоторое время. В этом случае может использовать­ся пессимистический подход.
2. Пессимистический подход. Если не имеется достаточной статистики, можно воспользоваться другим способом. Будем считать, что при про­никновении в систему злоумышленник наносит наибольший вред, какой он только может причинить.
При задании соответствия между интенсивностью угроз и вероятностью их отражения нужно учитывать, что, если в системе реализовано несколь­ко механизмов, отражающих некоторую атаку, вероятность преодоления защиты рассчитывается следующим образом.
Если    есть вероятность отражения угрозы каждым средством за-
щиты, то вероятность взлома системы   pt) будет:
k
а вероятность отражения угрозы системой защиты
А=1 -А-

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика