Оценим уровень защищенности при использовании следующих средств защиты: МЭ, VPN-шлюз, сервер обновлений и сервер антивирусной защиты. Оценка приведена в таблице 4.2. В этом случае уровень защищенности будет следующим D = 0.760958*100% = 76 %. Стоимость такого решения составит порядка 20000 грн [35].
В качестве альтернативного набора средств будем использовать МЭ, VPN-шлюз, и систему IDS (таблица 4.3). Для такой системы уровень защиты будет равняться D = 0.697539*100% = 69 %. Стоимость второго решения будет составлять 35000-40000 грн [35].
Таблица 4.2. Таблица вероятностей отражения угроз СЗИ состоящей из 4 компонентов: МЭ, VPN-шлюз, сервер обновлений и сервер антивирусной защиты.
| Вероятность отражения угрозы с учетом средств защиты | Общая вероятность | Ci | Ci*(1-pi) | |||||
| Вид уязвимости | Средство защиты | Межсетевой экран/NAT | VPN шлюз | Сервер обновлений | IDS | Антивирус | Ущерб, грн | |
| Троянские кони | 0,95 | 0,95 | 30000 | 1500 | ||||
| Вирусы | 0,90 | 0,9 | 10000 | 1000 | ||||
| DoS | 0,80 | 0,99 | 0,998 | 5000 | 10 | |||
| DDoS | 0,60 | 0,80 | 0,92 | 5000 | 400 | |||
| Макро вирусы | 0,60 | 0,6 | 30000 | 12000 | ||||
| Уязвимости ПО или ошибки | 0,90 | 0,9 | 25000 | 2500 | ||||
| IP Spoofing | 0,70 | 0,99 | 0,997 | 20000 | 60 | |||
| DNS Spoofing | 0 | 25000 | 25000 | |||||
| WEB Spoofing | 0 | 10000 | 10000 | |||||
| Захват сетевых подключений | 0,50 | 0,99 | 0,995 | 25000 | 125 | |||
| Различные виды сканирования сети | 0,60 | 0,6 | 5000 | 2000 | ||||
| Недоступность данных | 0 | 5000 | 5000 | |||||
| Нарушение конфиденциальности данных | 0,95 | 0,30 | 0,965 | 45000 | 1575 | |||
| Некорректные параметры заголовков пакетов и запросов | 0,7 | 0,5 | 0,85 | 9000 | 1350 | |||
| Автоматический подбор паролей (login) | 0,75 | 0,75 | 35000 | 8750 | ||||
| Атаки на протоколы | 0,5 | 0,5 | 10000 | 5000 | ||||
| Неэффективный мониторинг событий безопасности в КИС | 0,3 | 0,3 | 25000 | 17500 | ||||
| Монополизация канала | 0,6 | 0,6 | 4000 | 1600 | ||||
| Неавторизованное использование прав(маскарадинг) | 0,3 | 0,3 | 30000 | 21000 | ||||
| Манипуляция данных и ПО | 0,5 | 0,6 | 0,6 | 0,92 | 25000 | 2000 | ||
| Неконтролируемое использование ресурсов | 0,5 | 0,6 | 0,3 | 0,6 | 0,944 | 30000 | 1680 | |
| Потеря конфиденциальности важных данных в UNIX системах | 0,7 | 0,8 | 0,5 | 0,97 | 31000 | 930 | ||
| Неавторизованное использование ИТ системы | 0,6 | 0,7 | 0,3 | 0,66 | 0,97144 | 40000 | 1142,4 | |
| Прослушивание сети | 0,9 | 0,9 | 40000 | 4000 | ||||
| Злоупотребление правами пользователей и администраторов | 0,1 | 0,1 | 0,19 | 10000 | 8100 | |||
| Вредоносное ПО :spyware, adware | 0,95 | 0,95 | 38000 | 1900 | ||||
| Переполнение буфера | 0,8 | 0,8 | 15000 | 3000 | ||||
| 582000 | 139122,4 | |||||||
| Уровень защищенности | 0,76095808 | |||||||
Стоит отметить что снижение производительности, оказываемое системой защиты на КИС находится в пределах допустимых 10 процентов [32]. В нашем случае уровень производительности системы задается каналом доступа в сеть интернет. Для подключения к сети интернет вполне достаточной для нашей модели КИС является скорость 10 мбит/с. Все средства, используемые для защиты работают со скоростью значительно превышающей 10 мбит/с [18,36] и таким образом оказывают минимальное влияние на производительность системы.
Таблица 4.3. Таблица вероятностей отражения угроз СЗИ состоящей из 3 компонентов: МЭ, VPN-шлюз, система IDS.
