Модели для риск-анализа и организационно-правового обеспечения управления противодействием деструктивным операциям и атакам в региональном информационном пространстве тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Линец, Александр Леонидович

Актуальность темы. Современность очевидно [1-72, 75-77, 80-85, 95-96,

100-115, 118-120, 130-134, 136-138, 140-147, 154-163, 197-208] характеризуется широким внедрением во все сферы жизнедеятельности общества средств выЛ числительной техлики, связи и телекоммуникаций, что создало новые уникальные возможности для присвоения информации статуса товара массового потребления и оружия массового поражения. Тотальное внедрение информационно-коммуникационных технологий (ИКТ) приближает формирование глобального информационного пространства и общества, в котором информация будет обращаться в электронной форме. В информационную сферу сегодня включена значительная час^ь современного общества, которая является для него системообразующим фактором, активно влияющим на состояние политической, экономической, оборонной и других составляющих безопасности государства [112,113].

Необходимым условием, устойчивого развития всякой социотехнической системы (СТС) является защищенность от внешних и внутренних угроз, устойчивость к попыткам внешнего давления, способность как парировать такие попытки и нейтрали^вать возникающие угрозы, так и обеспечивать внутренние и «»ш\ внешние условия существования страны, которые гарантируют возможность стабильного и всестороннего прогресса общества и его граждан. Для характеристики такого состояния было введено такое понятие как «национальная безопасность» [1], одним из важнейших компонентов которой является информационная безопасность [31], т. е. такое состояние защищенности информационного пространства России от внутренних и внешних угроз, способных нанести в информационной сфере ущерб интересам личности, общества, государства.

Именно это пространство и различные его составляющие (информационно-психологическая или информационно-кибернетическая) являются объектом реализации информационных операций и атак (ИОА) на предмет дезорганизации инфраструктуры регионов и объектов информатизации (ОИ).

Широкомасштабное применение современных информационных технологий в органах власти, финансовых структурах, промышленности и других организациях привело к возникновению новых видов преступлений связанных с использованием средств вычислительной техники и других технических средств [71,81,82,95,102,123,128,133,137,145,147,177,178,180,191,202,203]. При этом для обработки, хранения, передачи основных объемов информации повсеместно используются различного рода системы электронного документооборота.

Эффективное противодействие информационным угрозам требует их выявления, риск-анализа [151,154,159,160,182-187,200], разработку методов организационно-правового предотвращения их проявления и технической защиты от них. При этом комплекс противодействия угрозам должен представлять собой единую систему, осуществляющую согласованное применение разнородных средств защиты от всевозможных ИОА на всех этапах жизненного цикла региона и каждого его объекта информатизации. Обеспечение региональной информационной "резопасности предполагает проведение целого комплекса организационно-правовых и технических мероприятий по обнаружению, отражению, ликвидацию воздействий различных видов возможных угроз. Кроме того, защита должна быть обеспечена по спектру угроз, ибо одно слабое звено в системе безопасности, возникающее в результате какого-либо изъяна в ее организации, не позволит прочим звеньям в нужный момент противостоять ИОА. Поэтому для построения надежной региональной системы информационной безопасности (РСИБ) необходимо выявить все возможные угрозы безопасности информации, оценить их опасность,, и по этим данным определиться с необходимыми мерами и средствами защиты, а также оценить их эффективность. Мониторинг рисков для РСИБ, является основополагающей процедурой для дальнейшего плана действий по защите информации и представляет собой одно из самых слабых мест в современной теории защиты информации, в частности по причине затруднительности количественной оценки рисков [152,154,184,206].

• 6

Другой проблемой по-прежнему остается организационно-правовая составляющая РСИБ. Как бы мощны не были бы средства технической защиты, удельный вес объема работы сконцентрирован, конечно, в сфере организационно-правовых вопросов. К сожалению, она многофакторна, разнородна по их сущностям, и, следовательно, трудноформализуема [72,74,78,195], как и для любых СТС, подвергающихся ИОА. Сюда можно отнести и актуальную проблему современности - борьбу с терроризмом в информационном пространстве.

Таким образом, в области совершенствования РСИБ можно выделить два основных актуальных вопроса, решение которых позволит существенно повысить их эффективность: разработка методики количественной оценки рисков от реализации ИОА, и тесно связанный с этим вопрос обоснования требований по структуре и содержанию организационно-правового обеспечения РСИБ на осч нове адекватных ^ формальных моделей процессов противодействия ИОА.

Системный анализ, во многом развившийся с успехами кибернетики [161] и теории информации [138], как инструментарий познания и решения прикладных задач в СТС в комплексе имеет несколько этапов, среди которых особо следует выделить процедуру построения моделей. Вербальный подход к решению этой задачи в силу недостаточной формализованное™ [132] и избыточной эвристичнос^ во многом исчерпал себя, поэтому сегодня представляется > - . целесообразным переход на следующий уровень - уровень логико-лингвистических моделей, с которого далее стартует численное моделирование (статистические и имитационные модели).

Эффективной разновидностью логико-лингвистических моделей по праву считаются графы, или топологические модели, преимущества которых [86,87,157,196] в приложении к ИОА заключаются, прежде всего, в возмоэ/сностях получения н(рлядной картины общего состояния процессов с точки зре ния их структурной взаимосвязи и динамики. Необходимость в таких оценках зачастую возникает при анализе общей ситуации и сценарных оценках с целью выработки стратегических решений управления в СТС.

Структурная разнородность и параметрическая многофакторность ИОА в СТС позволяющие классифицировать их как сложные и трудноформализуемые процессы, обусловили актуальность применения и развития в данном случае топологических ^етодов. Причем инвариантность ряда объектов и процедур л'

ИОА открывает перспективу формирования достаточно универсальных методик построения графовых моделей, применимых для регионального информационного пространства.

Работа выполнена в соответствии с одним из основных научных направлений Воронежского государственного технического университета «Перспективные радиоэлектронные и лазерные устройства, системы передачи, приема, обработки и защиты информации», «Программой информатизации Воронежской области на период 2006-2010 гг.», межвузовской научно-технической программой Н.Т.414 «Методы и технические средства обеспечения безопасности информации», ряда хоздоговорных работ, выполняемых на кафедре «Системы информационной безопасности» Воронежского государственного технического университета.

Цель диссертационной работы. Разработка моделей для комплексной оценки рисков и обоснования требований к организационно-правовому обеспечению для защиты регионального информационного пространства в условиях противодействия ИОА.

Основные задачи. Для достижения поставленной цели необходимо решить следующие задачи:

1. Проанализировать состояние организационно-правового обеспечения в области противодействия ИОА, включая региональную систему информационной безопасности.

2. Предложить методику построения графовых моделей, отображающих организационно-правовые аспекты противодействия ИОА, включая анализ полученных графов, который позволяет выявить слабые места в организационно-правовом обеспечении в области противодействия ИОА и предложить способы оптимизации системы, построение топологических минимоделей взаимодействия объектов защиты и организационно-правовых угроз, рекомендаций о наI

-л правлениях повьп£ёния защищенности объектов управления РСИБ.

3. С помощью аппарата нечетких трапезоидных (трапециевидных) чисел оценить риски от реализации угроз и комплексный риск для каждого из критичных информационных процессов, коими в условиях «инвестиционного бума» для региональных ОИ являются бизнес-процессы.

Объект исследования. Региональное информационное пространство как объект реализации ИОА.

Предмет исследования. Процесс противодействия ИОА в организационно-правовом ракурсе моделирования и риск-анализа.

Методы исследования. В работе использованы методы системного анализа, математического программирования, математической статистики, положения теории графов, нечетких множеств и теории информационной безопасности.

Степень обоснованности научных положений, выводов и рекомендаций, сформулированных в диссертации, обеспечивается: корректным использованием методов системного анализа, графов, математического программирования, математической статистики и теории нечетких множеств; сопоставлением результатов с известными из публикаций частными случаями; исследованием поведения предлагаемой методики при экстремальных значениях входных параметров; использованием в работе соответствующих Государственных стандартов и Руководящих документов Гостехкомисии (ФСТЭК) России.

Научная новизна. В диссертационной работе получены следующие результаты, характеризующиеся научной новизной.

