Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЧИТАЛЬНЫЙ ЗАЛ Управление рисками ПРИНЦИПЫ ТАКСОНОМИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
Навигация
 

ПРИНЦИПЫ ТАКСОНОМИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

Операции с документом
Обычно о необходимости построения таксономии - теории классификации и систематизации сложно организованных областей действительности [1] - говорят в тех случаях, когда возникает необходимость в систематизации некоторой предметной области, которая оказывается слишком сложной для того, чтобы провести ее систематизацию на основе некоторой достаточно просто выводимой классификации объектов, ее составляющих.

Черешкин Д.С., д.т.н., профессор, академик РАЕН
Кононов А.А., к.т.н., с.н.с.
Институт системного анализа РАН
Тищенко Д.В.
Счетная палата РФ

Обычно о необходимости построения таксономии - теории классификации и систематизации сложно организованных областей действительности [1] - говорят в тех случаях, когда возникает необходимость в систематизации некоторой предметной области, которая оказывается слишком сложной для того, чтобы провести ее систематизацию на основе некоторой достаточно просто выводимой классификации объектов, ее составляющих.

В последнее время потребность в таксономии в самых разных областях проявляется все чаще, прежде всего, в связи с процессами использования новых информационных технологий (НИТ) для обработки информации. В настоящее время практически невозможно найти области научных исследований и практической деятельности, в которых не разрабатывались бы базы данных (БД) или базы знаний (БЗ). В свою очередь создаваемые БД/БЗ должны удовлетворять определенным требованиям их использования для решения практических задач пользователями систем и/или служить одной из составляющих более сложных систем обработки информации - инструментальных аналитических систем, систем автоматизированного проектирования, систем поддержки принятия решений. И зачастую оказывается, что только предварительные исследования по таксономии соответствующих предметных областей позволяют находить достаточно эффективные и гармоничные решения по систематизации и классификации этих областей, что, в свою очередь, дает возможность разрабатывать эффективные БД с широким диапазоном их возможного использования.

В области создания информационных технологий и автоматизированных информационных систем (ИТ и АИС) необходимость в развитии таксономии осознана достаточно давно. Первые шаги в этом направлении были связаны с систематизацией огромного количества стандартов, регламентирующих развитие вычислительных систем и сетей [2-5].

В последние годы заметно интенсифицировались работы по таксономии в области обеспечения безопасности ИТ и АИС [6-12], что обусловлено несколькими причинами. Во-первых, проблемы обеспечения безопасности входят в число ключевых и наиболее сложных проблем при создании любых информационных технологий, сетей и систем. При этом четко просматривается тенденция к увеличению роли и сложности проблем безопасности в жизненном цикле АИС по мере развития информационных технологий. Во-вторых, на сегодняшний день можно зафиксировать как факт то, что наиболее продвинутые результаты в решении методологических проблем обеспечения безопасности были достигнуты в значительной степени благодаря решению задач по таксономии в области безопасности ИТ и АИС. В первую очередь в этой связи необходимо отметить подготовку и опубликование Национальным институтом стандартов США (NIST) новой редакции Общих критериев оценки безопасности информационных технологий (ОК) [13]. Благодаря хорошо проработанной таксономии требований к безопасности информационных технологий в новой редакции ОК удалось преодолеть недостатки предыдущих вариантов Общих критериев [14-16].

По сути, новая редакция ОК, которая в настоящее время проходит подготовку к принятию в качестве международного стандарта, не просто доказала эффективность и плодотворность работ по таксономии в области безопасности АИС и ИТ, но и стала катализатором интенсификации работ в этой области. Так, в ОК предполагается, что при оценке безопасности ИТ, используемых в АИС, должны разрабатываться Protection Profiles - Профили защиты (ПЗ), а производители ИТ должны подтверждать безопасность предлагаемых ими продуктов путем разработки Security Targets - Заданий по Безопасности (ЗБ) с дальнейшей сертификацией этих ЗБ уполномоченными организациями. В свою очередь решение любой из этих задач - разработки ПЗ и ЗБ - требуют разработки модели угроз объекта защиты. Задача построения всеобъемлющей модели угроз для конкретной сложной системы может быть решена только при условии использования базы данных угроз (БДУ), содержащей все множество угроз безопасности ИТ и АИС, известных на момент проведения оценки по тем технологиям, которые используются в аттестуемой системе. На сегодняшний день разработано и поддерживается разработчиками несколько БД угроз безопасности ИТ и АИС [7], [17], [18]. Но все они носят предварительный исследовательский (в частности, в области таксономии угроз) характер и потому не лишены множества недостатков.

Сравнение содержащихся в существующих реализациях БДУ решений по таксономии угроз показывает значительную разницу как в подходах, так и в полученных результатах. Из рассматриваемых работ только в [18] есть целевая ориентация на связь предлагаемой таксономии угроз с таксономией требований к безопасности ИТ, определенных в ОК, остальные работы предлагают свои варианты таксономий мер противодействия угрозам и требований к безопасности ИТ и АИС. После знакомства с этими работами, остается ощущение, что достаточно хороший практический результат может быть получен только при совместном, комбинированном использовании подходов, предложенных в этих работах. Представляется, что во всех этих работах есть один общий недостаток, а именно, отсутствие системного похода к решению поставленной задачи. Ни в одной из них изначально не были сформулированы системные принципы построения таксономии угроз. В настоящей работе предлагаются вариант формулировки таких принципов и общая постановка задач по реализации этих принципов.

Системный поход предполагает рассмотрение задачи построения таксономии угроз безопасности ИТ и АИС как задачи построения системы классификации и систематизации.

В классической работе по теоретическим проблемам практического использования системного анализа [19] в качестве общих принципов описания сложных систем представлены следующие:

  • принцип цели;
  • принцип многоуровневого описания;
  • принцип классификации.

Рассмотрим, что дает приложение этих принципов к процедуре построения таксономии угроз.

Ведущим принципом описания систем выступает принцип цели. Для того, чтобы конкретизировать этот принцип в отношении изучаемой проблемы, воспользуемся формальной схемой модели угроз безопасности АИС, предложенной в [20], где для структурной модели АИС вида:

 

S={MCi, iОI} (1)

была предложена схема модели угроз АИС вида

 

SY={MCyi, iОI} (2)

где:

I - это множество структурных представлений АИС, позволяющих идентифицировать полное множество угроз безопасности АИС,

MCi- множество объектов представляющих i-е структурное представление АИС,

MCyi - множество угроз идентифицированных по объектам i-го структурного представления.

Очевидно, что в рамках модели, предложенной в [20] можно представить еще несколько схем для завершения общей схемы рассуждений. А именно:

схему профиля требований по защите (профиля защиты) АИС:

 

SYR={MCyri, iОI} (3)

схему множества мер противодействия, удовлетворяющих требованиям , выбранных для отражения угроз безопасности АИС, описанных в :

 

SYRM={MCyrmi, iОI} (4)

и, наконец, схему структурной модели защищенной средствами системы:

 

SYRMZ={MCyrmzi, iОI} (5)

Схема SYRMZ представляет собой описание нового "защищенного" состояния исходной системы S, которое может быть достигнуто (имея в виду только интересующий нас аспект проблемы) после выполнения цепочки процедур, которые можно представить в виде операторов - построения БДУ (OB), построения модели угроз (OY), построения профиля защиты (OR), разработки системы мероприятий по защите (OM), решения задач по оценке создаваемой защищенной АИС при ее реализации (OZ):

 

OB:{TY, DBI}ЮBY (6)

 

OY:{S,BY}ЮSY (7)

 

OR:{SY,BR}ЮSYR (8)

 

OM:{SY,SYR,BM}ЮSYRM (9)

 

OZ:{SY,SYR,SYRM,Z}ЮSYRMZ (10)

где: 
DBI - инструментарий разработки БД, который в дальнейших рассуждениях не имеет значения. Подчеркнем лишь основное требование к DBI - он должен позволять реализовать БДУ на основе заданной таксономии угроз TY;

Z - множество задач, которое должно быть решено, для того, чтобы реализовать мероприятия по защите на заданных уровнях качества и гарантированности, предусмотренных SYRM;

BY - БД угроз безопасности АИС; 
BR - БД требований по безопасности ИТ; 
BM - БД мер противодействия угрозам безопасности АИС.

Очевидно, что выражения (6) - (10), по сути, отражают не просто цель, а цепочку ("дерево") целей. Для их достижения задача формирования таксономии может быть сформулирована в виде оператора:

 

OT:{S,BR,BM,Z}ЮTY (11)

Выражение (11) позволяет конкретизировать принцип цели для задачи построения таксономии угроз в виде следующих четырех принципов:

(I) Таксономия угроз безопасности должна соответствовать множеству структурных представлений АИС (1).

Таксономия должна предусматривать наличие атрибутов угроз, которые указывают на те структурные представления АИС, в которых она может быть идентифицирована.

(II) Таксономия угроз безопасности должна соответствовать таксономии требований по безопасности информационных технологий.

Этот принцип в приложении к разработке базы данных угроз может быть сформулирован в виде требования идентификации по каждой угрозе множества требований по ее парированию из базы данных требований по безопасности информационных технологий.

(III) Таксономия угроз безопасности должна соответствовать классификации мер противодействия угрозам.

Этот принцип означает необходимость учета в таксономии и, соответственно, в БДУ, классификации мер противодействия и в частности классификацию по видам программных и аппаратных средств. Например, очевидно, что определенное множество угроз существует только для ИТ на базе операционной системы (ОС) Unix и не существует для ИТ на базе ОС Windows NT, и наоборот. Такого рода различия хорошо отслеживаются при классификации мер противодействия и это должно учитываться в таксономии угроз и при реализации БДУ.

(IV) Таксономия угроз безопасности должна соответствовать задачам по реализации мер противодействия угрозам в АИС.

Роль таксономии угроз на этапе реализации мероприятий по защите АИС состоит в том, что она должна позволять самым разным категориям разработчиков, экспертов и заказчиков системы оценивать полноту защиты системы в самых разных аспектах: по структурным составляющим системы, по категориям потерь, по категориям источников угроз, по используемым информационным технологиям и т.д.

Следующий важнейший принцип системного анализа - принцип многоуровневого описания. Он гласит, что любой объект при его системном представлении должен быть описан, во-первых, как элемент более широкой системы, во-вторых, как целостное явление, в-третьих, как некоторая сложная структура, внутреннее строение которой необходимо представить с достаточной для достижения целей исследования степенью детализации [19].

В случае таксономии угроз в качестве изучаемого объекта рассматривается категория угрозы безопасности АИС.

Любая угроза может быть реализована некоторым образом. Способ реализации угрозы будем называть атакой. Как правило, угроза может быть реализована не одним а несколькими способами, поэтому можно говорить о множестве атак, связанных с угрозой безопасности АИС. Так, например, угроза неявной компрометации секретных криптографических ключей при конкретном рассмотрении может быть представлена в виде следующих атак, посредством которых она может быть реализована: 
Атака 1 - скрытное несанкционированное копирование информации с машинных носителей (дискет, смарт-карт, таблеток Touch-Memory), на которых записаны криптоключи. 
Атака 2 - "успешный" криптоанализ, позволивший "взломать" криптографический алгоритм. 
Атака 3 - копирование с помощью специальных программ ("жучков", "закладок") криптографических ключей во время их нахождения в оперативной памяти ЭВМ при выполнении криптографических преобразований.

Таким образом, возвращаясь к формальной схеме представленной в [20], любая угроза может быть представлена вектором:

 

Y=(IDO,A), (12)

где:

IDO - множество информации, идентифицирующей и характеризующей угрозу Y, как целостный объект в таксономии TY;

A - множество атак, посредством которых угроза Y может быть реализована.

Атаку AОA можно представить в виде процедуры, инициируемой некоторым источником атаки (SR), который, используя те или иные слабые места в ИТ и условиях их использования (VL), через определенные механизмы атаки (MH), наносит ущерб (DG) АИС и информационным ресурсам АИС:

 

A:{SR,VL,MH}ЮDG (13)

Интерпретация атаки как процедуры позволяет выделить классификационные признаки, задаваемые 1) источниками атаки; 2) используемыми, в качестве ресурсов атаки, недостатками АИС; 3) результатом атаки - наносимым АИС и информационным ресурсам ущербом; 4) методами реализации атаки - методами нанесения ущерба АИС источником атаки путем использования слабостей АИС. Очевидно, что такое представление угроз и атак позволяет построить таксономию, которая будет удовлетворять сформулированному выше принципу (IV), и закладывает возможность при реализации системы обеспечения безопасности АИС решать такие задачи как:

  • контроль обеспечения безопасности АИС от основных источников угроз,
  • контроль устранения или ослабления возможностей использования слабых мест ИТ при атаках на АИС,
  • контроль возможностей системы защиты по противодействию основным механизмам атак,
  • контроль уровня возможного ущерба при реализации угроз.

Таким образом, приложение общего принципа многоуровневого описания к проблеме построения таксономии угроз позволяет конкретизировать его в виде принципа (V) - принципа обязательности отражения в таксономии угроз способов реализации угроз - атак, как процедур, осуществление которых приводит к ущербу в АИС.

Наконец, третий общий принцип описания систем - принцип классификации, устанавливает необходимость классификации значений выбираемых параметров (атрибутов) системы.

Этот принцип при его приложении к проблеме построения таксономии угроз может быть сформулирован в виде принципа (VI) - обязательности классификации значений выбираемых параметров (атрибутов) угроз в рамках таксономии угроз безопасности ИТ и АИС (VI).

Параметры (атрибуты) угроз должны включать:

Атрибут структурных составляющих АИС, в которых могут быть идентифицированы угрозы безопасности ИТ и АИС. Необходимость наличия этого атрибута следует из принципа (I). Классификация значений этого атрибута определяется множеством структурных представлений системы (1).

Атрибут требований по противодействию угрозе. Необходимость наличия этого атрибута следует из принципа (II). Классификация его значений определяется ОК.

Атрибут мер противодействия. Необходимость наличия этого атрибута следует из принципа (III). Классификация его значений определяется классификацией существующих информационных технологий, которые могут использоваться для защиты ИТ и АИС.

Далее следуют атрибуты, связанные со способами реализации угроз - атаками. Необходимость наличия этих атрибутов следует из принципов (IV) и (V). Отметим, что достаточно полная классификационная схема атрибутов атак и обширный анализ источников по этому вопросу содержится в [17].

Атрибут категории источника атаки. Классификацию источников атаки целесообразно строить на основании некоторых объективных параметров - физической природы источника (человек, программа или аппаратные средства), местоположения источника (локальное или удаленное), возможностей источника по доступу к системе (пользователь, администратор, посторонний). Такой подход представляется более продуктивным, чем использование популярных, но слишком широко трактуемых понятий типа "хакер".

Атрибут категории потерь. Предлагается рассматривать четыре категории потерь. Потери свойств конфиденциальности, целостности, доступности, защиты безопасности информации и ИТ в АИС.

Атрибут слабых мест (СМ) ИТ и АИС, которые могут использоваться при реализации атаки. Сюда включаются СМ, обусловленные как природой информационных технологий (например, побочное электромагнитное излучение), так и условиями их эксплуатации (например, человеческим фактором). Классификация СМ определяется их местоположением (для ИТ) или категорией лиц, которые могут оказывать негативное воздействие на АИС (пользователи, администраторы, разработчики) и этапом жизненного цикла ИТ и АИС, когда это лицо может воздействовать на ИТ или АИС.

Атрибут ресурсов, которым наносится урон - атрибут ущерба (потерь). Его значения классифицируются по месторасположению и типу ресурса.

Атрибут методов атаки. Его значения классифицируются, прежде всего, в соответствии с категориями потерь, и далее в соответствии с классификацией ресурсов, которым наносится ущерб.

Таким образом, на основании общих принципов системного анализа нами предложена система из шести принципов, которые должны соблюдаться при разработке таксономии угроз безопасности АИС.

 Анализ разработанных БДУ [7], [17], [18] показывает, что слабости этих БДУ заключаются, в частности, в том, что в них соблюдены далеко не все принципы, приведенные в этой работе. Так в [7] и [17] отсутствуют параметры классификации по структурным представлениям АИС, а в [7] и [18] не предусмотрена система классификации атрибутов атак.

В настоящее время авторами статьи ведется работа по разработке таксономии угроз и созданию БДУ. При этом учитывается опыт разработок [7], [17], [18] и соблюдаются сформулированные в настоящей статье принципы (I-VI).

Литература

  1. Советский энциклопедический словарь. - М.: Советская энциклопедия, 1990.
  2. ISO/IEC TR 10000-1: 1995 Information technology. Framework and taxonomy of International Standardized Profiles. Part 1. General principles and documentation framework.
  3. ГОСТ Р ISO/IEC TО 10000-1-93 Информационная технология. Функциональный стандарт. Основы и таксономия международных функциональных стандартов. Часть 1. Основы.
  4. ISO/IEC TR 10000-2: 1994 Information technology - Framework and taxonomy of International Standardized Profiles. Part 2. Principles and Taxonomy of OSI Profiles.
  5. ГОСТ Р ISO/IEC TО 10000-2-93 Информационная технология. Функциональный стандарт. Основы и таксономия международных функциональных стандартов. Часть 2. Таксономия профилей.
  6. Cohen F. B. Protection and Security on the Information Superhighway. - John Wiley & Sons, Inc, 1995.
  7. Cohen F. B. and others. A Preliminary Classification Scheme for Information System Threats, Attacks, and Defenses; A Cause and Effect Model; and Some Analysis Based on That Model. - Sandia National Laboratories, 1998.
  8. Krsul I.V. Software Vulnerability Analysis, Ph.D. Thesis. - Purdue University, 1998.
  9. Howard J. D. An Analysis of Security Incidents on the Internet: 1989-1995, Ph.D. Theses. - Carnegie Mellon University, 1997.
  10. Longstaff T. "Update: CERT/CC Vulnerability Knowledgebase," - Savannah, Georgia, USA: DARPA, 1997.
  11. Power R. "Current and Future Danger: A CSI Primer of Computer Crime & Information Warfare," CSI Bulletin, 1996.
  12. Williams J. G. and L. J. LaPadula. Modeling External Consistency of Automated Systems // Journal of High-Integrity Systems. 1995, Vol. 1, No. 3, pp. 249-267.
  13. Common Criteria for Information Technology Security Evaluation (CCEB) Version 2.0. NIST, 1998.
  14. Department of Defense Trusted Computer System Evaliation Criteria. - DoD 5200.28-STD, 1993.
  15. Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France - Germany - the Netherlands - the United Kingdom. - Department of Trade and Industry. - London, 1991.
  16. National Computer Security Center. Trusted Network Interpretation. - NCSC-TG-005, 1987.
  17. Threats and Countermeasures for Information Technology Systems. - US: National Information Assurance Partnersship (NIAP), 1998.
  18. IT Baseline Protection Manual. - Berlin: Bundesamt fur Sicherheit in der Informationstechnik, 1998.
  19. Цыгичко В.Н. Прогнозирование социально-экономических процессов. - М.: Финансы и статистика, 1986.
  20. Черешкин Д.С., Гадасин В.А., Елизаров О.И., Кононов А.А., Тищенко Д.В., Цыгичко В.Н. Оценка эффективности систем защиты информационных ресурсов. - М.: Институт системного анализа РАН, 1998.

 Контактные данные авторов - Черешкин Дмитрий Семенович - e-mail: cheresh@isa.ac.ru

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex