О журнале
Рекомендации
Комплексная экспертная система управления информационной безопасностью "АванГард"
Бурдин О.А., Кононов А.А.
О.А. Бурдин, А.А. Кононов
В Институте системного анализа Российской академии наук разработана методология, включающая комплекс методик:
1. идентификации критически важных сегментов и объектов информационной инфраструктуры на основе анализа и оценки рисков нарушения информационной безопасности автоматизированных информационных систем (АИС);
2. управления рисками нарушения информационной безопасности больших компьютеризированных организационных систем;
3. построения системы требований информационной безопасности критически важных сегментов и объектов АИС;
4. мониторингового контроля над состоянием критически важных сегментов и объектов АИС.
Методология базируется на использовании комплексной экспертной системы (КЭС) "АванГард", позволяющей автоматизировать применение перечисленных методик и использовать их для управления информационной безопасностью больших распределенных компьютерных систем самого разного профиля.
Структура и функции системы "АванГард"
КЭС "АванГард" включает в себя два программных комплекса (ПК) – "АванГард-Анализ" и "АванГард-Контроль". На рис. 1 представлена схема, отражающая состав и основные функциональные возможности КЭС "АванГард" и входящих в нее программных комплексов.
Рис. 1. Состав и основные функциональные возможности КЭС "АванГард".
ПК "АванГард-Анализ" позволяет построить структурную модель АИС, модель угроз и модель событий рисков, связанных с отдельными составляющими АИС и, таким образом, выявить те сегменты и объекты, риск нарушения безопасности которых является неприемлемым, то есть критическим. Помимо этого, ПК "АванГард-Анализ" позволяет построить модель защиты – систему мер и требований, которые должны выполняться, чтобы обеспечить безопасность АИС, а также выработать оптимальный комплекс мероприятий по защите.
ПК "АванГард-Контроль" позволяет проводить мониторинг-контроль выполнения требований по защите критических сегментов АИС и определять "узкие" места в защите и обеспечении безопасности АИС.
Возможные решения по использованию КЭС "АванГард" в системах управления информационной безопасностью
Возможны различные системные решения использования КЭС "АванГард". Входящие в КЭС программные комплексы могут использоваться совместно или может использоваться любой из них. Рассмотрим типовой вариант совместного использования комплексов.
На рис. 2 представлена схема использования КЭС "АванГард" для оценки рисков нарушения информационной безопасности (ИБ) АИС и определение ее критических составляющих.
Рис. 2. Оценка рисков нарушения информационной безопасности (ИБ) АИС и определение.
Построение структурной модели АИС в КЭС "АванГард" осуществляется путем описания иерархической структуры АИС и идентификации объектов АИС в БД структурных моделей. Идентификация объектов выполняется путем указания их положения в структурной модели и определения их класса по списку справочной БД (СБД) классов объектов КЭС "АванГард". Поэтому до построения структурной модели необходимо добиться полноты используемых СБД.
В качестве объектов структурной модели АИС идентифицируются информационные ресурсы, процессы обработки информации, средства и системы (программные и технические) обработки информации, подсистемы, локальные среды (здания, части зданий, отдельные помещения, в которых расположены ресурсы АИС), регионы, в которых находятся сегменты территориально-распределенных АИС, АИС в целом. Основным критерием включения в структурную модель в качестве объекта той или иной составляющей является наличие угроз возможного нарушения их безопасности, причем таких, которые не могут быть отнесены на какой-либо из компонентов рассматриваемого объекта, поскольку в данном случае этот компонент сам должен быть идентифицирован в структурной модели как объект.
С каждым из классов объектов КЭС "АванГард" связан массив угроз из БД угроз по классам объектов. Таким образом, отнесение отдельного объекта АИС к определенному классу, информация о котором имеется в КЭС "АванГард", приводит к тому, что с построением структурной модели автоматически строится и модель угроз для всех составляющих АИС. Поскольку эта модель содержит все известные для указанного класса объектов угрозы, многие из которых, в силу конкретной реализации и существующих систем защиты, могут не рассматриваться в качестве значимых для конкретной составляющей АИС, то эту модель угроз было решено назвать "нормативной", в отличие от модели "значимых" угроз, которая формируется на последующих этапах использования КЭС "АванГард".
Для того, чтобы выявить значимость угроз, входящих в состав нормативной модели, необходимо рассмотреть события риска, которые могут возникнуть в результате реализации этих угроз. Как правило, каждое событие риска есть результат реализации ни какой-либо одной, а некоторой совокупности угроз. Это дает возможность путем анализа одного события риска выявить значимость не одной, а сразу нескольких угроз. Нормативная модель угроз должна быть достаточно полна для того, чтобы обеспечить построение адекватных по составу угроз моделей событий рисков.
Анализ возможного события риска, осуществление которого происходит в результате реализации определенного комплекса угроз, позволяет дать оценки вероятности события риска и цены риска. Совокупность описания события риска, перечня угроз, которые могут привести к его реализации, оценок вероятности события риска и цены риска, а также аналитическое обоснование данных оценок составляют то, что в данной методологии называется моделью события риска. Такие модели должны быть построены по каждому возможному с точки зрения экспертов событию риска.
При оценке ущерба, связанного с событием риска, часто возникает вопрос: как оценить нематериальный ущерб? Для этих целей в комплексе реализована методика кардинального ранжирования рисков по экспертным оценкам их опасности. При этом в качестве базовой рассматривается шкала, построенная на основе оценок опасности рисков, по которым вся их "опасность" сводится к возможному материальному ущербу. Базовая шкала строится в начале анализа, до рассмотрения событий рисков с нематериальной оценкой ущерба. После того, как базовая шкала будет построена, предлагается абстрагироваться от того факта, что она строилась на основе стоимостных оценок, и считать ее выражением степени опасности событий рисков. Если степень опасности какого-либо из событий рисков с нематериальным ущербом будет превосходить базовую шкалу, то она может по необходимости достраиваться вверх. Таким образом удается не только сопоставить материальные и нематериальные риски, но и получить стоимостную экспертную оценку нематериальных рисков.
На основе данных, полученных при построении моделей событий рисков, программный комплекс "АванГард-Анализ" дает возможность получить оценки уровня рисков по всем критическим сегментам и по их структурным составляющим и, таким образом, выявить среди них те, с которыми связаны наибольшие риски. Такого рода составляющие идентифицируются как "критические" и по ним должен осуществляться контроль защищенности с помощью программного комплекса "АванГард-Контроль". Помимо этого, проведенный анализ позволяет сформировать модель значимых угроз АИС с указанием уровня значимости (важности, критичности) каждой из угроз. Те угрозы, которые не были задействованы ни в одной из моделей событий рисков, признаются незначимыми и в дальнейшем в расчет не принимаются.
Как указывалось выше, одной из задач управления информационной безопасностью является задача определения мер и требований обеспечения ИБ АИС. На рис. 3 представлена схема определения значимых мер и требований и выбора оптимального комплекса мероприятий по повышению информационной безопасности АИС.
Рис. 3. Определение значимых мер и требований и выбор оптимальных комплексов мероприятий по повышению информационной безопасности АИС.
Работа по определению возможных мер защиты начинается с построения нормативной модели защиты, то есть модели, в которой указываются все возможные меры защиты и противодействия угрозам, включенным в модель значимых угроз. В программном комплексе "АванГард-Анализ" эта задача решается автоматически путем использования БД возможных мероприятий, мер и требований по защите от угроз нарушения информационной безопасности КЭС "АванГард".
Следующим шагом должно стать определение значимости возможных мероприятий и мер защиты. Эта задача решается путем анализа того, как изменятся модели событий рисков в случае применения каждой из рассматриваемых мер. Должны быть получены новые оценки цены риска и вероятности события риска для случая, если анализируемая мера (возможно, в комплексе с какими-то другими мерами) будет применена. На основе данных оценок определяется значимость каждого из возможных мероприятий и мер защиты и система "АванГард-Анализ" автоматически строит модель значимых мероприятий, мер и требований защиты АИС.
Далее строятся и анализируются возможные варианты комплексов мероприятий по защите. При наличии оценок стоимости этих мероприятий проводится выбор наилучшего комплекса по критерию "эффективность-стоимость". При этом в качестве показателей эффективности используются рассчитываемые системой "АванГард-Анализ" значения ожидаемого снижения рисков и уровней остаточных рисков.
На рис. 4 представлена схема контроля соблюдения требований обеспечения безопасности АИС с помощью КЭС "АванГард".
Рис. 4. Контроль за выполнением требований обеспечения ИБ.
Как было показано выше, при решении задач оценки и анализа рисков удается идентифицировать критические составляющие АИС. Их перечень является основой для построения структурной модели критических составляющих АИС в системе "АванГард-Контроль".
Для полноты структурной модели критических составляющих следует добавить те объекты, которые изначально хорошо защищены и потому не идентифицируются как критические системой "АванГард-Анализ", но в виду их особой значимости требуют постоянного контроля уровня обеспечения их безопасности. По каждой из критических составляющих должен быть построен профиль защиты, то есть определена система мер и требований, которые должны выполняться, чтобы обеспечить защищенность соответствующего объекта или системы. В системе "АванГард-Контроль" процесс построения профиля защиты максимально автоматизирован благодаря наличию в ней БД мер и требований ИБ по классам критических объектов.
В АИС должен быть организован постоянный мониторинг выполнения мер и требований по защите. Полученные оценки для обеспечения их целенаправленной обработки должны вводиться в базу данных системы "АванГард-Контроль". На их основании системой автоматически рассчитываются оценки рисков, связанных с невыполнением требований по защите. Таким образом идентифицируются "узкие" места в защите АИС. Затем система "АванГард-Контроль" может быть использована для поиска оптимального варианта комплекса мероприятий по повышению уровня выполнения требований ИБ АИС.
Основные аксиоматические положения системы "АванГард-Анализ"
В основе методологии системы "АванГард-Анализ" положено несколько принципиальных положений.
1. Основным интегрированным показателем защищенности системы является показатель ее рискообразующего потенциала.
Под рискообразующим потенциалом некоторой сущности (угрозы объекта, структурной составляющей или системы в целом) понимается суммарный размер риска, который может быть отнесен на факт наличия этой сущности при анализе возможных событий риска, которые могут произойти в виду существования указанной сущности со всеми присущими ей на момент анализа качествами и характеристиками.
Для оценки риска используются следующие показатели:
- цена риска – размер ущерба, который может быть нанесен в результате некоторого события риска;
- вероятность события риска – вероятность возникновения события риска с определенной ценой риска в результате реализации определенной комбинации угроз;
- величина риска (или ожидаемый ущерб или степень риска) – математическое ожидание (произведение цены риска на вероятность события риска) возникновения события риска с определенной ценой и вероятностью этого события.
Если во всех расчетах цена риска указывается в денежном выражении, то оценка рискообразующего потенциала системы представляет собой показатель ожидаемых среднегодовых потерь (в соответствующих денежных единицах) из-за недостаточной защищенности и надежности системы.
Рискообразующий потенциал любой части системы может быть рассчитан как сумма рискообразующего потенциала угроз, каждая из которых может быть отнесена к соответствующей части системы.
Рискообразующий потенциал системы расчитывается как сумма рискообразующего потенциала частей этой системы и рискообразующего потенциала угроз, которые относятся к системе в целом и не могут рассматриваться в качестве угроз какой-либо из ее частей.
В качестве структурных составляющих могут рассматриваться отдельные объекты, совокупности объектов, процессы и совокупности процессов, подсистемы, локальные среды, регионально удаленные части системы.
Общий перечень всех выделенных структурных составляющих системы, построенный на принципе идентификации иерархических связей между ними, называется структурной моделью.
Структурная модель с указанием всего множества угроз, относимых к каждой из структурных составляющих, образует нормативную модель угроз системы.
Для каждой угрозы может быть указано множество мер защиты, которые могут быть приняты для снижения ее рискоообразующего потенциала.
О понятиях "мера защиты" и "мероприятие по защите". В данной аксиоматике они рассматриваются как в значительной степени взаимозаменяемые, почти как синонимы, поэтому чаще в качестве обобщающего используется более короткое слово "мера". Вместе с тем в ряде случаев, когда необходимо подчеркнуть разовость события, используется слово "мероприятие", а когда нужно подчеркнуть перманентность защиты – слово "мера".
Указание полного множества мер, которые могут быть приняты для снижения рискообразующего потенциала, по угрозам, вошедшим в модель угроз, приводит к построению нормативной модели защиты.
Рискообразующий потенциал отдельных угроз может быть определен путем построения моделей событий рисков, которые могут произойти в результате реализации этих угроз.
Событие риска может произойти в результате реализации одной или большего числа угроз.
Общее число возможных событий риска для системы неисчислимо.
Модель любого события риска включает в себя: указание полного перечня угроз из модели угроз системы, но только тех, которые приводят к событию риска; оценку цены риска по данному событию; оценку вероятности события риска и оценку величины риска, рассчитываемую как математическое ожидание нанесения ущерба (то есть произведение цены риска на вероятность события риска).
Для каждой модели события риска предполагается, что это событие могло произойти только в результате реализации каждой из угроз, его формирующих, поэтому частный рискообразующий потенциал каждой угрозы, формирующей событие риска, будет равен отношению степени риска к количеству угроз, его формирующих.
Для определения системного рискообразующего потенциала (значимости) угрозы достаточно построить хотя бы одну модель возможного события риска, в которой будет рассчитано такое значение частного рискообразующего потенциала угрозы, что эксперты, проводящие оценку рисков, не смогут построить больше ни одной модели, в которой бы значение рискообразующего потенциала данной угрозы было бы существенно больше, чем в данной модели.
Если экспертами было построено несколько моделей событий рисков, в которых была указана одна и та же угроза, то рискообразующий потенциал этой угрозы в рамках всей системы рассчитывается путем нахождения максимального из всех значений частного рискообразующего потенциала этой угрозы по каждому из событий рисков, в моделях которых она была указана.
2. Для идентификации критических составляющих системы используются следующие положения.
Закон экспоненциального снижения системного риска. При экспоненциальном снижении рискообразующего потенциала составляющих системы до нуля рискообразующий потенциал всей системы так же экспоненциально снижается, но до величины суммы рискообразующего потенциала угроз, которые не могут быть отнесены ни к одной из составляющих системы, а только ко всей системе в целом.
Следствие 1. Наибольшего снижения риска использования системы можно добиться путем снижения риска ее основных рискообразующих (критических) составляющих.
Для определения критических составляющих необходимо рассчитать матрицы векторов критичности.
Размерность матрицы векторов критичности равна числу иерархических уровней в структурной модели системы. Матрица рассчитывается на основе коэффициентов допустимости ущерба по отдельным составляющим системы. Для КЭС "АванГард" определено 5 векторов критичности: по объектам, по подсистемам/процессам, по локальным средам, по регионам, по модели системы в целом. Коэффициенты допустимости ущерба определяют, какая доля возможного ущерба может быть отнесена на каждую из составляющих данного уровня иерархической вложенности. Предлагается следующий алгоритм расчета матрицы критичности.
Первоначально задается уровень критичности по модели. Он образует первый вектор критичности. При использовании стоимостных оценок – это та сумма годового ущерба, которая может считаться приемлемой для данной системы в целом.
Вектор критичности по регионам рассчитывается как совокупность показателей уровня критичности по каждому региону путем деления уровня критичности по модели на число регионов с учетом коэффициентов допустимости ущерба по каждому из регионов.
Вектор критичности по локальным средам рассчитывается как совокупность показателей уровня критичности по каждой локальной среде путем деления уровня критичности по соответствующему региону на число локальных сред в этом регионе с учетом коэффициентов допустимости ущерба отдельных локальных сред.
Вектор критичности по подсистемам рассчитывается как совокупность показателей уровня критичности по каждой подсистеме путем деления уровня критичности по соответствующей локальной среде на число подсистем в этой локальной среде с учетом коэффициента допустимости ущерба отдельных подсистем.
Вектор критичности по объектам рассчитывается как совокупность показателей уровня критичности по каждому объекту путем деления уровня критичности соответствующей подсистемы на число объектов в структурной модели, с учетом уровня коэффициента допустимости ущерба по отдельным объектам.
По умолчанию все коэффициенты допустимости ущерба равны единице.
3. Любая мера защиты из нормативной модели защиты может обладать потенциалом снижения риска (рископонижающим потенциалом) в рамках системы.
Рископонижающий потенциал меры есть выражение значимости меры. Очевидно, что значимостью могут обладать только те меры, которые относятся к значимым угрозам. Поэтому в дальнейшем речь идет только о таких мерах. Для того, чтобы определить потенциал снижения риска системы данной мерой, необходимо выполнить следующие действия.
Построить модель воздействия меры защиты на возможное событие того риска, в состав которого входит угроза, к которой относится эта мера. Такого рода модель строится на основе модели события риска путем получения новых экспертных оценок того, как снизятся цена риска и вероятность события риска, если эта мера будет принята. Разница между показателями размера риска по модели до принятия меры и после ее принятия представляет собой показатель потенциала снижения риска данной меры в данной модели воздействия. Если для снижения угрозы может быть применено несколько мер, то необходимо построить модели воздействия по каждой из них. Далее следует исходить из того, что в случае одновременного принятия мер рискообразующий потенциал угрозы, к которой относятся все указанные меры, не может быть снижен ниже нуля, поэтому, если сумма потенциалов снижения риска по каждой из мер окажется больше оценки рискообразующего потенциала угрозы в данной модели риска, то значения потенциалов мер должны быть нормированы таким образом, чтобы их сумма была равна рискообразующему потенциалу угрозы по указанной модели риска. По тем мерам, по которым в результате нормирования показатель потенциала снижения риска уменьшился, рассчитывается коэффициент возможного роста потенциала. Этот коэффициент рассчитывается как отношение исходной оценки потенциала снижения риска к нормированной и может использоваться при расчете эффективности комплексов мер, в которые эта мера будет включена.
Такого рода операции выполняются для всех моделей событий рисков, включающих угрозу, к которой относится данная мера, но только в том случае, если не очевидно, что выполнение всех этих операций приведет к получению большего значения оценки потенциала меры. В любом случае в качестве окончательного значения для потенциала меры защиты по данной угрозе принимается максимальное значение потенциала снижения риска данной меры (и соответствующее ему значение коэффициента возможного роста потенциала), которое было получено при построении моделей воздействия этой меры защиты по каждому из событий риска, в которые входит угроза, парируемая данной мерой.
Далее следует учесть, что мера, если она принимается, то она принимается по отношению к тому объекту, с которым связана угроза, ею парируемая. И может существовать целая совокупность угроз данному объекту, чей потенциал может быть понижен указанной мерой. Таким образом, потенциал снижения риска меры защиты будет рассчитываться как сумма рассчитанных оценок значимостей этой меры по всем угрозам, относимым к указанному объекту. Однако, если окажется, что суммарный потенциал снижения рисков всех мер, относимых к данному объекту, окажется больше рискообразующего потенциала этого объекта, то должна быть выполнена процедура нормирования полученных значений потенциалов мер таким образом, чтобы их общая сумма была равна рискообразующему потенциалу этого объекта. Тогда окончательными оценками значимости мер будут значения, рассчитанные путем их второго нормирования. При этом в качестве окончательного будет принято максимальное для данной меры значение коэффициента возможного роста потенциала.
С каждой мерой защиты может быть связана система требований, позволяющих оценивать качество исполнения данной меры в конкретной системе на момент ее оценки.
4. Для снижения рисков в системе меры могут объединяться в комплексы. Эффективность комплекса мер определяется показателями суммарного потенциала снижения риска и остаточным потенциалом риска системы.
Суммарный потенциал снижения риска для комплекса мер определяется как сумма потенциалов снижения риска по каждой из мер, вошедших в комплекс. Однако если в комплекс включены меры, которые имеют ненулевой коэффициент возможного роста потенциала и по объектам, к которым относятся эти меры, при первоначальном расчете эффективность комплекса мер оказывается такова, что остаточный риск по каким-либо из этих объектов больше нуля, то тогда по такого рода мерам оценки потенциала снижения риска могут быть пропорционально увеличены в такой степени, чтобы предельно снизить остаточный риск по всем объектам вплоть до нуля.
Показатель остаточного риска может быть рассчитан по всем структурным составляющим и по системе в целом исходя из того, что для каждой меры известно, по какому объекту и на сколько она позволяет снизить потенциал риска.
Выбор окончательного варианта комплекса мер осуществляется по критерию "эффективность-стоимость".
Заключение
Важнейшими задачами управления информационной безопасностью АИС являются снижение рисков, связанных с функционированием АИС, управление этими рисками и контроль выполнения требований ИБ АИС. КЭС "АванГард" разработана для того, чтобы автоматизировать и таким образом облегчить решение этих непростых задач.
Программные комплексы КЭС "АванГард" построены на стройной и доступной пониманию пользователей аксиоматике, основанной на строгой логике ее основных положений и процедур.
КЭС "АванГард" имеет простой в освоении интуитивно-понятный интерфейс и не требует больших усилий по освоению работы с ней.
КЭС "АванГард" может работать на любых компьютерах, на которых уcтановлена ОС класса Win32 и есть 1 Гбайт свободной дисковой памяти.
Система "АванГард" может быть рекомендована для широкого использования в системах управления информационной безопасностью больших распределенных АИС.
Бурдин Олег Алексеевич - аспирант Института системного анализа РАН (ИСА РАН).
Кононов Александр Анатольевич - старший научный сотрудник ИСА РАН, кандидат технических наук.
© Информационное общество, 2002, вып. 1, сc. 38-44.