Приложение Д (справочное). Типовые методы и модели для прогнозирования рисков. Национальный стандарт РФ ГОСТ Р 59346-2021 "Системная инженерия. Защита информации в процессе определения системных требований" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30.04.2021 N 332-ст)

Приложение Д
(справочное)

Типовые методы
и модели для прогнозирования рисков

Д.1 Общие положения

Д.1.1 С учетом необходимости решения вопросов ЗИ в ходе системного анализа должна проводиться оценка рисков нарушения надежности реализации процесса определения системных требований в целом и рисков реализации угроз безопасности информации в системе в течение всего ее жизненного цикла - см. Д.2-Д.5, а также модели, рекомендуемые ГОСТ Р 59349.

Д.1.2 Риск реализации угрозы должен оцениваться с учетом всех факторов, критично влияющих на возможность реализации угроз. Например, к таким факторам относятся:

- существенность рассматриваемых угроз, выражаемая в неприемлемом ущербе от возможной реализации угрозы в данной системе (см. приложение Ж);

- направленность угроз безопасности информации, реализация которых может приводить как к нарушению функционирования системы или отдельных ее программных и/или программно-аппаратных элементов (например, к уничтожению программ, команд и данных, их блокированию, перемещению, модификации), так и к несанкционированному копированию информации, не подлежащей распространению, и/или к несанкционированному запуску приложений;

- фактор времени, когда необходимо учитывать вероятностно-временные характеристики попыток реализации угроз и реакции системы защиты на эти попытки, продолжительность этапов жизненного цикла системы, в течение которых могут быть реализованы угрозы;

- возможность использования в ходе функционирования системы данных о системе, собираемых на предыдущих стадиях жизненного цикла;

- состав и характеристики принимаемых мер защиты информации, общесистемного и прикладного программного обеспечения системы.

Более высокая адекватность оценки рисков, обусловленная необходимостью учета фактора времени, достигается при наличии корректных исходных данных по временным характеристикам нарушения надежности реализации процесса определения системных требований в целом и характеристикам реализации угроз безопасности в системе. Для получения таких данных могут быть использованы результаты анализа прецедентов, а также результаты экспериментальных исследований нарушения надежности функционирования аналогичных систем и реализации угроз безопасности информации в них.

Д.1.3 При оценке риска появление и реализация угроз формально могут быть рассмотрены как совокупности последовательно выполняемых действий, таких как:

- изучение и анализ объекта для реализации угроз безопасности информации в системе;

- формирование условий для "успешной" реализации угроз (например, несанкционированного повышения привилегий, изменения учетных записей, внедрения вредоносной программы), в том числе выявление наличия уязвимостей в системном или прикладном программном обеспечении системы и, прежде всего, в мерах и средствах защиты;

- получение тем или иным способом непосредственного доступа при наличии физического доступа нарушителя к элементам информационной системы (серверу, рабочим станциям, коммуникационным устройствам) или удаленного доступа (по сети) в операционную среду системы;

- получение доступа к командам операционной системы, поиск необходимой информации и выполнение несанкционированных действий (например, копирования, модификации, уничтожения, перемещения);

- передача большого количества пакетов сообщений, передача специально сформированных пакетов, обработка которых приводит к нарушению функционирования системы;

- сокрытие следов реализации угроз (например, записей в журналах, изменений в системном реестре).

Примечание - Словосочетание "успешности" реализации угроз здесь и далее употребляется в кавычках, т.к. при проведении системного анализа "успешная" реализация угроз рассматривается с позиции опасного воздействия на моделируемую систему для определения эффективных мер, средств и способов противодействия этой "успешности".

Д.1.4 Оценка риска реализации угроз безопасности информации должна проводиться как в условиях применения штатных мер ЗИ, так дополнительных мер, определение состава и характеристик которых осуществляют в процессе определения системных требований. Для оценки влияния технических мер должны быть разработаны соответствующие модели, в т.ч. модели для оценки риска реализации угроз, учитывающие способы преодоления или обхода рассматриваемых мер и средств ЗИ - см. Д.3-Д.5.

Д.2 Модель для оценки рисков нарушения надежности реализации процесса определения системных требований в части защиты информации

Д.2.1 Риски нарушения надежности реализации процесса определения системных требований в части ЗИ включают в себя риски нарушения функционирования системы и риски утечки информации о системе или информации, обрабатываемой в системе на каждой стадии и в течение всего ее жизненного цикла. Эти риски оценивают соответствующими вероятностями.

Примечание - При использовании вероятностных моделей делается предположение о повторяемости событий.

Вероятность нарушения надежности реализации процесса определения системных требований Р _пр(Т _экспл) в части ЗИ применительно к стадии эксплуатации системы (в т.ч. стадии сопровождения) продолжительностью Т _экспл при наличии на этой стадии U угроз безопасности информации, направленных на нарушение функционирования системы или на хищение конфиденциальной информации, рассчитывают по формуле

,

(Д.1)

где P _u(T _экспл/T _s) - условная вероятность того, что на стадии эксплуатации продолжительностью Т _экспл будет реализована U-я угроза при условии, что хотя бы на одной из предыдущих s-x стадий жизненного цикла или на стадии эксплуатации (s  i, i - условный номер стадии эксплуатации) будет реализована хотя бы одна угроза, в результате чего произойдет утечка информации о системе или внедрена вредоносная программы, позволяющая реализовать u-ю угрозу безопасности информации на стадии эксплуатации. Расчет осуществляют по формуле

,

(Д.2)

где Р _u(Т _экспл) - вероятность того, что угроза на стадии эксплуатации системы продолжительностью Т _экспл будет реализована при наличии необходимой информации, добытой или на стадии эксплуатации, или на одной из предыдущих стадий, или в результате внедрения на этих стадиях вредоносной программы;

P _j(u)(T _s) - вероятность реализации j(u)-й угрозы утечки информации на s-й стадии жизненного цикла продолжительностью T _s (предшествующей стадии эксплуатации с номером i или на стадии эксплуатации), необходимой для реализации u-й угрозы на стадии эксплуатации системы, j(u) = 1, ..., J(u, s);

J(u, s) - количество угроз на s-й стадии жизненного цикла, реализация которых может привести к утечке информации, используемой для реализации u-й угрозы на стадии эксплуатации системы.

Если угрозы, направленные на нарушение функционирования системы, и угрозы утечки конфиденциальной информации учитывают раздельно, формула (Д.2) имеет следующий вид:

- если информация, используемая для реализации угрозы нарушения функционирования системы, добывается на стадии эксплуатации, то

;

(Д.3)

- если информация, используемая для реализации угрозы нарушения функционирования системы на стадии эксплуатации, добывается на предыдущих стадиях, то

;

(Д.4)

- если информация, используемая для реализации угрозы хищения конфиденциальной информации на стадии эксплуатации, добывается на этой же стадии, то

;

(Д.5)

- если информация, используемая для реализации угрозы хищения конфиденциальной информации на стадии эксплуатации, добывается на предыдущих стадиях, то

;

(Д.6)

где Р _фu(Т _экспл) и Р _конф u(Т _экспл) - соответственно вероятности реализации угроз нарушения функционирования и утечки конфиденциальной информации на стадии эксплуатации системы (в т.ч. стадии сопровождения);

(T _s) - вероятность реализации угрозы на s-й стадии, предшествующей или соответствующей стадии эксплуатации (в т.ч. стадии сопровождения), в результате чего произойдет утечка информации о системе или осуществлено потенциально опасное изменение (например, внедрена вредоносная программа), что позволит реализовать u-ю угрозу нарушения функционирования системы на стадии эксплуатации;

(T _s) - вероятность реализации угрозы на s-й стадии, предшествующей или соответствующей стадии эксплуатации (в т.ч. стадии сопровождения), в результате чего произойдет утечка информации о системе или осуществлено потенциально опасное изменение (например, внедрена вредоносная программа), что позволит реализовать u-ю угрозу утечки информации о системе или обрабатываемой в системе на стадии эксплуатации;

J(u, s, ) - общее количество угроз утечки информации (или внедрения вредоносной программы) на s-й стадии жизненного цикла системы, предшествующей стадии эксплуатации, необходимой для реализации u-й угрозы нарушения функционирования системы на стадии эксплуатации;

J(u, s, конф) - общее количество угроз утечки информации (или внедрения вредоносной программы) на s-й стадии жизненного цикла системы, предшествующей стадии эксплуатации, необходимой для реализации на стадии эксплуатации u-й угрозы утечки информации о системе или информации, обрабатываемой в системе.

Вероятность Р _ф u(Т _экспл) того, что на стадии эксплуатации будет добыта информация о системе, необходимая для последующей реализации на этой же стадии угроз нарушения ее функционирования, и вероятность Р _конф u(Т _экспл) утечки конфиденциальной информации рассчитывают по сходным формулам:

- если , то

;

(Д.7)

- если = , то

;

(Д.8)

- если , то

;

(Д.9)

- если = , то

;

(Д.10)

где и - соответственно ожидаемые интенсивности "успешных" попыток реализации угроз на стадии эксплуатации системы, связанных с нарушением функционирования системы и утечкой информации, подлежат определению с использованием соотношений

;

(Д.11)

где и - соответственно ожидаемые интенсивности попыток реализации угроз на стадии эксплуатации системы, связанных с нарушением ее функционирования и утечкой конфиденциальной информации (подлежат определению для осуществления моделирования);

R _ф u и R _конф u - вероятности того, что в каждой попытке угроза, направленная соответственно на нарушение функционирования системы и утечку конфиденциальной информации, будет реализована на стадии эксплуатации системы (этими вероятностями оценивается и влияние мер защиты на возможности реализации указанных угроз);

и - соответственно ожидаемые интенсивности "успешных" попыток реализации угроз на стадии эксплуатации системы, связанных с добыванием информации о системе в интересах нарушения ее функционирования и утечкой конфиденциальной информации, подлежат определению с использованием соотношений

;

(Д.12)

и - соответственно ожидаемые интенсивности попыток реализации угроз на стадии эксплуатации системы, связанных с добыванием информации, используемой для нарушения функционирования системы и выявлением конфиденциальной информации (подлежат определению для осуществления моделирования);

R _ф доб и R _{конф доб} - вероятности того, что в каждой попытке угроза выявления информации о системе, необходимой для последующего нарушения ее функционирования или, соответственно, хищения конфиденциальной информации, будет реализована на стадии эксплуатации системы (этими вероятностями оценивается и влияние мер защиты на возможности реализации указанных угроз).

Вероятности Р _ф u(Т _экспл), Р _конф u(Т _экспл), (T _s) и (T _s) в случае, когда информация о системе, необходимая для реализации угроз, имеется, определяют по следующим формулам:

;

(Д.13)

;

(Д.14)

;

(Д.15)

,

(Д.16)

где (s) и (s) - соответственно интенсивности попыток реализации угроз на s-й стадии, направленных на утечку информации о системе (или информации, обрабатываемой в системе) или на внедрение вредоносной программы, что позволит реализовать u-ю угрозу нарушения функционирования системы или хищения конфиденциальной информации на стадии эксплуатации (подлежат определению для осуществления моделирования);

и - вероятности того, что в каждой попытке угроза, направленная соответственно на нарушение функционирования системы или на хищение конфиденциальной информации на s-й стадии, будет реализована.

Примечания

1 За счет умножения на вероятности соответственно R _ф u, R _конф u, , в формулах (Д.11), (Д.13-Д.16) и на вероятности R _ф доб и R _{конф доб} в формуле (Д.12) происходит "просеивание" потока изначальных попыток реализации угроз. В результате произведения осуществляется прореживание исходного потока попыток, в итоге осуществляется учет лишь "успешных" попыток реализации угроз. В итоге интенсивности "успешных" попыток реализации угроз уменьшаются с изначальных уровней , , (s) и (s) до уровней , , (s) и (s) соответственно. Именно этот эффект "просеивания" отражен в формулах (Д.11)-(Д.16).

2 Значения величин , , R _ф u, R _конф u, (s), (s), , следует указывать в частной модели угроз безопасности информации, разрабатываемой в соответствии с [10], [11] для каждой создаваемой, модернизируемой и подлежащей эксплуатации системы с учетом всех стадий ее жизненного цикла

3 Для получения статистических данных по , , R _ф u, R _конф u, (s), (s), и , близким к реальности, в качестве вспомогательных средств могут быть использованы технологические стенды или стендовые полигоны, применяемые для оценки достижимых показателей защищенности и устойчивости функционирования систем в имитируемых условиях несанкционированных информационно-технических воздействий - см. ГОСТ Р 59342 и ГОСТ Р 59355.

Д.2.2 Интегральную вероятность нарушения надежности реализации процесса с учетом угроз безопасности информации в течение всего жизненного цикла системы Р _инт(Т _жц) определяют из соотношения

,

(Д.17)

где Р _пр(Т _экспл) - вероятность нарушения надежности реализации процесса определения системных требований в части ЗИ применительно к стадии эксплуатации системы (в т.ч. стадии сопровождения) продолжительностью Т _экспл - см. формулу (Д.1);

Р _конф(Т _вых) - вероятность реализации угрозы утечки информации о системе или информации, полученной в результате ее функционирования, на стадии выведения системы из эксплуатации (s = 6) продолжительностью Т _вых

,

(Д.18)

где - ожидаемая интенсивность попыток реализации угроз утечки информации на стадии выведения системы из эксплуатации (подлежит определению для осуществления моделирования);

R _вых - вероятность утечки информации в каждой попытке реализации угрозы на стадии выведения системы из эксплуатации.

Д.2.3 Пример ДА. Пусть прогнозируемая продолжительность стадии эксплуатации (s = 4) системы, разрабатываемой для городской администрации, составляет 10 лет (T _s = Т _экспл = 10 лет = 87600 ч). В системе предполагается обработка конфиденциальной информации, содержащей сведения служебного характера. Система относится к государственной и к ней предъявляются требования по защите информации в соответствии с [3], [10]. В соответствии с разработанной моделью угроз безопасности информации на этапе эксплуатации системы возможна реализация угроз несанкционированного копирования обрабатываемой в ней конфиденциальной информации. Угрозы могут быть реализованы путем проникновения в операционную среду системы и повышения привилегий нарушителем, а также с использованием вредоносной программы, внедряемой на стадии поставки (s = 3) системы заказчику продолжительностью 3 месяца (T _s = Т _пост = 2160 ч). Если вредоносная программа окажется внедренной, то копирование информации при отсутствии необходимых мер защиты вполне обоснованно можно предположить неизбежным, т.е. без расчетов по формуле (Д.14) (Т _экспл)  1. Положим, по набранной статистике интенсивности попыток реализации угроз в соответствии с моделью угроз для данной системы составляют (для расчетов использована единая шкала для единиц измерения - "раз в час"):

- для угрозы, реализуемой на стадии эксплуатации путем проникновения в операционную среду, (т.е. один раз в месяц);

- для угрозы внедрения вредоносной программы на стадии поставки (т.е. один раз в десять дней).

Пусть вероятности реализации каждой угрозы в каждой попытке в соответствии с моделью угроз для данной системы составляют на стадии эксплуатации  = 10 ^-2 и на стадии поставки , при этом отсутствует угроза утечки информации на стадии выведения системы из эксплуатации.

Необходимо рассчитать вероятность нарушения надежности реализации процесса определения системных требований в части ЗИ с учетом угроз безопасности информации Р _инт(Т _ж.ц.).

Возможно следующее решение для примера Д.1.

Так как угрозы, направленные на нарушение функционирования системы, отсутствуют, то рассчитывается только вероятность утечки информации в соответствии с формулой (Д.16) для s = 4:

и вероятность внедрения вредоносной программы в соответствии с формулой (Д.16):

.

В связи с тем, что угрозы утечки информации о системе на стадии выведения ее из эксплуатации отсутствуют, т.е. Р _конф(Т _вых) = 0, то в соответствии с формулой (Д.17):

.

Таким образом, вероятность нарушения надежности реализации процесса определения системных требований в примере почти в 5 раз превысит вероятность надежного выполнения процесса [0,83/(1 - 0/83)  4,88]. В интерпретации системной инженерии такая ожидаемая надежность выполнения рассматриваемого процесса неприемлема, необходим поиск более эффективных мер ЗИ.

Д.3 Аналитические методы и модели для оценки вероятностей реализации угроз безопасности информации при прогнозировании рисков

Д.3.1 Аналитические методы и модели должны позволять проведение расчетов вероятности реализации всей совокупности существенных угроз безопасности информации на любом из этапов и в течение всего жизненного цикла системы. Для прогнозирования рисков могут применяться любые возможные методы и модели, обеспечивающие приемлемое достижение поставленных целей. Так, при расчетах вероятностей реализации угроз на практике применяют методы теории надежности, теории массового обслуживания, аппарата марковских и полумарковских процессов, аппарата сетей Петри-Маркова с логическими условиями (см. Д.2, Д.3.2, Д.3.3, Д.3.4). Выбор того или иного метода для моделирования определяется формализованным содержанием реализации угрозы для условий без применения и при применении обосновываемых мер защиты.

Д.3.2 Методы теории массового обслуживания применяют в том случае, когда элемент системы, на который осуществляется воздействие в результате реализации угрозы, может быть представлен в виде системы массового обслуживания (СМО), в которую поступает поток "заявок" - например, поток пакетов сообщений, реализующих рассматриваемую угрозу.

Примечание - В зависимости от содержания угрозы, состава и характеристик мер защиты могут применяться для моделирования однолинейные и многолинейные СМО, СМО с отказами и с очередями, с ограничениями и без ограничений на время пребывания заявок в системе, с различными дисциплинами обслуживания и видами приоритетов заявок (например, с относительными, абсолютными приоритетами или с их комбинацией).

В простых моделях суммарный поток заявок на обслуживание часто полагают пуассоновским (из-за большого количества слагающих его составных потоков, вносящих соизмеримый вклад в общий поток). Такой поток характеризуется интенсивностью поступления заявок в систему , где - средняя продолжительность времени между моментами поступления заявок. Для получения пессимистических оценок временных задержек в очередях длительность обслуживания заявок полагают экспоненциально распределенной с интенсивностью обслуживания , где - средняя продолжительность обслуживания одной заявки. В этом случае загрузку однолинейной СМО без ограничений в обслуживании определяют как отношение: . В качестве примера применения упрощенной модели ниже описана модель для расчета вероятности реализации угрозы компьютерной атаки, получившей название "шторм TCP-запросов" (Transmission Control Protocol - протокол управления передачей, атаку с его использованием называют также с использованием англоязычного наименования "SYN-flooding").

Д.3.3 Пример Д.2. Пусть на некотором государственном предприятии проводится модернизация системы, обеспечивающей автоматизацию управления предприятием, в т.ч. в интересах повышения защищенности обрабатываемой в ней информации. В соответствии с требованиями нормативных правовых актов [10], [11] были выявлены возможные угрозы, которые могут быть реализованы. Установлено, что большая часть угроз может быть реализована из сети общего пользования, к которой ранее было подключено большинство компьютеров модернизируемой системы. Положим, для парирования этих угроз было предложено для взаимодействия с заинтересованными инстанциями через сеть общего пользования выделить только один компьютер, отключив от этой сети остальные компьютеры. Однако подключенный компьютер подвержен компьютерным атакам типа "Отказ в обслуживании", одной из которых является атака "Syn-flooding". Суть атаки заключается в том, что на атакуемый компьютер в составе защищаемой системы передается из сети общего пользования большое количество запросов на установление "полуоткрытого" виртуального соединения по выбранному порту. В результате операционная система, ожидая подтверждения (квитанции) о готовности абонента к связи, держит в буфере информацию о предполагаемом соединении, повторяя посылку сообщений - квитанций о получении запроса на соединение. Если запросов на соединение поступило много, а квитанции от атакующего компьютера не последовало, то буфер оказывается полностью заполненным и система перестает принимать другие запросы по данному порту. Необходимо оценить риск реализации данной атаки.

Требуется оценить защищенность такой системы от компьютерных атак.

Возможно следующее решение для примера Д.2.

Компьютерная атака может быть промоделирована с использованием модели системы массового обслуживания с очередью фиксированной длины при следующих условиях: обслуживающий прибор (компьютер) при поступлении рассматриваемых заявок отказывает и может быть восстановлен по мере истечения фиксированного промежутка времени после переполнения буфера (в котором формируется очередь заявок, т.е. поступающих запросов). Вероятность того, что операционная система компьютера к моменту времени t перестанет принимать новые пакеты информации (т.е. заявки, поступающие на прибор), в результате чего компьютерная атака будет реализована, определяют из соотношения:

,

(Д.19)

где - интенсивность поступления пакетов с запросами на соединение (пакетов с установленным флагом SYN в служебном заголовке);

J _npeд - предельное количество возможных соединений по одному порту, при котором буфер оказывается заполненным.

Среднее время, необходимое для реализации атаки, составляет величину:

.

(Д.20)

Положим, что по прецедентному принципу принят следующий критерий блокировки атаки: если атака обнаружена до момента прихода J _npeд + 1 пакета с некоторой вероятностью Р _обн, то атака блокируется. Вероятность реализации атаки рассчитывают по формуле

.

(Д.21)

В графическом виде на рисунке Д.1 представлены аналитические зависимости риска реализации угрозы от возможностей системы (по обнаружению вторжений при атаке "SYN-flooding"), характеризуемых вероятностью обнаружения Р _обн.

Рисунок Д.1 - Зависимость вероятности реализации компьютерной атаки "SYN-flooding" от вероятности ее обнаружения и блокирования при J _npeд = 300

Системный анализ результатов расчетов показал:

- при вероятности обнаружения атаки выше условного значения 0,9 и, соответственно, принятия мер по ее пресечению, возможности достижения системой состояния "Отказ в обслуживании" быстро уменьшаются;

- с увеличением интенсивности запросов на соединение существенно растет возможность переполнения буфера операционной системы и реализации рассматриваемой атаки - например, с увеличением интенсивности в 5 раз вероятность реализации атаки возрастает более, чем на 35 %, и достигает 0,95 при Р _обн = 0,7. В интерпретации системной инженерии вероятность 0,95 означает неизбежность реализации атаки.

