Модель системы защиты информации с «полным перекрытием»

Данная модель строится на основе общей модели процесса защиты информации, в ней рассматривается взаимодействие области угроз, защищаемой области (т.е. ресурсов АС) и системы защиты (механизмов безопасности АС) [56].

Для описания системы защиты используется графовая модель.

7 = {уД - множество угроз безопасности.

О = {о,} - множество объектов защищенной системы.

С= {с_Г[г} - множество механизмов безопасности.

Множество отношений угроза-объект образует двухдольный граф {<7, 0>}. Цель защиты состоит в том, чтобы перекрыть все возможные ребра в графе. Это достигается введением третьего набора С. В результате получается трехдольный граф {<7, С, 0>).

Развитие этой модели предполагает введение еще двух элементов: V - набор уязвимых мест, определяемый подмножеством декартова произведения Y*0: v = . Таким образом, под уязвимостью системы защиты v_r понимается возможность осуществления угрозы yj в отношении объекта о,.

В - набор барьеров, определяемый декартовым произведением V*C: bi = <ур Oj, с„>, представляющих собой пути осуществления угроз безопасности, перекрытые средствами защиты.

В результате получаем систему, состоящую из пяти элементов: <7, О, С, V, В>, описывающую систему защиты с учетом наличия в ней уязвимостей, она представлена на рис. 3.3.1.

Рис. 3.3.1. Модель СЗИ с полным перекрытием

Для системы с полным перекрытием для любой уязвимости имеется соответствующий барьер, устраняющий эту уязвимость. Данное условие является первым фактором, определяющим защищенность АС. Вторым фактором является прочность существующих механизмов защиты.

Защищенность АС от угроз безопасности Y определяется количеством уязвимостей V, для которых в системе не создано барьеров В, перекрывающих эти уязвимости, а также прочностью существующих барьеров. В идеале каждый механизм защиты должен исключать соответствующий путь реализации угрозы . В действительности же механизмы защиты обеспечивают лишь некоторую степень сопротивляемости угрозам безопасности. В связи с этим в качестве характеристик элемента набора барьеров Ь/ = <ур о„ с_п > может рассматриваться набор <Р/, Ьь Rj>, где Pi - вероятность появления угрозы, I/ - величина ущерба при удачном осуществлении угрозы в отношении защищаемых объектов, R_t - степень сопротивляемости механизма защиты с_п, характеризующаяся вероятностью его преодоления.

Прочность барьера bi = jt о„ с^> характеризуется величиной остаточного риска Risk/, связанного с возможностью осуществления угрозы безопасности yj в отношении объекта АС о„ при использовании механизма защиты с_п. Эта величина определяется по формуле:

Для определения величины защищенности S можно использовать следующую формулу:

где Рь L_k е(0, 1), Л*е[0,1).

В формуле (3.3.2) знаменатель определяет суммарную величину остаточных рисков, связанных с возможностью осуществления угроз безопасности Y в отношении объектов АС О, при использовании механизмов защиты С. Суммарная величина остаточных рисков характеризует «общую уязвимость» системы защиты, а защищенность АС определяется как величина, обратная ее «уязвимости». При отсутствии в системе барьеров Ь_к, перекрывающих определенные уязвимости, степень сопротивляемости механизма защиты R_k принимается равной 0.