Автоматизация построения профилей защиты с использованием комплексной экспертной системы "АванГард"

ПК "АванГард-Анализ" позволяет построить структурную модель АИС, модель угроз и модель событий рисков, связанных с отдельными составляющими АИС и, таким образом, выявить те сегменты и объекты, риск нарушения безопасности которых является неприемлемым, то есть критическим. Помимо этого, ПК "АванГард-Анализ" позволяет построить модель защиты – систему мер и требований, которые должны выполняться, чтобы обеспечить безопасность АИС, а также выработать оптимальный комплекс мероприятий по защите.

ПК "АванГард-Контроль" позволяет проводить мониторинг-контроль выполнения требований по защите критических сегментов АИС и определять "узкие" места в защите и обеспечении безопасности АИС.

Возможные решения по использованию  КЭС "АванГард" в системах управления информационной безопасностью 

Возможны различные  системные решения использования  КЭС "АванГард". Входящие в КЭС программные комплексы могут использоваться совместно или может использоваться любой из них. Рассмотрим типовой вариант совместного использования комплексов.

На рис. 2 представлена схема использования КЭС "АванГард" для оценки рисков нарушения информационной безопасности (ИБ) АИС и определение ее критических составляющих. 
 

Рис. 2. Оценка рисков нарушения  информационной безопасности (ИБ) АИС и определение. 

Построение структурной  модели АИС в КЭС "АванГард" осуществляется путем описания иерархической  структуры АИС и идентификации  объектов АИС в БД структурных  моделей. Идентификация объектов выполняется путем указания их положения в структурной модели и определения их класса по списку справочной БД (СБД) классов объектов КЭС "АванГард". Поэтому до построения структурной модели необходимо добиться полноты используемых СБД.

В качестве объектов структурной модели АИС идентифицируются информационные ресурсы, процессы обработки  информации, средства и системы (программные  и технические) обработки информации, подсистемы, локальные среды (здания, части зданий, отдельные помещения, в которых расположены ресурсы АИС), регионы, в которых находятся сегменты территориально-распределенных АИС, АИС в целом. Основным критерием включения в структурную модель в качестве объекта той или иной составляющей является наличие угроз возможного нарушения их безопасности, причем таких, которые не могут быть отнесены на какой-либо из компонентов рассматриваемого объекта, поскольку в данном случае этот компонент сам должен быть идентифицирован в структурной модели как объект.

С каждым из классов  объектов КЭС "АванГард" связан массив угроз из БД угроз по классам объектов. Таким образом, отнесение отдельного объекта АИС к определенному классу, информация о котором имеется в КЭС "АванГард", приводит к тому, что с построением структурной модели автоматически строится и модель угроз для всех составляющих АИС. Поскольку эта модель содержит все известные для указанного класса объектов угрозы, многие из которых, в силу конкретной реализации и существующих систем защиты, могут не рассматриваться в качестве значимых для конкретной составляющей АИС, то эту модель угроз было решено назвать "нормативной", в отличие от модели "значимых" угроз, которая формируется на последующих этапах использования КЭС "АванГард".

Для того, чтобы  выявить значимость угроз, входящих в состав нормативной модели, необходимо рассмотреть события риска, которые могут возникнуть в результате реализации этих угроз. Как правило, каждое событие риска есть результат реализации ни какой-либо одной, а некоторой совокупности угроз. Это дает возможность путем анализа одного события риска выявить значимость не одной, а сразу нескольких угроз. Нормативная модель угроз должна быть достаточно полна для того, чтобы обеспечить построение адекватных по составу угроз моделей событий рисков.

Анализ возможного события риска, осуществление которого происходит в результате реализации определенного комплекса угроз, позволяет дать оценки вероятности события риска и цены риска. Совокупность описания события риска, перечня угроз, которые могут привести к его реализации, оценок вероятности события риска и цены риска, а также аналитическое обоснование данных оценок составляют то, что в данной методологии называется моделью события риска. Такие модели должны быть построены по каждому возможному с точки зрения экспертов событию риска.

При оценке ущерба, связанного с событием риска, часто  возникает вопрос: как оценить  нематериальный ущерб? Для этих целей  в комплексе реализована методика кардинального ранжирования рисков по экспертным оценкам их опасности. При этом в качестве базовой рассматривается шкала, построенная на основе оценок опасности рисков, по которым вся их "опасность" сводится к возможному материальному ущербу. Базовая шкала строится в начале анализа, до рассмотрения событий рисков с нематериальной оценкой ущерба. После того, как базовая шкала будет построена, предлагается абстрагироваться от того факта, что она строилась на основе стоимостных оценок, и считать ее выражением степени опасности событий рисков. Если степень опасности какого-либо из событий рисков с нематериальным ущербом будет превосходить базовую шкалу, то она может по необходимости достраиваться вверх. Таким образом удается не только сопоставить материальные и нематериальные риски, но и получить стоимостную экспертную оценку нематериальных рисков.

На основе данных, полученных при построении моделей  событий рисков, программный комплекс "АванГард-Анализ" дает возможность  получить оценки уровня рисков по всем критическим сегментам и по их структурным составляющим и, таким образом, выявить среди них те, с которыми связаны наибольшие риски. Такого рода составляющие идентифицируются как "критические" и по ним должен осуществляться контроль защищенности с помощью программного комплекса "АванГард-Контроль". Помимо этого, проведенный анализ позволяет сформировать модель значимых угроз АИС с указанием уровня значимости (важности, критичности) каждой из угроз. Те угрозы, которые не были задействованы ни в одной из моделей событий рисков, признаются незначимыми и в дальнейшем в расчет не принимаются.

Как указывалось  выше, одной из задач управления информационной безопасностью является задача определения мер и требований обеспечения ИБ АИС. На рис. 3 представлена схема определения значимых мер и требований и выбора оптимального комплекса мероприятий по повышению информационной безопасности АИС. 
 

Рис. 3. Определение значимых мер и требований и выбор оптимальных  комплексов мероприятий  по повышению информационной безопасности АИС. 

Работа по определению  возможных мер защиты начинается с построения нормативной модели защиты, то есть модели, в которой указываются все возможные меры защиты и противодействия угрозам, включенным в модель значимых угроз. В программном комплексе "АванГард-Анализ" эта задача решается автоматически путем использования БД возможных мероприятий, мер и требований по защите от угроз нарушения информационной безопасности КЭС "АванГард".

Следующим шагом  должно стать определение значимости возможных мероприятий и мер  защиты. Эта задача решается путем анализа того, как изменятся модели событий рисков в случае применения каждой из рассматриваемых мер. Должны быть получены новые оценки цены риска и вероятности события риска для случая, если анализируемая мера (возможно, в комплексе с какими-то другими мерами) будет применена. На основе данных оценок определяется значимость каждого из возможных мероприятий и мер защиты и система "АванГард-Анализ" автоматически строит модель значимых мероприятий, мер и требований защиты АИС.

Далее строятся и анализируются возможные варианты комплексов мероприятий по защите. При наличии оценок стоимости этих мероприятий проводится выбор наилучшего комплекса по критерию "эффективность-стоимость". При этом в качестве показателей эффективности используются рассчитываемые системой "АванГард-Анализ" значения ожидаемого снижения рисков и уровней остаточных рисков.

На рис. 4 представлена схема контроля соблюдения требований обеспечения безопасности АИС с  помощью КЭС "АванГард". 
 

Рис. 4. Контроль за выполнением  требований обеспечения  ИБ. 

Как было показано выше, при решении задач оценки и анализа рисков удается идентифицировать критические составляющие АИС. Их перечень является основой для построения структурной модели критических составляющих АИС в системе "АванГард-Контроль".

Для полноты  структурной модели критических  составляющих следует добавить те объекты, которые изначально хорошо защищены и потому не идентифицируются как критические системой "АванГард-Анализ", но в виду их особой значимости требуют постоянного контроля уровня обеспечения их безопасности. По каждой из критических составляющих должен быть построен профиль защиты, то есть определена система мер и требований, которые должны выполняться, чтобы обеспечить защищенность соответствующего объекта или системы. В системе "АванГард-Контроль" процесс построения профиля защиты максимально автоматизирован благодаря наличию в ней БД мер и требований ИБ по классам критических объектов.

В АИС должен быть организован постоянный мониторинг выполнения мер и требований по защите. Полученные оценки для обеспечения  их целенаправленной обработки должны вводиться в базу данных системы "АванГард-Контроль". На их основании системой автоматически рассчитываются оценки рисков, связанных с невыполнением требований по защите. Таким образом идентифицируются "узкие" места в защите АИС. Затем система "АванГард-Контроль" может быть использована для поиска оптимального варианта комплекса мероприятий по повышению уровня выполнения требований ИБ АИС.

Основные  аксиоматические  положения системы "АванГард-Анализ"

В основе методологии  системы "АванГард-Анализ" положено несколько принципиальных положений.

1. Основным интегрированным  показателем защищенности  системы является  показатель ее  рискообразующего  потенциала.

Под рискообразующим  потенциалом некоторой сущности (угрозы объекта, структурной составляющей или системы в целом) понимается суммарный размер риска, который может быть отнесен на факт наличия этой сущности при анализе возможных событий риска, которые могут произойти в виду существования указанной сущности со всеми присущими ей на момент анализа качествами и характеристиками.

Для оценки риска  используются следующие показатели:

• цена риска – размер ущерба, который может быть нанесен в результате некоторого события риска;
• вероятность события риска – вероятность возникновения события риска с определенной ценой риска в результате реализации определенной комбинации угроз;
• величина риска (или ожидаемый ущерб или степень риска) – математическое ожидание (произведение цены риска на вероятность события риска) возникновения события риска с определенной ценой и вероятностью этого события.

 
Если во всех расчетах цена риска  указывается в денежном выражении, то оценка рискообразующего потенциала системы представляет собой показатель ожидаемых среднегодовых потерь (в соответствующих денежных единицах) из-за недостаточной защищенности и надежности системы.

Рискообразующий потенциал любой части системы  может быть рассчитан как сумма  рискообразующего потенциала угроз, каждая из которых может быть отнесена к  соответствующей части системы.

Рискообразующий потенциал системы расчитывается как сумма рискообразующего потенциала частей этой системы и рискообразующего потенциала угроз, которые относятся к системе в целом и не могут рассматриваться в качестве угроз какой-либо из ее частей.

В качестве структурных  составляющих могут рассматриваться отдельные объекты, совокупности объектов, процессы и совокупности процессов, подсистемы, локальные среды, регионально удаленные части системы.

Общий перечень всех выделенных структурных составляющих системы, построенный на принципе идентификации иерархических связей между ними, называется структурной моделью.

Структурная модель с указанием всего множества  угроз, относимых к каждой из структурных  составляющих, образует нормативную  модель угроз системы.

Для каждой угрозы может быть указано множество мер защиты, которые могут быть приняты для снижения ее рискоообразующего потенциала.

О понятиях "мера защиты" и "мероприятие  по защите". В данной аксиоматике они рассматриваются как в значительной степени взаимозаменяемые, почти как синонимы, поэтому чаще в качестве обобщающего используется более короткое слово "мера". Вместе с тем в ряде случаев, когда необходимо подчеркнуть разовость события, используется слово "мероприятие", а когда нужно подчеркнуть перманентность защиты – слово "мера".