METHODOLOGY OF ESTIMATION THE RELIABILITY OF THE INFORMATION PROTECTION SYSTEM FROM UNAUTHORIZED ACCESS TO THE MEDICAL INFORMATION SYSTEM

Abstract


The basis for the security of personal data (PDD) processed in medical information systems (IS) is the high quality of the operation of software information protection systems (PIC) from unauthorized access. Along with the requirement of low resource intensity and high indicators of ease of use, understandability and modifiability, one of the most important characteristics is the reliability of the ISS. At the same time, reliability means the effectiveness of performing protective functions for the required time. To assess this indicator, an analysis was made of the principles of constructing and operating the NTP from NDs used in medical information systems to provide protection (PDN). For the evaluation of the reliability of the CPS, a technique based on the application of the method of direct enumeration of the elements of a software system with a monotonic structure was proposed. A quantitative description of the reliability of the CPS for a composite function of the most general form that reflects the functioning of the system as a whole. In this case, under the refusal of the NPL from the NSD, a state is selected in which the security state of the information is violated. The method allows to obtain, with an acceptable for practical applications, estimates of the reliability of the GIS used in the protection of PDN in medical information systems.

Актуальность. Как результат применения программных (программно-аппаратных) систем защиты информации (СЗИ) для обеспечения информационной безопасности медицинских информационных систем(МИС) от несанкционированного доступа (НСД)обнаруживается ряд проблем. Основнойпроблемой является уменьшение надежности СЗИ от НСД во времени, что подтверждаетсяв ходе эксплуатации таких систем. В связи с этим, обоснованию их надежности необходимо уделять повышенное внимание. Однако методической основыформирования требований к надежности СЗИ от НСД уделено не достаточное внимание, что обуславливает актуальность предложенной в данной статье методики оценки надежности. В соответствии сосложившимся к настоящему времениметодическим подходомоценки надежности сложных программных систем (ПС) в [2], необходимо провести анализ архитектурны и характеристики функционирования СЗИ от НСД. Как объект оценки надежности критически важным свойством СЗИ от НСД является их модульно - иерархическая структура, которая отражает декомпозицию на программные модули и связи между ними. Установившаяся практика иерархического многоуровневого построения сложных ПС применяется для упрощенияразработки сложных программных комплексов, их концептуального проектирования и повседневной эксплуатации, уменьшениязатрат и времени на разработку, оптимизации усилий и позволяетрассматривать СЗИ от НСД при разработке методик расчётов надежности как программную систему с расчлененной структурой. Надежность элементов системы с расчлененной структурой позволяет формировать показателинадежности независимо.При этом, показатели надежности могут быть определенызаранее, так как отказы в данных обстоятельствах могут рассматриваться как случайные события, независимо от достигнутых состоянийостальныхпрограммных модулей. Каждый элементпрограммной системы расчлененной структуры имеет множество выходных параметров, влияющихтолько на работоспособность этого элемента. По принципу построения программной системы, языкам описания, объему и остальным характеристикам можно четко выделить следующие иерархические уровни сложных ПС [6]: соответствующий компонентам текста программы уровень операторов и операндов программ на языке программирования; законченные компоненты текста программы как уровень программных модулей; пакетов прикладных программ как уровень функциональных групп программ; завершенный программный продукт определенного целевого назначения как уровень комплексов программ. В качестве целесообразного уровня иерархии сложных ПС для разработки методики оценки надежности СЗИ от НСД необходим выбор уровня программных модулей.Этот выбор обусловлен рядом особенностей данного уровня: программный модуль реализует функциональную задачу и, соответственно, достаточно сложный; показатель надежности характеризуетего в целом, а не его составные части; восстановление работоспособности дискретного программного модуля реализуется независимо от восстановления остальных программных модулей СЗИ от НСД. Для построения схемы связей элементов СЗИ от НСД была использована техническая документация современной СЗИ[1, 2]. В результате была составлена последовательность выполнения программных модулей СЗИ от НСД, представленная на рисунке 1. X1 - аппаратная составляющая СЗИ от НСД; X2 - модуль идентификации и аутентификации; X3 - модульконтроля целостности исполняемых файлов; X4 - модульадминистрирования СЗИ от НСД; X5 - локальные базы учетных записей; X6 - модульуправления доступом; X7 - модуль аудита, сигнализацииоб НСД и блокировки ПЭВМ; X8 - сетевые службы СЗИ; X9 - модульучета и маркировки документов; X10 - модульпреобразования носителей информации; X11 - интерфейс с низкоуровневыми средствами операционной системы; X12 - модульпользовательских служб СЗИ от НСД. В соответствии с параметром времени программные модули СЗИ то НСД, приведенные на рисунке 1, подразделяться на четыре типа. Первыйтип модулей запускается на исполнениепри загрузке защищенной ПЭВМ. К нему относятся: аппаратная составляющая СЗИ от НСД; программный модуль идентификации и аутентификации; программныймодуль контроля целостности; программныймодуль аудита, сигнализации НСД и блокировки ПЭВМ. Второйтип модулей запускается на исполнениепри выполнении работы пользователя на ПЭВМ. К этому типу относятся: программныймодуль разграничения доступа (по правилам дискреционного и мандатного принципов доступа) к защищаемым ресурсам; программныймодуль учета и маркировки документов; программныймодуль преобразования носителей информации; программныйобеспечивающий интерфейс СЗИ от НСД с операционной системой; сетевые службы. Рис. 1. Последовательность выполнения программных модулей СЗИ от НСД Третийтип модулей СЗИ от НСД запускается по пользовательскому запросу. К немуотносятся рядпользовательских служб (просмотр прав доступа и смена меток, контроль целостности по запросу,блокировка монитора, маскирующее удаление). Четвертыйтип модулей запускается при администрировании и управлении СЗИ от НСД. Таким образом, СЗИ от НСД можно характеризовать как сложную структуру.