РАЗРАБОТКА ПРОГРАММНОГО КОМПЛЕКСА ДЛЯ РЕШЕНИЯ ЗАДАЧИ ФОРМИРОВАНИЯ ПОДСИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КОРПОРАТИВНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА ОСНОВЕ МОДЕЛИ С ПОЛНЫМ ПЕРЕКРЫТИЕМ
ВВЕДЕНИЕ 3
1. ОПИСАНИЕ МОДЕЛЕЙ, УЧАСТВУЮЩИХ В РАЗРАБОТКЕ
ПРОГРАММНОГО КОМПЛЕКСА, РЕШАЮЩЕГО ЗАДАЧУ
ФОРМИРОВАНИЯ ПОДСИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
1.1. Модель системы безопасности с полным перекрытием
1.2. Математическая оптимизационная модель решения задачи на основе модели задачи о рюкзаке 8
1.3. Алгоритм решения задачи построения подсистемы защиты с максимальным покрытием 12
2. РАЗРАБОТКА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, С ПОМОЩЬЮ
КОТОРОГО РЕШАЕТСЯ ЗАДАЧА ПОСТРОЕНИЯ ПОДСИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
2.1. Общее описание приложения 14
2.2. Тестирование приложения 16
3. АНАЛИЗ ПОЛУЧЕННЫХ РЕЗУЛЬТАТОВ 18
3.1. Компромисс при принятии решения 18
ЗАКЛЮЧЕНИЕ 25
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 26
ПРИЛОЖЕНИЕ 27
Проблема обеспечения информационной безопасности в корпоративных информационных системах не перестает быть актуальной. Средства защиты, направленные на решение одной задачи обеспечения информационной безопасности, уже не предоставляют должную степень защищенности системы. Поэтому возникает необходимость в разработке таких подсистем защиты информации, которые включают в себя целый набор мер, направленных на обеспечение конфиденциальности, целостности и доступности информации.
При моделировании подсистем защиты информации применяются подходы, которые используют теорию нечетких множеств, теорию игр, нейронные сети, экспертные системы, теорию графов. Цель любого подхода - свести решение задачи к формальному алгоритму. Но какая бы теория или метод не применялись при моделировании, подсистема защиты информации должна удовлетворять принципам системности, комплексности, непрерывности защиты, простоты использования и разумной достаточности.
Разумная достаточность подразумевает компромисс между желанием обеспечить максимальную защищенность системы и нежеланием тратить на защиту большого количества ресурсов (финансовых или физических). В связи с этим разработка программного комплекса, позволяющего решать задачу формирования подсистемы защиты информации и обеспечивающего максимальную защищенность системы, не выходя при этом за рамки бюджета, является весьма важной.
Поэтому целью данной работы было создать программное обеспечение, которое бы решало задачу построения подсистемы защиты информации в корпоративных информационных системах на основе многоуровневой модели полного перекрытия.
Под построением понимается решение задачи многомерной оптимизации на основе модели задачи о рюкзаке. Из заданного множества механизмов защиты выбиралось такое подмножество, которое по суммарной стоимости предметов не превосходило фиксированной стоимости всего рюкзака, а по ценности предметов в нем обеспечивало максимальную защищенность информационной системы. Многомерность подразумевает наличие дополнительного ограничения на добавление в оптимальный набор тех механизмов защиты, которые принадлежат одному классу средств защиты.
Для реализации поставленной цели были рассмотрены следующие задачи:
1. изучить модель системы безопасности с полным перекрытием и ее свойства;
2. разработать математическую оптимизационную модель решения задачи построения подсистемы защиты с максимальным покрытием на основе модели задачи о рюкзаке и изучить методы ее решения;
3. сформулировать алгоритм решения задачи построения подсистемы защиты с максимальным покрытием;
4. разработать приложение для решения задачи построения подсистемы защиты информации;
5. осуществить тестирование разработанного приложения.
Результатом работы стало приложение, которое на основе данных, полученных от пользователя, и числовых показателей, таких как вероятность появления угрозы, оценка CVSS уязвимостей, стоимости тех или иных механизмов защиты и др., формирует оптимальный набор механизмов защиты. Разработанное приложение может выступать в качестве инструмента эксперта для формирования подсистемы защиты информации в корпоративной информационной системе.
Разработанное приложение достигает поставленную цель: решает задачу построения подсистемы защиты информации в корпоративных информационных системах на основе многоуровневой модели полного перекрытия.
Решение задачи осуществляется на основе вышеизложенной теоретической базы. Приложение, опираясь на данные, полученные от пользователя, из заданного множества механизмов защиты выбирает такое подмножество, которое по суммарной стоимости предметов не превосходит фиксированной величины, указанной пользователем, а по ценности предметов обеспечивает максимальную защищенность информационной системы.
При создании приложения были выполнены следующие задачи:
1. изучена модель системы безопасности с полным перекрытием и ее свойства;
2. разработана математическая оптимизационная модель решения задачи построения подсистемы защиты с максимальным покрытием на основе модели задачи о рюкзаке и изучены методы ее решения;
3. сформулирован алгоритм решения задачи построения подсистемы защиты с максимальным покрытием;
4. осуществлено тестирование разработанного приложения.
Результаты тестирования подтвердили комплексность формируемой подсистемы защиты при условии, что имеется достаточный бюджет на покупку механизмов защиты. В противном случае всегда остается риск, что те или иные угрозы и уязвимости не будут перекрыты. Приложение может выступать в качестве инструмента эксперта для формирования подсистемы защиты информации в корпоративных информационных системах.
1. Аверченков В.И., Рытов М.Ю., Гайнулин Т.Р. Оптимизация выбора состава средств инженерно-технической защиты информации на основе модели Клементса- Хофмана/ Вестник Брянского ГТУ, № 1,
2008. С. 61-67.
2. Беллман, Р. Прикладные задачи динамического программирования / Р. Беллман, С. Дрейфус; перевод с англ. Н. М. Митрофановой. — М.: Наука, 1965. — 460 с.
3. David Pisinger, Algorithms for Knapsack Problems. Dept. of Computer Science, University of the Copenhagen, Universitetsparken 1, DK-2100 Copenhagen, Denmark, February 1995, p. 200.
4. Методический документ «Методика определения угроз безопасности информации в информационных системах». - ФСТЭК России, 2015. - 43 с.
5. Common Vulnerability Scoring System v3.0: Specification Document, 21 p. https: //www. first. org/cvss/cvss-v30-specification-v 1.7. pdf
6. Банк данных угроз безопасности информации, ФСТЭК России, Государственный научно-исследовательский испытательный институт проблем технической защиты информации.http: //bdu.fstec.ru/threat
7. Аналитический Центр InfoWatch «Безопасность информации в корпоративных информационных системах. Внутренние угрозы», 2013. - 23 с.https://www.infowatch.ru/analytics/reports/4609
8. Берж К. Теория графов и ее применения. М.: Иностранная литература, 1962. - 319 с.
9. Кини Р.Л., Райфа Х. Принятие решений при многих критериях: предпочтения и замещения. - М.: Радио и связь, 1981. - 560 с.
10. Гилл Ф., Мюррей У., Райт М. Практическая оптимизация. Пер. с англ. - М.: Мир, 1985. - 509 с.