Семантическая модель угроз

В процессе оценки информационных рисков предприятия одна из основных задач это оценка ущерба от реализации угроз ресурсам информационной системы (ИС). В процессе оценки ущерба необходимо учитывать, что ресурсы ИС связаны между собой и реализация угрозы для одного из ресурсов приводит к реализации угроз для всех связанных с ним ресурсов. В данной работе предлагается семантическая модель угроз для информационной системы предприятия, позволяющая определить связи между ресурсами информационной системы, последствия реализации любой угрозы и, соответственно, определить полный ущерб от реализации любой угрозы.

Модель представляет собой иерархическую неоднородную семантическую сеть M_T = {{O_T}, HK, PT, S, T, Rf^T}, где: {O_T} – множество информационных единиц, в качестве которых рассматриваются ресурсы ИС, поддерживаемые ей бизнес-процессы и угрозы, HK, PT, S, T – типы связей, Rf^T – матрица отношений.

Множество информационных единиц представляет собой множество {O_T}={{BP}, {Sn}, {Rm}, {DC_o}, {DC_a}, {DC_h}, {NE}, {C}, {SS}, {AS}, {D}, {Th}}, где: {BP} — бизнес-процессы, {Sn} – подсети, {Rm} – помещения в которых находятся элементы ИС, {DC_o} — внешние электронные носители информации (CD/DVD – диски, flash – карты, дискеты, ZIP и пр.), {DC_a} — отчуждаемые электронные носители информации (HDD), {DC_h} — бумажные носители информации, {NE} — сетевое оборудование, {C} — серверы и автоматизированные рабочие места пользователей, {SS} — системное программное обеспечение, {AS} — прикладное программное обеспечение, {D} — информация (данные) обрабатываемая и хранящаяся в информационной системе, {Th} – множество угроз.

Множество рассматриваемых угроз фиксировано и представляет собой {Th} = {CV, IV, AV, Ds, Mf, Tf, A}, где: CV – нарушение конфиденциальности, IV – нарушение целостности, AV – нарушение доступности, Ds – уничтожение, Mf – нарушение работы, Tf – кража, A – внесение изменений.

В модели определены следующие типы связей: HK – связь типа «включает/хранит» (указывает, что исходный ресурс содержит другой ресурс), PT – связь типа «обрабатывает/передает» (указывает, что исходный ресурс участвует в передаче или обработке зависимого), S – связь типа «поддерживает функционирование» (указывает, что от исходного ресурса зависит возможность функционирования зависимого ресурса), T – связь типа «существует угроза» (указывает, что для элементов, отображающих ресурсы и бизнес-процессы, существует данный тип угрозы).

Связи между типами ресурсов и угрозами являются строго определенными. Т.е. для определенного типа ресурса могут быть осуществлены только определенные угрозы. При реализации угрозы исходному ресурсу для зависимых ресурсов могут быть реализованы не все возможные угрозы. Например, уничтожение носителя информации ведет к уничтожению данных хранимых на нем, но не к раскрытию их конфиденциальности. В модели учитывается зависимость угроз осуществляемых для зависимых ресурсов от того какая угроза реализована для исходного ресурса и от типа связи между ресурсами.

Угрозы для зависимых ресурсов делятся на явные и потенциальные. Явными называются те угрозы, которые будут обязательно осуществлены при реализации угрозы для исходного ресурса. Например, при нарушении работы операционной системы нарушается работа компьютера, на котором она была установлена. Потенциальными называются те угрозы, которые могут осуществиться при реализации угрозы исходному ресурсу только с определенной долей вероятности. Например, при краже носителя информации конфиденциальность хранящейся на нем информации может быть не раскрыта, если информация зашифрована с использованием стойкого алгоритма шифрования и достаточно длинного ключа. Потенциальные угрозы рассматриваются только для информации обрабатываемой в ИС.

Для отображения явных и потенциальных угроз ИС, семантическая сеть модели угроз строится как иерархическая. Элементы предметного множества, отображающие информацию, обладают собственной внутренней структурой.

Вывод вложенной сети отвечает на вопросы, зашифрована информация, имеется ли её резервная копия. Впоследствии это используется в алгоритме вывода из модели угроз.

Также учитывается, что отношения между ресурсами могут быть неоднозначными, в том случае если отношение связывает исходный ресурс только с частью зависимого ресурса. Например, прикладная программа при работе с таблицами баз данных может получать полностью таблицу или только её представление.

Помимо этого учитывается, что при рассмотрении реализации угроз для сетевых устройств компьютеров и программного обеспечения возникает неоднозначность в определении угроз для обрабатываемых или передаваемых информационных ресурсов. Например, для клиент-серверной системы управления базой данных вывод из строя серверной составляющей означает нарушение доступности базы данных, а выход из строя клиентской программы на одном из компьютеров сети не несет никакой угрозы для самой базы данных. Соответственно всем отношениям типа «Обрабатывает/передает» приписывается вес , где:

D_ij – отображает насколько полно обрабатывается или передается зависимый ресурс исходным. ;

Pr_ij – отображает обеспечивает ли исходный ресурс доступность зависимого или только участвует в обработке или передаче., 0 – только передает, 1 – обеспечивает доступность.

Вывод, который может быть получен из модели угроз, отображает суммарные потери при реализации угрозы заданному ресурсу. При этом учитываются все угрозы, которые реализовываются для зависимых ресурсов. Алгоритм вывода из сети основывается на том, что при рассмотрении последствий реализации угрозы для определенного ресурса те отношения типа «Существует угроза», которые отображают реализацию угроз для зависимых ресурсов, должны быть определенным образом промаркированы. Также в сети отражается ущерб от реализации каждой из рассматриваемых угроз. Для этого отношениям типа «Существует угроза» приписывается вес , где:

─      C_ij – вес отображающий какой урон будет нанесен ресурсу, если для него будет реализована угроза с которой он связан отношением «Существует угроза». C_ij ≥ 0;

─      Rz_ij = {0, 1} – вес отображающий, реализована угроза или нет. 0 – не реализована, 1- реализована;

Используя модель угроз, определяется набор наиболее критичных угроз защищаемой ИС, т.е. угроз ущерб от которых не меньше некоторого Loss_крит. Для этого создается список угроз ресурсам {ThR_i}, который включает в себя все угрозы, рассматриваемые для защищаемой ИС