Структура СЗИ не может быть сведенак последовательно-параллельным илипараллельно-последовательным соединениям. В литературе по проблемам надежности [2] такие системы обычно называются системами с монотонной структурой. Их можно характеризовать следующим свойством: при отказе любого элемента ухудшается надежность всей системы или ее полный отказ. Оценка надежности систем представляющей собой монотонную структуру осуществляется в соответствии с методикой разработанной в [3]. Учитывая небольшое количество программных модулей СЗИ, а также на основе вывода о сложности использования методов оценки надежности систем с монотонной структурой на основе метода разложения относительного особого элемента, использования имитационного моделирования функционирования СЗИ, минимальных разрезов и путей при расчетах применяется метод основанный на прямом переборе элементов. С учетом выбранного метода оценки надежности СЗИ от НСД как ПС с монотонной структурой введем критерий отказа этой системы, определяющий деление множества возможных состояний на два подмножества: подмножеств j работоспособных состояний {Ώ} и подмножество состояний отказа {Ψ}. Как показано в [6- 8] в качестве количественного описания надежности используется каждая функция ПС в отдельности, или по составная функция общего вида, отображающая работу ПС в целом. Проведя анализ состава выполняемых СЗИ функций [1], при выборе критериев отказа можно применить подход с использованием составной функции. В качестве составной функции СЗИ необходимо выбрать обеспечение информационной безопасности АС. Под отказом СЗИ в таком случае понимается состояние, при котором в системе нарушена безопасности информации. В качестве признаков состояния отказа СЗИ необходимо выбрать следующие: реализована возможность входа в операционную среду АС без идентификации и аутентификации; возможен доступ к информации в обход установленной политики разграничения доступа; можно реализовать запись информации высшего уровня конфиденциальности на носители низшего уровня; не выполняется контроль целостности файлов настройки операционной системы; отсутствует реакция на реализацию угроз безопасности информации. Условием отказа СЗИ от НСД является появление хотя бы одного из указанных выше признаков нарушения работоспособности. Система защиты, состоит из n программных модулей. Каждый модуль находится в состоянии отказа или в состоянии работоспособности. Система защиты, соответственно может находиться в 2n различных состояниях: H0 - все n программных модулей СЗИ работоспособны; Hi - отказал i- ый программный модуль СЗИ, остальные работоспособны; Hij - отказал - ый и - ый программные модули СЗИ, остальные работоспособны; ………………………………………… H1,2,… n -отказали все программные модули СЗИ. Пусть для каждого состояния определена вероятность этого события . Тогда вероятность работоспособного состояния СЗИ определяется как: (1) С учетом независимости программных модулей вероятности состояний определяются в соответствии с формулами [2]: ; (2) где и вероятности состояния работоспособности и отказа - ого программного модуля; . Исходя из принципов построения и функционирования СЗИ от НСД, можно определить ее состояния, при которых отказы отдельных программных модулей не приводят к отказу в целом в соответствии с введенным критерием. Перечень таких состояний представлен в таблице 1. Таблица 1. Перечень работоспособных состояний СЗИ № состояния Состояния программных модулей x1 x2 x3 x4 x5 x6 x7 x8 x9 x10 x11 x12 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 1 1 1 1 1 1 1 1 2 1 1 1 1 1 1 1 0 1 1 1 1 3 1 1 1 1 1 1 1 1 1 1 0 1 4 1 1 1 1 1 1 1 1 1 1 1 0 5 1 1 1 0 1 1 1 0 1 1 1 1 6 1 1 1 0 1 1 1 1 1 1 0 1 7 1 1 1 0 1 1 1 1 1 1 1 0 8 1 1 1 1 1 1 1 0 1 1 0 1 9 1 1 1 1 1 1 1 0 1 1 1 0 10 1 1 1 1 1 1 1 1 1 1 0 0 11 1 1 1 0 1 1 1 0 1 1 0 1 12 1 1 1 1 1 1 1 0 1 1 0 0 13 1 1 1 0 1 1 1 0 1 1 1 0 14 1 1 1 0 1 1 1 1 1 1 0 0 15 1 1 1 0 1 1 1 0 1 1 0 0 В таблице Xi=1 и Xi=0 означает, что программный модуль СЗИ находится соответственно в работоспособном состоянии и в состоянии отказа. Подставив выражения (2) в (1) применительно к перечню работоспособных состояний СЗИ от НСД, представленному в таблице 1, получим окончательное выражение методики для расчета вероятности правильного выполнения защитных функций системы: Показатель , входящий в математические выражения (2), имеет смысл вероятности безотказной работы программного модуля СЗИ от НСД в течение заданного времени. Как показано в [6], наилучшей аппроксимацией для данного показателя является экспоненциальный закон распределения. где t - параметр времени; λi - параметр потока ошибок в процессе эксплуатации i-го программного модуля СЗИ от НСД. Значение параметра λi с достаточной для проводимых расчетов точностью можно определить как: ; где λср - средняя интенсивность проявления ошибок в процессе эксплуатации программной системы (составляет величину примерно 10-7 на символ объектного кода программы [6]); Vпр - объем программы в символах объектного кода. С использованием разработанной методики оценки надежности СЗИ от НСД были проведены расчеты вероятности правильного выполнения защитных функций системы в течение десяти часов. В качестве исходных данных использовались значения параметра Vпр программных модулей СЗИ “Ребус ”, полученные в результате ее сертификационных испытаний. Результатырасчетовпредставленырисунке 2. Рис.2. Зависимость вероятности правильного выполнения защитных функций СЗИ от времени. Таким образом, для расчета вероятности правильного выполнения защитных функций СЗИ от НСД в МИС применим метод прямого перебора элементов программной системы с монотонной структурой, позволяющий с приемлемой для практических расчетов точностью получать значения показателя надежности ее работы.

