Модель № 8 для оценки защищенности системы от опасных программно-технических воздействий на основе профилактической диагностики целостности системы

Информационная система считается защищенной от опасных программно-технических воздействий на нее в течение заданного периода времени Г_задан, если к началу этого периода целостность системы обеспечена и в течение всего периода Г_задан источники опасности не проникают в систему или же не происходит их активизации (инициирующим событием).

Моделируемая технология защиты от программно-технических воздействий основана на профилактической диагностике целостности системы. Диагностика осуществляется периодически. Предполагается, что существуют как средства диагностики, так и способы восстановления необходимой целостности системы при выявлении проникших в систему источников опасности или следов их негативного воздействия. Выявление нарушений целостности возможно лишь в результате диагностики. За основу анализа принят следующий поэтапный алгоритм возникновения опасности: сначала источник опасности проникает (внедряется) в систему, а, но прошествии свойственного ему периода активизации он начинает воздействовать. Целостность системы считается нарушенной лишь после активизации проникшего источника опасности, так как до активизации штатный режим функционирования ИС не нарушается.

Достижение требуемой защищенности является следствием достаточно частого диагностирования целостности ИС при ограничениях на допустимое ухудшение показателей своевременности представления запрашиваемой информации. Результатом применения очередной диагностики является полное восстановление нарушенной целостности системы или подтверждение целостности при отсутствии ее нарушения. При формализации все проникшие, но неактивизировавшиеся источники опасности считают нейтрализованными.

Примечание. Существование средств гарантированного выявления источников опасности или следов их воздействия и способов восстановления нарушений целостности системы является необходимым условием обеспечения безопасности ее функционирования. Их эффективность может быть оценена на основе моделирования или натурных испытаний в условиях типовых сценариев информационного противоборства.

Некоторые из моделируемых случаев соотношения между периодами диагностики, заданным временем безопасного функционирования, временем проникновения и активизации источников опасности приведены на рис. 6.10. Случаи 1,4 характеризуют опасное воздействие в течение времени Г_задан, случаи 2, 3, 5 — безопасное функционирование системы.

Рис. 6.10. Схема защиты от опасных воздействий на основе профилактической диагностики целостности системы

Для описания процессов защиты системы введены следующие обозначения:

а — частота воздействия на систему, осуществляемого с целью внедрения источника опасности;

Р — среднее время активизации проникшего в систему источника опасности;

Г_меж — время между окончанием предыдущей и началом очередной диагностики целостности системы;

Г_диаг — длительность диагностики, включая восстановление целостности системы;

Гзадан — заданный период непрерывного безопасного функционирования системы.

Возможны два варианта:

• вариант 1 — заданный период безопасного функционирования Г_задан меньше периода между окончаниями соседних диагностик: Г_задан < Г_меж + + Г.

^{т 1} диаг'.

• вариант 2 — заданный период безопасного функционирования Г_зад больше или равен периоду между окончаниями соседних диагностик: Гзадан —^меж + ^диаг" ^те— ^за это время заведомо произойдет одна или более диагностик.

Для варианта 1 при экспоненциальной аппроксимации временных характеристик проникновения и активизации источников опасности и независимости исходных характеристик вероятность Р_ВОЗд (1)(^а> (3, Г_мсж, Г_Диаг" Г₃ада") отсутствия опасного воздействия в течение периода Г_задан вычисляют, но формуле.

Примечание. Эту же формулу используют для оценки вероятности отсутствия опасных воздействий без какой-либо диагностики в предположении, что к началу Г_зад целостность системы обеспечена.

Для варианта 2, при условии независимости исходных характеристик и периодов между диагностиками, при экспоненциальной аппроксимации временных характеристик проникновения и активизации источников опасности и независимости исходных характеристик, вероятность отсутствия опасного воздействия в течение периода Г,_апа" вычисляют по формуле.

где Р_серед — вероятность отсутствия опасного воздействия в течение всех периодов между диагностиками, целиком вошедшими в Г_задан; с учетом.

^(Г_меж+Г) ^ 'г доли этих периодов—-в оощем заданном периоде Г_задан расчет Рзад Рсерсд осуществляют, но формуле.

где N— число периодов между диагностиками, которые целиком вошли в пределы времени Г_задап, с округлением до целого числа, N= [Г_задаи/(Г_меж+ Г_диаг)]; Рвозд (1)(^а' Р" Г_меж, Гд_Иаг, Г_меж + Г_диаг) — вероятность того, что источники опасности не будут воздействовать за один период между диагностиками, целиком вошедший в пределы времени Г_задан, вычисляют по формуле (6.7); Р_кон — вероятность отсутствия опасного воздействия после последней диагностики, в конце Г_задан С учетом доли остатка Т_ост= Г_задаи — А/(Г_меж + Г_диаг) в общем заданном периоде Г_эди независимости исходных характеристик расчет Р_кон осуществляют по формуле.

Значение Р_{В03Л (1)}(а, р, Г_меж, Г_диаг, Г_ост) вычисляют по формуле (6.7).

Таким образом, вероятность отсутствия опасного воздействия Р_В03Л в течение заданного периода функционирования системы Г_задан определяется аналитическими выражениями (6.7) и (6.8) с учетом (6.9) и (6.10) в зависимости от варианта соотношений между исходными данными.

Необходимые для моделирования пределы исходных значений Г_задан, о, р задаются в ТЗ или в постановках функциональных задач при указании сценариев возможного опасного воздействия, значение Г_диаг устанавливают в результате натурных экспериментов, а значение Т_меж указывают в эксплуатационной документации.