Разработка автоматизированной системы построения модели нарушителя информационной безопасности ИСПДн с учетом требований законодательства РФ

Аннотация

Темой данной магистерской диссертации является разработка автоматизированной системы построения модели нарушителя информационной безопасности ИСПДн с учетом требований законодательства РФ.

В ходе выполнения работы был проведен анализ нормативно-правовых документов в сфере построения модели нарушителя информационной безопасности ИСПДН, на основании которых был формализован комбинированный метод построения модели нарушителя. А также проведен анализ существующих аналогичных программных продуктов и научных работ в смежных областях. Затем была произведена сравнительная оценка эффективности разработанной методики с аналогами, а также спроектирована структурно-функциональная модель автоматизированной системы и дано описание всем функциональным модулям программы.

Результатом работы стала автоматизированная система построения модели нарушителя информационной безопасности ИСПДн, которая в полной мере решает все поставленные перед ней задачи и удовлетворяет всем нормативным требованиям со стороны органов исполнительной власти.

Annotation

The theme of this master’s thesis is the development of an automated system for constructing a model of the infringer of information security ISDN, taking into account the requirements of the legislation of the Russian Federation.

In the course of the work, an analysis of normative legal documents was conducted in the sphere of constructing the model of the infringer of information security of ISDND, on the basis of which the combined method of constructing the intruder model was formalized. And also the analysis of existing similar software products and scientific works in related fields is carried out. Then, a comparative evaluation of the effectiveness of the developed methodology with analogues was made, and a structural-functional model of the automated system was designed and a description was given to all functional modules of the program.

The result of the work was an automated system for constructing the ISPDn infringer of information security model, which fully solves all the tasks assigned to it and meets all regulatory requirements from the executive authorities.

Введение

Основой эффективного обеспечения безопасности информационной системы является создание достоверной модели угроз безопасности, содержащей структурированные по выбранным показателям угрозы безопасности и их источники, а также определяющей возможные последствия от реализации этих угроз – вред, ущерб. В общем случае модель угроз безопасности – информационная модель, содержащая совокупность сведений, характеризующих состояние безопасности объекта при возникновении определённых опасных событий, процессов, явлений, а также отношений объекта с внешним миром.

Одной из основополагающих частей модели угроз, является построение модели нарушителя безопасности информационной системы.

Модель нарушителя информационной безопасности ИСПДн - абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа[7]. В дальнейшем будет именоваться как – «модель нарушителя».

Модель нарушителя безопасности необходима для систематизации информации о типах и возможностях субъектов, целях несанкционированных воздействий и выработки адекватных организационных и технических мер противодействия. При разработке модели нарушителя учитываются [5]:

По наличию права постоянного или разового доступа нарушители подразделяются на два типа: нарушители, не имеющие доступа к информационной системе, реализующие угрозы из внешних сетей связи общего пользования и сетей международного информационного обмена; нарушители, имеющие доступ к информационной системе, включая пользователей, реализующие угрозы непосредственно в информационной системе, внутренние нарушители.

Актуальность проблемы состоит в том, что рассматривая разработку методики построения модели нарушителя, стоит учитывать, что данная тема является частью комплекса разработки модели угроз, в которой на данный момент отсутствует единое решение, применимое повсеместно. На сегодняшний день, существует множество методик построения модели угроз, но все они затрагивают разные правовые и технические аспекты данной проблемы. Это связано с разнообразием систем защиты информации, для которых на данный момент не может быть создан единый стандарт построения модели угроз и модели нарушителя.

Исходя из этого, при разработке методики построения модели нарушителя, будут использованы национальные стандарты в области защиты информации и методики согласованные с нормативно-правовыми документами РФ в сфере информационной безопасности. Данный подход позволит лучше сформулировать перечень свойств нарушителя и точнее описать его возможности.

Наряду с этим, остается актуальной проблема автоматизации процесса построения модели нарушителя информационной безопасности ИСПДн. На сегодняшний день построение модели нарушителя ИСПДН представляет собой трудоемкий процесс разработки модели, постоянной поддержки модели в актуальном состоянии, а также учет всех действующий элементов ИСПДн в поле её деятельности. Для обеспечения упрощенного и удобного построения модели нарушителя информационной безопасности ИСПДН, считается целесообразным провести работы по автоматизации данного процесса.

Объектом исследования является процесс построения модели нарушителя информационной безопасности ИСПДн.

Предметом исследования, являются методы построения модели угроз и модели нарушителя ИСПДн, алгоритмы и информационные процессы, обеспечивающие их работу, информационные системы персональных данных и систем обеспечения их безопасности​.

Целью исследования является разработка автоматизированной системы построения модели нарушителя информационной безопасности ИСПДн, удовлетворяющей всем требованиям законодательства РФ.

Для достижения поставленной цели необходимо решить следующие задачи:

Методы исследования. В качестве основных методов исследования применялись метод системного анализа, теории защиты информации, теории алгоритмов, экспертных оценок и методика создания прикладных программных систем.

Научная новизна проведенных исследований и полученных в работе результатов заключается в следующем:

Структура работы обусловлена целью и задачами настоящей работы. Она состоит из введения, четырех глав и шестнадцати параграфов включительно, заключения, списка использованных нормативно-правовых источников и литературы, приложения.

Глава 1. Анализ существующих методик построения модели нарушителя

Рассмотрим основные документы необходимые для построения модели нарушителя. В РФ при построении модели угроз и модели нарушителя соответственно, основным документом является Методика определения угроз безопасности информации в ИС, разработанная ФСТЭК России [23]. Данный документ позволяет разработать модель угроз ИС, которая будет удовлетворять всем необходимым требованиям и критериям ФСТЭК. Такая методика позволяет использовать Банк данных угроз ФСТЭК, что помогает при разработке актуальной модели нарушителя для ИС. Документ ориентирован на государственные информационные системы, но так же может быть применен и для других ИС.

Данный методический документ был разработан ФСТЭК России и выдвинут на рассмотрение специалистам в области информационной безопасности в мае 2015 года, для внесения предложений и замечаний. В последующем разработанный проект должен заменить «Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 года [21].

Необходимостью нововведения стали проблемы в использовании предыдущей методики [23], которая имела узкий спектр возможных решений, и затрудняла разработку частных нетипичных моделей угроз.

Проект новой методики определения угроз безопасности устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах, не составляющих государственную тайну, и в коммерческих информационных системах по решению оператора персональных данных.

В новой методике процесс определения угроз безопасности информации делится на следующие этапы:

Рассмотрим подробнее процесс оценки возможностей нарушителя по реализации безопасности информации. Важной частью нововведения, стал этап идентификации источников угроз и угроз информационной безопасности, другими словами разработки модели нарушителя, которая является составной частью модели угроз информационной безопасности. В данном разделе должны описываться:

При оценке нарушители делятся на два типа по наличию прав доступа и возможностей по доступу к информации и (или) компонентам ИС (список компонент ИС, в отношении которых проводится анализ прав доступа, представлен в методике) – внешние и внутренние нарушители, и на 11 видов, которые определяются на основе предположений о возможных целях при реализации угроз безопасности информации этими нарушителями. Возможные цели и относящиеся к ним типы и виды нарушителей сопоставлены в таблицах проекта методики 2015 года[21].

Возможность каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной системе и бывает низким, средним и высоким. В методике представлена таблица, по которой можно определить потенциал нарушителя и его возможности по реализации угроз безопасности информации, зная его вид.

Возможные способы реализации угроз безопасности информации определяются с целью формирования предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.

Так же в данном разделе перечислены доступы и воздействия, за счет которых могут быть реализованы угрозы безопасности информации, определены нарушители, совершающие случайные или преднамеренные действия, а действия последних разделены на целенаправленные и на нецеленаправленные. Представлены стадии реализации преднамеренных угроз безопасности информации, и даны различные рекомендации для корректного определения возможных способов реализации угроз безопасности информации.

При этом стоит учитывать, что данная методика не является исчерпывающим инструментом для всех разрабатываемых ИС. Согласно ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»[26], при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации, следует исполнять Методические рекомендации, разработанные ФСБ России [24]. Данная методика является более целенаправленной и при описании нарушителя делает упор на возможности нарушителя по атакам на криптосредства и среду их функционирования.

Документ ФСБ России от 31 марта 2015 года, который регламентирует разработку нормативно-правовых актов, определяющих угрозы персональных данных [24]. Следуя из описания документа, он предназначен для разработчиков отраслевых моделей угроз, к которым в соответствии с частью 5 статьи 19 ФЗ от 27 июля 2006 г. №152-ФЗ «О персональных данных» относятся:

И для разработчиков частных моделей угроз принявшим решение использовать средства криптографической защиты информации для защиты персональных данных, настоящий документ носит рекомендательный характер.

