Угрозы Целостности

Нарушения целостности информации — это незаконные уничтожение или модификация информации.

Традиционно защита целостности относится к категории организационных мер. Основным источником угроз целостности являются пожары и стихийные бедствия. К уничтожению и модификации могут привести также случайные и преднамеренные критические ситуации в системе, вирусы, "троянские кони" и т.д.

Язык описания угроз целостности в целом аналогичен языку угроз секретности. Однако в данном случаев место каналов утечки удобнее говорить о каналах воздействия на целостность (или о каналах разрушающего воздействия). По сути они аналогичны каналам утечки, если заменить доступ (r) доступом (w).

Пример 1. Канал несанкционированной модификации, использующий "троянского коня", изображен на следующей схеме:

Рисунок — Канал несанкционированной модификации, использующий "троянского коня"

где U₁ — злоумышленник; U_2 — пользователь; О — объект с ценной информацией; S — процесс (программа), являющаяся общим ресурсом U₁ и U₂.

Пользователь U₁, пользуясь правом w, модифицировал общий ресурс S, встроив в него скрытую программу Т, модифицирующую информацию в О при запуске ее пользователем U₂.

Исследованием схем примера 1 занимается теория распространения вирусов.

Основой защиты целостности является своевременное регулярное копирование ценной информации.

Другой класс механизмов защиты целостности основан на идее помехозащищенного кодирования информации (введение избыточности в информацию) и составляет основу контроля целостности. Он основан на аутентификации, т.е. подтверждении подлинности, целостности информации. Подтверждение подлинности охраняет целостность интерфейса, а использование кодов аутентификации позволяют контролировать целостность файлов и сообщений. Введение избыточности в языки и формальное задание спецификации позволяет контролировать целостность программ.

Наконец, к механизмам контроля и защиты целостности информации следует отнести создание системной избыточности. В военной практике такие меры называются: повышение "живучести" системы. Использование таких механизмов позволяет также решать задачи устойчивости к ошибкам и задачи защиты от нарушений доступности.

Модели общей оценки угроз информации

[Герасименко В.А., ч.1, гл.4–5]

Данные модели характеризуют меру угроз информации от всей совокупности или от отдельно взятых дестабилизирующих факторов (ДФ), в соотнесении с теми потерями, которые могут иметь место при реализации угроз.

Рисунок — Соотнесение ДФ с потерями при реализации угроз

И

ДФn

сходная предпосылка при разработке моделей:

• с одной стороны, при нарушении защищенности информации наносится некоторый ущерб;

• обеспечение ЗИ сопряжено с расходованием средств.

Полная ожидаемая стоимость ЗИ равна сумме расходов на защиту и потерь от ее нарушения.

Рисунок — Соотношение между уровнем защищенности истоимостьюзащиты

Следовательно, Оптимальное решение соответствует минимуму общей стоимости ЗИ

Но: трудно дать оценку потерь при нарушении статуса защищенности информации, содержащей государственную, военную или другую подобную тайну

Для определения уровня затрат, обеспечивающих требуемый уровень защищенности информации, необходимо знать:

• полный перечень угроз информации;

• потенциальную опасность для информации каждой из угроз;

• размеры затрат, необходимые для нейтрализации каждой из угроз.

Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту обычно состоит в том, что этот уровень должен быть равным уровню ожидаемых потерь при нарушении защищенности (С_защ=С_ущерба) , то достаточно определить только уровень ожидаемых потерь (R=С_ущерба).

Специалистами фирмы IBM предложена следующая эмпирическая зависимость ожидаемых потерь R_i от i–й угрозы информации:

,

где: Si — коэффициент, характеризующий возможную частоту возникновения i–й угрозы;

V_i — коэффициент, характеризующий значение возможного ущерба при ее возникновении.

(Значения коэффициентов S_i и V_i смотри ниже)

Суммарная стоимость потерь:

Но: данный подход является весьма приближенным и условным.

[Герасименко В.А., ч.1, с.136]

Значения коэффициента S_i:

Ожидаемая (возможная) частота появления угрозы	Предлагаемое значение Si
Почти никогда	0
1 раз в 1000 лет	1
1 раз в 100 лет	2
1 раз в 100 лет	3
1 раз в год	4
1 раз в месяц (≈10 раз в год)	5
2 раза в неделю (100 раз в год)	6
3 раза в день (1000 раз в год)	7

Возможные значения коэффициента V_i:

Значение возможного ущерба при проявлении угрозы (долл.)	Предлагаемое значение Vi
1	0
10	1
100	2
1000	3
10000	4
100000	5
1000000	6
10000000	7