Материал: Причины и условия, источники и способы дестабилизирующего воздействия на защищаемую информацию

В соответствии с изложенным общая модель процесса нарушения физической целостности информации на объекте АСОД может быть представлена так, как показано на рис. 2.

С точки зрения несанкционированного получения информации принципиально важным является то обстоятельство, что в современных АСОД оно возможно не только путем непосредственного доступа к базам данных, но и многими путями, не требующими такого доступа. При этом основную опасность представляют злоумышленные действия людей. Воздействие случайных факторов само по себе не ведет к несанкционированному получению информации, оно лишь способствует появлению КНПИ, которыми может воспользоваться злоумышленник. Структурированная схема потенциально возможных злоумышленных действий в современных АСОД для самого общего случая представлена на рис. 3.

Рис. 2. Общая модель процесса нарушения физической целостности информации

Выделенные на рисунке зоны определяются следующим образом:

) внешняя неконтролируемая зона - территория вокруг АСОД, на которой персоналом и средствами АСОД не применяются никакие средства и не осуществляются никакие мероприятия для защиты информации;

) зона контролируемой территории - территория вокруг помещений АСОД, которая непрерывно контролируется персоналом или средствами АСОД;

) зона помещений АСОД - внутреннее пространство тех помещений, в которых расположены средства системы;

) зона ресурсов АСОД - та часть помещений, откуда возможен непосредственный доступ к ресурсам системы;

) зона баз данных - та часть ресурсов системы, с которых возможен непосредственный доступ к защищаемым данным.

Рис. 3. Структурированная схема потенциально возможных
злоумышленных действий в АСОД

Злоумышленные действия с целью несанкционированного получения информации в общем случае возможны в каждой из перечисленных зон. При этом для несанкционированного получения информации необходимо одновременное наступление следующих событий: нарушитель должен получить доступ в соответствующую зону; во время нахождения нарушителя в зоне в ней должен проявиться (иметь место) соответствующий КНПИ; соответствующий КНПИ должен быть доступен нарушителю соответствующей категории; в КНПИ в момент доступа к нему нарушителя должна находиться защищаемая информация.

Рассмотрим далее трансформацию общей модели уязвимости с точки зрения несанкционированного размножения информации. Принципиальными особенностями этого процесса являются:

) любое несанкционированное размножение есть злоумышленное действие;

) несанкционированное размножение может осуществляться в организациях-разработчиках компонентов АСОД, непосредственно в АСОД и сторонних организациях, причем последние могут получать носитель, с которого делается попытка снять копию как законным, так и незаконным путем.

Попытки несанкционированного размножения информации у разработчика и в АСОД есть один из видов злоумышленных действий с целью несанкционированного ее получения и поэтому имитируются приведенной выше моделью (см. рис. 3). Если же носитель с защищаемой информацией каким-либо путем (законным или незаконным) попал в стороннюю организацию, то для его несанкционированного копирования могут использоваться любые средства и методы, включая и такие, которые носят характер научных исследований и опытно-конструкторских разработок. Тогда модель процесса размножения в самом общем виде может быть представлена так, как показано на рис. 4.

В процессе развития теории и практики защиты информации сформировалось три методологических подхода к оценке уязвимости информации: эмпирический, теоретический и теоретико-эмпирический.

Сущность эмпирического подхода заключается в том, что на основе длительного сбора и обработки данных о реальных проявлениях угроз информации и о размерах того ущерба, который при этом имел место, чисто эмпирическим путем устанавливаются зависимости между потенциально возможным ущербом и коэффициентами, характеризующими частоту проявления соответствующей угрозы и значения имевшего при ее проявлении размера ущерба.

Наиболее характерным примером моделей рассматриваемой разновидности являются модели, разработанные специалистами американской фирмы IBM. Рассмотрим развиваемые в этих моделях подходы.

Рис. 4. Общая модель процесса несанкционированного копирования информации

Исходной посылкой при разработке моделей является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой, обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на систему защиты и потерь от ее нарушения.

Математическое выражение зависимости ожидаемой полной стоимости будет иметь вид:

C = Cd + Cр ,

Cd - стоимость ущерба при нарушении защищенности информации;

Cр - стоимость затрат на обеспечение защиты информации.

Следовательно, оптимальная полная стоимость затрат определяется гарантированным уровнем защищенности при допустимом значении стоимости ущерба, то есть:

Сорt = min (Cd+ Cр).

Указанная зависимость графически представлена на рис. 5.

Очевидно, что оптимальным решением было бы выделение на защиту информации средств в размере Сорt, поскольку именно при этом обеспечивается минимизация общей стоимости защиты информации.

Рис. 5. Стоимостные зависимости защиты информации

Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо, во-первых, знать (или уметь определять) ожидаемые потери при нарушении защищенности информации, а во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.

Решение первого вопроса, т.е. оценки ожидаемых потерь при нарушении защищенности информации, принципиально может быть получено лишь тогда, когда речь идет о защите промышленной, коммерческой и им подобной тайны, хотя и здесь встречаются весьма серьезные трудности. Что касается оценки уровня потерь при нарушении статуса защищенности информации, содержащей государственную, военную и им подобную тайну, то здесь до настоящего времени строгие подходы к их получению не найдены. Данное обстоятельство существенно сужает возможную область использования моделей, основанных на рассматриваемых подходах.

Для определения уровня затрат, обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать, во-первых, полный перечень угроз информации, во-вторых, потенциальную опасность для информации каждой из угроз и, в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.

Кроме того, чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять) ожидаемые потери при нарушении защищенности информации и знать зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.

Совершенно очевидно, что оптимальным решением было бы выделение на защиту информации средств в размере Сорt, поскольку именно при этом обеспечивается минимизация общей стоимости защиты информации.

Решение первого вопроса, т.е. оценки ожидаемых потерь при нарушении защищенности информации, принципиально может быть получено лишь тогда, когда речь идет о защите промышленной, коммерческой и им подобной тайны, хотя и здесь встречаются весьма серьезные трудности. Что касается оценки уровня потерь при нарушении статуса защищенности информации, содержащей государственную, военную и им подобную тайну, то здесь до настоящего времени строгие подходы к их получению не найдены. Данное обстоятельство существенно сужает возможную область использования моделей, основанных на рассматриваемых подходах.

Для определения уровня затрат, обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать, во-первых, полный перечень угроз информации, во-вторых, потенциальную опасность для информации каждой из угроз и, в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.

Рис. 6. Вероятностно-автоматная модель ТСК АСОД (ВА - вероятностный автомат; ДФ - дестабилизирующий фактор)

Рассмотрим далее статистические модели определения значений базовых показателей уязвимости. В силу целого ряда объективных причин далеко не всегда можно рассчитывать на наличие надежных исходных данных, необходимых для определения рассмотренных показателей уязвимости. В качестве выхода из положения в таких ситуациях предлагается использовать статистические модели.

Рассмотрим пути и способы использования унифицированной модели для определения значений базовых показателей уязвимости информации. Применительно к модели определения показателей уязвимости информации структура и содержание этого блока в виде вероятностно-автоматной модели ТСК показаны на рис. 6.

Последовательность реализации приведенной модели (рис. 6) представлена на рис. 7.

В свою очередь центральным блоком рассмотренной здесь модели является блок 5.4. На вход этого блока поступают потоки заявок на автоматизированную обработку информации, потоки дестабилизирующих факторов, под воздействием которых может быть нарушен установленный статус защищенности обрабатываемой информации, а также потоки воздействий на процесс обработки информации и дестабилизирующие факторы используемых средств защиты.

В зависимости от сочетания значений параметров перечисленных потоков изменяется внутреннее состояние моделируемого объекта или процесса и формируются данные о наличии или отсутствии и масштабах нарушения защищенности информации.

Рис. 7. Укрупненная схема модели определения показателей уязвимости информации

.        Факторы, влияющие на требуемый уровень защиты информации

Требуемый уровень защиты информации в конкретной АСОД и в конкретных условиях ее функционирования существенно зависит от учета факторов, которые существенно влияют на защиту информации. Следовательно, формирование возможно более полного множества этих факторов и возможно более адекватное определение степени их влияния на требуемый уровень защиты представляется задачей повышенной важности и подлежащей упреждающему решению.

Сформулированная задача, однако, практически не поддается решению традиционными формальными методами. Если бы в наличии были статистические данные о функционировании систем и механизмов защиты информации в различных АСОД (различных по функциональному назначению, архитектуре, характеру обрабатываемой информации, территориальному расположению, технологии обработки информации, организации работы и т.п.), то, вообще говоря, данную задачу можно было бы решить статистической обработкой этих данных, по крайней мере, по некоторому полуэвристическому алгоритму. Но такие данные в настоящее время отсутствуют, и их получение в обозримом будущем представляется весьма проблематичным. В силу сказанного в настоящее время для указанных целей можно воспользоваться лишь неформально-эвристическими методами, т.е. с широким привлечением знаний, опыта и интуиции компетентных и заинтересованных специалистов.

Ниже излагаются возможные подходы к решению рассматриваемой задачи названными методами.

Нетрудно видеть, что задача довольно четко может быть разделена на две составляющие: формирование возможно более полного и хорошо структурированного множества факторов, существенно значимых с точки зрения защиты информации, и определение показателей значимости (веса) факторов. В классе неформально-эвристических методов можно выделить методы экспертных оценок, мозгового штурма и психо-интеллектуальной генерации. Анализируя содержание выделенных составляющих задач и существо названных неформально- эвристических методов, можно заключить, что для решения первой из них наиболее подходящим представляется метод психо-интеллектуальной генерации, а второй - методы экспертных оценок. Что касается метода мозгового штурма, то он может быть использован для решения обеих составляющих задач, особенно для обсуждения ранее полученных решений.

Основным реквизитом метода психо-интеллектуальной генерации выступает так называемая психо-эвристическая программа (ПЭП), представляющая собой перечень и последовательность (общий алгоритм) обсуждения вопросов, составляющих существо решаемой задачи, развернутую схему обсуждения каждого вопроса, а также методические указания, обеспечивающие целенаправленное обсуждение каждого из выделенных в общем алгоритме вопросов.

При разработке ПЭП для обоснования множества факторов, влияющих на требуемый уровень защиты информации, следует исходить из того, что этих факторов, вообще говоря, большое количество и они носят разноплановый характер. Поэтому представляется целесообразным разделить их на некоторое число групп, каждая из которых объединяла бы факторы какого-либо одного плана. Тогда задачу формирования возможно более полного множества факторов можно решать по трех шаговой процедуре: первый шаг - формирование перечня групп факторов, второй - формирование перечня факторов в каждой из выделенных групп, третий - структуризация возможных значений двух факторов. Общая схема ПЭП для решения рассматриваемой задачи по такой процедуре представлена на рис.8.

Главный вопрос - первоначальное формирование перечня групп факторов. Решение данного вопроса может осуществляться двояко: перечень групп факторов предварительно сформирован или такой перечень отсутствует. В первом случае обсуждение должно вестись в целях обоснования содержания и возможной корректировки перечня, во втором формирования перечня и затем уже его обоснования и уточнения.

Рис.8. Общая структура программы формирования перечня факторов, влияющих на требуемый уровень защиты информации

6.      Взаимосвязь понятий "защита информации", "безопасность информации" и "информационная безопасность"

Поскольку нарушение статуса информации выражается в различных формах проявления уязвимости информации, а все формы сводятся к двум видам уязвимости (утрата и утечка), содержательную часть понятия "защита информации" можно определить как предотвращение утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации.

Вторая составляющая сущности защиты информации - способ реализации содержательной части - в толковых словарях представлена как процесс или как совокупность методов, средств и мероприятий. Действительно, защита информации включает в себя определенный набор методов, средств и мероприятий, однако ограничивать способ реализации защиты только этим было бы неверно. Защита информации должна быть системной, а в систему помимо методов, средств и мероприятий входят и другие компоненты: объекты защиты, органы защиты, пользователи информации.

При этом защита не должна представлять собой нечто статичное, она должна осуществляться непрерывно. Этот процесс происходит не сам по себе, а в результате определенной деятельности людей, которая, по определению, включает в себя цели, средства и результат. Защита информации не может быть бесцельной, безрезультатной и осуществляться без помощи определенных средств. Поэтому именно деятельность и должна быть способом реализации содержательной части защиты.