АВТОМАТИЗИРОВАННОЕ ФОРМИРОВАНИЕ МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Процесс разработки модели угроз требует трудоемкого анализа защи — щаемого. В данной статье предлагается технология, основанная на авто — матизированном преобразовании моделей, которая позволяет одновре- менно разрабатывать несколько представлений объекта, включая тексто — вое описание, и в автоматизированном режиме строить на их основе мо — дели угроз и нарушителя.

Ключевые слова: модель, персональные данные, преобразование моде — лей, модель объекта, модель угроз.

В настоящее время мы живем в информационном об — ществе. Что это означает? Это означает, что мы зависим от инфор — мации, в частности, для нормального функционирования совре — менного общества необходим оперативный доступ к достоверной информации наряду с необходимостью обеспечения конфиден- циальности чувствительной информации. При этом для хранения и обработки информации используются уязвимые технологии (в том числе распределенные информационные системы с под — ключением к сетям связи общего пользования). Иными словами, перед обществом и государством, бизнес-организациями стоит задача нахождения компромисса между потребностями в доступе к информации и необходимостью ее защиты. Существуют различ — ные подходы к созданию защищенных информационных систем: на основе анализа угроз и рисков1, на основе анализа структуры системы2 и др. При этом при определении требований к защите информации без учета угроз ценные активы организации могут

получить недостаточный уровень защиты, а расходы на защиту малоценных активов станут неоправданно высокими.

Для определения необходимых и достаточных мер защиты ин- формационных систем формируется модель угроз безопасности информационной системы. Модель угроз предназначена для вы — явления актуальных для конкретной информационной системы угроз безопасности и формирования на ее основе требований к за — щите рассматриваемой информационной системы. Выявление актуальных угроз безопасности – процесс трудоемкий и сложный, требующий работы квалифицированного эксперта, что опреде — ляется следующими основными факторами: возрастающей слож — ностью современных информационных систем и постоянно изме — няющимся множеством угроз.

Таким образом, для упрощения и удешевления процесса фор — мирования модели угроз необходимо создать инструмент под — держки анализа. В данной статье рассматривается подход к созда — нию такого инструмента на примере разработки модели угроз и нарушителя для информационной системы персональных дан — ных: в первой части статьи рассматривается общий принцип фор- мирования модели угроз, в последующих частях – формирова — ние отдельных составляющих данного документа, в заключитель — ной части рассматриваются возможности применения данного инструмента.

Формирование модели угроз и модели нарушителя информа- ционной системы персональных данных должно осуществляться в соответствии с требованиями нормативно-методических доку — ментов в области защиты информации. В соответствии с анали — зом3 нормативно-методических документов ФСТЭК и ФСБ Рос — сии в рамках разработки модели угроз безопасности персональных данных должны быть разработаны следующие модели:

– модель нарушителя, позволяющая провести классификацию системы и выбрать необходимый уровень криптографической за — щиты в соответствии с руководящими документами ФСБ России;

– модель угроз, включающая перечень актуальных угроз (спо- собов реализации), позволяющий определить требуемый уровень защиты автоматизированной системы от НСД и утечки по техни — ческим каналам в соответствии с руководящими документами ФСТЭК России.

Как показал анализ нормативно-методических документов-ре — гуляторов, для построения модели угроз необходимо определить объекты воздействия (защищаемые ресурсы), цели атак (или воз-

можный несанкционированный доступ) и определить возможные способы доступа (каналы атак) и их актуальность. При этом для оп — ределения перечня возможных способов доступа необходимо про — вести анализ уязвимостей системы и возможностей нарушителя.

Анализ объекта может быть проведен с применением различ — ных методик. Одной из возможных методик анализа является мо- делирование, которое позволяет получить обозримое и полное представление системы с требуемым уровнем детализации, кроме того, формализованная модель объекта может быть использована для автоматизированного получения модели угроз и в дальней — шем для построения модели защиты. Модель угроз может быть по — строена различными способами. В данной статье рассматривается построение модели угроз с использованием ряда базовых и при — кладных моделей, характеризующих различные аспекты объекта защиты.

Базовые модели используются для генерации прикладных мо — делей и содержат:

– перечень возможных угроз безопасности с указанием необхо- димых для их реализации средств и знаний, последствий их реали — зации;

– базовые модели нарушителей с указанием категорий лиц по — тенциальных нарушителей и их возможностей;

– методику оценки ущерба при нарушении состояния защи- щенности элемента объекта.

Прикладные модели описывают конкретный объект защиты, в рамках формирования модели угроз создаются следующие при — кладные модели:

– модель объекта защиты;

– модель потенциальных точек воздействия;

– модель нарушителя;

– модель угроз.

Формирование модели конкретного объекта защиты осуще- ствляется путем задания свойств элементов модели объекта. Модель объекта должна быть построена максимально полной, с различными представлениями объекта и различными уровня — ми детализации, так как информация, которая покажется избы- точной на одном этапе, может быть использована на следующих стадиях создания системы, например, данные об используемых протоколах не нужны для определения принципов построения системы защиты, но могут оказать влияние на выбор технических средств защиты.

242

Автоматизированное формирование модели…

Целью защиты информации является сохранение состояния защищенности информации, при этом доступ к информации, как правило, осуществляется через некоторого посредника. В частнос — ти, для информации в качестве таких посредников могут высту — пать:

– программное обеспечение, обеспечивающее ввод, обработку и хранение информации;

– ОТСС, задействованные для передачи, обработки и хране — ния информации;

– ВТСС, связанные с ОТСС (в том числе расположенные в од- ном помещении);

– персонал, работающий информацией и/или СВТ;

– помещение, в котором происходят ввод, обработка и хране — ние информации.

Иными словами, для обеспечения состояния защищенности информации необходимо выявить и обеспечить безопасность всех ресурсов, представляющих ценность для организации, а также тех ресурсов, через которые возможен доступ, т. е. должен быть опре — делен перечень защищаемых ресурсов, при этом должны быть определены последствия нарушения состояния защищенности информации (ресурсов). Состояние защищенности информации может быть определено через следующие свойства:

– конфиденциальность (защищенность информации от не- санкционированного раскрытия информации об объекте);

– целостность (защищенность информации от несанкциониро- ванной модификации, уничтожения);

– доступность (обеспечение своевременного санкционирован — ного получения доступа к информации);

– подконтрольность – свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта; обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены индивидуально по отношению к субъекту;

– достоверность – свойство обеспечения идентичности субъек- та или ресурса заявленной идентичности. Аутентичность при — меняется к таким субъектам, как пользователи, процессы, системы и информация; идентичность объекта к тому, что заявлено.

Соответственно для каждого ресурса в модели объекта опреде- ляются защищаемые свойства и последствия их нарушения (ущерб). При формировании модели объекта необходимо учиты — вать, что объект защиты содержит разнородные защищаемые ре — сурсы, в частности:

243

А. Н. Приезжая

• защищаемую информацию; причем в рамках объекта защиты

(ОЗ) могут существовать различные типы информации, например:

– информация, представляющая собой ПДн (Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»);

– служебная информация и информация ограниченного рас- пространения, составляющая служебную тайну;

– информация, используемая для идентификации и аутен- тификации пользователей ОЗ;

– ключевая информация средств криптографической защи — ты;

– информация журналов регистрации событий;

• сведения о средствах и системе защиты информации ОЗ;

• СВТ и их компоненты, в частности:

– средства хранения и обработки информации ОЗ;

– активное сетевое оборудование ОЗ;

– АРМ пользователей;

– средства защиты;

• общее и специальное программное обеспечение ОЗ:

– операционные системы СВТ ОЗ;

– общесистемное программное обеспечение ОЗ;

– специальное программное обеспечение ОЗ;

• сведения о технологическом устройстве ОЗ:

– логические схемы функционирования ОЗ;

– топология и сетевая архитектура ОЗ.

Кроме того, возможности по доступу нарушителя к защищае — мым ресурсам зависят от структуры объекта, используемых техни — ческих средств, характера информационных взаимодействий меж — ду компонентами системы, а также принятых организационно-ре — жимных и технических мер защиты и особенностей размещения объекта защиты. Все значимые для обеспечения безопасности ха — рактеристики объекта описываются в его модели.

Основными задачами формирования модели объекта защиты являются:

– описание структуры системы;

– идентификация защищаемых ресурсов ОЗ и оценка ущерба, который может быть нанесен при нарушении характеристик безо — пасности ЗР;

– выявление потенциальных точек воздействия – элементов системы, которые могут быть использованы для нарушения харак — теристик безопасности ЗР.

244

Автоматизированное формирование модели…

Общее описание

Объекта Защиты

Определение нормативно-методических и руководящих документов для разработки проекта защиты

Описание Элементов Объекта Защиты

Идентификация защищаемых ресурсов и оценка

ущерба при нарушении их характеристик безопасности

Уточнение

Построение структурной схемы ОЗ

Идентификация элементов системы, которые могут быть использованы для нанесения ущерба защищаемым ресурсам

Доработка модели

Проверка консистентности модели ОЗ

Рис. 1. Алгоритм формирования модели объекта

Алгоритм формирования модели объекта приведен на рис. 1. Структура ОЗ описывается прикладной моделью «Объект защиты». При этом система представляется как совокупность элементов и связей между ними. Структура и правила построения модели объекта защиты приведены на рис. 2.

Модель ОЗ содержит:

– информацию в форме, пригодной для дальнейшей автомати- зированной обработки;

245

А. Н. Приезжая

Объект защиты

(from Проект)

Справочник Типов Помещений

(from Справочники)

Справочник персонала

(from Справочники)

<<Экземпляр>> Помещение

<<Экземпляр>> Персонал

Справочник Типов Информации

(from Справочники)

<<Экземпляр>> Информация

Справочник Типов ПО (from Справочники)

<<Экземпляр>> Программное обеспечение

Справочник Технических Элементов

(from Справочники)

<<Экземпляр>> Технический элемент

Элемент модели «ОЗ» Идентификатор Название Определение Назначение

Описание внутренней структуры

Дополнительные сведения

– детальную информацию в форме, пригодной для проведения экспертного анализа и использования в проектных документах.

Для последующей автоматической обработки каждый элемент модели типизируется. Определяются класс элемента (информа — ция; программное обеспечение; технические элементы; помеще — ния; персонал и пользователи ОЗ) и тип элемента с использова — нием соответствующего справочника.

Для связи определяются:

элементы системы, которые она связывает;

тип связи – значение, выбираемое из системного классифи — катора «Тип связи» (для выбора доступны только те значения, которые применимы для данных элементов системы с учетом их класса);

– описание связи (необязательный параметр. Содержит важ — ную для экспертного анализа информацию. Использование в про — ектных документах не предполагается);

– дополнительное свойство связи (необязательный параметр). Идентификация защищаемых ресурсов происходит автомати — чески (рис. 3). Элемент системы считается защищаемым ресурсом, если в соответствии с базовой моделью для элемента данного типа задана ненулевая шкала ущерба при нарушении хотя бы одного свойства. Эксперт должен произвести вербальную оценку всех элементов системы, идентифицированных как ЗР, с использова — нием шкалы, рекомендованной для данного типа элемента в базо — вой модели «Методика оценки ущерба при нарушении характери-

стик безопасности».

По результатам вербальной оценки формируется числовое зна- чение, используемое для оценки интегрального ущерба: числовой эквивалент вербальной оценки умножается на весовой коэффи — циент, заданный в базовой модели.

247

А. Н. Приезжая

Элементы системы, получившие по результатам экспертной оценки нулевую оценку ущерба при нарушении всех характерис — тик безопасности, в дальнейшем не рассматриваются как защи — щаемый ресурс системы.

При определении возможных атак необходимо учитывать, что атака, реализующая ту или иную угрозу, может происходить в не — сколько этапов, т. е. помимо защищаемых ресурсов должны быть определены потенциальные точки воздействия – элементы ОЗ, посредством которых может быть проведена атака на защищаемую информацию. Элемент системы является потенциальной точкой воздействия (ПТВ), если существует хотя бы одна атака, гаранти — рующая нанесение ущерба всем связанным ресурсам.

Выявление потенциальных точек воздействия и расчет коэф- фициентов уязвимости происходят автоматически с использо — ванием базовой модели «Потенциальные точки воздействия» (модель ПТВ) и могут быть скорректированы экспертом в ручном режиме. Модель ПТВ описывает относительную эффективность воздействия на ЗР путем атаки различных элементов системы, рассматриваемых как ПТВ.

Оценки проводятся с использованием вербальной шкалы

(с числовым эквивалентом в процентах).

Модель ПТВ имеет два подтипа:

– точную модель, предназначенную для использования в де — тально проработанной модели ОЗ;

– модель унаследованного ущерба, предназначенную для использования с моделями ОЗ верхнего уровня.

В детальной модели прорабатываются все связи между эле — ментами системы. В этой модели предполагается, что нарушение конфиденциальности информации возможно только при воздей — ствии на СУБД.

В модели унаследованного ущерба предполагается, что элемен- ты, связанные (прямо или опосредовано) с СУБД – сервер, сервер — ная, администратор, тоже хранят информацию, а атака на эти эле — менты может нанести такой же ущерб, как и атака на СУБД.

Правила интерпретации модели.

1. Если для какого-либо сочетания значений из справочников ЗР и ПТВ не заданы коэффициенты уязвимости, то считается, что для данного сочетания должны использоваться (наследоваться) коэффициенты уязвимости ближайших (по иерархии) типов ЗР и ПТВ, для которых данные ЗР и ПТВ являются подтипами, а коэффициенты уязвимости заданы.

248

Автоматизированное формирование модели…

2. Если такого сочетания нет, считается что тип элемента из справочников ПТВ не может использоваться для нанесения ущер — ба ЗР данного типа.

Алгоритм идентификации ПТВ следующий:

– формируется список Э1 элементов системы, идентифициро — ванных как ЗР;

– для каждого элемента списка Э1 формируется список S1 свя- зей, исходящих от этого элемента системы;

– для каждой связи из списка S1 определяется ее тип и тип (второго) связанного элемента ОЗ. Данный элемент системы рас- сматривается как кандидат на роль ПТВ.

Если в базовой модели ПТВ определены ненулевые коэффи- циенты уязвимости (для точной модели и/или модели унаследо — ванного ущерба), то кандидат идентифицируется как ПТВ и зано — сится в список Э2 (если он не содержится в списке S1), а коэффи- циенты записываются в модели ОЗ.

После завершения просмотра S1 формируется список связей для следующего элемента списка Э1 и процедура анализа связей повторяется. После просмотра всех элементов списка Э1 прове — ряется список Э2. Если в этом списке есть хотя бы один элемент, то процесс проверки повторяется с элементами списка Э2, в про — тивном случае считается, что все ПТВ идентифицированы.

В процессе анализа списка автоматически идентифицирован — ных ПТВ эксперт может сформировать свою (в том числе нуле — вую) оценку коэффициента уязвимости с использованием вер — бальной шкалы. Элементы системы, получившие по результатам автоматизированной или экспертной оценки нулевую оценку коэффициентов уязвимости при нарушении всех характеристик безопасности всех защищаемых ресурсов системы, в дальнейшем не рассматриваются как ПТВ.

Одним из этапов построения модели «Объект защиты» в про — цессе информационного обследования является инвентаризация ЗР и оценка ущерба, который может быть нанесен при нарушении характеристик безопасности ЗР. Эти оценки проводятся с исполь — зованием вербальной шкалы.

При построении моделей ОЗ и модели угроз производится рас- чет интегрального ущерба, наносимого всем защищаемым ресур — сам. При этом происходит переход от вербальных оценок к их числовому эквиваленту, определенному в соответствующем клас — сификаторе и суммирование полученных значений с использова — нием весовых коэффициентов, заданных в модели.

249

А. Н. Приезжая

Методика оценки может быть задана для следующих свойств: конфиденциальность; целостность; доступность; подконтроль — ность; достоверность.

Перечень свойств может быть расширен при необходимости путем добавления новых в классификатор и описания соответст — вующих им методик оценки.

Правила интерпретации модели.

Если для какого-либо значения, описывающего защищаемые ресурсы (типов информации, типов ПО, типов технических эле — ментов), не задана методика оценки, то считается, что для данного ЗР должна использоваться (наследоваться) методика ближайшего (по иерархии) типа ресурса, для которого данный ресурс являет — ся подтипом, а методика оценки задана.

Если какой-либо тип верхнего уровня ресурсов верхнего уров- ня не является защищаемым ресурсом, для него должна быть ука — зана методика нулевого ущерба.

Если для какого-либо типа ресурса верхнего уровня не задана никакая методика, то к нему (и его подтипам) должна применять — ся методика максимального ущерба.

Следующим шагом определения перечня актуальных угроз яв — ляется построение модели нарушителя. Описание возможностей нарушителя безопасности данного объекта защиты строится на осно — вании базовой модели «Возможности нарушителя». Данная модель описывает максимальные возможности для типов нарушителей. Алгоритм формирования модели нарушителя приведен на рис. 4.

Автоматическое определение возможных типов нарушителей на основе модели ОЗ

Экспертная корректировка автоматически сформированной модели

Формирование отчета о принятых экспертом решениях и их обоснованиям

Рис. 4. Алгоритм формирования модели нарушителя

Возможности нарушителя определяются двумя составляющими:

– технической вооруженностью (доступными техническими средствами проведения атак);

250

Автоматизированное формирование модели…

– информационной вооруженностью (знания о способах и ме- тодах проведения атак, сведения об особенностях объекта защиты, включая сведения о системе защиты информации, уровень подго- товки).

Так, техническая вооруженность включает в себя возможность доступа к штатным средствам АСЗИ, доступным в свободной про — даже, или специально разработанным средствам проведения атак (например, анализа сетевого трафика, перехвата информации по каналам ПЭМИН), средствам активации аппаратных закладных устройств и т. п. При этом каждое средство проведения атаки свя — зано с каналом атаки, для которого оно применимо.

Информационная и техническая вооруженность определяет перечень возможных каналов и способов проведения атак для дан — ного типа нарушителя.

Тип нарушителя (и его базовые возможности) определяется исходя из категории лиц – потенциальных нарушителей, в каче — стве потенциальных нарушителей рассматриваются хакеры, хули — ганствующие элементы, обиженные сотрудники, криминальные структуры и др. Данным категориям сопоставляются шесть типов нарушителей, характеризующихся определенными возможностя- ми. Базовая модель «Возможности нарушителя» описывает мак- симальные возможности для типов нарушителей.

Правила интерпретации модели.

Подтип типа нарушителя наследует все возможности типов на- рушителя, расположенных выше по иерархии.

Модель является обучаемой (адаптивной) при добавлении новой возможности в прикладной модели, такая же возможность добавляется соответствующему типу нарушителя в базовой моде — ли с областью применения «Проект».

Возможности нарушителя ограничиваются применяемыми на объекте защиты организационными и техническими мерами, в частности, возможности внутреннего нарушителя ограничи — ваются принятыми правилами пропускного и объектового режи — мов. Данные о принятых ограничениях хранятся в прикладной модели объекта.

Применительно к каждому конкретному проекту перечень воз- можностей нарушителя можно дополнять или сокращать, при этом контролируется полнота описания возможности, так как, в соответствии с принятыми правилами формирования моделей, ограничения на возможности нарушителя должны быть мотиви — рованы. Сведения о возможностях нарушителя информационной

безопасности данного объекта защиты хранятся в прикладной мо — дели «Типы нарушителя и их возможности».

Прикладная модель «Типы нарушителей и их возможности» (рис. 5) строится на основе базовой модели «Возможности нару — шителя» и содержит:

– информацию в форме, пригодной для дальнейшей автомати- зированной обработки;

– детальную информацию в форме, пригодной для проведения экспертного анализа и использования в проектных документах.

При последующей автоматической обработке для каждого на — рушителя должен быть определен его тип с использованием спра — вочника типов нарушителей (базовой модели нарушителя). Таким образом, возможности (знания и средства), каналы атаки и воз — можные способы доступа нарушителя определяются автомати — чески на основании базовой модели нарушителя и модели объекта защиты (структуры системы и перечня защищаемых ресурсов; ограничений на возможности нарушителя).

На основании модели нарушителя, содержащей возможные каналы атаки и способы доступа нарушителя, формируется мо — дель угроз, содержащая перечень актуальных угроз безопасности информации.

Логическая схема алгоритма формирования модели угроз при- ведена на рис. 6.

Перечень возможных угроз определяется автоматически на основании прикладных моделей нарушителя, объекта защиты,

252

Автоматизированное формирование модели…

Автоматическое определение реализуемыъ угроз на основе

«Модели ОЗ» и модели «Типы нарушителей и их возможности» Экспертная корректировка автоматически сформированной модели

Формирование отчета по принятым экспертом решениям и их обоснованиям

Рис. 6. Алгоритм формирования модели угроз

а также базовых моделей потенциальных точек воздействия, сце — нариев атак.

После определения перечня возможных угроз безопасности объекта защиты необходимо провести оценку актуальности угроз. Методика оценки актуальности угрозы зависит от вида информа — ции (персональные данные, коммерческая тайна, иная информа — ция конфиденциального характера, защищаемая информация).

Алгоритм оценки реализуемости угроз работает следующим образом.

1) Формируется список У1 всех угроз, определенных в спра — вочнике «Типы угроз».

2) Для каждого элемента списка У1 в соответствии с базовой моделью «Сценарии атак» формируется список А1 атак, которые могут реализовать данную угрозу. Структура модели приведена на рис. 7.

Модель описывает: условия успешного проникновения (пер — вого воздействия на элементы ОЗ); условия развития атаки (рас- пространение от одного элемента ОЗ к другому); последствия успешного проведения атаки на элементы ОЗ.

Для каждой атаки из списка А1 проверяется возможность ее реализации. Условия успешного воздействия зависят от:

– типа ПТВ (как правило, условие описывается для элементов верхнего уровня, использование подтипов оправдано лишь тогда, когда последний обладает уязвимостями, отсутствующими у эле — мента верхнего уровня);

– свойств конкретного экземпляра ПТВ (элемента прикладной модели);

– возможностей нарушителя;

– канала доступа.

Условия успешного развития атаки зависят от:

– типа ПТВ, из которой происходит распространение атаки;

– свойств конкретного экземпляра ПТВ (элемента прикладной модели), из которого происходит распространение атаки;

– типа ПТВ, на который происходит распространение атаки;

– свойств конкретного экземпляра ПТВ (элемента прикладной модели), на который происходит распространение атаки;

– типа связи между ПТВ и, возможно, других свойств этой связи;

– канала доступа;

– возможностей нарушителя.

254

Автоматизированное формирование модели…

Условия описываются в дизъюнктивной нормальной форме (дизъюнкция элементарных сценариев). Условие реализации эле — ментарного сценария описывается как конъюнкция переменных сценария.

