ктн,
доцент Василенко В. С., Шабатенко Д.П.
Національний авіаційний університет (НАУ), Україна
Прогнозування залишкового ризику при
забезпеченні доступності інформаційних ресурсів
Для забезпечення технічного захисту інформації в
інформаційно ‒ телекомунікаційних системах (ІТС) у відповідності з
Законами, державними стандартами України і з вимогами нормативних документів із
технічного захисту інформації (ТЗІ) необхідна розробка та використання
комплексної системи ТЗІ. Така система захисту інформації повинна передбачати
централізоване управління технічними засобами й організаційними заходами на
основі визначених власником плану технічного захисту інформації автоматизованої
системи, та його складової – порядку забезпечення захисту інформації ІТС, які
забезпечують реалізацію основних властивостей захищеності інформації. З цією
метою в процесі розробки й використання ІТС необхідно визначати чи оцінювати
сукупність заходів та засобів захисту ресурсів ІТС та їх достатність для
адекватної протидії можливим загрозам та каналам їх реалізації, а також
оцінювати ступінь захищеності ресурсів ІТС при застосуванні визначеної
сукупність заходів та засобів. Для прогнозування ступіні захищеності ресурсів
ІТС слід використовувати викладену нижче методику, яка передбачає:
визначення та класифікація порушників;
визначення сукупностей загроз кожній із властивостей
захищеності інформації ІТС та усіх можливих контрзаходів для їх блокування чи
усунення;
вибір показників
захищеності ресурсів ІТС;
розроблення методик для визначення показників для
прогнозування чи оцінки захищеності (степені забезпечення кожної із
властивостей захищеності) інформації ІТС та побудову моделей процесів взаємодії
можливих засобів реалізації загроз цим властивостям захищеності із сукупністю
можливих засобів протидії цим загрозам;
розроблення структури системи забезпечення
функціональних властивостей захищеності інформації та загальної структури
системи забезпечення захищеності інформації ІТС;
вибір основних рішень із забезпечення безпеки
інформації (заходів та засобів забезпечення захищеності інформації) ІТС,
включаючи, перш за все, передбачені Державними стандартами та нормативними
документами Державної служби спеціального зв’язку та захисту інформації
організаційні заходи, первинні технічні та основні технічні засоби технічного
захисту інформації;
оцінку залишкового ризику – ймовірностей реалізації
загроз кожній із властивостей захищеності в умовах застосування засобів
технічного захисту інформації розробленої структури.
Реалізація системою технічного захисту інформації
визначених нормативними документами функціональних послуг надає захищеній
системі та її інформації властивості, які прийнято називати властивостями
захищених систем чи властивостями захищеної інформації. Ці властивості також
мають назву конфіденційності, цілісності та доступності. При цьому вплив загроз
на ресурси захищеної системи можна представити у вигляді абстрактної моделі
процесу ТЗІ ІТС (рисунок 1). На цьому рисунку ЗК, ЗЦ, ЗД – загрози
конфіденційності, цілісності, та доступності відповідно; ЗЗК, ЗЗЦ, ЗЗД, ЗЗС –
засоби забезпечення конфіденційності, цілісності, та доступності відповідно.
Така модель у подальшому при її деталізації, особливо
в частині взаємодії “загроза – засіб протидії загрозі” дозволяє вибрати
найбільш ефективну структуру системи захисту ресурсів ІТС та визначити їх
параметри чи характеристики.
Рис. 1
Абстрактна модель процесу ТЗІ ІТС
Одним із перших і, основних, висновків з аналізу
розглянутих нормативних документів та абстрактної моделі ТЗІ ІТС зводиться до
необхідності розробки чи застосування засобів та механізмів забезпечення
конфіденційності, цілісності, доступності ресурсів ІТС та спостереженості за
будь-якими подіями, що пов’язані із санкціонованим і, особливо,
несанкціонованим доступом до ресурсів ІТС, а також до елементів системи захисту
ІТС.
Для прогнозування ефективності засобів забезпечення
функціональних послуг чи функціональних властивостей чи, навпаки, ефективності
загроз цим функціональним властивостям доцільно використовувати їх кількісні
характеристики. В якості таких кількісних характеристик функціональних послуг
чи функціональних властивостей пропонується використовувати:
1. Кількісну характеристику конфіденційності
інформації – ймовірність змістовного (тобто з розумінням змісту) читання
інформації, яка визначається:
або ймовірністю несанкціонованого доступу (при
забезпеченні конфіденційності лише засобами обмеження доступу);
або криптографічною стійкістю зашифрованої інформації
(при забезпеченні конфіденційності лише засобами криптографічного перетворення
інформації);
або ймовірністю несанкціонованого доступу та
криптографічною стійкістю зашифрованої інформації (при забезпеченні
конфіденційності як засобами обмеження доступу, так і засобами криптографічного
перетворення інформації).
2. Кількісну характеристику цілісності ресурсу
(інформації) яка визначається:
або ймовірністю виводу з ладу (при навмисних чи
випадкових впливах користувачів на фізичні ресурси);
або ймовірністю виходу з ладу (при впливах природних
факторів на фізичні ресурси);
або ймовірністю спотворення інформації (при навмисних
чи випадкових впливах користувачів, а також при впливах природних факторів на
інформаційні ресурси).
3. Кількісні характеристики доступності ресурсу
(інформації) які визначаються:
часом затримки в доступі до ресурсу (чи в доставлянні
інформації);
ймовірностями (аналогічно ймовірностям щодо
цілісності) виводу з ладу, або виходу з ладу, або спотворення, залежно від того
здійснюється вплив чи на фізичні, чи на інформаційні ресурси.
Визначення величин означених кількісних характеристик
дозволяє оцінити ефективність застосованих чи проектуємих до впровадження
засобів захисту.
Таким чином, в
статті пропонуються кількісні характеристики забезпечення доступності,
цілісності та конфіденційності інформації, які можна використовувати для оцінки
та прогнозування залишкового ризику в системах захисту відповідних ресурсів ІТС .