Формулирование требований к системе защиты информации

Формализация описания архитектуры исследуемой АС

Согласно требованиям РД Гостехкомиссии, начиная с 3 класса защищенности разрабатываемые СВТ должны иметь формальную модель механизма управления доступом. Наличия аналогичного требования для АС в целом в существующих нормативных документах авторам неизвестно. Вместе с тем, в соответствие с международными стандартами (в первую очередь, 17799), такая модель должна разрабатываться.

После неформального описания АС и правил политики безопасностью, производится формализация этого описания и правил ПБ в терминах формальной модели безопасности, приведенной в главе 11.

Выявляются объекты и субъекты вычислительной сети, а также основные операции, применимые к ним. Применение формальной модели позволяет обосновать практическую пригодность системы безопасности, определяя ее базовую архитектуру и используемые технологические решения при ее построении. В терминах формальной модели задаются достаточные и необходимые условия выполнения политики безопасности. В итоге формируются множества {А}, {S}, {O}, {Operate}: всех субъектов, объектов, возможных операций и «ответственных» за них администраторов. На данном этапе проектировщик оперирует требованиями к безопасной реализации субъекта, объекта и отдельной операции, их совокупность позволяет сформулировать требования ко всей системе защиты.

На этапе подтверждения соответствия АС требованиям безопасности информации (проведения ее аттестации) испытательной лаборатории необходимо проанализировать модель СЗИ, стойкость предлагаемых разработчиком протоколов, а также соответствие модели реально разработанной СЗИ.

Политика безопасности интерпретируется для реальной АС и реализуется используемыми средствами и механизмами информационной безопасности и их соответствующей настройкой. Основываясь на результатах предыдущего этапа, производится распределение функций обеспечения информационной безопасности между субъектами и администраторами ресурсов системы. На данном этапе целесообразна декомпозиция множеств {S}, {O}, {Operate} по подсистемам: {S} = {S1} U {S2} U … U {Sn} {O} = {O1}U {O2} U … U {On}, {Operate} = {Operate1} U … U {Operaten}. В итоге каждую подсистему системы защиты характеризует следующий состав: {Si} U {Oi} U {Operatei}. Формулируется совокупность требований ко всей подсистеме на основе сочетания требований к множествам {Si}, {Oi} и {Operatei}, составляющим данную подсистему. Среди подсистем можно выделить специализированные механизмы обеспечения информационной безопасности: администратор сети, администратор системы, администратор управления, разграничения доступом и т.п.

Требования, как правило, целесообразно предъявлять в виде «такой-то показатель качества должен быть не меньше (не больше) допустимого при определенных ограничениях». В качестве ограничений выступает обычно защищенность, стоимость, реализуемость, потребное количество памяти и вычислительного ресурса.

Показатель качества целесообразно ввести следующим образом. Пусть злоумышленник генерирует n угроз, каждая из которой характеризуется вероятностью появления и появляющимся при ее реализации ущербом , в совокупности образующие риск от угрозы. Пусть средства защиты информации образуют вектор из m элементов , их стоимость образует вектор той же размерности С. В результате применения j-го средства защиты информации происходит уменьшение риска на некоторую величину . Тогда задача синтеза оптимальной системы защиты информации может быть сформулирована в виде

. (9.1)

При условии независимости угроз и их аддитивности, а также с учетом вероятностного характера устранения угроз со стороны СЗИ , получаем следующее выражение для общего предотвращенного ущерба:

, (9.2)

где - нанесенный j-й угрозой ущерб.

Рассмотрим входящие в выражение (9.2) величины. Вероятность появления угрозы определяется статистически или на основе экспертного опроса. Ущерб, наносимый угрозой может выражаться в денежном эквиваленте, а также в объеме уничтоженной (раскрытой) информации и т.п.

Наиболее сложным вопросом является определение вероятности устранения i -й угрозы при проектировании j-го СЗИ. Сделаем естественное допущение, что эта вероятность определяется тем, насколько полно учтены качественные и количественные требования к СЗИ при их проектировании, т.е.

, (9.3)

где - степень выполнения k-го требования к j-му СЗИ. Требования могут быть количественные и качественные. Для количественных требований можно ввести меру, показывающую близость требований к заданным, например, среднеквадратическое отклонение. Для качественных требований эта мера может быть логической: «выполнено»-«не выполнено» либо иметь определенные градации, например, «отлично», «хорошо», «удовлетворительно», «неудовлетворительно».

Можно ввести понятие относительного показателя защищенности – количественной характеристики, которой могут обладать средства защиты, систем и подсистемы безопасности. Значение этого показателя может лежать в пределах [0,1), (уровень безопасности на практике не может достигать 100%).

В работе [25] приведены также еще следующие требования к системе защиты информации:

1. Требования к корректности реализации механизмов защиты. Этими требованиями должны быть определены основополагающие принципы реализации каждого механизма защиты, выполнение которых является необходимым для разработчика средств защиты, так как это обеспечивает корректность реализации механизмов защиты.

2. Требования к комплексированию механизмов защиты. В этих требованиях должны быть определены принципы комплексирования корректно исполненных механизмов в единую систему защиты, выполнение которых обеспечивает достаточность набора механизмов защиты для условий применения системы.

3. Требования к обеспечению необходимого уровня доверия потребителя системы защиты к ее разработчику. В этих требованиях должны быть определены условия, выполнением которых разработчик обеспечит необходимый уровень доверия к нему, а как следствие, и к поставляемой им системе, потребителя.

Первое и третье из этих требований связано с технологическим процессом разработки СЗИ и удовлетворяются за счет выполнения разработчиком лицензионных требований ФСТЭК России, а также проверяются на этапе сертификации.

Требования по комплексированию формулируют условия применения системы защиты. Целесообразность учета подобных требований заключается в том, что условия практического использования систем защиты могут существенно различаться. Система защиты информации, реализующая всю совокупность механизмов защиты, обеспечивающая все возможные условия ее использования, в большинстве случаев может оказаться нерациональной.

Таким образом, данной группой требований решается задача формирования в каждом конкретном случае использования системы защиты необходимого набора механизмов защиты, после чего необходимо приступить к выбору СЗИ, реализующих данные механизмы.