Предложенная ФСБ методика состоит из следующих этапов:

В рассматриваемом документе на этапе определения актуальности угроз устанавливается возможность или невозможность доступа лиц каждой категории к объектам защиты, то есть присутствует необозначенная разработка модели нарушителя, следуя из этого, термин «источник атак» можно сопоставить с термином «нарушитель». По этому, можно подробнее рассмотреть процесс описания возможных источников атак.

При разработке модели нарушителя с помощью данной методики, на основании исходных данных об информационных системах, объектах защиты и источниках атак определяются обобщенные возможности нарушителя. Из методики следует что, реализация угроз безопасности персональных данных обрабатываемых в ИСПДн, определяется возможностями источников атак. Таким образом, актуальности использования возможностей источников атак определяет наличие соответствующих актуальных угроз. Итогом разработки является таблица уточненных возможностей нарушителей и сопоставленная актуальность их использования с обоснованием принятых решений.

Из выше описанного следует, что разработка частной модели угроз с привязкой к данной методике способна во многих ситуациях быть выгодна разработчику, так как решает и упрощает достаточное количество проблем и при правильном подходе может не противоречить с методикой ФСТЭК.

Сравнивая методики построения модели нарушителя ФСТЭК и ФСБ можно заметить, что трактовка понятия модели нарушителя, и методика разработки модели нарушителя заметно отличается.

Так, ФСТЭК трактует модель нарушителя как перечень внешних и внутренних нарушителей. Нарушители подразделяются на 11 категорий – от потенциально неопасных внешних субъектов, до специальных служб иностранных государств, представляющих высокий потенциал угрозы.

По формулировке ФСБ, модель нарушителя – это описание обобщенных и уточненных возможностей нарушителя, которые тот может реализовать в данной ИСПДн. Она позволяет понять актуальность угроз безопасности ПДн, основанных на возможностях нарушителя. В целом методика ФСБ отвечает за регулирование в области криптографии, и ее методика в основном служит для выбора класса криптосредств и при описании нарушителя делает упор на возможностях нарушителя по атакам на них и среду их функционирования. Таким образом, методика ФСТЭК является более широкой и описывает возможности нарушителя по атакам на систему в целом, а не на отдельные её части.

Среди непринципиальных отличий методик можно выделить различие в терминологии, разный порядок выполнения построения моделей, а так же разный уровень ответственности за разработку документа, так как методика ФСБ носит рекомендационный характер для частных моделей угроз.

Но среди отличий есть и точки соприкосновения, на основе которых можно вычислить общие знаменатели. Для этого рассмотрим алгоритмы разработки моделей нарушителя ФСБ и ФСТЭК представленный на рисунке 1.1, и опишем процесс их построения.

В методике ФСБ термин «Обобщенные возможности источников атак» обозначает действия, которые может совершить нарушитель, имея определенный уровень компетенции и навыков. Проведя аналогию с методикой ФСТЭК, можно предположить что нарушитель, имеющий определенный уровень компетенции и навыков, обладающий некоторым ресурсом имеет потенциал реализовать действие в пределах своих возможностей. То есть «возможность источника атаки» синоним «потенциалу нарушителя». Из этого следует, (Рис. 1.2) что процесс описания обобщенных возможностей источников атаки в методике ФСБ может быть аналогичен процессу определения потенциала нарушителя, так как в обоих случаях результатом будет множество элементов со схожими характеристиками.

Далее в методике ФСБ определяются уточненные возможности нарушителя с объяснением актуальности их применения, обоснованием при этом служит перечень организационно-технических мер, которые позволяют нейтрализовать рассматриваемую угрозу.

Исходя из вышеописанного вывода, можно сделать предположение что уточненные возможности нарушителя это конкретный перечень действий предпринимаемый нарушителем, который может быть направлен на нарушение целостности защищаемой ИСПДн, другими словами это перечень способов реализации угроз безопасности защищаемой ИСПДн. Таким образом, такую характеристику элемента как «Уточненная возможность нарушителя» можно прировнять к характеристике элемента «Возможный способ реализации угроз». Обе характеристики несут схожее по описанию смысловую составляющую, следовательно, при соблюдении определенных условий результат данных методик может быть обобщен. Подробный процесс объединения методик описан в главе 2.3.

Разрабатывая частную модель угроз ИС и модель нарушителя соответственно, правильным решением будет познакомиться и с другими методиками, представленными на коммерческом рынке программного обеспечения.

Мероприятия по разработке модели нарушителя информационной безопасности ИСПДн входят в комплекс мер по созданию модели угроз. По этому, на рынке программного обеспечения представлены продукты, охватывающие полный комплекс решений по разработке модели угроз. Причем каждая из них разработана под конкретные задачи и условия, такие как разработка ПО или отдельные корпоративные решения. Из этого следует, что на сегодняшний день, универсального продукта для построения модели угроз не существует. Но, несмотря на это, возможно провести анализ программных продуктов и рассмотреть их внутренние методы построения модели нарушителя.

Рассмотрим наиболее популярные решения в данной области.

MS Threat Modeling Tool от Microsoft

MS Threat Modeling Tool – это инструмент моделирования угроз, основанный на методике SDL разработанной кампанией Microsoft. В котором процесс моделирования является ключевым элементом жизненного цикла разработки безопасности.

При проектировании модели угроз данный продукт позволяет разработчикам программного обеспечения своевременно выявлять и ослабить потенциальные проблемы безопасности, когда они относительно легки и экономичны для решения. Таким образом, это помогает снизить общую стоимость разработки [8].

MS Threat Modeling Tool – разработан с учетом современных требований к программному обеспечению и имеет доступный для освоения и функциональный интерфейс. Таким образом, это делает данный продукт оптимальным решением для построения модели угроз пользователю, не являющимся экспертом в области ИБ. А так же помогает при процессе моделирование угроз для всех разработчиков, предоставляя руководство по созданию и анализу моделей угроз [8].

Так же продукт предоставляет следующие функции:

MS Threat Modeling Tool отличается от других инструментов и подходов в двух ключевых областях:

Mozilla SeaSponge

Стремясь облегчить упрощение моделирования угроз, команда Mozilla Winter of Security (MWOS) разработала инструмент моделирования графических угроз на основе браузера Mozilla. Написанный специально для среды браузера, инструмент не требует специальных дополнений или плагинов и позволяет быстро и легко отобразить систему и потоки ее данных и начать важную работу по фокусированию на угрозах.

Цель SeaSponge – представлять данные модели угроз нормализованным образом, независимо от подхода, инструмента или поставщика. Основная цель SeaSponge заключается в том, чтобы облегчить автоматизацию данных модели угроз путем извлечения информации об угрозах из модели, чтобы идентифицированные угрозы могли автоматически добавляться в систему отставания команд или системы отслеживания дефектов. Представление информации в программе происходит по средствам диаграмм модели угроз – это оптимальный способ документировать угрозы, которые применяются в приложении. На данный момент существует очень ограниченное количество инструментов моделирования угроз, и большинство из них ограничено конкретными платформами. Этот проект должен создать онлайн-приложение HTML5, которое позволит пользователю легко создавать диаграммы моделей угроз в Интернете. Продукт является простым и удобным в использовании и позволять экспортировать диаграммы в наиболее распространенных форматах изображений. Графические элементы инструмента Microsoft Threat Modeling – хороший пример того, какой тип требуемой функциональности [9].

Так же продукт предоставляет следующие функции:

ThreatModeler от MyAppSecurity

ThreatModeler – это программное обеспечение для моделирования угроз на уровне предприятия, которое способствует совместному процессу моделирования угроз для всех заинтересованных сторон SDLC. Построенный на основе методологии Visual, Agile, Simple Threat (VAST), он поставляется с интуитивно понятным и простым в использовании интерфейсом, который позволяет специалистам по безопасности и простым пользователям создавать всеобъемлющую модель угроз за считанные минуты. Это позволяет масштабировать процесс моделирования угроз по всему спектру характеристик всей организации.

Данный продукт представляет собой единый инструмент для производственного класса, специально разработанный для разработки команд разработки и операций для создания моделей угроз, основанных на глубоком понимании архитектуры приложения или ИТ-инфраструктуры. Это позволяет процессу моделирования угроз легко интегрироваться с существующими рабочими процессами и инструментами Agile DevOps. Разработчики и специалисты по операциям могут получить доступ к соответствующим смягчающим средствам безопасности во время их начальной стадии кодирования и сборки, тем самым сэкономив сотни часов ресурсов на восстановительных мерах после производства. Специалисты по безопасности ценят способность программного обеспечения последовательно внедрять политику безопасности в масштабах всей организации и умножать свои инвестиции в интеллектуальную разведку в реальном мире посредством всеобъемлющей централизованной библиотеки угроз и интеллектуального механизма угроз. Так же пользователи получают преимущества от панелей мониторинга и отчетов ThreatModeler высокого уровня, которые обеспечивают анализ всеобъемлющей поверхности атаки и сообщают об опасностях и структуре риска организации.

ThreatModeler позволяет архитекторам безопасности, директорам по безопасности приложений, руководителям информационных служб и другим лицам, принимающим решения, лучше планировать, готовить и активно защищать себя от злоумышленников. Предоставляя предприятиям и специалистам по безопасности все, что им нужно, чтобы проверить и оставаться в курсе текущих и будущих угроз для новых приложений и системных разработок [16].

Так же продукт предоставляет следующие функции:

R-Vision Risk Manager

R-Vision Risk Manager – это программная платформа для оперативной организации и автоматизации деятельности по мониторингу, анализу данных в информационной системе с целью разработки оптимальной модели угроз безопасности.

Система позволяет создать единую точку консолидации информации обо всех информационных процессах, протекающих в системе, и на основе полученных данных проектирует модель, при помощи современных методов моделирования угроз безопасности. Программный комплекс позволяет провести инвентаризацию инфраструктуры, выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов. За счет интеграции с имеющимися решениями по безопасности (антивирусы, сканеры защищенности и др.), а также использования собственных механизмов контроля. Платформа содержит широкий спектр механизмов, позволяющих адаптировать логику работы системы под специфику и особенности процессов протекающих в информационной системе.

Оценка рисков является одним из ключевых процессов в рамках обеспечения информационной безопасности организации. Risk Manager – позволяет оценивать как прямые, так и производные риски активов, основываясь на взаимосвязи их атрибутов безопасности. При оценке уровня риска учитывается ценность актива, применяемые в организации средства контроля, а также результаты предыдущих оценок. Организации могут использовать качественные или количественных схемы оценки, выбрав одну из предустановленных методик или создав свою собственную.  В зависимости от выбранного режима параметры рисков рассчитываются автоматически или оцениваются вручную экспертами.

Risk Manager – позволяет автоматизировать процесс создания Модели угроз безопасности информации по требованиям ФСТЭК. Простой и интуитивно понятный интерфейс обеспечивает быстрый ввод всех необходимых параметров оцениваемых информационных систем. Актуальность угроз определяется автоматически в соответствии с документом ФСТЭК «Методика определения угроз безопасности информации в информационных системах» (2015 г.). Перечень возможных угроз формируется на основании Банка данных угроз безопасности информации ФСТЭК. По результатам проведённых оценок формируется Модель угроз безопасности информации, структура и содержание которой полностью соответствуют требованиям, предъявляемым Федеральной службой по техническому и экспортному контролю.

Так же продукт предоставляет следующие функции:

Ознакомившись с данными продуктами можно сделать вывод, что на данный момент все решения в области моделирования угроз являются узконаправленными, а разработка модели угроз и модели нарушителя в данных системах является трудоемким и долгим процессом, что вместе с постоянно обновляющейся базой угроз, делает поддержание актуальности модели угроз ИС обременяющей задачей.

Так же для разработки методики построения модели нарушителя, необходимо изучить научно-исследовательские работы, касающиеся построения моделей нарушителя и угроз.

При сборе информации необходимо проанализировать, и определить актуальные проблемы которые затрагивают эту сферу, а так же изучить возможные методы разработки, применяемые в построении моделей нарушителя (Таблица 1.1).

Таблица 1.1

Продолжение таблицы 1.1

Проанализировав научные работы и изучив применимые в них методики, появляется возможность понять в каком курсе движется процесс моделирования угроз и нарушителей информационной безопасности, актуальные направления в данной сфере, а так же возможные острые проблемы связанные с этой областью. На основе изученных научных работ создается возможность разработки собственной методики построения модели нарушителя информационной безопасности, с учетом полезного опыта предыдущих работ в данной области.

С высоким темпом развития технологий возросла и производительность труда, а основой рабочего процесса в производстве и планировании работ является возможность исполнителя своевременно и рассудительно принять наиболее оптимальное решение, которое разрешит все возникающие в ходе работы задачи. Эти факторы стали толчком к активному изучению теории принятия оптимального решения и оптимизации процесса выбора действий при различных условиях и ситуациях.

Для того чтобы разработать методику построения модели нарушителя информационной безопасности, необходимо совершить анализ всех основных критериев рассматриваемых в данной работе методик и произвести оценку их эффективности и функциональности.

Рассмотрим наиболее применимые методы принятия оптимальных решений, проанализируем их работу и подберем подходящий вариант для разрабатываемой методики. Так как рассматриваемые в работе методики имеют множество критериев, следовательно и решения об их применимости будут многокритериальными. По этому подробнее рассмотрим основные положения и понятия многокритериальных задач принятия решения.

Задачей многокритериальной оптимизации является задача максимизации нескольких целевых функций:

– многокритериальная задача оптимизации с векторной целевой функцией.

В данном случае предполагается, что выполняется условие независимости критериев по предпочтениям. Критерий fj не зависит предпочтению от остальных, если порядок предпочтений между его значениями остается неизменным при любых значениях остальных критериев.

В отличие от однокритериальных задач в задаче многокритериальной оптимизации выбор решения, как и само понятие оптимального решения, не является однозначным. На роль оптимального решения может претендовать множество решений, и любое из них может быть выбрано в условиях конкретной системы предпочтений ЛПР.

При решении задач многокритериальной оптимизации возможны два случая:

Информация о предпочтениях ЛПР отсутствует. В этом случае решением задачи будет целиком множество Парето. Для определения данного понятия необходимо рассмотреть пример.

Дана целевая функция:

, где

Необходимо найти решение данной многокритериальной задачи.

Для этого данная задача рассматривается в пространстве оценок критериев, как показано на рисунке 1.3:

Рис. 1.3. Пространство критериальных оценок

Из графика видно, что:

Из этого следует, что (xдоминируетyпо Парето) тогда и только тогда, когда – при этом хотя бы одно из неравенств выполняется строго. Это отношение называется отношением Парето.

Отношение Парето является наиболее информативным отношением предпочтения для задачи многокритериальной оптимизации: ни одно другое корректно построенное отношение предпочтения не позволяет сравнить альтернативы, которые были бы несравнимы в смысле отношения Парето (без дополнительной информации).

Альтернатива x называется эффективным или Парето-оптимальным решением многокритериальной задачи, если она является недоминируемой в смысле отношения Парето, т.е. не существует никакой другой альтернативы, которая бы ее доминировала по Парето.

Множество всех Парето-оптимальных альтернатив называется множеством Парето или компромиссным множеством.

Таким образом, решением данной задачи является следующее множество: .

Содержательный смысл Парето-оптимальности решения заключается в том, что такое решение нельзя улучшить ни по одному критерию, не ухудшив при этом его одновременно по какому-либо другому. Из всего вышесказанного вытекает так называемый принцип Парето: решение задач многокритериальной оптимизации должно принадлежать множеству Парето.

Имеется информация о предпочтениях ЛПР. В случаях, когда есть дополнительная информация о предпочтениях ЛПР, которая позволила бы сравнить альтернативы, несравнимые по Парето, существует возможность сузить множество Парето с целью осуществления однозначного выбора. При этом возможны различные варианты построения решающих правил, о которых пойдет речь ниже.

Целью построения решающего правила является получение отношения предпочтения более информативного, чем отношение Парето, т.е. которое позволило бы сравнить все или некоторые пары, несравнимые по Парето. Для этого используются следующие дополнительные виды информации о предпочтениях ЛПР:

, где – вес критерия ,

Методы построения решающих правил могут быть одношаговыми и многошаговыми. В первом случае решающее правило формируется однократно, а во втором процесс формирования решающего правила носит итерационный характер с уточнением и корректировкой параметров по результатам каждой итерации.

Многие методы построения решающих правил требуют предварительной нормировки критериев с целью их приведения к единому безразмерному виду:

От (x)переходим к, где – эталон;

От (x) переходим к:

Методов построения решающих правил достаточно много, среди них можно выделить следующие:

Методы свертки критериев. Методы данной группы основаны на переходе от исходной многокритериальной задачи к однокритериальной задаче следующего вида: W(x)→max, xX, гдеW(x) –обобщенный критерий, представляющий собой свертку оценок альтернативыxпо критериямfj.

, где w – оператор свертки.

В общем случае wотражает допустимую с точки зрения ЛПР форму компромисса между низкими оценками по одним критериям и высокими по другим.

При построении свертки обычно используется количественная информация о важности критериев. Существуют следующие виды сверток:

Данный вид свертки используется, если ЛПР считает допустимым, что абсолютное уменьшение оценки по одному критерию может быть компенсировано суммарным абсолютным увеличением оценок по другим критериям.

Данный вид свертки используется, если ЛПР считает допустимой не абсолютную, а относительную компенсацию изменения оценок.

Здесь «идеал» – альтернатива, которая соответствует представлениям ЛПР о некотором эталонном образце решения.

