Исследование уровня защиты и эффективности применения средств защиты корпоративных сетей (стр. 15 из 21)

R(p) = С_инф*р_взл.

По существу, параметр риска здесь вводится как мультипликативная свертка двух основных параметров защищенности.

С другой стороны, можно рассматривать риск как потери в единицу времени:

R(l)=С_инф*l_взл ,

где l_взл — интенсивность потока взломов (под взломом будем понимать удачную попытку реализации угрозы информации).

Эти две формулы связаны следующим соотношением:

где

— общая интенсивность потока несанкционированных попыток нарушения основных свойств информации злоумышленниками.

В качестве основного критерия защищенности будем использовать коэффициент защищенности (D), показывающий относительное уменьшение риска в защищенной системе по сравнению с незащищенной системой.

, (3.3)

где R_защ – риск в защищенной системе;

R_нез – риск в незащищенной системе.

Таким образом, в данном случае задача оптимизации выглядит следующим образом:

Для решения этой задачи сведем ее к однокритериальной посредством введения ограничений. В результате получим:

где Ц_зад и П_зад – заданные ограничения на стоимость системы защиты и производительность системы.

Целевая функция выбрана исходя из того, что именно она отражает основное функциональное назначение системы защиты — обеспечение безопасности информации.

Производительность системы П_сзи рассчитывается с применением моделей и методов теории массового обслуживания и теории расписаний (в зависимости от того, защищается ли система оперативной обработки, либо реального времени) [32]. На практике возможно задание ограничения по производительности (влияние на загрузку вычислительного ресурса защищаемой системы) не непосредственно в виде требуемой производительности системы, а как снижение производительности (dП_сзи) информационной системы от установки системы защиты. В этом случае задача оптимизации будет выглядеть следующим образом:

или после сведения ее к однокритериальной:

где Ц_зад и dП_зад — заданные ограничения на стоимость системы защиты и снижение производительности.

Заметим, что на наш взгляд, именно такой принцип сведения задачи к однокритериальной целесообразен [32], т.к. в любом техническом задании на разработку системы защиты указывается, в какой мере система защиты должна оказывать влияние на производительность системы. Как правило, внедрение системы защиты не должно снижать производительность системы более чем на 10%. Кроме того, обычно вводится ограничение на стоимость системы защиты.

Если рассчитанное значение коэффициента защищенности (D) не удовлетворяет требованиям к системе защиты, то в допустимых пределах можно изменять заданные ограничения и решить задачу методом последовательного выбора уступок пример которого будет рассмотрен ниже. При этом задается приращение стоимости и снижение производительности:

Ц*_зад= Ц_зад + DЦ ,

П*_зад= П_зад - DП или dП*зад =dП_зад+ DdП.

В таком виде задача решается в результате реализации итерационной процедуры путем отсеивания вариантов, не удовлетворяющих ограничительным условиям, и последующего выбора из оставшихся варианта с максимальным коэффициентом защищенности.

Теперь выразим коэффициент защищенности через параметры угроз. В общем случае в системе присутствует множество видов угроз. В этих условиях зададим следующие величины:

W – количество видов угроз, воздействующих на систему;

– стоимость (потери) от взлома i-того вида;

– интенсивность потока взломов i-того вида, соответственно;

–вероятность появления угроз i-того вида в общем потоке попыток реализации угроз, причем ;

– вероятность отражения угроз i-того вида системой защиты. Соответственно, для коэффициента потерь от взломов системы защиты имеем:

,

где R_i(p) – коэффициент потерь от взлома i-того типа; показывает, какие в среднем потери приходятся на один взлом i-того типа. Для незащищенной системы P_{угр i} = Q_i , для защищенной системы

P_{угр i} = Q_i*(1-p_i).

Соответственно, для коэффициента потерь от взломов системы защиты в единицу времени имеем:

,

где

– коэффициент потерь от взломов i-того типа в единицу времени.

Для незащищенной системы

, для защищенной системы . Соответственно, из (3.3) имеем:

. (3.4)

Если в качестве исходных параметров заданы вероятности появления угроз Q_iто коэффициент защищенности удобно считать через вероятности появления угроз. Если же в качестве исходных параметров заданы интенсивности потоков угроз l_i , то, естественно, коэффициент защищенности считается через интенсивность.

Очевидно, что при использовании любого математического метода проектирования системы защиты необходимо задавать определенные исходные параметры для оценки ее защищенности. Однако именно с этим связаны основные проблемы формализации задачи синтеза системы защиты. Поэтому мы отдельно рассмотрим основные пути решения данной задачи, рассмотрим возможные способы задания вероятностей и интенсивностей угроз.

3.4 Задание входных параметров системы для методики

3.4.1 Способы задания интенсивностей и вероятностей угроз

Основной проблемой проведения количественной оценки уровня защищенности является задание входных параметров для системы защиты — вероятностей и интенсивностей угроз. Рассмотрим возможные способы задания вероятностей и интенсивностей угроз.

1.Метод статистической оценки l_i(Q_i) и p_i.

Основным способом задания интенсивностей потоков угроз l_i (вероятностей угроз Q_i) и вероятностей взломов p_iявляется получение этих значений на основе имеющейся статистики угроз безопасности информационных систем, в которых реализуется система защиты. Если существует статистика для аналогичной информационной системы, то задавать исходные параметры для оценки защищенности можно на ее основе. При этом желательно, чтобы сходные информационные системы эксплуатировалась на предприятиях со сходной спецификой деятельности.

Однако при практической реализации такого подхода возникают следующие сложности. Во-первых должен быть собран весьма обширный материал о происшествиях в данной области. Во-вторых данный подход оправдан далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если же система сравнительно невелика и эксплуатирует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз могут оказаться недостоверными

Заметим, что статистика угроз периодически публикуется достаточно авторитетными изданиями, т.е. всегда существуют исходные данные для использования данного подхода для большинства приложений средств защиты информации. Обычно эта статистика доступна в Интернете на сайтах специализированных организаций.

Если же необходимая статистика по угрозам безопасности отсутствует, то можно воспользоваться одним из других подходов, описанных далее.

2.Оптимистически-пессимистический подход. В рамках данного подхода предусмотрено два разных способа.

Первый способ — это способ равных интенсивностей "l_i = a , a = const. При этом способе для расчета защищенности константа а может быть выбрана любой. В формуле (3.4) она будет вынесена за скобки и в конечном итоге сократится, так что защищенность в данном случае будет зависеть только от потерь:

(3.5)

Второй способ — это способ пропорциональности потерям

l_i = a*C_i , a = const. При этом способе предполагается, что чем больше потери от взлома, тем чаще осуществляются попытки несанкционированного доступа к этой информации. То есть интенсивности потоков угроз прямо пропорциональны потерям. В этом случае защищенность будет зависеть от квадрата потерь:

(3.6)

3. Метод экспертной оценки. Экспертная оценка исходных параметров для расчета защищенности может осуществляться с использованием так называемой дельфийской группы. Дельфийская группа — это группа экспертов, созданная в целях сбора информации из определенных источников по определенной проблеме.

При этом необходимо задать лингвистический словарь возможных оценок экспертов, определить набор вопросов и условных значений квалификаций отдельных экспертов. После определения всех входных переменных производится поочередный опрос каждого эксперта. После опроса всех экспертов с учетом их квалификации определяется общая оценка группы и согласованность (достоверность) ответов для каждого вопроса.