С.С. Бучик, к.т.н, доц.;
Житомирський військовий інститут імені С.П. Корольова
Державного
університету телекомунікацій
МЕТОДИКА
ОЦІНКИ ФУНКЦІОНАЛЬНИХ ПРОФІЛІВ ЗАГРОЗ
ДЕРЖАВНИМ ІНФОРМАЦІЙНИМ РЕСУРСАМ
В зв’язку з прагненням України до
Євроінтеграції виникає необхідність вже зараз впроваджувати основні стандарти
інформаційної безпеки на державному рівні і, в першу чергу, це повинно
стосуватися захисту державних інформаційних ресурсів (ДІР). В [1] запропонована методологія побудови класифікатора загроз
ДІР, де приведені функціональні профілі загроз ДІР нормативно-правового спрямування
(НПС). В зв’язку з цим виникає подальша необхідність їх оцінки. Таким чином,
тематика дослідження є актуальною.
Базуючись на методології побудови класифікатора загроз
державним інформаційним ресурсам (ДІР), що приведена в [1], розглянемо
основи методики оцінки функціональних профілів їх загроз, що є подальшим
удосконаленням раніше запропонованих підходів теорії ризиків. В якості базових
використаємо наступні показники, позначення та шкали:
A – можливість запобігання – оцінюються можливості
запобігання загрозі: 1 – легко; 2 – важко; 3 – дуже важко; 4 – неможливо.
B – виявлення загрози – оцінюється можливість
виявлення загрози: 1 – легко; 2 – важко; 3 – неможливо.
C – можливість нейтралізації
і відновлення. Оцінюються зусилля необхідні для нейтралізації загрози або відновлення
нормальної роботи: 1 – легко; 2– важко; 3 – дуже важко; 4 – неможливо.
D – частота появи. Вказана оцінка
відображає порівняльну характеристику частоти появи конкретної загрози в порівнянні з іншими загрозами: 0 – невідома; 1 – низька;
2 – середня; 3 – висока; 4 – дуже висока.
Для практичної направленості можна
спершу дану загрозу не враховувати, тобто обрати частоту появи однакову, та
обрати її 1 – низька. Але в подальшому при побудові системи оцінки безпеки
інформації необхідно здійснити накопичення статистики на протязі року і в
наступному обов’язково не тільки врахувати але й уточнювати.
E – потенційна небезпека – оцінюється небезпека загрози
з точки зору збитку, якого зазнає ресурс в разі реалізації загрози: 1 – низька;
2 – висока; 3 – дуже висока.
F – джерело виникнення: 1 – внутрішнє; 2 –
зовнішнє.
Під внутрішнім джерелом
розуміється дія внутрішніх чинників, таких, як персонал, збої і тому подібне До
зовнішніх відносять такі чинники, як: стихійні лиха, техногенні чинники
(наприклад, відключення електроенергії), навмисні дії окремих порушників або
груп на безпеку ресурсу.
G – рівень необхідних
знань –
оцінюється рівень професійної підготовки порушників для підготовки і реалізації
відповідної загрози: 1 – фундаментальні знання системної організації ресурсів,
протоколів зв'язку та інше; 2 – знання операційної системи; 3 – знання мов
програмування; 4 – елементарні знання в області обчислювальної техніки. Слід зазначити,
що чим вище рівень необхідних знань для реалізації загрози, тим менше її
привабливість.
H – витрати на
проектування і розробку зловживання: 1 – великі; 2 – середні; 3 – незначні витрати.
I – простота реалізації: 1 – дуже важко; 2 –
важко; 3 – відносно неважко; 4 – легко;
J – потенційне покарання в
рамках існуючого законодавства. Слід зазначити, що необхідно розглядати такі аспекти, як
накладання дисциплінарних стягнень, притягнення до цивільної та кримінальної
відповідальності. При оцінці загроз за даним критерієм слід брати до уваги факт
можливості доказу авторства програмної загрози і наявність юридичної
відповідальності за відповідні порушення: 1 – строге покарання (аж до
кримінальної відповідальності); 2 – незначне покарання; 3 – покарання відсутнє.
Оцінку
функціональних профілів загроз ДІР необхідно проводити за відповідними видами
загроз (конфіденційність, цілісність, доступність) та спрямуваннями
(нормативно-правового, організаційного, інженерно-технічного). Для прикладу,
здійснимо оцінювання функціонального профілю загроз нормативно-правового
спрямування для функціонального профілю «01.3. Доступність» (табл.1).
Таблиця 1
Приклад
оцінки функціональних профілів загроз ДІР нормативно-правового спрямування для
функціонального профілю «01.3. Доступність»
|
01.3.
Доступність |
||||||||||||
|
01.3.1 |
Порушення положення про порядок
доступу/допуску суб’єктів до
відомостей, що становлять державну таємницю (або є власністю держави) |
1 |
1 |
2 |
1 |
2,3 |
1 |
4 |
3 |
2 |
1 |
2,28 |
|
01.3.2 |
Знищення або блокування ДІР |
2 |
1,2 |
3,4 |
1 |
2,3 |
1,2 |
1,2,3 |
1,2 |
2 |
1 |
2,13 |
|
01.3.3 |
Комп'ютерна злочинність,
комп'ютерний тероризмк,ц,д |
3 |
2,3 |
3,4 |
1 |
3 |
1,2 |
1,2,3 |
1 |
1,2 |
1 |
2,20 |
|
01.3.4 |
Порушення встановленого
регламенту збирання, обробки, зберігання і передачі інформації з обмеженим
доступом в органах військового управління та на підприємствах
оборонно-промислового комплексу Україник,ц,д |
2 |
1,2 |
1 |
1 |
2,3 |
1,2 |
1,2,3 |
2,3 |
2 |
1 |
2,05 |
|
01.3.5 |
Низький рівень інформатизації
органів державної владик,ц,д,01,02,03 |
2 |
1,2 |
2 |
1 |
2 |
1,2 |
1,2,3 |
2 |
3 |
2,3 |
2,18 |
|
01.3.6 |
Зниження наукового потенціалу в
галузі інформатизації та зв'язку к,ц,д,01,02,03 |
2 |
1,2 |
2 |
1 |
3 |
1,2 |
1,2,3 |
2 |
2,3 |
2,3 |
2,20 |
|
01.3.7 |
Використання (шантаж, підкуп
тощо) з корисливою метою персоналу, якій має доступ до ДІРк,ц,д,01,02 |
3 |
2 |
2,3 |
1 |
2,3 |
1,2 |
4 |
1 |
2 |
1 |
2,23 |
|
01.3.8 |
Крадіжки носіїв інформації,
виробничих відходів (роздруків, записів, тощо)к,ц,д,01,02 |
2 |
1,2,3 |
2,3 |
1 |
2,3 |
1,2 |
1,4 |
1,2 |
2 |
1 |
2,13 |
|
Максимальна оцінка |
3 |
2,5 |
3,5 |
1 |
3 |
1,5 |
4 |
3 |
3 |
2,5 |
|
|
Комплексна
оцінка загроз за результатами оцінювання експертом розраховується за формулою 1 [2].
|
|
(1) |
де 
– оцінка i-го функціонального профілю загроз;
m – кількість параметрів
оцінки;
– максимальна оцінка за j
– м параметром, що визначається в межах певної властивості інформації
(конфіденційності, цілісності, доступності).
Таким
чином, в табл.1, на основі раніше розглянутих загроз ДІР нормативно-правового
спрямування [1],
загальному концептуальному аналізу загроз ДІР [3,4,5,6] та
практичного досвіду запропоновані оцінки функціональних профілів загроз ДІР НПС
для профілю «01.3. Доступність» (табл.1).
На
основі даних табл.1 побудовано графік розподілення оцінок загроз за відповідним
видом загрози (доступність), який представлений на рис.1.
На
основі аналізу рис.1 можна зробити попередній висновок, що комплексні оцінки
загроз розподілені для профілю «01.3. Доступність»
– від 2,05 до 2,28. Існують різні підходи щодо обирання критерію прийнятності
оцінки загрози [7,8]. В нашому випадку оберемо критерій прийнятності оцінки
функціональних профілів загроз на рівні 30%, але він може підвищуватись в
подальшому з урахуванням тих ресурсів, які необхідні для організації захисту
від загроз.
За аналогією з [7] можна зробити наступні висновки щодо подальшої обробки
загроз за відповідними профілями (табл.2).
Таблиця 2
01.3. Доступність
|
Кольорове маркування |
Діапазон значень комплексного
показника (на рівні 30%) |
Рішення про подальшу обробку
загрози |
|
Зелений |
2,05-2,12 |
Загрози даної групи
вважаються незначними. Необхідність обробки загроз відсутня. |
|
Жовтий |
2,13-2,28 |
Загрози даної групи вважаються значними. Заходи
по їх нейтралізації розробляються в обов’язковому порядку. |
Рис.1. Розподілення комплексних оцінок за
профілем «01.3. Доступність»
До основних результатів роботи можна віднести запропонований підхід щодо
оцінки функціональних профілів загроз ДІР, простоту проведення самої оцінки. Це
дає можливість в подальшому здійснити подібну оцінку (покращити існуючу) за
решти функціональних профілів загроз (організаційного та інженерно-технічного
спрямування). Даний підхід дозволяє впроваджувати зміну критерію прийнятності оцінки
загроз за рахунок введення додаткових маркувань (наприклад: зелений, жовтий,
червоний; низький, середній, високій і т.д), здійснювати врахування наявних
ресурсів для пошуку оптимального рішення. Даний підхід можна вважати
альтернативним в попередньому наближенні до того, що використовується згідно з
міжнародним стандартом ISO/IEC 27005:2011 [8].
СПИСОК ЛІТЕРАТУРИ
1.
Юдін О.К., Бучик С.С., Чунарьова А.В., Варченко О.І. Методологія побудови
класифікатора загроз державним інформаційним ресурсам / Наукоємні
технології.–2014.–№2(22) / Технічні науки. – С.200–210.
2.
Черней Г.А. Оценка угроз
безопасности автоматизированным информационным системам. – Режим доступу: http://www.ase.md/~osa/publ/ru/pubru01.html.
3.
Юдін О.К., Бучик С.С. Загрози державним інформаційним ресурсам: терміни та
визначення / Захист інформації. – 2014. – Том 16 (2) / Технічні науки. –
С.121-125.
4.
Yudin О., Buchyk S. The analysis of normatively–legal providing of defence
of state informative resources in informatiоn–telecommunication systems /
Science-based technologies . – 2013. – №2 (18) / Engineering Sciences. –
P.202-206.
5.
Юдін О.К., Бучик С.С. Концептуальний аналіз уразливості державних
інформаційних ресурсів / Наукоємні технології.–2013.–№3(19) / Технічні
науки.–С.299–304.
6.
Юдін О.К., Бучик С.С. Аналіз загроз державним інформаційним ресурсам /
Проблеми інформатизації та управління.–2013.–№4(44) / Технічні науки.–С.93–99.
7.
Дмитриев А. А.
Риск-менеджмент по требованиям международного стандарта ISO/IEC 27001. Один из
способов увидеть будущее без машины времени. – Режим доступу: http://www.das-management.info.
8.
BS ISO/IEC 27005:2011. Информационная технология - Методы и средства
обеспечения безопасности – Менеджмент риска информационной безопасности. – Режим доступу: http://www.klubok.net/Downloads-index-req-viewdownloaddetails-lid-424.html.