Дигитализация

Анализа на риска за информационната сигурност – основа за ИТ проектите в БА

CIO Media

Майор д-р инж. Николай Стоянов,
сектор „Защита на информацията”,
Институт по отбрана


Създаването, обработката, предаването и анализа на информация винаги са били ключов елемент във всяка стратегия и операция. С прогреса на комуникационните и инфромационните технологии, те се превърнаха в критичен фактор за успеха на всяка мисия. Може да се каже, че те са „нервната система” на всяка стратегическа информационна система (Command, Control, Communications, Computers, and Intelligence – C4I). Нарастващата роля на C4I оказва неминуемо влияние и върху разработваните стратегии и операции за преодоляване на кризи от всякакъв характер. Информационното превъзходство е основна необходимост при веки род операции [1,2,3].
Известно е, че един от основните фактори влияещи върху развитието на човешкото общество е информацията. Бързото развитие на науката и информационните технологоии в края на XX век предизвика множество промени в стратегическата среда и информационното общество. Информационната революция буквално ни заля. Тези промени засягат всички аспекти на обществото – политика, икономика, военна област, наука, култура и др. Инструментът който всички ръководители използват, за да си осигурят нужната информация, е стратегическа информационна система. Тази система доставя необходимата информация и знания, когато и където е необходимо, в подходяща за използване форма и вид.[2]
Основни понятия свързани информационните системи за сигурност и отбрана (C4I)
Командването и управлението, като специфична информационна дейност, са силно зависими от съвременните ИТ. Самите те се превръщат в основен фактор за крайния успех на поставената стратегическа цел. От тази гледна точка процеса на командване и управление и системата C2 се обогати с нов вид начин за противопоставяне – определяно като информационна война, мрежово-цнтрични действия (операции) и противопоставяне на информационни обекти – знания, култура и технологии.
Съвременните C4I системи трябва да поддържат необходимите възможности, осигурявайки нейерархичен обмен на информация в единен формат за обща картина на обстановката. Взаимодействието между отделните елементи и модули трябва да се постига чрез използване на общо, широко разпространено множество от протоколи за взаимодействие, даващи възможност за прозрачен достъп до информацията по отношение на йерархията, независимо от различните качества на съставните елементи [1].
С цел разбиране на същността и съдържанието на C4I е необходимо да се разгледа в най-общ план системата за командване и управление (C2). На ръководителите им е необходима информация и информационни ресурси, за да бъдат подпомогнати в процеса на вземане на решение и при координация на действията. Тази информация трябва да е от практическо значение, крайно необходима, своевременна и във вид удобен за лесно разбиране и използване в процеса на вземане на решение. C4I системите са основните градивни елементи на системите за информационнен обмен и за подпомагане вземането на решение. При кризи C4I се използват за осигуряване на постоянен поток от данни, който трябва да дава информация в реално време за обстановката в района на кризата. Тази информация трябва да може да бъде получавана при поискване от ръководителите навсякъде и по всяко време. На фигура 1 е показана взаимовръзката между информацията и системата за командване и управление.

Фигура 1: Взаимовръзка между информацията и C2-системата

Информационната система за сигурност и отбрана е съвкупност от доктрини, процедури, организационни структури, персонал, съоражения, оборудване и комуникации създадени така, че да подпомагат ръководителите и командирите при изпълнение на задълженията им независимо от типовете и видовете задачи.
Функциите на C4I системата са:
- събиране на информация базирано на предварително планирани нужди, определени интервали от време и преобразуване на информацията във вид удобен за предаване (транспортиране);
- предаване на информацията до местата в които ще се извършва по-нататъшна обработка;
- обработка - съхранение, възстановяване, управление, филтриране и обобщаване на данните с цел създаване на минимална по-количество, но максимална по съдържание информация;
- разпространение на обобщената информация до потребителите за които е предназначена;
- защита – осигуряване на сигурен трафик и достъп до информацията само на упълномощените потребители.
С цел осигуряване на постоянен и непрекъснат поток от информация, при проектиране и изграждане на C4I системи трябва да се имат в предвид следните принципи:
- съвместимост – стратегическата, оперативната и тактическата съвместимост са съизмерими с ролята на C4I системите при поддръжката на всякакъв вид и тип мисии. Постигането на съвместимостта на всички нива се осъществява чрез взаимно (разпределено) наследяване и хоризонтално съревноваване във вертикалния свят. За постигане на съвместимостта е необходимо да се обърне внимание на следните ключови елементи:
o необходимостта от получаване на информация на съответния (стратегически, оперативен или тактически) ръководител (командир) трябва де е водеща при изграждане на съвместимостта;
o като се има в предвид, че универсална съвместимост е недостижима, то високата степен на съвместимост трябва да осигурява гъвкавост, както за очакваните резултати от мисията, така и за неочакваните развития на операциите;
o съвместимостта трябва да е балансирана заедно с другите основни принципи - защита, наличност, гъвкавост, живучест и работоспособност;
o съвместимостта между C4I изисква да се създадат и използват унифицирана рамка и дефинирани правила при проектирането и изграждането на системите;
o при разработване на архитектурата е по-целесъобразно да се използва малък екип;
o проблемите при осъществяване на съвместимостта е необходимо да се разделят на управляеми части и процеси.

Тенденции
Като се имат в предвид описаните до тук функции и принципи при проектирането и изграждането на стратегическите информационни системи е необходимо да се обърне внимание и на очакваните тенденции в развитието на C4I системите. Все по бързото развитие на ИТ и очакването, че C4I технологиите могат значително да повишат ефективността на различните операции ги правят ключов елемент в модернизацията на въоръжените сили и страната като цяло. Параметъра време с който се измерва прегреса на информационните технологии, компютри и комуникационни системи е месеци, а не години. Хардуерните технологии ще продължат да се развиват, като във все по-малки по обем чипове и все по-ниски като цена организациите ще побират все повече и повече изчислителна мощ и възможност за съхранение на информация. В най-общи линии развитието може да се разгледа в следните направления:
>> Компютри системи и технологии
Степента и скоростта на развитие на днешните компютърни технологии според закона на Мур е такава, че това което днес имаме като изчислителна мощ и обеми информация в стандартен компютър е едва 1% от това което ще имаме след едно десетилетие. Намаляването на физическите размери, консумацията на енергия и по-ниската цена ще доведе до разширена гъвкавост и скалиране на броя на приложенията на системно ниво. Ще се разработват все по-качествени и по широкообхватни софтуерни приложения. Ще стават достъпни все повече високо автоматизирани системи за подпомагане вземането на решение. Интелигентни агенти ще извършват търсене в огрмните масиви от данни, съхраняващи не само текстова, но и графична, звукова и друг тип информация. Очаква се и интерфейса човек-машина да е доста по-различен, включващ разпознаване на команди чрез говор, монитори с висока разделителна способност монтирани върху каските на войниците или вградени в защитните очила и всичко това с размери подходящи за носене във всякаква ситуация.
>> Комуникациионни системи
Развитието на ИТ и системите за контрол е в пряка връзка с развитието на комуникационните технологии (медии и устройства) които са напълно прозрачни за потребителите. Тези системи ще предоставят глобално покритие състоящо се от високо автоматизирани цифрови мрежи използващи, както военни, така и цивилни канали за предаване на данните. Настоящите и бъдещите разработки ще се фокусират върху интеграцията на услуги (глас, видео и данни) да бъдат доставяни на всички крайни потребители.
Ключови елементи за развитието на комуникационните системи като част от C4I системата са: внедраването на нови методи за компресиране на видео и данни и предаването на тази информация по линии с малка пропускателна способност; създаването на безжични глобални и локални мрежи с пакетна комутация чрез използването на мобилни базови станции; намаляване цената на оптичните преносни среди и увеличаване на разстоянието за предаване на сигалите; разработването на нови методи за модулация с цел по-ефективно използване на честотните ленти; въвеждане на т.нар. „софтуерно радио”; разработването на нов тип антени-многофункционални и работещи в множество честоти които да се използват (антените) както в комуникационните технологии така и в сензорните системи.
>> Сензори
Способностите на активните и пасивните многоспектрални високочувствителни сензорни системи във всички области (акустични, термални, електромагнитни, електрооптични, ядрени, биологични и химически) се очаква да се развиват с по-бвани темпове отколкото тези в стандартните информационни системи и технологии. С намаляването на физическите размери на сензорите те намират приложение във все повече сфери и възможности за вграждане в различни части от оборудването и/или екипировката - например интегрирането на GPS в системи за ранно предупреждение за откриване, безпилотни летателни средства и др.
>> Оръжия
Бъдещите оръжия ще имат интегрирана цифрова информационна подсистема (не само цифрова комуникационна система) която ще е напълно интегрирана с всички системи изграждащи C4I. Тази функционалност ще доведе до това, информацията, която има един отделен елемент (войник, сензор и т.н.) да бъде автоматично споделена с всички елементи на C4I (на всяко едно от нивата – тактическо, оперативно и стратегическо). Целите засечени от сензорните системи ще бъдат указвани на различни типове оръжия (ракети, самолети, кораби воиници на бойното поле). С времето използването на сензорите, комуникационните и информационните технологии ще даде възможност да се изгради единна система за мониторинг и контрол на всички елементи от бойното поле (войници, въоръжение и техника) даваща ни всичката необходима информация в точното време и на точното място. Например количеството снаряди, гориво, процента щети и др. за всеки танк, самолет и т.н.
Същност и съдържание на C4I системите
C4I системите са системи, интегриращи доктрини, процедури, организационни структури, личен състав, екипировка, технически и програмни средства за управление, комуникации и разузнаване, предназначени да поддържат ръководителите при подпомагане вземането на решение и управлението на организациите.

ОЦЕНКА НА РИСКА ЗА ИНФОРМАЦИОННАТА СИГУРНОСТ В IT СИСТЕМИТЕ ЗА СИГУРНОСТ И ОТБРАНА

3. Риск – определение и източници
3.1 Определение: Съгласно [10] рискът е „потенциална вреда която може да възникне с определена вероятност по време на даден процес или при някое бъдещо събитие”. В [7] се дефинира риска като „комбинация от вероятността за възникване на дадено събитие и последствията от него”. Всичко това означава, че за риска се говори катъо вероятност за възникване на неблагоприятно събитие което може да навреди на работата.

3.2 Източници на риска
Съществува множество различни източници които могат да нанесат удар върху нашите активи и по тази причина те да се определят като рискови. Такъв вид източник се нарича „заплаха”. Заплахата може да постави един или множество активи под риск. На фиг. 2 е показано как различни източници на заплаха могат да бъдат групирани в различни типове рискове [8,9].

Фиг. 2. Типове риск

Когато се управлява риска не се интересуваме какъв е типа на риска, а се стремим да защитим активите си от него, но в зависимост от типа на риска нашите решения могат да бъдат различни по своята същност как и с какво да защитим активите си. Групирането на заплахите ни позволява да разберем по-добре ситуацията в която се намира системата или в която е възможно да попадне.
С течение на времето риска се променя това зависи от:
- Навиците – преди известно време количеството на компютрите свързани към Internet беше доста по-малко в сравнение с днес. Използването на електронна поща става все по-масовия начин за комуникация както за частни така и за служебни съобщения. Това води до промяна на навиците на хората, а от там и до промяна на риска свързан с използването на електронната поща;
- Депериметризация – друго направление което влияе върху риска е известно под термина „депериметризация”. Преди няколко години всяка мрежа трябваше да има защитна стена и всичко беше добре, но днес вече нещата се промениха. Съществуването на нашето общество е базирано на потока от информация. Тази информация постоянно се предава от един абонат на друг, като през това време влиза или напуска дадени мрежи по целия свят. Основният проблем е, че такъв тип информация не може да бъде защитена от обикновенна защитна стена поради факта, че тя не „стои” на едно място а постоянно е в „движение”;
- Регулиране – законите и правилата се изменят постоянно. С промяна на правилата изискванията за системите също се променят, така че да отговарят пълноценно на новите правила. Несъобразяването с новите законови рамки и правила може да увеличи многократно риска за дадена организация или система.

4. Основни понятия използвани при оценака на риска.
Актив – всяко реално или персонално свойство, осезаемо или неосезаемо, което организацията или отделен човек притежава и което може да бъде оценено с парична стойност. Неосезаемите свойства включват неща като доброжелатество, авторски права и др. Много често при анализа на риска хората се тълкуват и включват в понятието актив.
Важност – вторичният резултат следващ определено действие или решение. От гледна точка на сигурността това са цена, загуба или разрушение.
Ценови анализ/Анализ на ползите – процес на планиране пряко свързан с взетото решение за запазване на активите. Това е системен опит за измерване и анализ на стойността на всички ползи които произхождат от определени разходи. В най-бщият случай този процес включва следните етапи:
1. Идентификация на всички директни и индиректни последствия от направените разходи;
2. Определяне на парично изражение за всички цени и ползи получени в резултат от направените разходи;
3. Намаляване на очакваните бъдещи разходи;

Събития – нещо което се случва и е необходимо да му се обърне внимание. В контекста на сигурността най-често това са инциденти в сигурността, аларми, медицинска бърза помощ и др.
Природни бедствия – бедствия които обикновенно са свързани с големи щети, загуби или разрушения. Например урагани, земетресения, торнадо и др.
Вероятност – шанса или в някой случаи математическото очакване да се случи дадено събитие.

Правителствените цели свързани с информационниte системи и защитата на информацията могат да се разделят в следите категории [4,5,6]:
- Интегритет (цялостност);
- Наличност;

- Конфиденциалност (тайна);

- Съгласие;

- Увереност;
- Политики и организация;
- Риск;
- Определяне на правила;
- Сертификация.

За достигане на тези цели се използват следните принципи:
Управлението на риска за информационните активи е основа за избора и внедряването на защитните технологии;
Защитните технологии се имплементират и работят, като част от цялата C4I система;
Сумата от използваните защитни механизми и технологии трябва да е съразмерна с риска за информационните активи.
Процеса свързан с анализа и оценката на риска за C4I системите включва следните етапи [5]:
1. Определяне на активите и ценностите за системата (организацията).
2. Анализ и определяне на възможните събития свързани със сигурността на информацията.
3. На базата на анализа определяне честотата с която е възможно възникване на дадено събитие или последователност от събития.
4. Определяне динамиката на събитието – как то протича в системата.
5. Оценка на възможностите на системата за намаляване на последствията от всяко едно събитие поотделно и като последователност от такива.
6. Определяне на осъществимостта на определените в т.5 възможности.
7. Анализ на ползите/Ценови анализ.
8. Вземане на решение.
Целият описан процес е показан на фиг.3


Фиг. 3 Процес на анализ и оценка на риска за C4I системи

При анализа на риска е необходимо да се обърне внимание и на следните аспекти:
Елементи – обекти (физически или виртуални) които са взаимно свързани. По този начин както активите, така и заплахите се разглеждат като елемент. Заплахите и активите също са взимосвързани и образуват т.нар. уязвимост. Всеки елемент може да има един или няколко фактора които го определят.
Фактори – съществува едно основно правило което гласи: „Всичко което може да бъде измерено може да бъде управлявано”. Факторите са цифрова информация за елементите които ги измерват и подпомагат управлението [8,9].
Методологии – съществуват две методологии за анализа на риска: качествена и количествена. В зависимост от поставените цели може да се използва едната или другата, а така също и тяхната комбинация.
Всяка система съдържа основни елементи и такива които подпомагат основните на фиг.4 е дадена примерна схема на основните елементи.


Фиг.4 Примерна схема на основните елементи в C4I система

Важен фактор оказващ влияние при анализа на риска е връзката и взимоотношенията между основните елементи в системата и ефекта който тези връзки оказват върху елементите. На фиг. 5 е показана примерна схема на взаимовръзките между основните елементи в C4I система.

На фиг. 5 Примерна схема на взаимовръзките между основните елементи в C4I система.

Освен основни елементи всяка една система се състои и от допълнителни (спомагащи) елементи. Тези допълнителни елементи могат да бъдат общи и персонализирани. Персонализирани означава, че този елемент се различава от останалите по определени показатели. Някой от персонализираните елементи са във взаимовръзка с основните елемнти с наименованието „връзка (отношение) от тип”. Това отношение дава допълнителна информация за персонализирания елемен на основния такъв. Много често при анализа на риска стойностите на персонализираните елементи се използват за по-прецизна оценка. На фиг. 6 е дадена принципна схема на връзките между обите и персонализираните елементи в C4I система.

Фиг. 6 Примерна схема на връзките между обите и персонализираните елементи в C4I система.

При анализа и оценка на риска в информационните системи за сигрност и отбрана е необходимо да се имат в предвид и бъдещите планове за развитие на системата, като се обръща внимание на следните основни направления:
- Наследяване – моделиране на взаимовръзката между елементите на системата и анализиране на наследените характеристики и рискове. На фиг. 7 е показана примерна схема на наследяване на активи.

Фиг. 7 Примерна схема на наследяване на активи

- Списъци за бърза проверка (checklists);
- Въпросници.

Елементите на оценка на риска се разделят на няколко групи:
- Основни елементи:
o Активи;
o Групи (типове) активи;
o Заплахи;
o Групи (типове) заплахи: Случайни; Преднамерени; Активни; Пасивни;
o Уязвимости;
o Цели;
o Стандарти;
o Изисквания;
o Списъци за бърза проверка;
o Въпросници.
- Персонализирани елементи:
o Оценки;
o Описи;
o Собственик и потребител;
o Обкръжение;
o Контрол;
o Риск;
o Списъци за бърза пороверка;
o Начини на проверка.
- Разпространение на информацията:
o Процедури за разпространение;
o Участващи страни.
Процеса на анализа на риска включва следните етапи и дейности (фиг. 8):
Събиране на данни – използват се описи, списъци, въпросници, обобщаване и калсификация на данните;
Анализ на заплахите – офицера по сигурността (ISO – Information Security Officer) определя заплахите които са свързани със системата и трябва да бъдат анализирани;
Анализ на уязвимостите – основавайки се на анализа на заплахите офицера по сигурността изготвя списък с възможните уязвимости;
Задържане (запазване) на риска – включва следните дейности - определяне на риска, оценка на риска, изчисляване на риска, като целта е да се опрдели кой е най-големият от тях за да се вземат адекватни мерки;

Фиг.8 Цикъл на оценка и анализа на риска на базата етапи

Справяне с риска – включва следните дейности – комуникиране с вземащите решение относно риска, наблюдение и преглед на състоянията на риска.

АРХИТЕКТУРА НА СИСТЕМА ЗА АНАЛИЗ И ОЦЕНКА НА РИСКА ЗА ИНФОРМАЦИОННАТА СИГУРНОСТ В КОМУНИКАЦИОННО- ИНФОРМАЦИОННИ СИСТЕМИ ЗА СИГУРНОСТ И ОТБРАНА
За да се направи по-пълна и всеобхватна оценка на риска на дадена комуникационно-информационна система за сигурност и отбрана е възможно да се използват различни подходи. Предлаганата информационна система която да извършва първоначален и моментен анализ на риска и да дава оценка за него съдържа следното:
- Дефиниране на активи - Определяне на активите и ценностите за комуникационно-информационната система от гледна точка на сигурност на информацията;
- Дефиниране на активните (възможните) заплахи за информационната сигурност (ИС) на комуникационно-информационната система (КИС);
- Дефиниране на уязвимостите в КИС;

На базата на дефинираните първоначални данни за системата, изграждащите я елементи, средата в която функционира и други нейни параметри се определят следните документи:
- Документиране на активите;
- Документиране на заплахите;
- Документиране на уязвимостите;

На базата на дефинираните уязвимости в системата (които зависят от активите й) се определят възможните рискове за информационната сигурност. На базата на така определените рискове за ИС се прави:
- Идентификация на риска;
- Оценка на риска;
- Изчисляване на риска.

