Математическое описание модели
Исходя из вышесказанного, предлагаемое математическое описание модели защиты информации основывается на базе теорий статистических решений, нечетких множеств и математической логики. Математическое представление модели (рис. 3) включает семь абстрактных пространств К, V, L, А, С, Н и Ψ, экспертные и функциональные оценки к, j, v, l, с, h, ψ, априорные вероятности источников угроз π (к), Р (jk/k), Р (к/jk), условные вероятности Р (jk/l), Р (к/l), Р (K/L), и решающую функцию D (а/К, С).
Пространство дестабилизирующих факторов (источников угроз) К образовано множеством абстрактных областей k по одной на каждый фактор
k ⊂ K, K ≠ Ø (1)
Под угрозой информации будем понимать меру возможного возникновения дестабилизирующих факторов, т.е. явлений и событий, следствием которых возможны такие воздействия на информационную среду, которые могут привести к нарушению (или опасности нарушения) физической целостности информации, несанкционированному получению (или возможности такого получения) информации и несанкционированному размножению информации.
Нетрудно видеть, что источниками внешних дестабилизирующих факторов (внешней средой их появления) являются:
политические, военные, экономические структуры, разведывательные и специальные службы иностранных государств;
преступные международные группы, формирования и отдельные лица;
природные явления.
Источниками внутренних дестабилизирующих факторов (внутренней средой их появления) являются:
- органы государственной власти;
- политические, экономические и иные структуры государства; технические системы и устройства, технология информационных процессов, программное обеспечение;
- обслуживающий персонал информационных систем и средств; граждане, общественные и иные организации.
- Способы воздействия дестабилизирующих факторов на объекты защиты информации подразделяются на физические, радиоэлектронные, информационные, программно-математические, морально-психологические и организационно-правовые.
Физические способы включают:
- поражение (уничтожение или разрушение) средств обработки информации и связи (нарушение физической целостности информации);
- поражение (уничтожение, разрушение или хищение) машинных или других оригиналов носителей информации (нарушение физической целостности информации);
- хищение информации из библиотек, архивов, банков и баз данных, программных или аппаратных ключей и средств криптографической защиты информации (несанкционированное получение информации).
Радиоэлектронными способами являются:
- перехват информации в технических каналах ее утечки (несанкционированное получение информации);
- перехват, дешифрование и навязывание ложной информации в сетях передачи данных и линиях связи (несанкционированное получение и модификация информации);
- воздействие на парольно-ключевые схемы (нарушение физической целостности, несанкционированное получение и модификация информации);
- радиоэлектронное поражение (подавление) линий связи и радиоэлектронных средств систем управления (нарушение физической целостности информации).
К информационным способам относятся:
- несанкционированный доступ к информационным ресурсам (это может привести к нарушению физической целостности, несанкционированному получению и несанкционированному размножению информации);
- манипулирование информацией (дезинформация, сокрытие или искажение информации - нарушение физической целостности информации);
- незаконное копирование данных в информационных системах (несанкционированное получение и размножение информации);
- нарушение технологии информационного процесса (нарушение физической целостности, несанкционированное получение или размножение информации).
Программно-математические способы включают:
- внедрение программ-вирусов (нарушение физической целостности информации);
- установку программных и аппаратных закладных устройств (нарушение физической целостности информации);
- уничтожение или модификацию данных в информационных системах (нарушение физической целостности информации).
Морально-психологические способы включают:
- воздействие на персонал информационных систем с целью нарушения физической целостности, несанкционированного получения или размножения информации;
- использование средств массовой информации с позиций, противоречащих интересам граждан, организаций и государства, т.е. нарушающих целостность, приводящих к модификации информации.
Организационно-правовые способы включают:
- невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере, приводящие к нарушению физической целостности информации;
- неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.
Анализ способов воздействия дестабилизирующих факторов на объекты защиты информации показывает, что существуют три основных вида нарушения информации: нарушение физической целостности (поражение) информации, несанкционированное получение информации и несанкционированное размножение информации.
Таким образом, каждый фактор (источник угрозы) k может быть реализован различными способами jk. Например, вооруженные силы и спецслужбы враждебных иностранных государств могут осуществить физическое уничтожение информационного объекта ударами авиации, ракетных войск, артиллерии, группами специального назначения, а также путем организации пожара или имитации другого стихийного бедствия. Следовательно, каждая из областей k содержит точки jk, отображающие способы реализации воздействия этого фактора (источника угрозы) k на объект защиты. Вероятность существования источника угрозы (область k) определяется априорной вероятностью π (к). Вероятность реализации jk угрозы k определится условной вероятностью Р (jk/k). Тогда вероятность совместного распределения угрозы k и способов ее реализации jk будет определяться зависимостью
P (k, jk) = π (k) P (jk/k). (2)
Выражение (2) совместно с пространством К будет составлять математическое описание оценки источников угроз, т.е. результат работы разведывательной системы.
Таким образом, появление областей k с присущими им полной совокупностью характеристик, в том числе и способами реализации jk, в пространстве К управляется функцией плотности вероятности Р (к, jк). Она определяет вероятность существования источников угроз со всей совокупностью их характеристик, в т.ч. и вероятностью реализации конкретного способа их воздействия на объект защиты. На практике целесообразно выбор этой функции рандомизировать.
Пространство информационных объектов L представляет собой множество точек l по одной на каждый объект
{l} ⊂ L, L ≠ Ø (3)
Надежная защита информации может быть эффективной, если она будет надежна на всех объектах и во всех элементах информационной среды общества, которые могут быть подвергнуты воздействию дестабилизирующих факторов. В связи с этим принципиальное значение имеет однозначное определение и формирование полных перечней тех объектов и элементов, которые могут быть подвергнуты воздействию дестабилизирующих факторов с целью нарушения защищенности информации и могут быть достаточно четко определены (обособлены) с целью организации защиты информации.
Под объектом защиты информации будем понимать информационный объект, в котором находится или может находиться подлежащая защите информация.
С учетом указанных условий, а также принимая во внимание вышеназванные принципы формирования, объекты защиты информации государства могут быть сгруппированы в следующие классы (соответствующие компонентам информационной среды государства):
1) все виды информационных ресурсов;
2) система формирования, распространения и использования информационных ресурсов, включающая в себя информационные системы различного класса и назначения, библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал;
3) информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации;
4) система формирования общественного сознания (мировоззрение, политические взгляды, моральные ценности и пр.), базирующаяся на средствах массовой информации и пропаганды;
5) граждане, общественные организации, как носители информации, в том числе их права на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности.
Таким образом, к сфере защиты информации относятся в той или иной степени практически все объекты информационной среды государства. При этом в различных областях жизнедеятельности общества и государства имеются свои наиболее важные в информационном отношении, а также слабые и уязвимые с точки зрения защиты информации объекты. Предъявив дополнительно эти условия, сформируем перечень объектов защиты информации в различных областях жизнедеятельности общества и государства. Например, выявлен полный перечень структурных объектов защиты информации в АСОД. Пока, к сожалению, это единственный пример.
Отображение точек пространства К в точки пространства L, т.е. воздействие источников угроз k, а точнее, реализация конкретных способов воздействия jk источников угроз k на объекты l информационной среды, описываются вероятностным законом. Определим его условной вероятностью:
Р (jk/l) — условная вероятность воздействия способа реализации jk угрозы k на объект защиты l;
Р (к/l) — условная вероятность воздействия угрозы k всеми способами на объект защиты l;
Р (K/L) — условная вероятность воздействия всех угроз К на все объекты защиты L
Р (jk/l): jk→ l,
Р (k/l): k →l, (4)
Р (K/L): K→ L.
Пространство важности информационных объектов V образовано множеством точек Vl, каждая из которых отображает важность соответствующего информационного объекта l. Понятие "важность" в данном случае имеет относительное значение, наиболее часто под ним подразумевают оценку ущерба от реализации способа воздействия jk дестабилизирующего фактора k на объект l. Отображение точек l пространства L в точки Vl пространства V осуществляется по аналитическим или экспертным Оценкам
l→Vl|jk→l, k→l, K→L (5)
Пространство средств противодействия (СП) или иначе средств защиты С включает в себя множество точек ci, jk, k, l из которых соответствует конкретному средству защиты информации, будь то охранная структура, техническое устройство, использование шифра и т.п.