, где j=1, 2,…n.

В качестве идеала может выступать физически нереализуемая альтернатива с наилучшими оценками по всем критериям.

, где j=1, 2,…n

Все три вида свертки гарантируют Парето-оптимальное решение.

Среди простейших методов оценки весов критериев можно выделить следующие:

В данном методе критерии ранжируются по важности для ЛПР, исходя из чего определяется вес критерия.

Таблица 1.3

В данном методе вес наименее важного критерия принимается за 1, а веса остальных критериев выражаются через него с некоторыми коэффициентами (назначаются ЛПР).

Таблица 1.4

Лексикографическая оптимизация. Данный метод используется, если степень различия по важности отдельных критериев для ЛПР столь велика, что в начале сравниваются оценки по самому важному критерию и только если они совпали, то внимание обращается на следующий по важности критерий и т.д. (принцип жесткого приоритета). Метод предполагает решения последовательности связанных друг с другом однокритериальных задач:

Задачи решаются до тех пор, пока на очередном j-м шаге множество Xj не будет содержать ровно 1 альтернативу. Она и является решением. В случае, если пройдены все n-критериев и итоговое множество Xn содержит более одной альтернативы, то эти альтернативы являются равноценными и любая из них является решением задачи.

В данном методе однородность критериев не требуется, и метод гарантирует Парето-оптимальное решение.

Метод последовательных уступок. Данный метод относится к классу многошаговых. Предполагается, что критерии можно упорядочить по убыванию важности (приоритет при этом не жесткий).

На каждом шаге анализируется пара соседних по важности критериев с оценкой компромисса между потерями по более важному критерию и выигрышу по менее важному:

Из чего считается.

Из чего считается.

В данном методе однородность критериев не требуется. Если задача, решенная данным методом, имеет единственную оптимальную альтернативу, то решение является Парето-оптимальным. Если же задача имеет множество решений, то среди них имеются как Парето-оптимальные, так и не являющиеся таковыми. Поэтому для обеспечения корректности работы метода необходимо дополнительно исследовать множество решений с целью выделения Парето-оптимального.

Данный метод целесообразно использовать в тех случаях, когда различие по важности между критериями достаточно, чтобы при назначениях уступок можно было ограничиться учетом только попарной связи критериев, при этом величины уступок можно рассматривать как своеобразную меру отклонения приоритета критериев от жесткого лексикографического. Величины уступок в данном методе назначаются исходя из практических соображений, либо по результатам содержательного анализа задачи, либо методом проб и ошибок.

При подробном анализе представленных методик, становится ясно, что подходящим решением будет метод аддитивной свертки критериев. Данный выбор обусловлен простотой и наглядностью выполнения.

Таким образом, при построении модели угроз и модели нарушителя ИС, специалист сталкивается с множеством проблем: неясность в выборе методической рекомендации, отсутствием доступных и быстро действенных решений для разработки и необходимость постоянной актуализации разработанной модели.

Решить данную проблему универсальным решением не возможно, так как ИС и задачи выдвигаемые к ним очень разнообразны, а так же ресурсы которыми располагает специалист зачастую минимальны. По этому, оптимальным решением будет декомпозиция задачи на отдельные универсальные решения. Одним из таких решений может стать новый подход к построению модели нарушителя, использующий методику построения удовлетворяющую требования ФСТЭК и ФСБ России, а так же доступный интерфейс и актуальную обновляемую базу угроз.

Исходя из этого, целесообразным будет разработать продукт, включающий в себя следующие требования:

Глава 2. Формализация процесса построения модели нарушителя безопасности ИСПДн

Построение модели нарушителя при помощи методики, разработанной ФСТЭК России, заключается в проведении подробного анализа всех объектов защиты и фрагментов информационной системы, а так же создании, на основе полученных данных, инструмента поддержки состояния безопасности информации. Для этого на первом этапе построения модели определяются физические и логические границы информационной системы, в пределах которых реализуются меры по защите информации, и за которые ответственен оператор системы. На втором этапе построения происходит подробная проработка сценариев и кейсов событий, при которых могут быть реализованы угрозы в информационной системе. Данные предположения строятся на экспертных оценках специалистов в области информационной безопасности и при учете всех собранных характеристик об организационно-технических мерах обеспечения безопасности в информационной системе.

Главной задачей разработки модели нарушителя, является идентификация событий и лиц, в результате действия которых возможно нарушение конфиденциальности, целостности и доступности информации, содержащейся в информационной системе, и возникновение неприемлемых негативных последствий. Для выполнения этой задачи, в рамках данной методики, необходимо определить тип, вид, потенциал и мотивы нарушителя, а так же возможные способы реализации угроз безопасности информации. Для упрощения выбора характеристик нарушителя, в рассматриваемой методике находятся вспомогательные таблицы и списки с обобщенными данными о типах, видах и потенциалах нарушителей, которые представлены в документах методики [21].

Алгоритм последовательности действий, для построения модели нарушителя представлен на рисунке 2.1.

Рис. 2.1 Алгоритм построения модели нарушителя (ФСТЭК)

Модель нарушителя (Mn) формируется из комбинации атрибутов, таких как Тип(Ti), Вид(Vi), Потенциал(Po), Мотив(Mo), Возможности(Vu). Данным атрибутам в момент построения модели присваиваются выбранные при помощи экспертного анализа значения [17,18].

Таким образом, модель нарушителя можно представить в виде формулы следующего вида:

(1)

Последовательность процессов данной методики, согласно ФОРМУЛЕ, представлена в виде орграфа на рисунке 2.2.

Результатом построения такой модели становится таблица 2.1, в которой в структурированной форме представлены все возможные сценарии реализации угрозы и характеристики их исполнителей. Данная модель будет являться подразделом общего документа и включается в модель угроз безопасности информации.

Таблица 2.1. Пример модели нарушителя (ФСТЭК)

Построение модели нарушителя при помощи методики, разработанной ФСБ России, заключается в сборе сведений о мерах и средствах обеспечения безопасности информационной системы, в которых используются методы и средства криптографической защиты информации. На первом этапе данная методика предполагает проведение инвентаризации всех используемых организационно-технических мер способствующих предотвращению реализации угроз информационной безопасности. Так же необходимо определить физические и логические границы информационной системы, в пределах которых реализуются данные меры. Следующим этапом рассматриваемой методики становится проведение экспертной оценки и анализ собранных данных об информационной системе, результатом которой должен стать вывод об уровне компетентности предполагаемого нарушителя. При помощи вспомогательной таблицы возможностей, сделанный вывод о нарушителе, можно сопоставить с обобщенными возможностями нарушителей и тем самым определить предполагаемый уровень нарушителя в рамках разрабатываемой модели [10].

На основе собранных данных и полученной оценке нарушителя, становится возможным заполнение итоговой таблицы методики, в которой приведены уточненные возможности нарушителей и направления атак. При заполнении таблицы необходимо определить неактуальность применения той или иной угрозы, обосновав решение перечнем принятых противоборствующих мер.

Алгоритм последовательности действий, для построения модели нарушителя представлен на рисунке 2.3

Рис. 2.3 Алгоритм построения модели нарушителя (ФСБ)

Модель нарушителя (Mn) формируется из комбинации атрибутов, таких как Сведения (Sd), Обобщенные возможности нарушителя (Ovn), Утонченные возможности нарушителя (Uvn). Данным атрибутам в момент построения модели присваиваются выбранные при помощи экспертного анализа значения.

Таким образом, модель нарушителя можно представить в виде формулы следующего вида:

(2)

Последовательность процессов данной методики, согласно ФОРМУЛЕ, представлена в виде орграфа на рисунке. 2.4.

Результатом построения такой модели становится таблица 2.2., в которой в структурированной форме представлены все обоснования, делающие все возможные атаки нарушителей не актуальными. Данная модель будет являться подразделом общего документа и включается в модель угроз безопасности информации.

Таблица 2.2. Пример модели нарушителя ФСБ

Формализовав ранее упомянутые методики, предоставляется возможным привести их к общему виду, тем самым универсализировать процесс разработки модели нарушителя, приспособив его к различным условиям и обстоятельствам. Другими словами, объединить методики в одну, таким способом, чтобы результат её применения удовлетворял все требования необходимых нормативно-правовых документов и обеспечивал надежную защиту информации в информационной системе. Для этого необходимо привести все аналогичные информационные процессы в методиках к общему знаменателю, то есть определить на каких этапах рассматриваемых методик, мы совершаем одинаковые действия. Далее происходит подробный разбор таких процессов и определение оптимального способа объединения методик.