Д.3.4 Для моделирования угроз безопасности информации с использованием аппарата марковских и полумарковских процессов применяют в основном процессы с непрерывным временем и дискретными состояниями. При этом отсутствуют логические условия выполнения моделируемого процесса, а также должны быть корректно определены его вероятностно-временные характеристики.

Если имеет место большое количество состояний, то на практике приходится использовать приближенные решения. Для моделей угроз на основе марковских процессов характерно не только отсутствие логических условий реализации угроз безопасности информации, но и действий, выполняемых параллельно.

В общем случае при проведении системного анализа возникновение и реализация угрозы формально представляет собой сумму последовательно выполняемых действий:

,

(Д.22)

где В _u() - формализованное описание совокупности действий, связанных со сбором информации за время относительно системы, необходимой для реализации u-й угрозы;

Х _u() - формализованное описание совокупности действий, направленных на непосредственное формирование необходимых условий для "успешной" реализации u-й угрозы (например, внедрения вредоносной программы, повышения привилегий, изменения настроек системы защиты или блокирования выполнения ею команд и т.д.) в течение времени ;

G _u() - формализованное описание совокупности действий, связанных с реализацией угрозы за время (например, с проникновением в операционную среду атакуемого компьютера, поиском необходимой информации и выполнением непосредственных несанкционированных действий с пользовательской или системной информацией - уничтожением, блокированием, копированием, модификацией, несанкционированным запуском приложений);

S _u() - формализованное описание совокупности действий по скрытию следов реализации угрозы в течение времени .

В зависимости от целей системного анализа действия по скрытию следов в течение времени могут быть включены в этап атакующих действий (если они учитываются при моделировании динамики реализации угроз безопасности информации). Действия, направленные на сбор необходимой информации о системе и непосредственное формирование необходимых условий для "успешной" реализации угрозы, рассматривают как совокупность действий, выполняемых в течение единого времени подготовки к реализации угрозы .

Графически марковский процесс представляют в виде ориентированного графа, содержащего состояния процесса и дуги, указывающих направления изменения возможных состояний. Если моделируемый марковский процесс описывается K состояниями, в которые он переходит последовательно в течение рассматриваемого времени, то динамику переходов из состояния в состояние описывают системой стохастических дифференциальных уравнений:

,

(Д.23)

где (t) - вероятность того, что марковский процесс в момент времени t находится в j-м состоянии;

(t) - интенсивность перехода процесса из состояния k в состояние j, в общем случае зависящая от времени. На практике делают предположение о стационарности марковских процессов, когда указанная интенсивность не зависит от времени и равна .

Решение системы дифференциальных уравнений (Д.23) позволяет рассчитать вероятность перехода марковского процесса в конечное состояние, соответствующее состоянию реализации угрозы. Именно эта расчетная вероятность характеризует собой вероятность реализации угрозы.

Д.3.5 Пример Д.3. Пусть в ходе проведения мероприятий по модернизации системы защиты информации в автоматизированной системе некоторого органа власти в соответствии с [2], [10]-[12] и ГОСТ Р 27002 проводится анализ и оценка рисков реализации возможных угроз безопасности информации. Одной из таких угроз является угроза несанкционированного доступа, основанного на внедрении программной закладки - вредоносной программы, например, типа "троянский конь". С использованием этой вредоносной программы осуществляется поиск открытых портов, затем перехват пароля, установление соединения с абонентом по сетевому адресу и передача перехваченного пароля для расшифровки. Затем нарушитель захватывает сеанс TCP-соединения и получает доступ в операционную среду компьютера. Тем самым нарушитель достигает цели своей компьютерной атаки.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "ГОСТ Р 27002" следует читать "ГОСТ Р ИСО/МЭК 27002"

Требуется оценить возможность реализации угрозы несанкционированного доступа с использованием вредоносной программы типа "троянский конь".

Возможно следующее решение для примера Д.3.

Для оценки вероятности реализации такой атаки используется марковская модель, граф состояний которой приведен на рисунке Д.2.

Рисунок Д.2 - Граф, описывающий динамику развития компьютерной атаки, основанной на внедрении программной закладки

На графе используются следующие обозначения:

0 - состояние, когда нарушитель готов к попыткам внедрения программной закладки;

1 - состояние, когда программная закладка внедрена и осуществляется анализ сети (выявление открытых портов);

2 - состояние, когда выявлен открытый порт и программная закладка осуществляет перехват пароля доступа;

3 - состояние, когда пароль доступа перехвачен и программная закладка запрашивает сеанс связи от имени хоста-цели атаки с передачей выявленной информации нарушителю;

4 - состояние, когда сеанс связи с нарушителем установлен, т.е. нарушитель получил доступ в операционную среду компьютера по сети с использованием выявленного порта.

Переход из состояния в состояние описывается системой дифференциальных уравнений:

,

(Д.24)

где (t) ... (t) - производные от вероятностей P ₀(t) ... P ₄(t) соответственно.

Интенсивности переходов из состояния в состояние и вероятности, характеризующие течение марковского процесса, определяются следующим образом:

- интенсивность внедрения программной закладки;

Р _инф, - вероятность и среднее время внедрения программной закладки;

- интенсивность выявления открытого порта;

Р _пopт, - вероятность и среднее время выявления открытого порта;

- интенсивность выявления пароля;

Р _пар, - вероятность и среднее время выявления пароля;

- интенсивность установления сеанса связи между программной закладкой и нарушителем;

Р _св, - вероятность и среднее время установления сеанса связи;

- интенсивность перехода процесса в начальное состояние в случае срыва выявления свободного порта;

- интенсивность перехода процесса в начальное состояние в случае срыва выявления пароля;

- интенсивность перехода процесса в начальное состояние в случае срыва установления сеанса связи между программной закладкой и нарушителем.