1. Разработанный обобщенный алгоритм анализа ОИ, базирующийся на функциональной декомпозиции информационных процессов на региональные бизнес-процессы с учетом возможных угроз для данных процессов, учитываюл'. 9 щий многоаспектность функционирования ОИ и тем самым позволяющий построить более адекватную по сравнению с морфологической моделью изучаемых в нем информационных процессов.

2. Разработанная математическая модель сложной СТС, информационная сфера которой подвержена воздействию полной совокупности угроз, сформированных в виде чрнкретных атак, содержание и динамика воздействия воспроизводится формализовано моделью знаковых графов с импульсным воздействием. Отличительной особенностью модели является последовательное воспроизведение целостной картины всего многообразия информационных процессов и атак, операционной моделью, требующей для разработки минимальной информации о функционировании системы. В данной модели для отображения двух разномасштабных организационных и правовых аспектов инфор

V-. „ мационных операции и атак организована их иерархическая структура.

Практическая ценность полученных результатов. Разработанные в диссертации методики и модели позволяют проектировать системы защиты различного уровня и сложности, которые могут быть применены как для защиты регионального информационного пространства, так и системы защиты объекта информатизации в целом.

Разработанные модели могут составить интеллектуальный блок автома

I • газированной системы экспертного оценивания, позволяющий производить квалифицированные оценки уровня защищенности любого объекта [209].

Результаты работы, выраженные в определении механизмов защиты, могут быть использованы при построении системы информационной безопасности региона и его объектов информатизации.

Научные результаты, полученные в диссертационной работе, были внедрены в РСИБ Воронежской области и в ряде ОИ, что подтверждено актами внедрения.

В частности, полученные результаты используются в Воронежском государственном техническом университете в ходе курсового и дипломного проектирования на кафедре «Системы информационной безопасности» студентами специальности 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем» по дисциплинам «Введение в специальность»,

Организационно-правовая защита информации». А

Апробация 'работы. Основные результаты диссертационной работы докладывались и обсуждались на следующих конференциях:

1. Пятой региональной научной конференции «ЮниорИнфоСофети» -Воронеж, 2005 г.

2. Научно-техническая конференция профессорско-преподавательского состава Воронежского государственного технического университета, 2005-2006 гг.

3. Шестой региональной научной конференции «Юниор ИнфоСофети», Воронеж, 2006 г.

Публикации. По материалам диссертационной работы опубликованы: монография, 11 научных статей и докладов [209-221], из них 7 - в изданиях, входящих в перечень ВАК России. Личный вклад соискателя в работах, опубликованных в соавторстве, состоит в следующем:

• /209/ - предложено использовать трапезоидные нечеткие числа для рискоал • нализа систем;

• /211/ - /213/ - обоснована методика расчета интегрального риска для различных видов распределения вероятности ущерба;

• /214/ - предложена таблица классификации организационно-правового обеспечения;

• /215/ - /216/ - предложен знаковый граф в качестве модели описания организационно-правового противодействия ИОА;

• /217/ - /220/ - обоснована методика определения элементарного риска для различных законов распределения вероятности наступления ущерба.

Основные положения, выносимые на защиту. 1. Методика построения, анализа и оптимизации знакового графа, как модели для описания многофакторных и разнородных отношений в процессах противодействия ИС»,^., прежде всего, в наиболее существенном организационноправовом ракурс^ проблем обеспечения региональной информационной безопасности.

2. Трапезоидная модель для комплексного риск-анализа бизнес-процессов на региональных объектах информатизации, столь актуальных в нынешнем инвестиционном климате и вытекающих проблемах защиты информации на уровне субъектов Федерации.

Объем и структура диссертационной работы. Диссертация состоит из введения, четыре;^ глав, заключения, приложения и списка литературы, включающего 220 наименований. Содержание работы изложено на 204 страницах машинописного текста, проиллюстрировано 34 рисунками и 9 таблицами.

Результаты работы использованы при создании и развитии методического обеспечения для системы информационной безопасности региона и ряда региональных объектов информатизации, а также - в учебном процессе региональных образовательных программ в области информационной безопасности.

ЗАКЛЮЧЕНИЕ

1. Исследование состояния законодательной и нормативной базы отечественного информационного права рельефно подтвердило необходимость моделирования процессов противодействия ИОА. Актуальность решения подобных задач сохраняется не только на федеральном, но и на региональном уровнях, вплоть до региональных объектов информатизации. Развитие инвестиционной привлекательности регионов существенно активизирует бизнес-процессы, которые все чаще становятся объектами ИОА и нуждаются в организационно-правовой защите на основе текущег го риск-анализа. В этом направлении сформулированы задачи исследования.

