Метричні показники як засіб визначення відповідності інформаційної системи вимогам
Метою Системи Визначення Вторгнень (IDS) є визначення вторгнень в систему інформаційних технологій, це визначається завдяки моніторингу, та бути в змозі відповісти на вторгнення (Бабаоглу, 2003, Інтернаціональна Корпорація Наукових програмних засобів, 2002). ІТ система може змінюватись від комп`ютерної системи до комп`ютерної мережі. IDS складається з центру, сканерів та аналізаторів, з опціями… Читати ще >
Метричні показники як засіб визначення відповідності інформаційної системи вимогам (реферат, курсова, диплом, контрольна)
- Вступ
- 1. Класифікація метричних показників
- 1.1 Цілі безпеки
- 1.1.2 Вимоги безпеки
- 1.1.2 Кращі практики
- 1.1.3 Нормативи безпеки
- 1.1.4 Відповідне зусилля
- 1.1.5 Моделі зрілості
- 1.2 Методи вимірювання
- 1.2.1 Пряме тестування
- 1.2.2 Виміри
- 1.2.3 Оцінка
- 1.2.4 Акредитація
- 1.2.5 Тренінги, освіта та рівень компетентності
- 1.2.6 Огляд ефективності системи
- 1.3 Метричні показники безпеки технічної інформації
- 1.4 Метричні показники безпеки організаційної інформації
- 1.5 Метричні показники безпеки експлуатаційної інформації
- 1.6 «Мозкові штурми»
- 2. Проблеми при застосуванні метричних показників в інформаційній безпеці
- 2.1 Гнучкість концепції метричних показників в IS
- 2.2 Важкість в отриманні кількісних результатів для об'єктів IS
- 2.3 Важкість вимірювання експлуатаційних метричних показників
- 2.4 Природа проблем інформаційної безпеки
- 3. Аналіз існуючих систем метричних показників
- 3.1 Модель за стандартом NIST SP800−55
- 3.2 Модель Еркана Карамана
- 4. Побудова підходу реалізації впровадження метричних показників
- 5. Огляд підходу впровадження метричних показників безпеки
- 6. Основа впровадження метричних показників безпеки ІТ
- 7. Види метричних показників
- 8. Реалізація впровадження метричних показників безпеки
- 8.1 Фактори успіху
- 8.1.1 Організаційний розгляд
- 8.1.2 Керованість
- 8.1.3 Підприємства управління даними
- 8.2 Технологія розробки та застосування метричних показників
- 8.2.1 Процес розробки метричних показників
- 8.2.2 Визначення інтересів співвласника
- 8.2.3 Визначення цілей
- 8.2.4 Перегляд процедур, керівництв та політик безпеки ІТ
- 8.2.5 Розробка та вибір метричних показників
- 8.2.6 Встановлення цілей ефективності
- 8.3 Реалізація впровадження метричних показників в організації
- 8.3.1 Підготовка для збору даних
- 8.3.2 Збір даних та аналіз результатів
- 8.3.3 Ідентифікація коригуючих дій
- 8.3.4 Розвиток необхідного бюджету та отримання ресурсів
- 8.3.5 Прийняття коригуючих дій
- Висновок
- Перелік посилань
Вступ
На сьогоднішній день важливість інформаційних технологій та шляхів їх захисту є безперечною. Через це інформаційна безпека повинна займати суттєву роль в майбутніх стратегіях компанії. Успіх нових технологій та, в цей же час, захист інформації та комунікацій є найважливішим завданням. Для управління безпекою ІТ метричні показники є найкращим рішенням.
Метричні показники — це заходи, створені для полегшення прийняття рішень та покращення ефективності та обліку через збір та аналіз зібраних даних, що впливають на ефективність заходів безпеки обчислювальними виміряннями аспектів системи та організації. В організаційній мережі, для якої безпека є дуже важливою, існує декілька виміряних атрибутів, які можуть характеризувати рівень ефективності безпеки системи. Крім того, метричні показники є обчислювальних підходом, що допомагає визначити наскільки система відповідає вимогам.
Метричні показники надають виміряну інформацію (відсотки, приблизні значення, числа) для порівняння, використовуючи формули для аналізу. Результатом є дані про ефективність, які базуються на цілях ефективності безпеки ІТ.
Метою дипломного проекту є побудування концепції метричних показників, яким раніше приділялося мало уваги. Це є дуже важливим, так як управління безпекою, аналіз ризиків, визначення стратегій займають значене місце в захисті активів організації. Менеджери бажають бачити інвестиційний план, службовці безпеки повинні бути в змозі визначити як часто траплялись інциденти, та як швидка проблема була вирішена та чи покращився або погіршився загальний стан безпеки. Використання технологій та критеріїв виміряння допоможе організації побачити рівень прогресу в її системах.
В дипломному проекті приділяється увага двом системам метричних показників: за стандартом NIST SP 800−55 та система Еркана Карамана. В першій частині дипломного проекту надається огляд існуючих систем метричних показників. Проаналізувавши модель Пайне, можна зробити висновки, що стандарт NIST SP800−55 закріпив його модель та надав їй повний опис. Модель Еркана Карамана є більш повною та містить додатковий тип метричних показників, який замість виміряних даних повертає відповідь так/ні та використовується для перевірки існування політик та документів. Звичайно найкращих результатів можна досягти лише поєднавши існуючі системи, які будуть доповнювати одна іншу. Для обох систем будуть добудовані таксономії та повні таблиці метричних показників з формулами для обчислення та нормативами, до яких повинні наближатись значення метричних показників.
1. Класифікація метричних показників
Виміри надають одиничний погляд на специфічні виміряні параметрі та представлені числами, вагою та бінарними значеннями. З іншого боку, метричні показники отримуються, беручи виміри у часі та порівнюючи один чи декілька вимірів з попередньо визначеними нормативами, таким чином надаючи значення для інтерпретації зібраних даних. Часто існує «значне протиріччя» коли термін метричний показник використовується всередині IS. Тому припускається, що вираз IS* використовується як синонім для наступних термінів: метричний показник, вимір, рахунок, оцінка, розряд чи результати оцінювання, з визначенням: «IS — це значення, обране з частково упорядкованого масиву деяким процесом оцінки, який представляє IS — залежну якість деякого об`єкту підприємства. IS надає чи допомагає створити опис, прогнозування чи порівняння, з деяким рівнем конфіденційності». IS* також використовується як синонім для множинних властивостей, де воно розглядалось згідно з описом в більш широкому контексті ніж просто слово «метричний показник».
Для того щоб зрозуміти які різні IS* можна побудувати необхідно подивитися на визначення та конструкції, запропоновані в літературі для моделі метричних показників разом з різними класифікаціями та категоріями IS*. Згідно з Катцке (2001), модель метричних показників складається з 3 компонентів:
1. Об`єкт, який вимірюється;
2. Цілі безпеки;
3. Метод виміру.
Модель показана на рисунку 1.1.
Рисунок 1.1 — Модель метричних показників безпеки згідно з Катцке (2001)
1.1 Цілі безпеки
Використовуючи класифікацію Катцке (2001), цілі безпеки можуть бути розділені наступним чином:
· вимоги безпеки (специфікації, стандарти, цілі заходів та Загальні Критерії Профілю Захисту);
· кращі практики;
· нормативи безпеки;
· відповідна аудиторія;
· моделі зрілості (SSE-CMM, IA-CMM).
Таблиця 1.1 — Цілі безпеки
Цілі безпеки | Метод застосування | Очікуваний результат | Приклад | |
Вимоги безпеки | Дії з безпеки порівнюються з вимогами | Припущення для покращення | Стандарти, Загальні Критерії Профілю Захисту | |
Кращі практики | Дані чи визначені безпечні процедури для певної діяльності | Інструкції для безпечних процедур | Інструкції для вірусів, e-mail. | |
Нормативи безпеки | Оцінка та інспекція безпеки організації | Мінімальний набір необхідних дій з безпеки | Необхідні заходи безпеки | |
Відповідна аудиторія | Менеджмент безпеки, що базується на досвіді | Рівень безпеки організації чи бізнес партнера | Оцінка заходів безпеки | |
Моделі зрілості | Практики безпеки інспектовані та порівняні з моделлю | Явний рівень безпеки | SSE-CMM | |
1.1.2 Вимоги безпеки
В IS може бути розглянутий один фактор якості організаційних продуктів та служб. Тому, багато загальних факторів може бути знайдено при розгляданні проблем безпеки та якісних дій організації. Стандарти, які використовуються в оцінці якості, можуть діяти як модель при розробці проблем якості інформаційної безпеки, так як стандарти якості були застосовані та полу автомати для набагато більше великого періоду часу, та набагато більша кількість організацій тоді має стандарти безпеки, та розвиток тому може прогресувати далі.
Застосування якісних моделей залежить від характеру організації. Часто використовуваними критеріями є серії ISO 9000 (The ISO Survey of ISO 9000 та Сертифікати ISO 14 001, 2002) Загальний Менеджмент Якості (TQM, Gummer & McCallion, 1995) та критерії Малколма Балдриджа (The Baldridge Criteria for Performance Excellence, 2004). Загальний менеджмент безпеки (TSM, Мієтінен, 2001) та Система менеджменту загальної безпеки та оточення (TSEM, Мієтінен, 2001) є критеріями якості, які спеціалізуються по проблемам менеджменту безпеки. Однак, Мієтінен (2001) вважав «загальні» стандарти набагато більш ефективними, коли вони використовуються для покращення якості менеджменту безпеки в організації.
Критерії Малколма Балдриджа є стандартними для самостійної оцінки, щоб виміряти та покращити якість організації. Критерії розділені на 7 суб-зон:
1. Керівництво;
2. Стратегічне планування;
3. Фокусування на покупці;
4. Виміри, аналіз та оцінка знань;
5. фокусування на людських ресурсах;
6. менеджмент процесу;
7. результати дій.
Деталі, визначені в суб-зонах, визначаються в цільовій організації та оцінюються за критеріями.
Підхід (Базілі та ін., 1994) метричного показника цільових питань (GQM) базується на припусканні, що для оцінки організації в запланованому вигляді, необхідно спочатку визначити цілі для організації та її проектів. Далі, вимагається передати цілі до даних, які є необхідними для визначення цілей оперативно та в кінці надати інтерфейс для інтерпретації даних відносно зазначених цілей. Таким чином, інформаційні потреби організації стануть зрозумілими, тобто вони можуть бути підраховані коли це є необхідним, та підрахована інформація може бути проаналізована, та зроблені висновки чи були досягнуті цілі (Базілі та ін., 1994).
Рисунок 1.4 ілюструє процес GQM:
· концептуальній рівень (GOAL): для об`єкту визначається ціль;
· експлуатаційний рівень (QUESTION): для оцінки/вимірянь визначається набір питань, які належать до визначеної цілі, що буде виконана, базуючись на характеризуючій моделі;
· Рівень вимірів (METRIС): набір даних, асоційованих з кожним питанням, для відповіді на нього у кількісному змісті.
метричний показник стандарт норматив
Рисунок 1.4 — Процес GQM (Базілі та ін., 1994)
Загальні критерії (СС, 1999) є «каталогом чи словником вимог» для побудування базису для оцінки властивостей безпеки продуктів ИТ та систем. Вони включають Профілі захисту (РР) та Цілі Безпеки (ST). Їх концепція відрізняється інших, тому що РР є незалежно — використовуваним та ST є специфічно — використовуваним. Тому, ST можуть вважатись як цілі безпеки для різної аудиторії (покупці продукту, конструкторів). СС представляє просту концепцію, що вже була раніше описана під назвою «цілі безпеки», яка є головним елементом РР та ST. В СС цілі безпеки описані як «відображати значення індикатору вторгнень та адресувати всі ідентифіковані організаційні політики безпеки та припущення».
СС визначає функціональні вимоги безпеки та вимоги гарантії безпеки. Функціональні вимоги визначають змодельований стан безпеки, доки вимоги гарантії не зроблять можливим оцінку довіреними особами ефективного застосування визначених вимірів безпеки. СС виключає наступні риси безпеки:
1. Оцінка критеріїв, що належать до адміністративних вимірів безпеки, які прямо не відносяться до вимірів безпеки ІТ;
2. Оцінка технічних фізичних аспектів безпеки ІТ;
3. Методика оцінки чи адміністративний та юридичний інтерфейс, за яким критерії можуть бути схвалені відповідальними особами;
4. Процедури для аналізу результатів оцінки, чи акредитація системи чи як тема критерію для оцінки спадкових якостей криптографічних алгоритмів.
На рисунку 1.5 зображені головні елементи, які формують контекст оцінок.
Рисунок 1.5 — Контекст оцінки Загальних Критеріїв (Common Criteria, 1999)
1.1.2 Кращі практики
Кращі практики здійснюють процедури безпеки для певних дій, які іноді базуються на досвіді чи визначені більш формально, наприклад, прийняттям стандарту чи чек листу. Приклади кращих практик є інструкціями для використання пошти в безпечному режимі, безпечне зберігання документів та як діяти у випадку вірусної атаки.
1.1.3 Нормативи безпеки
Використання політики безпеки відноситься до проблем менеджменту діяльності, тому що він вимагає більш високого рівню керування на рівні IS та виконує дії для вирішення проблем. Виконання політики може бути здійснено за допомогою консалтингової фірми, що пропонує експертизу для того, щоб зрозуміти, вивчити та переглянути методи та техніки, необхідні для розвитку та застосування нормативів безпеки в організації. Метою є зниження ризику та рівню відповідальності. Нормативи використовуються для того, щоб ідентифікувати мінімальне значення фізичних, експлуатаційних та інформаційних інтерфейсів безпеки, необхідних для роботи в організації. Тому, концепція використання нормативів безпеки є нагадуванням концепції керування ризиками.
1.1.4 Відповідне зусилля
Відповідне зусилля відноситься до прийняття експертизи для менеджменту інформаційної безпеки. Це необхідне, наприклад, для використання зовнішніх сервісів чи дій, де відслідковується рівень безпеки бізнес партнера.
1.1.5 Моделі зрілості
Моделі зрілості надають вимоги IS, які організація повинна виконувати для досягнення визначеного рівня зрілості IS. Вимоги низьких рівнів повинні виконуватись для досягнення більш високих рівнів.
Однією з найбільш часто використовуваною моделлю зрілості є SSE-CMM. Ціллю SSE-CMM є діяти як засіб для визначення ефективності організації в впровадженні продуктів безпеки, служб чи операцій. Модель визначає дії для покращення безпеки в організації, які називаються Кращі практики (ВР); вони є часткою визначеної Зони Процесу (РА). SSE-CMM визначає різні рівні зрілості від 1 до 5, де 5 — найбільше значення. Кожен рівень може бути досягнутий виконанням необхідних Універсальних Практик (GP) та визначених ВР в відповідних РА. Процес SSE-CMM проілюстрований на рисунку 1.6. Метод для оцінки процесу ефективності процесу системи безпеки в організації та процес зрілості, визначений в SSE-CMM показаний в SSE-CMM Методі Оцінки (SSAM, 1999). Система метричних показників складається з Процесу Метричних Показників та Метричних Показників Безпеки. Останнє визначено Кормосом та ін. (1999): «атрибут виміряння результатів моделі зрілості SSE-CMM процес технічної безпеки, який може служити як доказом його ефективності». Метричні показники безпеки можуть бути ціллю, та якісними чи кількісним. Тому використання одного вимагає використання іншого.
Рисунок 1.6 — Безперервна Модель Зрілості Ефективності
Слабкості, визначені в цій моделі, загально асоційовані з моделями зрілості. Вони не коригують характеристику організації; замість цього вони вимагають такі ж саме атрибути для виконання в усіх, хто прийняв цей метод, незалежно від того, чи є відношення до безпеки організації в питанні. Замість цього, моделі зрілості можуть ігнорувати вимоги безпеки, які є дуже важливими для організації. Кормос (1999) визнав це шляхом встановлення, наприклад, того, що рівень зрілості 3 не може бути повністю застосований для провайдерів-організацій. Вони не вимагають оцінити рівень безпеки систем покупців, як результат прийняття процесів технічної безпеки в цільовій організації, навіть якщо це було визнано важливим.
1.2 Методи вимірювання
Методи вимірювання за Каткце (2001) включають пряме тестування (функціональне, тестування на проникність), виміри, оцінка (оцінка ризиків та уразливостей), акредитація, тренінги, освіта та рівень компетентності так само, як і огляд рівню результативності системи, наприклад знаходження вторгнень. Методи вимірювання порівняні в таблиці 1.3.
Таблиця 1.2 — Методи вимірювання
Метод вимірювання | Як застосовується | Очікувані результати | Приклад | |
Пряме тестування | Стан системи оцінюється тестуванням її якостей | Експлуатаційний стан системи | Тестування на проникність | |
Виміри | Виміри безпеки порівнюються з критеріями | Отримання нормативу, припущення для покращення | Аудит | |
Оцінка | Виміри безпеки оцінюються | Пріоритетні справи, припущення для покращення | Техніки аналізу ризиків | |
Акредитація | Виміри безпеки оцінюються | Можливий сертифікат, Виміри безпеки оцінюються | ISO 9000 Series Certificate | |
Тренінги, освіта та рівень компетентності | Знання персоналу та організації оцінюються та збільшуються | Можливій сертифікат, покращення в індивідуальній експертизі | Конференції, тестування навичок, зустрічі | |
Огляд рівню результативності системи | Система аналізується технічними засобами | Стан якості деяких технічних аспектів в визначений момент чи період | Визначення вторгнень, виміри завантаження мережі | |
1.2.1 Пряме тестування
Тестування на проникність використовується на протязі процесу розвитку, як частка сертифікації та акредитації, та для відображення поточного стану системи. Тестування на проникність на базі процесу (методично супроводжувальне та повторюване). Тестування на проникність є акуратним шляхом для оцінки стану системи. (Хеннінг, 2001).
Тестування на проникність є діючим шляхом для виміряння інцидентів безпеки. Як приклад універсальних можливостей для застосування методу тестування, заходи тестування Коденомікона тестують інтерфейс протоколу для дефектів IS та стійкість недоліків. Заходи тестування базуються на роботі, яка виконується PROTOS — проектом (Каксонен, 2001). Ці види заходів можуть бути використані, наприклад, в:
· Знаходженні нормативів для нових використань протоколу;
· Тестування прийняття;
· Оцінка продукту;
· Регресійне тестування.
1.2.2 Виміри
Виміри — це незалежна оцінка ефективності вимірів безпеки при зустрічі набору вимог. Виміри проводяться за визначеними критеріями, такими як СС, з якими деякі нормативи виконуються поперед усіх. Концепція для вимірів цілей безпеки (ST) включає:
· Ціль вимірів (ТОЕ);
· Загрози, які необхідно рахувати;
· Цілі безпеки;
· Функціональність безпеки, яку необхідно застосувати;
· Рівень гарантії, який повинен досягти продукт;
· Необхідна мінімальна сила функцій/механізмів безпеки;
· Критерії, за якими проводяться виміри.
