Метод оценки риска информационной безопасности на основе сценарного логико-вероятностного моделирования тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Котенко, Денис Алексеевич

Важнейшей проблемой, определяющей подходы к построению, совершенствованию и перспективному развитию информационных систем, становится их безопасность. Анализ современных тенденций обеспечения безопасности в сфере инфокоммуникационных систем государственного и специального назначения показывает, что в основе повышения их защищенности лежит выявление потенциальных факторов угроз и уязвимостей информации, количество которых постоянно растет.

Современная нормативная база в области обеспечения информационной безопасности (ИБ) прямо указывает на необходимость постоянного использования оценок проявления потенциальных факторов угроз и уязвимостей информации в инфокоммуникационных системах для организации целенаправленных действий по их минимизации и устранению. Международное сообщество специалистов определяет такие действия как процесс менеджмента (управления) ИБ, а процедуры анализа и оценивания названных факторов — как менеджмент риска ИБ.

В соответствии с требованиями нормативной базы реализация процесса управления ИБ может осуществляться только в рамках документированной системы управления информационной безопасностью (СУИБ), построенной на основе менеджмента риска ИБ. Таким образом, базовым компонентом СУИБ согласно установившемуся подходу становится система менеджмента риска ИБ.

Практика обеспечения безопасности инфокоммуникационных систем также постепенно осознает необходимость применения процедур анализа и оценки риска ИБ. Так, деятельность по достижению требуемого уровня ИБ помимо основного и вспомогательного процессов (реакции на инциденты и обеспечение ресурсами безопасности) все чаще включает процесс управления ИБ, который охватывает не только правила управления (политики, инструкции и регламенты безопасности), разработанные на основе выявленных угроз и уязвимостей, но и контроль их результативности, осуществляемый путем проведения аудита ИБ на базе анализа риска, с последующей корректировкой управляющих механизмов. Сегодня очевидно, что настраивать СУИБ инфокоммуникационной системы только по фактам проявления угроз и уязвимостей сложно и ресурсоемко, а следовательно, малоэффективно. Однако, практика вносит существенные уточнения в нормативный подход, показывая, что реальные результаты в повышении защищенности могут быть получены лишь на основе количественных оценок риска ИБ.

Вопросам анализа риска и безопасности в структурно сложных системах посвятили труды такие российские и зарубежные ученые, как Рябинин И.А., Черешкин Д.С., Соложенцев Е.Д., Rasmussen N.C., Van Malder G., Dugan J.B., Andrews J.D. и др. Разработано большое количество отечественных и зарубежных нормативных документов, регламентирующих вопросы анализа защищенности инфокоммуникационных систем и менеджмента риска ИБ.

Вместе с тем, теоретический подход к количественной оценке риска ИБ находится в стадии становления, а соответствующие методы приемлемой точности отсутствуют.

В связи с этим, целью диссертационной работы является разработка метода, обеспечивающего решение задач вероятностной оценки риска ИБ путем моделирования сценариев реализации угроз в инфокоммуникационной системе на основе событийно-логического подхода, построение алгоритмов автоматизации процедур оценки вероятностных характеристик риска, а также разработка рекомендаций по совершенствованию аудита инфокоммуникационных систем.

В соответствии с целью в работе поставлены и решены следующие задачи:

- анализ теоретических основ построения сценариев и вероятностного оценивания опасных ситуаций;

- разработка метода вероятностной оценки риска ИБ;

- разработка методики логико-вероятностного моделирования сценариев и определения ситуаций риска ИБ;

- разработка предложений по построению экспертной системы вероятностной оценки риска ИБ.

Для решения задач использованы методы теории вероятностей и математической статистики, методы вычислительной математики и математической логики, теории графов и комбинаторики, теории принятия решений.

Достоверность и обоснованность полученных результатов обеспечивается учетом факторов и условий, влияющих на исследуемые вопросы; анализом имеющихся результатов в рассматриваемой области знаний; методологической основой научного задела по рассматриваемой тематике; применением современных апробированных теоретических подходов и математических методов исследований; обоснованностью принятых допущений и ограничений при разработке методического аппарата исследований; проведением многовариантного анализа с использованием корректных исходных данных; учетом имеющегося опыта и практики в области обеспечения ИБ.

Научная новизна работы определяется разработкой метода сценарного моделирования и вероятностной оценки риска ИБ и заключается в следующем:

1. сформулирована задача сценарного логико-вероятностного моделирования ситуаций риска ИБ с использованием факторов угроз и уязвимостей инфокоммуникационной системы;

2. разработана комбинированная методика анализа деревьев со—- бытий- и нарушений "ИБ,^1юзв6ляющая идентифицировать ситуации риска в инфокоммуникационной системе, включающая процедуру контроля границ анализа на основе критерия пригодности фрагмента дерева событий;

3. предложен способ формирования сценариев развития угроз в инфокоммуникационной системе на основе синтеза функционального и системного деревьев событий ИБ;

4. разработаны алгоритмы рекурсивных процедур анализа сценариев нарушения ИБ и вероятностной оценки риска в рамках продукционного компонента экспертной системы.

Научная ценность исследования состоит в определении и обосновании возможных путей анализа риска ИБ с использованием аппарата логико-вероятностного моделирования; поиске механизмов автоматизации процедур оценки вероятностных характеристик риска. Введенные понятия дерева событий и дерева нарушений ИБ могут быть использованы как универсальные термины для описания сценариев развития ситуаций риска ИБ.

Практическая значимость исследования заключается в том, что его результаты могут быть использованы в ходе аудита инфокоммуникаци-онных систем для получения количественных оценок их защищенности и повышения эффективности процедур менеджмента риска.

На защиту выносятся следующие положения:

- постановка задачи сценарного логико-вероятностного моделирования ситуаций риска ИБ;

- методика анализа деревьев событий и нарушений ИБ;

- способ формирования сценариев развития угроз в инфокоммуникационной системе на основе синтеза функционального и системного деревьев событий ИБ;

- алгоритмы рекурсивных процедур анализа сценариев нарушения ИБ и вероятностной оценки риска.

Полученные результаты исследований реализованы в ЗАО «Эврика» (акт реализации от 10 июня 2010 г.), в научно-исследовательской работе «Разработка специальных методов автоматизированного оценивания защищенности информационно-телекоммуникационной системы на основе сценарного логико-вероятностного моделирования событий риска» по гранту ОАО «РЖД» (протокол №001пр/ЭК от 30 сентября 2009 г.) и в учебном процессе Санкт-петербургского государственного университета информационных технологий, механики и оптики (акт реализации от 20 апреля 2010 г.) по специальности 090103 по дисциплине «Инженерно-техническая защита информации».

Основные результаты диссертационной работы прошли апробацию в ходе докладов и обсуждений на V Санкт-Петербургской межрегиональной конференции «Информационная безопасность регионов России (ИБРР-2007)», 23-25 октября 2007 г.; V Всероссийской межвузовской конференции молодых ученых, 15-18 апреля 2008 г.; XII Международной научно-практической конференции «Теория и технология программирования и защиты информации», 15-16 мая 2008 г.; тринадцатой Международной научно-практической конференции «Информационные технологии на ж. д. транспорте (Инфотранс-2008)», 15-18 октября 2008 г.; четырнадцатой Международной научно-практической конференции «Информационные технологии на ж. д. транспорте (Инфотранс-2009)», 7-10 октября 2009 г., где получили одобрение.

По теме диссертации опубликовано 8 печатных работ, в том числе 3 статьи в центральных научно-технических журналах, рекомендованных ВАК РФ, 4 статьи в материалах международных научных конференций.

ЗАКЛЮЧЕНИЕ

В диссертации проведен анализ теоретических и научно-практических методов оценивания риска в сложных технических и со-цио-технических системах. Оценка риска включает этапы анализа и оценивания. Анализ риска, в свою очередь, включает идентификацию и количественную оценку риска. Обеспечение оценки производится на основе определения контекста риска (выбора критериев риска и определения границ анализа).

Установлено, что под количественной оценкой риска понимается процесс моделирования, включающий разработку и анализ альтернативных сценариев риска, построение функций риска и определение вероятности его наступления.

Выявлены возможные способы постановки задачи, удовлетворяющие различным ограничениям: от условий относительной определенности оценки (когда наступление риска ИБ определяется дискретной или непрерывной случайной величиной с известным законом распределения или известными числовыми характеристиками распределения), до условий неопределенности (когда наступление риска ИБ характеризуется случайной логической переменной - ЛП).

Отмечено, что решение задачи оценки риска осуществляется в условиях крайней неопределенности, характеризующиеся необходимостью поиска ситуации риска и анализа ее наступления в результате развития событий ИБ, реализация каждого из которых может быть описана случайной ЛП. В результате сформулирована задача сценарного ЛВ-моделирования ситуаций риска ИБ.

Предложен метод вероятностной оценки риска ИБ, основу которого составляют положения ОЛВМ. Предлагаемый метод содержит существенные отличия от ОЛВМ: для представления сценариев используются не простые (бинарные) события с двумя несовместными исходами, а правила-продукты (предикаты); анализ, а следовательно и получение количественных оценок, осуществляется не только «сверху-вниз», но и «снизу-вверх»; применяется не один вид дерева (нарушений), а два вида - событий и нарушений.

Введены понятия «дерева событий ИБ» и «дерева нарушений ИБ», которые могут быть использованы как универсальные термины для описания сценариев развития ситуаций риска ИБ.

Особенностью предлагаемого метода является разработанная методика анализа ДС и ДН ИБ, позволяющая идентифицировать ситуации риска на основе правил-продуктов и включающая процедуру контроля границ анализа ДС ИБ по КПФ.

Предложен способ построения сценариев развития угроз в инфо-коммуникационной системе путем синтеза функционального и системного ДС, что позволяет формировать итерации на этапах анализа событий ИБ.

Предложена программная реализация метода вероятностной оценки риска ИБ в виде продукционной интеллектной компоненты комплексной ЭС управления ИБ.

Разработана структура базы знаний и алгоритмы рекурсивных процедур анализа сценариев и вероятностной оценки риска в рамках продукционного компонента экспертной системы, что позволяет осуществлять логический вывод вероятностных характеристик риска.

1. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992.

2. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии России от 30.08.2002 № 282.

3. Сборник временных методик оценки защищённости конфиденциальной информации от утечки по техническим каналам. Гостехкомиссия России, 2002.

4. Положение о сертификации средств защиты информации по требованиям безопасности информации. Утверждено приказом Гостехкомиссии России от 27.10.1995 № 199.

5. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Утвержден приказом председателя Гостехкомиссии России от 19.06.2002 № 187.

6. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».

7. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

8. ГОСТ Р ИСО/МЭК 15408-1-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель».

9. ГОСТ Р ИСО/МЭК 15408-2-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности».

10. ГОСТ Р ИСО/МЭК 15408-3-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности».

11. ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».

12. ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий».

13. ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепцияи модели менеджмента безопасности информационных и телекоммуникационных технологий».

14. ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий».

15. ГОСТ Р ИСО/МЭК 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер».

16. ГОСТ Р ИСО/МЭК 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети».

17. СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

18. СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».

19. ISO 31000:2009 «Risk management. Principles and guidelines»;

20. ISO Guide 73:2009 «Risk management. Vocabulary».

21. ISO/IEC 31010:2009 «Risk management. Risk assessment techniques»;

22. ISO/IEC 27002:2005 «Information technology. Security techniques. Code of practice for information security management».

23. ISO/IEC 27005:2008 «Information technology. Security techniques. Information security risk management ISO/IEC 27005:2008».

24. ISO/IEC 27006:2007 Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems.

25. BS 7799-3:2006 «Information security management systems. Guidelines for information security risk management».

26. BSI-Standard 100-1 «Information Security Management Systems (ISMS)».

27. BSI Standard 100-2 «IT-Grundschutz Methodology».

28. BSI Standard 100-3 «Risk Analysis based on IT-Grundschutz».

29. BSI Standard 100-4 «Business Continuity Management».

30. NIST SP 800-30 «Risk management guide for information technology systems».

31. NIST SP 800-55 « Performance measurement guide for information security».

32. NIST SP 800-100 «Information security handbook. A guide for managers».

33. AS/NZS 4360:1999 «Risk Management».

34. HB 231: 2000 «Information Security Risk Management Guidelines».

35. Ю.К. .Язов, А.А. Бурушкин, А.П. Панфилов. Марковские модели процессов реализации сетевых атак типа «отказ в обслуживании». Информационная безопасность, 2008 г. №1, с. 79-84.

36. Т.О. Вишнякова, Т.И. Васильев. Анализ эффективности систем физической защиты при помощи Марковской сетевой модели. Вестник УГАТУ, 2007 г., т. 9, №7 (25), с. 11-19.

37. Росенко А.П. Применение Марковских случайных процессов с дискретным параметром для оценки уровня информационной безопасности // Известия вузов. Северо-Кавказский регион. Технические науки информационная безопасность, №11, с. 169-172.

38. Б.А. Шиянов, O.B. Силютина, B.C. Неженец. Вероятностно-статистические методы количественной оценки рисков в системе регулирования неравновесными состояниями экономических систем. Вестник Воронежского государственного университета.

39. В.И.Максимов., О.И.Никонов., Моделирование риска и рисковых ситуаций: Учебное пособие / Екатеринбург: ГОУ ВПО УГТУ -УПИ, 2004.

40. Корниенко A.A., Котенко А.Г. Метод построения модели оценки рисков информационной безопасности в автоматизированной системе. Проблемы информационной безопасности. Компьютерные системы. №4, 2003 г.

41. РябининИ.А. Надежность и безопасность структурно-сложных систем. СПб.: Политехника, 2000. - 248 с.

42. Можаев A.C. Общий логико-вероятностный метод анализа надежности сложных систем. Уч. пос. JL: BMA, 1988. 68 е.

43. Закревский А.Д., Торопов Н.Р. Полиномиальная реализация частичных булевых функций и систем. М.: 2003;

44. Марченков С.С. Булевы функции. — М.: Физматлит. 2000;

45. Закревский А.Д. Логические уравнения. Изд. 2-е. — М.: Едиториал УРСС, 2003. —96 е.

46. Подружко A.A., Подружко A.C. Интервальное представление полиномиальных регрессий. — М.: Едиториал УРСС, 2003. — 48 с.

47. Соложенцев Е. Д. Сценарное логико-вероятностное управление риском в бизнесе и технике. СПб: Бизнес-пресса, 2004.

48. Городецкий А. Е. Дубаренко В. В. Комбинаторный метод вычисления вероятностей сложных логических функций // ЖВМ и МФ. 1999. №7. С. 1201-1203.

49. Рябинин И.А., Черкесов Г. Н. Логико-вероятностный метод исследования надежности структурно-сложных систем. М.: Радио и связь, 1981.

50. Рябинин И.А. Ленинградская научная школа логико-вероятностных методов исследования надежности и безопасности структурно-сложных систем // Наука Санкт-Петербурга и морская мощь России. Т. 2 СПб.: Наука, 2003.

51. Рябинин И.А., Парфенов Ю.М. Определение «веса» и «значимости» отдельных элементов при оценке надежности сложных систем // Энергия и транспорт, 1978. № 6 . С. 22-32.

52. Рябинин И.А. Концепция логико-вероятностной теории безопасности // Приборы и системы управления, 1993, № 10. С. 6-9.

53. Петренко С.А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. М.: Компания АйТи; - ДМК Пресс, 2004. -384 с.

54. Петренко С. А., Петренко А. А. Аудит безопасности Intranet. М.: ДМК Пресс, 2002. - 416 с.

55. Эриксон Д. Хакинг: Искусство эксплойта. Пер. с англ. - СПб: Символ-Плюс, 2005. - 240 с.

56. Зима В. М., Молдовян А. А., Молдовян Н. А. Безопасность глобальных сетевых технологий. 2-е изд. -СПб.: БХВ-Петербург, 2003.-368 с.

57. Мак Томас. Математика рискового страхования / Пер. с нем. М.: ЗАО «Олимп-Бизнес», 2005. - 432 с.

58. Вероятность и математическая статистика: Энциклопедия / Гл. ред. акад. РАН Ю. В. Прохоров. — М.: Большая Российская энциклопедия, 1999. — 910 с.

59. Управление в условиях неопределенности / под. д-ра наук, проф. А. Е. Городецкого. СПб.: Изд-во СПбГТУ, 2002. 398 с.

60. Управление риском: Риск. Устойчивое развитие. Синергетика. — М.: Наука, 2000. — 431 с.

61. С. К. Клини. Математическая логика: Пер. с англ. / Под. ред. — Г. Е. Минца. Изд. 3-е, стереотипное. — М.: КомКнига, 2007. — 480 с.

62. Нелинейная теория управления и ее приложения / под ред. В. М. Матросова, С.Н. Васильева, А.И. Москаленко. М.: ФИЗМАТЛИТ, 2000. - 320 с.

63. Остапенко Г.А. Информационные операции и атаки в социотехни-ческих системах. Учебное пособие для вузов / Под ред. В.И.Борисова. М.: Горячая линия - Телеком, 2007. — 134 с.

64. Хоффман Л. Дж. Современные методы защиты информации: пер. с англ. / под ред. В.А.Герасименко. М.: Сов. радио, 1980. - 264 с.

65. Домарев Е.В. Безопасность информационных технологий. Методология создания систем защиты. К. ООО «ТИД «ДС», 2001. -688 с.

66. М. Elisabeth Paté-Cornell. Engineering Risk Analysis. The Engineering Risk Analysis Method and Some Applications. 2006, 40 p.

67. Application Security, Information Assurance's Neglected Stepchild A Blueprint for Risk Assessment. SANS Institute, 2002. - 13 p.

68. Steve Elky. An Introduction to Information System Risk Management -SANS Institute, 2007.

69. G. Van Malder. Deterministic and probabilistic approaches in risk analysis. The Walloon Region's hybrid approach. Ministere de la region Wallone, 2001.

70. W. Troy Tucker, Scott Ferson. Probability bounds analysis in environmental risk assessments. Applied Biomathematics, 2003. - 63 p.

71. Robert T. Clemen, Robert L. Winkler. Combining probability distributions from experts in risk analysis. Duke University, 2000. - 37 p.

72. ДС ИБ СЕГМЕНТА ИНФОКОММУНИКАЦИОННОЙ СИСТЕМЫ