Технічний контроль ефективності заходів захисту інформації

Розділ 1

ОСНОВНІ ПРИНЦИПИ ОРГАНІЗАЦІЇ ТА ПРОВЕДЕННЯ ОЦІНКИ ІНФОРМЦІЙНОЇ ЗАХИЩЕНОСТІ В ІНФОКОМУНІКАЦІЯХ

Загальні підходи до оцінки інформаційної захищеності

 

Особливості безпеки полягають у тому, що вони, як правило, збільшують вартість системи та можуть ускладнити її використання [1, с. 35]. Таким чином, перед проектуванням системи безпеки (а краще, безпечної системи) спочатку необхідно ідентифікувати конкретні природні та антропогенні загрози, проти яких потрібен захист. Це відомо як оцінка загроз. Система уразлива у багатьох відношеннях, але використовуються лише деякі з уразливостей, тому що атакуючому недостає сприятливих можливостей, або тому що результат не виправдовує зусилля й є ризик виявлення. Детальні проблеми оцінки загроз, у широкому плані включають:

– ідентифікацію (визначення) уразливості системи;

– аналіз імовірності загроз, що спрямовуються на експлуатацію цієї уразливості;

– оцінювання наслідків, якщо кожна загроза може успішно здійснюватися;

– обчислення (оцінювання) вартості кожної атаки;

– оцінювання вартості потенційних контрзаходів;

– вибір механізмів безпеки, які обґрунтовані, можливо за допомогою використання аналізу вартості отриманої вигоди.

Нетехнічні заходи, як наприклад страхове забезпечення, можуть бути частковими економічними альтернативами технічним заходам безпеки. Повна технічна безпека, подібно повній фізичній безпеці, неможлива. Таким чином, задача полягає у тому, щоб вартість атаки стала достатньо високою, так щоб скоротився ризик до прийнятного рівня.

Має місце багатоплановість та надзвичайно широкий діапазон фізичних і логічних процесів оцінки захищеності інформаційних ресурсів.

Канали витоку можуть бути акустичними, віброакустичними, акустоелектричними та електроакустичними, електричними, електро-магнітними, побічних електромагнітних випромінювань та наведень (ПЕМВН), зокрема лазерними та інфрачервоними, оптикоелектронними, є різні параметричні технічні канали, хімічні, радіаційні канали витоку, оптичні (оптичного спостереження), витоку комутованими лініями, а також канали фізичного та нефізичного (віртуального, зокрема, віддаленого) несанкціонованого доступу до комп’ютерних систем.

Методи технічних розвідок дозволяють виявляти інформаційну складову сигналів на рівні природних завад, а за умови застосування спеціального цифрового оброблення сигналів (кореляційного аналізу тощо) й дещо нижче рівня природних завад. З іншого боку, каналами несанкціонованого витоку інформації можуть бути лінії електроживлення напругою 220/380 В.

Стає важливим проведення оцінок захищеності інформації у середовищах принципово різної природи – у фізичних середовищах й у віртуальних комп’ютерних середовищах. Для інфокомунікацій характерним є тісна взаємо-залежність цих середовищ: віртуальне середовище створюється операційними системами, програмними застосуваннями, протоколами, процедурами послуг тощо, а носіями віртуального середовища є фізичні канали, системи, інтерфейси, комутатори, інше обладнання.

У фізичних середовищах оцінка захищеності інформації здійснюється шляхом вимірювання фізичних величин: сили або напруги струму, напруженості електромагнітного або акустичного поля, звукового тиску тощо. Для оцінки захищеності обчислюється відношення або логарифм відношення значення фізичної величини до величини рівня завад. Головними оцінками є обчислена величина захищеності та величина похибки оцінки, які визначають разом певний рівень довіри до оцінки. Сигнали у фізичних середовищах мають скінченну дальність свого поширення, яка залежить від рівня сигналу джерела інформації.

У відповідності до Закону України «Про метрологію та метрологічну діяльність» діє Державна метрологічна система. Вона створює необхідні засади для забезпечення єдності вимірювань у державі, а її діяльність направлена на:

– реалізацію єдиної технічної політики у сфері метрології;

– захист громадян і національної економіки від наслідків недостовірних результатів вимірювань;

– підвищення рівня фундаментальних досліджень і наукових розробок;

– економію всіх видів матеріальних ресурсів;

– забезпечення якості та конкурентоспроможності вітчизняної продукції;

– створення нормативно-правових, нормативних, науково-технічних та організаційних основ забезпечення єдності вимірювань у державі.

Діяльність щодо забезпечення функціонування та розвитку державної метрологічної системи координує спеціально уповноважений центральний орган виконавчої влади у сфері метрології.

У віртуальних комп’ютерних середовищах інформація зберігається у кодованому вигляді. Фізичні параметри сигналів у комп’ютерних системах надто мало визначають зміст інформації. Знаки місцем свого існування мають коди. У віртуальному середовищі можливий віддалений доступ через телекомунікаційні канали. Дальність розповсюдження інформації практично безмежна, як на Землі, так і в Космосі. Поняття «периметра» має смисл лише для фізичного доступу.

У віртуальних комп’ютерних середовищах неможливо знайти фізичні величини, які характеризували б захищеність інформації. Інструментальні вимірювання мають лише допоміжне значення. На щастя, для інформаційних сфер, таких як освіта (оцінка успішності навчання), спорт (рейтинг спортсмена), мистецтво (рівень майстерності), оцінка якості продукції тощо, розвинені методи експертних оцінок. Експерти дають якісну оцінку певних явищ, процесів, властивостей тощо у певних умовних «шкалах». Довіра до таких оцінок досягається не величиною похибки вимірювань (вимірювання тут відіграють допоміжну роль), а чітким дотриманням науково обґрунтованої процедури проведення експертизи.

Класифікація та складна система взаємозв’язків методів, засобів, одиниць оцінки, гарантій оцінки, забезпечення єдності оцінки та довіри наведені у табл. 1.1. Далі надамо їм коротке обґрунтування. Детальний розгляд проводиться у наступних розділах, а деякі оцінки розглядаються в інших дисциплінах.

Таблиця 1.1 – Методи, засоби й одиниці оцінки інформаційної захищеності та гарантій захищеності

№ з/п	Вид захисту інформації	Методи та засоби оцінки	Одиниці оцінки	Гарантії оцінки	Забезпечення єдності оцінки та довіри
	Крипто- графічний	Розрахункові. Стійкість системи шифрування	Час розкриття методом прямого перебору	Теоретичне доведення, експеримент	Досягнута продуктивність обчислювальної техніки
	Від витоку технічними каналами*	Інструментальні. Метрологічні вимірювальні прилади	Відношення сигнал/шум. , дБ	Клас вимірювальних приладів, похибка вимірювання	Державна метрологічна система
	Від НСД до комп’ютерних систем	Експертні оцінки, аудит дослідження,	Одиниці умовних шкал	Кваліфікація експертів	Система державної експертизи
	Від фізичного НСД до носіїв інформації	Експертні оцінки, моделювання, атестація, аудит	Ймовірність подолання рубежів охорони	Кваліфікація експертів	Система атестації КЗЗ – комплексів засобів захисту
	Організаційні заходи (від людського фактора)	Експертні оцінки, атестація, аудит	Одиниці умовних шкал	Кваліфікація експертів	Система атестації КЗЗ
	Від вірусів	Експертиза. Статистичні дослідження. Оцінка ризиків	Ймовірності, математичне очікування, дисперсія	Довірчий інтервал (критерій Пірсона тощо)	Сертифікація. Система збору й аналізу статистичних даних
	За допомогою брандмауерів
	Система виявлення атак
* Засобом оцінки інформаційної захищеності від витоку хімічними каналами є хімічний аналіз, а одинця оцінки – коефіцієнт концентрації хімічної речовини.

 

Експертні оцінки сьогодні є найбільш поширеним засобом отримання та аналізу інформації стосовно рівня інформаційної безпеки системи. Успішне застосування методів експертних оцінок у багатьох випадках залежить від правильного застосування математичних методів, за допомогою яких здійснюється аналіз та оброблення експертної інформації. У тих випадках, коли об’єктивної інформації виявляється недостатньо для визначення числового значення необхідного критерію прийняття рішення, мають бути використані суб’єктивні оцінки, засновані на накопиченому досвіді, знаннях, поглядах та здогадках експертів, які залучаються до вироблення суб’єктивної оцінки.

Усі методи експертних оцінок можуть бути представлені двома класами:

– методи формування індивідуальних експертних оцінок;

– методи формування колективних експертних оцінок.

Для обох класів експертних оцінок для формалізації евристичної інформації використовують різні типи шкал, такі як: шкала класифікацій, шкала порядку, шкала інтервалів та шкала відношень.

Отриману від експертів евристичну інформацію необхідно представляти у такій формі, що є зручною для обробки та аналізу. При цьому для формалізації евристичної інформації використовують різні типи шкал.

Задача оцінки об’єкта експертизи за системного проектування повинна бути поставлена таким чином, що б максимізувати достовірність результатів за рахунок зближення суб’єктивних шкал та оцінок експертів. При цьому задача оцінки об’єкта буде зведена до задачі виявлення його корисності.

Окрім методу експертів широко відомі такі методи, як метод взаємного оцінювання, метод послідовного наближення (метод ітерацій), а також неформальні методи оцінювання результатів експертизи.

Кожен із методів має свої недоліки та переваги та дозволяє тою чи іншою мірою якості оцінити поточний або реалізований рівень захищеності системи інформаційної безпеки та бути засобом підтримки прийняття рішень щодо удосконалення захисних заходів.

Найбільш відомі наступні методи експертних оцінок:

– методи парних та послідовних порівнянь;

– метод надання переваг;

– метод рангу;

– метод зважування експертних оцінок та інші.

В основі проведення експертного оцінювання лежать підходи до оцінки суб’єктивної ймовірності. Дослідження проводяться за спеціальними методиками експертного оцінювання ризиків. Інструментом досліджень є опитування та тести для оцінювання загроз та уразливостей.

Детально методики експертних оцінок розглядаються у частині 2 цього навчального посібника.