Методи вимірів можуть бути розділені на:
· Аналіз свідоцтва, яке надає розробник;
· Відвідування сайтів;
· Тестування (відповідно тестам розробника, додатково тести на відповідність та тести на проникність);
· Незалежний аналіз уразливостей.
Ця класифікація методів вимірів не є ексклюзивною, так як, наприклад, тестування на проникність не є тільки методом оцінки, а також методом прямого тестування. З іншого боку, визначення залежить від прийнятої зони та концептуального середовища. Можуть бути виконані 2 типа вимірів: послідовний, коли ТОЕ вже розвинутий та застосований, паралельний, коли ТОЕ знаходиться в ході розробки.
1.2.3 Оцінка
Оцінка в загальному випадку відноситься до оцінки ризиків чи уразливостей. Аналіз уразливостей, що проводиться разом із тестуванням на проникність, здається на сьогоднішній день найбільш загальним методом вимірянь. Оцінка ризиків зазвичай вимагається перед тим, як можуть бути застосовані функції IS для того, щоб визначити пріоритети оцінкам організації, її загрозам, та визначити які факти необхідні для захисту. Головними кроками в оцінці ризиків є визначення ризику, аналіз та контроль ризику. Останній крок виключає оцінки ризиків. Одним з підходів для оцінки якості різних методів оцінки та заходів, що використовуються в робочих місцях, є метод, представлений Мікконеном та ін. (2003). Вони представили технології, які можуть бути використані разом чи окрема для оцінки застосовності певного методу оцінки ризиків. Існують переліки питань, інтерв`ю, SW — тести та групи розробників, які складаються з користувачів.
1.2.4 Акредитація
Існує декілька комерційних та урядових IS акредитацій них сервісів та доступні проекти. Як приклад критеріїв акредитації, проект NIST FISMA (Росс та ін. 2004), метою якого є:
· співпраця в розвитку стандартів та керівництв для підтримки Федерального Інформаційного сайту;
· Безпека катигорування інформації та інформаційних систем згідно з Актом Менеджменту Безпеки;
· Вибір відповідних заходів безпеки для інформаційних систем;
· Перевірка ефективності заходів безпеки та визначення уразливостей інформаційної системи;
· Експлуатаційна авторизація для процесів (акредитація безпеки) інформаційних систем.
1.2.5 Тренінги, освіта та рівень компетентності
Тренінги доречні для отримання доречних та необхідних навичок в безпеці та компетентності, освіта для інтеграції всього в загальну базу знань. Рівень компетентності може бути визначений завдяки критеріям вимірів, які проводяться відповідними організаціями чи сертифікацією.
1.2.6 Огляд ефективності системи
Огляд найбільш загальним технологій огляду ефективності систем є системи визначення вторгнень та виміри загрузки мережі. Відповідно, зібрані результати представляють в загалі тільки технічні IS*.
Метою Системи Визначення Вторгнень (IDS) є визначення вторгнень в систему інформаційних технологій, це визначається завдяки моніторингу, та бути в змозі відповісти на вторгнення (Бабаоглу, 2003, Інтернаціональна Корпорація Наукових програмних засобів, 2002). ІТ система може змінюватись від комп`ютерної системи до комп`ютерної мережі. IDS складається з центру, сканерів та аналізаторів, з опціями, наприклад, баланс завантаженості, та опції управління. Сенсори та сканери збирають інформацію, яка відноситься до дій в інформаційній системі та уразливостей, та вони передають зібрані дані до аналізаторів. Аналізатори виконують аналіз вторгнення та роблять звіт о зібраній інформації. (Бабаоглу, 2003, Інтернаціональна Корпорація Наукових програмних засобів, 2002). Існує 2 концепції, які близько відносяться до виміряння техніки IDS: помилка позитивна та помилка негативна. Помилка позитивна — це ситуація, коли трапляється щось ненормальне, але це не вторгнення, помилка негативна — коли вторгнення уже здійснилось, але IDS не перехопило його. Таким чином, метою IDS є знаходження вторгнень та, в додаток, мінімізувати помилки негативні та позитивні для отримання більш точних результатів. (Бабаоглу, 2003.)
IDS можуть бути характеризовані джерелом даних (тобто, звідки отримуються дані для аудиту), чи моделями, які представляють вторгнення. Таким чином, IDS можуть мати різні види механізмів визначення вторгнень. Характеристика за джерелом даних розділяє IDS на host-based, multihost-based та network-based. Різні моделі вторгнень є моделлю визначення аномальних дій та модель визначення хибних дій. Коли використовується модель визначення аномальних дій, IDS визначає вторгнення, розглядаючи діяльність, яка відрізняється від нормальної дії користувачів чи системи, при використанні моделі визначення хибних дій, IDS визначає вторгнення, шукаючи діяльність відповідає відомим технікам вторгнень чи фолу автомат системи. (Бабаоглу, 2003.)
Линдквист та інші (1998) категоріювали керівництво по безпеці згідно з аудиторією, для якої вони запропонували найбільші переваги. Вони стверджували, що для продавців та виготовлювачів, функціональність системи та процес розробки описані в стандартах [TCSEC (Trusted Security System Evaluation Criteria, 1985), ITSEC (Information Technolagy Security Evaluation Criteria, 1991) та СС], які визначають критерії, за якими може бути проведене оцінювання безпеки. За їхньою думкою, нормативні документи з безпеки були створені для того, щоб виробники могли визначити набір вимог для ознак безпеки, які повинні містити інформаційні технології. Політики безпеки є корисними для менеджерів, операторів та користувачів систем інформаційних технологій, тому що вони повинні дотримуватись певних правил для мінімізації потенційних загроз. В цьому контексті стандарти означають керівництва та кодекси практик.
Джонсон (2003) зробив сортування методів вимірювання на наступні технології:
1. Аналіз ризику — оцінка вірогідності специфічних вторгнень та їх наслідків та вартостей. Ці вартості можна розглядати як відповідні вартості на захист;
2. Сертифікація — класифікація системи на класи, що базуються на змодельованих характеристиках та механізмах безпеки, «чим ліпше „моделювання“ тим більш захищена система»;
3. Вимірювання процесу вторгнення — статистичне вимірювання системи, яке базується на зусиллі зробити вторгнення. «Чим важче зробити вторгнення тим більш захищена система» (Джонсон, 2003).
