Методика оценивания защищенности ресурсов инфраструктуры единого пространства доверия электронной подписи

Автор: Марковский Алексей Сергеевич, Самонов Александр Валерьянович, Киреев Андрей Павлович

Журнал: Вестник Российского нового университета. Серия: Сложные системы: модели, анализ и управление @vestnik-rosnou-complex-systems-models-analysis-management

Рубрика: Информатика и вычислительная техника

Статья в выпуске: 1-2, 2016 года.

Бесплатный доступ

В статье описана методика оценки уровня защищенности ресурсов инфраструктуры единого пространства доверия электронной подписи (ЕПД-ЭП), предназначенная для обоснованного принятия решения по составу и характеристикам комплекса средств его защиты от случайных и преднамеренных угроз. В соответствии с методологией управления рисками идентифицированы основные активы инфраструктуры ЕПД-ЭП и определены актуальные для них угрозы безопасности. Предложены методы оценки безопасного функционирования ЕПД-ЭП в случае реализации соответствующих угроз.

Информационная безо-пасность, риск, уровень защищённости

Короткий адрес: https://sciup.org/148160336

IDR: 148160336

Текст научной статьи Методика оценивания защищенности ресурсов инфраструктуры единого пространства доверия электронной подписи

В рамках реализуемой в настоящее время государственной программы «Информационное общество (2011–2020 гг.)» в РФ осуществляются работы по развитию и модернизации целого ряда информационных систем, образующих инфраструктуру единого пространства доверия (ИЕПД) [1]. К ним относятся ЕПГУ (Единый портал государственных услуг), СМЭВ (система межведомственного электронного взаимодействия), ЕПД-ЭП (единое пространство доверия электронной подписи), ЕСИА (единая система идентификации и аутентификации) и другие. Корректное функционирование этих систем и обеспечение необходимого уровня доверия реализуемым с их помощью услуг в значительной степени будет определяться защищенностью соответствующих информационных, программных и коммуникационных ресурсов и средств.

В соответствии с [2], для обеспечения безопасности и надежного функционирования ЕПД должен быть осуществлен комплекс мероприятий, включающий организационные, правовые и технические меры по защите от несанкционированного доступа ко всем ресурсам ЕПД, непрерывную защиту от вредоносных программ и процессов, а также оперативное реагирование на инциденты информационной безопасности.

Современные технологии обеспечения безопасности информационных систем основаны на процессном подходе, который предполагает осуществление систематически повторяющегося цикла процессов планирования, внедрения, проверки и улучшения СОИБ. Данные процессы реализуются посредством процедур управления рисками, управления ресурсами, управления инцидентами и модернизации [3; 4], схематично представленными на рис. 1.

Создание СОИБ начинается с этапа планирования, на котором осуществляется оценка уровня угроз безопасности для защищаемых ресурсов и определяется состав, характеристики и способы применения мер и средств защиты, способных противостоять этим угрозам.

Планирование

Внедрение и эксплуатация

Рис. 1. Этапы и процедуры создания СОИБ

В данной статье описана методика реализации этого этапа построения СОИБ для ЕПД-ЭП, построенного на основе технологии открытых ключей.

Управление рисками - это процесс идентификации, оценивания, устранения или уменьшения вероятности событий, которые могут нанести ущерб защищаемым ресурсам (активам). Цель процедуры управления рисками состоит в том, чтобы уменьшить риски до приемлемого уровня. Процедура управления рисками в соответствии с [5] состоит в последовательном решении следующих пяти задач:

  • 1)    идентификация и оценка критичности защищаемых активов;

  • 2)    определение целей и возможностей потенциальных нарушителей;

  • 3)    идентификация и оценка вероятности реализации угроз, исходящих от потенциальных нарушителей с учетом имеющихся средств защиты;

  • 4)    оценка потенциального ущерба в случае реализации угроз с учетом имеющихся средств защиты;

  • 5)    принятие решения о допустимости рассчитанного ущерба (величины рисков) или формирование предложений по усилению системы защиты до состояния, обеспечивающего допустимый уровень риска.

Как показал проведенный анализ, в инфраструктуре ЕПД-ЭП можно выделить три группы активов:

  • 1)    информационные ресурсы, к которым относятся создаваемые и используемые для функционирования ЕПД-ЭП документы, данные и средства: закрытые ключи ЭП уполномоченных лиц УЦ (удостоверяющего центра), ключевая и аутентифицирующая информация субъектов УЦ, содержимое реестра сертификатов, электронные документы, подписанные ЭП, документация, программные и аппаратные средства УЦ и клиентов и др.;

  • 2)    сервисы, предоставляемые клиентам и пользователям ЕПД-ЭП: генерация ключей, выпуск сертификата, датирование ЭП, аннулирование сертификата, предоставление информации о статусе сертификата и др.;

  • 3)    службы, обеспечивающие функционирование инфраструктуры открытых ключей: аутентификация пользователей, контроль доступа, аудит и др.

Оценки критичности активов ЕПД-ЭП следует определять не для активов непосредственно, а для их свойств защищенности. Как известно, основными свойствами безопасности являются: конфиденциальность, целостность, доступность защищаемых информационных ресурсов, а также аутентичность, неотказываемость, подконтрольность осуществляемых над ними операций. Причиной нарушения свойств защищенности актива является реализация против него определенной угрозы.

Известно, что угрозы характеризуются следующими атрибутами: источником, уязвимостью, методом реализации, результатом. Источниками угроз могут быть люди, программы, оборудование, окружающая среда. Угрозы обычно реализуются посредством использования уязвимостей атакуемой системы. Примерами методов реализации угроз являются: внедрение программных и аппаратных закладок, атака на отказ в обслуживании, несанкционированный перехват и прослушивание сетевого трафика, установка вирусов и троянов и др. Основными типами результатов реализации угроз являются: нарушение перечисленных выше свойств защищенности: конфиденциальности, целостности, до ступности, нарушение аутентичности, отказ от авторства и др. [6; 7; 8].

Оценкой (уровнем) критичности актива ЕПД-ЭП является условная вероятность нарушения безопасного функционирования ЕПД-ЭП по причине реализации против данного актива

ВЕСТНИК 2016

определенной угрозы. Введем следующие обозначения:

А= { a j } - множество активов ЕПД-ЭП;

B= { b i } - множество угроз безопасности;

P bi aj ( SHp ) — условная вероятность события, соответствующего нарушению работоспособности ЕПД-ЭП (переходу его в неработоспособное состояние - SHp ) по причине реализации против актива a j угрозы b i .

Оценки критичности активов в этом случае удобно представлять в табличном виде, например, как это представлено в таблице 1.

ВЕСТНИК 2016

Таблица 1

Оценки критичности активов ЕПД-ЭП

Актив ЕПД

P bi aj ( SHp ) - оценка критичности угрозы b i для актива a j

b i

b 2

bn

а 1

P ii

P 12

P 1 n

a 2

P 21

P 22

P 2 n

а 3

P 31

P 32

P 3 n

a m

Pm 1

Pm 2

P mn

Вероятность нарушения работоспособности ЕПД-ЭП по причине реализации против одного из его активов a j угрозы bi может быть рассчитана по следующей формуле:

P ( S hp / b i > a j ) = Pb l , a j ( S hp ) P ( b i , a j ) , где P ( b i , a j -) - вероятность успешной реализации угрозы b i против актива a j .

Для расчета вероятности нарушения функционирования ЕПД-ЭП в случае реализации нескольких угроз можно воспользоваться следующей формулой:

P ( S hp I B A ) = 1 - П ( Q ( S нр I b i> a j}) , где Q ( S hp / b i > a^ = 1 - P ( S hp / b j - вероятность противоположного события;

П ( Q ( Sнр 1 b i a j ) ) - произведение вероятностей.

Наиболее опасными для ЕПД-ЭП являются угрозы, направленные на нарушение корректного функционирования его основных сервисов. На рис. 2 представлена обзорная диаграмма взаимодействия пользователей и компонентов инфраструктуры ЕПД-ЭП при информационном обмене. Компоненты инфраструктуры ЕПД-ЭП изображены в виде шести серверов: регистрации, сертификации, каталогов, датирования, восстановления ключей и ведения архива, каждый из которых реализует определенный набор сервисов.

Рис. 2. Обзорная диаграмма взаимодействия основных компонентов ЕПД-ЭП

Процедуру оценивания критичности отдельных сервисов для безопасности функционирования ЕПД-ЭП рассмотрим на примере сервера регистрации. Как видно из рис. 2, его основными функциями являются:

  • 1)    s 11 - прием от клиентов запросов на выпуск сертификатов;

  • 2)    s 12 - прием и проверка идентификационных и других необходимых для формирования сертификата ЭП данных;

  • 3)    s 13 - генерация ключей ЭП владельцев сертификатов;

  • 4)    s 14 - передача в УЦ информации, необходимой для формирования сертификата ЭП.

Основными угрозами для безопасного и корректного функционирования сервера регистрации являются нарушения доступности - rd , аутентичности - ra , достоверности - r , неот-казываемости - r n и подконтрольности - r k выполнения приведенных выше функций. В случае успешной реализации этих угроз возможны следующие негативные последствия:

  • 1)    в случае нарушения аутентичности и достоверности функций s 12 и s 14 возможно получение и использование в сертификате открытого ключа ЭП недостоверных (фальсифицированных) идентификационных данных;

  • 2)    в случае нарушения аутентичности и достоверности функции s 13 возможно создание нестойких ключей ЭП посредством использования уязвимостей средств генерации ключей и несанкционированного доступа к серверу регистрации;

  • 3)    в случае нарушения аутентичности и достоверности функций s 12 и s 14 возможны фальсификация, перехват и компрометация сгенерированных ключей ЭП и идентификационных данных.

Для ЕПД-ЭП при этом возникают следующие риски:

  • 1)    распространение документов с ЭП от имени другого лица или организации;

  • 2)    возможность фальсификации (подделки) ЭП владельца скомпрометированного ключа;

  • 3)    возможность использовать чужую ЭП;

  • 4)    досрочное прекращение возможности использования ЭП или использование ключей ЭП, срок действия которых истек и сертификат на которые стал недействителен.

В таблице 2 представлен пример оценок критичности для ЕПД-ЭП-операций, выполняемых сервером регистрации. Значения этих оценок выражены в форме условных вероятностей нарушения функционирования ЕПД-ЭП в случае реализации угроз, приводящих к нарушению свойств достоверности, аутентичности, доступности, подконтрольности и неотказуемости выполнения соответствующих операций (сервисов).

Таблица 2

Оценки критичности нарушений функци онирования сервисов, выполняемых сервером регистрации, для надежной и безопасной работы ЕПД-ЭП

Сервис/ операция

Оценка критичности для безопасности функционирования ЕПД-ЭП-сервисов, выполняемых сервером регистрации

r t

rd

r a

rk

r n

s ii

0

1

1

0,7

0,7

* 12

1

1

1

0,8

0,8

s 13

1

1

1

0,9

0,9

s 14

1

1

1

0,9

0,9

Основными способами реализации атак на компоненты ЕПД-ЭП являются [9; 10]:

  • -    m 1 - подбор или взлом паролей;

  • -    m 2 - несанкционированный доступ в обход средств защиты;

  • -    m 3 - истощение ресурсов;

  • -    m 4 - злоупотребление функциональностью;

  • -    m 5 - повышение привилегий;

  • -    m 6 - внедрение программных и аппаратных закладок в технические и программные средства;

  • -    m 7 - использование вирусов, троянов и другого зловредного программного обеспечения (ПО);

  • -    m 8 - маскарад (злоумышленник посылает электронный документ (ЭД) от имени легального пользователя ЕПД-ЭП);

  • -    m 9 - переделка (злоумышленник посылает измененный ЭД от имени легального пользователя ЕПД-ЭП);

  • -    m 10 - фальсификация меток времени и даты подписания ЭД;

  • -    m 11 - компрометация закрытого ключа ЭП;

  • -    m 12 - фальсификация содержимого сертификата открытого ключа.

В соответствии с методологией управления рисками для каждого актива а. и риска R j необходимо:

  • -    определить способ реализации угрозы ( m k ) и оценить ее потенциал p (и);

  • -    определить способ защиты ( z n ) и оценить потенциал этой защиты в отношении конкретной угрозы p ( zn );

    ВЕСТНИК 2016


  • -    оценить остаточный риск dR ( u, , z n ).

Необходимые для решения этой задачи дан ные могут быть представлены в табличном виде ( таблица 3).

Таблица 3

Оценки рисков ЕПД-ЭП в случае реализации угроз безопасности

Угроза

u ;(b ; aj\h l m k )

Потенциал угрозы u

I

Средство защиты z

Потенциал защиты (степень противодействия угрозе) p ( z )

Остаточный риск dR ( u , z )

u i ( b i a i h i m i )

P ( u i )

z 1

P ( z i )

dR ( u 1, z 1)

u 2 ( b 2 a i h i m i )

P ( u 2 )

z 2

P ( z 2 )

dR ( u 2, z 2)

u n ( b n a n h n m n )

P ( u n )

zn

P ( z n )

dR ( un , zn )

ВЕСТНИК 2016

Для нейтрализации определенной угрозы мо гут использоваться несколько средств защиты . В этом случае их потенциал будет суммировать ся . Ниже представлен перечень основных мер и средств защиты , которые рекомендуется исполь зовать для обеспечения безопасного функциони рования ЕПД - ЭП .

  • 1.    Применение сертифицированных аппарат ных и программных средств .

  • 2.    Применение межсетевого экранирования .

  • 3.    Аутентификация абонентов и шифрование передаваемой защищаемой информации .

  • 4.    Аутентификация абонентов , обеспечение целостности посредством использования меха низма ЭП .

  • 5.    Использование средств 2- факторной аутентификации .

  • 6.    Контроль доступа .

  • 7.    Использование средств защиты от атак на отказ в обслуживании .

  • 8.    Дублирование и резервирование , исполь зование отказоустойчивых систем .

  • 9.    Антивирусная защита .

  • 10.    Регулярное тестирование сканерами бе зопасности и устранение обнаруженных уязви мостей .

  • 11.    Применение сертифицированных систем обнаружения атак .

  • 12.    Физическая защита помещений , аппарат ных и программных средств .

Остаточный риск может быть рассчитан по формуле :

dR ( u n , z n ) = P ( u n )- P ( z n ) .

В случае если остаточный риск не пре вышает некоторого допустимого значения dR ( u n , z n ) dR оп , то считается, что система защищена от данной угрозы. В противном случае необходимо в систему защиты включить дополнительные меры и/или средства, которые бы свели остаточный риск до приемлемого.

В таблице 4 приведены примеры оценки рисков безопасности ЕПД-ЭП в случае реализации атак на ряд информационных ресурсов ЕПД-ЭП.

В первой строке таблицы представлены оценки рисков ЕПД-ЭП при реализации угроз безопасности b 1 – нарушение конфиденциальности актива a 1 – закрытый ключ ЭП УЦ. Данную угрозу реализует нарушитель h 2 – хакер, использующий канал общей сети доступа с помощью метода m 1 – подбор или взлом ключа ЭП УЦ. В качестве мер и средств защиты используются: z 1 – применение сертифицированного ПО и z 3 – межсетевое экранирование сервера УЦ. Остаточный риск dR 1 – «компрометация ключа ЭП УЦ» – сведен к нулю.

Таблица 4

Примеры оценок рисков ЕПД-ЭП при реализации угроз безопасности

Угрозы

Потенциал угрозы

Меры и средства защиты

Потенциал защиты

Остаточный риск

u i ( b i a i h 2 m i )

0,7

z 1 z 3

0,7

0

u 2 ( b 2 a 2 h 2 m 2 )

0,8

z 1 z 5

0,75

0,05

u з ( b 2 a з h з m 6 )

1,0

z 1 z 3 z 5

0,6

0,4

Во второй строке представлены оценки рисков ЕПД-ЭП при реализации угроз безопасности b 1 – нарушение конфиденциальности актива a 2 – ключевая и аутентифицирующая информация субъектов УЦ. Данную угрозу реализует нарушитель h 2 – хакер, использующий канал общей сети доступа с помощью метода m 2 – несанкционированный доступ в обход средств защиты.

В качестве мер и средств защиты используются: z 1 – использование сертифицированного ПО и z 5 – использование средств 2-факторной аутентификации. Остаточный риск dR 2 – «компрометация ключа ЭП УЦ» – равен 0,05 и может считаться допустимым.

В третьей строке представлены оценки рисков ЕПД-ЭП при реализации угроз безопасности b2 – нарушение целостности актива a3 – сертификат подчиненного УЦ. Данную угрозу реализует нарушитель h3 – субъекты, входящие в организованные корпоративные и государственные структуры и организации, с помощью метода m6 – внедрение программных и аппаратных закладок в технические и программные средства. В качестве мер и средств защиты используются: z1 – использование сертифицированного ПО, z3 – межсетевое экранирование сервера УЦ и z5 – использование средств 2-факторной аутентификации. Остаточный риск dR2 – «компрометация сертификата подчиненного УЦ» – равен – 0,4. Такой риск не может считаться допустимым, поэтому необходимо усиливать систему защиты.

Заключение . Предложенная методика оценки уровня угроз безопасности ресурсов инфраструктуры ЕПД-ЭП, реализуемая в целях определения необходимого и достаточного комплекса средств защиты, представляет научный и практический интерес. Применение и развитие методики позволит проводить исследования безопасности, анализ рисков и определять требования к составу и характеристикам СОИБ ЕПД-ЭП.

Список литературы Методика оценивания защищенности ресурсов инфраструктуры единого пространства доверия электронной подписи

  • Государственная программа Российской Федерации «Информационное общество (2011-2020 годы». Утвер. Распоряжением Правительства Российской Федерации от 20 октября 2010 г. № 1815-Р . -Режим доступа: http://www.rg.ru/2010/11/16/infobschestvo-site-dok.html свободный, дата проверки: 21.11.2015 г.
  • Системный проект формирования в Российской Федерации инфраструктуры электронного правительства . -Режим доступа: https://smev.gosuslugi.ru/portal/api/files/get/652 свободный, дата проверки: 21.11.2015 г.
  • Международный стандарт ISO/IEC FDIS 17799:2005 (ISO 27002:2007). Информационные технологии. Методики безопасности. Практические правила управления информационной безопасностью.
  • ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
  • ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий.
  • Методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» . -Режим доступа свободный: http://d-russia.ru/wp-content/uploads/2015/05/metodic.pdf., дата проверки: 21.11.2015 г.
  • Сабанов А.Г. Методика анализа рисков аутентификации при удалённом электронном взаимодействии. Докл. на XVI Междунар. конф. «Рускрипто-2014». Интернет-ресурс:http://www.ruscrypto.ru/accotiation/archive/rc2014/.
  • ГОСТ Р ИСО 31010-2011. Менеджмент риска. Методы оценки риска . -Режим доступа: http://docs.cntd.ru/document/gost-r-iso-mek-31010-2011, дата проверки: 21.11.2015 г.
  • Common Weakness Enumeration (CWE) . -Режим доступа: http://cwe.mitre.org/. свободный, дата проверки: 21.11.2015 г.
  • Common Attack Pattern Enumeration and Classification (CAPEC)/. -Режим доступа: http://capec.mitre.org/. свободный, дата проверки: 21.11.2015 г.
  • Нечай А.А. Методика комплексной защиты данных, передаваемых и хранимых на различных носителях/А.А. Нечай, П.Е. Котиков//Вестник Российского нового университета.Серия «Сложные системы: модели, анализ и управление». -2015. -Выпуск 1. -С. 92-95.
Еще
Статья научная