Приложение Д (справочное). Типовые методы и модели для прогнозирования рисков. Национальный стандарт РФ ГОСТ Р 59346-2021 "Системная инженерия. Защита информации в процессе определения системных требований" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30.04.2021 N 332-ст)

Приложение Д
(справочное)

Типовые методы
и модели для прогнозирования рисков

Д.1 Общие положения

Д.1.1 С учетом необходимости решения вопросов ЗИ в ходе системного анализа должна проводиться оценка рисков нарушения надежности реализации процесса определения системных требований в целом и рисков реализации угроз безопасности информации в системе в течение всего ее жизненного цикла - см. Д.2-Д.5, а также модели, рекомендуемые ГОСТ Р 59349.

Д.1.2 Риск реализации угрозы должен оцениваться с учетом всех факторов, критично влияющих на возможность реализации угроз. Например, к таким факторам относятся:

- существенность рассматриваемых угроз, выражаемая в неприемлемом ущербе от возможной реализации угрозы в данной системе (см. приложение Ж);

- направленность угроз безопасности информации, реализация которых может приводить как к нарушению функционирования системы или отдельных ее программных и/или программно-аппаратных элементов (например, к уничтожению программ, команд и данных, их блокированию, перемещению, модификации), так и к несанкционированному копированию информации, не подлежащей распространению, и/или к несанкционированному запуску приложений;

- фактор времени, когда необходимо учитывать вероятностно-временные характеристики попыток реализации угроз и реакции системы защиты на эти попытки, продолжительность этапов жизненного цикла системы, в течение которых могут быть реализованы угрозы;

- возможность использования в ходе функционирования системы данных о системе, собираемых на предыдущих стадиях жизненного цикла;

- состав и характеристики принимаемых мер защиты информации, общесистемного и прикладного программного обеспечения системы.

Более высокая адекватность оценки рисков, обусловленная необходимостью учета фактора времени, достигается при наличии корректных исходных данных по временным характеристикам нарушения надежности реализации процесса определения системных требований в целом и характеристикам реализации угроз безопасности в системе. Для получения таких данных могут быть использованы результаты анализа прецедентов, а также результаты экспериментальных исследований нарушения надежности функционирования аналогичных систем и реализации угроз безопасности информации в них.

Д.1.3 При оценке риска появление и реализация угроз формально могут быть рассмотрены как совокупности последовательно выполняемых действий, таких как:

- изучение и анализ объекта для реализации угроз безопасности информации в системе;

- формирование условий для "успешной" реализации угроз (например, несанкционированного повышения привилегий, изменения учетных записей, внедрения вредоносной программы), в том числе выявление наличия уязвимостей в системном или прикладном программном обеспечении системы и, прежде всего, в мерах и средствах защиты;

- получение тем или иным способом непосредственного доступа при наличии физического доступа нарушителя к элементам информационной системы (серверу, рабочим станциям, коммуникационным устройствам) или удаленного доступа (по сети) в операционную среду системы;

- получение доступа к командам операционной системы, поиск необходимой информации и выполнение несанкционированных действий (например, копирования, модификации, уничтожения, перемещения);

- передача большого количества пакетов сообщений, передача специально сформированных пакетов, обработка которых приводит к нарушению функционирования системы;

- сокрытие следов реализации угроз (например, записей в журналах, изменений в системном реестре).

Примечание - Словосочетание "успешности" реализации угроз здесь и далее употребляется в кавычках, т.к. при проведении системного анализа "успешная" реализация угроз рассматривается с позиции опасного воздействия на моделируемую систему для определения эффективных мер, средств и способов противодействия этой "успешности".

Д.1.4 Оценка риска реализации угроз безопасности информации должна проводиться как в условиях применения штатных мер ЗИ, так дополнительных мер, определение состава и характеристик которых осуществляют в процессе определения системных требований. Для оценки влияния технических мер должны быть разработаны соответствующие модели, в т.ч. модели для оценки риска реализации угроз, учитывающие способы преодоления или обхода рассматриваемых мер и средств ЗИ - см. Д.3-Д.5.

Д.2 Модель для оценки рисков нарушения надежности реализации процесса определения системных требований в части защиты информации

Д.2.1 Риски нарушения надежности реализации процесса определения системных требований в части ЗИ включают в себя риски нарушения функционирования системы и риски утечки информации о системе или информации, обрабатываемой в системе на каждой стадии и в течение всего ее жизненного цикла. Эти риски оценивают соответствующими вероятностями.

Примечание - При использовании вероятностных моделей делается предположение о повторяемости событий.

Вероятность нарушения надежности реализации процесса определения системных требований Р _пр(Т _экспл) в части ЗИ применительно к стадии эксплуатации системы (в т.ч. стадии сопровождения) продолжительностью Т _экспл при наличии на этой стадии U угроз безопасности информации, направленных на нарушение функционирования системы или на хищение конфиденциальной информации, рассчитывают по формуле

,

(Д.1)

где P _u(T _экспл/T _s) - условная вероятность того, что на стадии эксплуатации продолжительностью Т _экспл будет реализована U-я угроза при условии, что хотя бы на одной из предыдущих s-x стадий жизненного цикла или на стадии эксплуатации (s  i, i - условный номер стадии эксплуатации) будет реализована хотя бы одна угроза, в результате чего произойдет утечка информации о системе или внедрена вредоносная программы, позволяющая реализовать u-ю угрозу безопасности информации на стадии эксплуатации. Расчет осуществляют по формуле

,

(Д.2)

где Р _u(Т _экспл) - вероятность того, что угроза на стадии эксплуатации системы продолжительностью Т _экспл будет реализована при наличии необходимой информации, добытой или на стадии эксплуатации, или на одной из предыдущих стадий, или в результате внедрения на этих стадиях вредоносной программы;

P _j(u)(T _s) - вероятность реализации j(u)-й угрозы утечки информации на s-й стадии жизненного цикла продолжительностью T _s (предшествующей стадии эксплуатации с номером i или на стадии эксплуатации), необходимой для реализации u-й угрозы на стадии эксплуатации системы, j(u) = 1, ..., J(u, s);

J(u, s) - количество угроз на s-й стадии жизненного цикла, реализация которых может привести к утечке информации, используемой для реализации u-й угрозы на стадии эксплуатации системы.

Если угрозы, направленные на нарушение функционирования системы, и угрозы утечки конфиденциальной информации учитывают раздельно, формула (Д.2) имеет следующий вид:

- если информация, используемая для реализации угрозы нарушения функционирования системы, добывается на стадии эксплуатации, то

;

(Д.3)

- если информация, используемая для реализации угрозы нарушения функционирования системы на стадии эксплуатации, добывается на предыдущих стадиях, то

;

(Д.4)

- если информация, используемая для реализации угрозы хищения конфиденциальной информации на стадии эксплуатации, добывается на этой же стадии, то

;

(Д.5)

- если информация, используемая для реализации угрозы хищения конфиденциальной информации на стадии эксплуатации, добывается на предыдущих стадиях, то

;

(Д.6)

где Р _фu(Т _экспл) и Р _конф u(Т _экспл) - соответственно вероятности реализации угроз нарушения функционирования и утечки конфиденциальной информации на стадии эксплуатации системы (в т.ч. стадии сопровождения);

(T _s) - вероятность реализации угрозы на s-й стадии, предшествующей или соответствующей стадии эксплуатации (в т.ч. стадии сопровождения), в результате чего произойдет утечка информации о системе или осуществлено потенциально опасное изменение (например, внедрена вредоносная программа), что позволит реализовать u-ю угрозу нарушения функционирования системы на стадии эксплуатации;

(T _s) - вероятность реализации угрозы на s-й стадии, предшествующей или соответствующей стадии эксплуатации (в т.ч. стадии сопровождения), в результате чего произойдет утечка информации о системе или осуществлено потенциально опасное изменение (например, внедрена вредоносная программа), что позволит реализовать u-ю угрозу утечки информации о системе или обрабатываемой в системе на стадии эксплуатации;

J(u, s, ) - общее количество угроз утечки информации (или внедрения вредоносной программы) на s-й стадии жизненного цикла системы, предшествующей стадии эксплуатации, необходимой для реализации u-й угрозы нарушения функционирования системы на стадии эксплуатации;

J(u, s, конф) - общее количество угроз утечки информации (или внедрения вредоносной программы) на s-й стадии жизненного цикла системы, предшествующей стадии эксплуатации, необходимой для реализации на стадии эксплуатации u-й угрозы утечки информации о системе или информации, обрабатываемой в системе.