Модель метричних показників може бути розглянута як абстракція в визначенні Хеннінга (2001). Воно розділяє IS* на 4 категорії:
· Технічна;
· Організаційна;
· Експлуатаційна IS*;
· «Мозковий штурм», який відноситься до синтезованої великої картини метричних показників.
Хеннінг зробив акцент на тому, що деякі точки зору були взяті з цієї класифікації, тобто індивідуальні IS* (що описують індивідуальну експертизу) та IS* оточення (що описують аспекти організаційного та експлуатаційного оточення, що відносяться до безпеки, в загальному випадку вторгнення). Рисунок 1.2 пояснює цю абстракцію та прив`язує IS* до процесу. Модель розглядалась з перспективи «типу об`єкту», що означає IS*, «ціль», іншими словами, як IS* використовується, та «можлива аудиторія», що означає людей, які в основному використовують інформацію, збільшену через використання IS*. Однак, таблиця 1.3 представляє головні вади кожної категорії IS*, які доповнюються індивідуальними IS* та IS* оточення для запропонування повного висновку про зону впливу IS*.
Рисунок 1.7 — Характеристика IS* (Хеннінг, 2001)
Згідно з Хеннінгом (2001), ціль для якої розробляється IS*, може бути розділена на підтримку рішення та мандатний звіт статусу IS* чи цілі. Згідно з рисунком 1.2, IS* може бути використана для опису, порівняння чи прогнозування поведінки та атрибутів системи чи її компонентів.
Хеммінг та інші (2003) запропонував іншу класифікацію в його Керівництві Метричних Показників Безпеки:
· Застосування метричних показників для виміру застосування політики безпеки;
· Метричні показники ефективність/результативності для виміру продуктивності результатів служб безпеки;
· Метричні показники збитку для виміру збитку діяльності чи завдань подій безпеки.
Як було зазначено існує багато різних класифікацій та категорій для IS*, які можуть бути застосовані як базис, коли виконується оцінка IS метричних показників.
Миеттинен (1999) розділив метричні показники на якісні та кількісні. Якісні метричні показники використовують дискретні змінні та оцінювання. Приклади якісних метричних показників оцінюють критичність діяльності корпорації, вимірюючи рівень розуміння управління IS та персоналу та оцінку ризику. Кількісні метричні показники використовують чисельні виміри, такі як вірогідність, відсоткове відношення, норми та числа. Кількісні метричні показники отримуються через вимірювання технічних проблем, цін, які є результатами діяльності та кількості дій з розробки Миеттинен (1999).
1.3 Метричні показники безпеки технічної інформації
Технічні IS* можуть бути використані для опису та, отже порівняння, технічних об`єктів. Це включає алгоритми, специфікації, архітектури та альтернативні моделі, продукти, та застосовані систем на різних стадіях життєвого циклу системи. Метричні показники вторгнення є типовим прикладом технічних IS* для яких може бути визначена прийнятна кількість досліджень. Ці дослідження деталізують системи виявлення вторгнень (IDS), які, згідно з їх технічною природою, можуть бути змодельовані та параметризовані для подальшого розвитку. Важливою річчю, згідно з Хеннингом, є те, що технічні IS* в основному припускаються для керування об`єктами так, щоб вони могли бути порівняні.
Таким чином, вони пропонують шлях вимірювання та порівняння прогресу та стан подоби між системами, що використовують однакові об`єкти.
Хеммінг також зазначив, що дослідження повинні фокусуватися на керуванні особливо абстрактними об`єктами при створенні технічних IS*, таких як криптографічні алгоритми чи протокол сертифікації, ніж застосованими об`єктами. Через це цикл розвитку застосування продукту швидкий. Тому, коли відповідні метричні показники були створені для продукту, він міг бути замінений на більш нову версію, для якої такі ж самі IS* не можуть бути прийняті. Іншою альтернативою є фокусування на еволюційний життєвий цикл всередині розробки IS* (Хеннінг, 2001).
Десварте та інші (1999) також визнає це в його ратифікації системи безпеки метричних показників. Він зазначив, що IS* повинен розвиватися згідно з модифікаціями системи, що впливають на її безпеку, тому що будь-які зміни можуть призвести до появлення нових уразливостей чи виправити попередні, та оцінка безпеки повинна чуттєва до подібних змін. Десварте вивчив та розробив структуру моделей IDS та надав подальші приклади змодельованих якостей їх IS*. Наприклад, система та її виміри повинні залишатися незалежними від потенційної кількості та рівня досвіду атакуючого, та вимірювання безпеки повинно також бути залежне від цілей безпеки. Останнє визначення явно включає цікаве припущення, що система може містити декілька уразливостей та бути захищеною до тих пір, доки уразливості не уразять цілі безпеки, визначені для системи.
Однак, коли дві захищені системи поєднуються, результат не обов`язково буде явною комбінацією двох. Можлива неочікувана поведінка. Через це, прогнозування, зроблене для такої поведінки системи, не може бути завжди реалістичним. Існує необхідність розробляти кращі моделі допустимої поведінки системи, обмеженої для характеристик поведінки технічних об`єктів. Іншою точною зору є те, що для створення реалістичних прогнозувань технічні IS* будуть вимагати основну модель IA (Оцінка Інформації), в якій значення, асоційовані з технічними об`єктами, є значними факторами в безпеці системи та також в яких майбутнє нагадує минуле (Хеннінг, 2001).
1.4 Метричні показники безпеки організаційної інформації
Організаційні IS* використовуються для опису та слідкування за ефективністю організаційних програм та процесів, таких як відсоток персоналу, який проходив тренінги з безпеки, та відсоток акредитованих систем. Таким чином, організаційні IS* представляють як кількісні, так і якісні метричні показники в моделі Миеттинена (1999). Одним прикладом цього є навчання Каяви та Лейко (1994) про штат інформаційної безпеки в організаціях. Вони обговорюють підхід для виміру кількості штату IS та його застосування в Фінляндії; підхід базується на дослідженнях, що проводились в USA Вудом (1989).