Как рассматривалось раннее, в обоих процессах построения модели нарушителя происходит определение возможностей нарушителя. В методике ФСТЭК это происходит на этапе установки потенциала предполагаемого нарушителя. На основе показателя потенциала, при помощи вспомогательных таблиц, происходит сопоставление его с предполагаемыми возможными способами реализации угроз. Стоит иметь в виду, что на данном этапе построения, определение указанных характеристик никак не зависит от экспертной оценки специалиста, так как такая процедура четко прописана в методике и не предусматривает альтернативных вариантов. Таким образом, данную процедуру можно считать системной и постоянной, а полученные значения – постоянными величинами. Итогом конкретной итерации становиться установленные значения потенциала (Po) и возможных способов реализации угроз (Vu), а далее полученные значения переносятся в модель нарушителя (Mn). Подробнее описываемый процесс представлен на рисунке 2.5, в нем наглядно продемонстрирована последовательность выполняемых действий в данной итерации.

Рис. 2.5 Процесс определения возможностей нарушителя по методике ФСТЭК

В методике ФСБ процесс определения возможностей нарушителя занимает основную часть работы всего построении модели. Рассмотрим подробнее данный процесс и приведем его к схожему графическому представлению, как на предыдущем РИСУНКЕ. Сама процедура определения возможностей нарушителя происходит на втором этапе методики. При помощи экспертной оценки сотрудника информационной безопасности, определяются обобщенные возможности нарушителя (Ovn), тем самым устанавливается предполагаемый уровень его компетентности и мотивации и обеспечения необходимыми для реализации угрозы ресурсами. Далее на основе полученного результата, при помощи вспомогательной таблицы из методики происходит сопоставление предполагаемого уровня нарушителя с предположениями об актуальности использования той или иной атаки, так как реализация угроз безопасности информации, обрабатываемой в информационных системах, определяется возможностями нарушителя. Таким образом, актуальность использования возможностей нарушителя определяет наличие соответствующих актуальных угроз. На основе полученных данных заполняется таблица уточненных возможностей нарушителя (Uvn). Итогом конкретной итерации становятся установленные значения обобщенных возможностей нарушителя (Ovn) и уточненные возможности нарушителя (Uvn), а далее полученные значения оформляются в виде таблицы (Mn). Данная таблица является сводной и подытоживает весь результат, а так же становится основной частью разрабатываемой модели нарушителя [12,13].

Подробнее описываемые процесс представлен на рисунке 2.6, в нем наглядно продемонстрирована последовательность выполняемых действий в данной итерации.

Проанализировав представленные выше процессы, можно сделать вывод, что данные итерации происходят под одним управлением, а механизмы, действующие на процесс в этом конкретном случае, работают аналогично. В обеих методиках результат окончания таких процессов непосредственно влияет на разрабатываемую модель нарушителя и является её важной частью. А так же можно заметить смысловую схожесть рассматриваемых процессов, итогом которых становится определение возможностей нарушителя. Таким образом, становится возможным привести эти методики к общему виду. Для этого сопоставим полученные при выполнении вышеописанных операций характеристики в одной схеме.

Результат комбинации последовательности процессов при совмещении операций по объединению возможностей нарушителя, представлен на рисунке 2.7.

Как показано на рисунке 2.7, информационные процессы при комбинировании рассматриваемых методик не противоречат друг другу, а получаемые данные при разработке модели не подменяют друг друга, наоборот, дополняют модель информативностью. Таким образом, результат совмещения методик можно представить в виде следующей формулы:

(1)

(2)

(3)

Для наглядности продемонстрируем алгоритм последовательности действий, при совмещении двух методик, и убедимся, что порядок выполнения процессов при реализации такой методики не нарушает процесс построения и соблюдает все необходимые структурные требования. Алгоритм представлен на рисунке 2.8.

В завершении, при совмещении методик, процесс определения потенциала нарушителя (Po) был объединен с процессом определения его обобщенных возможностей (Ovn), результатом при этом становится не предполагаемый уровень нарушителя, а вполне конкретный показатель потенциала, который удовлетворяет последующие требования построения как в методике ФСТЭК так и ФСБ. Так же были объединены процессы определения возможностей нарушителя (Vu) с уточненными возможностями нарушителя (Uvn), результатом такой консолидации становится общая таблица данных, в которой указываются все возможные сценарии, и кейсы событий при которых нарушитель будет иметь возможность реализовать атаку. А данные полученные из сведений (Sd) дополнят модель нарушителя информативностью, и упростят определение других характеристик при построении модели, то есть они будут основаны не только на исходных данных, но и будут подкреплены значением данного параметра.

В итоге были объединены Методические рекомендации по разработке нормативно-правовых актов, определяющих угрозы безопасности (ФСБ) и Методика определения угроз безопасности информации в информационных системах (ФСТЭК). Результатом стала комбинированная методика, удовлетворяющая всем необходимым требованиям вышеописанных документов и упрощающая построение модели нарушителя безопасности при разработке общей модели угроз информационной системы.

Для того чтобы подтвердить оптимальность разработанной методики, проведем оценку эффективности, рассматриваемых подходов построения модели нарушителя и выявим такой подход, чьи характеристики окажутся самыми лучшими.

Используя метод аддитивной свертки критериев, рассмотренный в главе 1.4, определим какая из методик обладает наилучшими характеристиками и получилось ли разработать такую методику построения модели нарушителя по средствам комбинирования методик ФСТЭК и ФСБ, которая будет эффективнее и функциональнее в применении [15,17].

Для определения наиболее оптимальной методики построения модели нарушителя, из вышеперечисленных работ, необходимо для начала определиться с критериями, по которым будут сравниваться альтернативы. В данном случае критериями являются следующие характеристики:

Все перечисленные характеристики входят в перечень оценки качества международного стандарта ISO 9126. Такой набор критериев считается стандартным и наиболее оптимальным при оценке автоматизированных систем, программных продуктов и различных методик, эффективность которых невозможно оценить критерием «Стоимость». Далее рассмотрим подробнее каждый критерий:

На основе данных критериев была произведена экспертная оценка рассматриваемых методик. В результате были получены следующие результаты (Таблица 2.3):

Для оценки степеней относительной важности (весов) критериев, используется пропорциональный метод, рассмотренный в главе 1.4. Наименее важным критерием является «Мобильность», поэтому он принимается за w. «Эргономичность» в два раза важнее, следовательно, присваиваем ей приоритет 2w. «Модифицируемость» – 3w , «Надежность» – 4w и «Функциональность» – 5w, «Эффективность» – 15w. Оценка весов критериев λj рассчитывается в Таблице 2.4.

Таблица 2.4

Теперь, основываясь на исходных данных об альтернативах и весах критериев, можно решить задачу воспользовавшись одним из методов для решения задач многокритериальной оптимизации. Наиболее подходящим является метод аддитивной свертки, принцип работы которой был рассмотрен в главе 1.4).

Нормировка критериев производится с помощью следующей формулы:

, где

– значение альтернативы по критерию,

– нормированное значение альтернативы по критерию,

– минимальное значение среди всех альтернатив по критерию,

– максимальное значение среди всех альтернатив по критерию.

Далее произведем нормировку критериев, результат которой приведен в Таблице 2.5.

Таблица 2.5

После нормировки критериев становится возможным, применяя операторы взвешенной аддитивной свертки к нормированным оценкам критериев и вычисленным значениям весов λj, получить следующие интегральные оценки средств защиты информации, представленные в Таблице 2.6.

Таблица 2.6

На основе полученных табличных результатов, можно сделать вывод, что методика построения модели нарушителя по средствам комбинирования методик ФСТЭК и ФСБ является наиболее эффективной в применении. Тем самым подтверждается, что разработанная методика обладает наилучшими характеристиками в сравнении с альтернативными работами, а также что применение данной методики будет оптимальным вариантом для разработки модели нарушителя.

В ходе разработки комбинированной методики построения модели нарушителя (Mn(Общая.)), формула её построения была приведена к следующему виду:

(3)

Таким образом, итоговая модель представляет собой множество данных, структурированных в определенном порядке, от структуры, которой будет зависеть вид получаемой на выходе модели нарушителя. Суть работы методики заключается в сборе и анализе исходных данных об информационной системе с последующим построением модели нарушителя на основании собранных данных и личных предпочтений исполнителя системы. В перечень таких предпочтений входит выбор условий, при которых разрабатываемая система получит свои персональные характеристики. Наряду с этим в методике присутствуют программные модули выбора характеристик модели, которые исполняются автоматически, основываясь на нормативных документах ФСТЭК и ФСБ. В общей сумме рассматриваемая методика проходит семь этапов принятия решений, от сбора исходных данных, до события построения готовой модели нарушителя.

В итоге, учитывая все варианты комбинаций принятых решений, на финише программы исполнителю может быть представлено 24 варианта типовых моделей с индивидуальными обоснованиями защищенности информационной системы <Sd>. Для наглядности представим процесс построения такой структуры модели, в виде дерева решений на рисунке 2.9. Данное дерево решений в полной мере описывает все информационные процессы и события, происходящие в разрабатываемой методике.

