MODELS AND ALGORITHMS OF STANDARD METHOD OF JUSTIFICATION OF REQUIREMENTS TO SAFETY OF PERSONAL DATA IN MEDICAL INFORMATION SYSTEMS

Abstract


This paper proposes a method of justifying regulatory requirements for information security automated systems. The method is based on quantifiable indicators of information security, analysis of their influence on the processes occurring in the protected system in basic manufacturing operations management, a complete set of security threats and provides information to the system positions optimal quantitative requirements for the protection of information systems.

Вопросы обоснования требований к СЗИ АС являются из одними из важнейших задач защиты персональных данных (ПДн). Эта особенность проблемы защиты ПДн обусловлена значительным влиянием степени (уровня) защищенности (“защиты ”) конфиденциальных данных на общий уровень качества функционирования автоматизированных систем (АС), и соответственно, на эффективность работы медицинской организации в целом. Актуальность задачи обоснования требований к системам защиты информации (СЗИ) АС определена тем, что в результате ее решения появляется возможность оптимизации ресурсов АС, выделяемых на обеспечение эксплуатации (функционирования) СЗИ при обеспечении неизменности требуемой эффективности АС при решении основных функциональных задач в технологическом цикле работы организации. Важнейшей особенностью СЗИ является обязательность использование на каждом технологическом этапе работы и при любом режиме системы. Глубинное интегрирование СЗИ в состав АС по функциям и ресурсам определяет такое же глубокое влияние показателей характеризующих систему защиты информации на показатели эффективности защищаемой системы. При этом важнейшим показателем СЗИ, как любой системы, является ее эффективность (достигнутый уровень БИ). Поэтому при проектировании (модернизации) АС в защищенном исполнении требуется детальный учет уровня БИ, обеспечиваемого СЗИ. В настоящее время методологической основой обоснования требований к СЗИ при разработке на всех этапах выступают руководящие документы (РД) Федеральной службы технического и экспортного контроля России (ФСТЭК) [1-3]. Задание требований, в соответствие с [1-3], заключается в выборе необходимого класса защищенности исходя из условий эксплуатации и уровня конфиденциальности и обеспечения выполнения требований этого класса в виде совокупности организационных и технических мероприятий по защите ПДн. Вновь вводимый в России международный стандарт «Общие критерии оценки безопасности информационных технологий» ISO / IEC 15408: 1999. “Информационная технология - Методы и средства защиты информации - Критерии оценки безопасности информационных технологий” «Общие критерии» (ОК) использует аналогичный подход. Отличием является и [4]. Из анализа этих документов видно, что категория эффективности СЗИ в них не присутствует. В связи с этим возникает проблема, состоящая в том, что учет характеристик БИ при проектировании АС не находит прямого отражения в практике при обосновании требований к БИ в методах используемых в настоящее время. Причина лежит в принципиальных теоретических трудностях применения существующих методов обоснования требований к СЗИ, особенно из-за отсутствия методик оценки и обоснования требований к качеству обеспечения БИ и норм безопасности информации, показателей и критериев. Природа этих трудностей может быть определена как противоречие между необходимостью опираться при построении АС в защищенном исполнении на строго научные методы анализа и синтеза СЗИ, во первых, как методологической основы современной системотехники, а во вторых, исходя из требований самого процесса проектирования и построения АС, требующей количественного рассмотрения вопросов обеспечения БИ. С другой стороны, существующий подход к формированию требований базируется на качественном формировании перечня требуемых к реализации функций безопасности, обеспечивающий только полноту, достаточность и непротиворечивость защиты информации и не как не связанный с категориями эффективность. Разрешение рассмотренной проблемы в рамках традиционной «классификационной» общенаучной парадигмы теории защиты информации невозможно. В качестве решения авторам видится необходимость разработки теоретических основ и технологии обоснования количественных норм безопасности информации на основе оценки эффективности защиты информации обеспечивающих максимальный уровень защищенности при минимальном влиянии системы защиты на эффективность автоматизированной системы в условиях реализации полного множества угроз безопасности информации. Таким образом, целью статьи является разработка и исследование нормативного метода обоснования требований к БИ АС обеспечивающего возможность синтеза и анализа СЗИ с использованием количественных показателей и учитывающих архитектурные особенности реализации защищаемой системы в условиях реализации полного множества угроз. В обобщенном виде технологию обоснования требований к СЗИ с использованием нормативного метода можно представить в виде показанном на рис. 1. Технология нормирования базируется на двух совокупностях исходных данных: структурной схеме АС и модели полного множества угроз БИ, характерной для АС. Необходимо отметить существующее в настоящее время многообразие АС разных видов, характеризующихся, в том числе, и разнообразием технической структуры и модели полного множества угроз БИ, характерной для АС. Поэтому при построении технологии нормирования необходимо предварительное проведение типизации структуры и реализация нормы безопасности к ней. Рис. 1 Обобщенная схема нормирования требований к СЗИ Структура АС определяется ее основными функциональными частями, их информационными связями и назначением. Выделенные в структуре функциональные части можно определить как функциональные блоки. Под понятием блок традиционно понимается устройство, законченное функционально и выделенное в виде отдельного целостного устройства. Главным принципом выделения блока при синтезе информационно-логических схемы АС является возможность описания АС функционального блока и одностороняя направленность передачи результатов расчетов. Методика синтеза структуры АС разработана в [5] состоит следующих этапов. 1. В структуре системы выделяются блоки, изображаемые как условные символы с фиксацией ролей блока в АС. 2. Связи по информации, необходимые для проведения анализа АС, отображаются как линии между блоками. 3. С помощью стрелок на линиях связи отображаются отношения между блоками определяемые направленностью процессов обработки информации в АС. Для построения модели полного множества угроз БИ используется математический аппарат логических деревьев атак [6] с присвоением дугам дерева числовых коэффициентов, имеющих временной смысл. Основой конструкцией при этом выбрано иерархическое дерево вида G = (L, Е), где L= {li} - вершины дерева, E={es}, -дуги дерева. Каждая из вершин иерархического дерева G обозначает определенное действие злоумышленника. Корень дерева ассоциируется с конечной целью угрозы БИ, с реализацией которой может быть нанесен существенный ущерб. Поэтому, с использованием иерархического графа G позволяет формализовать все возможные пути . Каждый путь является последовательностью дуг имеющий вид , . Конечная вершина дуги . связана с начальными вершинами дуг . Начальные вершины пути рассматриваются как листья дерева G, а конечная вершина - корень дерева G. Деревья атак удобно формализовать в графическом и текстовом виде. Корни дерева - вершины - обозначают этапы реализации угрозы БИ. Для реализации этой угрозы БИ атакующий должен реализовать операции, обозначенные элементами . Последовательность действий нарушителя, обозначается индексом вершины . Первым реализуется шаг, обозначенный вершиной , последним - . Разработанная модель угроз БИ, построенная с применением математического аппарата теории деревьев, позволяет формализовать сложные многовариантные и многоэтапные сценарии атаки. В интересах количественной оценки опасности угрозы каждой дуге дерева сопоставлен параметр времени реализации этапа угрозы БИ, определяемого дугой. Модель анализируемого множества угроз БИ формализуется множеством параметров вида для каждой из рассмотренных угрозы БИ. Построенная структурная схема АС, в свою очередь, нуждается в формализации [7]. При этом элементам структурной схемы АС ставятся в соответствие вершины графа вида . Связи между элементами обозначаются дугами графа . Полученный вершинный граф полностью соответствует структуре системы, характеризуемый матрицей смежности . Модели систем, представленные в виде вершинных графов, используются для построения и анализа информационной структуры АС, для расчета ранга элемента в структуре и для конструирования функций связи показателей информационной безопасности элементов структуры с показателями эффективности АС по прямому назначению . При построении информационной структуры АС используется реберный граф той же системы. Реберные графы сопоставляют свойства элементов, определяемые обрабатываемой в них информации дугам графа, а логические аспекты их работы - вершинам. Использование реберных графов реализует формальные методы анализа структуры. При этом описания структур могут использовать разнообразные логические функции. Преобразование вершинного графа архитектуры АС в ее реберный граф реализуется с применением теоремы эквивалентности матрицы смежности вершинного и реберного графа [8]. Методика, преобразования вершинного графа в реберный граф состоит из трех этапов: вначале строится квазиканоническая матрица смежности реберного графа; далее проводится нумерация вершин реберного графа; с использованием квазиканонической матрицы смежности реберного графа строится реберный граф. Полученный в результате преобразования реберный граф, эквивалентный вершинному графу (), соответствует информационной структуре АС и математически представляет собой орграф . При расчете ранга элемента в структуре вершинный граф является основой для определения полной матрицы путей [9]. Чем большим числом путей элемент связан с другими элементами, тем большее число элементов структуры прекращает адекватно работать при реализации угрозы БИ к этому элементу. Поэтому важность рассматриваемого элемента в структуре определяется количеством его связей. Таким образом, нормировании требований к безопасности информации элементов АС, часть заданного общего уровня безопасности должна быть определена с учетом количества связей. Одним из простейших в реализации методов построения матрицы путей является метод с использованием алгебры квазиминоров. Метод применяется при построении матрицы путей ориентированных графов без петель и кратных дуг. Способ на основе матрицы смежности вершин графа осуществляет построение матрицы непосредственных путей. С использованием с помощью алгебры квазиминоров осуществляется построение полной матрицы путей графа. Ранг элемента рассчитывается с использованием полной матрицы путей с использованием следующей формулы: ; где - элементы полной матрицы путей графа соответствующего технической структуре АС. Конструирование функций связи показателей информационной безопасности элементов структуры с показателями эффективности АС по прямому назначению возможно c использованием логико-вероятностного метода [9]. В основе метода используется математический аппарат булевой алгебры на первом этапе построения функций связей структурно сложных систем. Как и при проведении расчетов надежности сложных систем при применении логико-вероятностного метода, функция связи строится в три этапа. Этап 1. Элементам системы сопоставляются логические переменные , принимающие два значения: 1, элемент находится в безопасном состоянии и 0, если безлопастное состояние элемента нарушено. Далее на основе анализа условий работоспособности при реализации угрозы БИ к элементу синтезируется ЛФИБ следующего вида где является вектор-строкой логических переменных. Значение функция , при наличии хотя бы одного безопасного пути от входного элемента к выходному. Примем постулат о том что путь безопасен, при безопасных всех входящих в него элементов. Для каждого пути в ЛФИБ поставлена в соответствие элементарная конъюнкция переменных , в соответствии с входящими в путь элементами. Логические функции информационной безопасности являются дизъюнкциями, элементарных конъюнкций возможных путей между входными и выходными элементами. Полученная форма ЛФИБ является исходной для проведения дальнейшего анализа. Этап 2. Полученная форма ЛФИБ преобразуется к стандартной форме перехода для полного замещения логических переменных вероятностями и логических операций арифметическими операциями. Этап 3. Логическая переменная замещаетс вероятностью , отрицание логической переменной замещается вероятностью , дизъюнкции замещаются сложением +, конъюнкции замещаются умножением , логическое отрицание замещается вычитанием из единицы вида . Информационная структура АС является основой для проведения анализа в интересах выделения сильно связанных элементов - декомпозиции информационной структуры системы [9]. При этом в информационной структуре необходимо выделять составные подсистемы, элементы которых взаимно достижимы. Выделение сильно связанных и слабосвязанных информационных элементов позволяет осуществить кластеризацию информационных объектов в интересах оптимального использования СЗИ. Процесс декомпозиции информационной структуры можно формализовать сокращением ориентированного графа. Результатом декомпозиции информационной структуры АС является множество кластера информационных объектов, характеризуемых сильной связностью , используемых при обосновании комплекта средств защиты. Задача нормирования характеристик защищенности объектов от НСД формулируется как: Найти вектор качества системы защиты информации , удовлетворяющий множеству и обладающему характеристиками наилучшего при использовании выбранного критерия предпочтений. - числовые характеристики защиты, определяемы эффективностью СЗИ как монотонная зависимость. При уменьшении система лучше при прочих равных условиях. Таким образом, при неизменных значениях и неизменных остальных показателях качества СЗИ. - условия применения СЗИ в виде вектора ; - множество ограничений на архитектуру и характеристики СЗИ, вектор вида ; - множество СЗИ (реализуемых или проектируемых вариантов построения системы). Вектор вида . Где d - величина, описывающая допустимое множество СЗИ (существующих и перспективных); - вектор ограничений на показатели качества вида . В случае использования вероятностных показателей качества ограничения принимаются в виде диапазона . -функция связи вектора показателей количественных характеристик защиты и эффективности АС. в качестве целевой функции при решении задачи нормирования, целесообразно использовать марковскую модель защиты [10, 11]. Модель защиты формализует полное множества угроз БИ к информации при реализации ряда мер по обеспечению БИ. Модель защиты, используется для проведения количественной оценки целевой функции БИ различных вариантов угроз и механизмов защиты в виде: - этапы выполнения угрозы БИ; - способы i -го этапа реализации формализуются экспоненциальным распределением с параметрами ; - вероятность необнаружения СЗИ угроз БИ при j - гом способе i -го этапа реализации; - среднее время задержки обнаружения действий злоумышленника j - тым способом i -го этапа угрозы; - среднее время нейтрализации обнаруженных действий j - го способа i -го этапа реализации угрозы; -способы реализации угроз НСД для первого, второго и третьего этапа. Числовые значения рассчитываются на основе анализа исходных данных модели полного множества угроз БИ [10]. Методика нормирования основана на решении задачи нормирования требований к количественным характеристикам БИ, при использовании марковской модели защиты, может быть осуществлена с использованием методов принятия решений. Поскольку уровень БИ АС системы определяется уровнями БИ ее элементов, то завершением процесса нормирования является рациональным распределением интегрального уровня требований по БИ к АС в целом между ее составляющими элементами. Решение задачи нормирования требований к безопасности основных элементов АС при заданном общем уровне безопасности основано в обоснованном выборе значений весовых коэффициентов , выполненном при расчете ранга элемента по полной матрице путей [12]. При наличии оценок рангов элементов можно записать математическое выражение для максимального значения эффективности АС: Исходя из независимости показателей СЗИ , положенной в основу при разработке целевой функции в главе 2: ,, Исходя из этого: ,,. Выводы. Таким образом, предложена технология нормирования разработанная применительно к типовым структурам АС и характерным для этих типовых структур модели полного множества угроз БИ. При нормировании последовательно проводится структурный анализ архитектуры АС, выделение кластеров информационных объектов, определение рангов элементов, и конструирование функций связи показателей информационной безопасности элементов структуры с показателями эффективности АС по прямому назначению логико-вероятностным методом. Нормирование требований осуществляется применительно к марковской модели защиты с последовательным использованием метода модифицированных рабочих характеристик и условного минимаксного критерия. Полученные значения интегральной нормы безопасности оптимально распределяются между элементами АС с использованием полученных на этапе структурного анализа значений рангов элементов.

V A Hvostov

Voronezh State University of engineering technologies

V P Gulov

Voronezh State Medical University

  1. Гостехкомиссия РФ. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: Воениздат, 1992.
  2. Гостехкомиссия РФ. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. - М.: Воениздат, 1992.
  3. Гостехкомиссия РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. - М.: Воениздат, 1992.
  4. ГОСТ Р ИСО / МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. - М.: ИПК Издательство стандартов, 2002 40 с.
  5. Липаев В.В. Качество программного обеспечения. - М.: Финансы и статистика. - 1983 г. - 250 с.
  6. Модель полного множества реализаций угроз информационной безопасности в ИТКС / Хвостов В.А. [и др.] // Вестник Воронежского государственного технического университета. - 2011. - Т.7 №6 - С. 126 - 130.
  7. Методы и средства повышения защищенности автоматизированных систем: монография / Е.А. Рогозин, В.А. Хвостов [и др.]. - Воронеж: Воронежский институт МВД России, 2013. - 108 с.
  8. Метод построения информационной структуры автоматизированной системы при нормировании требований к информационной безопасности / Макаров О.,Ю., Рогозин Е.А., Хвостов В.А. // Вестник Воронежского государственного технического университета. - 2011. - Т.7 №9 - С. 61 - 64.
  9. Алгоритм кластеризации организационно-технических систем биологической деятельности, для которых предусмотрена защита информации / В.П. Гулов, В.А. Хвостов // Прикладные информационные аспекты медицины: межвуз. сб. науч. тр. - Воронеж: ВГМА им. Н.Н. Бурденко, 2011. - Т. 14 № 2 - С. 12 - 17.
  10. Методика оценки вероятности несанкционированного доступа в автоматизированные системы, использующие протокол TCP / IP / О.Ю. Макаров, Е.А. Рогозин, В.А. Хвостов // Информация и безопасность - 2009. - T. 12 №2 С. 285 -288.
  11. Об одном способе формализации понятия стойкости функции безопасности ГОСТ ИСО / МЭК 15408 / О.Ю. Макаров, Е.А. Рогозин В.А. Хвостов // Вестник Воронежского государственного технического университета. - 2009. - Т.5 №2 - С. 94 - 98.
  12. Нормирование требований к основным элементам автоматизированной системы информационной безопасности / С.В. Белокуров, А.А. Змеев, В.А. Хвостов // Проблемы обеспечения надежности и качества приборов устройств и систем: межвуз. сб. науч. тр. - Воронеж: ВГТУ, 2012. - С. 29 - 31.

Views

Abstract - 0

PDF (Russian) - 0

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies