Разработка методов оценки эффективности систем защиты информации в распределенных информационных системах специального назначения тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Чемин, Александр Александрович

С распространением информационных технологий организации становятся все более зависимыми от информационных систем и услуг, а, следовательно, все более уязвимыми по отношению к угрозам безопасности. Сетевая архитектура превратилась в распределенные вычислительные среды, где безопасность стала зависеть от всех ее элементов, так как для ее нарушения стало достаточным получить доступ к одному из них.

В особенности это стало чувствительным для ключевых систем информационной инфраструктуры (КСИИ) или, как их еще называют, критически важных информационных систем (КВИС), от безопасного функционирования которых зависит не только конфиденциальность, но и управление объектами, нарушение функционирования которых может привести к чрезвычайной ситуации или значительным негативным последствиям. При этом, с повышением оперативности выполнения задач, решаемых в КВИС, существенно снизились требования к конфиденциальности обрабатываемой информации, так как время её актуальности стало несопоставимо со временем возможной реакции и ответных действий.

КВИС, а также другие системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из категорий безопасности информации, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий), получили названия - специальные информационные системы (СпецИС). К СпецИС, также отнесены информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья граждан, а также те, в которых предусмотрено принятие на основании исключительно автоматизированной обработки решений, порождающих юридические последствия1.

Одним из наиболее важных критериев отнесения ИС к СпецИС является

1 Приказ ФСТЭК, ФСБ п Мининформсвязи от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка классификации информационных систем персональных данных». то, что построение их средств защиты информации (СЗИ) базируется не на типовых требованиях, установленных в зависимости от класса защищенности (безопасности) АС (ИС), а в зависимости от угроз, которые могут быть реализованы в результате нарушения характеристик безопасности информации.

Для нейтрализации таких воздействий к СпецИС стали предъявляться новые требования по созданию систем обнаружения компьютерных атак (СОКА) или обнаружения вторжений (СОВ), анализа защищенности (САЗ) и т.д.

Одним из ключевых показателей СпецИС стала адекватность функционирования подсистемы защиты. Нарушение параметров ее адаптивной настройки, несоответствующих предметной области применения, оргструктуре, политике безопасности организации и потребностям пользователя, может привести как к нарушениям безопасности информации, так и блокировке доступа пользователей. При этом потери, как от нарушения безопасности функционирования подобных систем, так и от снижения их характеристик за счет применения средств защиты информации, могут иметь вполне реальное финансовое выражение.

Диссертация опирается на результаты работ Костогрызова А.И., Зегжды Д.П., Щербакова А.Ю., Домарева В.В., Галатенко А., а также на труды зарубежных авторов и другие источники.

Анализ показал, что имеющиеся в настоящий момент научные проработки и модели в области построения СЗИ не лишены ряда недостатков, среди которых необходимо выделить: не адекватное и не полное описание информационных процессов; слабую формализацию методов, на основе которых создаются комплексы средств защиты информации, что ведет к их избыточности и удорожанию; отсутствие алгоритмов динамического изменения уровня доступа в зависимости от уровня угрозы, создаваемой легальными пользователями; отсутствие методов регулирования параметров защиты, адаптированных к модели угроз безопасности конкретной СпецИС.

Все это приводит к отсутствию единых и достаточно универсальных подходов к решению задачи оценки эффективности СЗИ в распределенных СпецИС, что значительно усложняет сравнение различных вариантов СЗИ и обоснованный выбор приемлемого.

Таким образом, одним из важных вопросов функционирования СпецИС стали обеспечение и оценка эффективности используемых средств защиты, в итоге определяющих качество СЗИ. Эффективность СЗИ должна определяться характеристиками функций защиты, связанных не только с созданием NP-сложных барьеров их преодоления, но и не вызывающих нарушений работоспособности (т.е. отсутствием сбоев и отказов) других подсистем и характеристик. Данные факторы определяют степень пригодности средств защиты для пользователей, позволяя обеспечить необходимый уровень контроля и своевременно предотвратить возможные риски.

Этим обуславливается актуальность решения задачи разработки новых методов оценки эффективности СЗИ создаваемых в СпецИС, с целью нейтрализации актуальных угроз безопасности информации.

Цель исследований

Анализ, обобщение и систематизация фактов о сложившейся практике управления эффективным применением СпецИС и выявляемых нарушениях, синтез новых методов оценки эффективности СЗИ, позволяющих моделировать события, связанные с прогнозированием возможных последствий от инцидентов информационной безопасности, а также устанавливать причинно-следственные связи между ними и вырабатывать численные критерии значимости риска при оценке эффективности СЗИ в СпецИС с учетом целевой функции деятельности организации и результатов процесса, представляющего действительную ценность.

Для достижения поставленной цели в работе сформулированы и решены следующие задачи исследований:

1. Исследованы аспекты практического применения формальных моделей безопасности вычислительной сети СпецИС при создании СЗИ.

2. Проведен анализ и сравнение распространенных формальных моделей безопасности и стандартов информационной безопасности, выявлены ограничения в их применении.

3. Формализованы правила построения политик безопасности при создании систем информационной защиты. Определена новая форма организации знаний о предметной области возникновения преднамеренных угроз адекватная методам их прогнозирования и устанавливающая взаимнооднозначное определение механизмов их нейтрализации.

4. Исследованы способы формирования оценок эффективности информационных систем и найдены методы определения оптимальных показателей затрат, необходимых для нейтрализации риска возникновения угроз адекватно степени их актуальности.

5. Разработаны методы анализа моделей безопасности в СпецИС и установлены критерии, позволяющие получать численные оценки защищенности.

6. Разработан метод оценки эффективности СЗИ, позволяющий на базе определения достаточного уровня информационной безопасности формировать рациональный комплекс средств защиты, используя декомпозицию применяемых механизмов защиты, информационных технологий и ресурсов СпецИС.

Методы исследований

Для решения поставленных задач использовались: методы теории информации, теории вероятностей и случайных процессов, методы дискретной математики, формальной логики, математическое моделирование, методы теории принятия решений, методы многокритериальной оптимизации, технологии и стандарты вычислительных сетей.

Для оценки уровня безопасности, реализуемой механизмами защиты, применялись формальные и неформальные экспертные оценки.

Основные положения, выносимые на защиту:

1. Обзор моделей безопасности и их классификация. Влияние показателей эффективности СЗИ на адекватное распределение функций защиты между различными уровнями сетевого взаимодействия.

2. Метод построения модели угроз, адаптированной к оценке ущерба от деструктивного действия и риска, создаваемого потенциалом предполагаемого нарушителя.

3. Метод формирования рационального комплекса средств защиты, основанный на достижении достаточного уровня эффективности, определяемого критериями предельных издержек и риска функционирования СпецИС.

4. Математическая модель оценки уровня эффективности СЗИ, основанная на численных методах прогнозирования событий и анализа инцидентов.

Научная новизна результатов диссертации определяется следующими результатами:

- сформулированы новые базовые положения, описывающие оценку эффективности выполнения политик безопасности в зависимости от возникающих инцидентов;

- предложен метод расчета количественной оценки уровня защищенности СпецИС, отличающийся от существующих моделей;

- разработан метод создания системы защиты информации на основе формализации задачи оптимизации состава комплексов средств защиты при-различной глубине декомпозиции системы защиты;

Основным научным результатом проведенных исследований является комплексный подход к решению проблемы создания методов построения систем защиты для распределенных вычислительных сетей, основанных на показателях эффективности.

Достоверность и обоснованность результатов диссертации обусловлены использованием результатов анализа современных СЗИ и методов оценки их эффективности, корректностью формальных выводов при построении моделей, соответствием полученных общих результатов с частными случаями, приведенными другими авторами, а также подтверждаются данными о практическом применении результатов при создании и анализе СЗИ для конкретных СпецИС.

Практическая значимость результатов диссертации заключается в том, что разработанные математические модели и метод оптимального проектирования защищенных сетей может применяться для эффективного построения СЗИ с минимизацией затрат на проектирование и реализацию. Использование предложенных методов позволяет проводить исследования и получать количественные оценки эффективности СЗИ. Методы могут применяться для технико-экономического обоснования при создании и развитии СЗИ в СпецИС.

Реализация результатов исследований

Основные результаты реализованы в Военно-Морском Флоте, в Государственном научно-исследовательском навигационно-гидрографическом институте (ГНИНГИ), а также использованы в ОАО «Информационные технологии и компьютерные системы» («ИнфоТеКС») при проектировании подсистем защиты персональных данных в Государственной информационной системе обязательного медицинского страхования (ГИС ОМС) территориальных Фондов обязательного медицинского страхования (ТФОМС).

Апробация работы.

Результаты, полученные в результате диссертационных исследований:

1) докладывались на ежегодной Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ (2009 г.), на X Всероссийской научно-практической конференции Российской академии ракетных и артиллерийских наук «Актуальные проблемы защиты и безопасности» (секция «Военно-Морской Флот»), г. Санкт-Петербург (2007 г.)

2) использовались в НИР «Разработка программы первоочередных действий по навигационно-гидрографическому обеспечению морской деятельности России на период до 2020 года. Разработка Плана первоочередных действий по навигационно-гидрографическому обеспечению морской деятельности России на период 2009 - 2010 г.г.»; в НИР «Разработка типовых требований по комплексной безопасности информации систем, создаваемых при строительстве подводных лодок» (2008 г.).

Публикации.

По теме диссертации опубликовано 8 печатных работ, из них 2 в изданиях, рекомендованных ВАК.

Чемии А.А. Применение новых информационных технологий в подсистеме управления. // Морской сборник. 1. М.: 2006 г. - с. 32-37.

Чемин А.А. Новый взгляд на информационно-расчетные системы оценок ущерба от разглашения охраняемой информации в подсистеме управления. // Морской сборник. 9. М.: 2007. - с. 53-56.

Чемин А.А. Особенности применения систем расчета ущерба от разглашения охраняемой информации в подсистеме управления. // Известия Российской академии ракетных и артиллерийских наук. Актуальные проблемы защиты и безопасности: Труды Десятой Всероссийской научно-практической конференции. Том. 4 «Военно-Морской Флот», М.: 2007. - с. 383-387.

Чемин А.А. Особенности построения системы защиты информации в автоматизированной системе обеспечения Военно-Морским Флотом субъектов оборонной и экономической деятельности Российской Федерации в Мировом океане. // Навигация и гидрография. 27. СПб.: ГНИНГИ МО РФ, 2008. - с. 94 -100.

Чемин А.А. Методы построения систем защиты информации в распределенных информационных системах специального назначения. // Препринт. М.: МИЭМ, 2008. - 46 с.

Чемин А.А., Смолин В.М. Комплексный подход к построению подсистемы защиты информации в автоматизированной системе обеспечения ВМФ цифровой картографической информацией.// Научно-технический сборник №33. СПб.: ГНИНГИ МО РФ, 2009. - с. 43-53. (Автору принадлежит 7 е.).

Чемин А.А. Методика оценки эффективности систем защиты информации. Связанный Байесовский вывод. // Тезисы докладов ежегодной Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ. М.: МИЭМ, 2009.

Чемин А.А. «Методы анализа защищенности распределенных информационных систем специального назначения».// Препринт. М.: МИЭМ, 2009. -45с.

Структура и объем диссертации.

Диссертация состоит из четырех глав, введения, заключения, списка литературы и приложений.

Тенденции развития и задачи организации информационной безопасности в специализированных распределенных ИС.

Расширяющаяся пропасть» между угрозами информационной безопасности и тем, что делается для защиты от них, так эмоционально обозначается тенденция, которая отчетливо проявилась к настоящему времени [108].

С увеличением количества пользователей компьютерных систем стала расти и доступность таких систем для широких масс населения, что привело к понижению квалификации среднего пользователя. Данное обстоятельство существенно облегчило задачу злоумышленника, так как большинство из таких пользователей не в состоянии постоянно поддерживать безопасность своих систем на должном уровне, так как это требует соответствующих знаний, навыков, а также времени и средств.

В результате, организации, их информационные системы и сети все чаще стали сталкиваться с различными угрозами безопасности. При этом, наряду с такими источниками ущерба, как компьютерные вирусы, взлом и атаки типа отказа в обслуживании, которые требовали высокой квалификации злоумышленника, начали развиваться способы компьютерного мошенничества и социальной инженерии. Их проявление стало более распространенным, более агрессивными все более изощренным.

Организации становятся все более зависимыми от информационных систем и услуг, а следовательно — все более уязвимыми по отношению к угрозам безопасности. Этому также стало способствовать и применение технологии клиент-сервер, которая превратила сетевую архитектуру в распределенные вычислительные среды. В связи с чем, безопасность такой сети стала зависеть от всех ее элементов вычислительной техники, так как злоумышленнику теперь достаточно получить доступ к одному из них, чтобы нанести ущерб всей системе.

Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов повысило сложность управления доступом к информации. При этом, тенденция к использованию распределенной обработки данных ослабила эффективность способов централизованного контроля доступа[65].

В особенности это сало чувствительным для КВИС (или, как их еще называют - ключевые системы информационной инфраструктуры, далее - КСИИ [98]), от безопасного функционирования которых зависит не только благополучие, но и жизни людей.

Согласно ГОСТ Р 51583-2000 [71] к таким системам отнесены не только системы, содержащие гостайну, но и системы, используемые в управлении экологически опасными объектами.

При этом, исходя из определения понятий ценной информации и критически важных объектов, указанных в РД по Разработке СЗИ [88] и Требованиях по ОБИ КСИИ [98], критически важными также можно называть и другие информационные системы управляющие объектами, нарушение функционирования которых может привести к чрезвычайной ситуации или значительным негативным последствиям, а также системы обрабатывающие информацию, ущерб от нарушения защиты которой (связанный, например, с утечкой промышленных и коммерческих секретов) может превысить 1 млн. рублей.

Примером таких систем могут быть АС управления атомными и гидроэлектростанциями, станциями муниципального электро и водоснабжения, навигацией и безопасностью дорожного, морского и железнодорожного движения, ИС финансово-кредитной и банковской деятельностью, предупреждения о радиационном заражении и т.п.

Кроме того, необходимо учесть, что это распределенные комплексы средств автоматизации, объединенные единой сетью имеющей удаленный доступ к её ресурсам и использующие общедоступные каналы связи. При этом использование общедоступных каналов связи для управления данными системами постоянно растет. Например, в США для АС управления войсками уже используется до 95% гражданских линий связи, включая использование глобальной сети Интернет и спутников связи Интелсат. Известны случаи, когда корректировка огня артиллерийских батарей, велась, используя электронные карты, за тысячи миль от своих боевых позиций. Большинство пилотов военной авиации после вылета на задание перенацеливается уже в ходе полета, поражая цели с ходу, что значительно снижает боевые потери.

Также отмечается и то, что с повышением оперативности выполнения задач, решаемых при помощи КВИС, существенно снизились требования к конфиденциальности обрабатываемой информации, так как время её актуальности стало несопоставимо со временем возможной реакции и ответных действий.

Более существенное значение приобрели понятия целостности, доступности, оперативности и непрерывности технологических процессов, командной и управляющей информацией, которые не относятся к информации ограниченного доступа. Таким образом, на первое место встала эффективность функционирования АСУ, как главного системообразующего и управляющего компонента систем и комплексов, который определяет устойчивость их функционирования при сборе, обработке и передаче данных.

КВИС, а также другие системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности информации, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий), получили названия — специальные информационные системы (СпецИС).

К СпецИС, также отнесены информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья граждан, а также, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия или иным образом затрагивающих права и законные интересы граждан2.

При этом одним из наиболее важных критериев отнесения ИС к СпецИС является то, что построение их СЗИ базируется не на типовых требованиях, установленных в зависимости от класса защищенности (безопасности) АС (ИС), а в зависимости от угроз, которые могут быть реализованы в результате нарушения характеристик безопасности информации.

2 Приказ ФСТЭК, ФСБ и Минннформсвязи от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка классификации информационных систем персональных данных».

Это также исходит из того, что одной из особенностей эксплуатации СпецИС является создаваемая ими высокая опасность для общества в целом в связи с активной разработкой развитыми государствами «информационного оружия», которое как раз и ориентировано на то, что при относительно низком уровне затрат на его создание имеет высокий уровень эффективности применения [2].

Считается, что в обозримом будущем достижение конечных целей в конфликтных ситуациях будет осуществляться не столько ведением боевых действий, сколько подавлением систем государственного и военного управления, навигации и связи, а также воздействием на другие КВИС, от которых зависит устойчивость управления экономикой и вооруженными силами государства.

Обладая ударной силой для уничтожения соперника, информационное оружие не требует создания специализированных производств и сложной инфраструктуры по его эксплуатации. Разработка и реализация деструктивных воздействий по силам небольшой группе или даже одному специалисту, при этом нет необходимости физически пересекать границы и подвергать риску жизнь личного состава. Его уникальность заключается в том, что чем более развита информационная инфраструктура, тем шире набор целей.

Чтобы понять масштабы угрозы, достаточно представить, что будет, если в результате воздействия произойдет вброс в систему водоснабжения неочищенной (или наоборот пресыщенной хлористыми соединениями) воды, заведомо ложное информирование больших групп населения о высокой степени радиационного заражения или будут изменены итоги голосования в государственной автоматизированной системе «Выборы».

При этом общество уже сталкивается с одной из форм использования информационного оружия путем хищений и мошенничества, совершенных с помощью компьютерных преступлений, ежегодные потери от которых только через сеть Интернет, достигают более 5 млрд. дол.

Проводимые различными ведомствами учения по имитации несанкционированного проникновения в информационные системы показали, что 88% информационных атак увенчались успехом, из которых обнаруживаются только 4%.

При этом в зарубежных источниках утверждается, что сегодня в 30 странах мира ведутся программы по созданию средств информационного противоборства (информационного оружия). Так, в директивах Пентагона появилось совершенно новое и непривычное понятие - "информационная операция", которое совершило подлинную революцию в военном деле. В основу "информационной операции" против Ирака, как это уже официально записано в руководящих документах вооруженных сил США, был положен классический прием ведения войны - дезорганизация управления. Исход поединка "Давида и Голиафа" решил внезапный удар в "голову" противника, потерявшего "зрение", "слух" и "речь" почти одновременно [25].

За несколько недель до начала ведения боевых действий через агентуру с помощью портативных компьютеров в Багдаде были внедрены программные "вирусы-закладки", которые в назначенный день и час отключили телефонные станции и радиолокационные посты, парализовав уже в первые минуты воздушного налета систему ПВО Ирака. Это позволило авиации в первые несколько часов уничтожить основные объекты иракской системы ПВО и через 10 дней завоевать превосходство в воздухе [25].

Планирование деятельности, навигация, связь, материально-техническое снабжение, инженерное оборудование, транспортировка грузов, медицинское обеспечение, финансирование, госзаказ и электронная торговля прочно обосновались в паутине компьютерных сетей.

Таким образом, новым объектом информационных атак со стороны специально создаваемых и профессионально ориентированных на это организаций стали СпецИС.

Для их нейтрализации при создании СпецИС в защищенном исполнении появились новые требования по созданию систем обнаружения компьютерных атак (СОКА) или обнаружения вторжений (СОВ), анализа защищенности (САЗ), а также ряд дополнительных требований.

В результате СпецИС приобрели более жесткие требования к обеспечению их безопасности, времени и порядку выполнения автоматизированных функций, а также к оценке их защищенности от негативных информационных воздействий.

Выводы по третьей главе

С использованием Байесовского вывода получено распределение вероятностей по целям воздействия на СпецИС, показана возможность составления Байесовской сети доверия и моделирования различных ситуаций.

Т.о. был разработан метод проведения декомпозиции угроз и способов их реализации по конкретным типам нарушителей, что позволяет установить риски, создаваемые теми или иными потенциальными злоумышленниками, а также составить Модель нарушителя исходя из их потенциальной опасности.

При этом, моделирование таких рисков показывает, что наибольшую опасность представляют так называемые инсайдеры — сотрудники, которые в организации наделены вполне легальными полномочиями. Им гораздо проще получить доступ к интересующей их информации, чем любому постороннему лицу. Да и практика расследований также свидетельствует о том, что успешность атаки напрямую зависит от наличия в организации сотрудника, который способствует её реализации.

Глава IV. Архитектурные решения по построению СЗИ, практическая реализация и результаты исследовании

Практическое внедрение предложенных методов было реализовано в АСО ЦКИ «Багрень-2».

В соответствии с ТТЗ на ОКР «Багрень-2» целью её выполнения является создание автоматизированной системы обеспечения цифровой картографической информацией, разрешенной к открытому опубликованию в соответствии с Приказом ГК ВМФ от 19.04.99 № 155.

Тем не менее, следуя аналитической оценке возможных рисков, а также исходя из требований ст. 6, 9 Закона РФ «О государственной тайне» о необходимости заблаговременного отнесения получаемых в ходе ОКР сведений к гостайне, Заказчиком были заданы требования по проведению системных исследований возможностей получения информации, подлежащей засекречиванию, и локализации последствий её разглашения при использовании образца.

Целевой функцией проведения системных исследований стало составление перечня охраняемых сведений, которые могут быть получены в результате разглашения сведений, как об АС, создаваемой в ходе ОКР, так и циркулирующей в ней сведений.

В качестве исходных данных для проведения системных исследований были предусмотрены информационные риски, связанные с возможностью получения при несанкционированном использовании системы следующих засекреченных сведений, раскрывающих:

- картографическую обеспеченность подразделений для специфического функционирования военных объектов;

- содержание карт и планов крупных масштабов в графической, векторной, растровой, цифровой (электронной) и иных формах представления;

- содержание описательной информации на режимные объекты, районы, военно-морские базы, операционные направления;

- планы, организацию или осуществление мероприятий навигационно-гидрографического обеспечения. Планы и схемы гидрографических или геофизических исследований, их характер;

- материалы, позволяющие вычислить или уточнить координаты географических или гидрографических объектов, не подлежащих открытому опубликованию;

- местоположение режимных объектов, в том числе его географические, геоцентрические или прямоугольные координаты, линейные и угловые величины, привязку к ориентирам на местности, а также геопространственная информация, позволяющая соотнести её с режимным объектом;

- наносимую на карты специальную нагрузку, содержащую сведения, подлежащие засекречиванию в ВС РФ, ФАП и Роскартографии.

Кроме того, были выделены информационные риски, связанные с возможностью разглашения в ходе создания системы и выполнения ОКР следующих сведений, подлежащих засекречиванию, и раскрывающих: содержание или направленность опытно-конструкторских работ, проводимых в интересах обороны и безопасности государства; геопространственные сведения по территории Российской Федерации и другим районам Земли, раскрывающие результаты картографической или геодезической деятельности, имеющие важное оборонное или экономическое значение; о дислокации, назначении, степени готовности, защищенности, обеспечении безопасности или эксплуатации режимных объектов; о составе или состоянии систем управления войсками; о применении в военных целях средств, технологий двойного назначения; расходы денежных средств на опытно-конструкторские работы по созданию военной техники; методы, способы или средства защиты информации, содержащей сведения, составляющие государственную тайну, а также направленные на обеспечение режима секретности, планируемые и (или) проводимые мероприятия по защите информации от несанкционированного доступа, иностранных технических разведок и утечки по техническим каналам.

Таким образом системы навигационного обеспечения в условиях современного противоборства стали уязвимой целью.

В связи с чем, оценка угроз информационной безопасности АСО ЦКИ также зависит от боевой устойчивости системы навигационного обеспечения в целом.

Заключение (основные результаты и выводы)

1. Проведенный обзор и сравнительный анализ распространенных моделей безопасности, механизмов защиты информации и нормативно-методических документов выявил ограничения в их применении при построении политик безопасности СпецИС. Эти ограничения приводят к противоречивости в их применении и неадекватности актуальным угрозам, что существенно снижает показатели эффективности таких систем.

Показано, что наиболее адекватно сущность механизмов защиты отражает метод оценки их эффективности по показателям риска и ущерба от нарушений безопасности, которые позволяет формализовать положения правил ПБ и конструктивно описать свойства механизмов защиты, а также распределить функции защиты между различными уровнями распределенного взаимодействия. Использование предложенного метода позволяет осуществить переход от формализованных правил к требованиям практической реализации.

2. Разработан метод построения модели угроз, базирующийся на схеме преднамеренных угроз, отличающийся формой организации знаний о предметной области преднамеренных угроз, систематизированных в морфологическую структуру модели нарушителя, несанкционированного доступа и оценки ущерба от деструктивного действия. Это позволяет осуществлять всесторонний анализ гипотезы о реальных угрозах, их актуальности и потенциала нарушителей еще на стадии предпроектного обследования и, следовательно, повысить адекватность модели угроз для конкретной СпецИС.

3. Разработан метод анализа моделей противодействия угрозам нарушения информационной безопасности, базирующийся на выборе рационального варианта реагирования, новизна которого заключается в принятии решения на множестве альтернатив средств и методов защиты в зависимости от определения уровня эф-фективности, удовлетворяющего оптимальным показателям риска возникновения угроз и затрат, необходимых на их нейтрализацию в конкретной СпецИС. Метод позволяет заменить традиционно применяемые оценки взломостойкости их вероятностными аналогами и оценками эффективности, а также осуществлять динамическую оптимизацию механизмов защиты.

4. Разработан метод формирования рационального комплекса средств защиты, основанный на анализе морфологических признаков рубежей защиты, вероятности их преодоления, набора средств защиты (с учетом матрицы их совместимости), оценки технических характеристик, новизна которого заключается в выборе механизмов защиты по их целевой функции, исходя из соотношения показателей «эффективность-стоимость» к показателю «ущерб-эффективность». Данный метод позволяет проводить комплексные тематические и сертификационные исследования по взаимно-однозначному определению соответствия применяемых средств защиты угрозам, возникающим в СпецИС, новизна которых заключается в определении уровня эффективности механизмов защиты информации, применяемых в системе, по соотношению показателей предельных издержек и допустимого ущерба, определяющих риск функционирования СпецИС.

5. Разработан метод и алгоритм оценки уровня эффективности системы защиты информации, новизна которого заключается в том, что необходимые для расчетов вероятности угрозы оцениваются на основе численных методов представления аналитического прогнозирования событий, технических характеристик средств защиты и статистических данных по инцидентам информационной безопасности, что позволяет обеспечить применимость метода и алгоритма не только на стадии создания СЗИ, но и выполнять анализ эффективности её функционирования в ходе эксплуатации и экспертизы инцидентов.

6. Разработанные методы объединены в методику, регламентирующую их практическое применение при построении СЗИ. Методика и конкретные методы использованы при создании комплекса средств, необходимых для подсистемы защиты информации в АСО ЦКИ и защиты персональных данных в ГИС ОМС ТФОМС.

Использование методов оценки уровня эффективности позволило обосновать достаточность требований, к используемым функциям безопасности исходя из актуальных угроз и действительных рисков их реализации, а также более эффективно перераспределить ресурсы, выделенные на защиту данных СпецИС.

1. Анин Б.Ю. «Защита компьютерной информации» - СПб.: БХВ-Петербург, 2000. - 384 с. 1.BN 5-8206-0104-1

2. Баранов А.П., Борисенко Н.П., Зегжда П.Д., Корт С.С., Ростовцев А.Г. «Математические основы информационной безопасности». Орел, 1997г.

3. Белкин П.Ю., Михальский О.О., Першаков А.С. и др. «Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных». Учебное пособие для вузов. М: Радио и связь. - 1999. — 168 с.

4. Блэк У. «Интернет: протоколы безопасности». СПб: Питер, 2001. -288 с.

5. Ганин М.П. «Прикладные методы теории выработки решений». СПб: ВМА им. Н.Г.Кузнецова, 2007.

6. Дорот В., Новиков Ф. «Толковый словать современной компьютерной лексики». СПб: БХВ-Петербург, 2004.

7. Жельников В. «Криптография от папируса до компьютера». — М: ABF, 1996.-336 с.

8. Костогрызов А.И., Липаев В.В. «Сертификация функционирования автоматизированных информационных систем». Москва: Изд. "Вооружение. Политика. Конверсия", 1996. - 280 с.

9. Вахитов Ш.К. Монография «Новый (совершенно иной) подход к вопросу выбора показателя боевой эффективности сил и средств», Минобороны России, 2002 г.

10. Василенко О. Н. Теоретико-числовые алгоритмы в криптографии. — М.: МЦНМО, 2003.—328 с.

11. Галатенко В.А. «Основы информационной безопасности» М.: ИНТУИТ.РУ "Интернет-Университет Информационных Технологий", 2003. 280 с.

12. Гриняев С.Н. «О ходе работ в Министерстве обороны США по реализации основных положений национального Плана защиты информационных систем» http: //www.agentura.ru /equipment /psih /info /RU /EQUIPMENT /PSIH /INFO

13. Девянин П.Н. «Модели безопасности компьютерных систем: учебное пособие для студ. высш. учеб. заведений». — Москва: Издательский центр «Академия», 2005. -144 с.

14. Домарёв В.В. "Безопасность информационных технологий. Методология создания систем защиты информации" (Второе издание). Киев: ТИД Диа Софт, 2002. - 688 с.

15. Зегжда П.Д., Зегжда Д.П., Корт С.С., Семьянов П.В., Кузьмич В.М., Медведовский И.Д., Семьянов П.В., Ивашко A.M., Баранов А.П. «Теория и практика обеспечения информационной безопасности», М: «Яхтсмен», 1996. 192 с.

16. Зегжда Д.П., Ивашко A.M. «К созданию защищенных систем обработки информации. Проблемы информационной безопасности». Компьютерные системы. №1 1999. С. 99-106.

17. Зегжда Д.П., Ивашко A.M. «Основы безопасности информационных систем». М: Горячая линия - Телеком, 2000. — 452.

18. Зима В.М., Молдовян А.А., Молдовян Н.А. «Безопасность глобальных сетевых технологий». СПб: БХВ-Петербург, 2000. - 320 с.

19. Кононов Ю.М., Директоров Н.Ф., Дорошенко В.И., Житов Ю.И., Зава-лишин А.А., Мирошников В.И., Мясников О.Г., Ничиков А.В., Соловьев И.В., Шпак В.Ф. «Автоматизация управления и связь в ВМФ», СПб: «Элмор», 2001.

20. Лукацкий А.В. «Обанаружение атак». СПб: БХВ-Петербург, 2001.624 с.

21. Манойло А.В., «Государственная информационная политика в особых условиях». Монография. Москва: МИФИ, 2003 г. 388 с.

22. Митник К., Саймон В. «Искусство обмана», Перевод: Yarlan Zey. Москва: Компания АйТи, 2004 г. ISBN 5-98453-011-2.

23. Медведовский И.Д., Семьянов П.В., Леонов Д.Г. «Атака на Internet». СПб: Издательство ДМК, 1999 г.

24. Медведовский И.Д., Семьянов П.В., Леонов Д.Г., Лукацкий А.В. «Атака из Internet». СПб: Солон-Р, 2002 г.

25. Мещеряков Р.В., Шелупанов А.А., Белов Е.Б., Лось В.П. «Основы информационной безопасности». Томск: ТУСУР и ИКСИ Академии ФСБ России, 2002.-350 с.

26. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. «Защита информации в компьютерных системах и сетях». 2-е изд., перераб. и доп. — М: Радио и связь, 2001.-376 с.

27. Саати Т.Л. «Математические модели конфликтных ситуаций», Пер. с англ. под ред. Ушакова И.А., Мск, «Сов. радио», 1977.

28. Соколов А.В., Шаньгин В.Ф. «Защита информации в распределенных корпоративных сетях и системах». М: ДМК Пресс, 2002. - 656 с.

29. Стрижов В.В. «Методы индуктивного порождения регрессионных моделей». Москва: ВЦ им. Дородницына А.А. РАН, 2008 г. — 61 с.

30. Турский А. Панов С. «Защита информации при взаимодействии корпоративных сетей в Internet». Конфидент. — 1998. № 5. — С. 38-43.

31. Atkinson R. "IP Authentication Header (AH)", RFC 1826. Naval Research Laboratory, August 1995.

32. Atkinson R. "IP Encapsulating Security Payload (ESP)", RFC 1827. Naval Research Laboratory, August 1995.

33. John J. Garstka «Обозревая особенности теории сетецентричной войны». Материалы IV конгресса евразийской интеллектуальной молодежи «Сетевые войны». Москва, С. 38-45, 2007 г.

34. Goguen J.A., Meseguer J. Security Policies and Security Models, Proceeding of the IEEE Symposium on Security and Privacy. 1982, pp.l 1-20.

35. Goguen J.A., Meseguer J. Unwinding and Interface Control. Proceeding of the IEEE Symposium on Security and Privacy. 1984, pp.75-86.

36. Kent S.T. "Internet Security Standards: Past, Present & Future". Standard-Viev. 1994. - V.2. - pp. 78-85.

37. Stephen Northcutt, Judy Novak. «Network Intrusion Detection». 3rd edition. Indianapolis, Indiana 46290: «New Riders», 2002. 456 p.

38. Ravi S. Sandhu, Edward J. Coyne, Hal L. Feinstein and Charles E. Youman Role-Based Access Control Models. IEEE Computer, Volume 29, N2, February 1996, pp. 38-47.

39. Bruce Schneier. "Why Cryptography Is Harder Than It Looks". Электронный ресурс] / Schneier.com is a personal website [1997] — Режим доступа: http://www.schneier.com/essay-037.html.

40. David J. Stang, Sylvia Moon. "Network Security Secrets". IDG Books Worldwide, 1995.

41. Закон Российской Федерации от 21 июля 1993 г. № 5485 «О государственной тайне».

42. Федеральный закон Российской Федерации от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».

43. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

44. Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г. N Пр-1895.

45. Постановление Правительства РФ от 4 сентября 1995 г. № 870 «Правила отнесения сведений, составляющих государственной тайну, к различным степеням секретности».

46. Постановление Правительства РФ от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации».

47. Математическая физика. Энциклопедия. М. БРЭ, 1998 г.

48. ГОСТ Р ИСО/МЭК 9594-8-98 «Информационная технология. Взаимосвязь открытых систем. Справочник»: ч 8. — Основы аутентификации.

49. ГОСТ Р ИСО/МЭК ТО 13335-2006 «Информационная технология. Методы и средства обеспечения безопасности информации»: ч. 1 Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

50. ГОСТ Р ИСО/МЭК ТО 13335-2006 «Информационная технология. Методы и средства обеспечения безопасности информации»: ч. 3 Методы менеджмента безопасности информационных технологий.

51. ГОСТ Р ИСО/МЭК ТО 13335-2006 «Информационная технология. Методы и средства обеспечения безопасности информации»: ч. 4 Выбор защитных мер.

52. ГОСТ Р ИСО/МЭК ТО 13335-2006 «Информационная технология. Методы и средства обеспечения безопасности информации»: ч. 5 Руководство по менеджменту безопасности сети.

53. ГОСТ Р ИСО/МЭК 15026-2002 «Информационная технология. Уровни целостности систем и программных средств».

54. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности информации. Критерии оценки безопасности информационных технологий»: ч. 1 — введение и общая модель.

55. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности информации. Критерии оценки безопасности информационных технологий»: ч. 2 функциональные требования безопасности.

56. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности информации. Критерии оценки безопасности информационных технологий»: ч. 3 — требования доверия к безопасности.

57. ГОСТ Р ИСО/МЭК 17799 2005 «Информационная технология. Практические правила управления информационной безопасностью».

58. Международный стандарт ИСО/МЭК 27002-2007 «Информационные технологии. Свод правил по управлению защитой информации».

59. ГОСТ 28147-89 «Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

60. ГОСТ РВ 50170-92 «Определение видов разведок».

61. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения».

62. ГОСТ Р 51275-99 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения".

63. ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».

64. ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования».

65. ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения»

66. ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»

67. ГОСТ Р 51901.4-2005 «Менеджмент риска. Руководство при проектировании при проектировании»

68. ГОСТ Р 51901.11-2005 «Менеджмент риска. Исследование опасности и работоспособности. Прикладное руководство».

69. ГОСТ Р 51901.14-2005 «Менеджмент риска. Структурная схема надежности и булевы методы».

70. ГОСТ Р 51901.15-2005 «Менеджмент риска. Применение марковских методов».

71. ГОСТ Р 52448-2005 «Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения».

72. ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества».

73. ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

74. ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».

75. ГОСТ Р ИСО/МЭК 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель»: часть 1 — Базовая модель.

76. ГОСТ Р ИСО/МЭК 7498-2-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель»: часть 2 Архитектура защиты информации.

77. Нормативно-методический документ. Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР). Москва, Гостехкомиссия России, 1997 г.

78. Нормативно-методический документ. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282. Москва, 2002 г.

79. РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Термины и определения».

80. РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" (РД АС).

81. РД Гостехкомиссии России "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (РД СВТ).

82. РД Гостехкомиссии России " Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации " (РД Концепция ЗИ от НСД).

83. РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (РД МЭ).

84. РД Гостехкомиссии России «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларируемых возможностей».

85. Методический документ Гостехкомиссии России «Методические рекомендации по разработке развернутых перечней сведений, составляющих государственную тайну». Москва, Решение Гостехкомиссии России от 3 декабря 1995 г. № 29

86. Методический документ ФСТЭК России «Методические рекомендации по технической защите информации, составляющей коммерческую тайну». Москва, 25 декабря 2007 г.

87. Методический документ ФСТЭК России «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» (Требования по ОБИ КСИИ). Москва, 18 мая 2007 г.

88. Методический документ ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных». Москва, 15 февраля 2008 г.

89. Методический документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Москва, 14 февраля 2008 г.

90. Методический документ ФСТЭК России «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры». Москва, 18 мая 2007 г.

91. Методический документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Москва, 15 февраля 2008 г.

92. Концепция аудита информационной безопасности систем информационных технологий и организаций (проект). Электронный ресурс] / Официальныйсайт ФСТЭК России — Москва: 2006. Режим доступа: http://www.fstec.ru/razd/info.htm — Загл. с экрана.

93. РД 50-680-88 «Автоматизированные системы».

94. РД 50-682-89 «Автоматизированные системы. Общие положения».

95. РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».

96. Учебное пособие. Информационная безопасность и защита информации. Ростов-на-Дону. Ростовский юридический институт МВД России, 2004. 82 с.

97. Список используемых сокращений

98. КОК комплекс оценки качества ИС.73

99. МАИ метод анализа иерархий.132

100. ПРД правила разграничения доступа.25

101. РМД ролевая модель разграничения доступа.26

102. СЗИ — система защиты информации.17

103. СОКА система обнаружения компьютерных атак.29

104. СПВ — специальное программное воздействие.29

105. СФ среда функционирования АС или СрЗИ (употребляется в зависимости от контекстаизложения).30

106. СФС — среда функционирования СпецИС.22

107. ТСО технические средства охраны.26

108. TCP технические средства разведки.122

109. ФР функция распределения.74

110. ОП оперативная память ОС - операционная система

111. А={ак} уровни конфиденциальности (секретности);1. С стоимость.

112. Cz стоимость механизмов защиты.

113. D субъекты доступа информационной системы;1. Е — эффективность.

114. Еес эффективность мер защиты в соотношении «эффективность-стоимость», т.е. ожидаемое снижение риска информационной угрозы в результате установки механизмов защиты и соответствующих расходов.

115. Euc эффективность действий нарушителя в соотношении «ущерб-стоимость», т.е. ожидаемый ущерб в результате реализации угроз и расходов на еёреализацию.

116. Eua эффективность действий нарушителя в соотношении «эффективность-стоимость», т.е. его ожидаемая выгода от успешной атаки. Ех - способы реализации угроз Ed - деструктивное действие

117. О ресурсы информационной системы, они же объекты воздействия и объекты доступа;1. G виды ущерба

118. Н уровни нарушителей (агентов угрозы)1. Mz — механизмы защиты1. S={Sj} сведения;1. U виды угроз1. Y виды уязвимостей1. Z показатель защищенности

119. В ОКР «Автоматизированная система обеспечения ВМФ цифровой картографической информацией» (шифр «Багрень-2»).

120. Кроме того, на основании выполненных исследований в указанных ОКР и НИР Чеминым А.А. были опубликованы следующие научные статьи в изданиях ГНИНГИ МО РФ:

121. Председатель комиссии: доктор военных наук,профессор1. А.И.Исмаилов

122. Члены комиссии: кандидат технических наук^кандидат технических науки V-.i С

123. ПРЕДСЕДАТЕЛЬ КОМИССИИ: кандидат физико-математических наук

124. ЧЛЕНЫ КОМИССИИ: кандидат технических науккандидат физико-математических наук1. В.В.Филиппов

125. С.З.Данилюк А.В .Поташников1. Выпискаиз Основных положений единой методологии определения размеров ущерба, который может быть нанесен безопасности вследствие распространения охраняемых сведений

126. При рассмотрении сведений о конкретном объекте величина относительного ущерба при распространении /-го сведения является функцией времени а;(Т) и определяется некоторым рейтингом г,-.

127. Рассматриваемая задача решается поэтапно.

128. В начале (в момент времени Тн) определяется возможный ущерб ri(Ui,Li) и степень секретности ол(Тн) сведения Si, затем на множестве схем распространения Li(T) находится рациональная схема распространения Li*(T).

129. По рациональной схеме Li*(T) или фиксированной схеме Liq(T) определяется функция секретности ai*(T).

130. Дальнейшие исследования модели показывают, что её наиболее приемлемая реализация заключается в поиске критерия эффективности сокрытия сведений в течение прогнозируемого момента времени при его распространении по некоторым фиксированным схемам.

131. Ki(Tn) = l-p.(TY) ; (П2.48)где:

132. Тн начальное время принятия решения на оценку степени секретности сведения Si;

133. Тп момент времени определения основных характеристик схем распространения информации (шаг прогноза);

134. Tj целесообразный момент времени пересмотра степени секретности сведения Si;

135. Kq (Tj) показатель эффективности скрытия сведения Si на момент времени Tj при его распространении по q-й схеме;

136. CPi(Tj) стоимостная величина возможного ущерба от раскрытия сведения1. Si;

137. Cql(Tj) стоимость потерь от ограниченного распространения сведения Si по q-й схеме на момент времени Tj;

138. Pq(T) вероятность защиты сведения Si на момент времени Tj при его распространении по q-й схеме;

139. Р j(T) требуемая вероятность защиты сведения Si.

140. Однако подсчитано, что прямой перебор всех возможных функций секретности и поиск рациональной функции практически нереализуем из-за большого количества оценок, которые должны быть проведены.