Рис. 2.9

Все оперируемые данные были представлены в виде параметров характеристик и записаны в виде формализованных математических переменных, где <Mn> - это модель нарушителя, <Mo> -мотивация, <Po> - потенциал, <Vu> - возможности, <Vi> - вид, <Ti> - тип, <Sd> - сведения, <Int> - возможность сговора, <Skzi> - наличие СКЗИ в АС, <Ovn> - обобщенные возможности нарушителя, <Uvn> - уточненные возможности нарушителя.

Были форматизированы методики построения моделей нарушителя ФСТЭК и ФСБ, с подробным описанием внутренних алгоритмов действий и последовательностью выполнения информационных процессов. Все оперируемые данные были представлены в виде параметров характеристик и записаны в виде формализованных математических переменных для упрощения представления процессов.

Так же была формализована разрабатываемая методика построения модели нарушителя путем комбинации Методик ФСТЭК и ФСБ. Как и в вышеописанных методиках было проведено описание внутренних алгоритмов действий и последовательность выполнения информационных процессов. Все оперируемые данные были представлены в виде параметров характеристик и записаны в виде формализованных математических переменных для упрощения представления процессов. В итоге была сформулирована общая формула, объединяющая множества переменных, которая будет использоваться для комбинирования рассматриваемых методик, и станет ядром разрабатываемой автоматизированной системы.

Произведена оценка эффективности методик, построения модели нарушителя информационной безопасности при помощи метода аддитивной свертки критериев. В результате, которой была определена наиболее эффективная методика построения модели нарушителя.

Итоговым результатом стало представление результатов формализованной работы методики в виде дерева решений, в котором были проиллюстрированы все информационные процессы, события и параметры.

Глава 3. Разработка структуры и состава основных компонентов автоматизированной системы

Разработка структурно-функциональной модели автоматизированной системы построения модели нарушителя безопасности, комбинированной методикой ФСТЭК и ФСБ представляет собой программно-технический процесс, направленный на обработку полученных данных, их структурирование и анализ, и дальнейшее построение оптимальной модели нарушителя, при использовании описанной выше методики. Результатом такого процесса становится полноценная модель нарушителя, в которой учтены все организационно-технические требования ФСТЭК и ФСБ России.

Как и любой процесс, в котором происходит передача и изменение информации, для предметности необходимо изобразить подробный алгоритм последовательности действий в разработанной методике. Данный метод состоит из последовательных этапов, на каждом из которых происходит ввод, анализ или изменение информации описывающей определенные параметры нарушителя. Далее для ясности, подробнее опишем все происходящие процессы и операции происходящие в этой методике.

Сама структурно-функциональная схема автоматизированной системы построения модели нарушителя безопасности, комбинированной методикой ФСТЭК и ФСБ представлена на рисунке 3.1.

Рис. 3.1. Структурно-функциональная схема автоматизированной системы

Модуль ввода исходных данных

На старте работы автоматизированной системы происходит формирование информационной базы исходных данных об информационной системе, её физических и логических границах, компонентах и свойствах. Именно такой процесс происходит на этапе ввода сведений и условий, при которых будет строиться модель нарушителя. На этой стадии, пользователю необходимо выбрать актуальные параметры информационной системы, для которой разрабатывается текущая модель, и обозначить условия, при которых данная модель будет эксплуатироваться.

Первым действием пользователя станет выбор обоснований осложняющих реализацию атаки на информационную систему. В таком списке представлены следующие наиболее распространенные и обобщенные обстоятельства:

Представленные обоснования подразумевают под собой реализованные в информационной системе организационно-технические меры способные нейтрализовать угрозу информационной безопасности. Формулировка обоснований позволяет расширить и универсализировать большой спектр характеристик разного рода информационных систем. Данная процедура отвечает за выбор параметра <Sd>, для последующего построения модели.

Далее пользователю необходимо сделать оценочный выбор уровня потенциала нарушителя. Данный выбор может быть произведен на основе группового мнения пользователей системы или же на экспертной оценке сотрудника ИБ. Сам список возможного уровня потенциала нарушителя выглядит так:

Выбрав один из возможных вариантов ответа, на основании сопоставления предполагаемого мнения о потенциале нарушителя с предоставленными вариантами, автоматизированная система распознает такой параметр как <(Ovn(Sd)+Po(Vi))> и передает значение для следующих расчетов в другие модули. Формулировка списка предполагаемых возможностей нарушителя основана на списке обобщенных возможностей из методических рекомендаций ФСБ.

После этого пользователю необходимо совершить ряд решений определяющих условия эксплуатации модели. Требуется оценить возможность реализации сговора среди нарушителей и принять решение о возможности такой инициативы. Под сговором в данной методике понимается предварительная договоренность группы лиц о реализации атаки на информационную систему, при совместном использовании своих ресурсов и возможностей. На основе приятого решения, автоматизированная система производит построение перечня потенциально возможных вариантов сговора среди предполагаемых нарушителей и передает результат в последующие модули.

Заключительным действием на данном этапе становится выбор пользователя, который определяет наличие средств криптографической защиты информации в информационной системе. Основываясь на полученном результате, происходит построение модели нарушителя. В зависимости от наличия таких средств, автоматизированная система передает указанный результат в модуль формирования модели нарушителя.

Модуль определения организационно-технических мер нейтрализующих угрозу безопасности

После формирования информационной базы исходных данных об информационной системе, происходит процесс определения организационно-технических мер нейтрализующих угрозу безопасности. На основе полученных значений параметра <Sd> происходит сопоставление обоснований неактуальности реализации атак в информационной системе со значением параметра уровня потенциала нарушителя. В зависимости от выбранных обоснований, автоматизированная система создает перечень мер обеспечения безопасности реализуемых в информационной системе и заносит его в результирующую Таблицу уточненных возможностей источников атак (Приложение 1). Итогом данной итерации становятся подготовленные характеристики параметра <Sd>.

Модуль определения обобщенных возможностей нарушителя

В представленном модуле происходит определения обобщенных возможностей нарушителя по средствам принятия пользовательского решения. Такое решение может быть получено на основе мнения группы пользователей системы или же на экспертной оценке сотрудника ИБ. Варианты уровней нарушителя представляют собой усредненные представления о возможностях нарушителя из методических документов ФСТЭК и ФСБ, таким образом, удовлетворяют все необходимые требования к построению модели. Как описывалось ранее, выбранное значение присваивается параметру <(Ovn(Sd)+Po(Sd))> и сопоставляется с параметром <Sd>. Полученный результат передается в следующий модуль, а итог сопоставления заноситься в результирующую Таблицу обобщенных возможностей источников атак и Таблицу уточненных возможностей источников атак (Приложение 1). Итогом данной итерации становятся подготовленные характеристики параметра <(Ovn(Sd)+Po(Sd))>.

Модуль определения вида и типа нарушителя

Далее происходит определение вида и типа нарушителя. Такой процесс осуществляется за счет полученных данных из прошлого модуля. На основе выбранного потенциала нарушителя, при помощи части методики ФСТЭК по определению характеристик нарушителя, определяются такие параметры как <Vi>и <Ti>. От полученных характеристик зависит точность и объективность создаваемой модели, так как итоговые значения используются для расчета последующих параметров. После определения таких характеристик, результат передается в следующий модуль. Итогом данной итерации становятся подготовленные характеристики параметров <Vi>и <Ti>.

Модуль определения потенциала нарушителя

В данном модуле происходит определение потенциала нарушителя безопасности информации. На текущей стадии осуществляется определение параметра <Po>, при помощи которого осуществляется дальнейшее построение модели и передача итоговых значений другим параметрам. Сам процесс установления потенциала нарушителя отличается от описанной выше операции установления параметра <(Ovn(Sd)+Po(Sd))>. В этом случае определяется значение от сопоставления параметров <Po> и <Vi>. Такой вариант реализации предусмотрен методикой и необходим для разработки модели при отсутствии вспомогательных параметров <Ovn(Sd)>, которые появляются только при наличии в информационной системе СКЗИ. Таким образом, данный модуль несет в себе вспомогательную функцию и никаким образом не прерывает работу других модулей. После определения характеристик параметра, результат передается в следующий модуль. Итогом данной итерации становятся подготовленные характеристики параметров <Po>.

Модуль формирования перечня нарушителей участвующих в сговоре

Действия данного модуля зависят от выбранного пользователя варианта построения модели нарушителя. После определения потенциала нарушителя, результат передается в последующий модуль, но на этапе проектирования модели реализована подсистема, отвечающая за формирования перечня нарушителей участвующих в сговоре. Такая подсистема реализуется только в том случае, если пользователем принято решение о потенциальной возможности сговора нарушителей, для реализации атаки на информационную систему. Данный выбор может быть произведен на основе группового мнения пользователей системы или же на экспертной оценке сотрудника ИБ. Основываясь на классификации нарушителей указанной в методическом документе ФСТЭК, при формировании перечня нарушителей участвующих в сговоре необходимо исходить из условий, что для повышения своих возможностей нарушители 1 вида могут вступать в сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Сама таблица с классификацией нарушителей представлена в Приложении 1. Итогом данной итерации становится подготовленный перечень нарушителей участвующих в сговоре.

Модуль определения возможных угроз безопасности информации

После установления потенциала нарушителя происходит определение возможных угроз безопасности информации, которые такой нарушителя может реализовать. Для этого при помощи части методики ФСТЭК по определению характеристик нарушителя, определяются такой параметр как <Vu>. Это происходит за счет сопоставления параметров <Po> и <Vu>, тем самым мы определяем сценарий или кейс событий, при котором могут быть реализованы определенные угрозы, в соответствии с установленным потенциалом нарушителя. Результат этой операции передается в следующий модуль, а итоговое значение записывается в общую модель нарушителя. Итогом данной итерации становятся подготовленные характеристики параметров < Vu >.

Так же в данном модуле реализован подмодуль определения возможных угроз безопасности информации за счет сопоставления установленного потенциала нарушителя с информацией об угрозах из базы данных УБИ ФСТЭК. Информация в данной БД является наиболее актуально и периодически обновляется. Результат такого подмодуля обособлено переносится в общую модель нарушителя.

Модуль определения уточненных возможностей нарушителя и направления атак

Данный этап является заключительным перед формирование готовой модели нарушителя. Для определения уточненных возможностей нарушителя и направления атак используются ранее полученные характеристики параметров <Sd> и <Ovn(Sd)>. При установлении обобщенных возможностей параметр <Ovn(Sd)>, который согласно методике комбинирования методологий ФСТЭК и ФСБ определяет необходимость обоснования неактуальности тех или иных возможностей нарушителя, формирует условия для заполнения итоговой таблицы по правилам разрабатываемой методики. Результат записывается в Таблицу уточнённых возможностей нарушителя и направления атак, а обоснования неактуальности переносятся из параметра <Sd>.

Итогом итерации становится таблица, в которой на уточненные возможности нарушителей приведены обоснования их неактуальности.

Модуль формирования модели нарушителя для ИСПДн без СКЗИ

Итогом разработанной модели нарушителя согласно методике комбинирования методологий ФСТЭК и ФСБ становится пакет документов, который состоит из сводных таблиц, куда записываются характеристики полученных при построении модели параметров. Состав пакета варьируется в зависимости от условий, которые были выдвинуты пользователем на этапе ввода исходных данных об информационной системе. Таких как возможность сговора нарушителей и наличие СКЗИ в информационной системе.

В данном модуле формируется модель нарушителя безопасности информации для информационной системы не использующей СКЗИ. Пакет документов для такой системы будет сформирован из общей таблицы модели нарушителя, в которой представлены следующие параметры: Вид (Vi), Тип (Ti), Потенциал (Po), Мотивы (Mo) и Возможности (Vu) нарушителя. Значения этих параметров так же были получены при построении модели или вводе исходных данных, а суммирующий результат удовлетворяет необходимые для модели нарушителя требования, описанные в нормативно-правовых документах. Так же в пакет документов входит обособленная таблица возможностей нарушителя, основанная на базе данных УБИ ФСТЭК. Такая таблица служит для актуализации и улучшения модели нарушителя.

Модуль формирования модели нарушителя для ИСПДн с СКЗИ

В данном модуле формируется модель нарушителя безопасности информации для информационной системы в которых используются СКЗИ. Пакет документов для такой системы будет сформирован из общей таблицы модели нарушителя, в которой представлены следующие параметры: Вид (Vi), Тип (Ti), Потенциал (Po), Мотивы (Mo) и Возможности (Vu) нарушителя. А так же из Таблицы обобщенных возможностей нарушителя и Таблицы уточненных возможностей нарушителя и направления атак с параметрами <Ovn(Sd)>, <Uvn(Sd)>, <Sd>. Значения всех параметров из перечисленных таблиц так же были получены при построении модели или вводе исходных данных, а суммирующий результат удовлетворяет необходимые для модели нарушителя требования, описанные в нормативно-правовых документах. Так же в пакет документов входит обособленная таблица возможностей нарушителя, основанная на базе данных УБИ ФСТЭК. Такая таблица служит для актуализации и улучшения модели нарушителя.

Частичной формой реализации компонентов информационного обеспечения в разработанной автоматизированной системе являются базы данных в распределенной или централизованной форме, организация данных которых обеспечивает их оптимальное использование.

Для обеспечения разработанной автоматизированной системы построения модели нарушителя путем комбинации методик ФСТЭК и ФСБ, используется База данных угроз информационной безопасности ФСТЭК [28].

Рис. 3.2. БД УБИ ФСТЭК

БД УБИ ФСТЭК представлена в виде обобщенного перечня основных угроз безопасности информации, потенциально опасных для информационных систем, которые не являются элементами иерархической классификационной системы угроз. Информация, размещенная в Базе данных угроз безопасности информации, является общедоступной и может распространяться на безвозмездной основе с указанием источника информации. А использование информации, размещенной в Базе данных угроз безопасности информации, в автоматизированных средствах контроля защищенности информации (сканерах безопасности), создаваемых и распространяемых в коммерческих целях, осуществляется по согласованию с ФСТЭК России. База данных угроз безопасности информации предназначен для заказчиков, операторов, разработчиков информационных (автоматизированных) систем и их систем защиты, разработчиков и производителей средств защиты информации, испытательных лабораторий и органов по сертификации средств защиты информации, а также иных заинтересованных организаций и лиц.

Глава 4. Разработка автоматизированной системы построения модели нарушителя информационной безопасности ИСПДн

Программное обеспечение «Автоматизированная система построения модели нарушителя информационной безопасности ИСПДн» – предназначено для формирования перечня данных в виде пакета таблиц о предполагаемом нарушителе информационной безопасности, его мотивах и возможностях, а также рекомендации по нейтрализации возможных угроз со стороны нарушителя.

Разработанная автоматизированная система представляет собой веб-инструмент созданный при помощи средств JavaScript, HTML, CSS. По этому, данный продукт поддерживает все операционные системы, которые оснащены интернет браузерами следующих версий:

Таблица 4.1. Версии интернет браузера.

Разработанное программное обеспечение предоставляет следующие функциональные возможности:

Системные характеристики для построения модели нарушителя путем комбинации методик ФСТЭК и ФСБ носит рекомендационный характер и применяется в тех случаях, когда пользователь не является специалистом в области информационной безопасности, либо когда необходимо сэкономить время на выбор средств защиты исследуемой автоматизированной системы.

Так как разработанная автоматизированная система представляет собой веб-инструмент, то для начала работы с программой, необходимость в специализированном техническом и программном обеспечении отсутствует. Для стабильной работы продукта достаточно лишь персонального компьютера или мобильного устройства оснащенного интернет браузером версией не ниже, чем указанно в общей характеристике. В дальнейшем описании, автоматизированная система будет именоваться как – «сайт».

Для того чтобы приступить к работе с разработанной автоматизированной системой построения модели нарушителя путем комбинирования методик ФСТЭК и ФСБ, необходимо в интернет браузере указать следующий URL-адрес: http://intruder-model.mcdir.ru. По данной ссылке происходит переход к разработанной автоматизированной системе, где непосредственно и осуществляется построение модели нарушителя.

При переходе по указанной ссылке открывается главное меню сайта, в котором представлено название разработанного проекта, пункты подменю и ссылки на автора продукта и учебное заведение, на базе которого данный продукт был разработан. Более наглядная информация представлена на рисунке 4.1.

Рис. 4.1. Главное меню

Рассмотрим все пункты подменю главной страницы и дадим краткое пояснение для каждого:

О проекте – в данном подразделе находится подробное описание проекта, его целей и объектов исследования, информация об этапах разработки и задачах, которые представленный продукт может разрешить, а также приведены доводы актуальности такой разработки.

Методы – в представленном подразделе содержится информация о методах построения модели нарушителя и создании модели угроз в целом. Разъяснены принципы работы существующих методов в форматизированном виде, а так же проведен их сравнительный анализ. Так же представлена информация о разработанной методике, проведена формализация и описаны принципы её работы. Кроме того в подразделе присутствует общая справка о методиках построения модели угроз и информационной безопасности автоматизированных систем.

Правила – в данном разделе в наглядной форме разъяснены правила работы с автоматизированной системой построения модели нарушителя путем комбинирования методик ФСТЭК и ФСБ. Объяснены принципы выполнения построения модели, заполнения форм и других необходимых действий. Также даны ответы на часто задаваемые вопросы, возникающие при работе с данным продуктом.

Конструктор – главный подраздел, в котором размещаются все модули построения модели нарушителя описанные в главе 3.2. В этой части программы размещены анкетные формы для заполнения пользователем, на основании которых происходит анализ полученных данных и происходит непосредственное построение. Далее рассмотрим подробнее анкетные формы данного раздела, чтобы наглядно продемонстрировать порядок работы с автоматизированной системой.

Первой анкетной формой для сбора информации об информационной системе является анкета «обоснований». В такой анкете пользователю предлагается выбрать те обоснования осложняющие реализацию атаки на информационную систему, которые реализованы на объекте использования. Список обоснований представляет собой обобщенный перечень мер затрудняющих реализацию атак на информационные системы, согласно методическим документам ФСТЭК и ФСБ. Данные обоснования вкупе с выбранным потенциалом нарушителя, представляют широкий анализ портрета нарушителя. Форма выбора обоснований представлена на рисунке 4.2.

Далее пользователю предстоит сделать выбор о предполагаемых возможностях нарушителя в следующей анкетной форме. Данная анкета представляет собой перечень обобщенных возможностей нарушителя, основанный на методических документах ФСТЭК и ФСБ. Такой список соответствует представлению ФСБ о возможностях нарушителя, но при разработке методике было определено что, представления ФСЭК о потенциале нарушителя смежные по значению. Таким образом, происходит сбор данных о возможностях нарушителя, анализ которых в дальнейшем, помогает при построении модели нарушителя. Форма выбора обобщенных возможностей нарушителя представлена на рисунке 4.3.

Рис. 4.3. Выбор возможностей нарушителя.

После определения возможностей нарушителя, пользователю предлагается заполнить следующую анкетную форму, в которой рассматривается предположение о возможности сговора среди предполагаемых нарушителей информационной безопасности. Пользователю необходимо подтвердить или отклонить такое предположение. В зависимости от результата выбора, автоматизированная система производит построение предполагаемых связей между потенциальными нарушителями и анализирует возможные схемы сговора, затем вводит полученные данные в общую модель нарушителя. Форма выбора возможности сговора среди предполагаемых нарушителей представлена на рисунке 4.4.

Рис. 4.4. Выбор возможности сговора.

Последним этапом ввода данных для построения модели нарушителя станет анкетная форма, в которой пользователю предлагают определить аппаратно-технический состав обеспечительных мер безопасности в информационной системе. Пользователь принимает решение о необходимости применения криптографических средств защиты информации в информационной системе. В зависимости от результата, автоматизированная система построения модели нарушителя, на основе собранных данных подготавливает пакет документов, в котором в виде таблиц представлена, соответствующая информационной системе, модель нарушителя информационной безопасности. Форма выбора необходимости применения криптографических средств защиты информации в информационной системе представлена на рисунке 4.5.

Рис. 4.5. Выбор наличия СКЗИ в ИС.

После заполнения всех анкетных форм, для получения готовой модели нарушителя пользователю необходимо в форме «Создать модель нарушителя» нажать на кнопку «Создать». При нажатии на данную кнопку произойдет скачивание подготовленного пакета документов. Скаченный пакет документов представляет собой файл в формате XML, в котором в виде таблиц представлена разработанная модель нарушителя информационной безопасности. Форма для скачивания готовой модели нарушителя представлена на рисунке 4.6.

Рис. 4.6. Создание модели нарушителя.

В итоге после заполнения всех форм на сайте, пользователю предоставляется персонализированная модель нарушителя информационной безопасности, разработанная с учетом всех необходимых требований со стороны ФСТЭК и ФСБ, которая в дальнейшем может быть использована как часть общей модели угроз.

Для наглядности использования данного продукта, предоставим разработанную модель нарушителя информационной безопасности ИСПДн ООО «СОФТ-АЛЬЯНС». Информационная система данной организации осуществляет обработку персональных данных граждан и осуществляет передачу такой информации по зашифрованным каналам связи при помощи средств криптографической защиты информации. Таким образом, данному предприятию для осуществления производственной деятельности необходимо наличие лицензии на осуществление обработки персональных данных в информационной системе от ФСТЭК России и ФСБ России.

Для осуществления построения модели нарушителя информационной безопасности ИСПДн предприятия была собрана подробная информация о физических и логических границах информационной системы. Были описаны все применяемые меры для обеспечения предотвращения реализации угроз на ИСПДн, а также определены предполагаемые возможности нарушителя информационной безопасности на основе экспертных оценок сотрудников предприятия. Полученные данные были занесены в автоматизированную систему построения модели нарушителя информационной безопасности для дальнейшей разработки модели нарушителя. В итоге на старте работы АС имела следующие параметры:

Обоснований осложняющие реализацию атаки на информационную систему:

Предполагаемый уровень потенциала нарушителя: Нарушитель действующий самостоятельно за пределами КЗ.

Возможность сговора среди нарушителей – подтверждена.

Использование криптографический средств защиты информации в информационной системе – подтверждено.

На основании представленных данных осуществляется разработка модели нарушителя информационной безопасности ИСПДн «СОФТ-АЛЬЯНС». Согласно структурно-функциональной схеме, разработка нарушителя будет производится согласно алгоритмам заложенным в модулях автоматизированной системы, подробный процесс работы которых описан в 3 главе. Итоговая модель нарушителя информационной безопасности ИСПДн представлена в приложении 1, а результаты её опытной эксплуатации представлены в параграфе 4.4.

Диссертация была подготовлена на кафедре «Системы информационной безопасности» Брянского государственного технического университета, где прошло ее рецензирование и обсуждение.
Основные положения, теоретические выводы и практические рекомендации докладывались автором на всероссийских научно-практических конференциях: Материалы 72-й студенческой научной конференции, Материалы 73-й студенческой научной конференции, Материалы 10-й Межрегиональной научно-практической конференции.

Структура работы обусловлена целью и задачами настоящей работы. Она состоит из введения, четырех глав и шестнадцати параграфов включительно, заключения, списка использованных нормативно-правовых источников и литературы, приложения.

Для проведения опытной эксплуатации автоматизированной системы были выбрана организация ООО «СОФТ-АЛЬЯНС».

В ООО «СОФТ-АЛЬЯНС» объектом исследования актуальности применения АС явилась информационная система, в которой обрабатывались персональные данные с многопользовательским доступом к информации и различными правами доступа, а также осуществлялось шифровании информации криптографическими средствами защиты информации. Таким образом, действующая ИСПДн должна иметь разработанную модель нарушителя информационной безопасности, удовлетворяющую требованиям ФСТЭК, а также модель удовлетворяющую требованиям ФСБ. Основным критерием, по которому принималось решение о целесообразности применения АС, стало время, затрачиваемое на построение модели нарушителя информационной безопасности ИСПДн

На рисунке 4.7 показан анализ результатов опытной эксплуатации АС для ООО «СОФТ-АЛЬЯНС».

Рис. 4.7 Сравнение затраченного времени на построение модели нарушителя информационной безопасности ИСПДн

Таким образом, исходя из графиков, можно судить о том, что применение АС позволило разработать модель нарушителя информационной безопасности эффективнее, в сравнении с аналогичными методиками. Поэтому автоматизированная система построения модели нарушителя информационной безопасности представляет актуальность для многих ИСПДн и удовлетворяет всем требованиям законодательства РФ.

Заключение

Итогом проделанной работы стала автоматизированная система построения модели нарушителя информационной безопасности ИСПДн, которая в полной мере решает все поставленные перед ней задачи и удовлетворяет всем нормативным требованиям со стороны органов исполнительной власти.

Разработанная автоматизированная система представлена в виде веб-инструмента, что дает ей множество преимуществ, среди аналогичных продуктов, а структура программы позволяет модернизировать и расширять функциональные возможности продукта в дальнейшем.

Разработанная автоматизированная система предоставляет следующие преимущества:

В рамках работы были решены следующие задачи:

Список используемой литературы

Приложение

Приложение 1

Модель нарушителя информационной безопасности ИСПДн «СОФТ-АЛЬЯНС»

Анализ возможностей, которыми может обладать нарушитель, проводится в рамках модели нарушителя. При разработке модели нарушителя зафиксированы следующие положения:

На основе данных положений было произведено автоматизированное построения модели нарушителя безопасности информации ИСПДн в котором были разработаны таблицы; Обоснования осложняющих реализацию атаки на ИС, Уточненные возможности нарушителей и направление атак, Обобщенные возможности источников атак. Данные таблицы компонуются в пакет документов называемый «Моделью нарушителя информационной безопасности ИСПДн» и предоставляются пользователю по окончанию работы с автоматизированной системой. Полученная модель удовлетворяет всем необходимым требованиям законодательства РФ и может служить составной частью модели угроз предприятия в дальнейшем.

Таблица 5.1. Модель нарушителя информационной безопасности.

Таблица 5.2. Уточненные возможности нарушителей и направление атак.

Таблица 5.3. Обобщенные возможности источников атак.