{ci, jk, k, l }⊂ C, C≠Ø (6)
При этом точкам ci, jk, k, l соответствует i-е средство по противодействию jk-му способу реализации k-й угрозы объекту защиты l.
Совокупности cjk, k, l точек ci, jk, k, l соответствует вся совокупность средств противодействия, при которой достигается полная (требуемая) защищенность информационного ресурса объекта l от jk-гo способа реализации k-й угрозы.
Совокупности сk, l точек ci, jk, k, l соответствует вся совокупность средств противодействия, при которой достигается полная (требуемая) защищенность информационного ресурса объекта 1 от всех способов реализации k-й угрозы.
Совокупности сl точек ci, jk, k, l соответствует вся совокупность средств противодействия, при которой достигается полная (требуемая) защищенность информационного ресурса объекта l от всех угроз.
Совокупности С точек ci, jk, k, l соответствует вся совокупность средств противодействия, при которой достигается полная (требуемая) защищенность информационного ресурса всех объектов от всех угроз.
Пространство оценок эффективности средств защиты Н представляет собой совокупность точек h.
Здесь под точкой hi, jk, k, l понимается значение удельной эффективности средства противодействия ci, jk, k, l , которое показывает степень эффективности выполнения ci, jk, k, l средством защиты своих функций по противодействию jk-му способу реализации k угрозы объекту l. Иначе, удельная эффективность hi, jk, k, l есть вероятность того, что данный способ jk реализации угрозы k объекту l будет предотвращен.
Совокупность hjk, k, l точек hi, jk, k, l будет представлять требуемую вероятность того, что данный способ jk реализации угрозы к объекту l будет предотвращен.
Совокупность hk, l точек hi, jk, k, l будет представлять требуемую вероятность того, что k-я угроза объекту l будет предотвращена.
Совокупность hl точек hi, jk, k, l будет представлять требуемую вероятность того, что все угрозы объекту l будут предотвращены.
Совокупность Н точек hi, jk, k, l будет представлять требуемую вероятность того, что все угрозы всем объектам защиты будут предотвращены.
Отображение точек с и их совокупностей пространства С на пространство Н осуществляется по аналитическим или экспертным оценкам
ci, jk, k, l → hi, jk, k, l
ci, jk, k, l → hjk, k, l
ck, l → hk, l (7)
cl→ hl
C→H
Пространство оценок стоимости средств противодействия Ψ содержит множество точек ψ, каждая из которых соответствует значению стоимости конкретного средства противодействия с. При этом под "стоимостью" средства противодействия следует подразумевать как финансовые затраты на приобретение и применение этого средства, так и условные затраты, выражаемые любыми безотносительными единицами.
Отображение точек с пространства С на пространство Ψ осуществляется по аналитическим или экспертным оценкам
ci, jk, k, l → ψi, jk, k, l
ci, jk, k, l → ψjk, k, l
ck, l → ψk, l (8)
cl→ ψl
C→Ψ
Пространство решений А состоит из элементов а, которые представляют собой решения на основе возможных воздействий дестабилизирующих факторов k на объект защиты l и применения имеющихся средств защиты с. Алгоритмом решения является решающая функция D (а/к, с), определенная на пространствах К, V, L, С, Н и Ψ и принимающая значение из А. Решающая функция осуществляет отображение точек из пространства источников угроз К, пространства информационных объектов L и пространства средств защиты С в пространство решений А. Это отображение носит вероятностный характер, т.е. для каждого k (jk) и ci, jk, k, l будет существовать функция плотности вероятности D (a/jk, ci, jk, k, l) из пространства решений А.
Таким образом, решающая функция D (а/k, с) вместе с пространствами А, К, V, L, С, Н и Ψ образует математическую модель процесса защиты информации. Синтез оптимального процесса защиты информации сводится к нахождению закона отображения D (а/k, с), наилучшего в смысле принятого показателя качества.
Алгоритм работы решающей функции D (а/k, с) на основании вышесказанного в общем виде будет следующим.
1. Основываясь на априорных данных об источниках угроз k, способов их воздействия на защищаемые объекты jk, которые вследствие как естественной, так и искусственно создаваемой неопределенностью относительно истинных параметров разведываемых источников угроз не могут обеспечить полную расшифровку параметров угрозы К (t, j). Неформальными методами оценивания по заданному критерию качества определяется оценка характеристик К (t, jk) угрозы k. По полученной оценке К (t, jk) с соответствующей вероятностью делается вывод (решение аk = D (a/jk, k) об угрозе k, т.е. источник угрозы идентифицируется и определяются его характеристики.
2. Выбирается стратегия защиты информации (решение ас = D (а/с), т.е. производится рациональный выбор средств защиты и выбирается наилучший по заданному критерию способ применения этих средств на информационном объекте l с целью предотвращения и нейтрализации воздействия дестабилизирующих факторов (источников угроз).
Следовательно, решение а в общем виде является функционалом от функций аk и ас и представляет вывод о характеристиках источников угроз противника, силах и средствах защиты информации своих сил и наилучшего по выбранному критерию способа их применения для решения задачи защиты информации объекта l или их совокупности L:
a→ f (ak, ac), (9)
иначе решающую функцию можно представить в виде
D (a/K, C) → D (ak/K) ∧ D (ac/C). (10)
Пространство Аудобно разбить на пять подпространств
Aw⊂ A, w= (11)
точки которых а определяют решающую функцию D для пяти уровней системы информационной безопасности, т.е. в каждом из-под пространств Aw1…. Аw5 находятся точки а, определяющие решающие функции D для соответствующих уровней системы информационной безопасности.
Иначе говоря, в подпространстве Aw1 будут находиться точки а1, определяющие решающую функцию, которая представляет собой алгоритм работы i-го средства противодействия ci, jk, k, l конкретному способу jk реализации определенной угрозы k объекту защиты l.
a1 → D (a/jk, ci, jk, k, l)= D (a/jk) ∧ D (a/ ci, jk, k, l). (12)
В подпространстве Аw2 будут находиться точки а2, определяющие решающую функцию, которая представляет алгоритм организации работы всех средств противодействия cjk, k, l конкретному способу jk реализации определенной угрозы k объекту l.
a2 → D (a/jk, cjk, k, l)= D (a/jk) ∧ D (a/ cjk, k, l). (13)
В подпространстве Aw3 будут находиться точки a3, определяющие решающую функцию, которая представляет алгоритм реализации и координации действий всех средств противодействия ck, l всем способам реализации угрозы k объекту l.
a3 → D (a/k, c k, l)= D (a/k) ∧ D (a/ c k, l), (14)
для всех j⊂ J.
В подпространстве Aw4 будут находиться точки а4, определяющие решающую функцию, которая представляет алгоритм реализации и координации действий всех средств противодействия с1 от всех предполагаемых угроз объекту l.
a4 → D (a/k, c k)= D (a/k) ∧ D (a/ c l), (15)
для всех k ⊂ К.
В подпространстве Aw5 будут находиться точки a5, определяющие решающую функцию, которая представляет алгоритм реализации и координации действий всех средств противодействия С от всех предполагаемых угроз k для всех объектов защиты l.
a5 → D (a/K, C)= D (a/K) ∧ D (a/C), (16)
для всех l⊂ L.
Выражения функционалов (12—16) в явном виде будут определяться конкретными условиями обстановки, т. е. соответствовать конкретным объектам защиты, источникам угроз и способам их реализации, средствам противодействия и способам их применения для защиты информации. Ясно, что вид этих функционалов будет весьма разнообразный. В настоящее время известен вид этих функционалов лишь для узкого класса объектов защиты, например, для АСОД.
Статья поступила в редакцию
в ноябре 1996 г.
Военная академия Генерального
Штаба Вооруженных Сил
Российской Федерации
________________________________________________
Костин Н.А. - доктор технических наук, профессор