Please enable JavaScript.
Coggle requires JavaScript to display documents.
Оцінювання захищеності інформаційно-комунікаційних систем - Coggle Diagram
Оцінювання захищеності інформаційно-комунікаційних систем
Система стандартів комплексних систем захисту інформації та управління інформаційною безпекою
Міжнародні стандарти у сфері інформаційної безпеки (ІБ) є орієнтиром під час побудови управління інформаційною безпекою (СУІБ).
Вони допомагають вирішувати пов’язані з цією діяльністю завдання усіх рівнів: стратегічних, тактичних, операційних
Вивчення стандартів дає можливість дізнатися
про
– термінологію у сфері ІБ;
– загальні підходи до побудови систем ІБ;
– загальноприйняті процеси ІБ;
– конкретні заходи захисту, використовувані в ІБ;
– ролі фахівців під час побудови процесів ІБ
ISO (International Organization for Standardization), Міжнародна організація стандартизації – міжнародна організація, яка займається випуском стандартів
найвідоміші стандарти
ISO/IEC 27000
розроблені для
регулювання управлінням інформаційною безпекою
Найвідоміший стандарт серії – ISO/IEC 27001:2013 визначає аспекти менеджменту інформаційної безпеки і містить кращі практики з вибудовування процесів для підвищення ефективності управління ІБ
переваги застосування
забезпечення безперервності бізнес-процесів,
забезпечення комплексного контролю рівня захисту інформації
мінімізація ризиків
забезпечення цілісності, конфіденційності та доступності критичних інформаційних ресурсів інформаційно-комунікаційних систем (ІКС) та мереж
зниження витрат на інформаційну безпеку
ISO 15408
COBIT (Control Objectives for Information and Related Technology), завдання інформаційних і суміжних технологій, являє собою пакет документів, який складається з понад 40 міжнародних та національних стандартів і настанов у сфері управління IT, аудиту та IT-безпеки
ITIL (The IT Infrastructure Library), бібліотека інфраструктури інформаційних технологій – це набір публікацій (бібліотека), що описує загальні принципи ефективного використання ІТ-сервісів
NIST (National Institute of Standards and Technology) – це американський національний інститут стандартизації, аналог вітчизняного Держстандарту
Найбільш поширеним і загальновизнаним збірником рекомендацій у сфері захисту інформації є стандарт ISО/IEC 27001 «Infоrmаtiоn technоlоgy – Security techniques – Infоrmаtiоn security mаnаgement systems – Requirements»
Використання стандартів для проектування та
оцінювання комплексних систем захисту інформації
загальні критерії оцінювання безпеки інформаційних технологій
Найбільш поширеним варіантом оцінювання якості КСЗІ для складних ІКС є застосування міжнародного стандарту ISO 15408.
Положення зазначеного стандарту використовують для оцінювання захищеності інформаційної системи з точки зору повноти реалізованих у ній функцій безпеки і надійності реалізації цих функцій
складається з декількох частин, що визначають Загальні критерії оцінювання безпеки інформаційних технологій
Вступу та загальної моделі
(Introduction and general model), що містить єдині критерії оцінювання безпеки ІТ систем на програмно-апаратному рівні та визначає повний перелік об’єктів аналізу і вимог до них, не загострюючи уваги на методах створення, управління та оцінюванні системи безпеки
функціональних компонентів безпеки
(Security functional components model), що містять вимоги до функціональності засобів захисту, які можуть бути використані під час аналізу захищеності для оцінювання повноти реалізованих функцій безпеки
компонентів довіри до безпеки
(Security assurance components), що містять обґрунтування загроз, політик і вимог
Мають місце концептуальні проблеми щодо оцінювання захисту інформації в ІКС (зокрема й кіберзахисту критичних систем), які підключені до мережі Інтернет. Це пов’язано з тим, що немає підходів, які б дозволили поєднати тестування на проникнення з існуючою українською нормативною базою
Прикладні аспекти завдання оцінювання захищеності інформаційно-комунікаційних систем (ІКС)
Модель оцінювання захищеності ІКС
У нормативному документі НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу, визначений перелік стандартних профілів захищеності (ПЗ).
Ці профілі визначають необхідні рівні послуг безпеки для забезпечення захисту інформації.
Модель нечіткого логічного виведення
Загальна схема розв’язання задачі оцінювання ПЗ складається з таких дій
фазифікація результатів перевірки необхідних умов та тестувань на проникнення;
процедура нечіткого логічного виведення послідовно для кожного рівня ієрархії;
дефазифікація результатів оцінювання.
При фазифікації використовуються нечіткі терммножини, функції належності яких подані у вигляді трикутних L-R функцій.
Нечіткі множини сформовані за результатом перевірки критеріїв відповідності визначеним для них рівням захищеності на верхніх рівнях ієрархії є вхідними даними для критеріїв нижніх рівнів.
Нечіткі логічні рівняння дозволяють оцінювати інтегральний показник E для фіксованих значень локальних показників.
На першому кроці відбувається нечітке виведення для проміжних вершин локальних показників
На другому кроці чіткі значення цих змінних передаються в нечітку систему наступного рівня ієрархії.
Алгоритм нечіткого логічного виведення
Визначається значення функцій належності термівоцінок вхідних змінних.
обчислюються функції належності термів-оцінок вихідної величини, яка відповідає вектору значень вхідних змінних.
Фіксується вектор значень вхідних змінних.
Визначається оцінка, функція належності якої максимальна.
Приклад застосування розробленої моделі
сукупність послуг безпеки, які повинні реалізовуватись будь-якою системою захисту
зовнішня ідентифікація і автентифікація (НИ-1)
виділення адміністратора (НО-1)
зовнішній аналіз (НР-1)
цілісність комплексу захисту (НЦ-1)
Для процедури оцінювання вибираємо ті критерії, які зазначені в технічному завданні.
Послуги, які перевірять тестуванням на проникнення:
• довірча конфіденційність (КД),
• адміністративна конфіденційність (КА),
• повторне використання об’єктів (КО),
• аналіз прихованих каналів (КК),
• конфіденційність при обміні (КВ),
• довірча цілісність (ЦД),
• мінімальна адміністративна цілісність (ЦА),
• мінімальна цілісність при обміні (ЦВ),
• стійкість до відмов(ДС),
• реєстрація (НР),
• ідентифікація і автентифікація (НИ),
• розподіл обов’язків (НО),
• цілісність КЗЗ (НЦ),
• ідентифікація і автентифікація при обміні (НВ),
• автентифікація відправника (НА),
• автентифікація отримувача (НП)
Послуги, які перевіряються іншими методами:
• відкат (ЦО),
• використання ресурсів (ДР),
• модернізація (ДЗ),
• відновлення після збоїв (ДВ),
• достовірний канал (НК),
• самотестування (НТ).
Необхідно оцінити те, наскільки повно комплекс засобів захисту його реалізує.
Моделювання інтегрального показника E проведено у середовищі Fuzzy Logic Toolbox пакету Matlab.
Отримана нечітка система дозволяє проводити моделювання оцінювання інтегрального показника E за різними значеннями входів X, Y, V, B.
Отримана оцінка E свідчить про часткову відповідність вимогам
