Математическая модель потенциального нарушителя

Рассмотрим, как можно практически использовать эксплуатационную характеристику «опасность потенциального нарушителя для ИС» — значения maxS_vll и max5L.

ун ап Значение характеристики maxS_VII можно принять для задания сложности реализации угрозы уязвимостей реализации, к которой полностью готов потенциальный нарушитель. В этом случае вероятность P_av реализации им угрозы уязвимостей будет определяться следующим образом:

где А5_у = 5_у — max 5^.

Значение же характеристики max5_ам можно принять для задания сложности реализации угрозы атаки, к которой полностью готов потенциальный нарушитель. В этом случае вероятность Р_а реализации им угрозы атаки будет определяться следующим образом:

где А5_а = 5_а — шах5_ан.

Характеристику Р_а применительно к угрозе атаки можно интерпретировать как коэффициент готовности потенциального нарушителя к реализации этой угрозы атаки.

Замечание. Потенциальный нарушитель может быть полностью готов к реализации всех реальных угроз уязвимостей, создающих угрозу атаки, по отдельности, но, ввиду их большого числа, не полностью готов (готов с вероятностью, меньшей единицы) к реализации угрозы атаки в целом.

Таким образом, неполная готовность потенциального нарушителя к реализации угрозы атаки может быть вызвана как высокой сложностью реализации угрозы уязвимости, так и сложностью реализации угрозы атаки ввиду большого числа угроз уязвимостей, создающих угрозу атаки, при невысокой сложности реализации каждой отдельно взятой угрозы уязвимостей.

Характеристики max5_VM и maxS_all могут быть использованы для определения совокупности актуальных угроз атак на защищаемую ИС из исходного множества потенциально возможных угроз атак для ИС (функциональная модель потенциального нарушителя), т. е., следуя введенному ранее определению, для построения математической модели нарушителя. Определив значения таxS_yn и тах?_ш, можно преобразовать множество потенциальных угроз атак, приняв в качестве актуальных для ИС только те из них, которые гарантированно готов реализовать потенциальный нарушитель.

Естественно, что с определенной вероятностью потенциальным нарушителем могут быть реализованы и угрозы тех атак, сложность реализации которых связана с превышением соответствующих значений характеристик max 5^, и тах5_а11.

Это можно учесть, задав некое приращение Атах 5^, и Атах5_ан, при этом отнеся к неактуальным для И С угрозы тех атак, для которых выполняется в отношении угрозы атаки в целом условие.

либо хотя бы для одной угрозы уязвимостей, создающих угрозу атаки, выполняется условие

В результате подобного преобразования будет построена математическая модель потенциального нарушителя, определение которой мы дали выше, — определена совокупность актуальных для ИС угроз атак, для каждой из которых будут определены значения вероятностей их реализации потенциальным нарушителем Р_я и вероятностей реализации потенциальным нарушителем угроз уязвимостей P_av, создающих угрозы атаки:

где AS = 5_V — max5_VH; S_y < max 5 + Amax5_VH.

где A5_a = 5_a — max5_aH; S_a < max5_aiI + Amax-S^.

Как видим, математическая модель потенциального нарушителя строится без использования каких-либо экспертных оценок, исключительно с использованием соответствующих статистических данных, в том числе определяемых по результатам эксплуатации подобных (аналогичных) информационных систем.

Как отмечали, говоря об абстрактном потенциальном нарушителе, предполагаем, что одновременно несколько реальных нарушителей может осуществлять успешные атаки во время возникновения отказа безопасности, в том числе на различные возникшие реальные уязвимости одного типа.

Поэтому при моделировании такие уязвимости не должны рассматриваться в качестве событий потерь для абстрактного потенциального нарушителя, наоборот, требуется учитывать все время нахождения системы в состоянии отказа безопасности.