| Вероятность отражения угрозы с учетом средств защиты | Общая вероятность | Ci | Ci*(1-pi) | |||||
| Вид уязвимости | Средство защиты | Межсетевой экран/NAT | VPN шлюз | Сервер обновлений | IDS | Антивирус | Ущерб, грн | |
| Троянские кони | 0 | 30000 | 30000 | |||||
| Вирусы | 0 | 10000 | 10000 | |||||
| DoS | 0,80 | 0,99 | 0,99 | 0,99998 | 5000 | 0,1 | ||
| DDoS | 0,60 | 0,80 | 0,95 | 0,996 | 5000 | 20 | ||
| Макро вирусы | 0 | 30000 | 30000 | |||||
| Уязвимости ПО или ошибки | 0 | 25000 | 25000 | |||||
| IP Spoofing | 0,70 | 0,99 | 0,93 | 0,99979 | 20000 | 4,2 | ||
| DNS Spoofing | 0,90 | 0,9 | 25000 | 2500 | ||||
| WEB Spoofing | 0,50 | 0,5 | 10000 | 5000 | ||||
| Захват сетевых подключений | 0,50 | 0,99 | 0,90 | 0,9995 | 25000 | 12,5 | ||
| Различные виды сканирования сети | 0,60 | 0,90 | 0,96 | 5000 | 200 | |||
| Недоступность данных | 0,85 | 0,85 | 5000 | 750 | ||||
| Нарушение конфиденциальности данных | 0,95 | 0,95 | 45000 | 2250 | ||||
| Некорректные параметры заголовков пакетов и запросов | 0,7 | 0,8 | 0,94 | 9000 | 540 | |||
| Автоматический подбор паролей (login) | 0,75 | 0,9 | 0,975 | 35000 | 875 | |||
| Атаки на протоколы | 0,8 | 0,75 | 10000 | 2500 | ||||
| Неэффективный мониторинг событий безопасности в КИС | 0,3 | 0,7 | 0,79 | 25000 | 5250 | |||
| Монополизация канала | 0,6 | 0,9 | 0,96 | 4000 | 160 | |||
| Неавторизованное использование прав(маскарадинг) | 0,3 | 0,9 | 0,93 | 30000 | 2100 | |||
| Манипуляция данных и ПО | 0,5 | 0,3 | 0,65 | 25000 | 8750 | |||
| Неконтролируемое использование ресурсов | 0,5 | 0,6 | 0,8 | 0,96 | 30000 | 1200 | ||
| Потеря конфиденциальности важных данных в UNIX системах | 0,7 | 0,8 | 0,94 | 31000 | 1860 | |||
| Неавторизованное использование ИТ системы | 0,6 | 0,7 | 0,8 | 0,976 | 40000 | 960 | ||
| Прослушивание сети | 0,9 | 0,9 | 40000 | 4000 | ||||
| Злоупотребление правами пользователей и администраторов | 0,1 | 0,1 | 0,19 | 10000 | 8100 | |||
| Вредоносное ПО :spyware, adware | 0,5 | 0,5 | 38000 | 19000 | ||||
| Переполнение буфера | 0 | 15000 | 15000 | |||||
| 582000 | 176031,8 | |||||||
| Уровень защищенности | 0,697539863 | |||||||
Из проведенного анализа можно выделить как более эффективный первый набор СЗИ, так как он обеспечивает больший уровень защищенности и при этом требует меньших капиталовложений. С помощью методики мы определили, что для данного примера КИС наиболее оптимальным решением по защите будет являться набор средств состоящий из: МЭ, VPN-шлюза, антивирусного сервера и сервера обновлений ПО. Если при анализе будет использоваться значительно большее количество вариантов СЗИ, для выбора наиболее эффективного может использоваться метод последовательных уступок, который был описан в предыдущем разделе.
Выводы
В магистерской работе была разработана методика, позволяющая оценить уровень защищенности КИС. Результатом методики является количественная оценка уровня защищенности. В результате количественной оценки можно более точно сравнивать несколько вариантов защиты и таким образом выбирать наиболее эффективный. На вход методики подаются вероятности реализации угроз и уязвимостей относительно защищаемой КИС, стоимость защищаемых ресурсов (оценка потери в случае выхода из строя информационного ресурса) и частота угроз каждого вида в общем потоке угроз. Вводятся ограничения на стоимость СЗИ и снижение уровня производительности системы, оказываемое СЗИ. На выходе методики получаем количественную оценку защищенности для всей СЗИ в целом.
На первом шаге составляется список угроз, характеризующий ИС со стороны информационной безопасности, определяем вероятности угроз и вероятности отражения угроз системой защиты, стоимость информационных ресурсов.
На втором шаге вводятся ограничения на стоимость СЗИ и на снижения уровня производительности КИС, оказываемое на КИС системой защиты.
На третьем шаге производится оценка по математическим формулам общего уровня защищенности КИС обеспечиваемого выбранными средствами защиты.
На четвертом шаге из множества вариантов защиты оцененных по методике выбирается тот, который максимально соответствует требованиям и не выходит за рамки вводимых ограничений.
Фактически уровень защищенности определяется как отношение рисков в защищенной системе к рискам незащищенной системе. В методику положен подход оценки систем при помощи рисков. Подход на основе рисков сейчас внедряется в многие области информационной безопасности так как он позволяет более точно описывать информационные ресурсы через характерные им уязвимости, стоимость самих ресурсов, и ранжировать риски и соответственно информационные ресурсы по степени критичности для деятельности организации.
К преимуществам методики следует отнести простоту ее реализации, распространённый математический аппарат, доступность для понимания.
В качестве недостатков можно отметить в первую очередь то, что методика не учитывает особенностей функционального взаимодействия средств защиты. Примером сказанного может выступать случай, когда устройство VPN доступа находится за антивирусным шлюзом и последний не может проверять зашифрованный трафик. Для разрешения такой ситуации требуется более детальная проработка средств защиты и их совместимости на начальных этапах проектирования СЗИ.
Таким образом, разработанная методика может использоваться для определения обеспечиваемого уровня защиты СЗИ, как на начальных этапах проектирования СЗИ так и на стадии оценки уровня защиты уже существующих систем с целью их модификации или при проведении аудита. Разработанная методика может применяться для оценки уровня защищенности организаций всех сфер деятельности, так как она характеризует информационную систему со стороны рисков и соответственно может быть конкретизирована под конкретную организацию. Степень конкретизации зависит от уровня зрелости организации, специфики ее деятельности, требуемого уровня защищенности и модели злоумышленника и прочих факторов. То есть в каждом конкретном случае методика может быть адаптирована под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса.