- •А.П. Пархоменко а.Ф. Мешкова р.В. Менжулин основные проблемы и особенности защиты информации в банковских системах: модели нарушителей
- •1Воронеж 2008
- •2Воронеж 2008
- •Введение
- •1.Основные проблемы и особенности защиты информации в банковских системах.
- •1.1 Основные понятия, термины и определения.
- •1.1.1 Информация и информационные отношения в автоматизированных банковских системах. Субъекты информационных отношений, их безопасность в автоматизированных банковских системах.
- •1.1.2 Определение требований к защищенности информации в автоматизированных банковских системах.
- •1.2 Особенности автоматизированных банковских систем как объекта защиты информации.
- •1.2.1 Автоматизированные платежные системы.
- •1.2.2 Основные принципы и подходы к защите апбс.
- •1.2.3 Особенности платежных систем.
- •1.2.4 Автоматизированные информационные системы.
- •1.2.5 Основные принципы и подходы к защите автоматизированных информационных систем.
- •1.3 Особенности защиты информации в автоматизированных банковских системах.
- •1.3.1 Защита от физического доступа.
- •1.3.2 Защита резервных копий в автоматизированных банковских системах.
- •1.3.3 Защита от инсайдеров.
- •1.4 Основные проблемы защиты информации в автоматизированных банковских системах.
- •1.5 Проблемы правовой и организационно - технической защиты коммерческой и банковской тайны как видов конфиденциальной информации.
- •2. Модели нарушителей и риски в автоматизированных банковских системах.
- •2.1 Анализ проблем оценки и управления рисками информационной безопасности в автоматизированных банковских системах.
- •2.2 Анализ инструментальных средств оценки и управления рисками информационной безопасности.
- •2.3 Неформальная модель нарушителя в банковских системах
- •2.4 Модель нарушителя и эффективность защиты.
- •3. Оценки рисков информационной безопасности.
- •3.1 Оценка рисков информационной безопасности на основе алгоритма Мамдани.
- •Заключение
- •Список используемых информационных источников
- •394026 Воронеж, Московский просп., 14
2.4 Модель нарушителя и эффективность защиты.
Для оценки эффективности защиты целесообразно использовать требования международного стандарта ISO 17799 71 «Практические правила управления информационной безопасностью». В стандарте определены следующие десять направлений, по каждому из которых сформулированы требования к системе защиты информации:
1.Политика безопасности;
2.Организация защиты;
3.Управление ресурсами;
4.Безопасность персонала;
5.Физическая безопасность;
6.Администрирование компьютерных систем и вычислительных сетей;
7.Управление доступом;
8.Разработка и сопровождение информационных систем;
9.Планирование бесперебойной работы организации;
10.Контроль выполнения требований политики безопасности.
Положения, содержащиеся в стандарте ISO 17799, позволяют по каждому из указанных направлений получить оценку соответствия системы защиты информации предъявляемым требованиям. В данном случае мы сознательно опускаем вопрос оценивания технической эффективности системы защиты информации, считая, что выполнение базовых технических требований обеспечивается политикой безопасности предприятия.
К настоящему времени во многих организациях на основе ISO 17799 разработаны диагностические тесты для оценки соответствия систем защиты информации, требованиям, изложенным в стандарте.
Диагностические тесты позволяют получить численные оценки, отражающие процент выполнения требований по указанным направлениям.
Общая оценка складывается из «взвешенных» оценок по отдельным направлениям. «Вес» для каждого направления определяется экспертом - аналитиком на этапе обследования предприятия. При этом учитывается различие в требованиях к защите информации в государственных, финансово-кредитных, коммерческих, телекоммуникационных и других организациях. Учитывается также стадия жизненного цикла, на которой находится информационная система: проектирование, ввод в действие или эксплуатация 72.
Угрозы различаются по степени опасности. Очевидно, что нарушители (источники угроз) обладают разными возможностями для реализации своих замыслов и имеют разную степень заинтересованности в достижении цели. Методы нечеткой логики позволяют увеличивать число учитываемых параметров и, таким образом, включать в процесс обработки многопараметрические модели нарушителей. Однако следует иметь ввиду, что при этом увеличивается число и сложность продукционных правил.
Для того чтобы сделать механизм вывода, по возможности, более простым и одновременно эффективным, целесообразно производить предварительную группировку входных данных. При этом полезными оказываются локальные модели нарушителей, отражающие специфику и конкретные условия проявления угроз.
В данном случае целесообразно ввести локальную модель нарушителя, учитывающую его объективные возможности и степень заинтересованности, а в качестве обобщенной характеристики угрозы, исходящей от этого нарушителя, использовать «потенциал угрозы» (таблица 3).
Таблица 3 – Определение «потенциала угрозы»
Степень заинтересованности нарушителя |
Объективные возможности нарушителя |
||||
1 |
2 |
3 |
4 |
5 |
|
1 |
1 |
1 |
1 |
1 |
1 |
2 |
1 |
2 |
2 |
2 |
2 |
3 |
1 |
2 |
3 |
3 |
3 |
4 |
1 |
2 |
3 |
4 |
4 |
5 |
1 |
2 |
3 |
4 |
5 |
Локальная модель нарушителя, вытекающая из таблицы 2.5, является достаточно простой и прозрачной: потенциально опасным признается только тот нарушитель, который имеет и высокие объективные возможности, и высокую степень заинтересованности в преодолении защиты.
Нетрудно представить модель нарушителя более общего вида, которая позволяет включить в процесс обработки большее количество информации о характере и особенностях проявления угроз. В качестве такой модели можно рассмотреть четырехкомпонентную модель, включающую (рисунок 2.2):
1.Организацию нападения на информационный ресурс (зависит от заинтересованности нарушителя, связей и принадлежности нарушителя к криминальной группе);
2.Технологию доступа к информационному ресурсу (определяется квалификацией нарушителя, возможностями технологического планирования атаки, используемыми методами);
3.Технические и интеллектуальные ресурсы (определяются технической оснащенностью и сторонней поддержкой);
4.Разведку параметров и уязвимостей (определяется способами получения исходных сведений).
Оценку потенциала нарушителя на основе этой модели можно выполнить по составляющим компонентам с последующей «весовой обработкой». При этом все оценочные процедуры будут относиться к предварительной обработке. Для механизма нечеткого вывода входной переменной по - прежнему будет оценка «потенциала угрозы» 73.
Предположим, что для оценки ущерба используется качественная пятиуровневая шкала, представленная в таблице 4
Таблица – 4 Шкала ущерба
Уровень ущерба |
Описание воздействия |
5 Катастрофический |
Приводит к разрушительным последствиям и невозможности ведения бизнеса |
4 Критический |
Наносится значительный урон репутации компании, ее интересам, что может представлять угрозу для компании и продолжения ее бизнеса |
3 Большой |
Приводит к большим потерям материальных активов или ресурсов или наносится большой урон репутации компании, ее интересам |
2 Заметный |
Приводит к заметным потерям материальных активов, существенному влиянию на репутацию компании или существенному ущемлению ее интересов |
1 Малый |
Приводит к незначительным потерям материальных средств и ресурсов, которые быстро восполняются, или незначительному влиянию на репутацию |
В общем случае оценки ущерба могут носить как качественный, так и количественный характер. Однако качественные оценки являются более универсальными и могут быть использованы даже тогда, когда для оценки ущерба нет количественных показателей.
Аналогичную шкалу зададим для измерения риска (таблица 5).
Таблица 5 – Шкала рисков
Уровень риска |
Описание риска |
Недопустимый (Нд) |
Уровень риска очень большой и является недопустимым для организации, что требует прекращения эксплуатации системы и принятия радикальных мер по уменьшению риска |
Критический (К) |
Уровень риска такой, что бизнес – процессы находятся в неустойчивом состоянии. Необходимо незамедлительно принять меры по уменьшению риска |
Высокий (В) |
Уровень риска не позволяет стабильно работать. Имеется настоятельная необходимость в корректирующих действиях, изменяющих режим работы в сторону уменьшения риска. Система может продолжать работу, но корректирующий план действий необходимо применить как можно быстрее |
Продолжение таблицы 5
Средний (С) |
Уровень риска позволяет работать, но имеются предпосылки к нарушению нормальной работы. Необходимо разработать и применить план корректирующих действий в течение приемлемого периода времени |
Низкий (Н) |
Если сведения расцениваются как низкий риск, необходимо определить, существует ли необходимость в корректирующих действиях или есть возможность принять этот риск |
Введенные уровни ущерба и риска используются при формировании правил вывода.
Для формирования правил вывода необходимо определить в качестве промежуточной величины вероятность успешной атаки. Допустим, что для представления вероятности НСД используется рассмотренная выше пяти - уровневая шкала, содержащая уровни:
А - событие практически никогда не происходит;
В - событие случается редко;
С - событие вполне возможно;
D – событие скорее всего произойдет;
Е - событие обязательно произойдет.
При обосновании правил вывода будем исходить из следующих предположений. Предположим, что если эффективность защиты выше потенциала нарушителя, вероятность успешной атаки соответствует уровню А. Если эффективности защиты равна потенциалу нарушителя, то вероятность успешной атаки соответствует уровню В. Наконец, если эффективность защиты меньше потенциала нарушителя, то вероятность НСД будет тем выше, чем больше превышение потенциала нарушителя над эффективностью защиты (уровни С, D и E).
Представленная логическая модель позволяет оценить вероятность успешной атаки в зависимости от потенциала угрозы и эффективности защиты (таблица 6).
Таблица 6 – Вероятность успешной атаки на информационные ресурсы
Эффективность защиты |
Потенциал угрозы |
||||
1 |
2 |
3 |
4 |
5 |
|
1 |
B |
C |
D |
E |
E |
2 |
A |
B |
C |
D |
E |
3 |
A |
A |
B |
C |
D |
4 |
A |
A |
A |
B |
C |
5 |
A |
A |
A |
A |
B |
Определенная таким образом вероятность успешной атаки позволяет определить функцию риска как свертку шкал вероятности и ущерба (таблица 7).
Таблица 7 – Шкала оценок рисков
Ущерб |
Вероятность реализации угрозы |
||||
A |
B |
C |
D |
E |
|
1 |
Н |
Н |
Н |
С |
С |
2 |
Н |
Н |
С |
В |
В |
3 |
Н |
С |
В |
В |
К |
4 |
С |
В |
В |
К |
К |
5 |
С |
В |
К |
К |
Нд |
Т
R
Рисунок 2.3 – Зависимость риска от потенциала угрозы
R
R
Рисунок 2.5 – Зависимость риска от величины ущерба
Эти графики являются проекцией «поверхности системы нечеткого вывода» на плоскость, образованную осью риска и соответствующими переменными. Они позволяют не только гарантировать качество механизма вывода, и объясняют поведение механизма оценки риска и даже позволяют прогнозировать изменение риска при определенных условиях. На рисунках 2.3 и 2.4 просматривается «пороговый» эффект от преодоления потенциалом угрозы (U) эффективности защиты (Z), который свидетельствует о том, что в каждом конкретном случае необходимо обеспечить определенный «пороговый» уровень защиты. Представленные выше графики позволяют обосновать величину этого «порогового» уровня 74.