книги / Управление образовательной деятельностью многопрофильного технического университета на основе негэнтропийного подхода
..pdf
мов защиты информации (критерий целостности и конфиденциально-
сти). Другими словами, система защиты информации гарантирует предельно минимальное время задержки нарушителя (злоумышленника) Tminзащ .
Гарантированная защита информационной образовательной системы (ИОС) может быть обеспечена в случае выполнения следующего от-
ношения: Tmaxдост <<Tminзащ . При невыполнении данного условия (либо невоз-
можности сохранения времени доступа в ИОС в заданных временных интервалах) возникают угрозы безопасности информации (конфиденциальности, целостности и доступности). Возникновение угроз безопасности информации в конечном итоге может приводить к негативным последствиям (ущербу) и оказывать влияние на показатели эффективности всей системы.
Соотношение предельных времен доступа в ИОС представлено на рис. 3.6.
Область допустимого |
Область нарушения |
Область |
времени доступа |
ИБ / временной |
защиты ИОС |
в ИОС |
задержки |
|
дост |
защ |
T |
Tmax |
Tmin |
|
Рис. 3.6. Соотношение предельных времён доступа в образовательную систему
Пусть текущее время доступа для санкционированного пользователя ИОС tтекдост < Тmaxдост . Тогда степень открытости ИОС определяется коэф-
фициентом открытости α, находящимся в диапазоне 0 ≤ α ≤ 1 и определяемым соотношением
α = 1− tтекдост
(Тmaxдост + Тminзащ ).
При tтекдост .→0 для санкционированных пользователей ИОС доступ реализуется беспрепятственно, коэффициент открытости α → 1.
При tтекдост .→Тmaxдост для санкционированных пользователей ИОС и при
использовании информационных ресурсов ограниченного доступа последний реализуется с временной задержкой для выполнения требований безопасности информации ИОС, коэффициент открытости находится в диапазоне 0 < α ≤ 1 .
111
Отметим, что временной диапазон Тmaxдост – Тminзащ выражает требова-
ния к системе защиты информации по обеспечению оперативности доступа в ИОС и блокированию несанкционированного доступа (НСД) со стороны злоумышленника или в обход установленных правил взаимо-
действия. В общем случае набор параметровТmaxдост , Тminзащ определяет ос-
новные характеристики системы защиты информации в ИОС. Требования выполнения условия открытости ИОС (доступности
информации) можно сформулировать следующим образом:
1)при tтекдост .→0 система более открыта и коэффициент открытости
α→ 1;
2)при tтекдост .→Тmaxдост система менее открыта и коэффициент откры-
тости α < 1.
Возникает задача определения оптимального значения степени открытости ИОС, т.е.: α(x) → α* при ограничениях на информационную
безопасность, где α (x) – текущий коэффициент открытости ИОС; α – требуемый коэффициент открытости ИОС для взаимодействия. Под взаимодействием х понимается любое произвольное обращение пользователя ИОС к информационной системе, определённое действующим регламентом. При этом разнообразие подобных взаимодействий может обусловливаться характером обрабатываемой информации, режимом обработки информации (однопользовательский / многопользовательский), возможностью использованиятехнологииудалённогодоступаи т.д.
Верхняя граница временного ограничения Тminзащ (см. рис. 3.6), пре-
дельного ограничения доступа в ИОС, гарантирующая блокирование НСД, обеспечивается средствами защиты информации и в свою очередь оказывает влияние на коэффициент открытости ИОС. При увеличении
Тminзащ за счёт введения дополнительных сервисов безопасности последовательно увеличивается tтекдост , что в свою очередь уменьшает коэффици-
ент открытости ИОС, т. е. система становится менее открытой. Текущему состоянию открытости ИОС, характеризуемому соот-
ветствующим коэффициентом открытости α, можно поставить в соот-
ветствие определенную степень риска R(α), порождаемую следующими условиями:
1) α(x) ≠ α* – для текущего взаимодействия x санкционированного пользователя ИОС, т. е. время доступа пользователя к информации
112
в ИОС не соответствует установленному регламенту, что эквивалентно нарушению критерия доступности информации в ИОС. Подобная ситуация может быть обусловлена подключением дополнительного сервиса безопасности, что снижает оперативность работы всей системы, а следовательно, её открытость. При этом не нарушается одно из главных требо-
ваний к системе безопасности tтекдост < Тmaxдост ;
2) tтекдост > Тmaxдост – для санкционированного (зарегистрированного)
пользователя, что эквивалентно нарушению доступности информации в ИОС для санкционированного пользователя;
3) tтекзащ < Тminзащ – для злоумышленника (незарегистрированного поль-
зователя), что эквивалентно нарушению конфиденциальности и целостности информации в ИОС в условиях несанкционированного доступа. Система защиты информации не гарантирует заданного времени задержки злоумышленника.
Пример несоответствия tтекдост и tтекзащ требованиям по доступу в ИОС, иллюстрирующийусловия, определённые пп. 2, 3, представленна рис. 3.7.
Область |
Область |
|
Область |
допустимого |
нарушения ИБ / |
|
защиты ИОС |
времени доступа |
временной задержки |
|
|
в ИОС |
|
|
|
Tmaxдост |
tтекдост (tтекзащ ) |
Tminзащ |
T |
Рис. 3.7. Пример нарушения требований по доступу (блокированию доступа) в ИОС
Под риском R(α) понимается степень реализации угрозы нарушения безопасности информации в ИОС, вызванная нарушением порядка взаимодействия пользователя ИОС и информационной системы и снижающая доступность информации либо влекущая утрату ее конфиденциальности и целостности по причине недостаточности принимаемых мер по защите информации.
Пусть для любой формы информационного взаимодействия устанавливается допустимое значение риска R*. При этом R(α) ≤ R* , где R(α) – те-
кущеезначениерискаинформационного взаимодействия.
На рис. 3.8 представлена зависимость риска R при изменении степени открытости ИОС, характеризуемой коэффициентом α.
113
R
R*
α* α
Рис. 3.8. Зависимость риска от степени открытости информационной образовательной системы
Для произвольного набора n взаимодействий пользователей ИОС можно установить следующие условия:
R1(α) ≤ R1* (α* ) ,
R2 (α) ≤ R2* (α* ) ,
…
Rn (α) ≤ Rn* (α* ) .
Совокупность информационных ресурсов ИОС вуза (V) целесообразно представить по степени важности (критичности) информации в виде перечня компонентов, в целом обеспечивающих полный набор информационных взаимодействий:
1)информация открытого доступа (Vоткр) – собственником не установлены ограничения на получение информации любым пользователем ИОС;
2)информация ограниченного доступа (Vогр) – собственником установлены ограничения на получение информации за пределами организации (целесообразна дискреционная модель управления доступом);
3)информация закрытого доступа (Vзакр) – собственником установлены ограничения на получение информации за пределами и внутри организации (целесообразна мандатная модель управления доступом).
В большинстве случаев ИОС вуза обрабатывает следующие виды информации, необходимые для осуществления образовательных услуг:
– персональные данные учащихся вуза и его работников;
– информация учебного характера;
– управленческая информация;
– сведения о взаимодействии с внешними организациями и о результатах научных исследований и образовательной деятельности.
114
Каждый из перечисленных информационных ресурсов может быть разделен в зависимости от степени открытости (α) для пользователей информационной образовательной системой. Например, на рис. 3.9 представлено условное разделение персональных данных учащихся вуза по степени открытости и возможности доступа к ним.
Vоткр. (αоткр) – |
Vогр. (αогр) – |
|
Vзакр. (αзакр) – |
для общедоступных |
для персональных |
|
для специальных |
персональных |
данных, используе- |
|
категорий персо- |
данных |
мых в деятельности |
|
нальных данных |
|
вуза |
|
|
|
|
|
|
Рис. 3.9. Условное разделение персональных данных по степени открытости и доступности
Возможность перераспределения информационных ресурсов, в зависимости от степени доступа к ним обозначена на рис. 3.9 «↔».
Каждый из перечисленных информационных ресурсов может быть разделен на несколько частей с соответствующей степенью риска реализации угрозы информационной безопасности, не превышающей допустимого уровня R*.
Для персональных данных, обрабатываемых в информационной системе вуза, характерна следующая классификация:
1.Общедоступные персональные данные размещены в общедоступных источниках информации и доступ к ним не ограничен.
2.Персональные данные ограниченного распространения доступны в зависимости от должностного положения работников вуза и используются для обеспечения повседневной деятельности образовательного учреждения (конфиденциально).
3.Специальные категории персональных данных доступны строго ограниченному кругу лиц и предоставляются сторонним организациям только на законном основании (строго конфиденциально).
Для информации учебного характера характерна следующая классификация:
1) учебные материалы открытого характера, размещённые в общедоступных источниках информации;
2) учебные материалы ограниченного распространения, доступные
взависимости от статуса обучаемого и должностного положения работника образовательного учреждения (конфиденциально);
3) информация, раскрывающая содержание тестовых заданий, по-
рядок сохранения целостности и модификации учебных материалов в информационной образовательной системе (строго конфиденциально).
115
Для управляющей информации в системе электронного документооборота вуза характерна следующая классификация:
1)управляющая информация открытого доступа;
2)управляющая информация ограниченного доступа для выхода за пределы образовательной системы вуза (конфиденциально за пределами вуза).
3)управляющая информация ограниченного доступа, порядок предоставления которой определяется законодательством Российской Федерации и ведомственными нормативно-правовыми актами (для служебного пользования).
Для информации научно-исследовательского характера, сформи-
ровавшейся и полученной в договорных отношениях и на коммерческой основе, характерна следующая классификация:
1)информация открытого характера, размещенная в общедоступных источниках информации, на доступ к которой собственником информации ограничения по доступу не установлены;
2)информация ограниченного распространения, доступная в зависимости от статуса участников научно-исследовательской деятельности и должностного положения работника образовательного учреждения – сведения о характере договорных отношений, порядке осуществления научно-исследовательских работ (конфиденциально);
3)информация, раскрывающая результаты научных исследований, являющаяся предметом договорных отношений вуза и сторонней организации (строго конфиденциально, коммерческая тайна).
Теоретико-множественная модель, представленная на рис. 3.10,
иллюстрирует возможность полной классификации информационных ресурсов открытой образовательной системы с разделением этих ресурсов по направлениям деятельности: А – персональные данные; B – учебная информация; С – управляющая информация; D – информация науч- но-исследовательского характера. Степень открытости данной информации может быть установлена в зависимости от степени риска в диапазоне
от минимального R0 до максимального R2. При этом:
V(Ri*) – совокупность информационных ресурсов образовательной системы вуза с соответствующей степенью риска Ri;
S ={Si ,i =1, n} – множество пользователей открытой образовательной системы, имеющих право доступа в ИОС, а Q ={Qj , j =1,m} – множество возможных нарушителей режима доступа к ресурсам ИОС.
116
Для каждого пользователя из данного множества целесообразно определение степени открытости ресурсов вуза, в соответствии с после-
довательностью: Vi (Ri* ) → Si → αi*.
При этом возможные действия нарушителя целесообразно рассматривать по отношению к ресурсам, что проиллюстрировано на рис. 3.10.
Vзакр (R2a*) S2a
A
Si(α→1), Qi(α→0)
Vзакр (R2d*) S2d Vогр (R1d*) S1d
Si(α→1), Qi(α→0)
Vогр (R1a*) S1a
Vоткр (R0*)
Sn(α→1)
Vогр (R1c*) S1c
B
Vогр (R1b*) S1b Vзакр (R2b*) S2b
Si(α→1), Qi(α→0)
D
Si(α→1), Qi(α→0)
C
Vзакр (R2c*) S2c
Рис. 3.10. Теоретико-множественная модель открытости информационных ресурсов ИОС
Рассмотрим подробнее содержание теоретико-множественной модели открытости информационных ресурсов ИОС на примере обрабатываемых в ИОС персональных данных, обозначенных на рис. 3.10 как сектор А.
Множество всех информационных ресурсов ИОС включает подмножество общедоступных персональных данных Vоткр (R0*), изображенное на рисунке в центральной части, с учетом заданной степени риска R0*. При этом возможность пользования ресурсами ИОС не ограничивается для полного множества S пользователей, а открытость системы обеспечивается на максимально возможном уровне: Sn (α→1). Часть персональных данных ИОС включает подмножество Vогр, доступное для части пользователей S1a, с учетом заданной степени риска R1a* по нарушению требования доступности информации для данного подмножества
117
пользователей и нарушению конфиденциальности и целостности персональных данных при возможных нарушениях со стороны возможного нарушителя Q. Кроме того, выделяется подмножество персональных данных специальной категории Vзакр, закрытой для большинства пользователей, за исключением пользователей S2a. Степень риска R2a* в данном случае заключается в нарушении требования доступности информации для подмножества пользователей S2a, а также при возможных нарушениях со стороны нарушителя Q.
Для совокупности персональных данных Vогр и Vзакр, объединенных по признаку ограничения доступа, существует правило, заключающееся в необходимости увеличения степени открытости ИОС для санкционированного пользователя: Si(α→1), что в свою очередь предполагает снижение степени открытости ИОС для нарушителя: Qi(α→0).
Аналогичным образом в теоретико-множественной модели рассматривается открытость информационных ресурсов ИОС для учебной, управляющей информации и информации научно-исследовательского характера (секторы B, C и D соответственно).
Возможности перераспределения информационных ресурсов в ИОС, обозначенные на рисунке стрелками, предполагают пересмотр степени открытости отдельных категорий ресурсов ИОС в зависимости от меняющихся требований по их защищенности или необходимости предоставления по запросам на законном основании.
Каждый субъект S – санкционированный пользователь ИОС может одновременно обладать набором прав доступа по отношению к каждому из выделенных подмножеств ресурсов ИОС. При этом возможности по доступу (степень открытости) к тем или иным ресурсам могут определяться должностным положением (полномочиями) участника информационного взаимодействия. Например, работник управления вуза может иметь одновременный доступ к отдельным категориям персональных данных студентов, материалам тестовых заданий для осуществления контрольных мероприятий, а также к системе электронного документооборота.
На рис. 3.11 представлены возможные варианты наборов требований α по доступности отдельных ресурсов ИОС для субъектов S1 и Sn. Каждый из наборов требований открытости αi*для каждого из субъектов определяется совокупностью информационных ресурсов (A, B, C, D),
а также важностью информации V с определенной требуемой степенью риска Ri*.
118
* |
) |
|
|
S1 |
V (Ri |
|
|
Sn |
|
|
|
|
|
|
Vзакр |
αa.закр* |
αb.закр* |
αc.закр* |
αd.закр* |
Vогр |
αa.огр* |
αb.огр* |
αc.огр* |
αd.огр* |
Vоткр |
αa.откр** |
αb.откр** |
αc.откр** |
αd.откр** |
А В С D
Рис. 3.11. Требования доступности отдельных ресурсов ИОС для субъектов S1 и Sn
Таким образом, процесс управления информационной безопас-
ностью открытой образовательной системы вуза сводится к обеспечению оптимального соотношения коэффициентов открытости αi* для заданного вида информационного ресурса Vi в зависимости от степени риска Ri* при осуществлении информационного взаимодействия со стороны субъекта S. При этом полный набор подобных оптимальных соотношений может задавать требования к системе защиты информации открытой образовательной системы вуза в целом.
3.4.Оценки, механизмы и инструменты информационной безопасности
Как следует из вышесказанного, степень открытости ИОС определяется уровнем информационной безопасности системы. Поэтому необходимо разработать оценки, механизмы и инструменты информационной безопасности.
Оценка уровня информационной безопасности информационных образовательных систем связана с большими трудностями ввиду многофакторности и неоднозначного определения численных значений многих показателей. Так, например, значения некоторых показателей удаётся измерить или вычислить по известным аналитическим зависимостям, других – путём статистической обработки данных, полученных в процессе достаточно длительного периода наблюдения за функционированием
119
информационной системы, а то и получение их путём экспертных оценок (оценка поведения нарушителя).
Вряде случаев, когда рассматривается информационная система
свысоким уровнем неопределённости и (или) не имеющая достаточной предыстории функционирования, например система обеспечения информационной безопасности образовательных систем открытого типа, использование известных подходов не представляется возможным. В таких случаях неизбежно приходится пользоваться неформальными методами оценивания, из которых наиболее известными являются методы экспертных оценок [36]. Например, мультипликативную свертку оценок, данных экспертами, используют для оценки вероятности нарушения информационной безопасности важной информации, а для оценки вероятности нарушения информационной безопасности в отношении полезной и несущественной информации, как правило, используется метод аддитивной свертки оценок [37, 38].
Для открытых информационных образовательных систем наибольшую угрозу информационным ресурсам представляют внешние угрозы. Угрозы со стороны хаккеров и вирусов, расширенный список внешних пользователей требуют разработки адекватных мер защиты как информационных потоков, так и информационных образовательных ресурсов.
Задача построения открытой функционально защищённой информационной образовательной инфраструктуры, представляющей собой
сложную информационную систему, активно взаимодействующую с внешней средой и функционирующую в условиях действия случайных факторов, наличия неблагоприятных воздействий различной природы и высокой стоимости последствий нарушений функционирования может быть решена только с учётом обеспечения информационной безопасности всех её элементов [39, 40].
На практике информационная защита должна соответствовать запросам конкретной информационной образовательной системы, обеспечивая её открытость в информационном образовательном пространстве посредством бесперебойногофункционированиявсехеёподсистем(рис. 3.12).
Как правило, информационные образовательные подсистемы вуза подразделяются по уровням защищённости. Для каждой из них проводится выбор формальной модели защиты информации из множества моделей защиты информации. На практике, как правило, выбор модели осуществляется из модификаций дискреционной, мандатной, ролевой моделей. При этом дискреционная модель обеспечивает произвольное
120