Вероятность Р _ф u(Т _экспл) того, что на стадии эксплуатации будет добыта информация о системе, необходимая для последующей реализации на этой же стадии угроз нарушения ее функционирования, и вероятность Р _конф u(Т _экспл) утечки конфиденциальной информации рассчитывают по сходным формулам:

- если , то

;

(Д.7)

- если = , то

;

(Д.8)

- если , то

;

(Д.9)

- если = , то

;

(Д.10)

где и - соответственно ожидаемые интенсивности "успешных" попыток реализации угроз на стадии эксплуатации системы, связанных с нарушением функционирования системы и утечкой информации, подлежат определению с использованием соотношений

;

(Д.11)

где и - соответственно ожидаемые интенсивности попыток реализации угроз на стадии эксплуатации системы, связанных с нарушением ее функционирования и утечкой конфиденциальной информации (подлежат определению для осуществления моделирования);

R _ф u и R _конф u - вероятности того, что в каждой попытке угроза, направленная соответственно на нарушение функционирования системы и утечку конфиденциальной информации, будет реализована на стадии эксплуатации системы (этими вероятностями оценивается и влияние мер защиты на возможности реализации указанных угроз);

и - соответственно ожидаемые интенсивности "успешных" попыток реализации угроз на стадии эксплуатации системы, связанных с добыванием информации о системе в интересах нарушения ее функционирования и утечкой конфиденциальной информации, подлежат определению с использованием соотношений

;

(Д.12)

и - соответственно ожидаемые интенсивности попыток реализации угроз на стадии эксплуатации системы, связанных с добыванием информации, используемой для нарушения функционирования системы и выявлением конфиденциальной информации (подлежат определению для осуществления моделирования);

R _ф доб и R _{конф доб} - вероятности того, что в каждой попытке угроза выявления информации о системе, необходимой для последующего нарушения ее функционирования или, соответственно, хищения конфиденциальной информации, будет реализована на стадии эксплуатации системы (этими вероятностями оценивается и влияние мер защиты на возможности реализации указанных угроз).

Вероятности Р _ф u(Т _экспл), Р _конф u(Т _экспл), (T _s) и (T _s) в случае, когда информация о системе, необходимая для реализации угроз, имеется, определяют по следующим формулам:

;

(Д.13)

;

(Д.14)

;

(Д.15)

,

(Д.16)

где (s) и (s) - соответственно интенсивности попыток реализации угроз на s-й стадии, направленных на утечку информации о системе (или информации, обрабатываемой в системе) или на внедрение вредоносной программы, что позволит реализовать u-ю угрозу нарушения функционирования системы или хищения конфиденциальной информации на стадии эксплуатации (подлежат определению для осуществления моделирования);

и - вероятности того, что в каждой попытке угроза, направленная соответственно на нарушение функционирования системы или на хищение конфиденциальной информации на s-й стадии, будет реализована.

Примечания

1 За счет умножения на вероятности соответственно R _ф u, R _конф u, , в формулах (Д.11), (Д.13-Д.16) и на вероятности R _ф доб и R _{конф доб} в формуле (Д.12) происходит "просеивание" потока изначальных попыток реализации угроз. В результате произведения осуществляется прореживание исходного потока попыток, в итоге осуществляется учет лишь "успешных" попыток реализации угроз. В итоге интенсивности "успешных" попыток реализации угроз уменьшаются с изначальных уровней , , (s) и (s) до уровней , , (s) и (s) соответственно. Именно этот эффект "просеивания" отражен в формулах (Д.11)-(Д.16).

2 Значения величин , , R _ф u, R _конф u, (s), (s), , следует указывать в частной модели угроз безопасности информации, разрабатываемой в соответствии с [10], [11] для каждой создаваемой, модернизируемой и подлежащей эксплуатации системы с учетом всех стадий ее жизненного цикла

3 Для получения статистических данных по , , R _ф u, R _конф u, (s), (s), и , близким к реальности, в качестве вспомогательных средств могут быть использованы технологические стенды или стендовые полигоны, применяемые для оценки достижимых показателей защищенности и устойчивости функционирования систем в имитируемых условиях несанкционированных информационно-технических воздействий - см. ГОСТ Р 59342 и ГОСТ Р 59355.

Д.2.2 Интегральную вероятность нарушения надежности реализации процесса с учетом угроз безопасности информации в течение всего жизненного цикла системы Р _инт(Т _жц) определяют из соотношения

,

(Д.17)

где Р _пр(Т _экспл) - вероятность нарушения надежности реализации процесса определения системных требований в части ЗИ применительно к стадии эксплуатации системы (в т.ч. стадии сопровождения) продолжительностью Т _экспл - см. формулу (Д.1);

Р _конф(Т _вых) - вероятность реализации угрозы утечки информации о системе или информации, полученной в результате ее функционирования, на стадии выведения системы из эксплуатации (s = 6) продолжительностью Т _вых

,

(Д.18)

где - ожидаемая интенсивность попыток реализации угроз утечки информации на стадии выведения системы из эксплуатации (подлежит определению для осуществления моделирования);

R _вых - вероятность утечки информации в каждой попытке реализации угрозы на стадии выведения системы из эксплуатации.

Д.2.3 Пример ДА. Пусть прогнозируемая продолжительность стадии эксплуатации (s = 4) системы, разрабатываемой для городской администрации, составляет 10 лет (T _s = Т _экспл = 10 лет = 87600 ч). В системе предполагается обработка конфиденциальной информации, содержащей сведения служебного характера. Система относится к государственной и к ней предъявляются требования по защите информации в соответствии с [3], [10]. В соответствии с разработанной моделью угроз безопасности информации на этапе эксплуатации системы возможна реализация угроз несанкционированного копирования обрабатываемой в ней конфиденциальной информации. Угрозы могут быть реализованы путем проникновения в операционную среду системы и повышения привилегий нарушителем, а также с использованием вредоносной программы, внедряемой на стадии поставки (s = 3) системы заказчику продолжительностью 3 месяца (T _s = Т _пост = 2160 ч). Если вредоносная программа окажется внедренной, то копирование информации при отсутствии необходимых мер защиты вполне обоснованно можно предположить неизбежным, т.е. без расчетов по формуле (Д.14) (Т _экспл)  1. Положим, по набранной статистике интенсивности попыток реализации угроз в соответствии с моделью угроз для данной системы составляют (для расчетов использована единая шкала для единиц измерения - "раз в час"):

- для угрозы, реализуемой на стадии эксплуатации путем проникновения в операционную среду, (т.е. один раз в месяц);

- для угрозы внедрения вредоносной программы на стадии поставки (т.е. один раз в десять дней).

Пусть вероятности реализации каждой угрозы в каждой попытке в соответствии с моделью угроз для данной системы составляют на стадии эксплуатации  = 10 ^-2 и на стадии поставки , при этом отсутствует угроза утечки информации на стадии выведения системы из эксплуатации.

Необходимо рассчитать вероятность нарушения надежности реализации процесса определения системных требований в части ЗИ с учетом угроз безопасности информации Р _инт(Т _ж.ц.).

Возможно следующее решение для примера Д.1.

Так как угрозы, направленные на нарушение функционирования системы, отсутствуют, то рассчитывается только вероятность утечки информации в соответствии с формулой (Д.16) для s = 4:

и вероятность внедрения вредоносной программы в соответствии с формулой (Д.16):

.

В связи с тем, что угрозы утечки информации о системе на стадии выведения ее из эксплуатации отсутствуют, т.е. Р _конф(Т _вых) = 0, то в соответствии с формулой (Д.17):

.

Таким образом, вероятность нарушения надежности реализации процесса определения системных требований в примере почти в 5 раз превысит вероятность надежного выполнения процесса [0,83/(1 - 0/83)  4,88]. В интерпретации системной инженерии такая ожидаемая надежность выполнения рассматриваемого процесса неприемлема, необходим поиск более эффективных мер ЗИ.

Д.3 Аналитические методы и модели для оценки вероятностей реализации угроз безопасности информации при прогнозировании рисков

Д.3.1 Аналитические методы и модели должны позволять проведение расчетов вероятности реализации всей совокупности существенных угроз безопасности информации на любом из этапов и в течение всего жизненного цикла системы. Для прогнозирования рисков могут применяться любые возможные методы и модели, обеспечивающие приемлемое достижение поставленных целей. Так, при расчетах вероятностей реализации угроз на практике применяют методы теории надежности, теории массового обслуживания, аппарата марковских и полумарковских процессов, аппарата сетей Петри-Маркова с логическими условиями (см. Д.2, Д.3.2, Д.3.3, Д.3.4). Выбор того или иного метода для моделирования определяется формализованным содержанием реализации угрозы для условий без применения и при применении обосновываемых мер защиты.

Д.3.2 Методы теории массового обслуживания применяют в том случае, когда элемент системы, на который осуществляется воздействие в результате реализации угрозы, может быть представлен в виде системы массового обслуживания (СМО), в которую поступает поток "заявок" - например, поток пакетов сообщений, реализующих рассматриваемую угрозу.

Примечание - В зависимости от содержания угрозы, состава и характеристик мер защиты могут применяться для моделирования однолинейные и многолинейные СМО, СМО с отказами и с очередями, с ограничениями и без ограничений на время пребывания заявок в системе, с различными дисциплинами обслуживания и видами приоритетов заявок (например, с относительными, абсолютными приоритетами или с их комбинацией).

В простых моделях суммарный поток заявок на обслуживание часто полагают пуассоновским (из-за большого количества слагающих его составных потоков, вносящих соизмеримый вклад в общий поток). Такой поток характеризуется интенсивностью поступления заявок в систему , где - средняя продолжительность времени между моментами поступления заявок. Для получения пессимистических оценок временных задержек в очередях длительность обслуживания заявок полагают экспоненциально распределенной с интенсивностью обслуживания , где - средняя продолжительность обслуживания одной заявки. В этом случае загрузку однолинейной СМО без ограничений в обслуживании определяют как отношение: . В качестве примера применения упрощенной модели ниже описана модель для расчета вероятности реализации угрозы компьютерной атаки, получившей название "шторм TCP-запросов" (Transmission Control Protocol - протокол управления передачей, атаку с его использованием называют также с использованием англоязычного наименования "SYN-flooding").

Д.3.3 Пример Д.2. Пусть на некотором государственном предприятии проводится модернизация системы, обеспечивающей автоматизацию управления предприятием, в т.ч. в интересах повышения защищенности обрабатываемой в ней информации. В соответствии с требованиями нормативных правовых актов [10], [11] были выявлены возможные угрозы, которые могут быть реализованы. Установлено, что большая часть угроз может быть реализована из сети общего пользования, к которой ранее было подключено большинство компьютеров модернизируемой системы. Положим, для парирования этих угроз было предложено для взаимодействия с заинтересованными инстанциями через сеть общего пользования выделить только один компьютер, отключив от этой сети остальные компьютеры. Однако подключенный компьютер подвержен компьютерным атакам типа "Отказ в обслуживании", одной из которых является атака "Syn-flooding". Суть атаки заключается в том, что на атакуемый компьютер в составе защищаемой системы передается из сети общего пользования большое количество запросов на установление "полуоткрытого" виртуального соединения по выбранному порту. В результате операционная система, ожидая подтверждения (квитанции) о готовности абонента к связи, держит в буфере информацию о предполагаемом соединении, повторяя посылку сообщений - квитанций о получении запроса на соединение. Если запросов на соединение поступило много, а квитанции от атакующего компьютера не последовало, то буфер оказывается полностью заполненным и система перестает принимать другие запросы по данному порту. Необходимо оценить риск реализации данной атаки.

Требуется оценить защищенность такой системы от компьютерных атак.

Возможно следующее решение для примера Д.2.

Компьютерная атака может быть промоделирована с использованием модели системы массового обслуживания с очередью фиксированной длины при следующих условиях: обслуживающий прибор (компьютер) при поступлении рассматриваемых заявок отказывает и может быть восстановлен по мере истечения фиксированного промежутка времени после переполнения буфера (в котором формируется очередь заявок, т.е. поступающих запросов). Вероятность того, что операционная система компьютера к моменту времени t перестанет принимать новые пакеты информации (т.е. заявки, поступающие на прибор), в результате чего компьютерная атака будет реализована, определяют из соотношения:

,

(Д.19)

где - интенсивность поступления пакетов с запросами на соединение (пакетов с установленным флагом SYN в служебном заголовке);

J _npeд - предельное количество возможных соединений по одному порту, при котором буфер оказывается заполненным.

Среднее время, необходимое для реализации атаки, составляет величину:

.

(Д.20)

Положим, что по прецедентному принципу принят следующий критерий блокировки атаки: если атака обнаружена до момента прихода J _npeд + 1 пакета с некоторой вероятностью Р _обн, то атака блокируется. Вероятность реализации атаки рассчитывают по формуле

.

(Д.21)

В графическом виде на рисунке Д.1 представлены аналитические зависимости риска реализации угрозы от возможностей системы (по обнаружению вторжений при атаке "SYN-flooding"), характеризуемых вероятностью обнаружения Р _обн.

Рисунок Д.1 - Зависимость вероятности реализации компьютерной атаки "SYN-flooding" от вероятности ее обнаружения и блокирования при J _npeд = 300

Системный анализ результатов расчетов показал:

- при вероятности обнаружения атаки выше условного значения 0,9 и, соответственно, принятия мер по ее пресечению, возможности достижения системой состояния "Отказ в обслуживании" быстро уменьшаются;

- с увеличением интенсивности запросов на соединение существенно растет возможность переполнения буфера операционной системы и реализации рассматриваемой атаки - например, с увеличением интенсивности в 5 раз вероятность реализации атаки возрастает более, чем на 35 %, и достигает 0,95 при Р _обн = 0,7. В интерпретации системной инженерии вероятность 0,95 означает неизбежность реализации атаки.

Д.3.4 Для моделирования угроз безопасности информации с использованием аппарата марковских и полумарковских процессов применяют в основном процессы с непрерывным временем и дискретными состояниями. При этом отсутствуют логические условия выполнения моделируемого процесса, а также должны быть корректно определены его вероятностно-временные характеристики.

Если имеет место большое количество состояний, то на практике приходится использовать приближенные решения. Для моделей угроз на основе марковских процессов характерно не только отсутствие логических условий реализации угроз безопасности информации, но и действий, выполняемых параллельно.

В общем случае при проведении системного анализа возникновение и реализация угрозы формально представляет собой сумму последовательно выполняемых действий:

,

(Д.22)

где В _u() - формализованное описание совокупности действий, связанных со сбором информации за время относительно системы, необходимой для реализации u-й угрозы;

Х _u() - формализованное описание совокупности действий, направленных на непосредственное формирование необходимых условий для "успешной" реализации u-й угрозы (например, внедрения вредоносной программы, повышения привилегий, изменения настроек системы защиты или блокирования выполнения ею команд и т.д.) в течение времени ;

G _u() - формализованное описание совокупности действий, связанных с реализацией угрозы за время (например, с проникновением в операционную среду атакуемого компьютера, поиском необходимой информации и выполнением непосредственных несанкционированных действий с пользовательской или системной информацией - уничтожением, блокированием, копированием, модификацией, несанкционированным запуском приложений);

S _u() - формализованное описание совокупности действий по скрытию следов реализации угрозы в течение времени .

В зависимости от целей системного анализа действия по скрытию следов в течение времени могут быть включены в этап атакующих действий (если они учитываются при моделировании динамики реализации угроз безопасности информации). Действия, направленные на сбор необходимой информации о системе и непосредственное формирование необходимых условий для "успешной" реализации угрозы, рассматривают как совокупность действий, выполняемых в течение единого времени подготовки к реализации угрозы .

Графически марковский процесс представляют в виде ориентированного графа, содержащего состояния процесса и дуги, указывающих направления изменения возможных состояний. Если моделируемый марковский процесс описывается K состояниями, в которые он переходит последовательно в течение рассматриваемого времени, то динамику переходов из состояния в состояние описывают системой стохастических дифференциальных уравнений:

,

(Д.23)

где (t) - вероятность того, что марковский процесс в момент времени t находится в j-м состоянии;

(t) - интенсивность перехода процесса из состояния k в состояние j, в общем случае зависящая от времени. На практике делают предположение о стационарности марковских процессов, когда указанная интенсивность не зависит от времени и равна .

Решение системы дифференциальных уравнений (Д.23) позволяет рассчитать вероятность перехода марковского процесса в конечное состояние, соответствующее состоянию реализации угрозы. Именно эта расчетная вероятность характеризует собой вероятность реализации угрозы.

Д.3.5 Пример Д.3. Пусть в ходе проведения мероприятий по модернизации системы защиты информации в автоматизированной системе некоторого органа власти в соответствии с [2], [10]-[12] и ГОСТ Р 27002 проводится анализ и оценка рисков реализации возможных угроз безопасности информации. Одной из таких угроз является угроза несанкционированного доступа, основанного на внедрении программной закладки - вредоносной программы, например, типа "троянский конь". С использованием этой вредоносной программы осуществляется поиск открытых портов, затем перехват пароля, установление соединения с абонентом по сетевому адресу и передача перехваченного пароля для расшифровки. Затем нарушитель захватывает сеанс TCP-соединения и получает доступ в операционную среду компьютера. Тем самым нарушитель достигает цели своей компьютерной атаки.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "ГОСТ Р 27002" следует читать "ГОСТ Р ИСО/МЭК 27002"

Требуется оценить возможность реализации угрозы несанкционированного доступа с использованием вредоносной программы типа "троянский конь".

Возможно следующее решение для примера Д.3.

Для оценки вероятности реализации такой атаки используется марковская модель, граф состояний которой приведен на рисунке Д.2.

Рисунок Д.2 - Граф, описывающий динамику развития компьютерной атаки, основанной на внедрении программной закладки

На графе используются следующие обозначения:

0 - состояние, когда нарушитель готов к попыткам внедрения программной закладки;

1 - состояние, когда программная закладка внедрена и осуществляется анализ сети (выявление открытых портов);

2 - состояние, когда выявлен открытый порт и программная закладка осуществляет перехват пароля доступа;

3 - состояние, когда пароль доступа перехвачен и программная закладка запрашивает сеанс связи от имени хоста-цели атаки с передачей выявленной информации нарушителю;

4 - состояние, когда сеанс связи с нарушителем установлен, т.е. нарушитель получил доступ в операционную среду компьютера по сети с использованием выявленного порта.

Переход из состояния в состояние описывается системой дифференциальных уравнений:

,

(Д.24)

где (t) ... (t) - производные от вероятностей P ₀(t) ... P ₄(t) соответственно.

Интенсивности переходов из состояния в состояние и вероятности, характеризующие течение марковского процесса, определяются следующим образом:

- интенсивность внедрения программной закладки;

Р _инф, - вероятность и среднее время внедрения программной закладки;

- интенсивность выявления открытого порта;

Р _пopт, - вероятность и среднее время выявления открытого порта;

- интенсивность выявления пароля;

Р _пар, - вероятность и среднее время выявления пароля;

- интенсивность установления сеанса связи между программной закладкой и нарушителем;

Р _св, - вероятность и среднее время установления сеанса связи;

- интенсивность перехода процесса в начальное состояние в случае срыва выявления свободного порта;

- интенсивность перехода процесса в начальное состояние в случае срыва выявления пароля;

- интенсивность перехода процесса в начальное состояние в случае срыва установления сеанса связи между программной закладкой и нарушителем.

При этом вероятность и среднее время подбора пароля за n попыток при прямом переборе определяют по формулам:

,

(Д.25)

где А - число символов в алфавите, на основе которого сформирован пароль;

w - длина пароля;

Т _пар - время выполнения одной попытки ввода пароля.

Для приведенного графа состояний процесса среднее время перехода в последнее состояние (т.е. среднее время несанкционированного доступа) определяется из полученного путем решения системы дифференциальных уравнений (Д.24) соотношения

,

(Д.26)

где Р _инф > 0, Р _порт > 0, Р _пар > 0, Р _св > 0.

При этом если хотя бы одна из этих вероятностей стремится к 0, несанкционированный доступ становится невозможным (), а вероятность реализации угрозы (например, копирования защищаемой информации) за время t рассчитывают по формуле

,

(Д.27)

где - среднее время выполнения деструктивного действия.

Примечание - При значениях , близких к нулю, и значениях , отличных от 0, вероятность реализации угрозы будет определяться только средним временем выполнения деструктивного действия, т.е. P _u(t) = 1 - ехр(-t/). Если среднее время выполнения деструктивного действия тоже стремится к 0, то реализация угрозы неизбежна: вероятность P _u(t) стремится к 1.

Графики зависимости P _u(t) и P _u(P _nap) при условии неравенства средних времен несанкционированного доступа и выполнения деструктивного действия представлены на рисунке Д.3.

Системный анализ результатов расчетов показал, что с увеличением времени, в течение которого может быть реализована угроза несанкционированного доступа к защищаемой информации, независимо от значения вероятности подбора пароля вероятность реализации угрозы стремится к единице. При ограниченном времени, в течение которого может быть реализована угроза, на возможность ее реализации определяющим образом влияют как вероятность и продолжительность подбора пароля, так и вероятности и времена выявления открытого порта, внедрения программной закладки и установления сеанса связи между программной закладкой и нарушителем.

 = 2 с,  = 10 с,  = 10 с,  = 120 с, Р _порт = 0,9, Р _инф = 0,8, Р _св = 0,9

Рисунок Д.3 - Зависимости вероятности реализации угрозы от времени (а) и вероятности вскрытия пароля (б)

Д.3.6 Для полумарковских процессов (ПМП) характерно наличие:

- разветвлений, при этом выбор ветви, по которой развивается процесс, происходит с заданной вероятностью;

- параллельно выполняемых во времени действий, при этом, как и для марковских процессов, для них отсутствуют логические условия реализации угроз безопасности информации.

Суть ПМП состоит в следующем. Пусть в начальный момент времени t = 0 моделируемый процесс находится в состоянии i, i  I в течение некоторого случайного времени , после чего процесс мгновенно переходит в состояние j, j  I. Время - это случайная величина с произвольной функцией распределения F _ij(t), a переход процесса из состояния i в состояние j происходит с вероятностью   0 с выполнением условия

Если из состояния j процесс переходит в состояние k, k  I, то в состоянии j процесс пребывает случайное время , имеющее произвольное распределение F _jk(t) - см. рисунок Д.4.

Рисунок Д.4 - Динамика протекания полумарковского процесса

ПМП является скачкообразным случайным процессом, при этом распределение времени пребывания ПМП в каждом состоянии не обязательно является экспоненциальным.

Примечание - Для ПМП характерно то, что процесс мгновенных вероятностных переходов представляет собой вложенную цепь Маркова.

Полумарковский процесс представляют в виде ориентированного графа (рисунок Д.5).

Рисунок Д.5 - Пример графа состояний и переходов полумарковского процесса

ПМП задают одним из следующих способов:

- начальным распределением р = {р _i, i  I}, с использованием которого выбирается исходное состояние i, и связанной с ПМП матрицей Q(t), элементы которой удовлетворяют следующим условиям:

а) q _ij(t)  = 0, если t = 0;

б) q _ij(t) - неубывающие, непрерывные справа функции для t  0,

в) - функция распределения времени пребывания процесса в состоянии i;

- начальным распределением р = {р _i, i  I}, матрицей переходных вероятностей вложенной цепи Маркова {, i, j  I} и матрицей функции распределения {F _ij(t), i, j  I} времени пребывания процесса в состоянии i при условии, что переход осуществляется в состояние j;

- начальным распределением р = {р _i, i  I} множеством функций распределения {F _i(t), i  I} времени пребывания и матрицей Q(t) с элементами q _ij(t) условных вероятностей того, что ПМП (t) попадет в состояние j, пробыв в состоянии i время не более t.

