Формализация описания архитектуры исследуемой АС
(Согласно требованиям РД Гостехкомиссии, начиная с третьего класса защищенности разрабатываемые СВТ должны иметь формальную модель механизма управления доступом. Наличие аналогичного требования для АС в целом в существующих нормативных документах авторам неизвестно. Вместе с тем в соответствии с международными стандартами (в первую очередь 17799) такая модель должна разрабатываться.
После неформального описания АС и правил политики безопасности производится формализация этого описания и правил ПБ в терминах формальной модели безопасности. Выявляются объекты и субъекты вычислительной сети, а также основные операции, применимые к ним. Применение формальной модели позволяет обосновать практическую пригодность системы безопасности, определяя ее базовую архитектуру и используемые технологические решения при ее построении. В терминах формальной модели задаются достаточные и необходимые усло-Вия выполнения политики безопасности. В итоге формируются множества {A}, {S}, {О}, {Operate}: всех субъектов, объектов, возможных операций и «ответственных» за них администраторов. На данном этапе проектировщик оперирует требованиями к безопасной реализации субъекта, объекта и отдельной операции; их совокупность позволяет сформулировать требования ко всей системе защиты.
|
|
На этапе подтверждения соответствия АС требованиям безопасности информации (проведения ее аттестации) испытательной лаборатории необходимо проанализировать модель СЗИ, стойкость предлагаемых разработчиком протоколов, а также соответствие модели реально разработанной СЗИ.
Политика безопасности интерпретируется для реальной АС и реализуется используемыми средствами и механизмами информационной безопасности и их соответствующей настройкой. Основываясь на результатах предыдущего этапа, производится распределение функций обеспечения информационной безопасности между субъектами и администраторами ресурсов системы. На данном этапе целесообразна декомпозиция множеств {S}, {О}, {Operate} по подсистемам: {S} = {SI} u {S2} и...и {Sn}, {О} = {01} и {02} и...и {On}, {Operate} = {Operatel} и...и {Operaten}. В итоге каждую подсистему системы защиты характеризует следующий состав: {Si} и {Oi} u {Operatei}. Формулируется совокупность требований ко всей подсистеме на основе сочетания требований к множествам {Si}, {Oi} и {Operatei}, составляющим данную подсистему. Среди подсистем можно выделить специализированные механизмы обеспечения информационной безопасности: администратор сети, администратор системы, администратор управления, разграничения доступом и т. п.
|
|
Требования, как правило, целесообразно предъявлять в виде: «такой-то показатель качества должен быть не меньше (не больше) допустимого при определенных ограничениях». В качестве ограничений выступают обычно защищенность, стоимость, реализуемость, потребное количество памяти и вычислительного ресурса. Показатель качества целесообразно ввести следующим образом. Пусть злоумышленник генерирует п угроз, каждая из которой характеризуется вероятностью появления р и появляющимся при ее реализации ущербом У,, в совокупности образующими риск от угрозы. Пусть средства зашиты информации {х,, х2,..., хт\ образуют вектор из т элементов х; их стоимость образует вектор той же размерности С. В результате применения у-го средства зашиты информации риск уменьшается на некоторую величину Д|. Тогдн задача синтеза оптимальной системы зашиты информации может быть сформулирована в виде
При условии независимости уфоз и их аддитивности, а также с учетом вероятностного характера устранения угроз со стороны СЗИ получаем следующее выражение для общего предотвращенного ущерба:
(9.2)
где q, — нанесенный У-й угрозой ущерб.
Рассмотрим входящие в выражение (9.2) величины. Вероятность появления угрозы определяется статистически или на основе экспертного опроса. Ущерб, наносимый угрозой, может выражаться в денежном эквиваленте, а также в объеме уничтоженной (раскрытой) информации и т.п.
Наиболее сложным вопросом является определение вероятности устранения /-й угрозы при проектировании СЗИ. Сделаем естественное допущение, что эта вероятность определяется тем, насколько полно учтены качественные и количественные требования к СЗИ при их проектировании, т.е.
(9.3)
где Xjk~ степень выполнения к-го требования СЗИ. Требования могут быть количественные и качественные. Для количественных требований можно ввести меру, показывающую близость требований к заданным, например среднеквадратическое отклонение. Для качественных требований эта мера может быть логической: «выполнено» —«не выполнено» либо иметь определенные градации, например «отлично», «хорошо», «удовлетворительно», «неудовлетворительно».
Можно ввести понятие относительного показателя защищенности — количественной характеристики, которой могут обладать средства защиты, систем и подсистемы безопасности. Значение этого показателя может лежать в пределах [0,1), (уровень безопасности на практике не может достигать 100%).
В работе (49) приведены также дополнительные требования к
системе зашиты информации:
1) требования к корректности реализации механизмов защиты и определяют основополагающие принципы реализации каждого механизма защиты, выполнение которых является необходимым 1.1Я разработчика средств зашиты, так как это обеспечивает корректность реализации механизмов зашиты;
2) требования к комплексированию механизмов защиты — опре-юляют принципы комплексирования корректно исполненных механизмов в единую систему защиты, выполнение которых обеспечивает достаточность набора механизмов защиты для условий применения системы;
3) требования по обеспечению необходимого уровня доверия потребителя системы защиты к ее разработчику — определяют условия, выполнением которых разработчик обеспечит необходимый уровень доверия к нему, а как следствие, и к поставляемой им системе потребителя.
Первое и третье из этих требований связаны с технологическим процессом разработки СЗИ и удовлетворяются за счет выполнения разработчиком лицензионных требований ФСТЭК России, а также проверяются на этапе сертификации.
Требования по комплексированию формулируют условия применения системы защиты. Целесообразность учета подобных требований заключается в том, что условия практического использо-иания систем зашиты могут существенно различаться. Система мщиты информации, реализующая всю совокупность механизмов зашиты, обеспечивающая все возможные условия ее исполь-ювания, в большинстве случаев может оказаться нерациональной.
|
|
Таким образом, данной группой требований решается задача формирования в каждом конкретном случае использования системы зашиты необходимого набора механизмов защиты, после чего необходимо приступить к выбору СЗИ, реализующих данные механизмы.