7
МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
УДК 007.51
ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБЛАЧНЫХ СЕРВИСАХ НА ОСНОВЕ ЛИНЕЙНОГО ПРОГРАММИРОВАНИЯ И.А. Зикратов, С.В. Одегов, А.В. Смирных
В работе рассмотрены теоретические аспекты построения защищенных облачных сервисов для обработки информации различной степени конфиденциальности. Предложен новый подход к обоснованию состава средств защиты информации в распределенных вычислительных структурах, заключающийся в представлении задачи оценки рисков как экстремальной задачи принятия решений. Доказывается, что использование метода линейного программирования минимизирует риски информационной безопасности при заданных значениях показателей защищенности с соблюдением экономического баланса на содержание средств защиты и стоимости предоставляемых услуг. Приводится пример, иллюстрирующий полученные теоретические результаты.
Ключевые слова: риски, информационная безопасность, облачные вычисления, целевая функция, угрозы.
Проблема обеспечения информационной безопасности (ИБ) стоит в ряду первостепенных задач при проектировании информационно-телекоммуникационных систем. Практика показывает, что в настоящее время ядро сетевой архитектуры изменилось с локализованных автономных вычислений на среду распределенных вычислений, что многократно увеличило ее сложность. Широкое распространение получили облачные вычисления - модель обеспечения сетевого доступа к общему пулу ресурсов, которые могут быть оперативно освобождены с минимальными эксплуатационными затратами [1].
Практика показывает, что пользователи облачных технологий передают на аутсорсинг функции хранения и обработки информации различной степени конфиденциальности. В этом случае к поставщику услуг могут предъявляться требования к обеспечению приемлемых уровней рисков ИБ, которые будут зависеть от ценности информационных активов. Следовательно, внедрение облачных технологий формирует актуальную проблему создания методологического подхода для обеспечения ИБ, в частности -снижения рисков ИБ в распределенных системах обработки и хранения данных. Указанная задача решается путем:
- выявления, анализа и оценки рисков;
- снижения их до приемлемого уровня;
- внедрения адекватных механизмов именно для тех систем и процессов, для которых они необходимы
Выполнение этих этапов позволяет сделать систему безопасности экономически результативной, актуальной и способной реагировать на возникающие угрозы.
Существующие международные стандарты в области менеджмента риска ИБ допускают использование как количественных, так и качественных методов оценки рисков. Наиболее известный вариант решения этой задачи, предлагаемый стандартами, состоит в умножении вероятности реализации угрозы на значение величины ущерба с последующим сопоставлением полученного значения с заданной шкалой [3]. Задача снижения риска в общем виде трактуется как действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском [4].
Таким образом, поставщикам услуг облачных сервисов необходимо, с одной стороны, обеспечить обслуживание существующего потока заявок на обработку информации различной степени конфиденциальности, экономическую результативность облачного сервиса, рациональное распределение ресурсов в облаке, и, с другой стороны, предпринять действия для снижения, а по возможности - минимизации рисков ИБ.
В настоящей работе деятельность по минимизации рисков ИБ в облачных сервисах рассмотрена как решение экстремальной задачи, и предложен метод ее формализации на основе математического аппарата для этого класса задач - линейного программирования (ЛП).
Как известно, ЛП представляет собой набор переменных х = (хь х2, ... хп) и функции этих переменных fx) = f(x\, х2, ... хп), которая носит название целевой функции [5, 6]. Ставится задача: найти экстремум (максимум или минимум) целевой функции fx) при условии, что переменные x принадлежат некоторой области G: (fix) => extr ( xeG
В зависимости от вида функции fx) и области G различают разделы математического программирования: квадратичное программирование, выпуклое программирование, целочисленное программирование и т.д. ЛП характеризуется тем, что
Введение
[2].
- функция/(.х) является линейной функцией переменных х1, х2, ... хп;
- область О определяется системой линейных равенств или неравенств.
Учитывая особенности метода ЛП, представим формальную постановку задачи для оценки рисков ИБ в облаке, исходя из следующих рассуждений.
Оценка рисков ИБ в облачном сервисе
Пусть в облаке может обрабатываться информация различной степени конфиденциальности 5 = 1, 2, ..., М, где М- количество степеней конфиденциальности информации. Следовательно, облачный сервис должен иметь в своем составе ресурсы различного уровня защищенности, к = 1, 2, ..., М. Очевидно, что согласно мандатной модели разграничения доступа при обработке информации 5-й степени конфиденциальности на ресурсе к-го уровня защищенности должно выполняться требование
5 <к . (1)
Для решения задачи квантизации ресурсов облака по уровням защищенности используется подход, представленный в работе [7].
Пусть известны стоимости затрат Ск на содержание единицы ресурса различных уровней защищенности С1, С\,..., СМ и заданы стоимости обработки единицы информации С° различной степени конфиденциальности С°, С%,..., Со. Известен также поток заявок I = {1г,12,..., 15} на обработку информации различной степени конфиденциальности.
Наиболее распространенный способ вычисления риска (Я) определяется следующим произведением [4]:
Я = Ъ Ъ С] ,
где Р, - вероятность успешной реализации 1-й угрозы; С] - оценка ущерба (стоимости) при успешной реализации 1-й угрозы; / = 1..п - количество вероятных угроз.
Введем ограничение. Будем рассматривать систему при наличии одной угрозы. Очевидно, что величину ущерба при реализации угрозы на информацию различной степени конфиденциальности необходимо оценивать дифференцированно. Тогда, зная величины ущерба С\ при воздействии угрозы на информацию 5-й степени конфиденциальности, и, оценив вероятности реализации угрозы рассматриваемого типа применительно к ресурсу к-го уровня защищенности, построим матрицу рисков г:
Т1 1 Т15
; 4 ; , (2)
Тк 1 Тк 5.
где г5к - риск ИБ при воздействии угрозы на ресурс /-го класса, обрабатывающий информацию]-й степени конфиденциальности.
Требуется определить, сколько единиц ресурсов каждого уровня хк надо иметь в составе облачного сервиса, чтобы риски ИБ при воздействии заданной угрозы были минимальны. С учетом требования (1) целевая функция принимает следующий вид:
Х1Т11 + Х2Т21+Х2Т22 + Х3Т31 + Х3Т32 + Х3Г33+- ■ +ХМТММ тш .
При этом система ограничений должна обеспечивать выполнение следующих условий:
- обеспечение обслуживания всего потока заявок
Ех^ >1,
- облачный сервис в искомой конфигурации должен быть экономически рентабелен
Е Е х с >Е Х] С-
1 ] 1
Последнее ограничение обусловлено тем обстоятельством, что допускается обработка информации низкой степени конфиденциальности на ресурсах высших уровнях защищенности, так, что стоимость обработки для заказчика услуг при этом не должна возрастать. Исходя из этого, для степени конфиденциальности 5 = /, при обработке на ресурсе уровня к = ] (/>/), стоимость обработки должна быть равной С°. Очевидно, система ограничений должна быть дополнена требованиями целостности и не отрицательности величин, исходя из их физического смысла.
Таким образом, в рамках предлагаемого подхода должны быть решены следующие задачи:
- квантизация ресурсов облачного сервиса по уровням защищенности;
- идентификация уязвимостей и угроз;
- классификация обрабатываемой информации по степеням конфиденциальности;
- количественная оценка вероятности реализации угрозы и влияние на состояние облачного сервиса потенциальных угроз;
- определение экономического баланса между затратами на содержание системы защиты информации (СЗИ) ресурса облачного сервиса и предоставляемой стоимостью услуг.
Пример оценки рисков ИБ при использовании ЛП
Проиллюстрируем полученный результат тривиальным примером. На рисунке представлен фрагмент распределенной автоматизированной системы в составе которой имеются ресурсы различной степени защищенности - группы А, В и С, в зависимости от СЗИ, реализованной на данном ресурсе:
- 1-я группа (А) - ресурсы с низким уровнем защищенности;
- 2-я группа (В) - ресурсы с высоким уровнем защищенности;
- 3-я группа (С) - защищенные ресурсы.
Злоумышленник
Рисунок. Фрагмент распределенной автоматизированной системы
Стоимость затрат на содержание единицы ресурса п-ой группы: А = 1, В = 3, С = 8 условных единиц. Пусть в рассматриваемой системе обрабатывается информация различных категорий конфиденциальности 4 (^ = 1, 2, 3):
- - открытая информация;
- - конфиденциальная информация;
- - критически важная информация.
Согласно неравенству (1), информация категории обрабатывается на ресурсах любой группы, информация категории I 2 может обрабатываться на ресурсах групп В и С. Информация категории 13 обрабатывается только на ресурсах группы С. Стоимость обработки единицы информации 5-ой степени конфиденциальности составляет 1г = 2, 12 = 5 и 13 = 10.
Масштабирование ресурсов, требуемых для обработки информации 5-ой степени конфиденциальности осуществляется при помощи заявок I. Поток заявок составляет не менее: I = 200; 12 = 80; 13 = 40 единиц.
Пусть из общей статистики угроз вида У известна вероятность реализации угрозы Р. для каждого типа ресурсов РА , РВ и РС . Очевидно, что Р. реализации угрозы зависит от уровня защищенности ресурса, но не зависит от степени конфиденциальности информации 5, обрабатываемой на ресурсе. Составим матрицу рисков (2). Пусть значения вероятности Р. и уровня ущерба С для различных групп ресурсов и степеней конфиденциальности защищаемой информации: РА = 1, РВ = 0,5 и РС = 0,1 и С = 2, С\ = 5 и С\ = 10. Тогда элементы матрицы рисков ц5 будут иметь значения, представленные в таблице.
Проведем расчет количества емкости заявок 1п. На ресурсах группы А могут обрабатываться категории информации 11 = 200; на ресурсах группы В обрабатываются заявки 11 и 12 = 280 и на ресурсах группы С могут обрабатываться только заявки категории 13 = 80. Общее количество заявок 1п составляет 320. Решение задачи симплекс-методом дает следующий результат:
- количество единиц ресурса группы А = 40 единиц;
- для группы В х 2 = 180 единиц;
- для группы С = 100 единиц.
Анализ результатов показывает, что полученное решение:
- содержит однозначно трактуемые количественные оценки состава ресурсов, различной степени защищенности в облачном сервисе;
- обеспечивает поток заявок на обработку информации различной степени конфиденциальности;
- не противоречит известным моделям разграничения доступа.
Открытая Конфиденциальная Критическая
информация (11 ) информация (12 ) информация (13 )
Ресурс группы A 2 5 10
Ресурс группы B 5 2,5 5
Ресурс группы C 0,2 0,5 1
Таблица. Матрица рисков ИБ
При этом обеспечивается минимизация рисков ИБ для заданных показателей защищенности и матрицы потерь при соблюдении экономического баланса на содержание СЗИ и стоимости предоставляемых услуг на обработку конфиденциальной информации.
Заключение
Широкое распространение облачных вычислений на рынке поставщиков IT-услуг приводит к необходимости совершенствования научно-методического аппарата для построения систем защиты информации. В работе впервые предложен метод для количественного обоснования состава ресурсов различного уровня защищенности в облачном сервисе. Предлагаемый новый подход позволяет поставщику услуг на основе матрицы рисков, требований заказчиков к обеспечению конфиденциальности, целостности и доступности информации, соблюдения экономических интересов осуществлять оценку и минимизацию рисков информационной безопасности в облачных сервисах. Выполнив подобные расчеты для всех видов угроз безопасности в соответствии с моделью угроз можно принимать обоснованные решения для конфигурации емкости облачных сервисов и ресурсов различного уровня защищенности.
Применимость методики обусловлена использованием апробированного математического аппарата, непротиворечивостью полученных результатов, а также отражает требования международных стандартов в области оценки рисков. Кроме того, разработанный метод оценки рисков соответствует основным постулатам мандатной модели разграничения доступа. Дальнейшим направлением научной работы являются:
1. оценка чувствительности полученных результатов, так как известным недостатком линейного программирования является высокая чувствительность к изменению исходных данных;
2. возможность адаптации предложенного метода к ролевой модели разграничения доступа, как наиболее распространенной в облачных сервисах.
Литература
1. Jansen W., Granee T. Guidelines on Security and Privacy in Public Cloud Computing. Draft NIST Special Publication 800-144. - Gaithersburg, 2011. - 52 p.
2. Catteddu D., Hogben G. Cloud Computing: Benefits, risks and recommendations for information security. -Heraklion: ENISA, 2009. - 125 p.
3. Марков А., Цирлов В. Управление рисками - нормативный вакуум информационной безопасности [Электронный ресурс]. - Режим доступа: http://www.osp.ru/os/2007/08/4492873/, свободный. Яз. рус. (дата обращения 30.11.2012).
4. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. - Введ. 30.11.2010. - М.: Стандартин-форм, 2011. - 51 с.
5. Хемди А. Таха. Введение в исследование операций. - М.: Вильямс, 2007. - 912 с.
6. Вентцель Е.С. Введение в исследование операций. - М.: Советское радио, 1964 - 391 с.
7. Зикратов И.А., Одегов С.В. Оценка информационной безопасности в облачных вычислениях на основе байесовского подхода // Научно-технический вестник информационных технологий, механики и оптики. - 2012. - № 4 (80). - С. 121-126.
Зикратов Игорь Алексеевич - Санкт-Петербургский национальный исследовательский университет
информационных технологий, механики и оптики, доктор технических наук, доцент, зав. кафедрой, [email protected] Одегов Степан Викторович - Санкт-Петербургский национальный исследовательский университет
информационных технологий, механики и оптики, аспирант, odegov. sv@gmail. com
Смирных Александр Валентинович - Санкт-Петербургский национальный исследовательский университет
информационных технологий, механики и оптики, ст. преподаватель, smirnykh_av@spb. power-m. ru