V P Gulov

Voronezh State Medical University

V P Kosolapov

Voronezh State Medical University

G V Sich

Voronezh State Medical University

A V Skripnikov

Voronezh State University of Engineering Technologies

V A Khvostov

Voronezh State University of Engineering Technologies

  1. «Страж NT». Руководство администратора: [Электронный ресурс]. - URL: http://www.guardnt.ru/download/doc/admin_guide_nt_3_0.pdf (дата обращения: 03.11.2017).
  2. Система защиты информации от несанкционированного доступа «Страж NT». Описание применения: [Электронный ресурс]. - URL: http://www.rubinteh.ru/public/opis30.pdf (дата обращения: 04.11.2017).
  3. Липаев В.В., Надежность и функциональная безопасность комплексов программ реального времени. -М.: Изд. Светлица. 2013.
  4. Липаев В.В. Проблемы программной инженерии. Лекции ведущих ученых России. Красноярск. СФУ. 2011.
  5. ISO/МЭК 8631-89 Информационная технология. Программные конструктивы и условные обозначения для их представления.
  6. Гулов В.П., Полтавченко А.Г., Попов А.С., Хвостов В.А., Чумаков А.А. Обоснование комплекта средств защиты информации на объектах биологической деятельности при проведении вирусологических исследований // Научно-медицинский вестник Центрального Черноземья: научно-практический журнал. - Воронеж: ВГМА им. Н.Н. Бурденко 2012 г. № 47 - С. 14-19
  7. В.П. Гулов, В.А. Хвостов, П.Е. Чесноков Детальный алгоритм множества реализаций угроз информационной безопасности в медицинской информационной системе / Вестник новых медицинских технологий. Электронное издание 2015 г. №2 Публикация 1-4.
  8. Гулов В.П., Скрыпников А.В., Хвостов В.А., Пелешенко Е.И. Модели и алгоритмы прогноза возможностей реализации угроз несанкционированного доступа к информации технологических медицинских информационных систем // Научные исследования: теория, методика и практика: сборник материалов Международной научно-практической конференции. 2017. С. 285-288.

Views

Abstract - 0

PDF (Russian) - 0

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies