О.М. Булгаков,
доктор технических наук, профессор
В.П. Удалов,
кандидат физико -математических наук, доцент
Е.А. Кучмасов,
ФКУ «Главный центр связи и защиты информации МВД России»
ПРИНЦИПЫ ПОСТРОЕНИЯ МОДЕЛИ НАДЕЖНОСТИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
THE PRINCIPLES OF THE INFORMATION PROTECTION SYSTEM
Показана возможность применения методов теории надежности технических систем к построению моделей надежности систем защиты информации. В общем виде получены выражения для вероятности безотказной работы систем защиты информации и ее основных компонентов. Рассмотрена возможность оптимизации систем защиты информации по различным параметрам в рамках предложенной модели.
The structure of the information protection system of the informatization object is considered. The probability of the system reliable operation taking into account the cause of the physics of failures of the individual components is obtained. The existence of the optimal period of the information protection system components replacement and the direction of subsequently reliability improving is indicated.
Оценка надежности систем защиты информации (СЗИ) какого-либо объекта информатизации должна основываться на адекватных моделях надежности, с одной стороны, согласующихся с общими подходами к построению такого рода моделей, а с другой — учитывающих специфику реальных объектов. Существующие в настоящее время модели надежности по ряду причин неприменимы к СЗИ, т.е. нельзя задать систему уравнений, позволяющую найти количественные закономерности между входными и выходными параметрами системы с учетом особенностей ее функционирования. Таким образом, вопрос о разработке модели надежности СЗИ является важной и актуальной задачей [1, 2].
Схемы надежности, представляемые последовательно-параллельными соединениями элементов с известными количественными характеристиками надежности, широко применяются при построении моделей надежности сложных технических систем [3]. Однако такие схемы достаточно редко применяются для анализа систем защиты информации ввиду проблем детализации структуры объектов (декомпозиции) и четкого выделения элементов схемы.
Рассмотрим типовую структурную схему средств защиты информации объекта информатизации (рис.1).
RELIABILITY MODEL CONSTRUCTING
Рис. 1. Схема надежности системы защиты информации объекта
Под организационными методами защиты информации объекта информатизации понимается регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационные меры включают в себя регламентацию [2]:
- формирования и организации деятельности службы безопасности, обеспечения деятельности этих служб нормативно-методическими документами по организации защиты информации;
- составления и регулярного обновления состава защищаемой информации, составления и ведения перечня защищаемых бумажных и электронных документов;
- разрешительной системы разграничения доступа персонала к защищаемой информации и др.
Под инженерно-техническими средствами защиты понимается совокупность специальных органов, технических средств и мероприятий по их использованию в целях защиты информации.
Под программными средствами защиты информации будем понимать средства защиты данных, функционирующие в составе программного обеспечения системы защиты. Среди них можно выделить [1, 2]:
- средства архивации данных;
- антивирусные программы;
- криптографические средства;
- средства аутентификации пользователей;
- средства управления доступом;
- протоколирование и аудит.
Под физическими (эргатическими) средствами защиты понимается:
- физическая охрана объекта информатизации;
- наличие администраторов и пользователей системы защиты;
- обслуживающий персонал и другие.
В теории надежности широко используются понятия последовательного и параллельного соединения элементов в системе. При параллельном соединении отказ системы наступает лишь при одновременном отказе всех элементов системы, а при последовательном — при выходе из рабочего состояния хотя бы одного из них. В нашем случае выход из строя одного компонента защиты увеличивает вероятность несанкционированного доступа к информации, но не приводит к отказу всей системы в целом. Каждый компонент может функционировать вне зависимости от работоспособности трех других, обеспечивая некоторый уровень защиты. Отсюда можно сделать вывод,
что все четыре компонента СЗИ на схеме ее надежности должны быть соединены параллельно (рис.1).
Тогда вероятность безотказной работы СЗИ:
где Ратх — вероятность отказа СЗИ; Ро, Рт, Рп, Рф — вероятности отказа соответственно организационных, инженерно-технических, программных и физических компонен-
Под отказом в теории надежности понимается случайное событие, приводящее к невозможности выполнения системой в течение некоторого промежутка времени возложенных на нее функций [3]. Применительно к системе защиты информации функциональный отказ следует трактовать как возникновение уязвимости, возможности преодоления СЗИ злоумышленником.
Рассмотрим причины и механизмы отказов отдельных компонентов СЗИ.
Применительно к организационным мерам и средствам защиты информации причиной отказа может стать устаревание нормативных правовых актов, по которым работает организация, должностных инструкций сотрудников, системы руководящих документов и документов, регламентирующих ее работу, схем помещений и т.д. С другой стороны, вероятность отказа данного компонента СЗИ существенно возрастает именно в моменты существенного обновления действующих или введения новых инструкций, регламентов и т.п., так как требуется определенное время на их изучение, адаптацию к конкретным условиям с учетом практики применения и др.
Действие первого из рассмотренных механизмов («старения») приводит к монотонному возрастанию вероятности отказа с течением времени:
Здесь а — интенсивность внешних и внутренних изменений, снижающих актуальность организационных средств защиты; Т — характерное время обновления организационных средств защиты, определяемых нормативными документами и реалиями практической деятельности.
Математическая модель второго механизма («приработки»):
отличия новых организационных средств защиты от ранее действовавших; То — время
внедрения (освоения) новых организационных средств защиты, которое характеризует профессиональные качества персонала объекта информатизации.
Вероятность отказа организационного компонента СЗИ в текущий момент времени:
Применительно к инженерно- техническим средствам и методам защиты информации отказ системы может возникнуть при моральном и физическом устаревании устройств защиты, несоответствии задач системы защиты её возможностям в настоящее время и др.
Процессы временной деградации технических средств характеризуются вероятностью отказа:
(1)
тов СЗИ.
(2)
(3)
В выражении (3): Р0 — некоторый начальный уровень, определяемый степенью
РО (-) _ РОС(-) + РОП(-) .
(4)
Ртс (-) = 7Тв (- )ехр [ЬС-
\
-1 ,
(5)
У
где Ртв(-) определяется соответствием технических возможностей СЗИ задачам по обеспечению информационной безопасности; вс характеризует действие естественного (условия эксплуатации аппаратуры) и человеческого (квалификация персонала) факторов, влияющих на долговечность аппаратуры; Тт — характерное время износа технических средств, определяемое гарантийными обязательствами производителя, технической политикой в отношении ремонта и сервисного обслуживания, замены находящегося в эксплуатации оборудования на более современное.
В свою очередь,
Ртв(-) = Ртво + Ртв*(-), (6)
где Ртво характеризует уровень изначального соответствия технических возможностей СЗИ решаемым задачам, Ртв*(-) отражает совершенствование с течением времени возможностей злоумышленников по преодолению инженерно-технических средств защиты объекта.
Начальному периоду эксплуатации технических средств поставим в соответствие вероятность отказа:
' ЬпП-
РТП (-) = РТ ехр
*
ТТ
(7)
Параметр Р* определяется интенсивностью отказов технических средств защиты информации в начальный период Т* или их общим количеством до некоторого момента -н; вп характеризует эффективность работы по замене и ремонту неисправных устройств.
Очевидно,
РТ (-) = РТС (-) + Ртп (-). (8)
Причиной возникновения отказа в программных средствах могут стать: моральное устаревание используемых программ, физическое разрушение (возникновение ошибок в программном коде продукта), несовместимость программных средств защиты с современными операционными системами, несвоевременное обновление программных продуктов.
По аналогии с выражениями (5)—(8):
РП(-) = РПС (-) + РПП (-), (9)
где
Рпс (О _ Рпв (-) ехр
ГУс£ - 1Л V Тт )
(10)
РпвО) - Рпво + Рпв*0), (11)
Рпп (-) _ Рпт ехр
Т* ь т
(12)
11 л У
Здесь РпсО) и Рпп(t) — вероятности отказов, обусловленные временной деградацией и отладкой программных средств (с устранением программных ошибок и проблем совместимости с другими программными продуктами) соответственно; РпвО) характеризует степень соответствия возможностей программных средств СЗИ возложенным на них задачам по обеспечению информационной безопасности; Рпво отвечает начальному уровню защищенности информации программными средствами, Рпв*0) отражает возможности злоумышленников по преодолению программных средств СЗИ; ус — параметр, отражающий деградацию программных средств вследствие целенаправленного деструктивного воздействия, например путем внедрения в систему вредоносных программ; ТП и Т*п — характерные времена использования и освоения (внедрения) кон-
кретной версии программного продукта; параметр Р* определяется интенсивностью отказов программного обеспечения в начальный период эксплуатации или их общим количеством за наблюдаемый период -н.
При необходимости в параметр ус может быть введен аддитивный компонент:
УО - Уон - УОУ,
отражающий возникновение и накопление ошибок в программном продукте в процессе его эксплуатации, обусловленных действием случайных факторов, не связанных с внешними атаками (уон), а также эффективность мер по устранению такого рода ошибок (уоу). В первом приближении уон и уоу можно считать не зависящими от времени, хотя можно предположить существование некоторого критического уровня УО, при превышении которого функция уон (уоЛ) монотонно возрастает, а функцию уоу можно априори считать асимптотически возрастающей до некоторого уровня насыщения, что отражает возрастание накопленных навыков специалистов по обслуживанию программных средств в выявлении и устранении ошибок в программном продукте.
Надежность физического персонала и физических (эргатических) средств защиты в целом также может быть представлена двумя различными по характеру монотонности временными функциями:
Рф(-) = Рфс (-) + РФП(-). (13)
Вероятность отказа РфсОО отражает физическое старение персонала, т.е. постепенное уменьшение возможностей выполнять свои обязанности по обеспечению защиты информации на необходимом уровне из-за возраста сотрудниками службы безопасности, инженерно-техническим персоналом и другими сотрудниками организации в применяемых в ней эргатических системах защиты информации.
Представим данный временной процесс выражением:
Рфс (t) _ ^пфо ' exP
{Sс -SB )t
Л
-1
(14)
Здесь Рпф0 — начальный уровень физического состояния персонала; 5с и 5в отражают соответственно негативное действие на физическое состояние персонала условий труда (ночных дежурств, переработок, работы с компьютерными и телевизионными мониторами и др.) и меры по восстановлению здоровья и профилактике профессиональных заболеваний; t — некоторый характерный период обновления персонала, например среднее время работы сотрудников физических или эргатических компонентов СЗИ в рассматриваемой организации.
Функция P«$n(t) характеризует рост квалификации персонала:
f Snt ^
Рфп (t) = Рф- exp
(15)
где РТ определяется начальным уровнем квалификации персонала; 5о характеризует приобретение опыта решения типичных и нестандартных профессиональных задач; Ткф — характерное время приобретения профессиональных знаний, умений и навыков, в качестве которого могут выступать время стажировки в новой должности или периодичность повышения квалификации.
Каждая из функций (4), (8), (9) и (13) представляет собой классическую «корытообразную» кривую интенсивности или вероятности отказов [4, 5]. В нашем случае показано, что каждая из этих кривых образуется в результате суммирования убывающей и возрастающей экспонент (рис. 2): (2) и (3), (5) и (7), (1о) и (12), (14) и (15) соответственно.
р1
0.8
II'на-
ЭКСПЛ
Рис. 2. Вероятность отказов системы
Продление оси абсцисс за рассматриваемый временной интервал приведет к тому, что графики, по крайней мере, для программных и инженерно-технических компонентов СЗИ будут выглядеть как несколько «склеенных» в моменты Т\ замены оборудования или программных средств «корытообразных» кривых (рис. 3, кривые 1 и 2). В меньшей степени такой характер замен выражен для организационного и физического компонентов СЗИ (рис. 3, кривые 3 и 4).
\ \ / 1 / У / / ^. У
П
Ф
■п1
(1)
1тз
(2)
■пЗ
п4
У и
1
V \ ч / у У \ ч / 1
11
П
‘ (4) > «Ф
Рис. 3. Вероятности отказов инженерно-технического (1), программного (2), организационного (3) и физического (4) компонентов СЗИ
Основным различием кривых РоО), РтО), РпО) и Рф(1) является то, что они строятся в отличных друг от друга временных масштабах, определяемых соответствующими параметрами в знаменателях показателей экспонент. График вероятности отказа СЗИ:
Ротк = Ро (О ■ Рт (О ■ Рп (0 ■ Рф (0 (16)
представлен на рис. 4 (кривая 1).
(I)
II
экспл
1
|Р ^крит 1
V 1
I 1
(2) экспл
Рис. 4. Вероятность отказа системы защиты информации
Качественный анализ графиков на рис. 3 и 4 позволяет сделать следующие выводы:
1. Повышение надежности СЗИ может быть достигнуто путем минимизации некоторой целевой функции, например:
(17)
по отдельным параметрам из выражений (2), (3), (5), (6), (7), (10), (11), (12), (14) и (15) или любым их совокупностям при условии:
Ргк(0 < Рриг , (18)
где Ркрит — критическая (порог недопустимых значений) вероятность отказа СЗИ.
2. Для соблюдения условия (18) следует избегать попадания точек «склеивания» Т;
* т—т
какой-либо из кривых (1)—(4) в малые окрестности точек Т; других кривых. Применительно к практике это означает существенное увеличение вероятности отказа действующей СЗИ при одновременной замене двух и более компонентов, а также то, что наибольшая вероятность отказа СЗИ имеет место в начальный период ее работы (рис. 4).
3. Для различных реализаций каждого компонента СЗИ существует оптимальное время эксплуатации Т;, не только определяемое выражением (17), но и согласованное с
*
временами эксплуатации Т; других компонентов СЗИ, т.е. следует избегать как чрезмерно больших, так и малых значений Т;. Отсюда вытекает существование оптимального периода (квазипериода) Ат = Т;+1 - Т; замены компонентов СЗИ и оптимального вре-
**
менного сдвига Ат = Т; - Т; для каждой реализации компонентов СЗИ. Очевидно, для определения оптимума Т; необходимо дополнительно учитывать экономические (стоимостные) параметры рассматриваемого компонента СЗИ.
Применительно к рис. 1 и 4 может возникнуть необходимость учета значимости компонентов СЗИ, например введением весовых коэффициентов в выражения (1) или (16). Для каждого из N сомножителей из выражений (1), (16) введем показатель степени:
0(Ю]) = вхр(1№ - Ю]), (19)
где ю — характеристика значимости рассматриваемого компонента СЗИ, определяемая, например, методом экспертных оценок или задаваемая на этапе проектирования СЗИ и подчиняющаяся условию нормировки:
N
2 Ю = 1 (20)
Таким образом,
N
П0(Ю ) = 1. (21)
Для рассматриваемого примера СЗИ:
Р*(0 = РО(*)0(ЮО} • Рт (О0(ю}' РПЦ)0(ЮП}' РФ (О0(ЮФ}. (16а)
Предположим, что эксперты оценили значимость компонентов СЗИ некоторого объекта информатизации по десятибалльной шкале следующим образом:
- организационный — 3;
- инженерно-технический — 6;
- программный — 8;
- физический — 7.
Кривая 2 на рис. 4 в отличие от кривой 1 построена с учетом данных оценок. В качестве приемлемой вероятности отказа рассматриваемой СЗИ принято значение
Ркрит= 0,°1-.
Для дальнейшего повышения достоверности предложенной модели надежности СЗИ требуется детализация моделей надежности ее отдельных компонентов, например на основе параллельно-последовательных схем надежности и статистики отказов или экспертных оценок показателей надежности их отдельных элементов.
Рассмотрим пример несложной структуры инженерно-технического компонента СЗИ (рис. 5), включающего в себя биометрическую систему контроля управления доступом (СКУД) на общем входе в объект, дверь с электронным кодовым замком (ЭКЗ) в каждом отдельном кабинете и систему охранной сигнализации (ОС), в каждом кабинете представленную двумя датчиками и каналом до общего блока передачи извещений (БПИ). Система видеонаблюдения отнесена к эргатическому компоненту СЗИ. Система электроснабжения представлена основным (ИЭП 1) и резервным (ИЭП 2) источниками питания и силовыми электрическими кабелями ЭК 1 и ЭК 2.
Рис. 5. Схема надежности инженерно-технического компонента СЗИ
Зачастую трудности в декомпозиции СЗИ обусловлены одновременным участием тех или иных субкомпонентов в различных подсистемах. Так, например, система видеонаблюдения может рассматриваться как компонент инженерно-технических средств защиты информации и включать в себя собственно технический (камеры, ви-
деоканалы, видеосерверы, мониторы), физический (операторы), программный (ПО видеосервера) и организационный субкомпоненты. В связи с этим возможны другие подходы к декомпозиции СЗИ и построению моделей надежности ее подсистем.
Соответственно, вероятность отказа такой системы [1, 4]:
Рт (0 = {1 - [1 - (1 - Рда(I))• (1 - Рэкз (I))• (1 - Рос(I))]х
X [1 - (1 - РД| (I) • РД2 (/ (1 - РК (1 - РБПИ ))] РСКУД Х
х {1 - [1 - (1 - РИЭП1() • (1 - РЭК 1(|)))] [1 - (1 - РИЭП2 (0)х
X (1 - Р3КЗ (I))]}.
В правой части приведенного выражения последовательно обозначены вероятности отказов: двери (Рот), электронного кодового замка (Рэкз), окна со ставнем (Рос), датчиков охранной сигнализации (Рд1 и Рд2), канала передачи тревожного сигнала (Рк), блока передачи извещений (Рбпи), системы контроля управлением доступом (Рскуд), источников электропитания (Риэп1 и Риэп2) и силовых электрических кабелей (Рэк1 и Рэкг).
В настоящее время теория надежности технических систем разработана достаточно хорошо. Применение основных положений, терминов и определений теории надежности в информационной безопасности открывает большие возможности для разработки моделей СЗИ, повышения достоверности оценок характеристик надежности СЗИ и их отдельных компонентов, в особенности тех, на которые не распространялись ранее классические подходы теории надежности технических систем, расширяет базу для создания алгоритмов и методик анализа надежности СЗИ, выбора эксплуатационных показателей их качества.
ЛИТЕРАТУРА
1. Малюк А. А. Информационная безопасность: концептуальные и методологические основы защиты информации. — М.: Горячая линия-Телеком, 2004. — 280 с.
2. Герасименко В. А., Малюк А. А. Основы защиты информации. — М.: МОПО, МИФИ, 1997. — 537 с.
3. Баранова А.В., Ямпурин Н.П. Основы надежности электронных средств. — М.: Академия, 2010. — 234 с.
4. Острейковский В. А. Теория надежности. — М.: Высшая школа, 2003. — 457 с.
5. Бриндли К. Измерительные преобразователи: справочное пособие: пер. с англ.
— М.: Энергоатомиздат, 1991. — 144 с.