2. Анализ разнообразия видов математических моделей позволил определить графы как наиболее удобные модели для описания объекта и предмета исследования. Предложен алгоритм построения моделей для слабоопределенных задач организационно-правового обеспечения в области противодействия ИОА. Разработана сеть связи для переменных, существенных для каждого фактора, определяемого содержанием СТС. Построен общий орграф организационно-правовых аспектов противодействия ИОА, определены его несбалансированные контуры и способы противодействия.

3. На основе анализа компонентов типового объекта информатизации для него построены сеть связи и знаковый граф воздействия технических угч роз с учетом организационно-правовых аспектов противодействия ИОА. С помощью орграфов проведен риск-анализ воздействия правовых и технических угроз на объекты защиты регионального информационного пространства. Построены топологические модели организационно-правового управления противодействием ИОА с выделением детализированных контуров в контексте реализации и защиты от ИОА. Выработаны рекомендации по оптимизации системы.

Разработана Методика риск-анализа с использованием трапезоидных нечетких чисел, включая определение функций принадлежности вероятности реализации угрозы и ущерба от реализации угрозы. На основе экспертных оценок применительно к бизнес-процессам полученные комплексные оценки рисков для организационно-технических угроз, включая утечку, хищение, навязывание ложной информации и т.п. Выработаны рекомендации по организационно-правовой защите от вышеупомянутых угроз, включил формализацию отношений механизмов защиты с угрозами, порождающими ИОА.

1. Конституция Российской Федерации от 12 декабря 1993 г. // Российская газета: офиц. изд. 1993. - № 237.

2. Закон Российской Федерации «О безопасности» № 2446 от 5 марта 1992 г. // Собрание законодательства РФ: офиц. изд. 1992. - № 32. - Ст. 3283.

3. Правила, утвержденные постановлением Правительства Российской Федерации от 19 октября 1996 г. № 1254.

4. Особые условия приобретения радиоэлектронных средств и высококачественных устройств. Постановление Правительства Российской Федерации от 17 июля 1996 г. № 832.

5. Закон Рс^рийской Федерации «Об органах Федеральной службы безопасности в Российской Федерации» № 40 от 3 апреля 1995 г. // Собрание законодательства РФ: офиц. изд. 1996. - № 45. - Ст. 1275.

6. Федеральный закон «О коммерческой тайне» № 98-ФЗ от 29 июля 2004 г. // Собрание законодательства РФ: офиц. изд. 2004. - № 32. - Ст. 3283.

7. Федеральный закон «О связи» № 126-ФЗ от 7 июля 2003 г. // Собрание законодательства РФ: офиц. изд. 2003. - № 28. - Ст. 2895.

8. Федеральный закон «О техническом регулировании» № 184-ФЗ от 27 декабря 2002 г. // Собрание законодательства РФ: офиц. изд-2002.-№ 52 (ч. 1). -Ст. 5140.

9. Федеральный закон «О несостоятельности (банкротстве)» № 127-ФЗ от 26 октября 2002 г. // Собрание законодательства РФ: офиц. изд. 2002. - № 43.-Ст. 4190.

10. Федеральный закон «Об адвокатской деятельности и адвокатуре в Российской Федерации» № 63-Ф3 от 31 мая 2002 г. // Собрание законодательства РФ: офиц. изд. 2002. - № 23. - Ст. 2102.

11. Федеральный закон «Об электронной цифровой подписи» № 1-ФЗ от 10 января 2002 г. // Собрание законодательства РФ: офиц. изд.-2002. № 2. -Ст. 127.

12. Федеральный закон «О государственной регистрации юридических лиц и индивидуальных предпринимателей» № 129-ФЗ от 8 августа 2001 г. // Собрание законодательства РФ: офиц. изд. 2001. - № 33 (часть I). - Ст. 3431.

13. Федеральный закон «Об аудиторской деятельности» № 119-ФЗ от 7 августа 2001 г. // Собрание законодательства РФ: офиц. изд.-2001.-№ 33 (часть 1).-Ст.3422.

14. Федеральный закон «О государственном земельном кадастре» № 28-ФЗ от 2 января 2000 г. // Собрание законодательства РФ: офиц. изд.-2000.-№ 2.-Ст. 149.

15. Федеральный закон «О наркотических средствах и психотропных веществах» № З-ФЗ от 8 января 1998 г. // Собрание законодательства РФ: офиц. изд.- 1998.-№2.-Ст. 219.

16. Федеральный закон «Об актах гражданского состояния» № 143-Ф3 от 15 ноября 1997 г. // Собрание законодательства РФ: офиц. изд.-1997.-№ 47.-Ст. 5340.

17. Федеральный закон «О государственной регистрации прав на недвижимое имущество и сделок с ним» № 122-ФЗ от 21 июля 1997 г. // Собрание законодательства РФ: офиц. изд. 1997. - № 30. - Ст. 3594.

18. Федеральный закон «Об участии в международном информационном обмене» № 85-ФЗ от 4 июля 1996 г. // Собрание законодательства РФ: офиц. изд. 1996. - № 28. - Ст. 3347.

19. Федеральный закон «О рынке ценных бумаг» № 39-Ф3 от 22 апреляv"1996 г. // Собрание законодательства РФ: офиц. изд. 1996. - № 17. - Ст. 1918.

20. Федеральный закон «О ратификации Устава и Конвенции Международного союза электросвязи» № 37-Ф3 от 30 марта 1995 г. // Собрание законодательства РФ: офиц. изд. 1995. - № 14. - Ст. 1211.

21. Федеральный закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 8 июля 2006 г. // Собрание законодательства РФ: оф'цц. изд. 12006. - № 8. - Ст. 609.

22. Федеральный закон «О библиотечном деле» № 78-ФЗ от 29 декабря 1994 г. // Собрание законодательства РФ: офиц. изд. 1995. - № 1. - Ст. 2.

23. Закон Российской Федерации «О государственной тайне» № 5485-1 РФ от 21 июля 1993 г. // Собрание законодательства РФ: офиц. изд. 1997. - № 41.-Стр. 8220-8235.

24. Закон ,российской Федерации «Об авторском праве и смежных правах» № 5351-1 от 9июля 1993 г. // Российская газета: офиц. изд. 1993. - № 147.

25. Закон Российской Федерации «О правовой охране топологий интегральных микросхем» № 3526-1 от 23 сентября 1992 г. // Российская газета: офиц. изд. 1992.-№230.

26. Закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» № 3523-1 от 23 сентября 1992 г. // Российская газета: офиц. изд. 1992. - № 229.

27. Патентный закон Российской Федерации № 3517-1 от 23 сентября 1992 г. // Российская газета: офиц. изд. 1992. - № 225.

28. Закон Российской Федерации «О средствах массовой информации» №2124-1 от 27 декабря 1991 г. // Российская газета: офиц. изд. 1992. - № 32.

29. Закон РСФСР «О конкуренции и ограничении монополистической деятельности на товарных рынках» № 948-1 от 22 марта 1991 г. // Ведомости СНД и ВС РСФСЙофиц. изд. 1991. - № 16. - Ст. 499.

30. Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» № 611 от 12 мая 2004 г. // Собрание законодательства РФ: офиц. изд. 2004. - № 20. - Ст. 1938.

31. Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента РФ № Пр-1895 от 9 сентября 2000 г. // Российская газета: офиц. изд. 2000. - № 187.

32. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 6 марта 1997 г. // Собрание законодательства РФ: офиц. изд. 1997. - № 10. - Ст. 1127.

33. Указ Президента РФ «Об участии Российской Федерации в деятельности Международной организации уголовной полиции Интерпола» № 1113 от 30 июля 1996 г. //Собрание законодательства РФ: офиц. изд.-1996.-№ 32.-Ст.3895. ^

34. Распоряжение Президента Российской Федерации «О подписании Конвенции о киберпреступности» № 557-рп от 15 ноября 2005 г. // Собрание законодательства РФ: офиц. изд. 2005. - № 47. - Ст. 4929.

35. Положение о Государственной технической комиссии при Президенте Российской Федерации. Указ Президента Российской Федерации от 19 февраля 1999 г. №212.р I