Глава 3

данных большое внимание уделяет целый ряд учреждений (Стенфордский исследовательский институт и др.). В результате уже получены достаточ­но представительные данные по целому ряду угроз, которые могут быть положены в основу ориентировочных расчетов и для других стран.

Учитывая важность данного вопроса, представляется настоятельно актуальной организация непрерывного и регулярного сбора и обработки данных о проявлениях угроз, охватывающего возможно большее число АСОД.

Рассмотренная выше модель допускает также игровую интерпрета­цию, т.е. может быть приведена к постановке в терминах теории игр. Предположим, что злоумышленник затрачивает х средств с целью пре­одоления механизма защиты, на создание которого израсходовано у средств. Естественно, ожидаемое количество информации, получаемое злоумышленником, есть некоторая функция 1(х,у). Если далееДп) - есть ценность для злоумышленника и единиц информации, a g(n) - суммарные затраты на создание и сбережение этого же числа единиц информации, то чистая прибыль злоумышленника

В теоретическом отношении эта модель является достаточно стро­гой, однако для практического использования необходимо определить стоимость информации, а также построить функции I,fng для общего случая, что в настоящее время пока является нерешенной проблемой.

Естественным продолжением моделей оценки угроз АСОД являют­ся модели нейтрализации этих угроз, т.е. модели защиты. Наиболее об­щей моделью защиты является модель так называемой системы с полным перекрытием.

Угрозы и методология оценки уязвимости информации

При построении данной модели в качестве исходной взята есте­ственная посылка, состоящая в том, что в механизме защиты должно со­держаться по крайней мере одно средство для перекрытия любого потен­циально возможного канала утечки информации. Методика формально­го описания такой системы заключается в следующем:

1. составляется полный перечень объектов О системы, подлежащих защите;

2. составляется полный перечень потенциально возможных угроз Т информации, т.е. возможных вариантов злоумышленных действий;

3. составленные таким образом множества объединяются в дву­ дольный граф с соблюдением условия: ребро <1» oj> существует только тогда, когда угроза t_t является реальной для объекта of,

4. для каждого ребра в графе определяется количественная мера со­ ответствующей угрозы для соответствующего объекта;

5. формируется множество М средств защиты информации в вы­ числительной системе;

6. определяется количественная мера возможности противодействия каждого средства защиты каждой из угроз. Если возможность противо­ действия превышает уровень угрозы, то соответствующее ребро графа исключается.

Очевидно, если множество М такое, что устраняются все ребра гра­фа, то такая система является системой с полным перекрытием.

Одной из разновидностей теоретически строгих моделей являются модели систем разграничения доступа к ресурсам АСОД.

В самом общем виде существо этих моделей может быть представ­лено следующим образом. АСОД является системой множественного до­ступа, т.е. к одним и тем же ее ресурсам (техническим средствам, про­граммам, массивам данных) имеет законное право обращаться некоторое число пользователей (абонентов). Если какие-либо из указанных ресурсов объявляются защищаемыми, то доступ к ним должен осуществляться лишь при предъявлении соответствующих полномочий. Система разгра­ничения доступа и должна стать тем механизмом, который регулирует такой доступ. Требования к этому механизму на содержательном уровне состоят в том, что, с одной стороны, не должен быть разрешен доступ пользователям (или их процессам), не имеющим на это полномочий, а с другой - не должно быть отказано в доступе пользователям (или их про­цессам), имеющим соответствующие полномочия.