МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ ВЕРОЯТНОГО УЩЕРБА ОТ УТЕЧКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ
А. П. Росенко, Р. С. Аветисов
MATHEMATICAL MODELING OF PROBABLE DAMAGE FROM CONFIDENTIAL INFORMATION LEAK IN AUTOMATED INFORMATION DATA SYSTEM
Rosenko A. P., Avetisov R. S.
The article presents a mathematical model and its realization for the estimation of probable damage from the effect upon the internal threat automated information system.
В статье представлена математическая модель и ее реализация для оценки вероятного ущерба от воздействия на автоматизированную информационную систему внутренних угроз.
Ключевые слова: ущерб, автоматизированная информационная система, вероятность несанкционированного доступа, потенциал информации.
УДК 004.942
В настоящее время одной из самых актуальных проблем в теории защиты информации является проблема оценки величины ущерба от воздействия на информацию различных угроз [1]. В указанных целях применяются различные подходы и технологии. Однако, как показывает анализ, наибольшее распространение получают методы математического моделирования.
Пусть на автоматизированную информационную систему (АИС) воздействует конечное множество внутренних угроз. Каждая >ая внутренняя угроза характеризуется вероятностью возникновения Реу., вероятностью парирования Рур и величиной ущерба
от воздействия 1-ой угрозы на конфиденциальную информацию (КИ) - АЖеу. .
Тогда предотвращенный ущерб от воздействия на КИ п внутренних угроз при условии их независимости и аддитивности последствий, имеет вид [2]:
п
Ж = У Р .РпарАЖ . (1)
еуг еуг еуг ' У '
г=1
Первые две составляющие выражения (1), а именно, вероятности Р . и Рпр определяются статистическими методами или методами экспертных процедур [3]. Как показывает анализ [2, 3] оценку ущерба от воздействия на КИ внутренних угроз составляют как ущерб от несовершенства системы защиты по выполнению предназначенных функций - Ссз, так и ущерб от нарушения
Росенко А. П., Аветисов Р. С.
Математическое моделирование вероятного ущерба от утечки конфиденциальной...______________
конфиденциальности при утечке информации - и, т. е.
АЖ = Ссз + и. (2)
Разработка математической модели
Определение ущерба от несовершенства системы защиты. Ущерб от несовершенства системы защиты Ссз определяется затратами на создание Ссозд, обслуживание Собсл и модификацию Смод системы, т. е.
С = С + С + С (3)
сз созд ' обсл ' мод ■
Затраты на создание системы защиты - Ссозд равны стоимости системы защиты на момент ее внедрения в АИС и, соответственно, не изменяются с течением времени, т. е. остаются постоянной величиной: Ссозд = СОШ* .
Плановое обслуживание системы защиты происходит с определенной периодичностью. Пусть Скобсл,г - стоимость обслуживания системы защиты в г-ый период, для к-ого автоматизированного рабочего места (АРМ). Тогда затраты на обслуживание системы защиты Собсл могут быть определены исходя из следующего выражения:
Собсл = ^ ^С обсл-‘ . (4)
к г
Модификация системы защиты производится аналогично плановому облуживанию с определенной периодичностью. Если обозначить Скмод,1 - стоимость модификации в 1-ый период для к-ого АРМ, то расчет затрат на модификацию системы защиты - Смод может быть произведен по следующему выражению:
см = £Х Ск мод,,. (5)
к I
Итоговая стоимость системы защиты Ссз определяется с использованием выражений (2), (3) и (4) по следующему выражению:
Сс, = Ссозд +Ц Ск блг Ск мод,, . (6)
кг к I
Группируя выражение (6) по к, окончательно получим выражение для расчета стоимости системы защиты:
(7)
Сз = С„д +Х X 0„„,, +Х С‘ Ш». k L t l
Определение ущерба от нарушения конфиденциальности. Для оценки ущерба от нарушения конфиденциальности воспользуемся математической моделью, предложенной в [4].
Как показано в [4], основой математической модели несанкционированного доступа (НСД) к КИ и её защиты является максиминная задача вида:
max min U(r, z | S), (8)
r z
где r, z - соответственно стратегии НСД к КИ и защиты КИ, реализуемые в АИС - S.
Ущерб от нарушения конфиденциальности может быть рассчитан исходя из следующего выражения:
U = ио6щ • Рнсд , (9)
где иобщ - значение общего потенциала информации, рассчитанного до момента начала воздействия злоумышленника на КИ; Рнсд - вероятность несанкционированного доступа (НСД) к КИ.
Определение значения общего потенциала. Под общим потенциалом информации иобщ понимают тот экономический эффект, который может быть получен при использовании
КИ в течение ее жизненного цикла.
Для определения общего потенциала информации можно воспользоваться подходами, которые используются для оценки ценности нематериальных активов и ценности интеллектуальной собственности [5]: затратным, сравнительным или доходным. Однако, как показывает анализ [5,6], наиболее оптимальным является доходный подход. Тогда, исходя из положений доходного подхода, величина иобщ может быть представлена в следующем виде:
и общ = Со + П, (10)
где С0 - начальная стоимость КИ, П - прибыль от ее использования (обращения) на интервале жизненного цикла.
Определение прибыли. Для оценки величины потенциальной прибыли в условиях изменения стоимости конфиденциальных сведений воспользуемся подходом, предложенным в [7], в соответствии с которым прибыль может быть рассчитана по следующему выражению:
П = N -Ар + (N — 1) "АП 2 +... + АП N, (11)
где АП 1 - значения приращения прибыли на >м частичном интервале жизненного цикла КИ, N
- общее число частичных интервалов жизненного цикла.
Таким образом, как видно из (11), для расчета суммарной прибыли необходимо оценить значения величин АП; на каждом частичном интервале А^, на который разбит весь период
жизненного цикла информации. Как показано в [8], основой для проведения такой оценки может послужить выражение вида
АП = аСО
1 + £ — ¿еШ
Со
е + еа
Со
(12)
где а = АС / С 0 - относительная величина изменения стоимости конфиденциальной информации, е - т. н. ценовая эластичность спроса, характеризующая чувствительность спроса, в рыночном сегменте к изменениям цены, Со - начальная стоимость конфиденциальной информации, е0 - начальный объем конфиденциальной информации, ¿(О)) и ¿^(0,) - соответственно скорость и ускорение изменения затрат на поддержание и повышение стоимости конфиденциальной информации.
Одним из основных параметров при расчете АП является величина АС, отражающая изменение цены информации ограниченного распространения на интервале Аг . Для оценки величины АС необходимо получить функциональную зависимость величины С - стоимости КИ, от времени на интервале жизненного цикла информации.
Определение стоимости конфиденциальных сведений. Предположим, что стоимость конфиденциальной информации изменяется во времени как показано на рисунке 1.
Как видно из рис. 1, изменение стоимости на всем интервале жизненного цикла конфиденциальной информации может быть разбито на несколько характерных участков, отражающих рост (II), стабилизацию (III) и спад (I, IV) стоимости КИ. Так как эти изменения на длительном интервале времени имеют скачкообразный характер (непрерывная линия), то весь график не может быть представлен в виде некоторой функции С (г) распределения стоимости С по времени t. В этом случае целесообразно провести аппроксимацию данных (прерывистая линия) для получения вида и аналитического выражения функции С(г) . Зная функцию С(г), можно определить общую прибыль от обращения конфиденциальных сведений на интервале жизненного цикла информации исходя из выражений (10) и (11).
Аппроксимация стоимости КИ. Аппроксимацию данных, как показывает анализ, можно произвести методом наименьших квадратов (МНК) [9]. Использование метода МНК требует выбора базисных функций р1 (?), / = 1, m для построения аппроксимирующей функции С(г) в виде:
С 0) = О)Р 0^) + РхС*) + ... + ОшР ш 0) . (13)
В качестве указанных функций можно воспользоваться полиномами Чебышева. Полиномы Чебышева, относящиеся к многочленам Якоби и обладающие свойством ортогональности в
1
изложенном выше смысле, определены и ортогональны на [—1,1] с весом р (г) = (1 — t2) 2, и
задаются следующими рекуррентными соотношениями
Т = 1,
Ш = г, (14)
Тк+1(г) = Шк Ц) — Тк—).
Тогда аппроксимирующая функция, в соответствии с (13) и (14) может быть представлена в виде
С) = а0Т0 + а1Т1 ) + а2Т2 )••• + ашТш ) , (15)
где коэффициенты а0, ах, а2...аш находятся исходя из нижеследующей матрицы Грамма:
п+1 X ^)
,=0
Xш £г,(е,)71(//)
1г„(о Хс,
,=0 ,=0
¿вдад ¿СТО
=0
=0
=0
=0
X г, ((,) X г, «)вд,)
(16)
X г, Й )Т, (>,) X г, « )С,
=0 =0
Для нахождения опорных точек (С,, ti) значений стоимости конфиденциальных сведений С{ в соответствующие моменты времени ti используется аппроксимация на основе универсальных семейств решений, и в частности, аппроксимацией на основе семейства распределений К. Пирсона [7].
Определение вероятности НСД. Для оценки величины вероятности НСД - Рнсд воспользуемся методикой, представленной в [10], в соответствии с которой вероятность несанкционированного доступа может быть рассчитана с использованием выражения
Р = Р ■ Р (17)
нсд дос реал V '
где Рдос - вероятность доступа злоумышленника к объектам, содержащим конфиденциальную информацию; Рреал - вероятность реализации злоумышленником угрозы несанкционированного доступа.
Определение вероятности доступа злоумышленника. Вероятность доступа злоумышленника к объектам систем и подсистем АИС может быть рассчитана на основе применения аппарата Марковских случайных процессов с дискретными состояниями и непрерывным временим. При этом выражение для расчета Рдос имеет вид [10]:
г ., 1 лк м
Рдос (0 = т,ах
г-1 й-1 1к
1 ^ п ^
А=1 ]=1 р], ]+1
(18)
Как видно из (18) для расчета вероятности доступа злоумышленника к объектам систем и подсистем АИС необходимо определить интенсивности 1] ]+1 и Ик ]+1, расчет значений которых проводится на основе статистических и экспериментальных данных.
Определение вероятности реализации злоумышленником угрозы несанкционированного доступа. Для оценки вероятности Рреал воспользуемся методикой, предложенной в [4].
Примем во внимание тот факт что, информация ограниченного распространения распределена по всем элементам подсистем и при этом часть информации, находящаяся в ,-м элементе подсистем, не содержится в другом]-м элементе подсистем АИС (,, ] = 1, N , Ф ]) .
Тогда если обозначить Р1 реал как вероятность раскрытия злоумышленником части конфиденциальной информации в ьм элементе подсистем, 1 £, £ N, то итоговая вероятность раскрытия всей конфиденциальной информации может быть рассчитана исходя из следующего выражения [4]:
Р„л = П {(1 - Рреал ) - (1 - ) + РРасп Р' Р«л ' ^ } ■ Рр ,
(19)
где 81 - бинарный показатель равный 0, если среди каналов утечки в >м элементе подсистем, 1 £ , £ N, нет каналов, доступных для использования злоумышленником и равный 1 в противоположном случае; Р1 дат - вероятность распознавания злоумышленником конфиденциаль-
, =1
и__
ных сведений в 1-м элементе подсистем, 1 £' £ N, Ргр - вероятность группировки раскрытых злоумышленником конфиденциальных данных в целостную структуру.
Так как 8' является бинарным показателем со значениями 0 и 1, то как видно из (18) первое слагаемое под знаком произведения в выражении, а именно (1 — Р1реаш ) • (1 — 81) , определяет стойкость системы защиты (возможности системы по парированию действий злоумышленника), второе слагаемое - Рреал • Р'расп -8' определяет возможности злоумышленника по преодолению системы защиты и реализации угроз НСД.
Для определения Р'Шё воспользуемся выражением, предложенным в [11], при этом учтем
тот факт, что для раскрытия конфиденциальной информации в 1-м элементе подсистем, 1 £ ' £ N, злоумышленник может воспользоваться любым актуальным для 1-ого элемента подсистем АИС каналом утечки из множества {1} возможных каналов, тогда:
г
Рреал = тах |(1 — F0))и} (>)М, (2°)
] °
где у } - _]-й канал утечки данных в 1-м элементе подсистем АИС, Е (г) - функция распределения времени обновления системы защиты, требующая от злоумышленника применения новых методов и средств несанкционированных действий к конфиденциальной информации, иу. (г) - функция распределения времени несанкционированного доступа к конфиденциальной
информации для ] -ого канала утечки, 1-время моделирования действий злоумышленника.
Применение методики оценки ущерба от несанкционированного доступа к конфиденциальной информации. Блок-схема нахождения ущерба от утечки конфиденциальных сведений в АИС представлена на рис. 2.
Рисунок 2. Блок-схема оценки ущерба от утечки конфиденциальных сведений в АИС
Как видно из рис. 2, основными этапами при оценке являются расчет потенциала КИ и вероятности НСД злоумышленника. На основе полученных значений производится оценка значения вероятного ущерба и осуществляется анализ полученного значения. При превышении допустимого уровня вероятного ущерба проводится комплекс мероприятий по снижению потерь собственника КИ. В случае получения уровня вероятного ущерба равного или меньшего значения, чем допустимый уровень, происходит конец расчета.
На основе представленной блок-схемы разработана программа по оценке ущерба от утечки конфиденциальных сведений в АИС.
Рассмотрим зависимость вероятности доступа злоумышленника к КИ - Р^ос от интенсивности воздействий злоумышленника X при различных значениях параметра - л. Исходные данные: X =0-0,004; л=(0,0001, 0,0004, 0.001, 0.004); ш=1; =2000, п=4. В соответствии с указанными значениями параметров были получены следующие результаты (см. рис. 3):
, 0.0001)
, 0.0004)
р^о, 0.001)
р^о, 0.004)
Рисунок 3. Зависимость вероятности доступа злоумышленника к КИ от изменения интенсивности воздействий злоумышленника - X
Как видно из рис. 3, увеличение интенсивности воздействий злоумышленника на объекты системы защиты X ведет к росту вероятности доступа. При этом только при относительно больших значениях параметра парирования - л рост вероятности доступа является плавным Л'л=0,004, малые значения параметра парирования ведут к резкому росту вероятности доступа злоумышленника ц=0,0001. Этот факт показывает, что слабая система защиты с малым коэффициентом парирования является более уязвимой для злоумышленника и для ее взлома требуется меньше времени и средств, чем для системы с большим коэффициентом парирования.
Рассмотрим зависимость вероятности доступа злоумышленника Р^ос от изменения интенсивности парирования - л при различных значениях параметра X. Исходные данные ¡л=0-0,004; X =(0,0001, 0,0004, 0.001, 0.004); ш=1; =2000, п=4. В соответствии с указанными значениями параметров были получены следующие результаты (см. рис.4).
Как видно из рис. 4, увеличение значений парирования ведет к уменьшению вероятности доступа злоумышленника вплоть до значений близких к нулю. При этом, чем меньше значение интенсивности воздействий злоумышленника X, тем более резко падает значение вероятности доступа (^=0,0001). Это связано с тем, что система защиты с большим коэффициентом парирования является менее уязвимой для злоумышленника и для ее взлома требуется больше времени и средств, нежели для системы с меньшим коэффициентом парирования.
т
Рисунок 4. Зависимость вероятности доступа злоумышленника от изменения интенсивности парирования - ц
Рассмотрим зависимость вероятности доступа злоумышленника Р^ос от изменения его
квалификации ю. Исходные данные: X =0.0025; ¡л=0.025; ю=0-1; =2000, п=4. В соответствии с указанными знач5ениями параметров были получены следующие результаты:
Рисунок 5. Зависимость вероятности доступа злоумышленника к КИ от его квалификации
Как видно из рис. 5, чем выше квалификация злоумышленника, тем больше значение вероятности доступа к КИ. Характер данной зависимости показывает значение вероятности доступа для дилетанта (0 < (О £ 0.4), злоумышленника со средним уровнем квалификации (0.4 < ОО £ 0.7) и профессионала (0.7 < ОО £ 1). Исследуемая зависимость показывает, что при прочих равных условиях, в рамках рассматриваемого промежутка времени, квалифицированный злоумышленник более вероятно реализует угрозу безопасности КИ, чем менее квалифицированный.
Рассмотрим зависимость вероятности НСД в случае, когда КИ декомпозируется на несколько частей п. Исходные данные: п=1-5; =2000; X=0.0025. В соответствии с указанными значениями параметров были получены следующие результаты (см. рис. 6):
0,5
0,45
0,4
0,35
0,3
0,25
0,2
0,15
0,1
0,05
0
Л
Рисунок 6. Зависимость вероятности Рнсд от изменения количества частей КИ
Как видно из рис. 6, при увеличении количества частей КИ в значительной мере уменьшается вероятность НСД злоумышленника. Рассмотрим случай влияния на вероятности Рнсд процесса перехода от декомпозиции с 1-ой части КИ на 1+1 т. е. А = Рнсд (г +1) - Рнсд (/) . Результаты моделирования представлены на рис. 7.
Рисунок 7. Диаграмма уменьшения вероятности Рнсд при переходе от декомпозиции с 1 частей КИ на 1+1
Как видно из рис. 7,значительное снижение вероятности Рнсд происходит вплоть до декомпозиции КИ на 4 части. В то же время, как видно из рис. 6, при декомпозиции КИ на 2 и 3 части вероятность НСД составляет величину в пределах 10 %, что является достаточно высоким значением. Дальнейшее увеличение декомпозиции приводит к уменьшению вероятности НСД до значений единиц и десяток единиц процентов. Это связано с тем, что для доступа к распределенной КИ злоумышленнику приходится применять большее количество методов и средств, а также требуется значительно больше времени для несанкционированного доступа к различным частям КИ. С учетом того, что декомпозиция КИ на отдельные части связана с дополнительными финансовыми затратами и является довольно трудоемкой операцией, то, как показывают исследования, декомпозиция на 3 составные части является наиболее оптимальной.
Рассмотрим зависимость вероятности НСД - Рнсд от времени воздействия злоумышленника - ^ при различных значениях параметра интенсивности X. Исходные данные: п=4; t=0-2000; X=(0.0025;0,01 ;0.05)
1
2
3
4
5
1
2
3
4
Результаты моделирования представлены на рис. 8.
г
Рисунок 8. Зависимость вероятности НСД - Рнсд от изменения времени воздействия
злоумышленника
Как видно из рис. 8, с течением времени вероятность раскрытия КИ растет. Чем выше интенсивность воздействия, тем больше выражен рост значений Рнсд . При этом увеличение интенсивности X приводит также к значительному росту вероятности Рнсд . Анализ зависимости показывает, что после определенного периода наблюдается некоторая стабилизация, когда дальнейшее значительное увеличение времени воздействия не приводит к значительному увеличению вероятности раскрытия КИ (для значения интенсивности X=0,0025 это справедливо после г>1200). Чем выше интенсивность воздействий X, тем позже наступает такой момент времени.
Представленная математическая модель позволяет собственнику КИ определить величину вероятного ущерба и выработать стратегию по снижению потерь в результате НСД злоумышленника. Эффективность и гибкость дают возможность промоделировать множество возможных вариантов развития событий и выбрать наиболее оптимальную стратегию защиты от утечки конфиденциальных сведений, а также позволяют выработать рекомендации по улучшению системы защиты.
ЛИТЕРАТУРА
1. Росенко А. П., Аветисов Р. С. Методика оценки величины ущерба от воздействия на автоматизированную информационную систему внутренних угроз // Известия ТРТУ. Выпуск «Информационная безопасность». - Таганрог: Изд-во ТРТУ, 2006. - С. 33-37.
2. Росенко А. П., Аветисов Р. С. Математическая модель исследования величины ущерба от воздействия на конфиденциальную информацию внутренних угроз // Вестник Ставропольского государственного университета. Выпуск 47. Часть 2. - Ставрополь: Изд-во СГУ, 2006. - С. 23-29.
3. Росенко А. П. Теоретические основы анализа и оценки влияния внутренних угроз на безопасность конфиденциальной информации: Монография - М.: Гелиос АРВ, 2008.
4. Бугров Ю. Г. Формальная оценка ущерба от утечки информации // Приложение к журналу «Радиотехника». - 1999. - С. 134-138.
5. Козырев А. Н., Макаров В. Л. Оценка стоимости нематериальных активов и интеллектуальной собственности. - М.: Интерреклама, 2003.
6. Смирнова С. А. Оценка интеллектуальной собственности. - М.: Финансы и статистика, 2000.
7. Аветисов Р. С. О методике определения прибыли от использования конфиденциальной информации по назначению // Материалы 54-й научно-методической конференции преподавателей и студентов «Университетская наука - региону». - Ставрополь: Изд-во СГУ, 2009. - С. 103-107
8. Юрашев В. В. Об интегрировании в современный маркетинг компьютерных технологий, основанных на математических моделях //Маркетинг и маркетинговые исследования в России. 2002. № 2. - С. 9-15.
9. Бахвалов Н. С., Жидков Н. П., Кобельков Г. М. Численные методы. - М.: Наука, 2003.
10. Аветисов Р. С. К вопросу оценки ущерба в автоматизированных информационных системах // Материалы X Международной научно-практической конференции «Информационная безопасность». Ч.1. - Таганрог: Изд-во ТРТУ, 2008. - С. 164-169.
11. Костогрызов А. И., Петухов А. В. Основы оценки, обеспечения и повышения качества выходной информации в АСУ организационного типа. - М.: Вооружение. Политика. Конверсия, 1994.
Об авторах
Росенко Александр Петрович, Ставропольский государственный университет, кандидат технических наук, доцент, заведующий кафедрой компьютерной безопасности. Сфера научных интересов - инженерная психология, эргономика, анализ и синтез автоматизированных информационных систем с позиций системного подхода, математические модели ЗИ, математическое моделирование процессов, протекающих в АИС при воздействии внутренних угроз безопасности конфиденциальной информации. [email protected]
Аветисов Руслан Саркисович, Ставропольский государственный университет, аспирант. Сфера научных интересов - математические модели, математическое моделирование, защита информации. [email protected]