При этом вероятность и среднее время подбора пароля за n попыток при прямом переборе определяют по формулам:

,

(Д.25)

где А - число символов в алфавите, на основе которого сформирован пароль;

w - длина пароля;

Т _пар - время выполнения одной попытки ввода пароля.

Для приведенного графа состояний процесса среднее время перехода в последнее состояние (т.е. среднее время несанкционированного доступа) определяется из полученного путем решения системы дифференциальных уравнений (Д.24) соотношения

,

(Д.26)

где Р _инф > 0, Р _порт > 0, Р _пар > 0, Р _св > 0.

При этом если хотя бы одна из этих вероятностей стремится к 0, несанкционированный доступ становится невозможным (), а вероятность реализации угрозы (например, копирования защищаемой информации) за время t рассчитывают по формуле

,

(Д.27)

где - среднее время выполнения деструктивного действия.

Примечание - При значениях , близких к нулю, и значениях , отличных от 0, вероятность реализации угрозы будет определяться только средним временем выполнения деструктивного действия, т.е. P _u(t) = 1 - ехр(-t/). Если среднее время выполнения деструктивного действия тоже стремится к 0, то реализация угрозы неизбежна: вероятность P _u(t) стремится к 1.

Графики зависимости P _u(t) и P _u(P _nap) при условии неравенства средних времен несанкционированного доступа и выполнения деструктивного действия представлены на рисунке Д.3.

Системный анализ результатов расчетов показал, что с увеличением времени, в течение которого может быть реализована угроза несанкционированного доступа к защищаемой информации, независимо от значения вероятности подбора пароля вероятность реализации угрозы стремится к единице. При ограниченном времени, в течение которого может быть реализована угроза, на возможность ее реализации определяющим образом влияют как вероятность и продолжительность подбора пароля, так и вероятности и времена выявления открытого порта, внедрения программной закладки и установления сеанса связи между программной закладкой и нарушителем.

 = 2 с,  = 10 с,  = 10 с,  = 120 с, Р _порт = 0,9, Р _инф = 0,8, Р _св = 0,9

Рисунок Д.3 - Зависимости вероятности реализации угрозы от времени (а) и вероятности вскрытия пароля (б)

Д.3.6 Для полумарковских процессов (ПМП) характерно наличие:

- разветвлений, при этом выбор ветви, по которой развивается процесс, происходит с заданной вероятностью;

- параллельно выполняемых во времени действий, при этом, как и для марковских процессов, для них отсутствуют логические условия реализации угроз безопасности информации.

Суть ПМП состоит в следующем. Пусть в начальный момент времени t = 0 моделируемый процесс находится в состоянии i, i  I в течение некоторого случайного времени , после чего процесс мгновенно переходит в состояние j, j  I. Время - это случайная величина с произвольной функцией распределения F _ij(t), a переход процесса из состояния i в состояние j происходит с вероятностью   0 с выполнением условия

Если из состояния j процесс переходит в состояние k, k  I, то в состоянии j процесс пребывает случайное время , имеющее произвольное распределение F _jk(t) - см. рисунок Д.4.

Рисунок Д.4 - Динамика протекания полумарковского процесса

ПМП является скачкообразным случайным процессом, при этом распределение времени пребывания ПМП в каждом состоянии не обязательно является экспоненциальным.

Примечание - Для ПМП характерно то, что процесс мгновенных вероятностных переходов представляет собой вложенную цепь Маркова.

Полумарковский процесс представляют в виде ориентированного графа (рисунок Д.5).

Рисунок Д.5 - Пример графа состояний и переходов полумарковского процесса

ПМП задают одним из следующих способов:

- начальным распределением р = {р _i, i  I}, с использованием которого выбирается исходное состояние i, и связанной с ПМП матрицей Q(t), элементы которой удовлетворяют следующим условиям:

а) q _ij(t)  = 0, если t = 0;

б) q _ij(t) - неубывающие, непрерывные справа функции для t  0,

в) - функция распределения времени пребывания процесса в состоянии i;

- начальным распределением р = {р _i, i  I}, матрицей переходных вероятностей вложенной цепи Маркова {, i, j  I} и матрицей функции распределения {F _ij(t), i, j  I} времени пребывания процесса в состоянии i при условии, что переход осуществляется в состояние j;

- начальным распределением р = {р _i, i  I} множеством функций распределения {F _i(t), i  I} времени пребывания и матрицей Q(t) с элементами q _ij(t) условных вероятностей того, что ПМП (t) попадет в состояние j, пробыв в состоянии i время не более t.

В качестве примера ниже приведены применяемые на практике представления элементов матриц Q(t), связанных с ПМП:

;

(Д.28)

;

(Д.29)

.

(Д.30)

С использованием матрицы Q(t) определяют переходные вероятности F _ij(t) (т.е. вероятности перехода из состояния i в состояние j за время t) путем решения системы интегро-дифференциальных уравнений следующего вида:

,

(Д.31)

где q' _ik(x) - производная от элемента q _ij(t) матрицы Q(t);

P _i(t) - вероятность того, что ПМП не покинет к моменту времени t состояния i;

- символ Кронекера, .

Если определить среднее время пребывания в состоянии i при условии, что после его окончания процесс перейдет в состояние j, через , то среднее время пребывания ПМП в состоянии i вычисляют из соотношения:

,

(Д.32)

а переходные вероятности по формуле

.

(Д.33)

Д.3.7 Пример Д.4. Пусть при анализе угроз безопасности информации в системе в соответствии с [10]-[12] необходимо рассчитать вероятность реализации угрозы несанкционированного доступа к файлу с конфиденциальной информацией одним из следующих двух способов: путем повышения привилегий (1-й способ) или путем изменения учетных записей (2-й способ).

Возможно следующее решение для примера Д.4.

Оба практических способа 1 и 2 основаны на внедрении соответствующих вредоносных программ. В этих условиях для моделирования применим аппарат ПМП. Граф соответствующего полумарковского процесса с двумя способами формального представления реализации угрозы несанкционированного доступа к файлам с защищаемой информацией приведен на рисунке Д.6.

На графе используются следующие обозначения. Цифрами в кружках обозначены номера состояния процесса:

0 - запущен процесс внедрения вредоносных программ или для изменения учетных записей, или для повышения привилегий с несанкционированным использованием системных функций;

1 - внедрена вредоносная программа для изменения учетных записей и запущена на выполнение, изменена учетная запись, созданы условия для проникновения к файлу с конфиденциальной информацией, начата попытка проникновения;

2 - получен доступ к файлу с конфиденциальной информацией, начато копирование файла в выбранную область памяти или на флэш-носитель;

3 - внедрена и запущена на выполнение вредоносная программа для повышения привилегий атакующего;

4 - повышены привилегии атакующего, начата попытка проникновения;

5 - получен доступ к файлу с конфиденциальной информацией, файл скопирован в выбранную область памяти или на флэш-носитель, угроза реализована.

Рисунок Д.6 - Граф полумарковского процесса при формальном представлении реализации угрозы несанкционированного доступа к файлам с защищаемой информацией

Время соответствует среднему значению времени перехода процесса из состояния i в состояние j, а и - вероятностям применения первого и второго способов соответственно.

В предположении, что время пребывания в i-м состоянии распределено экспоненциально, плотность распределения времени перехода в состояние j определяют в виде

,

(Д.34)

при этом и .

Из формулы (Д.31) плотность распределения вероятности перехода процесса из нулевого состояния в конечное состояние (состояние 5) представляет собой свертку плотностей распределения вероятностей переходов из состояния в состояние по траекториям перемещения, соответствующим первому и второму способам доступа:

(t) = f ₀₁(t) * f ₁₂(t) * f ₂₅(t) - для первого способа несанкционированного доступа;

(t) = f ₀₃(t) * f ₃₄(t) * f ₄₅(t) - для второго способа несанкционированного доступа.

Здесь знак * обозначает операцию свертки.

При экспоненциальной аппроксимации распределений вероятностей следует

.

(Д.35)

Вероятность того, что за время t процесс достигнет конечного состояния, т.е. перейдет из состояния 0 в состояние 5 и тем самым угроза безопасности информации будет реализована, определяется из соотношения

.

(Д.36)

С учетом того, что ,

.

(Д.37)

График расчетной зависимости для выбранных значений средних времен выполнения соответствующих процессов приведен на рисунке Д.7.

Рисунок Д.7 - График зависимости вероятности достижения моделируемым процессом конечного состояния за время t при  = 1с,  = 2с

Системный анализ расчетов показал, что без применения мер защиты угроза несанкционированного доступа одним из рассматриваемых способов с высокой вероятностью (выше 0,8) может быть реализована за единицы секунд.

Д.3.8 Более широкими возможностями для моделирования угроз безопасности информации обладает аппарат составных сетей Петри-Маркова (СПМ) с логическими условиями выполнения моделируемого процесса. Логические условия определяют правила срабатывания специально вводимых в СПМ логических переходов.

Краткая характеристика таких сетей сводится к следующему.

Пусть моделируемый процесс состоит из нескольких подпроцессов, каждый из которых происходит или между начальной позицией и логическим переходом, или между двумя логическими переходами, или между логическим переходом и конечной позицией процесса. Такие СПМ названы составными. Как и традиционные СПМ, составные сети представляются в виде ориентированного графа (см. рисунок Д.8), в котором кружки (позиции) означают состояния моделируемого процесса, вертикальные или горизонтальные черты - переходы процесса между состояниями, а дуги - направления перемещения процесса из состояния (или состояний) в переход или из перехода в состояния.

Каждому логическому переходу поставлена в соответствие определенная пропозиционная логика срабатывания. Перемещение подпроцесса по состояниям может происходить по нескольким траекториям, время перемещения из состояния в переход в общем случае является конечным и случайным. При этом принято допущение, что перемещение из перехода в состояние происходит мгновенно (поскольку на практике это время на порядки меньше времени перемещения из состояния в переход).

Для обозначения перемещения процесса по СПМ используют метки (как и в сетях Петри), при этом позиции в зависимости от состояния процесса, разделяются на помеченные и непомеченные. Множество помеченных позиций называют разметкой СПМ. Разметка может быть начальной (0-разметка) и текущей (n-разметка), при этом 0-разметка формируется при старте процесса, а n-разметка - после n шагов процесса.

Рисунок Д.8 - Пример графа составной сети Петри-Маркова

Примечание - В общем случае может быть определена любая логика срабатывания логического перехода. Это значительно расширяет возможности моделирования в отличие от классических сетей Петри-Маркова, когда переходы срабатывают только тогда, когда для каждой входящей в переход дуги имеется не менее одной метки в инцидентной позиции (на практике метки могут именоваться маркерами или фишками).

При построении графа составной СПМ следует соблюдать следующие правила:

- СПМ должна начинаться с одной или нескольких начальных позиций и заканчиваться конечной позицией;

- должна быть установлена начальная разметка сети;

- в сети не может быть две подряд позиции или два подряд перехода;

- в сети могут применяться кратные дуги, но тогда в состоянии, из которого они исходят, должно находиться или накапливаться такое же или большее количество маркеров к переходам, в которые входят кратные дуги, должны быть сопоставлены соответствующие правила срабатывания;

- из перехода СПМ может исходить несколько дуг, при этом если в переход поступил один маркер, то по всем исходящим из него дугам выходит по одному маркеру;

- для логического перехода характерно то, что он всегда имеет две и более входящих дуг;

- в СПМ могут иметь место тупиковые позиции, в которых развитие процесса прекращается (например, для того чтобы показать, где может остановиться процесс, не достигнув конечной позиции);

- наличие нескольких траекторий, которые выходят из одной позиции, свидетельствуют о том, что моделируемый подпроцесс является полумарковским и для него используется аппарат, характеристика которого представлена в Д.3.6;

- на графе СПМ переходы обозначаются номером с буквой z, а позиции просто нумеруются, в индексах функций и параметров (например, для вероятностей выбора пути развития процесса) первая цифра означает номер состояния, из которого исходит дуга, а вторая через запятую - номер перехода, в который она входит.

Каждый подпроцесс, т.е. перемещение моделируемого процесса по одной из траекторий, является марковским процессом, при этом время перемещения по траектории рассчитывается как сумма случайных времен перемещения из позиций в переходы. Например, между двумя логическими переходами по траектории имеется N позиций и переходов (см. рисунок Д.9), в общем случае по каждой из дуг, входящих в переход, процесс перемещается за конечное случайное время. Тогда среднее время перемещения подпроцесса из позиции 0 в переход N(z) по рассматриваемой траектории представляет собой сумму средних значений независимых случайных величин:

.

(Д.38)

В логическом переходе могут сходиться или две и более траекторий одного подпроцесса, или два и более подпроцессов. С учетом времен перемещения, входящих в логический переход подпроцессов, рассчитывается среднее время срабатывания логического перехода.

В таблице Д.1 приведены соотношения для расчета времен срабатывания наиболее широко используемых в моделировании реализации угроз безопасности информации логических переходов.

Рисунок Д.9 - Траектория перемещения подпроцесса по сети Петри-Маркова по одной из траекторий между двумя логическими переходами

Таблица Д.1 - Соотношения для расчета среднего времени срабатывания переходов

Логическое условие	Соотношение для расчета среднего времени срабатывания перехода	Объяснение логики действий
	Для двух входящих дуг ; для трех входящих дуг	Логика "И": процесс приходит к переходу по всем дугам; , , - средние времена на логический переход по дугам 1, 2 и 3 соответственно
	Для двух входящих дуг ; для трех входящих дуг	Логика "ИЛИ": процесс приходит к переходу хотя бы по одной из дуг
	Для трех входящих дуг	Логика "И-ИЛИ": процесс приходит к переходу по первой (А) и второй (В) дугам или по третьей (С) дуге
	Для двух входящих дуг:	Логика "И-НЕ": процесс приходит к переходу по первой (А) дуге и не успевает прийти по второй дуге ()
	Для трех входящих дуг:	Логика "И-НЕ" для трех дуг: процесс приходит по первым двум (А и В) дугам и не успевает прийти по третьей дуге ()
	Для двух входящих дуг: . Обозначение (2) в верхнем индексе означает отношение к двум входящим дугам, обозначение "И&НБ" в нижнем индексе означает отношение к применяемой логике "И-НЕ(Блок)", связанной с отсутствием блокирования действий по второй дуге - см. объяснение в правой колонке этой строки	Логика "И-НЕ(Блок)": для двух дуг: поток по первой дуге подошел к переходу (условие А) и поток по второй дуге не заблокирован с вероятностью 1 - Р 21 (условие В°). Если процесс по второй дуге заблокирован, то блокируется срабатывание логического перехода независимо от выполнения условия А
	Для трех входящих дуг: . Обозначение (3) в верхнем индексе означает отношение к трем входящим дугам, обозначение "И&НБ" в нижнем индексе означает отношение к применяемой логике "И-НЕ(Блок)", связанной с блокированием действий - см. объяснение в правой колонке этой строки	Логика "И-НЕ(Блок)" для трех дуг: потоки по первым двум дугам подошли к переходу (условия А и В) и по третьей дуге поток не заблокирован с вероятностью 1 - Р 31 (условие С°). Если процесс по третьей дуге заблокирован, то блокируется срабатывание логического перехода независимо от выполнения условий А и В

С использованием соотношений из таблицы Д.1 могут быть рассчитаны общее среднее время реализации угрозы и вероятность ее реализации за заданное время.

Д.3.9 Пример Д.5. Пусть в модернизируемой системе, обеспечивающей деятельность коммерческого предприятия, в соответствии с требованиями ГОСТ Р 27002 оценивают риски реализации угроз. Установлено, что одной из таких угроз является запуск вредоносного скрипта, который может быть внедрен с использованием файла типа cookie с последующим копированием необходимой информации (файл типа cookie - это небольшой фрагмент данных, отправляемый web-сервером и хранимый на компьютере пользователя, используется для аутентификации пользователя, хранения персональных предпочтений и настроек пользователя, отслеживания состояния сеанса доступа пользователя, в переводе с английского "cookie" - "печенье").

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "ГОСТ Р 27002" следует читать "ГОСТ Р ИСО/МЭК 27002"

Требуется оценить риск реализации угрозы запуска вредоносного скрипта, внедряемого с использованием файла типа cookie.

Возможно следующее решение для примера Д.5.

На рисунке Д.10 приведена СПМ, описывающая в графическом виде процесс реализации угрозы копирования информации с использованием файла cookie в условиях отсутствия мер защиты.

Рисунок Д.10 - Граф СПМ, описывающий процесс реализации угрозы для запуска вредоносного скрипта в условиях отсутствия мер защиты

На графе цифрами в кружках обозначены номера состояний процесса, цифрами с буквой z в скобка