В качестве примера ниже приведены применяемые на практике представления элементов матриц Q(t), связанных с ПМП:

;

(Д.28)

;

(Д.29)

.

(Д.30)

С использованием матрицы Q(t) определяют переходные вероятности F _ij(t) (т.е. вероятности перехода из состояния i в состояние j за время t) путем решения системы интегро-дифференциальных уравнений следующего вида:

,

(Д.31)

где q' _ik(x) - производная от элемента q _ij(t) матрицы Q(t);

P _i(t) - вероятность того, что ПМП не покинет к моменту времени t состояния i;

- символ Кронекера, .

Если определить среднее время пребывания в состоянии i при условии, что после его окончания процесс перейдет в состояние j, через , то среднее время пребывания ПМП в состоянии i вычисляют из соотношения:

,

(Д.32)

а переходные вероятности по формуле

.

(Д.33)

Д.3.7 Пример Д.4. Пусть при анализе угроз безопасности информации в системе в соответствии с [10]-[12] необходимо рассчитать вероятность реализации угрозы несанкционированного доступа к файлу с конфиденциальной информацией одним из следующих двух способов: путем повышения привилегий (1-й способ) или путем изменения учетных записей (2-й способ).

Возможно следующее решение для примера Д.4.

Оба практических способа 1 и 2 основаны на внедрении соответствующих вредоносных программ. В этих условиях для моделирования применим аппарат ПМП. Граф соответствующего полумарковского процесса с двумя способами формального представления реализации угрозы несанкционированного доступа к файлам с защищаемой информацией приведен на рисунке Д.6.

На графе используются следующие обозначения. Цифрами в кружках обозначены номера состояния процесса:

0 - запущен процесс внедрения вредоносных программ или для изменения учетных записей, или для повышения привилегий с несанкционированным использованием системных функций;

1 - внедрена вредоносная программа для изменения учетных записей и запущена на выполнение, изменена учетная запись, созданы условия для проникновения к файлу с конфиденциальной информацией, начата попытка проникновения;

2 - получен доступ к файлу с конфиденциальной информацией, начато копирование файла в выбранную область памяти или на флэш-носитель;

3 - внедрена и запущена на выполнение вредоносная программа для повышения привилегий атакующего;

4 - повышены привилегии атакующего, начата попытка проникновения;

5 - получен доступ к файлу с конфиденциальной информацией, файл скопирован в выбранную область памяти или на флэш-носитель, угроза реализована.

Рисунок Д.6 - Граф полумарковского процесса при формальном представлении реализации угрозы несанкционированного доступа к файлам с защищаемой информацией

Время соответствует среднему значению времени перехода процесса из состояния i в состояние j, а и - вероятностям применения первого и второго способов соответственно.

В предположении, что время пребывания в i-м состоянии распределено экспоненциально, плотность распределения времени перехода в состояние j определяют в виде

,

(Д.34)

при этом и .

Из формулы (Д.31) плотность распределения вероятности перехода процесса из нулевого состояния в конечное состояние (состояние 5) представляет собой свертку плотностей распределения вероятностей переходов из состояния в состояние по траекториям перемещения, соответствующим первому и второму способам доступа:

(t) = f ₀₁(t) * f ₁₂(t) * f ₂₅(t) - для первого способа несанкционированного доступа;

(t) = f ₀₃(t) * f ₃₄(t) * f ₄₅(t) - для второго способа несанкционированного доступа.

Здесь знак * обозначает операцию свертки.

При экспоненциальной аппроксимации распределений вероятностей следует

.

(Д.35)

Вероятность того, что за время t процесс достигнет конечного состояния, т.е. перейдет из состояния 0 в состояние 5 и тем самым угроза безопасности информации будет реализована, определяется из соотношения

.

(Д.36)

С учетом того, что ,

.

(Д.37)

График расчетной зависимости для выбранных значений средних времен выполнения соответствующих процессов приведен на рисунке Д.7.

Рисунок Д.7 - График зависимости вероятности достижения моделируемым процессом конечного состояния за время t при  = 1с,  = 2с

Системный анализ расчетов показал, что без применения мер защиты угроза несанкционированного доступа одним из рассматриваемых способов с высокой вероятностью (выше 0,8) может быть реализована за единицы секунд.

Д.3.8 Более широкими возможностями для моделирования угроз безопасности информации обладает аппарат составных сетей Петри-Маркова (СПМ) с логическими условиями выполнения моделируемого процесса. Логические условия определяют правила срабатывания специально вводимых в СПМ логических переходов.

Краткая характеристика таких сетей сводится к следующему.

Пусть моделируемый процесс состоит из нескольких подпроцессов, каждый из которых происходит или между начальной позицией и логическим переходом, или между двумя логическими переходами, или между логическим переходом и конечной позицией процесса. Такие СПМ названы составными. Как и традиционные СПМ, составные сети представляются в виде ориентированного графа (см. рисунок Д.8), в котором кружки (позиции) означают состояния моделируемого процесса, вертикальные или горизонтальные черты - переходы процесса между состояниями, а дуги - направления перемещения процесса из состояния (или состояний) в переход или из перехода в состояния.

Каждому логическому переходу поставлена в соответствие определенная пропозиционная логика срабатывания. Перемещение подпроцесса по состояниям может происходить по нескольким траекториям, время перемещения из состояния в переход в общем случае является конечным и случайным. При этом принято допущение, что перемещение из перехода в состояние происходит мгновенно (поскольку на практике это время на порядки меньше времени перемещения из состояния в переход).

Для обозначения перемещения процесса по СПМ используют метки (как и в сетях Петри), при этом позиции в зависимости от состояния процесса, разделяются на помеченные и непомеченные. Множество помеченных позиций называют разметкой СПМ. Разметка может быть начальной (0-разметка) и текущей (n-разметка), при этом 0-разметка формируется при старте процесса, а n-разметка - после n шагов процесса.

Рисунок Д.8 - Пример графа составной сети Петри-Маркова

Примечание - В общем случае может быть определена любая логика срабатывания логического перехода. Это значительно расширяет возможности моделирования в отличие от классических сетей Петри-Маркова, когда переходы срабатывают только тогда, когда для каждой входящей в переход дуги имеется не менее одной метки в инцидентной позиции (на практике метки могут именоваться маркерами или фишками).

При построении графа составной СПМ следует соблюдать следующие правила:

- СПМ должна начинаться с одной или нескольких начальных позиций и заканчиваться конечной позицией;

- должна быть установлена начальная разметка сети;

- в сети не может быть две подряд позиции или два подряд перехода;

- в сети могут применяться кратные дуги, но тогда в состоянии, из которого они исходят, должно находиться или накапливаться такое же или большее количество маркеров к переходам, в которые входят кратные дуги, должны быть сопоставлены соответствующие правила срабатывания;

- из перехода СПМ может исходить несколько дуг, при этом если в переход поступил один маркер, то по всем исходящим из него дугам выходит по одному маркеру;

- для логического перехода характерно то, что он всегда имеет две и более входящих дуг;

- в СПМ могут иметь место тупиковые позиции, в которых развитие процесса прекращается (например, для того чтобы показать, где может остановиться процесс, не достигнув конечной позиции);

- наличие нескольких траекторий, которые выходят из одной позиции, свидетельствуют о том, что моделируемый подпроцесс является полумарковским и для него используется аппарат, характеристика которого представлена в Д.3.6;

- на графе СПМ переходы обозначаются номером с буквой z, а позиции просто нумеруются, в индексах функций и параметров (например, для вероятностей выбора пути развития процесса) первая цифра означает номер состояния, из которого исходит дуга, а вторая через запятую - номер перехода, в который она входит.

Каждый подпроцесс, т.е. перемещение моделируемого процесса по одной из траекторий, является марковским процессом, при этом время перемещения по траектории рассчитывается как сумма случайных времен перемещения из позиций в переходы. Например, между двумя логическими переходами по траектории имеется N позиций и переходов (см. рисунок Д.9), в общем случае по каждой из дуг, входящих в переход, процесс перемещается за конечное случайное время. Тогда среднее время перемещения подпроцесса из позиции 0 в переход N(z) по рассматриваемой траектории представляет собой сумму средних значений независимых случайных величин:

.

(Д.38)

В логическом переходе могут сходиться или две и более траекторий одного подпроцесса, или два и более подпроцессов. С учетом времен перемещения, входящих в логический переход подпроцессов, рассчитывается среднее время срабатывания логического перехода.

В таблице Д.1 приведены соотношения для расчета времен срабатывания наиболее широко используемых в моделировании реализации угроз безопасности информации логических переходов.

Рисунок Д.9 - Траектория перемещения подпроцесса по сети Петри-Маркова по одной из траекторий между двумя логическими переходами

Таблица Д.1 - Соотношения для расчета среднего времени срабатывания переходов

Логическое условие	Соотношение для расчета среднего времени срабатывания перехода	Объяснение логики действий
	Для двух входящих дуг ; для трех входящих дуг	Логика "И": процесс приходит к переходу по всем дугам; , , - средние времена на логический переход по дугам 1, 2 и 3 соответственно
	Для двух входящих дуг ; для трех входящих дуг	Логика "ИЛИ": процесс приходит к переходу хотя бы по одной из дуг
	Для трех входящих дуг	Логика "И-ИЛИ": процесс приходит к переходу по первой (А) и второй (В) дугам или по третьей (С) дуге
	Для двух входящих дуг:	Логика "И-НЕ": процесс приходит к переходу по первой (А) дуге и не успевает прийти по второй дуге ()
	Для трех входящих дуг:	Логика "И-НЕ" для трех дуг: процесс приходит по первым двум (А и В) дугам и не успевает прийти по третьей дуге ()
	Для двух входящих дуг: . Обозначение (2) в верхнем индексе означает отношение к двум входящим дугам, обозначение "И&НБ" в нижнем индексе означает отношение к применяемой логике "И-НЕ(Блок)", связанной с отсутствием блокирования действий по второй дуге - см. объяснение в правой колонке этой строки	Логика "И-НЕ(Блок)": для двух дуг: поток по первой дуге подошел к переходу (условие А) и поток по второй дуге не заблокирован с вероятностью 1 - Р 21 (условие В°). Если процесс по второй дуге заблокирован, то блокируется срабатывание логического перехода независимо от выполнения условия А
	Для трех входящих дуг: . Обозначение (3) в верхнем индексе означает отношение к трем входящим дугам, обозначение "И&НБ" в нижнем индексе означает отношение к применяемой логике "И-НЕ(Блок)", связанной с блокированием действий - см. объяснение в правой колонке этой строки	Логика "И-НЕ(Блок)" для трех дуг: потоки по первым двум дугам подошли к переходу (условия А и В) и по третьей дуге поток не заблокирован с вероятностью 1 - Р 31 (условие С°). Если процесс по третьей дуге заблокирован, то блокируется срабатывание логического перехода независимо от выполнения условий А и В

С использованием соотношений из таблицы Д.1 могут быть рассчитаны общее среднее время реализации угрозы и вероятность ее реализации за заданное время.

Д.3.9 Пример Д.5. Пусть в модернизируемой системе, обеспечивающей деятельность коммерческого предприятия, в соответствии с требованиями ГОСТ Р 27002 оценивают риски реализации угроз. Установлено, что одной из таких угроз является запуск вредоносного скрипта, который может быть внедрен с использованием файла типа cookie с последующим копированием необходимой информации (файл типа cookie - это небольшой фрагмент данных, отправляемый web-сервером и хранимый на компьютере пользователя, используется для аутентификации пользователя, хранения персональных предпочтений и настроек пользователя, отслеживания состояния сеанса доступа пользователя, в переводе с английского "cookie" - "печенье").

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "ГОСТ Р 27002" следует читать "ГОСТ Р ИСО/МЭК 27002"

Требуется оценить риск реализации угрозы запуска вредоносного скрипта, внедряемого с использованием файла типа cookie.

Возможно следующее решение для примера Д.5.

На рисунке Д.10 приведена СПМ, описывающая в графическом виде процесс реализации угрозы копирования информации с использованием файла cookie в условиях отсутствия мер защиты.

Рисунок Д.10 - Граф СПМ, описывающий процесс реализации угрозы для запуска вредоносного скрипта в условиях отсутствия мер защиты

На графе цифрами в кружках обозначены номера состояний процесса, цифрами с буквой z в скобках - номера переходов. Дополнительно использованы обозначения:

а) для состояний:

0 - начальное состояние процесса, нарушитель готов к проведению атаки внедрения скрипта. Атакуемый хост подготовил запрос на Web-сервер для поиска нужного ему информационного ресурса;

1 - Web-сервер получил запрос и подготовил к передаче на хост пользователя файла cookie;

2 - файл cookie перехвачен "сниффером" и передан на хост нарушителя (под "сниффером" понимается программа, способная перехватывать и анализировать трафик, проходящий через цифровую сеть);

3 - в файл cookie на хосте нарушителя внедрен вредоносный скрипт и файл передан на атакуемый хост;

4 - файл cookie принят web-браузером на атакуемом хосте, открыт и запущен вредоносный скрипт;

5 - на атакуемом хосте найден нужный нарушителю файл пользователя и подготовлен к передаче по сети;

6 - скопированный файл передан на хост нарушителя или на сетевой адрес, нужный нарушителю;

б) для переходов:

0(z) - передача запроса с атакуемого хоста на Web-сервер;

1(z) - передача Web-сервером файла cookie на хост пользователя;

2(z) - перехват файла cookie "сниффером", передача его на хост нарушителя и внедрение в него нужного нарушителю скрипта;

3(z) - передача файла cookie с внедренным скриптом на атакуемый хост и запуск скрипта;

4(z) - логический переход с логикой срабатывания "И", срабатывающий, если запущен вредоносный скрипт и завершено копирование файла пользователя, результатом срабатывания перехода является передача файла пользователя на хост нарушителя.

При экспоненциальной аппроксимации времени развития угрозы (до ее реализации) вероятность реализации угрозы рассчитывается по формуле

,

(Д.39)

где ;

- среднее время срабатывания логического перехода 4(Z) с логикой "И", рассчитываемое согласно таблице 1 по формуле

.

(Д.40)

Примечание - Время является величиной, обратной интенсивности возникновения угроз, и может составлять от единиц минут до нескольких суток.

СПМ, описывающая в графическом виде реализацию угрозы копирования информации с использованием файла cookie для запуска вредоносного скрипта в условиях применения меры ЗИ, приведена на рисунке Д.11.

Рисунок Д.11 - Граф СПМ, описывающий процесс реализации угрозы в условиях применения специальной программы обнаружения вредоносного скрипта

При этом вероятность реализации угрозы рассчитывают по формуле

,

(Д.41)

где ;

- среднее время срабатывания логического перехода 5(z) с логикой "И", рассчитываемое в соответствии с таблицей 1 (нижняя строка),

;

(Д.42)

Р _обн - вероятность обнаружения вредоносного скрипта программой "cookie-менеджер".

На графе рисунка Д.11 использованы следующие обозначения:

а) для состояний:

0 - начальное состояние процесса, нарушитель готов к проведению атаки внедрения скрипта. Атакуемый хост подготовил запрос на Web-сервер для поиска нужного ему информационного ресурса;

1 - Web-север получил запрос и подготовил к передаче на хост пользователя файла cookie;

2 - файл cookie перехвачен "сниффером" и передан на хост нарушителя;

3 - в файл cookie на хосте нарушителя внедрен вредоносный скрипт и файл подготовлен к передаче на атакуемый хост;

4 - файл cookie принят web-браузером на атакуемом хосте для выполнения;

5 - на атакуемом хосте найден нужный нарушителю файл пользователя, скопирован и подготовлен к передаче по сети;

6 - запущена программа "cookie-менеджер", обнаруживающая с вероятностью P _det подлежащий выполнению скрипт;

7 - подана команда на запуск вредоносного скрипта;

8 - скопированный файл пользователя передан на хост нарушителя или на сетевой адрес, нужный нарушителю;

б) для переходов:

0(z) - передача запроса с атакуемого сервера на Web-сервер;

1(z) - передача Web-сервером файла cookie на хост пользователя;

2(z) - перехват файла cookie "сниффером", передача его на хост нарушителя и внедрение в него нужного нарушителю скрипта;

3(z) - передача файла cookie с внедренным скриптом на атакуемый хост;

4(z) - запуск вредоносного скрипта;

5(z) - логический переход, срабатывающий, если запущен вредоносный скрипт, завершено копирование файла пользователя и не обнаружен к этому моменту времени вредоносный скрипт, результатом срабатывания перехода является передача файла пользователя на хост нарушителя - реализация угрозы.

Пусть в рамках примера принято допущение . Тогда среднее время срабатывания логического перехода 4(z) на рисунке Д.10 в соответствии с формулой (Д.40) равно , а среднее время срабатывания логического перехода 5(z) на рисунке Д.11 в соответствии с формулой (Д.42) равно . Вероятности реализации угроз для условий без применения и при применении меры защиты оцениваются соответственно по следующим формулам:

;

(Д.43)

.

(Д.44)

На рисунке Д.12 приведены зависимости вероятности реализации угрозы от соотношения t/ для условия отсутствия (т.е. без применения) и при условии применения программы обнаружения вредоносных скриптов "cookie-менеджер", рассчитанные по формулам (Д.43)-(Д.44) при условных вероятностях обнаружения угроз Р _обн на уровнях 0,1, 0,5, 0,9.

Рисунок Д.12 - Зависимости вероятности реализации угрозы от соотношения t/ для условия отсутствия меры защиты информации и в условиях ее применения

Системный анализ результатов расчетов показал, что с увеличением вероятности обнаружения вредоносных скриптов возможность реализации угроз существенно падает.

Сравнение вероятностей реализации угрозы для условия отсутствия меры ЗИ и при условии ее применения позволяет оценить эффективность (см. приложение Е) и обосновать целесообразность применения рассмотренной меры ЗИ в системе.

Д.4 Балльные методы оценки рисков нарушения безопасности системы

Д.4.1 В случае, когда статистических данных для рисков реализации угроз недостаточно (включая оценку возможного ущерба) или невозможен учет некоторых важных факторов аналитическими методами, применяют балльные методы оценки - см., например ГОСТ Р ИСО/МЭК 27002. При использовании балльных методов строят шкалу оценок в табличной или графической форме. При этом в качестве возможных видов ущербов могут быть, например, рассмотрены:

- ущерб репутации организации;

- ущерб, связанный с нарушением действующего законодательства;

- ущерб для здоровья персонала;

- экологический ущерб;

- ущерб, связанный с разглашением персональных данных;

- финансовые потери от разглашения информации;

- финансовые потери, связанные с восстановлением ресурсов.

Далее формируют балльные шкалы оценки ущерба. Пример формирования шкалы оценок в интервале значений 0-10 приведен в таблице Д.2. Затем баллы по результатам оценки различных видов ущерба суммируются и переводятся в качественные суждения о размерах возможного ущерба по табличной шкале - см. примерный вариант в таблице Д.3.

Таблица Д.2 - Вариант формирования шкалы оценки ущерба (пример)

Вид ущерба	Величина ущерба, соответствующая оценке в баллах
	2 балла	4 балла	6 баллов	8 баллов	10 баллов
Ущерб репутации организации	Негативная реакция отдельных чиновников, общественных деятелей	Критика в СМИ, не получившая широкого общественного резонанса	Негативная реакция членов законодательных органов власти	Критика в СМИ с последствиями в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок	Негативная реакция на уровне руководства государства
Ущерб для здоровья персонала	Минимальный ущерб, не связанный с госпитализацией или длительным лечением	Средний ущерб, связанный с лечением одного или нескольких сотрудников при отсутствии длительных отрицательных последствий	Серьезные последствия (продолжительная госпитализация, инвалидность одного или нескольких сотрудников)	-	Гибель людей
Финансовые потери, связанные с восстановлением ресурсов	Менее 1000 у.е.		От 1000 у.е. до 10000 у.е.	От 10000 у.е. до 100000 у.е.	Свыше 100000 у.е.
Дезорганизация деятельности в связи с недоступностью данных	До 15 минут	От 15 минут до 1 часа	От 1 часа до 3 часов	От 3 часов до 1 суток	Более 1 суток
...	...	...

Таблица Д.3 - Пример соответствия балльной оценки и качественного суждения о размере ущерба от реализации угрозы

Размер ущерба в баллах	Показатель качественной оценки размера ущерба	Трактовка качественной оценки размера ущерба
9 и менее	Н (незначительный)	Ущербом можно пренебречь
10-19	М (малый)	Последствия легко устранимы, с малыми затратами на ликвидацию
20-29	С (средний)	Последствия умеренны, не связаны с крупными затратами, не затрагивают критически важные задачи
30-39	Б (большой)	Серьезные последствия со значительными затратами, влияющими на выполнение критически важных задач
Более 40	К (критический)	Невозможно решение критически важных задач

Балльные оценки возможного ущерба могут оцениваться также по графической шкале, например, с использованием полярной шкалы, на которой устанавливают крайние противоположные (полярные) результаты оценки ущерба - "отсутствие ущерба" и "неприемлемый ущерб". На таких шкалах могут рассматриваться несколько типов оценок: точечные количественные, интервальные, вербальные (описательные), при этом могут применяться метрические или порядковые шкалы.

В качестве максимального значения на шкале устанавливается точка справа, соответствующая неприемлемому ущербу, а в качестве минимального - точка слева, соответствующая отсутствию ущерба, что позволяет построить метрическую шкалу для оценки ущербов от реализации угроз безопасности информации для системы.

Особенность такой шкалы заключается в некоторой ее универсальности относительно видов ущерба. Шкалы для разнородных ущербов могут быть сведены к единой шкале оценок. Для этого первоначально в качестве базовой берется вербальная полярная шкала. Наиболее часто при построении такой шкалы используют шесть градаций оценок - см. рисунок Д.13.

Рисунок Д.13 - Возможный вариант единой количественной шкалы оценок ущерба и приведения к ней шкал разнородных ущербов

Если имеется единая количественная шкала, то для приведения к ней оценок величин ущербов необходимо нормировать их по единой шкале относительно неприемлемого ущерба. В этом случае берется отношение оцениваемого -го вида ущерба к его неприемлемому значению . Такое отношение называют индексом ущерба от реализации угрозы (далее индекс ущерба):

;

(Д.45)

Если ущерб оценивается по вербальной шкале, то на ней определяется точка предельного ущерба справа и все ущербы выше этой точки рассматриваются как неприемлемые. Точке неприемлемого ущерба ставится в соответствие верхняя граница единой числовой шкалы и затем по ней определяется индекс данного вида ущерба с учетом важности вида ущерба

,

(Д.46)

где - коэффициент важности -го вида ущерба, при этом .

Балльные методы могут применяться также для оценки возможностей реализации угроз безопасности информации в системе. При этом используют табличные шкалы, в которых за основу берутся экспертные суждения специалистов о возможности реализации каждой из угроз в данной системе. Вариант такой шкалы, построенной по аналогии с табличной шкалой оценки ущербов, приведен в таблице Д.4.

Уровень существенности угрозы может быть оценен экспертно на основе проведенных оценок ущерба и возможности реализации угрозы. А затем балльные оценки переводятся в качественные суждения о существенности угрозы - см. возможные варианты (примеры) в таблицах Д.5 и Д.6.

Таблица Д.4 - Вариант соответствия балльной оценки и качественного суждения о возможности реализации угрозы безопасности информации

Оценка в баллах	Качественная оценка возможности реализации угрозы	Трактовка качественной оценки вероятности реализации угрозы
9 и менее	М (маловероятна)	Реализация угрозы маловероятна
10-19	Н (низкая)	Вероятность реализации угрозы низкая
20-29	С (средняя)	Вероятность реализации угрозы средняя
30-39	В (высокая)	Реализация угрозы вполне вероятна
Более 40	Д (очень высокая)	Реализация угрозы неизбежна

Таблица Д.5 - Вариант балльной шкалы оценки степени нарушения безопасности системы

Таблица Д.6 - Вариант соответствия балльной оценки и качественного суждения о существенности угрозы безопасности системы

Оценка степени нарушения безопасности системы в баллах	Интерпретация оценки степени нарушения безопасности системы в вербальной шкале
1 балл и менее	Очень низкий риск
2-3 балла	Низкий риск
4-6 баллов	Средний риск
7-9 баллов	Высокий риск
10 баллов	Недопустимый риск

Примечание - По соглашению заинтересованных сторон устанавливают уровень допустимой степени нарушения безопасности системы в баллах. Например, если экспертная оценка степени нарушения безопасности составляет 3 и более баллов, то угроза может быть охарактеризована как "существенная".

Тем самым балльный метод может быть использован для обоснования перечня существенных угроз (см. таблицу Д.5, где закрашенные ячейки соответствуют таким угрозам).

Д.4.2 Пример Д.6. Пусть некоторое областное Главное управление здравоохранения оснащается специализированной автоматизированной информационной системой. В ней предстоит обрабатывать защищаемую информацию, включающую:

- персональные данные о сотрудниках, содержащиеся в базе данных;

- служебную информацию, содержащую сведения о деятельности учреждения, а также сведения бухгалтерской и финансовой отчетности.

Эта информация может быть передана как внутри управления по системе, так в другие системы управления, перенесена персоналом с применением отчуждаемых носителей, а также передана другим инстанциям через сеть Интернет.

Требуется определить существенные угрозы для рассматриваемой системы.

Возможно следующее решение для примера Д.5.

Для оценки риска реализации возможных угроз безопасности информации в системе и определения существенных угроз применяют экспертный балльный метод. В результате анализа экспертами установлено, что источниками угроз безопасности информации в системе могут быть:

- внешний и внутренний нарушитель;

- программно-аппаратная закладка;

- носитель вредоносной программы (флэш-память, CD-диск).

Внешними нарушителями могут быть представители криминальных структур, представители вышестоящих и нижестоящих организаций, недобросовестные партнеры, посторонние лица. Внешний нарушитель имеет следующие возможности:

- осуществлять удаленный несанкционированный доступ к защищаемой информации через сеть Интернет, ее копирование или уничтожение;

- инфицировать систему вредоносными программами, позволяющими вывести ее из строя или копировать и передавать через сеть Интернет по заданному нарушителем сетевому адресу нужную ему информацию.

К основным внутренним нарушителям относятся:

- лица, имеющие санкционированный доступ на территорию управления, но не имеющие доступа к информационным ресурсам (охранники, энергетики, сантехники, уборщицы и другие должностные лица, обеспечивающие нормальное функционирование защищаемого объекта);

- зарегистрированные пользователи системы, осуществляющие доступ к ее ресурсам с рабочих мест, в т.ч. системные администраторы;

- посторонние лица, приходящие в управление к его сотрудникам по личным вопросам или в интересах их решения в служебном порядке.

- программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в составе системы.

Эти нарушители могут:

- осуществить несанкционированный доступ к защищаемой информации через автоматизированные рабочие места пользователей или через серверы системы, ее копирование или уничтожение;

- нарушить функционирования системы путем уничтожения или модификации системной информации (например, системных файлов операционной системы) или файлов и программных модулей системы управления базой данных (например, путем уничтожения или модификации индексных файлов в базе данных);

- внедрить программно-аппаратные и программные закладки в поставляемое оборудование и прикладные программы или инсталлировать вредоносные программы, реализующие весь спектр угроз относительно защищаемой информации в системе;

- непреднамеренно уничтожить файлы защищаемой информации или инфицировать систему вредоносными программами при неконтролируемом использовании личных носителей информации.

Наибольшими возможностями по реализации угроз безопасности обладают программисты - разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие поставку, сопровождение и ремонт технических средств автоматизированной информационной системы.

Согласно принятой модели угроз безопасности информации выделены угрозы удаленного несанкционированного доступа из сети Интернет и угрозы непосредственного несанкционированного доступа.

Угрозы удаленного несанкционированного доступа из сети Интернет в операционную среду автоматизированной информационной системы с возможным инфицированием вредоносной программой характеризуются потенциальными возможностями:

- копирования персональных данных, хранящихся в электронной базе данных управления;

- модификации или уничтожения персональных данных, хранящихся в электронной базе данных управления;

- блокирования использования базы данных управления (например, путем уничтожения или модификации программ в составе системы управления базой данных, уничтожения индексных файлов);

- копирования, уничтожения или модификации файлов со служебной информацией и содержащих сведения бухгалтерской и финансовой отчетности;

- несанкционированной записи в базу данных сведений о новых физических лицах.

Угрозы непосредственного несанкционированного доступа характеризуются последующей реализацией тех же действий, что и при удаленном доступе, и дополнительно:

- внедрением программно-аппаратных закладок в оборудование системы, а также программных закладок в поставляемое системное и прикладное программное обеспечение;

- несанкционированной передачей во внешнюю сеть служебной информации и сведений бухгалтерской и финансовой отчетности;

- непреднамеренным уничтожением записей в базе данных или исполняемых файлов, перемещением файлов в иные каталоги и директории.

Возможные результаты оценки ожидаемых ущербов при реализации каждой из угроз, входящих в указанный перечень, приведены в таблице Д.7.

Таблица Д.7 - Результаты экспертной оценки

Наименование обобщенных угроз	Оценка ущерба от реализации угрозы	Оценка возможности реализации угрозы	Решение о существенности угрозы
Копирование внешним нарушителем персональных данных, хранящихся в электронной базе данных	Незначительный	Маловероятная	Несущественная
Копирование внутренним нарушителем персональных данных, хранящихся в электронной базе данных	Низкий	Низкая	Существенная
Модификация или уничтожение внешним нарушителем персональных данных, хранящихся в электронной базе данных	Низкий	Низкая	Несущественная
Модификация или уничтожение внутренним нарушителем персональных данных, хранящихся в электронной базе данных	Низкий	Высокая	Существенная
Блокирование внешним нарушителем использования базы данных путем уничтожения или модификации программ в составе системы управления базой данных, уничтожения индексных файлов	Средний	Средняя	Существенная
Блокирование внутренним нарушителем использования базы данных путем уничтожения или модификации программ в составе системы управления базой данных, уничтожения индексных файлов	Средняя	Высокая	Существенная
Копирование внешним нарушителем файлов со служебной информацией или содержащих сведения бухгалтерской и финансовой отчетности	Низкий	Высокая	Существенная
Копирование внутренним нарушителем файлов со служебной информацией или содержащих сведения бухгалтерской и финансовой отчетности	Низкий	Высокая	Существенная
Уничтожение или модификация внешним нарушителем файлов со служебной информацией и содержащих сведения бухгалтерской и финансовой отчетности	Низкий	Низкая	Несущественная
Уничтожение или модификация внутренним нарушителем файлов со служебной информацией или содержащих сведения бухгалтерской и финансовой отчетности	Низкий	Низкая	Несущественная
Внедрение внутренним нарушителем программно-аппаратных и программных закладок или инфицирование системы вредоносной программой с последующим выполнением любого из указанных ранее несанкционированных действий	Низкий	Высокая	Существенная
Непреднамеренное уничтожение записей в базе данных или исполняемых файлов, перемещения файлов в иные каталоги и директории	Низкий	Высокая	Существенная

В итоге содержимое таблицы Д.7 характеризует результаты экспертной оценки для примера Д.6.