Следващата стъпка е преминаване към определяне на мерките за защита на ИС и КИС като цяло; дефиниране на методите за контрол на тези мерки и на други параметри на системата (тайна, цялостност, наличност, живучест, надеждност и др.).
За правилното и детайлно описание на възможните рискове за ИС на КИС, техният анализ и оценка е необходимо да се създаде система с която да могат да се определят вероятностите за сбъдване на всеки опрделеен възможен риск. Елемента за определяне на въздействието от сбъдването на всеки един риск има субективен характер при първоначално създаване на това знание, но в бъдеще при натрупване на информация е възможно прилагане на експертен подход. С цел създаване на единен подход при анализа и оценка на риска за ИС на КИС е необходимо да се задават числа (стойности) на всеки риск. Възможният подход тук е подобен като този при определяне на въздействието.
Последният етап е т.нар „Изчисляване на риска” той включва като входни данни:
- Определените вероятности за всеки риск;
- Определеното въздействие на всеки риск върху всеки елемент на ИС и на КИС;
- Определените стойности за всеки риск.

Резултата от този етап е:
- Определяне на необходимите финансови средства за справяне или за намаляване последствията от всяко възможно събитие базирано на анализа и оценката на риска;
- Изготвяне на план за намаляване или справяне с всеки от заложените и определени рискове за ИС на КИС.

Като цяло се постига документиране на оценката на риска и документиране на необходимото въздействие
Описаната до тук архитектура на системата за анализ и оценка на риска за ИС на КИС е показана нан фиг. 1.

ЗАКЛЮЧЕНИЕ

Борбата за информационно превъзходство е ключов фактор в съвременната военно-политическа обстановка, предизвикан от необходимостта за добиване, надеждна защита и своевременен анализ на може би най-ценната “стока” на съвременността – информацията, в нейните четири вида – сигнали, данни, знание и култура. Приложението на съвременни информационни технологии и системи в управленския процес на войските и силите ще повиши количеството и качеството на информационния обмен, ще осигури необходимите средства и време за по-точен анализ на цялостния спектър от информация, необходима за вземане на решения от управленските екипи на различните нива в системата за командване и управление.
По своята същност разбирането за информационна сигурност е стратегически възглед за интересите на личността, обществото и държавата в информационната сфера, заплахите за тях и пътищата и средствата за защитата им.
Оценката на риска е важен елемент от процеса по управление на риска. Всички елементи в процеса на управление на риска са важни, оценката на риска дава основата за останалите елемнти от сикъла по управлението. В частност оценката ан риска предоставя базата за създаване на подходящи политики по сигурността и избора на ефективна от гледна точка на цената и ползите техника за имплементирането на тези политики. Докато риска и заплахите се изменят във времето от особена важност за организациите и техните системи е периодично преглеждат политиките си относно ефикасност и ефективност.
Анализа и оценката на риска за информационната сигурност в IT проектите на БА предоствят нови по същество данни необходими за цялостното изграждане. Анализирайки получените данни е необходимо да се отчетат всички новопоявили се изисквания по отношение на информационните и комуникационните системи в проекта и да се решат основните въпроси свързани с тайната, интегритета и наличността на информацията.

ЛИТЕРАТУРА
1. Семерджиев Ц., Информационна сигурност, София, Софттрейд, 2004.
2. Семерджиев Ц., Стратегически информационни системи, София, Софттрейд, 2007.
3. Семерджиев Ц., Управление на информационната сигурност, София, Софттрейд, 2007.
4. General Security Risk Assessment, ASIS INTERNATIONAL, 2003.
5. Information Security Guidelines, NSW Government Agencies, 2007.
6. Information Security Risk Assessment, United States General Accounting Office, 1999.
7. ISO73:2002, ISO/IEC (2002), Risk management. Vocabulary. Guidelines for use in standards.
8. Open Information Security Risk Assessment Guide, SOMAP, 2007.
9. Open Information Security Risk Management Handbook, SOMAP, 2006.
10. Wikipedia article about Risk. http://en.wikipedia.org/wiki/Risk.

X