УДК 004.056 А.А. Конев
Подход к построению модели угроз защищаемой информации
Предложен подход к построению модели угроз, основанный на использовании схемы информационных процессов. Информационные процессы построены с учетом действий с защищаемой информацией и среды ее распространения. При этом учитывается преобразование формы представления информации при переходе из одной среды в другую.
Ключевые слова: информационная безопасность, модель угроз, информационный процесс.
Построение модели угроз является одним из обязательных этапов предпроектного обследования. При этом под моделью угроз чаще всего понимают перечень угроз для конкретной информационной системы [1]. Данная работа посвящена описанию подхода к построению формализованного представления модели угроз, на основе которого будет конкретизироваться перечень угроз информационной системы.
Основное отличие предлагаемого подхода заключается в использовании в качестве базиса перечня информационных процессов, происходящих с защищаемой информацией. Выделены три информационных процесса: хранение, обработка и доставка. При этом возможно вовлечение в процесс передачи информации двух информационных процессов, связанных с обработкой (рис. 1).
Переходы между состояниями хранение и обработка - выдача хранимого носителя информации или документа и сдача его на хранение, между обработками в двух средах - чтение и запись, между обработкой и доставкой - отправка и получение информации, представленной в формате для пересылки (сетевой пакет, пакет бумажных документов, пересылаемый по почте и др.).
Рис. 1. Типовая схема информационных процессов
В предлагаемом подходе классификация сред распространения информации отличается от классификации, приведенной в модели угроз ФСТЭК [2]. Предлагается учитывать следующие среды: визуальную, акустическую, виртуальную (байты, протоколы и т.п.), сигналы, физическую.
В подходе вводится дополнительная физическая среда, в нее входит представление информации на физическом носителе. Физическим носителем может являться, например, компакт-диск, жесткий диск, ШВ-накопитель, аудиокассета, видеокассета. Информация на такой носитель записывается в виде сигналов, но в случае отключения носителя от устройства, в котором оно используется, носитель становится статическим объектом, не передающим и не принимающим сигналы. Таким образом, стоит учитывать не только те угрозы, которые применимы к подключенному носителю, а еще и угрозы, относящиеся к носителю как к физическому объекту. Это такие угрозы, как, например, хищение носителя, нарушение его целостности и др.
На основе данной типовой схемы были построены ее частные случаи - схема информационных процессов с физическим доступом (рис. 2), схема информационных процессов с использованием средств автоматизации (рис. 3) и схема информационных процессов без использования средств автоматизации (рис. 4). В разработанной модели угроз под видом представления информации подразумевается совокупность состояния (хранение, обработка, доставка) и среды.
*?Служба доставки) _д курьер
физ. доступ физ. доступ
Рис. 2. Схема информационных процессов с физическим доступом
Рис. 3. Схема информационных процессов с использованием средств автоматизации
аналоговым сигнал
акустическая среда ♦
Преобразователь Магнитофон, видеокамера
визуальная среда
Рис. 4. Схема информационных процессов без использования средств автоматизации
Для каждой среды были определены возможные носители информации (табл. 1).
Устройства хранения цифровой и аналоговой информации являются физическими объектами, поэтому далее эти пункты будут объединены в хранении физической среды.
Таблица 1
____________________________Возможные носители в каждой среде__________________________
Условное обозначение Среда Состояние Возможные носители
Р* Физическая Хранение Жесткий диск, ЦЖ-накопители, аудио -видеокассеты, бумажный носитель
Уг* Виртуальная Хранение Файловая система, база данных
Рр Физическая Обработка Жесткий диск, ЦЖ-накопители, аудиовидеокассеты, бумажный носитель
У2р Визуальная Обработка Человек, бумажный носитель
Ар Акустическая Обработка Человек
УГр Виртуальная Обработка Адресное пространство
Sd Сигналы Доставка Сетевой кабель, воздух
Ра Физическая Доставка Жесткий диск, ЦЖ-накопители, аудиовидеокассеты, бумажный носитель
УгЛ Виртуальная Доставка Сетевой протокол
Бумажный носитель относится к физической среде, т.к. к нему применимо физическое воздействие. При этом в отличие от других физических носителей, бумажный носитель используется в визуальной среде, т.к. на нем можно хранить информацию, доступную для человека без использования дополнительных преобразователей.
Для построения общего графа был проработан полный список возможных переходов. В ходе работы были проанализированы все переходы между состояниями и были выделены все переходы, которые могут быть осуществлены. Связи представлены в виде матрицы смежности (табл. 2).
Т аблица 2
Матрица смежности для переходов
Р* Уг* рр УгР АР УГр Sd Ра Уга
Р* 0 0 1 1 1 1 0 0 0
Уг* 0 0 0 0 0 1 0 0 0
рр 1 0 1 0 0 0 0 1 0
У?р 1 0 0 1 0 1 1 0 0
Ар 1 0 0 0 1 1 1 0 0
р & 1 1 0 1 1 0 1 0 1
Sd 0 0 0 1 1 1 0 0 0
Ра 0 0 1 0 0 0 0 0 0
Уга 0 0 0 0 0 1 0 0 0
Обозначения: 0 - связь невозможна; 1 - связь возможна.
Переходы из табл. 2, в которых информация меняет форму своего представления, осуществляются с помощью преобразователей. Все эти переходы и преобразователи, через которые они осуществляются, приведены в табл. 3.
Во всех случаях использования преобразователей для изменения вида представления информации, приведенных в табл. 3, имеется переход в среду сигналов через побочные электромагнитные излучения и наводки. Это приводит к появлению дополнительных угроз конфиденциальности и целостности.
Таблица 3
Возможные преоб разователи при переходе между средами
Состояние в рамках среды 1 Состояние в рамках среды 2 Возможные преобразователи
Р* У^ Видеокамера, видеопроигрыватель
Р* Ар Магнитофон, диктофон
Р* УГр Контроллер, порты
УГр Уzp Веб-камера, монитор, принтер
УГр Ар Динамик, микрофон, вибродатчик
Sа Уг УГр Сетевая карта
Sа Ар Телефон
Sа У2р Устройства передачи видеосигнала
На основе матрицы смежности, приведенной в табл. 2, была построена общая схема информационных процессов (рис. 5).
На рис. 5 в овальных фигурах изображены состояния в каждой среде, прямоугольными блоками изображены преобразователи. Замыкание переходов из блоков с физической обработкой, визуальной обработкой и акустической обработкой в те же самые блоки означает переход в рамках одной среды и одного состояния на другой носитель информации. На основе схемы информационных процессов построен граф переходов (рис. 6).
При построении модели угроз, как и в модели угроз безопасности ФСТЭК, было выделено три основных типа угроз: угрозы конфиденциальности, угрозы целостности, угрозы доступности.
Но в отличие от модели угроз ФСТЭК вводится дополнительная классификация угроз.
Классы угроз конфиденциальности: 1) подмена получателя в состоянии среды №1; 2) подмена получателя в состоянии среды №2; 3) подмена канала; 4) контроль канала.
Классы угроз целостности: 1) подмена отправителя в состоянии среды №1; 2) подмена отправителя в состоянии среды №2; 3) подмена канала; 4) воздействие на канал.
V хранение (Уг8)
Рис. 5. Общая схема информационных процессов
Классы угроз доступности: 1) недоступность носителя в состоянии среды №1; 2) недоступность носителя в состоянии среды №2; 3) нарушения канала передачи; 4) недоступность преобразователя.
Класс угроз конфиденциальности «контроль канала» и класс угроз целостности «воздействие на канал» не существуют в случае перехода, происходящего в физической среде. Угрозы доступности не существуют в случае перехода в рамках одного состояния, одной среды.
В итоге было разработано формализованное представление модели угроз. Формализованное представление основано на использовании следующих множеств: 1) множество состояний в рамках среды;
2) множество возможных переходов; 3) множество типов угроз; 4) множество классов угроз.
Все возможные состояния приведены в табл. 1. В информационном процессе участвуют два состояния в одной или разных средах. Обозначим множество состояний первой среды - Q, а множество состояний второй среды, участвующей в информационном процессе, - V. Множества Q и V будут эквивалентными (множество V состоит из тех же элементов, что и множество Q).
Множество состояний в первой среде:
Q = {Г,, Уг,, Гр, Г2Р, Ар, Угр, Г,, Уг,}.
Множество состояний во второй среде:
V = {Г,, Уг,, Гр, У2Р, Ар, Угр, &, Г, Уг,}.
Для того чтобы получить множество всех возможных переходов из одного состояния в другое, необходимо произвести декартово перемножение множеств Q и V:
QxV = {(Г,, Г,), (Г,, Уг,), (Г,, Гр), (Г,, У2Р), (Г,, Ар), (Г,, Угр), (Г,, &), (Г,, Г), (Г,, Уга), (Уг,, Г,), (Уг,, Уг,), (Уг,, Гр), (Уг,, Ухр), (Уг,, Ар), (Уг,, Угр), (Уг,, Б,), (Уг,, Р), (Уг,, Уга), (Ер, Г,), (Гр, Уг,), (Гр, Гр), (Гр, Ухр), (Гр, Ар), (Гр, Угр), (Гр, БД (Гр, Г,), (Гр, Уга), (Ур Г,), (Ур Уг,), (Ур Гр), (Ур Ухр), (Ур Ар),
Рис. 6. Граф переходов
(Ухр, Угр), Ур, Б,), (Ухр, Го), (Ухр, Уго), (Ар, Г,), (Ар, Уг,), (Ар, Гр), (Ар, Ухр), (Ар, Ар), (Ар, Угр), (Ар, Б,),
(Ар, Г), (Ар, Уга), (Угр, Г,), (Угр, Уг,), (Угр, Гр), (Угр, Ухр), (Угр, Ар), (Угр, Угр), (Угр, Б,), (Угр, Г), (Угр, Уга),
(Б,, Г,), (Б* Уг,), (Б,, Гр), (Б,, Ухр), (Б,, Ар), (Б,, Угр), (Б* Б,), (Б* Г,), (Б* Уга), (ГА Г,), (Г,, Уг,), (Г, Гр),
(Г* Ухр), (Г, Ар), (Г, Угр), (Г,, Б,), (Г, Г,), (Г,, Уг,), (УгА Г,), (УгА Уг,), (УгА Гр), (УгА Ух]), (УгА Ар),
(УгА Угр), (УгА Ба), (УгА Г), (УгА Уг,)}.
Поскольку такие элементы полеченного произведения, как (Г,, Гр) и (Гр, Г,) будут в конечном итоге иметь одни и те же угрозы, можно считать подобные элементы равными. Обозначим множество возможных переходов в полученной ранее общей схеме информационных процессов как Р. Множество Р будет являться частью декартового произведения множеств Q и V:
Р с = {(Г,, Гр), (Г,, Ухр), (Г,, Ар), (Г,, Угр), (Уг,, Угр), (Гр, Гр), (Гр, Г,), (Ухр, Ухр), (Ухр, Угр),
(Ухр, Б,), (Ар, Ар), (Ар, Угр), (Ар, Б,), (Угр, Б,), (Угр, Уг,)}.
Для удобства обозначим каждый переход Рг, г от 1 до 15.
(Г,, Гр) = Рь (Г,, Ухр) = Р2, (Г,, Ар) = Р3, (Г,, Угр) = Р4, (Уг, Угр) = Р5, (Гр, Гр) = Рб, (Гр, Г,) = Ръ
Обработка, виртуальная среда (УГр).
Вывод 1
Ввод 2
(Ухр, Ухр) = Р8, (Ухр, Угр) = Р9, (Ухр, Б*) = Р10, (Ар, Ар) = Рп, (Ар, Угр) = Ри, (Ар, Ба) = Ри, (Угр, Б,) =Р1Л, (Угр, Уга) = Р15.
Р = {P1, P2, P3, P4, P5, Pб, P7, P8, P9, P10, P11, P12, P13, P14, Р15}.
Множество типов угроз (множество Т является семейством множеств, так как включает элементы, которые являются множествами): Т = {К, С, А}, где К - угрозы конфиденциальности; С - угрозы целостности; А - угрозы доступности. Множество классов угроз конфиденциальности: К = {К1, К2, К3, К4}. Множество классов угроз целостности: С = {С1, С2, С3, С4}. Множество классов угроз доступности: А = {А1, А2, А3, А4}. Для получения угрозы необходимо произвести декартово перемножение множеств Р и Т. Обозначим множество угроз - и: и с (Р х Т).
В качестве примера далее приведены угрозы для перехода Р9 (рис. 7). Обработка, виртуальная среда (Угр) - обработка, визуальная среда (Ухр).
Объекты, участвующие в описании перехода: виртуальное адресное пространство процесса (обработка, виртуальная среда); бумажный носитель, человек (обработка, визуальная среда); преобразователь 1 -устройства вывода (монитор, принтер); преобразователь 2 - устройства ввода (клавиатура, мышь, сканер, цифровая камера).
Угрозы конфиденциальности: 1) подмена информации в виртуальном адресном пространстве процесса; 2) получение информации злоумышленником;
3) вывод информации на несанкционированный преобразователь (монитор, принтер), съем побочных излучений с преобразователя; 4) вывод информации за пределы санкционированной зоны.
Угрозы целостности: 1) получение информации из виртуального адресного пространства несанкционированного процесса; 2) ввод информации злоумышленником; 3) получение информации с несанкционированного преобразователя (например, клавиатуры); 4) помехи, ошибки.
Угрозы доступности: 1) недоступность виртуального адресного пространства; 2) отсутствие доступа к ЭВМ у санкционированного пользователя; 3) недоступность преобразователя; 4) недоступность канала.
В ходе работы была построена типовая схема информационных процессов и ее частные случаи -схема информационных процессов с физическим доступом, схема информационных процессов с использованием средств автоматизации и схема информационных процессов без использования средств автоматизации. Подготовлена общая схема информационных процессов, которая включает в себя 9 состояний в различных средах и 15 переходов между этими состояниями. Общая схема является основой в разработанной модели угроз. Выделены типовые угрозы: конфиденциальности, целостности и доступности. Суммарно получено 12 классов угроз, возникающих при работе с информацией. Таким образом, сформирован новый подход к построению модели угроз защищаемой информации.
Вывод 2 ввод 1
/ Обработка, визуальная I среда (У2р).
Рис. 7. Переход «Обработка, виртуальная среда - обработка, визуальная среда»
Работа выполнена в рамках проекта 7.701.2011 (проект 1/12) при поддержке Министерства образования и науки Российской Федерации.
Литература
1. Принципы моделирования механизмов воздействия вредоносных программы на защищенные информационные системы в интересах оценки угроз их безопасности / О.С. Авсентьев, В.С. Александров, Г.И. Рябин и др. // Доклады ТУСУРа. - 2008. - № 2(18). - С. 135-136.
2. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК. - Введ. 2008-15-02.
Конев Антон Александрович
Канд. техн. наук, доцент каф. комплексной информационной безопасности
электронно-вычислительных систем ТУСУРа
Тел.: 8 (382-2) 41-34-26
Эл. почта: [email protected]
Konev A.A.
Approach to creation protected information model
Approach to creation model, based on the use of information processes schemes, is suggested. Information processes are constructed taking into account actions with protected information and its distribution environments. This takes into account conversion of the information presentation in passing from one medium to another.
Keywords: information security, threat model, information process.