Методика обоснования тестовых воздействий при анализе защищенности объекта информатизации на основе графоаналитических методов тема диссертации и автореферата по ВАК РФ 00.00.00, кандидат наук Смирнов Глеб Евгеньевич

ВВЕДЕНИЕ

Актуальность темы исследования и степень ее разработанности. В

настоящее время железнодорожный транспорт (ЖТ) является одним из ключевых элементов экономики и логистической инфраструктуры Российской Федерации (РФ), обеспечивая до 88% от всего грузооборота страны. При этом, важной составной частью ЖТ являются информационная инфраструктура (ИИ) - совокупность объектов информатизации (ОИ), представляющих собой информационно-вычислительные центры (ИВЦ), узлы связи, информационные системы (ИС) и комплексы, предназначенные для решения как информационных и управляющих задач в сфере ЖТ, в интересах достижения максимальной эффективности работы ЖТ в условиях рыночной экономики. В условиях стандартного функционирования ОИ ЖТ достаточно часто подвергаются атакующим воздействиям со стороны непрофессиональных злоумышленников (так называемых «хакеров»). Однако, дополнительно, в условиях обострения геополитической обстановки, ОИ ЖТ в силу важной роли ЖТ в экономике РФ, могут являться одной из основных целей для профессиональных нарушителей информационной безопасности (ИБ) - сил информационных операций (так называемых «кибервойск») недружественных стран. В связи с этим, аудит и оценка защищенности ОИ ЖТ по отношению к реальным информационно-техническим воздействиям (ИТВ), используемым непрофессиональными злоумышленниками и профессиональными нарушителями, является актуальным направлением исследований.

В настоящее время в теории аудита ИБ сложилась ситуация, при которой большинство работ в этой области ориентировано на исследование экспертного аудита и оценки соответствия преимущественно на основе моделей анализа рисков, либо на основе анализа стандартов ИБ. Вместе с тем, требования по ИБ, как правило, формулируется по итогам анализа инцидентов, что приводит к тому, что они регулярно отстают от современных возможностей и практики действий нарушителей. При этом, тестирование и, в особенности,

тестирование специальными средствами и способами ИТВ, которые аналогичны прогнозируемым ИТВ злоумышленников, ОИ, в том числе и ОИ критической информационной инфраструктуры (КИИ), к которой относится и ЖТ, является недостаточно изученной теоретической областью аудита ИБ. Известны отдельные работы, которые посвящены таким типам тестирования «как тест на проникновение», «активный аудит», «инструментальный аудит», «тестирование на проникновение», «penetration testing», однако данные работы носят в большей степени практический, чем теоретический характер. При этом, тестирование является более гибким инструментом аудита чем, например, мероприятия оценки соответствия, так как его проведение не ограниченно рамками действующих стандартов и регламентов. Это позволяет выбирать более широкий диапазон средств и способов тестирования, а также быть более избирательным в направлении достижения цели аудита. Например, проводить тестовое исследование ОИ к угрозам и выявлять уязвимости, еще не описанные в базах угроз и уязвимостей и т.д. Таким образом, тестирование, как мероприятие аудита ИБ, во-первых, обобщает известные понятия «активный аудит», «инструментальный аудит», «тестирование на проникновение», «penetration testing» и т.д., во-вторых, его можно рассматривать как основную форму оценки защищенности ОИ к целенаправленным ИТВ профессиональных злоумышленников - сил информационных операций недружественных стран. При этом такой тип аудита в существующих комплексах SIEM (Security Information and Event Management), IDS (Intrusion Detection System), IPS (Intrusion prevention system) и DLP (Data leak prevention), предназначенных для мониторинга ИБ ОИ, как правило, отсутствует.

В процессе тестирования ОИ целесообразно сформировать и придерживаться научно-обоснованного подхода как к проведению тестирования, так и к выбору тестового набора ИТВ. Однако, как показал анализ работ в области «активного аудита», «инструментального аудита», «тестирования на проникновение», «penetration testing» и т.д. проведение такого типа аудита в отечественной практике не регламентируется каким-либо системным или хотя

бы общетеоретическим подходом. В некоторых отечественных работах по тестированию на проникновение акцент делается на необходимости выявления наиболее «зрелищных» уязвимостей или тех уязвимостей, устранение которых принесет максимальные экономические выгоды компании, выполняющий аудит. Имеющиеся зарубежные и отечественные методики тестирования на проникновение (OSSTMM, ISSAF, OWASP, PTES, NIST SP 800-115, BSI, PETA, методика от Positive Technologies, методика от Digital Security) не содержат исчерпывающего обоснования параметров и критериев выбора тестовых ИТВ применительно к ОИ.

Вопросами обеспечения ИБ ОИ ЖТ занимались следующие специалисты: Корниенко А.А., Ададуров С.Е., Диасамидзе С.В., Сидак А.А., Котен-ко И.В., Саенко И.Б., Чечулин А.А., Чернов А.В., Бутакова М.А., Глу-хов А.П., Чернов А.В., Белова Е.И., а также другие ученые. Однако в их работах, в основном, рассмотрены особенности ОИ ЖТ значимые для обеспечения их ИБ. К работам, в которых рассматриваются сходные для данного исследования вопросы: оценка защищенности ИС, архитектура системы ГосСОПКА и SIEM-систем, формирование научной основы под тестирование защищённости ИС специальными ИТВ, относятся работы: Маркова А.С., Цирлова В.Л., Петренко С.А., Климова С.М., Котенко И.Б., Саенко И.Б., Макаренко С.И., Бойко А.А., Pfleeger C.P., Pfleeger S.L., Theofanos M.F., McDer-mott J. P., Alisherov F., Sattarova F. Ami P., Hasan A. Holik F., Horalek J., Marik O., Neradova S., Zitta S., Herzog P. Вопросам повышения защищённости ИО и ИС КИИ в условиях деструктивных информационных воздействий, в том числе и преднамеренно-тестирующего характера, посвящены работы Дроботуна Е.Б. Также, судя по анализу информационной базы диссертационных работ РГБ, ближайшими отечественными аналогами данного исследования могут служить диссертации, прежде всего - Д.В. Звонова [101], а также частично - М.В. Абрамова [103] и Е.Н. Созиновой [104]. Однако в работах вышеуказанных специалистов вопросы научного обоснования набора тесто-

вых ИТВ при оценке защищенности ОИ ЖТ с целесообразной полнотой в условиях ограниченности ресурса для тестирования - не рассматривались.

Вышеуказанные факторы позволили сформулировать проблемную ситуацию - между необходимостью обеспечения требуемого уровня анализа защищенности объектов информатизации и недостаточной развитостью теоретических положений существующих моделей анализа защищенности, стандартов тестирования на проникновение, методик выбора тестовых воздействий.

Для разрешения сформулированной проблемной ситуации сформулирована актуальная цель исследования - улучшение показателей полноты покрытия уязвимостей и стоимости тестирования, путём обоснованного выбора тестовых информационно-технических воздействий при проведении анализа защищенности объекта информатизации.

Предварительные исследования позволили выдвинуть гипотезу о том, что успешное достижение цели исследования возможно за счет использования графоаналитических методов - метода синтеза структуры графа из теории дискретной математики, аналитических методов математической индукции, математических алгоритмов поиска кратчайших путей на направленном графе, аналитических методов теории множеств.

Таким образом, для достижения цели исследования была сформулирована научная задача - разработка модели анализа защищенности объекта информатизации и методики обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов.

В данной постановке научная задача и цель исследования формулируются впервые. Цель и научная задача исследования соответствуют специальности 2.3.6. «Методы и системы защиты информации, информационная безопасность» по следующим пунктам паспорта:

п. 3. Методы, модели и средства выявления, идентификации, классификации и анализа угроз нарушения информационной безопасности объектов различного вида и класса;

п. 10. Модели и методы оценки защищенности информации и информационной безопасности объекта;

п. 16. Модели, методы и средства обеспечения аудита и мониторинга состояния объекта, находящегося под воздействием угроз нарушения его информационной безопасности, и расследования инцидентов информационной безопасности в автоматизированных информационных системах.

При этом, объектом исследования являются процессы и процедуры анализа защищенности объекта информатизации, а предметом исследования - графоаналитические методы, используемые для обоснования тестовых ИТВ в интересах анализа защищенности объекта информатизации.

Идеологически, данная диссертационная работа продолжает и развивает более раннее исследование С.И. Макаренко [53], направленное на формирование научно-обоснованных подходов к тестированию защищенности ОИ КИИ специальными способами и средствами информационно-технических и информационно-психологических воздействий.

Новизна исследования, в целом, определяется взаимоувязанным учетом совокупности следующих факторов: рассмотрение в рамках нового общего подхода к аудиту защищенности ОИ, воздействий тестовыми ИТВ, имитирующими потенциальные атаки злоумышленников; рассмотрение в качестве объекта аудита ОИ ЖТ; рассмотрение в качестве показателя качества аудита защищенности ОИ полноты вскрываемого и потенциально предотвращаемого ущерба; учет для каждого рассматриваемого ИТВ - ресурса, необходимого для проведения его реализации, а также количества вскрываемых уязвимо-стей, ориентированности на количество элементов ОИ и стоимость выявляемого и потенциально предотвращённого ущерба; оценка качества тестового набора ИТВ по показателям полноты покрытия уязвимостей и стоимости тестирования.

В процессе исследования научная задача была декомпозирована на следующую совокупность взаимоувязанных частных научных и прикладных задач:

1) разработка модели анализа защищенности объекта информатизации на основе использования тестовых ИТВ;

2) разработка методики обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов;

3) разработка научно-обоснованные рекомендации по архитектуре автоматизированного комплекса анализа защищенности объекта информатизации с использованием тестовых ИТВ.

Положения, выносимые на защиту. Итогом решения вышеуказанных частных научных задач являются защищаемые положения, которые соответствуют результатам, обладающим научной новизной, теоретической и практической значимостью и являются вкладом в развитие теории управления системами связи специального назначения:

1) модель анализа защищенности объекта информатизации на основе использования тестовых ИТВ;

2) методика обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов;

3) научно-обоснованные рекомендации по архитектуре автоматизированного комплекса анализа защищенности объекта информатизации с использованием тестовых ИТВ.

Научная новизна. Полученные в работе новые научные и прикладные результаты, а также их составные части обладают следующими признаками новизны.

1) Модель анализа защищенности объекта информатизации на основе использования тестовых ИТВ, отличается построением четырехуровневого графа, увязывающего между собой: отдельные тестовые ИТВ; расход ресурса

на их проведение; проверяемые уязвимости; тестируемые элементы и подсистемы объекта информатизации; показатели выявленного и потенциально предотвращенного ущерба, а также обоснованием и введением функциональных зависимостей для определения весов межуровневых ребер графа, с учетом: количества ИТВ; ресурса аудитора; количества проверяемых уязви-мостей, определяемых каждым ИТВ в каждом элементе объекта информатизации; показателем выявленного и потенциально предотвращенного ущерба, соответствующего каждой уязвимости.

2) Методика обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов, отличается двухэтапным процессом нахождения рационального множества тестовых ИТВ, введением на первом этапе оригинальных операций по формированию упорядоченного множества путей тестирования на основе модифицированного алгоритма Дейкстры, ранжированных по показателю «эффективность/стоимость», и определением на втором этапе тестового набора ИТВ, который максимизировал бы полноту тестирования по показателю выявленного и потенциально предотвращенного ущерба при ограничениях стоимость ресурсов..

3) Научно-обоснованные рекомендации по архитектуре автоматизированного комплекса анализа защищенности объекта информатизации с использованием тестовых ИТВ, обладают следующими отличительными признаками новизны:

- основаны на модели и методике, разработанных в данном диссертационном исследовании;

- реализуют на практике основные положения по формированию рационального набора тестовых ИТВ по показателям полноты покрытия уязвимостей и стоимости тестирования;

- ориентированы на применение комплекса в составе технических средств тестирования на проникновение, используемых центрами мониторинга ИБ.

Таким образом, в работе получены новые результаты, которые позволяют разрешить научную задачу, имеющую существенное значение для развития научно-методического аппарата (НМА) аудита информационных систем в составе теории информационной безопасности (соответствует п. 9 «Положения о присуждении ученых степеней»).

Теоретическая значимость работы заключается:

- в разработке новых элементов научно-методического аппарата аудита информационных систем в составе теории ИБ, а именно -модели анализа защищенности объекта информатизации и методики обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов;

- в развитии общего подхода к превентивному аудиту защищенности ОИ, не путем сравнительного анализа с требованиями нормативных актов в области обеспечения ИБ, а путем непосредственного воздействия на объекты тестовых ИТВ, аналогичных прогнозируемым ИТВ злоумышленников;

- в развитии теоретической формы знаний в области повышения эффективности оценки защищенности ОИ к прогнозируемым ИТВ злоумышленников, которые выходят за рамки существующих стандартов, рекомендаций и нормативных актов в области обеспечения ИБ;

- в развитии теоретического инструментария выбора тестовых ИТВ, в частности - выбора ИТВ по показателям полноты покрытия уязви-мостей и стоимости тестирования, при решении задач анализа защищенности ОИ.

Практическая значимость работы состоит в актуализации разработанных модели и методики по отношению к потребностям практики, заключающейся в доведении их до рекомендаций по архитектуре автоматизированного комплекса анализа защищенности ОИ с использованием тестовых

ИТВ, что позволяет на практике обеспечить тестирование и оценку защищенности ОИ, при этом, на настоящий момент, в центрах мониторинга ИБ, оборудованных SEIM, IDS/IPS и DLP системами, подобный функционал оценки защищенности ОИ отсутствует.

Исследование уровня улучшения показателей полноты покрытия уяз-вимостей и стоимости тестирования ОИ, применительно к прототипу ОИ, показало, что выбор тестовых ИТВ, на основе полученных в исследовании результатов, обеспечивает:

- на 22% лучшее значение полноты покрытия уязвимостей ОИ, чем стратегия минимизации стоимости тестирования;

- на 20% меньший расход ресурсов, чем при оценке защищенности объекта в соответствии с рандомизированной стратегией тестирования (при равной полноте покрытия уязвимостей объекта);

- на 46% меньший расход ресурсов, чем при оценке защищенности объекта в соответствии со стратегией максимизации стоимости тестирования (при равной полноте покрытия уязвимостей объекта).

Достоверность научных результатов подтверждается: использованием основных принципов системного подхода при постановке научной задачи; корректным применением апробированных графоаналитических методов (метода синтеза структуры графа из теории дискретной математики, аналитических методов математической индукции, математических алгоритмов поиска кратчайших путей на направленном графе, аналитических методов теории множеств) при решении научной задачи; обоснованным выбором основных рамок исследования при постановке научной задачи и разработке ее решения; строгим аналитическим выводом математических зависимостей, используемых в модели и методике; использованием прикладных пакетов программ математического моделирования при получении численных результатов моделирования; непротиворечивостью полученных результатов с известными работами ученых и специалистов в данной предметной области.

Методология и методы исследования основаны на использовании графоаналитических методов - метода синтеза структуры графа из теории дискретной математики, аналитических методов математической индукции, математических алгоритмов поиска кратчайших путей на направленном графе, аналитических методов теории множеств.

Публикация результатов исследования. По тематике диссертации опубликованы 14 основных работ. Среди них: 4 статьи в рецензируемых изданиях, рекомендованных ВАК для публикации результатов диссертационных исследований; 4 статьи в других рецензируемых изданиях; 6 публикаций в материалах докладов конференций и сборников.

При использовании в публикациях и в тексте диссертационной работы результатов и материалов других авторов, на первоисточники представлены корректные библиографические ссылки.

Личный вклад соискателя. Из вышеуказанных 14 работ 6 работ выполнены единолично, что подтверждает самостоятельность выполнения исследования и личное получение основных результатов работы. Все единоличные работы опубликованы в рецензируемых изданиях и сборниках трудов конференций.

В 8 работах, выполненных в соавторстве как с научным руководителем, так и с другими учеными, соискателю принадлежит ведущая роль в постановке задач на исследование, участие в получении научных результатов (моделей и методик), а также в их верификации и исследовании.

Апробация результатов исследования. Результаты исследования апробировались и обсуждались на 6 всероссийских и ведомственных научно-технических и научно-практических конференциях в 2019-2021 гг.: VII Всероссийская научно-техническая конференция «РТИ Системы ВКО - 2019», АО «РТИ», г. Москва, 2019 г.; XII Общероссийская молодежная научно-техническая конференция «Молодежь Техника. Космос», БГТУ «Военмех», г. Санкт-Петербург, 2020 г.; II Всероссийская научная конференция «Фундаментальные проблемы информационной безопасности в условиях цифровой

трансформации», СКФУ, г. Ставрополь, 2020 г.; Всероссийская межведомственная научно-техническая конференция по теоретическим и прикладным проблемам развития и совершенствования автоматизированных систем управления и связи специального назначения «Наука и АСУ-2020», НИУ «МИЭТ», г. Зеленоград, 2020 г.; III Всероссийская научно-техническая конференция «Состояние и перспективы развития современной науки по направлению «Информационная безопасность», ФГАУ «Военный инновационный технополис «ЭРА», г. Анапа, 2021 г.; Международная научно-практическая конференция «Проблемы комплексной безопасности Каспийского макрорегиона», Астраханский государственный университет, г. Астрахань, 2021 г.

Внедрение и реализация результатов исследования. Результаты проведенных исследований нашли практическое применение в разработках, в которых автор принимал личное участие в качестве ответственного исполнителя или исполнителя. Об использовании и внедрении результатов исследования имеется 3 акта о реализации результатов научной работы из 3 организаций:

- АО «НИИ Рубин» (акт от 25.12.2021 г.) - при обосновании требований по безопасности информации при использовании перспективных аппаратно-программных средств телекоммуникационных сетей в рамках НИР «Амулет» (Приложение А);

- Военный инновационный технополис «ЭРА» (акт от 29.04.2021 г.) -в НИР «Чембурка «ВПВО» при систематизации и формулировке предложений по применению перспективных технологий и инновационных проектов военного и двойного назначения по направлению «Информационная безопасность» (Приложение Б);

- СПбГЭТУ «ЛЭТИ» им. В.И. Ульянова (Ленина) (акт от 01.12.2021 г.) - при подготовке специалистов по специальности «Информационная безопасность» (Приложение В).

Структура и объем диссертации. Диссертационная работа состоит из введения, четырех глав, заключения, списка сокращений, словаря терминов, списка литературы. К диссертационной работе прилагается приложение, содержащее копии актов о реализации результатов диссертационного исследования.

В первой главе проведен анализ ОИ ЖТ, современных подходов к аудиту и тестированию ОИ, а также принципов построения систем мониторинга ИБ. Этот анализ показал, что новым подходом оценки защищенности ИБ ОИ является аудит на основе экспериментальных исследований объекта. Данный тип аудита, проводится с применением тестовых ИТВ, соответствующих прогнозируемым воздействиям злоумышленника, с целью практической проверки эффективности технических или организационных мер защиты, а также выявления новых уязвимостей ОИ. Основной формой проведения аудита ИБ на основе экспериментальных исследований системы является тестирование объекта специальными ИТВ. При этом в настоящее время научно-обоснованные требования к наборам ИТВ, используемых при тестировании, не предъявляются. Сделан вывод о том, что перспективным направлением исследования является улучшение показателей полноты покрытия уязви-мостей и стоимости тестирования, путём обоснованного выбора тестовых ИТВ при проведении анализа защищенности ОИ. При этом указано, что подсистему, реализующий такой тип аудита, целесообразно включить в состав комплекса, осуществляющего мониторинг ИБ ОИ. Проведен анализ известных научных работ в области аудита ИБ, оценки защищенности ИС, архитектуры систем мониторинга ИБ, работ в области «активного аудита», «инструментального аудита», «тестирования на проникновение», «penetration testing». Данный анализ показал, что в подавляющем большинстве работ аудит рассматривается как процесс проверки информационных систем на соответствие заранее определенным требованиям ИБ. Работы, посвященные вопросам экспериментального тестирования реальных информационных систем, рассматривают такие способы и сценарии исключительно как «тести-

рование на проникновение» или как «инструментальный аудит», при этом проведение такого типа аудита в отечественной практике не регламентируется каким-либо системным или хотя бы общетеоретическим подходом. Имеющиеся зарубежные и отечественные методики тестирования на проникновение (OSSTMM, ISSAF, OWASP, PTES, NIST SP 800-115, BSI, PETA, методика от Positive Technologies, методика от Digital Security) не содержат исчерпывающего обоснования параметров и критериев выбора тестовых ИТВ применительно к различным ОИ. В результате была сформулирована проблемная ситуация и актуальная цель исследования - улучшение показателей полноты покрытия уязвимостей и стоимости тестирования, путём обоснованного выбора тестовых ИТВ при проведении анализа защищенности ОИ. Для достижения сформулированной цели, в работе была поставлена научная задача по разработке модели анализа защищенности объекта информатизации и методики обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов. Была проведена формализация этой научной задачи и ее декомпозиция на частные научные задачи.

Во второй и третьей главах представлены основные научные результаты, полученные в работе и направленные на разрешение научной задачи исследования. Для формализации процесса аудита ОИ тестовыми ИТВ разработана модель анализа защищенности объекта информатизации на основе использования тестовых ИТВ в виде многоуровневой топологической схемы, отдельные уровни которой соответствует: затратам ресурса на проведение ИТВ, тестовым ИТВ, уязвимостям, элементам ОИ и уровням ущерба. Эта модель в формальном виде взаимоувязано учитывает: эффективность отдельных тестовых ИТВ, в части выявленного и потенциально предотвращенного ущерба; ориентированность отдельных ИТВ на проверку конкретного множества уязвимостей определенных элементов ОИ; расход в процессе тестирования определенного количества ресурса аудитора. Исследование разработанной модели методами из теории графов, позволяет определить «более

лучшие» ИТВ по критерию «эффективность/стоимость», а в дальнейшем, на их основе сформировать тестовые наборы ИТВ, которые обеспечат рациональную полноту аудита ОИ. На основе разработанной модели, сформирована методика обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей ОИ при ограничениях на стоимость ресурсов. Методика состоит из двух этапов. На первом этапе на основе модели анализа защищенности ОИ формируется множество путей тестирования с их ранжированием по степени повышения веса. При этом под весом пути понимается показатель «эффективность/стоимость» отдельной комбинации: ресурса необходимого для проведения конкретного ИТВ, непосредственно тестового ИТВ; отдельной уязвимости определенного элемента ОИ; уровень ущерба, наносимого ОИ при эксплуатации вышеуказанной уязвимости элемента, по определенному свойству ИБ (доступности, конфиденциальность, целостность). На втором этапе методики производится выбор из кратчайшего пути и множества дополнительных путей, упорядоченных по возрастанию весов, такого ранжированного множества ИТВ и формирование из них тестового набора, который бы обеспечивал максимизацию абсолютной суммарной стоимости обнаруженного ущерба в рамках заданных ограничений на расход ресурса тестирования. Разработанная методика является теоретической основой для формирования научно-обоснованных рекомендаций по архитектуре автоматизированного комплекса анализа защищенности ОИ с использованием тестовых ИТВ, представленных в четвертой главе диссертации. В целом, оригинальными аспектами, составляющими новизну представленных в этих главах модели и методики является взаимоувязанный учет совокупности следующих факторов: рассмотрение в рамках нового общего подхода к аудиту защищенности информационных систем, воздействий тестовыми ИТВ, имитирующими потенциальные атаки злоумышленников; рассмотрение в качестве объекта аудита абстрактного объекта информатизации; рассмотрение в качестве показателя качества аудита защищенности ОИ полноты вскрываемого и потенциально предотвращаемого ущерба; учет для каждого рассмат-

По цели использования

Разрушающие

Манипулирующие

Блокирующие

Отвлекающие

Обеспечивающие

3 с

Оборонительные

Разведка

Техническая разведка

Компьютерная разведка в телекоммуникационной части информационного пространства

Разведка на основе открытых источников в семантической части информационного пространства

Воздействия для преодоления систем защиты

Комбинированные

Выявляющие

Блокирующие

Контр-атакующие

Отвлекающие

Отвлекающие

на ложные информационные ресурсы

Противодействие обеспечивающим воздействиям

Алгоритмические

Программные

Аппаратные

> >

:н

По способу реализации

Физические

Электромагнитные

Радиоэлектронные

Электрические

Оптико-электронные

Оптические

и

Акустические

Гидро-акустические

Радиационные

Химические

Биологические

На основе новых и других физических принципов

Рисунок 1.6 - Классификация специальных ИТВ, предназначенных для тестирования ОИ [53]

В связи с вышеуказанным, правила формирования тестовых наборов ИТВ для проведения тестирования ОИ должны быть научно-обоснованными и выбираться исходя из:

- обеспечения полноты покрытия уязвимостей;

- требований заказчика тестирования по контролю определенных уязвимостей или проверки определенной подсистемы ОИ;

- имеющихся временных, финансовых, людских, технические и других видов ресурсов.

Таким образом, перспективным направлением исследования является улучшение показателей полноты покрытия уязвимостей и стоимости тестирования, путём обоснованного выбора тестовых ИТВ при проведении анализа защищенности ОИ. Показателем полноты является рациональная полнота покрытия уязвимостей, а стоимости - ограничения на доступные ресурсы (временные, финансовые, людские, технические).

1.2 Анализ научно-методического аппарата аудита и тестирования объектов критической информационной инфраструктуры

Анализ работ по составу, структуре и функционированию ОИ ЖТ, а также работ по оценке ИБ ОИ ЖТ, показывает следующее. Вопросами обеспечения ИБ ОИ ЖТ занимаются следующие отечественные специалисты [1-11]: Корниенко А.А., Ададуров С.Е., Диасамидзе С.В., Сидак А.А., Котен-ко И.В., Саенко И.Б., Чечулин А.А., Чернов А.В., Бутакова М.А., Глу-хов А.П., Чернов А.В., Белова Е.И., а также другие ученые. В их работах рассмотрены особенности ОИ ЖТ значимые для обеспечения их ИБ.

Общим проблемам аудита ИБ ИС ОИ посвящены работы Аверичнико-ва В.И. [54, 55], Рытова М.Ю., Кувылкина А.В., Рудановского М.В. [54], Ивановой Н.В., Коробулиной О.Ю. [56], Корниенко А.А., Диасамидзе С.В. [57], Петренко А.А., Петренко С.А. [58], Кульбы В.В., Шелкова А.Б., Гладкова Ю.М., Павельева С.В. [59], Маркова А.С., Цирлова В.Л., Барабанова А.В. [60], Курило А.П., Зефирова С.Л., Голованова В.Б. [61], Moeller R.R. [61],

Климова С.М. [83], Новиковой Т.Л., Надеждина Е.Н. [92-94]. Вместе с тем, данные работы не учитывают возможности практических подходов к аудиту в виде тестирования специальными ИТВ, а также возможности создания масштабных систем аудита, которые могут быть реализованы в виде единых национальных комплексов типа ГосСОПКА.

Исследованию вопросов повышения эффективности системы ГосСОПКА, в том числе и по обнаружению и предотвращению ИТВ на ОИ КИИ посвящены работы Петренко С.А. [36-38], Ступина Д.Д. [36], Цирлова В.Л. [38], Маркова А.С. [39, 40], Краковского Ю.М., Курчинского Б.В., Лузги-на А.Н. [41], Калашникова А.О., Сакрутиной Е.А. [42], Завориной Л.Д., Се-лифанова В.В. [43], Ежгурова В.Н., Юмашева Е.С., Бач М.А. [44], Краснова Р.А. [45], Карасева С.В., Мацкевича А.Г., Рыболовлева А.А., Рыболовле-ва Д.А. [46]. По данным работам необходимо отметить два аспекта. Во-первых, само направление исследований, посвященных вопросам защиты ОИ КИИ и повышения эффективности системы ГосСОПКА, является относительно новым. Это подтверждается тем, что подавляющая часть работ по этой тематике относится к периоду не старше 2016 г. Во-первых, в известных работах по совершенствованию системы ГосСОПКА не рассматриваются вопросы использования такого практического подхода к аудиту ИБ ОИ КИИ как тестирование, в виде какой-либо отдельной подсистемы.

Вопросам повышения защищённости ИО и ИС КИИ в условиях деструктивных информационных воздействий, в том числе и преднамеренно-тестирующего характера, посвящены работы Е.Б. Дроботуна [12-15].

Необходимо отметить, что ядром комплекса ГосСОПКА фактически является SIEM система. Именно SIEM, выполняя сбор и интеллектуальную обработку данных о состоянии параметров ИБ, а также о возникающих инцидентах безопасности принимает решение о наличии или отсутствии воздействия на защищаемую систему. Исследованию вопросов повышения эффективности SIEM систем посвящены работы Петренко С. А., Цирлова В. Л. [38], Котенко И.В. [47-49, 95, 96], Саенко И.Б. [95, 96], Чечулина А.А. [47-

49], Федорченко А.В. [47, 48, 96], Левшуна Д.С. [47, 48], Дойниковой Е.В. [49], Кушнеревич А.Г. [96]. Вместе с тем в данных работах по совершенствованию SIEM систем не рассматриваются вопросы использования практического подхода к оценке защищенности контролируемых объектов на основе их тестирования, а также возможности внедрения подсистемы тестирования в виде отдельной подсистемы SIEM.

Практическим вопросам оценки ИБ ОИ путем их тестирования посвящены работы Климова С. М. [33, 34], Петренко А. А., Петренко С. А. [35], Макаренко С.И. [53], Маркова А. С., Цирлова В. Л., Барабанова А. В. [60], Moeller R. R. [62], Скабцова Н. [63], Kennedy D., O'Gorman J., Kearns D., Aharoni M. [65], Makan K. [66], Cardwell K. [67], Бойко А. А. [84-86], Храмова В. Ю. [85-87], Щеглова А. В. [86, 87], Дьяковой А. В. [84, 85].

Теоретическим вопросам развития тестирования, как средства контроля состояния ОИ посвящены работы Пакулина Н. В., Шнитман В. З., Никеши-на А. В. [22], Иванникова В. П., Петренко А. К., Кулямина В. В., Максимова А. В. [28, 29], Макаренко С.И. [53].

В работах McDermott J. P. [31], Klevinsky T. J., Laliberte S., Gupta A. [32], Pfleeger C.P., Pfleeger S.L., Theofanos M.F. [21], 8Alisherov F., Sattarova F. [88], Ami P., Hasan A. [89], Holik F., Horalek J., Marik O., Neradova S., Zitta S. [90], Herzog P. [91], Engebretson P. [98], Барановой Е.К. [97, 102], Бегае-ва А.Н., Бегаева С.Н., Федотов В.А. [99], Богораза А. Г., Песковой О. Ю. [100], Дорофеева А. [105], Умницына М. Ю. [108], Бородина М. К., Бородиной П. Ю. [109], Baloch R. [111], Полтавцевой М. А., Печенкина А. И. [112], Кадана А. М., Доронина А. К. [113], Еременко Н. Н., Кокоулина А. Н. [114], Туманова С. А. [115], Кравчука А. В. [116], Горбатова В. С., Мещерякова А. А. [116], рассматриваются такие, наиболее близкие к исследуемому в данной работе практические способы оценивания защищённости ОИ, как «тестирование на проникновение» или «penetration testing». В некоторых работах, такой тип тестирования фигурирует под наименованием «инструментальный аудит».

В международной практике, проведение тестов на проникновение регламентируется стандартами, которые регламентируют этапы тестирования, методики испытаний ОИ и их ИС, порядок взаимодействия с заказчиком и т.д. К таким международным стандартам относятся [100, 126]:

- OSSTMM - The Open-Source Security Testing Methodology Manual [127];

- ISSAF - Information System Security Assessment Framework [129];

- OWASP - Open Web Application Security Project [128];

- PTES - Penetration Testing Execution Standard [130];

- NIST SP 800-115 - Technical Guide to Information Security Testing and Assessment [131];

- BSI - Study a Penetration Testing Model [132];

- PETA - Methodology of Information Systems Security Penetration Testing [126].

К отечественным стандартам тестирования на проникновение относятся [100]:

- методика от Positive Technologies [133];

- методика от Digital Security [134].

Достаточно полный анализ методик тестирования на проникновение, в вышеуказанных стандартах представлен в работе [100], результаты этого анализа обобщены на рисунке 1.7.

Анализ вышеуказанных работ в области аудита и тестирования защищенности ОИ показал следующее.

В настоящее время имеется значительное количество работ, посвященных аудиту ИБ. Однако в подавляющем большинстве этих работ аудит рассматривается как процесс проверки ОИ на соответствие заранее определенным требованиям ИБ. Вместе с тем, требования по ИБ, как правило, формулируется по итогам анализа инцидентов, что приводит к тому, что они регулярно отстают от современных возможностей и практики действий нарушителей. Более того, существующая практика проведения аудита зачастую не

предусматривает использование для проверки защищенности ОИ известных способов, средств и сценариев действий реальных нарушителей. В связи с этим, существующий уровень развития теории и практики аудита защищённости ОИ не предполагает проведение полномасштабных экспериментальных исследований анализируемой системы путем применения тестовых информационных воздействий, аналогичных тем, которые применяют реальные нарушители!

Рисунок 1.7 - Сравнительный анализ различных методик тестирования на проникновение ОИ [100]

Незначительное количество работ, посвященных вопросам экспериментального тестирования реальных ОИ, рассматривают такие способы и сценарии исключительно как «тестирование на проникновение» или как «инструментальный аудит», при этом проведение такого типа аудита в отечественной практике не регламентируется каким-либо системным или хотя бы общетеоретическим подходом. В некоторых отечественных работах по те-

стированию на проникновение акцент делается на необходимости выявления наиболее «зрелищных» уязвимостей или тех уязвимостей, устранение которых принесет максимальные экономические выгоды компании, выполняющий аудит. Имеющиеся зарубежные и отечественные методики тестирования на проникновение не содержат исчерпывающего обоснования параметров и критериев выбора тестов, особенно применительно к критически важным ОИ.

Обобщая, можно сделать вывод, что в настоящее время научно-обоснованные теоретические основы применения тестирования для оценки уровня ИБ ОИ проработаны чрезвычайно слабо. В частности, не проработанными являются:

- научные основы применения тестирования информационными воздействиями, как одного из основных способов практического аудита состояния защищенности ОИ;

- методов и методик формирования тестирующих наборов ИТВ, обладающих целесообразной полнотой и адекватностью проверки уровня защищенности ОИ, а также достоверно воспроизводящим прогнозируемые целевые атаки на него;

- методов и методик проведения тестирования в режимах «белого», «серого» и «черного ящиков», а также в режимах имитации внутреннего и внешнего нарушителя;

- методов и методик согласующих критерии и показатели аудита, проводимого на основе известных методов теоретического подхода (процессный подход, оценка на основе модели зрелости или модели оценки) и практического подхода (анализ рисков, анализ стандартов, комбинированный анализ), а также критерии и показатели тестирования;

- методов и методик, комплексирующих способы тестирования в технической сфере, путем использования тестовых ИТВ, и в психоло-

гической сфере, путем использования ИПВ и социоинженерных атак.

При этом к работам в которых сделана попытка подвести научную основу под тестирование специальными ИТВ относятся работы: Pfleeger C.P., Pfleeger S.L., Theofanos M.F. [21], McDermott J.P. [31], Макаренко С.И. [53], Pfleeger C.P., Pfleeger S.L., Alisherov F., Sattarova F. [88], Ami P., Hasan A. [89], Holik F., Horalek J., Marik O., Neradova S., Zitta S. [90], Herzog P. [91]. В статье McDermott J. P. [31] представлена модель тестирования в формализме теории сетей Петри. В работе Макаренко С.И. [53] сделана попытка систематизировать и подвести научную базу под возможности использования тестовых ИТВ для оценки защищенности объектов КИИ. В статьях Pfleeger C.P., Pfleeger S.L., Theofanos M.F. [21], Alisherov F., Sattarova F. [88], Ami P., Hasan A. [89], Holik F., Horalek J., Marik O., Neradova S., Zitta S. [90], Herzog P. [91] представлены различные варианты методологии тестирования. Однако во всех, этих работах вопросы формирования обоснования тестовых ИТВ при оценке защищенности ОИ с целесообразной полнотой в условиях ограниченности ресурсов (экономических, технических, человеческих) - не рассматривались.

Предполагается, приняв за основу общие подходы, представленные в работах [21, 31, 53, 88-91], с учетом рекомендаций отечественных и зарубежных стандартов [126-134], разработать модель и методику обоснования тестовых ИТВ, адаптировав их к специфике тестирования ОИ. Идеологически, указанное направление исследований продолжает и развивает более раннее исследование С.И. Макаренко [53] направленное на формирование научно-обоснованных подходов к тестированию ОИ КИИ специальными способами и средствами ИТВ и ИПВ. Новизной данного исследования является взаимоувязанный учет совокупности следующих факторов: рассмотрение в рамках практического подхода к аудиту защищенности ОИ, воздействий тестовыми ИТВ, имитирующими реальные сценарии атак нарушителей; рассмотрение в качестве объекта тестирования ОИ ЖТ; рассмотрение в качестве показателя

качества аудита защищенности ОИ полноты покрытия его уязвимостей. Судя по анализу информационной базы диссертационных работ РГБ, ближайшими отечественными аналогами данного исследования могут служить диссертации, прежде всего - Д.В. Звонова [101], а также частично - М.В. Абрамова [103] и Е.Н. Созиновой [104]. При этом в этих работах тестирование ИТВ, как практический подход к аудиту, а также ОИ ЖТ, как объекты тестирования - не рассматривались.

Таким образом, проведенный анализ предметной области исследования и ранее опубликованных материалов позволяет сформулировать проблемную ситуацию - между необходимостью обеспечения требуемого уровня анализа защищенности объектов информатизации и недостаточной развитостью теоретических положений существующих моделей анализа защищенности, стандартов тестирования на проникновение, методик выбора тестовых воздействий.

1.3 Постановка и формализация научной задачи

1.3.1 Общая постановка и формализация научной задачи Для разрешения сформулированной проблемной ситуации и достижения цели исследования - улучшения показателей полноты покрытия уязвимостей и стоимости тестирования, путём обоснованного выбора тестовых ИТВ при проведении анализа защищенности ОИ, необходимо решить научную задачу по разработке модели анализа защищенности объекта информатизации и методики обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов.

Цель и научная задача исследования соответствуют специальности 2.3.6. «Методы и системы защиты информации, информационная безопасность» по следующим пунктам паспорта:

п. 3. Методы, модели и средства выявления, идентификации, классификации и анализа угроз нарушения информационной безопасности объектов различного вида и класса;

п. 10. Модели и методы оценки защищенности информации и информационной безопасности объекта;

п. 16. Модели, методы и средства обеспечения аудита и мониторинга состояния объекта, находящегося под воздействием угроз нарушения его информационной безопасности, и расследования инцидентов информационной безопасности в автоматизированных информационных системах.

Объектом исследования являются процессы и процедуры анализа защищенности объекта информатизации.

Предметом исследования - графоаналитические методы, используемые для обоснования тестовых ИТВ в интересах анализа защищенности объекта информатизации.

Для формализации научной задачи введем обозначения: I - множество тестовых ИТВ; I - отдельное тестовое ИТВ;

М - множество методик обоснования набора тестовых ИТВ, используемых при оценке уязвимостей ОИ;

т - методика обоснования набора тестовых ИТВ для рациональной полноты оценки уязвимостей ОИ в условиях ограниченных ресурсов; Я - ресурс аудитора; £ - тестируемая система - ОИ; и - множество уязвимостей ОИ; и - отдельная уязвимость ОИ.

В общей вербальной форме, постановка научной задачи может быть сформулирована так - разработка методики т формирования множества тестовых ИТВ /={/}, обеспечивающих рациональную полноту л выявления и потенциального предотвращения ущерба множества уязвимостей {и} эле-

ментов {е} объекта информатизации £ (£={Е, и}), в условиях ограниченности ресурса аудитора Я:

т : < £ I, Я, 7> ^ л. (1.1)

1.3.2 Декомпозиция научной задачи и постановка частных задач исследования

Для решения общей научной задачи в интересах достижения поставленной цели, она была декомпозирована на частные научные задачи:

1) разработка модели анализа защищенности объекта информатизации на основе использования тестовых ИТВ;

2) разработка методики обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов;

а также частную прикладную задачу:

3) разработка научно-обоснованных рекомендаций по архитектуре автоматизированного комплекса анализа защищенности объекта информатизации с использованием тестовых ИТВ.

Первая частная научная задача соответствует формированию формального описания процесса тестирования ОИ в виде многоуровневой топологической модели, которая взаимосвязано учитывает: эффективность отдельных ИТВ I, в части выявленного и потенциально предотвращенного ущерба {г}; ориентированности их на проверку конкретного множества уязвимостей {и} элементов {и} объекта информатизации; расход в процессе тестирования определенного количества ресурса г (в данном случае под абстрактным ресурсом может пониматься расход времени аудитора, оплата его труда, стоимость машинного времени, затраты на специализированное оборудование и т.д.).

Вторая частная научная задача соответствует разработке методики т обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стои-

мость ресурсов, которая ориентирована на научно-обоснованное формирование такого набора ИТВ /={/}, который бы в условиях ограниченности ресурсов аудитора Я максимизировал бы важность выявляемых уязвимостей {и}, с учетом того, что отдельным уязвимостям и и элементам ОИ е сопоставляются уровни ущерба г(е, и, ¿, о), наносимого ОИ £ по свойству ИБ о (имеется ввиду: конфиденциальность целостность, доступность) при потенциальной эксплуатации уязвимости и элемента е злоумышленником путем применения ¿-го ИТВ. При этом абсолютным показателем рациональной полноты л является сумма «стоимости выявленного и потенциально предотвращенного ущерба» 2(е, и, /, о) при использовании тестового набора {¿} для тестирования

уязвимостей {и} , относительно тестируемых элементов объекта {е} и свойств ИБ {о}:

^ г(е, и, ¡, о) = л .

{1},{и},{е}

Относительным значением рациональной полноты лотн является абсолютный показатель рациональной полноты л, отнесенный к сумме ущерба П по всем возможным комбинациям ИТВ {¿} потенциальных злоумышленников, уязвимостей {и} элементов объекта {е} и свойств ИБ {о}:

л

л = —.

отн П

Третья частная научная задача соответствует разработке предложений об интеграции комплекса тестирования защищенности ОИ, основанного на методике обоснования набора тестовых ИТВ, в состав типовой архитектуры центра мониторинга ИБ, выполняющего функции превентивного аудита и оценки защищенности ОИ.

1.3.3 Рамки исследования

К основным рамкам исследования относится следующее.

1) Качество оценки защищенности ОИ определяется показателями полноты покрытия уязвимостей ОИ и стоимости тестирования, эквивалентной суммарным затратам ресурса на проведение тестирования.

2) Показатель полноты - количество выявленных уязвимостей ОИ или взвешенная сумма важности выявляемых уязвимостей, с учетом уровней ущерба, который может быть нанесен ОИ при эксплуатации данных уязви-мостей.

3) Тестовые ИТВ - обеспечивающие и атакующие ИТВ, соответствующие тем ИТВ, которые потенциально могут быть использованы реальными злоумышленниками, реализуемые против ОИ с целью превентивного его аудита: выявления уязвимостей и оценки потенциального ущерба.

4) Прототип ОИ - узел системы связи в составе ИИ ЖТ, имеющий в своем составе 10 элементов, которым свойственны 7 уязвимостей.

5) Параметры ИТВ, ресурса, уязвимостей, элементов ОИ и показателей ущерба - детерминированы и заведомо известны, что соответствует тестированию по принципу «белого ящика».

1.3.4 Обоснование последовательности решения научной задачи и общей схемы проведения исследования

Разрешение актуальной научной задачи разработки модели анализа защищенности объекта информатизации и методики обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов, ведется путем ее декомпозиции на частные научные задачи и прикладную частную задачу. А именно:

1) разработка модели анализа защищенности объекта информатизации на основе использования тестовых ИТВ;

2) разработка методики обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов;

3) разработка научно-обоснованных рекомендаций по архитектуре автоматизированного комплекса анализа защищенности объекта информатизации с использованием тестовых ИТВ.

Общая схема проведения исследования в интересах достижения цели диссертационной работы, основные полученные результаты и взаимосвязь между ними представлены на рисунке 1.8.

Во второй и третьей главах представлено решение двух частных научных задач. При решении этих частных задач использовались графоаналитические методы - метод синтеза структуры графа из теории дискретной математики, аналитические методы математической индукции, математические алгоритмы поиска кратчайших путей на направленном графе, аналитические методы теории множеств.

Рисунок 1.8 - Общая схема проведения исследования в интересах достижения цели диссертационной работы

Выводы по первой главе

1) Анализ ОИ ЖТ, современных подходов к их аудиту и тестированию, в контексте ИБ, показал, что новым подходом оценки защищенности ИБ ОИ является аудит на основе экспериментальных исследований. Данный тип аудита, проводится с применением тестовых ИТВ, соответствующих прогнозируемым воздействиям злоумышленника, с целью практической проверки эффективности технических или организационных мер защиты, а также выявления новых уязвимостей ОИ. При этом такой тип аудита в существующих комплексах, предназначенных для мониторинга ИБ ОИ, отсутствует. Данный тип аудита обобщает известные понятия «активный аудит», «инструментальный аудит», «тестирование на проникновение», «penetration testing» и т.д.

2) Основной формой проведения аудита ИБ ОИ на основе экспериментальных исследований является тестирование объекта специальными ИТВ. При этом в настоящее время научно-обоснованные требования к наборам ИТВ, используемых при тестировании, не предъявляются. Таким образом, перспективным направлением исследования является улучшение показателей полноты покрытия уязвимостей и стоимости тестирования, путём обоснованного выбора тестовых ИТВ при проведении анализа защищенности ОИ. При этом подсистему, реализующий такой тип аудита, целесообразно включить в состав центра мониторинга, осуществляющего контроль состояния ИБ ОИ.

3) Анализ известных работ в области аудита ИБ показал, что в подавляющем большинстве работ аудит рассматривается как процесс проверки информационных систем на соответствие заранее определенным требованиям ИБ. Вместе с тем, требования по ИБ, как правило, формулируется по итогам анализа инцидентов, что приводит к тому, что они регулярно отстают от современных возможностей и практики действий нарушителей. Работы, посвященные вопросам экспериментального тестирования реальных ОИ и их

ИС, рассматривают такие способы и сценарии исключительно как «тестирование на проникновение» или как «инструментальный аудит», при этом проведение такого типа аудита в отечественной практике не регламентируется каким-либо системным или хотя бы общетеоретическим подходом. В некоторых отечественных работах по тестированию на проникновение акцент делается на необходимости выявления наиболее «зрелищных» уязвимостей или тех уязвимостей устранение, которых принесет максимальные экономические выгоды компании, выполняющий аудит. Имеющиеся зарубежные и отечественные методики тестирования на проникновение (OSSTMM, ISSAF, OWASP, PTES, NIST SP 800-115, BSI, PETA, методика от Positive Technologies, методика от Digital Security) не содержат исчерпывающего обоснования параметров и критериев выбора тестовых ИТВ, особенно применительно к ОИ ЖТ.

4) Вышеуказанные факторы позволили сформулировать проблемную ситуацию - между необходимостью обеспечения требуемого уровня анализа защищенности объектов информатизации и недостаточной развитостью теоретических положений существующих моделей анализа защищенности, стандартов тестирования на проникновение, методик выбора тестовых воздействий.

При этом предварительные исследования показали перспективность использования для разрешения этой проблемной ситуации графоаналитических методов теории дискретной математики.

5) Для разрешения сформулированной проблемной ситуации и достижения цели исследования - улучшения показателей полноты покрытия уязвимостей и стоимости тестирования, путём обоснованного выбора тестовых ИТВ при проведении анализа защищенности ОИ, необходимо решить научную задачу разработки модели анализа защищенности объекта информатизации и методики обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов (цель и задача соответствуют паспорту

специальности 2.3.6. «Методы и системы защиты информации, информационная безопасность» по п. 3, 10, 16). При этом, объектом исследования являются процессы и процедуры анализа защищенности объекта информатизации, а предметом исследования - графоаналитические методы, используемые для обоснования тестовых ИТВ в интересах анализа защищенности ОИ.

6) Была проведена формализация научной задачи. В общей вербальной форме, постановка научной задачи может быть сформулирована так - разработка методики т формирования множества тестовых ИТВ /={/}, обеспечивающих рациональную полноту л выявления и потенциального предотвращения ущерба множества уязвимостей {и} элементов {е} объекта информатизации £ (£={Е, и}), в условиях ограниченности ресурса аудитора Я. В формальной форме научная задача может быть представлена так - М : < £, I, Я, 2 > ^ л.

7) Для решения общей научной задачи в интересах достижения поставленной цели, она была декомпозирована на частные научные задачи:

- разработка модели анализа защищенности объекта информатизации на основе использования тестовых ИТВ;

- разработка методики обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов;

а также частную прикладную задачу:

- разработка научно-обоснованных рекомендаций по архитектуре автоматизированного комплекса анализа защищенности объекта информатизации с использованием тестовых ИТВ.

2 МОДЕЛЬ АНАЛИЗА ЗАЩИЩЕННОСТИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ НА ОСНОВЕ ИСПОЛЬЗОВАНИЯ ТЕСТОВЫХ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИХ

ВОЗДЕЙСТВИЙ

Данная глава посвящена решению первой частной научной задачи -разработке модели анализа защищенности объекта информатизации на основе использования тестовых информационно-технических воздействий.

2.1 Постановка задачи на моделирование В международной практике, практическое проведение тестирования защищенности объекта путем использования тестов на проникновенен регламентируется стандартами [100, 126]: OSSTMM [127]; ISSAF [129]; OWASP [128]; PTES [130]; NIST SP 800-115 [131]; BSI [132]; PETA [126]. К отечественным стандартам тестирования на проникновение относятся [100]: методика от Positive Technologies [133]; методика от Digital Security [134]. При этом в основу этих стандартов не положены какие-либо системные или хотя бы общетеоретические подходы. К работам, в которых сделана попытка подвести научную основу под тестирование специальными ИТВ, относятся работы: Pfleeger C.P., Pfleeger S.L., Theofanos M.F. [21], McDermott J. P. [31], Макаренко С.И. [53], Pfleeger C.P., Pfleeger S.L., Alisherov F., Sattarova F. [88], Ami P., Hasan A. [89], Holik F., Horalek J., Marik O., Neradova S., Zitta S. [90], Herzog P. [91]. В статье McDermott J. P. [31] представлена модель тестирования в формализме теории сетей Петри. В работе Макаренко С.И. [53] сделана попытка систематизировать и подвести научную базу под возможности использования тестовых ИТВ для оценки защищенности объектов КИИ. В статьях Pfleeger C.P., Pfleeger S.L., Theofanos M.F. [21], Alisherov F., Sattarova F. [88], Ami P., Hasan A. [89], Holik F., Horalek J., Marik O., Neradova S., Zitta S. [90], Herzog P. [91] представлены различные варианты методологии тестирования. Однако во всех, этих работах вопросы формировании базовой модели

оценки защищенности ОИ, на основе которой можно было бы обосновывать наборы тестовых ИТВ под различные задачи аудита - не рассматривались.

Первая частная научная задача соответствует формированию формального описания процесса тестирования ОИ в виде многоуровневой топологической модели, которая взаимосвязано учитывает: эффективность отдельных ИТВ /, в части выявленного и потенциально предотвращенного ущерба {г}; ориентированности их на проверку конкретного множества уязвимостей {и} элементов {и} объекта; расход в процессе тестирования определенного количества ресурса Г( (в данном случае под абстрактным ресурсом может пониматься расход времени аудитора, оплата его труда, стоимость машинного времени, затраты на специализированное оборудование и т.д.).

Для формализации модели введем следующие обозначения: л - абсолютное значение полноты выявленного и потенциально предотвращенного ущерба;

лотн - относительное значение полноты выявленного и потенциально предотвращенного ущерба;

Е={е} - множество элементов, составляющих ОИ; в) -)-ый элемент ОИ;

g(ej, вт, аи) - вес ребра соединяющего в)■ и вт элементы ОИ, характеризующий дестабилизирующее влияние со стороны элемента в) на элемент вт при нарушении у элемента в) свойства ИБ ои; /={/} - множество тестовых ИТВ; 1) - )-ое тестовое ИТВ; ) - переменная-счетчик; I - переменная-счетчик; т - переменная-счетчик; п - переменная-счетчик; п - переменная-счетчик;

И/ - количество тестовых ИТВ, которое соответствует количеству элементов множества /;

Ии - количество уязвимостей, которое соответствует количеству элементов множества и;

Я - количество ресурса аудитора;

г, - количество ресурса аудитора, расходуемое на организацию и проведение ,-го тестового ИТВ;

Гп - затраты ресурса аудитора на проведение п-го тестового ИТВ;

s(x) - степень вершины х, равная количеству инцидентных ей ребер, которые соответствуют тем или иным условиям;

и - уязвимость ОИ;

и={и} - множество уязвимостей ОИ;

у(х1, Х2) - вес ребра соединяющего Х1 и Х2 элементы модели;

г(еу, Оп) - ущерб, от нарушения свойства ИБ Оп у элемента е,-;

2={г} - суммарный показатель ущерба, который может быть причинен

ОИ;

Оп - свойство ИБ: п=1 - доступность; п=2 - целостность; п=3 - конфиденциальность;

2.2 Формализация модели на основе графоаналитического представления

Модель анализа защищенности ОИ на основе использования тестовых ИТВ представлена в формализме теории графов и теории множеств и имеет иерархическую структуру (рисунок 2.1):

1) уровень ресурсов;

2) уровень тестовых ИТВ;

3) уровень уязвимостей;

4) уровень элементов ОИ;

5) уровень ущерба ОИ.

Рассмотрим структуру и формальные связи между этими уровнями подробно.

1) На первом уровне модели формализуются ресурсы, необходимые для реализации соответствующих тестовых ИТВ, упорядоченные по возрастанию «стоимости».

Связь уровня ресурсов с уровнем тестовых ИТВ осуществляется путем постановки в соответствие каждому ИТВ ^ определенного элемента г)■. Это соответствие формализуется ребром у(т), 0, вес которого пропорционален нормированным затратам ресурсов на проведение у ИТВ:

\ •

V ( Г '

Ы )=-¡г-, (2.1)

х<

г

п

п=1

где: Г) - затраты ресурса аудитора на проведение)-го тестового ИТВ; Гп - затраты ресурса аудитора на проведение п-го тестового ИТВ; И/ - количество тестовых ИТВ; п - переменная-счетчик.

Выбор выражения (2.1) обусловлен следующими соображениями. Во-первых, множество весов ребер, ведущих с уровня ресурсов на уровень те-

NI

стовых ИТВ, должно быть нормировано к единице т.е. :V(г,^ ) = 1. Во-

вторых, так как в дальнейшем на данной модели планируется поиск рациональных тестовых ИТВ, которые будут основаны на алгоритмах поиска кратчайших путей, то более лучшему ребру, которое соответствует использованию ИТВ с меньшими затратами ресурсов, должно соответствовать меньшее значение веса ребра. Выражение (2.1) удовлетворяет данным условиям.

2) На втором уровне модели формализуются множество тестовых ИТВ /={/}, которые могут быть использованы для оценки защищенности ОИ.

Связь уровня тестовых ИТВ с уровнем уязвимостей осуществляется путем постановки в соответствие каждому ИТВ ^ подмножества элементов {ит} уровня уязвимостей, т.е. тех уязвимостей {ит} , которые могут быть использованы )-ым ИТВ для нанесения того или иного ущерба ОИ. Это соответствие у и {ит} формализуется множествами ребер {() ит)}, где т=1...М/ -счетчик ребер инцидентных вершине г). Вес каждого ребра ит) пропорци-

онален нормированной степени вершины I, относительно числа инцидентных ребер, ведущих к элементам {ит} на уровне уязвимостей:

''(,ит)= (.1-Т"Л ' (2.2)

где: 5_{и}) - степень вершины /,-, равная количеству инцидентных ей

ребер, ведущих к элементам {и}, например, для схемы модели на рисунке 2.1 ¿•(¿1)=2, ¿•(¿2)=3, ^(/з)=1; N1 - количество тестовых ИТВ, которое соответствует количеству элементов множества I.

Выбор выражения (2.2) обусловлен следующими теми же соображениями, что и для выражения (2.1). Во-первых, множество весов ребер, ведущих с уровня тестовых ИТВ на уровень уязвимостей, должно быть нормировано к

единице т.е. ^V(¿у,ит ) = 1. Во-вторых, ребру от более лучшего узла /, в смыс-

7 ,т

ле, ИТВ, тестирующему большее число уязвимостей {ит}, должно соответствовать меньшее значение веса ребра.

3) На третьем уровне модели формализуются множество уязвимостей и={и}, которые потенциально присутствуют в элементах ОИ и могут быть использованы нарушителем для дестабилизирующего воздействия на элементы объекта и причинения ущерба.

Связь уровня уязвимостей с уровнем элементов ОИ осуществляется путем постановки в соответствие каждой уязвимости и, подмножества вершин {е/} уровня элементов, т.е. тех элементов {е/}, которым может быть нанесен ущерб путем эксплуатации ,-ой уязвимости. Это соответствие и, и {е/} формализуется множествами ребер {(и,-, е/)}, где 1=1...Ь, - счетчик ребер инцидентных вершине и,-. Вес каждого ребра у(щ, е/) обратно пропорционален нормированной степени вершины и, относительно числа инцидентных ребер, ведущих к вершинам { е/} на уровне элементов:

V (и

(и7,е) = ^—/ 1 ^ ^, (2.3)

Ни . 5 _>{е})

где: ^(и |и ^М) - степень вершины и), равная количеству инцидентных ей

ребер, ведущих к элементам { в} , например для схемы модели на рисунке 2.1 5*(и1)=2, s(uз)=3, ¿*(и4)=1; Ии - количество уязвимостей, которое соответствует количеству элементов множества и.

Выбор выражения (2.3) обусловлен следующими теми же соображениями, что и для выражения (2.2). Во-первых, множество весов ребер, ведущих с уровня тестовых ИТВ на уровень уязвимостей, должно быть нормировано к

единице т.е. : V (и], в1 ) = 1. Во-вторых, ребру от более лучшего узла и, в смыс-

и

ле, уязвимости и, которая соответствует большему числу тестируемых элементов {в/}, должно соответствовать меньшее значение веса ребра.

4) На четвертом уровне модели формализуются множество элементов ОИ Е={в}, дестабилизирующее воздействие на которые, через эксплуатацию тех или иных уязвимостей приведет к причинению ущерба. На данном уровне существует два типа связей:

- связь элементов ОИ между собой, которая определяется вероятностью Рдв(в), вт, Сп) дестабилизирующего влияния элемента в) на элемент вт при нарушении у элемента в) свойства ИБ Сп, при этом С1 -соответствует свойству доступности, С2 - целостности; 03 - конфиденциальности;

- связь вершин {в)} уровня элементов с вершинами {г/} уровня ущерба.

Связь элементов ОИ {в)} между собой в рамках одного уровня задается ребрами вида (в/, вт). Вес каждого ребра g(ej, вт, Сп) определяется обратной величиной вероятности дестабилизирующего влияния Рдв(в), вт, Сп):

g(e/, вт, Сп) = 1-Рдв(в), вт, Сп). (2.4)

Выбор выражения (2.4) обусловлен следующими соображениями. Ребру с большей величиной вероятности дестабилизирующего влияния Рдв(в), вт, Сп), что соответствует более полному охвату тестируемых элементов {вт}, должно соответствовать меньшее значение веса ребра. Если деста-

билизирующее влияние отсутствует, то g(в/, ет„ Оп)=1, т.е. становиться «непроходимым» в топологическом смысле относительно весов ребер у(щ, в/) и у(в/-, г/), значение которых много меньше 1, в связи с чем вт, Оп)=1 можно не учитывать.

Связь вершин {в/} уровня элементов ОИ с вершинами {г/} уровня ущерба осуществляется путем постановки в соответствие каждому элементу в/ по свойству ИБ Оп (п=1 - доступность; п=2 - целостность; п=3 - конфиденциальность) вершины г/(в/, Оп) уровня ущерба. Это соответствие в/ и {г/} формализуется множествами ребер {(в/, г/)}. Вес каждого ребра у(в/,г/) обратно пропорционален нормированной степени ущерба г/:

v(, ) =

i

max

m=1...NE у и=1...3

{ Z ( em )} - Z ( ) + 1

Ne 3

(2.5)

EE Z ( ^m )

где: г(в/, Оп) - «стоимость» ущерба, который наносится ОИ при нарушение Оп-го свойства ИБ на его элементе в/; Ие - количество элементов ОИ, которое соответствует количеству элементов множества И; п=1...3 - счетчик свойств

Ne 3

ИБ ои; EEz (^ - сУмма ущерба по всем элементам ОИ и свойствам ИБ;

m=1 n =1

max {z (em ,a„)} - значение максимального ущерба среди всех комбинаций

m= n=1...3

элементов и свойств ИБ.

Выбор выражения (2.5) обусловлен следующими соображениями. Во-первых, множество весов ребер, ведущих с уровня элементов ОИ на уровень

ущерба, должно стремиться к единице т.е. ^у(е,^1. Во-вторых, более

лучшему ребру, в смысле, большего значения ущерба, должно соответствовать меньшее значение веса ребра. Суммирование единицы в числителе необходимо для исключения обнуления числителя в весе ребра, соответствующего значению максимального ущерба.

5) На пятом уровне модели формализуются значения ущербов ОИ, упорядоченные по возрастанию «стоимости». Каждое конкретное значение г(в], Сп) численно равно «стоимости» ущерба, который наносится ОИ при нарушении Сп-го свойства ИБ на его элементе в).

В общем виде модель анализа защищенности ОИ на основе использования тестовых ИТВ представлена на рисунке 2.1.

Особенностями данной модели является следующее.

Максимальная длина пути от произвольного узла уровня ресурсов {гг} до произвольного узла уровня ущерба {z(e/, Сп)} равна 4, т.к. максимальное значение ребра между каждым уровнем равно 1. Это значение соответствует худшему варианту выбора тестового ИТВ. Наилучший вариант пути «затраты ресурсов - ИТВ - уязвимость - элементы ОИ - ущерб» стремиться к 0. Таким образом, «оптимальность» выбранного набора тестовых ИТВ относительно пути «затраты ресурсов - ИТВ - уязвимость - элементы ОИ - ущерб» могут быть оценены по степени приближения суммарного веса пути к нулю. Разница в суммарных весах различных путей, может выступать численной оценкой степени преимущества одного пути, по сравнению с другим.

Вес ребра - нормированные затраты ресурса на проведение ИТВ

v (Г, Ъ ) = Г Е гп

_/ п-1_

Уровень ресурсов

Уровень тестовых ИТВ

Затраты ресурса на проведение ИТВ

Я

Уровень уязвимостей____

С^ и= {и}

Уровень элементов объеКта информатизаци

Вес ребра - нормированные степени вершин ИТВ {/}, относительно ребер к {и}

})

Вес ребра -нормированные степени вершин уязвимостей {и}, относительно ребер к {е}

^—) —) —) '—) --)

о" о" о" о" о" о"

«т

4---'

N N N N N N

о о о о о о о

^ ^ ^ ^ ^ ^

NN N NN

Уровень ущерба объекту информатизации

5

Г6

Г

Г

4

4

3

5

2

6

Вес ребра - нормированные значения ущебра {г}, относительно ребер от элементов {е} Л

тах {г(ет^)} - г(т +1

v (т, г) 1 п=1...3 у

«ж 3 Е ЕЕ г (Тт )

Рисунок 2.1 - Схема модели анализа защищенности ОИ на основе использования тестовых ИТВ

Абсолютным значением полноты к выявленного и потенциально предотвращенного ущерба для ОИ, при выборе конкретного набора {г} тестовых ИТВ, может служить значение суммы ущерба г^, Сп), которое соответствует путям «ИТВ - уязвимость - элементы ОИ - ущерб», включенных в набор ИТВ {г}:

Ег(е,и,I,ст) = ^ . (2.6)

«

Относительной полнотой Лотн можно считать величину выявленного и потенциально предотвращенного ущерба отношение выявленного и предотвращенного ущерба при выборе конкретного набора {/} тестовых ИТВ к суммарной стоимости ущерба для всех возможных комбинаций уязвимостей, элементов ОИ и их свойств ИБ:

Е 2 (е, и, I, ст)

Ш =^отн. (2.7)

Е 2 (е, и, I, ст)

У[и},[е},[ст)

Пример формирования модели, для абстрактного прототипа ОИ, представлен в подглаве 4.1.

2.3 Преобразование модели для применения к ней графоаналитических методов исследования

Представленная на рисунке 2.1 модель анализа защищенности объекта информатизации на основе использования тестовых ИТВ, в большей степени соответствует логике проведения тестирования, но не в полной мере подходит для применения к ней графоаналитических методов исследования из теории графов, прежде всего - методов и алгоритмов поиска кратчайших путей.

В работах [135-138] обосновывается метод одновременного поиска как кратчайших, так и дополнительных путей, упорядоченных по убыванию в графе. В работах [139-142] рассматриваются прикладные вопросы кластеризации объектов, соответствующих определенному заранее заданному критерию. Предлагается, приняв подходы, изложенные в работах [135-142], за основу сформировать методику обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов. Вместе с тем для применения подходов [135-142] к модели анализа защищенности объекта информатизации на основе использования тестовых ИТВ, необходимо ее преобразовать

таким образом, чтобы к ней было возможно применение алгоритмов поиска кратчайших и дополнительных путей в графе [135-138].

Основу преобразования иерархической модели составит объединение в единый кластер-вершину R всех вершин на уровне ресурсов и такое же объединение всех вершин в кластер-вершину Z на уровне ущерба [139-142]. При этом значение весов ребер не изменяться, а переходные выражения, позволяющие из значения веса ребра определить соответствующие значение параметра модели будут получены из выражений (2.1) и (2.5):

а) для пересчета значения веса ребра v(R, if) в значение ресурса r, необходимое для проведения ИТВ ij

r = v(Rij Mr; (2.8)

n=1

где: rj - затраты ресурса аудитора на проведение j-го тестового ИТВ; Гп - затраты ресурса аудитора на проведение n-го тестового ИТВ; Ni - количество тестовых ИТВ; п - переменная-счетчик;

б) для пересчета значения веса ребра v(ej, Z) в значение ущерба zi:

Г 1 ( Ne 3 ^

z(ej) = max {z(em,ая)} -I v(e,,Z)•£Ez{em,an) +1, (2.9)

^ n=i:..3E ) v m=i n=i J

где: z(ej, On) - «стоимость» ущерба, который наносится ОИ при нарушение Оп-го свойства ИБ на его элементе e/, Ne - количество элементов ОИ, которое соответствует количеству элементов множества E; п=1...3 - счетчик свойств

NE 3

ИБ On, EEz(em- сумма ущерба по всем элементам ОИ и свойствам ИБ;

m=1 n=1

max {z (em ,a„)} - значение максимального ущерба среди всех комбинаций

m=1...N^ n=1. . .3

элементов и свойств ИБ.

Пример преобразования модели, для абстрактного прототипа ОИ, представлен в подглаве 4.1.

2.4 Выводы по первой главе

Применение к процессу анализа защищенности ОИ путем использования тестовых ИТВ метода синтеза структуры графов позволило сформировать соответствующую модель. Данная модель формализует процесс анализа защищенности ОИ в виде многоуровневой топологической модели, отдельные уровни которой соответствует: затратам ресурса на проведение ИТВ, тестовым ИТВ, уязвимостям, элементам ОИ и уровням ущерба. Применение к данной модели графоаналитических методов, а именно - методов и алгоритмов поиска кратчайших путей позволяет определить «более лучшие» ИТВ по критерию «эффективность/стоимость», а также сформировать тестовые наборы ИТВ, которые обеспечат рациональную полноту аудита ОИ. В дальнейшей работе данная модель используется в составе методики обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уяз-вимостей объекта информатизации при ограничениях на стоимость ресурсов.

Новизной, представленной в данной главе, модели анализа защищенности ОИ на основе использования тестовых ИТВ, является то, что она отличается построением четырехуровневого графа, увязывающего между собой: отдельные тестовые ИТВ; расход ресурса на их проведение; проверяемые уязвимости; тестируемые элементы и подсистемы объекта информатизации; показатели выявленного и потенциально предотвращенного ущерба, а также обоснованием и введением функциональных зависимостей для определения весов межуровневых ребер графа, с учетом: количества ИТВ; ресурса аудитора; количества проверяемых уязвимостей, определяемых каждым ИТВ в каждом элементе объекта информатизации; показателем выявленного и потенциально предотвращенного ущерба, соответствующего каждой уязвимости

Исследование модели подходами из теории графов, позволяет обосновать тестовые наборы ИТВ, обеспечивающие рациональную полноту аудита и тестирования защищенности ОИ.

3 МЕТОДИКА ОБОСНОВАНИЯ НАБОРА ТЕСТОВЫХ ИТВ ДЛЯ ОБЕСПЕЧЕНИЯ РАЦИОНАЛЬНОЙ ПОЛНОТЫ ПОКРЫТИЯ УЯЗВИМОСТЕЙ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПРИ ОГРАНИЧЕНИЯХ НА СТОИМОСТЬ РЕСУРСОВ Данная глава посвящена решению второй частной научной задачи -разработке методики обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей объекта информатизации при ограничениях на стоимость ресурсов.

3.1 Постановка задачи на разработку методики В международной практике, практическое проведение тестирования защищенности объекта путем использования тестов на проникновенен регламентируется стандартами [100, 126]: OSSTMM [127]; ISSAF [129]; OWASP [128]; PTES [130]; NIST SP 800-115 [131]; BSI [132]; PETA [126]. К отечественным стандартам тестирования на проникновение относятся [100]: методика от Positive Technologies [133]; методика от Digital Security [134]. При этом в основу выбора тестов в этих стандартах не положены какие-либо системные или хотя бы общетеоретические подходы. К работам, в которых сделана попытка подвести научную основу под тестирование специальными ИТВ, относятся работы: Pfleeger C.P., Pfleeger S.L., Theofanos M.F. [21], McDermott J. P. [31], Макаренко С.И. [53], Pfleeger C.P., Pfleeger S.L., Alish-erov F., Sattarova F. [88], Ami P., Hasan A. [89], Holik F., Horalek J., Marik O., Neradova S., Zitta S. [90], Herzog P. [91]. В статье McDermott J. P. [31] представлена модель тестирования в формализме теории сетей Петри. В работе Макаренко С.И. [53] сделана попытка систематизировать и подвести научную базу под возможности использования тестовых ИТВ для оценки защищенности ОИ. В статьях Pfleeger C.P., Pfleeger S.L., Theofanos M.F. [21], Alisherov F., Sattarova F. [88], Ami P., Hasan A. [89], Holik F., Horalek J., Marik O., Neradova S., Zitta S. [90], Herzog P. [91] представлены различные варианты методологии тестирования. Однако во всех, этих работах вопросы

научного обоснования набора тестовых ИТВ при оценке защищенности ОИ с целесообразной полнотой в условиях ограниченности ресурса для тестирования - не рассматривались.

Вторая частная научная задача соответствует разработке методики т обоснования набора тестовых ИТВ для обеспечения рациональной полноты покрытия уязвимостей ОИ в условиях ограниченных ресурсов, которая ориентирована на научно-обоснованное формирование такого набора ИТВ /={/}, который бы в условиях ограниченности ресурсов аудитора Я максимизировал бы важность выявляемых уязвимостей {и}, с учетом того, что отдельным уязвимостям и и элементам ОИ е сопоставляются уровни ущерба г(е, и, ¿, о), наносимого ОИ £ по свойству ИБ о (имеется ввиду: конфиденциальность целостность, доступность) при потенциальной эксплуатации уязвимости и элемента е злоумышленником путем применения ¿-го ИТВ. При этом абсолютным показателем рациональной полноты л является сумма «стоимости выявленного и потенциально предотвращенного ущерба» г (е, и, г, ст) при использовании тестового набора {¿} для тестирования уязвимостей {и}, относительно тестируемых элементов объекта {е} и свойств ИБ {о}:

Е г(е, и, г, ст) = л .

Ши},{е}

Относительным значением рациональной полноты лотн является абсолютный показатель рациональной полноты л, отнесенный к сумме ущерба П по всем возможным комбинациям ИТВ {¿} потенциальных злоумышленников, уязвимостей {и} элементов объекта {е} и свойств ИБ {о}:

л

л = —.

отн П

Фактически, требуется найти такие тестовые ИТВ, которые при ограниченных затратах ресурса Я максимизировали бы стоимость выявленного и предотвращенного ущерба л.

Для формализации методики введем следующие обозначения: к - абсолютное значение полноты выявленного и потенциально предотвращенного ущерба;

Кт - абсолютное значение полноты выявленного и потенциально предотвращенного ущерба т-ым ИТВ в тестовом наборе;

Котн - относительное значение полноты выявленного и потенциально предотвращенного ущерба;

Котн т - относительное значение полноты выявленного и потенциально предотвращенного ущерба т-ым ИТВ в тестовом наборе;

В - множество узлов потенциальных дополнительных путей тестирования;

С - множество весов ребер потенциальных дополнительных путей тестирования;

Е={е} - множество элементов, составляющих ОИ; в) -7-ый элемент ОИ;

G(W, V) - граф модели анализа защищенности ОИ; /={/} - множество тестовых ИТВ; 1) - )-ое тестовое ИТВ; ) - переменная-счетчик; к - переменная-счетчик;

Ь - множество смежных помеченных вершин графа G, т.е. множество расстояний до помеченных вершин от начальной вершины; I - переменная-счетчик; т - переменная-счетчик; N - количество узлов в графе G; п - переменная-счетчик;

Р - множество помеченных вершин в графе G;

Q - множество дополнительных путей в узлы, которое содержит дополнительные пути в рассматриваемый узел, сформированные в результате

проведения логических операций над входящими в него элементами и элементами множеств В и Ь.

Я - исходный узел ресурсов в графе О модели анализа защищенности

ОИ;

Г - количество ресурса аудитора, расходуемое на организацию и проведение /-го тестового ИТВ;

Ягр - ограничения на ресурс, расходуемый в процессе тестирования защищенности ОИ;

Ятест - затраты ресурса, необходимые для тестирования защищенности ОИ тестовым набором Т;

£ - множество весов дополнительных путей к узлам графа О; Т={^ - множество тестовых ИТВ, выбранных для проведения тестирования защищенности ОИ в результате применения методики;

? - тестовое ИТВ включенное в тестовый набор Т для проведения тестирования защищенности ОИ; и - уязвимость ОИ; и={и} - множество уязвимостей ОИ;

V - множество весов ребер в графе О модели анализа защищенности

ОИ.

V(Wn, Ж/) - вес ребра, соединяющего произвольные п-ый и /-ый узлы графа О.

Ж - множество узлов графа О модели анализа защищенности ОИ, независимо от уровней расположения (Ж = Я U I U и U Е U X);

2 - конечный узел ущерба в графе О модели анализа защищенности

ОИ;

ъ - ущерб;

2(е/, оп) - ущерб, от нарушения свойства ИБ Оп у элемента е/;

и, е, о) - ущерб, от воздействия ИТВ ¿, через уязвимость и на элемент е по свойству ИБ о;

Сп - свойство ИБ: п=1 - доступность; п=2 - целостность; п=3 - конфиденциальность.

П - сумма ущерба по всем возможным комбинациям ИТВ {г} потенциальных злоумышленников, уязвимостей {и} элементов ОИ {в} и свойств ИБ

{с}.

3.2 Исходные положения и посылки

Разработка методики обоснования набора тестовых ИТВ предполагается вести на основе приложения подходов к исследованию теории графов к модели анализа защищенности объекта информатизации на основе использования тестовых ИТВ. Введем понятие «путь тестирования».

Путь тестирования - путь на графе модели анализа защищенности ОИ, проходящий через узлы и ребра, которые соответствуют единственной оригинальной комбинации ресурса Гг, тестового ИТВ г, уязвимости и элемента объекта в и уровня ущерба г(г, и, в, о), наносимого объекту £ по свойству ИБ С.

В результате введения такого понятия, задача обоснования набора тестовых ИТВ может быть сведена к задаче поиска множества кратчайших путей тестирования на графе модели анализа защищенности объекта информатизации на основе использования тестовых ИТВ.

В качестве графа, на котором будет весить поиск путей тестирования, а также соответствующих им ИТВ, будем использовать преобразованную модель анализа защищенности объекта информатизации на основе использования тестовых ИТВ, вариант которой представлен на рисунке 3.2. Особенностью этого графа является то, что «наилучшие ребра», с точки зрения полноты и стоимости тестирования, обладают минимальным весом, а, в целом, веса ребер упорядочены по мере возрастания весов, при переходе от «лучших», в смысле тестирования, к «худшим» путям тестирования.

Логика формирования набора тестового ИТВ, для решения поставленной задачи, подразумевает наличие направленного графа. В связи с этим пре-

образуем ненаправленный граф модели анализа защищенности ОИ (рисунок 2.1) в направленный граф, в котором направления ребер заданы сверху -вниз (рисунок 3.1).

Уровень ресурсов

Я

Уровень тестовых ИТВ

Уровень уязвимостей

^ и= {и} и

Уровень элементов ОИ „

Уровень ущерба ОИ

X

Рисунок 3.1 - Преобразования графа модели анализа защищенности ОИ на

основе использования тестовых ИТВ

Анализ фундаментальных работ в области теории графов [16-19] показал, что для решения задачи поиска путей в графах применяются математические алгоритмы поиска кратчайших путей. При этом наиболее широко ис-

пользуемым таким алгоритмом является алгоритм Дейкстры [20]. Однако особенностью этого алгоритма является то, что он является «поглощающим» и формирует из каждого узла графа к другому узлу только один путь, являющейся кратчайшим по сумме весов ребер в сети. Таком образом, можно обосновать единственный оптимальный вариант одиночного ИТВ, однако для обоснования набора нескольких ИТВ необходимо вычислять не только кратчайшие пути тестирования, но и другие комбинации путей, соответствующих другим ИТВ, после чего группировать их степени увеличения стоимости тестирования. Это требует формирования набора путей тестирования, которые были бы ранжированы, с одной стороны, по уровню вскрываемого ущерба, а, с другой стороны, по степени затрат ресурсов на тестирование. Решение этой задачи потребует доработки математического алгоритма Дейкстры с целью добавления в него новой функциональности - способности формировать множество путей, ранжированных по суммарной метрике пути, из начального узла графа (К) в конечных узел (X). Решение подобной задачи рассматривалось в работах [125, 135-142], однако эти работы не имеют отношения к вопросам ИБ, а посвящены вопросам обоснования маршрутов передачи данных в компьютерных сетях и маршрутов полета авиации. Предлагается, приняв работы [125, 135-142] за теоретический базис, разработать методику обоснования набора тестовых ИТВ путем нахождения комбинаций путей тестирования в графе модели, представленной на рисунке 2.1, при этом в основу методики положить доработку известного алгоритма поиска кратчайших путей Дейкстры [20].

3.3 Этап формирования упорядоченного множества путей тестирования

В ходе модификации алгоритма Дейкстры в него дополнительно вносятся изменения, направленные на расширение его функциональности, связанной с возможностью формирования нескольких путей, ранжированных по

степени повышения метрики. В основу предлагаемой модификации алгоритма Дейкстры являются следующие положения.

1) При достижении очередного узла в графе, запоминаются исходящие узлы входящих в этот узел ребер, как потенциальные элементы будущих дополнительных путей тестирования к этому узлу (рисунок 3.2).

Узлы достигнутые на

Рисунок 3.2 - Запоминание потенциальных элементов будущих дополнительных путей к узлу А

2) При очередном шаге функционирования методики, достигнутый очередной узел графа модели проверяется как потенциальный элемент дополнительного пути тестирования для всех уже достигнутых узлов. Если он является потенциальным элементом дополнительного пути, формируется дополнительный путь к ранее достигнутому узлу, через только что достигнутый узел.

Вновь достигнутые на очередном шаге узлы: [В, О]

/?а=[В, С, О] - потенциальные элементы будущего дополнительного пути к узлу А

Сравнение [В, С, й] и [В, й] приводит к выводу, что дополнительные пути к узлу А лежат через узлы В и й.

Рисунок 3.3 - Формирование дополнительного пути к вершине А 3) Если к ранее достигнутому узлу графа модели уже были сформированы дополнительные пути, и он участвует в создании нового дополнительного пути к очередному узлу, то к очередному узлу формируется множество дополнительных путей с включением в них всех возможных вариантов дополнительных путей, сформированных ранее. Причем, если в дополнительный путь входит сам очередной узел модели, то такой путь, во избежание циклов, в дополнительные не включается.

Рисунок 3.4 - Пример построения дополнительных путей к вершине А

4) Все дополнительные пути к узлам модели упорядочиваются в соответствии с минимизацией суммы весов, входящих в них ребер, и вносятся в таблицу путей тестирования, одновременно с кратчайшим путем (рисунок 3.5).

Кратчайший путь Вес Дополнительные пути Вес

и Е Б л 5

ил 1 и К в л 6

и Е К В Л 9

Рисунок 3.5 - Пример ранжирования дополнительных путей

к узлу А

Схема формирования упорядоченного множества путей тестирования на основе модифицированного алгоритма Дейкстры приведена на рисунке 3.6.

Входными параметрами методики являются:

- граф модели анализа защищенности ОИ - О(Ж, V), где: Ж - множество узлов графа О модели анализа защищенности ОИ, на основе которого формируются пути тестирования; V - множество весов ребер в графе О модели анализа защищенности ОИ.