Метою комерційних організацій в основному є використання метричних показників для визначення ефективності організаційних програм та процесів, та також кількість на якість дій по безпеці. Керівництво в основному вимарює як гарно організація зустрічає необхідні мандати (метричні показники звітів). Метричні показники IS для таких організацій часто використовуються як захід для підтримки прийняття рішень. Різниця між цілями цих секторів може бути результатом різних потрібностей для IS* (Хеннінг, 2001).
Схожість обох секторів міститься в тому, що вони звичайно використовують функціональну програму безпеки для процесу модернізації ІТ, яка включає однакові кроки: вимоги, схвалення, розвиток та інсталяція. Також існують процедури встановлення для обох секторів, що включають точки схвалення, так само, як IS інтегрується в будь яку програму чи подію. Обоє сектори покладаються на аудиторів, тестування проникнення та процедури конфігурації управління. Різниця є в тому, що придбання керівництва обмежуються національними та організаційними політиками та архітектурами (які керуються політиками), доки комерційне підприємство покладається на особові судження практика безпеки. Очікується відповідне зусилля від деяких індивідуумів та формується базис для схвалення управління в комерційних структурах, доки процес схвалення керівництва не стане більш структурованим. (Хеннінг, 2001).
1.5 Метричні показники безпеки експлуатаційної інформації
Хеннінг (2001) звертається до використання експлуатаційних IS* для опису та управління ризиками експлуатаційного середовища, включаючи системи та практики. Експлуатаційні IS* - відповідно метричні показники для оцінки в основному ризиків, в чому їм допомагають метричні показники, що відносяться до значення активів, серйозності збитку, загроз, уразливостей та ефективності вимірів безпеки. Отже експлуатаційний IS* - в основному якісний метричний показник (оцінка ризику), але може також надати кількісні значення в моделі Муетінена (1999).
Для виміру та управління операційними атрибутами необхідно зрозуміти що складає операційне середовище організації: контролюємі зони, зовнішні зони та прогнозуємі справи. Контролюємі зони складаються з фізичних, процедурних та особистих оцінок безпеки, через те що інформаційні системи є власністю організації. Зовнішні зони складаються з систем, які поєднуються з власними організаційними системами чи системами, від яких залежать організаційні системи.
1.6 «Мозкові штурми»
«Мозковий штурм», згідно з Хеннінгом (2001), звертається до концепцій синтезу, перехресних результатів та великої картини визначення. Підхід системної інженерії був схвалений для об`єднання вимірів, тому що цей процес може охопити повний життєвий цикл системи, означаючи що технічні, експлуатаційні та організаційні техніки та IS* можуть бути інтегровані в цю структуру найбільш ефективно. «Мозковий штурм» найчастіше надає якісні метричні показники в моделі Міетінена (1999), яка має перевагу: точність збору кількісних метричних показників.
Таблиця 1.3 — Класифікація IS* згідно з Хеннінгом (2001) з додатковими якостями
Тех. IS* | Орг. IS* | Експл. IS* | МШ. IS* | Інд. IS* | IS* Сер. | ||
Описання | Технічні об`єкти | Ефективність програм та процесів організації | Ризики експлуатаційного середовища, включаючи системи та операційні практики | Синтез, перехресне рішення, велика картина визначення | Індивідуальна експертиза | Аспекти оточення організації чи операції, що залежать від безпеки | |
Приклад | Логи | Відсоток акредитованих систем | Значення активу | Комбінація 3 інших IS* в єдину систему | Розуміння чи рівень освіти працівників | Загрози, спричинені функціонуванням в середовищі | |
Ознаки | Можуть містити багато незвичайних даних, часто необхідно фільтрувати та раціоналізувати | Вимагає огляду всієї організації, не обов`язково точно застовованого в інших організаціях | Вимагає щоб середовище організації та його ефекти були зрозумілими, це часто може бути просто оцінене | Вимагає огляд всього життєвого циклу організації | Важко вирівняти шкалу організації | Можливо важко змоделювати функції середовища, може містити неочікувані фактори та комбінації | |
2. Проблеми при застосуванні метричних показників в інформаційній безпеці
Існує декілька факторів, які можна помітити при прийнятті метричних показників в зоні інформаційної безпеки. Деякі проблеми показані на рисунку 1.3.
Рисунок 2.1 — Проблеми, що відносяться до метричних показників IS
2.1 Гнучкість концепції метричних показників в IS
Можна легко зрозуміти чому прийняття концепції метричних показників для інформаційної безпеки є спірним питанням. Існує кілька класифікацій так різні точки зору на предмет, як було сказано раніше. Катцке (2001) вказав, що, якщо цільові об`єкти не визначені, термін «метричний показник безпеки» може бути дуже гнучким. Приклади різних означень, які він виділив змінюються від вимірів ефективності програми безпеки до професійності безпеки чи компетентності організації в безпеці системи чи продукту. Він звертається до метричних показників безпеки як до незрілої дисципліни, якій не вистачає точності, та містить значну невизначеність.
Різноманіття схвалених областей та множинні підходи плутаються між різними аудиторіями та факторами впливу. Хеннінг (2001) зазначив, що дехто намагається зарезервувати це для результатів вимірів, що базуються на наукових принципах, але інші використовують їх для включення результатів оцінок, які базуються на суб'єктивному судженні. В додаванні до цього, існуючі контексти IS* можуть відрізнятись від їх призначення. З цієї причини вона запропонувала те, що будь-яке визначення IS (метричний показник, вимір, рахунок, рейтинг, ранг чи оцінка результатів) повинне включати специфікації процесу, який використовується для побудування і оцінки IS.
2.2 Важкість в отриманні кількісних результатів для об'єктів IS
Згідно з визначенням Джелен (2000), концепція метричних показників вимагає щоб результат вимірювання був кількісним. Все ще не існує абсолютно стандартного визначення для будь якого виду виміру інформаційної безпеки. Тому, виміри для визначення суб-зон інформаційної безпеки та результати, зібрані ними, не є об'єктивними чи порівняними доки загальне та безперечне визначення для будь-якої з цих зон. Однак, організації можуть знайте їх загальне визначення, корисне в тому випадку, коли необхідно визначити об`єкти безпеки для системи. Важкості завжди виникають при намаганні обчислити таки концепції в достовірній та адекватній манері. Необхідно зазначити, що існують визначення для таких суб-зон, які торкаються технічних систем, таких як системи виявлення вторгнень, але визначення не охоплюють більш широкі концепції, такі як вся функціональність організації.
Хеннінг (2001) також класифікує IS* в чисельні та не чисельні форми. Замість розділення Міетинена (1999) на якісні і кількісні значення, в її перспективних, якісних атрибутах, таких як «червоний/жовтий/зелений» — типи класифікації, все ще необхідні кількісні виміри для результатів, наприклад, при «зелений «застосовується до нульових уразливостей. Якщо б існували загальні визначення для IS*, було б набагато легше розвинути загальні методи та зібрати якісні та кількісні результати.
2.3 Важкість вимірювання експлуатаційних метричних показників
Джонсон (1998) показав, що існуючий шлях виміру безпеки використовує класи та ранги Помаранчевої книги (TCSEC, 1985) чи інші критерії оцінки. Схожа проблема обговорювалась раніше, відносно технічних IS*. Поведінка система, особливо при комбінації двох систем в одну функціональну систему, повинна бути взята до уваги. Більш того, метричні показники повинні розвиватися так само, як і процеси навколо них, отже метричні показники будуть постійно виміряти якості в реальному часі.
Література підкреслює кількісний підхід до експлуатаційних IS*: типово рахується кількість уразливостей, вторгнень та вірусних спалахів. Цей підхід не допомагає в оцінці експлуатаційної готовності та не завжди допомагає менеджерам в розумінні потенційних порушень безпеки в системі чи процесі. Вимірі, отримані завдяки заходам оцінки безпеки системи, повинні представити якомога точніший стан безпеки системи в експлуатації. (Хеннінг, 2001).
Можливо з`явиться необхідність в конструктивному, систематизованому розвитку використаних IS*, що базуються архівних даних. Оточення та інтерфейс системи повинні також бути взяті до уваги. Згідно з Хеннінгом (2001), властивості IS експлуатаційного оточення часто не можуть бути виміряні напряму. Непрямі індикатори можуть бути корисними, але вони повинні бути визначені на використані дуже обережно.
2.4 Природа проблем інформаційної безпеки
Ціль виміряння інформаційної безпеки повинна враховувати кінцевий поточний рівень безпеки. Цей процес показує силу системи, але також уразливості, які вимагають деякої реакції. Іноді реакція може бути найпростіша, залишити уразливості такими, як вони є, їх фіксування може бути менш цінним ніж визначення ризику, спричиненого _олу автомати. Іноді важно визначити вартість загрози. Цей механізм, який є часткою процесу аналізу ризиків, сам використовує метричні показники, але об`єкт повинен бути іншим типом IS метрик.
Концепція метричних показників є комплексною. В організаціях, де управління не знає о проблемах IS, може бути дуже важко умовити їх інвестувати ресурси в кращу безпеку. Чим кращий рівень безпеки, тим непомітніші стають проблеми безпеки в житті організації. Але інвестиції в безпеку не показують видимі результати в повсякденному житті, і через це буває важко отримати інвестиції в безпеку, якщо «нічого не трапляється».
Часто процес виміряння може вимагати знання зовнішньої оточення, наприклад, сесії аудиту персоналу. Це може суттєво збільшити ризик для організації, порівняно з вигодами, отриманими використанням ефективних метричних показників. Людський фактор враховується для кожного IS та відносна вигода отримання доступу до цінної інформації організації, її слабкості та переваги можуть стати дуже привабливими для деяких людей. Інформація, що потрапила до невірних рук, може навіть бути спустошена для заслуговуючих довіри в компанії (Каява та Лейко, 1994). Тому, багато організацій повинні запитати в себе: «чи можемо ми дозволити собі хороший рівень безпеки? «
3. Аналіз існуючих систем метричних показників
3.1 Модель за стандартом NIST SP800−55
NIST SP800−55 визначає 16 типів метричних показників, які можна розділити на 3 галузі: адміністративні, менеджменту, технічні (рисунок 3.1). Для опису метричних показників в стандарті NIST SP800−55 використовується Детальна Форма Метричних Показників (pисунок 3.1). Метричні показники, які відносяться до групи адміністративних оцінюють безпеку персоналу, обладнання, ефективність системи реагування на інциденти. В організації обов`язково повинно бути розділення обов`язків та прав користувачів. Якщо метричний показник має низьке значення, що свідчить про загрозу зовнішніх дій, бо декілька користувачів мають право виконувати одні й ті самі дії. Іншим прикладом може бути перевірка наявності плану на випадок непередбачених подій. Якщо метричний показник показує низький відсоток це свідчить про відсутність необхідної політики в агенції, яка б вимагала наявність такого плану, чи помилки при впровадженні політики.
Метричні показники менеджменту відповідають за такі важливі процеси, як сертифікація, акредитація, ідентифікація, авторизація. Окремо необхідно зазначити процес керування ризиками, який теж оцінюється метричними показниками в галузі менеджменту. Метричні показники обчислює кількість систем, які пройшли оцінку ризиків на протязі 3 останніх років (це звичайно є максимальний необхідний часовий період для виконання оцінки ризиків). Для отримання загального результату необхідно просумувати значення, отримані в кожній системі окремо. Системи, які не проходили регулярну оцінку ризиків, є уразливими до загроз. Обов`язково необхідно з`ясувати причину відсутності оцінки ризиків, наприклад, немає відповідної політики, не має потреби, рівень системи не вимагає подібної оцінки, система є новою. Визначення причини допоможе органам керування здійснити необхідні коригуючі дії. Завдяки документуванню відповідних факторів, можуть бути зроблені зміні для покращення ефективності шляхом оновлення плану безпеки, виділенню ресурсів та гарантії того, що нові системи пройшли оцінку ризиків.
Головною метою технічних метричних показників є оцінка заходів безпеки, фізичної безпеки, цілісності даних, перевірка апаратних та програмних заходів. Дуже важливим є те, щоб заходи безпеки тестувались відразу ж після встановлення для гарантії того, що вони відповідним чином працюють. Якщо необхідно зробити зміні стан безпеки, заходи безпеки також можуть змінитись. Для підтримки робочого стану заходів безпеки, їх своєчасно необхідно тестувати та оцінювати. В таблиці 3.1 наведений докладний опис кожного метричного показника, формула для розрахунку та норматив.
Таблиця 3.1 — Детальна Форма Метричних Показників.
Ціль виконання | Визначити бажані цілі застосування одного чи декількох об`єктів/методів заходів безпеки, які оцінюються метричними показниками. При застосуванні NIST SP800−26 цей пункт буде перераховувати критичні елементи | |
Методи Виконання | Визначає дії, які необхідно виконати для досягнення цілі При застосуванні NIST SP800−26 цей пункт буде перераховувати один чи декілька питань. Багато методів виконання можуть відноситись до однієї цілі виконання. | |
Метричні показники | Визначає метричні показники, описуючи кількісну оцінку, що надається цими метричними показниками. Використовує числове формулювання, що починається зі слів «процент», «кількість», «частота», «середня кількість» та інших схожих термінів. | |
Ціль вимірів | Визначає загальну функціональність, що надається збором метричних показників. | |
Обґрунтованість застосування | Доведення існування заходів безпеки. Доведення застосування використовується для обчислення метричних показників, як непрямих показників того, що діяльність виконана, так як причинні фактори, які можуть указати на причину незадовільного результату. | |
Частота | Пропонує часові періоди для збору даних, що використовуються для оцінки змін в часі. Часові періоди, що пропонуються, базуються на схожих змінах в використанні заходів. | |
Формула | Описує обчислення, щоб отримати результати у вигляді числового виразу. Інформація збирається завдяки використанню служб, як вхідних даних для формули для обчислення метричних показників. | |
Джерело даних | Перечислює розміщення даних для обчислення метричних показників. Включає бази даних, організації, або специфічні посади всередині організації, які можуть надати необхідну інформацію. | |
Індикатори | Надають інформацію про значення метричних показників та їх напрямок дії. Пропонують можливі причини дій, ідентифікованих в ході оцінці та показують на можливе рішення для виправлення можливих недоліків. Визначають ціль метричних показників та який напрямок дії буде вважатися позитивним в відношенні до цілі виконання. | |
Рисунок 3.1 — Таксономія метричних показників за стандартом NIST SP800−55
Таблиця 3.1
Назва | Вимірювання | Формула | Норматив | |
Керування ризиками | К1 — кількість систем, які виконують оцінку та документування ризиків на протязі попередніх 12 місяців. К2 — кількість систем, які виконують оцінку та документування ризиків на протязі попередніх 2 років. К3 — кількість систем, які виконують оцінку та документування ризиків на протязі попередніх 3 років. Кз — кількість систем в агенції | *100 | 100% | |
Кв - кількість наслідків ризиків, які було визнано органами керування Кнев — кількість наслідків ризиків, які не було визнано органами керування Кзаг_насл — кількість наслідків ризиків, які було знайдено для всіх зібраних оцінок ризиків за звітний період | *100 | 100% | ||
Kт - кількість систем, для якої тестувалися заходи безпеки за минулий рік Кз — кількість систем в агенції | *100 | |||
Заходи безпеки | tс — середній час К30 — кількість слабостей, які було знайдено та закрито за звітний період за 30 днів К60 — кількість слабостей, які було знайдено та закрито за звітний період за 60 днів К90 — кількість слабостей, які було знайдено та закрито за звітний період за 90 днів К180 — кількість слабостей, які було знайдено та закрито за звітний період за 180 днів К12 — кількість слабостей, які було знайдено та закрито за звітний період за 12 місяців | |||
Життєвий цикл розвитку системи | Кsdlc — кількість систем, які пройшли чи знаходяться в SDLC Кз — кількість систем в організації | *100 | ||
Кзб_змін — кількість систем зі змінами в заходах безпеки, які були повторно сертифіковані після реалізації Кз — кількість систем, що мали зміни в заходах безпеки після розвитку | *100 | |||
Авторизація процесу (Сертифікація та акредитація) | КC&A — кількість систем, які отримали повну C&A Кpеєстр — кількість систем, які було зареєстровано | *100 | 100% | |
КIATO — кількість систем, які не є сертифікованими, працюють з IATO Кз — кількість систем в агенції | *100 | 0% | ||
План безпеки системи | Кпланів — кількість планів безпеки системи, які було схвалено управлінням Кз — кількість систем в агенції | *100 | ||
К6 — скільки планів безпеки системи було переглянуто та оновлено за звітний період за минулі 6 місяців К12 — скільки планів безпеки системи було переглянуто та оновлено за звітний період за минулі 6−12 місяців К1−2 — скільки планів безпеки системи було переглянуто та оновлено за звітний період за минулі 1−2 роки Кзаверш_планів — загальна кількість завершених планів безпеки системи | *100 | |||
Безпека персоналу | Кперев — кількість систем, перевірених для введення вимоги Кформ — кількість систем, які формально погодились на вимогу | *100 | ||
Кспец — кількість користувачів зі спеціальним доступом, в яких закінчився доступ Кзаг__олу — загальна кількість користувачів зі спеціальним доступом | *100 | 100% | ||
Фізична безпека | Ксхов — кількість сховищ, які фіксують перевірки та депозити Кзаг_медіа — загальну кількість медіа сховищ | *100 | 100% | |
Ктв — загальна кількість пристроїв для передачі даних з обмеженнями фізичного доступу на всіх точках входу Кзаг_теле — загальна кількість телекомунікаційних пристроїв, які містять лінії передачі даних | *100 | 100% | ||
Кл_шифр — кількість _олу авто з можливістю шифрування Кл_заг — загальна кількість лап топів | *100 | 100% | ||
Продукція, заходи вводу/виводу | Квир — кількість вирішених проблем, пов`язаних з безпекою Кфікс — кількість зафіксованих проблем, пов`язаних з безпекою | *100 | ||
Кочищ — кількість очищених медіа Кзнищ — кількість медіа засобів, затверджених для знищення чи багаторазового використання | *100 | 100% | ||
Планування на випадок непередбачених обставин | Квстанов — кількість критичних файлів, для яких встановлена частота бекапів Кпотреб — кількість критичних файлів, які потребують бекап | *100 | 100% | |
Кплан — кількість систем, які мають план на випадок непередбачених обставин Кз — загальна кількість систем | *100 | 100% | ||
Кплан_чп — кількість систем, які мають опротестований план на випадок непередбачених обставин Кз — загальна кількість систем | *100 | |||
Підтримка апаратних та програмних засобів системи | Кобмеж — кількість систем з обмеженнями на персонал для підтримки Кз — загальна кількість систем | *100 | ||
Ксхвалень — кількість задокументованих схвалень змін в програмах з ухваленням |