Разделение рисков на приемлемые и не приемлемые

Другой способ оценивания рисков состоит в разделении их только на приемлемые и не приемлемые. Подход основывается на том, что количественные показатели рисков используются только для их упорядочивания и определения первоочередных действий. Но этого можно достичь и с меньшими затратами.

Матрица, используемая в данном подходе, содержит не числа, а только символы Д (риск допустим) и Н (риск не допустим). Например, может быть использована матрица такого вида:

 

Показатель ресурса	Показатель частоты
	Д	Д	Д	Д	Н
…	Д	Д	Д	Д	Н
	Н	Н	Н	Н	Н

Вопрос о том, как провести границу между приемлемыми и не приемлемыми рисками, остается на усмотрении пользователя.

МЕТОДЫ И МЕТОДИКИ ПРОЕКТИРОВАНИЯ

Модели систем и процессов ЗИ

Модель СЗИ

Известно, что в области IT давно и достаточно успешно применяется стековая модель описания сложных информационных систем, в которой система рассматривается в виде иерархии нескольких функционально-единообразных уровней. Поскольку любая СЗИ в конечном итоге должна «накладываться» на реальную информационную систему, для ее описания также целесообразно использовать многоуровневую иерархическую модель. Это позволит, с одной стороны, четко определить основные задачи, решаемые в рамках СЗИ, а также систему связей между этими задачами и, с другой стороны, корректно описать порядок взаимодействия двух различных СЗИ. Таким образом типовую модель СЗИ можно рассмотреть в виде следующих пяти функциональных уровней:

1) физический уровень: физическая охрана помещений, в которых обрабатывается или хранится конфиденциальная информация; организация контроля доступа сотрудников в данные помещения; ответственное хранение резервных (архивных) копий конфиденциальных информационных ресурсов; обеспечение энерго- и пожаробезопасности всей АС в целом и др.;

2) технологический уровень: устранение угроз БИ, связанных с использованием некачественных аппаратно-технических средств обработки и хранения информации и систем передачи данных; контроль качества (в том числе целостности) используемого программного обеспечения; организация резервных хранилищ данных, кластеров; периодическое архивирование данных; контроль лицензионной политики; организация защиты от вредоносных и разрушающих программ и т.д.;

3) пользовательский уровень: устранение угроз, связанных с некорректными (случайными, ошибочными и т.д.) действиями персонала или умышленными действиями нелояльных сотрудников компании или третьих лиц (разграничение доступа к информационным ресурсам, защита от НСД, аутентификация пользователей, включая удаленных и мобильных сотрудников компании и т.д.);

4) сетевой уровень: СЗИ на этом уровне должна устранить угрозы, исходящие от злоумышленников, находящихся как внутри, так и вне пределов защищаемой АС на уровне базовой сетевой инфраструктуры (сегментация ЛВС по уровням конфиденциальности обрабатываемой информации, ЗИ при ее передаче по внешним и внутренним каналам связи, защита от внешних вторжений и т.д.);

5) уровень управления: организация связи с системой управления АС (если таковая есть); управление, координация и контроль осуществляемых организационных и технических мероприятий на всех низлежащих уровнях СЗИ; контроль полноты реализации функций ЗИ на каждом из уровней и неразрывности функционирования СЗИ при переходе от уровня к уровню; окончательный (а далее периодический) контроль стойкости и комплексности всей СЗИ в целом (например, путем применения специальных технических средств «дружественного взлома») и т.д:

Рис. 23. Многоуровневая модель СЗИ.

Следует сказать, что в конкретной АС наличие всех пяти уровней СЗИ в явном виде не всегда обязательно, хотя стойкость СЗИ напрямую зависит от наличия каждого уровня и его функционального наполнения.

Модель HRU

Модель названа по именам создавших ее в 1975 году авторов – Harrison, Ruzzo, Ulman. В этой модели определены следующие множества:

О – множество объектов системы,

S – множество субъектов (S∈O),

R – множество прав доступа субъектов к объектам (r,w,х)

M(S,O)∈R – матрица доступа (дискреционная модель).

Изменения в матрице описываются следующими операторами:

 

Оператор	Условие выполнения	Новое состоянии системы
внести право rÎR в матрицу доступа M(S,O)	sÎS, oÎO	S’=S, O’=O, M’(S,O)=M(S,O)È{r}, (S’,O’)¹(S,O)=>M’(S’,O’)¹M(S,O)
удалить право rÎR из матрицы доступа M(S,O)	sÎS, oÎO	S’=S,O’=O, M’(S,O)=M’(S,O)\{r}, (S’,O’)¹(S,O)=>M’(S’,O’)¹M(S,O)
создать субъект s’	s’ÏS	S’=SÈ{s’},O’=OÈ{s’}, (S,O)ÎSxO’=>M’(S,O)=M(S,O), oÎO’ => M’(S’,O)=Æ, sÎS’=>M’(S,O’)=Æ
создать объект o’	o’ÏO	S’=S, O’=OÈ{o’}, (S,O)ÎSxO=>M’[S,O]=M[S,O], sÎS’=>M’[S’,O]=Æ
уничтожить субъект s’	s’ÎS	S’=S/{s’},O’=O/{s’}, (S,O)ÎS’xO’=>M’(S,O)=M(S,O)
уничтожить объект o’	o’ÎO, o’ÏS’	S’=S, O’=O/{o’}, (S,O)ÎS’xO’=>M’(S,O)=M(S,O)

Проверка безопасности выполняемых операций заключается в доказательстве того, что:

1) начальное состояние безопасно,

2) в результате выполнения операции осуществляется переход в безопасное состояние.

Проверка безопасности заключается в тотальном переборе всех последовательностей команд и проверки для каждой из них конечного состояния на отсутствие утечки права. Задача алгоритмически разрешима, поскольку число команд конечно.

Кроме предложенных моделей существует огромное множество:

· трехмерная модель СЗИ,

· пятимерное пространство Хартсона,

· модель безопасности для системы разделения времени ADEPT-50,

· модель Белла ЛаПадула,

· ролевая модель безопасности,

· потоковые модели…