Переменная сценария является свойством одного из объектов:

– ПТВ, на которую направлено воздействие;

– ПТВ, из которой происходит распространение;

– связи между ПТВ в прикладной модели ОЗ;

– нарушителя;

– значение свойства должно принадлежать одному из класси — фикаторов.

Переменная сценария есть результат проверки одного из усло — вий:

– «Равно» – значение свойства равно заданному значению из классификаторов;

– «Не равно» – значение свойства не равно заданному значе — нию из классификаторов;

– «Входит» – значение свойства принадлежит заданному под- множеству значений из классификаторов;

– «Не входит» – значение свойства не принадлежит заданному подмножеству значений из классификаторов.

Успешное проведение (распространение) атаки на элемент ОЗ может приводить к таким последствиям, как нарушение характе — ристик безопасности (характеризуется одним или несколькими деструктивными последствиями); увеличение возможностей на — рушителя.

Также на данном шаге алгоритма для каждой реализованной атаки в рабочих массивах алгоритма фиксируется:

– интегральный ущерб, который наносит данная атака ОЗ;

– возможности нарушителя, использованные в атаке;

– новые возможности, которые получил нарушитель в резуль — тате реализации данной атаки;

– деструктивные последствия атаки (в вербальной форме);

– элементы системы, которые использовались в качестве точки входа;

– элементы системы, на которые распространилась атака;

– ЗР, характеристики которых были нарушены в результате атаки;

– детальная информация о развитии атаки в виде текста (про — токола развития атаки).

255

А. Н. Приезжая

3) Если для угрозы есть хотя бы одна реализуемая атака, угро — за заносится в прикладную модель угроз. При этом в модели угроз фиксируется следующая информация:

– максимальный ущерб, который наносит данная атака ОЗ (максимум по реализуемым атакам);

– возможности нарушителя, использованные в успешных ата — ках (объединение по реализуемым атакам);

– новые возможности, которые получил нарушитель в резуль — тате реализации данной угрозы (объединение по реализуемым ата — кам);

– деструктивные последствия угрозы (объединение по реали- зуемым атакам);

– элементы ОЗ, которые использовались в качестве точки вхо- да угрозы (объединение по реализуемым атакам);

– элементы системы, на которые распространилась угроза

(объединение по реализуемым атакам);

– ЗР, характеристики которых были нарушены в результате реализации угрозы (объединение по реализуемым атакам);

– детальная информация о способах реализации угрозы (объ — единение протоколов по реализуемым атакам).

4) После просмотра все угроз формируется список дополни- тельных возможностей нарушителей. Если список не пустой, то:

– нарушителям добавляются возможности, которые они при — обрели в результате успешно проведенных атак;

– проводится повторная оценка реализуемости угроз с учетом изменившихся возможностей нарушителей.

5) После завершения второй итерации сравниваются списки дополнительных возможностей нарушителей, полученные на этой и предыдущей итерации. Если списки не совпадают, то выполняет — ся еще одна итерация.

6) Процесс завершается, если списки дополнительных возмож- ностей нарушителя, полученные в двух последовательных итера — циях, совпадают.

Использование данного подхода предполагает, что любая мо — дель может быть обоснованно скорректирована экспертом и все полученные прикладные модели могут быть представлены в текс — товом виде с использованием генератора документов по шаблону. Предложенный в данной статье метод разработки модели угроз может быть использован вне зависимости от информации, обраба — тываемой в информационной системе (персональные данные, коммерческая тайна, государственная тайна, иные сведения огра-

256

Автоматизированное формирование модели…

ниченного доступа, общедоступная информация), при этом для каждого вида информации необходимо создание (уточнение) ме — тодики оценки.

На основании полученных моделей может быть также произ- ведена автоматизированная разработка системы защиты информа — ции.

Материал взят из: Научный журнал Серия «Информатика. Защита информации. Математика» № 14 (94)