Метод оценивания качества функционирования адаптивной системы защиты информации

Любая система защиты информации (далее – СЗИ), реализованная на основе динамических технологий, требует специального подхода к оцениванию качества ее функционирования. Для СЗИ, в том числе адаптивных, основным показателем качества функционирования является показатель защищенности объекта. В связи с тем, что адаптивная система защиты информации (далее – АСЗИ) является динамической (меняющейся во времени), методики оценивания показателя защищенности, которые применяются для неадаптивных (неизменяемых) СЗИ, не могут использоваться, так как не в полном объеме учитывают процессы, происходящие в АСЗИ. Поэтому ниже будет рассмотрен один из возможных подходов к оцениванию показателя защищенности АСЗИ с целью адекватной оценки качества ее функционирования. Оценивание показателя защищенности рас-

Швецов Александр Сергеевич кандидат технических наук, доцент, доцент кафедры информационно-вычислительных систем и сетей. Военно-космическая академия имени А.Ф. Можайского, Санкт-Петербург. Сфера научных интересов: компьютерные сети; защита информации в информационно-вычислительных сетях. Автор более 20 опубликованных научных работ.

сматривается применительно к особенностям реализации АСЗИ на основе перераспределения вычислительных ресурсов и маскирования уязвимостей [7].

Функционирование адаптивной системы защиты информации

Рассматриваемая АСЗИ основывается на том факте, что деструктивные информационные воздействия (далее – ДИВ) осуществляются на заранее известный в плане аппаратно-программного обеспечения объект, например, автоматизированную систему управления (далее – АСУ). Это связано с тем, что в определенном целевом объекте известны его уязвимости. Местоположение уязвимости связано с задействованными ей определенными аппаратно-программными ресурсами, то есть зависит от активной конфигурации АСУ и ее СЗИ. С изменением конфигурации может измениться местоположение уязвимости. Следовательно, любые изменения, в том числе и на уровне настроек, могут привести к тому, что раннее успешные ДИВ станут неэффективными [1]. Таким образом, конфигурация (совокупность всех настроек аппаратно-программного обеспечения) АСУ и ее СЗИ рассматривается как защита – профиль защиты от ДИВ. Один профиль защиты будет отличаться от другого, если хотя бы одна настройка конфигурации какого-либо аппаратно-программного обеспечения была изменена. Количество профилей защиты зависит от количества контролируемых точек в конфигурации АСУ и ее СЗИ. Своевременная смена профилей защиты способна предотвратить как новые, неизвестные, так и известные (обнаруживаемые) ДИВ [5].

Целью функционирования АСЗИ является поддержание во времени высокой вероятности отражения (не менее заданной руководящими документами) ДИВ, то есть нахождение в профиле защиты, который обеспечит максимальную вероятность отражения ДИВ к данному моменту времени [3]. Для соблюдения этого условия необходимо по-

Метод оценивания качества функционирования адаптивной системы защиты информации стоянно выполнять прогнозирование уровня защищенности в каждом профиле защиты и перспективное планирование или оценку возможных ситуаций. Чтобы АСЗИ качественно выполняла свои функции, необходим постоянный контроль эффективности использования, который заключается в проверке соответствия принятых мер защиты требованиям по защищенности [4]. При этом задачи контроля рассматриваются как задачи анализа выполнения требований по защищенности АСУ в каждом профиле защиты. Этот процесс протекает во времени, и при снижении защищенности АСУ необходимо принимать соответствующие меры для ее повышения до максимально возможного в этот момент уровня.

С целью учета процессов, происходящих в АСЗИ, применительно к особенностям реализации АСЗИ на основе перераспределения вычислительных ресурсов и маскирования уязвимостей для оценивания показателя защищенности АСУ целесообразно использовать комплексный многокритериальный подход, то есть одновременно оценивать как статическую, так и динамическую составляющую СЗИ. Это связано с тем, что в любой дискретный момент времени АСЗИ представляется как обычная (статическая составляющая) СЗИ, к которой применимы все существующие подходы к оцениванию показателя защищенности информации. Если АСЗИ рассматривать относительно изменения времени, то на показатель защищенности информации значительное влияние будут оказывать особенности реализации принципов и алгоритмов адаптации (динамическая составляющая), количество и качество профилей защиты, используемые алгоритмы поиска и смены профилей защиты, от которых будет зависеть время, необходимое на реконфигурацию АСУ и ее СЗИ и изменение показателя защищенности.

Динамическая составляющая адаптивной системы защиты информации

В связи с тем, что вопросам оценивания показателя защищенности информации при использовании обычных (статических) СЗИ посвящено много работ, далее основное внимание будет сосредоточено на рассмотрении динамической составляющей АСЗИ.

Для оценивания качества функционирования АСЗИ применительно к особенностям реализации выше изложенной АСЗИ будет использоваться одновременно три критерия (требования):

• 1.    Обеспечение вероятности отражения ДИВ не менее заданной руководящими документами. Для ее оценивания вводится показатель абсолютного отклонения вероятности отражения ДИВ от единицы в активном профиле защиты: ^П актив = 1 - ^р™ • Для идеальной АСЗИ Ап*⁶.™ ” 0, но не более допустимого отклонения, то есть А 77 ^а6с<Ап^доп '/актив— ^п/   .

• 2.    Нахождение АСЗИ в профиле защиты, который обеспечит максимальную вероятность отражения ДИВ к данному моменту времени. Для его оценивания вводится показатель относительного отклонения вероятности отражения ДИВ в активном профиле защиты от максимально возможной вероятности отражения ДИВ относительно всех скон-фигурированныхпрофилей защиты: А п°™т_ив = РмаК™ - Рактив • Для идеальной АСЗИ зна- отн

• 3.    Обеспечение низкого уровня риска при смене профилей защиты. Для его оценивания вводится показатель динамической защищенности D _m, который для идеальной АСЗИ в момент смены профиля защиты имеет всегда максимальное значение.

чение АП актив = ⁰ •

Анализ последовательности смены профилей защиты АСЗИ относительно вышеизложенных критериев создает следующие возможные события (см. Таблицу) [8].

Таблица

События, возникающие в результате смены профилей защиты АСЗИ

№	Описание события	Выражение
С1	Осуществлен переход в профиль защиты с максимальной вероятностью отражения ДИВ, значение которой не ниже допустимого	f dA_C3M _ ^max 1 PaKmus = Pomp. | pАСЗИ ^ рзт)ан. 1 PaKmus — Pomp.
С2	Осуществлен переход в профиль защиты не с максимальной вероятностью отражения ДИВ, значение которой не ниже допустимого	f сСЗИН amax 1 PaKmus <  Pomp. pАСЗИ > рзс&ан. ^ PaKmus — Pomp.
С3	Осуществлен переход в профиль защиты не с максимальной вероятностью отражения ДИВ, значение которой ниже допустимого, при условии, что у профиля защиты с максимальной вероятностью отражения ДИВ, значение не ниже допустимого	рАСЗИ ptnax актив ^^omp. рАСЗИ . рзадан. ртах > рзадан. ■^omp. ~ -^omp.
С4	Осуществлен переход в профиль защиты с максимальной вероятностью отражения ДИВ, значение которой ниже допустимого	f рСЗИИ _ ^mxx 1 PaKmus = Pomp. p АСЗИ  т)^^ан. 1 PaKmus <  Pomp.
С5	Осуществлен переход в профиль защиты не с максимальной вероятностью отражения ДИВ, значение которой ниже допустимого, при условии, что у профиля защиты с максимальной вероятностью отражения ДИВ значение ниже допустимого	рАСЗИ ртах ^актив *отр. J рАСЗИ рзадан. * ^актив ^ ^отр. ртах рзадан. ^отр. ^отр.

Событие С1 является результатом правильной конфигурации профилей защиты и эффективной реализации алгоритма выбора активного. Это событие является наилучшем из всех возможных. Постоянное поддержание состояния, в котором следуют только такие события, является целью функционирования АСЗИ.

Событие С2 является результатом правильной конфигурации профилей защиты, неэффективной реализации алгоритма выбора активного, но сохраняется вероятность отражения ДИВ в допустимых пределах.

Событие С3 является результатом правильной конфигурации профилей защиты, неэффективной реализации алгоритма выбора активного и в результате не обеспечивает минимально допустимую вероятность отражения ДИВ.

Событие С4 является результатом эффективной реализации алгоритма выбора активного, но неправильной конфигурации профилей защиты и в результате не обеспечивает минимально допустимую вероятность отражения ДИВ.

Событие С5 является результатом неэффективной реализации алгоритма выбора активного, неправильной конфигурации профилей защиты и в результате не обеспечивает минимально допустимую вероятность отражения ДИВ. Это событие является худшим из всех возможных.

В результате анализа возможных событий можно заключить, что при появлении событий с С2 по С5 требуется дополнительная настройка АСЗИ, хотя событие С2 является вполне приемлемым с точки зрения поддержания заданного уровня вероятности отражения ДИВ.

Метод оценивания качества функционирования адаптивной системы защиты информации

Показателем защищенности ψ АСЗИ следует считать вероятность неотклонения активного профиля защиты от состояния С1, и следовательно, непоявления событий с С2 по С5:

V = 1 - P ( А П™ >  0) = 1 - P ( C 2 ^ C 3 ^ C 4 ^ C 5) •

Введем ограничения на нестационарный поток ДИВ. Будем считать его потоком однородных событий, ординарным и без последействий. Тогда с учетом нестационарного пуассоновского потока ДИВ и марковского случайного процесса адаптации СЗИ рассчитываем вероятность того, что за время τ , начиная с момента времени t , произойдет, соответственно, ровно k , l , m , n событий С2, С3, С4, С5 [6]:

kl

PC2T,t) = aCCe-aC2,PC3T,t) = aC3e-aC3 , k!

mn

P C 4 T , t ) = a 4 e - ^a C ⁴ , P C ⁵ T , t ) = aC7e~^a C ⁵ ,( k, l, m, n = 0,1,2, _).

m!

t ₀ + τ

Здесь

a_{C 2} = ∫ λ _{c 2} ( t ) dt , a_{C 3} = ∫ λ _{c 3} ( t ) dt

– математические ожидания числа событий

t0

С2, С3, С5 и С6 на участке от t до t + τ соответственно; λ _{C 2} ( t ) , λ _{C 3} ( t ) – интенсивности потоков событий для С2, С3, С4 и С5.

Учитывая разный уровень опасности возникновения событий С2, С3, С4 и С5, введем задан

.

для них соответствующие коэффициенты опасности д

В итоге получим показатель защищенности:

k

V ( t , t ) = 1 - A C 2 ^daH a C C e

-

a_{C 2}

-

/

задан a C 3 - a₍ δ e

C 3 l !

mn задан aC4 -aC4    с-здО>ан aC5 -aC5

δ C 4 e - δ C 5 e m ! n !

Оценивание изменения показателя защищенности АСЗИ в условиях нестационарного потока ДИВ с учетом возможной важности защищаемых объектов с точки зрения рисков для обеспечения их низкого уровня при смене профилей защиты осуществляется с

( p )

^^ —, который отображает

помощью показателя динамической защищенности Dm изменение риска в новом профиле защиты (Rm) относительно активного (Rактив); здесь m= 1,i – номер нового профиля защиты, i = 2β, где i – число сконфигурированных профилей защиты, β – число контролируемых точек на средствах АСУ и ее СЗИ.

Расчет риска потенциальных потерь от угроз защищенности при выборе неэффективного профиля защиты происходит по следующей формуле [2]:

R(p) = CQV , где C – стоимость информационно-временных потерь; Q – вероятность реализации угрозы информационной безопасности (появления опасного ДИВ в общем потоке), причем:

Q=λΛ где λ – плотность потока опасных ДИВ к информации; Λ – общая плотность потока ДИВ к информации; V – вероятность попадания в уязвимость, причем если рассматривать эту вероятность относительно смены профилей защиты, то есть маскирования уязвимостей, тогда

• V = 1 - P

где P – вероятность того, что к моменту появления опасного ДИВ местоположение уязвимости будет изменено.

Потенциальные потери Rm (p) от всех ( r ) ДИВ в профиле защиты m = 1, i можно обозначить как rr

R m ( Р ) = / R k ( Р ) = / C m Q m (1 — P m ) .

В итоге получаем              k=1

rr

Zz-rактив актив актив x X ' а-актив актив актив Ck    Qk    (1 - Pk    ) / ,Ck    ^k    (1 - Pk)

px _ k =1 ____________________________________ k =1 __________________________________

Dm           r                                   r*

/ C m Q m (1 - P km )           / C m ^ m (1 - P km )

k=1

Заключение

Таким образом, показатель защищенности АСУ зависит от вероятности нахождения АСЗИ в профиле защиты, обеспечивающем максимальную вероятность отражения ДИВ, которая, в свою очередь, зависит от внешних изменений (от стратегии поведения противника) и качества профилей, их количества и эффективности реализации алгоритма выбора активного, реализованных в АСЗИ. Предложенный метод оценивания учитывает процессы, происходящие в АСЗИ, поэтому с его помощью можно корректно оценивать качество ее функционирования.