Оцінювання інформаційної безпеки систем на програмовній логіці з використанням кейсів: таксономія, нотація, концепція

Размещено на http://www.allbest.ru/

Оцінювання інформаційної безпеки систем на програмовній логіці з використанням кейсів: таксономія, нотація, концепція

Робота присвячена аспектам оцінювання безпеки інформаційно-керуючих систем, які використовують програмовну логіку як об'єкт реалізацій основних функцій. Для виявлення всіх розбіжностей в процесах оцінювання та забезпечення безпеки розглянуто процесно-продуктну модель оцінювання безпеки. Наведено порівняння існуючих кейсів безпеки. Запропонована модифікована таксономія оцінювання безпеки систем на програмовній логіці. Вона заснована на термінології, прийнятої в області функціональної та інформаційної безпеки, а також оцінювання з використанням кейсів. Модифікацію нотації здійснено в аспекті розробці алгоритмізації процесу прийняття рішень щодо запевнення безпеки, що дозволяє зменшити невизначеність оцінки. Представлено результати розробки концепції оцінювання інформаційної безпеки систем на програмовній логіці з використанням покращених кейсів запевнення інформаційної безпеки. Вона включає в себе нотацію, кейс-модель (покращений кейс запевнення інформаційної безпеки), яка заснована на представленій нотації, та кейс-технологію, в якості якої подається набір інструментів, послідовність дій і результат, представлений в формалізованому та доказовому вигляді.

Мотивація. Сучасні інформаційно-керуючі системи (ІКС), що використовуються в різних галузях людської діяльності, стикаються з більшою кількістю загроз та вразливостей, якими нехтували раніше. Інциденти, пов'язані з безпекою, можуть перерости в більш складні атаки з гіршими наслідками, ніж до того. Використання програмовної логіки (ПЛ), наприклад, у системах, важливих для безпеки, спричиняє певні ризики для забезпечення функціональної безпеки, як основної властивості таких систем, а також для інформаційної та кібербезпеки як підлеглих властивостей. Результати оцінки безпеки промислових ІКС в основному гуртуються на суб'єктивній оцінці експертного судження та не враховують всі особливості поширюваної технології ПЛ. У свою чергу, експерти повинні дотримуватися таких основних принципів оцінювання: об'єктивність, неупередженість, повторюваність, відтворюваність, коректність, достатність, прийнятність. Висування таких вимог цілком природно, оскільки замовник експертизи повинен отримати певні запевнення в якості організації та проведення експертизи і валідності її результатів [1].

Цифрові активи знаходяться у формі інформації, яка зберігається, обробляється та передається продуктами на ПЛ відповідно до вимог, встановлених їх власниками. Власники інформації можуть вимагати, щоб наявність, розповсюдження та модифікація будь-якої такої інформації суворо контролювалася та щоб активи були захищені від загроз за допомогою контрзаходів. Важливою складовою оцінки безпеки ІКС є експертна оцінка рівня запевнення інформаційної безпеки. Така оцінка проводиться відповідно до вимог міжнародного стандарту ISO / IEC 15408 [2-3] і національного нормативного документа НД ТЗІ 2.5-004-99 [4].

Існуючі таксономічні схеми, на яких базується оцінка безпеки ІКС на ПЛ, не враховують у повному обсязі технологічні особливості систем такого роду [2], а також існуючі підходи до оцінювання безпеки з використанням кейсів [5-8].

Мета та задачі роботи. Метою роботи є розвиток таксономії, а також формалізмів, які використовуються при оцінюванні інформаційної та кібербезпеки з урахуванням особливостей оцінювання безпеки ІКС на ПЛ. В рамках поставленої мети потрібно вирішити наступні задачі:

- аналіз деяких існуючих таксономічних схем концепцій інформаційної безпеки, які використовуються щодо забезпечення інформаційної безпеки ІКС на предмет використання особливостей технологій ПЛ;

розробка таксономії понять для оцінювання інформаційної безпеки ІКС на ПЛ з використанням кейсів

- розробка модифікованої нотації для оцінювання інформаційної безпеки ІКС на ПЛ в аспекті її алгоритмізації для того, щоб вимоги об'єктивності і неупередженості результатів оцінювання забезпечувалися організацією процесу оцінки безпеки ІКС на ПЛ;

- розробка концепції оцінювання інформаційної безпеки систем на ПЛ з використанням покращених кейсів запевнення інформаційної безпеки (Advanced Security Assurance Case, ASAC [7; 9]).

Таксономія

У розглянутих таксономіях [2; 10; 12] основними концепціями є процес, продукт, вторгнення, невідповідність, розрив, аномалія, вразливість і атака. Процеси реалізуються за допомогою етапів розробки моделі життєвого циклу ІКС для отримання продуктів (систем на ПЛ). Також, продукти можуть бути вразливі до вторгнень (intrusions) різного типу. Результати реалізації процесів (тобто всіх активностей, що призводять до появи продукту, систем на ПЛ) можуть мати вплив на можливі послідовні зміни в процесах. Кожен процес містить активності і, у випадку відхилення від норми ("неідеальний процес"), вони можуть містити невідповідності (discrepancies) по відношенню до запланованого проектом рівня безпеки.

Таким чином, розрив (gap) визначається як набір невідповідностей одиничного процесу (який може містити підлеглі суб-процеси в свою чергу) в рамках життєвого циклу ІКС, який може ввести аномалії (anomalies) в продукт (систему на ПЛ). Невідповідності можуть бути внесені у процес людиною, технікою, чи засобом. Сегментом таких невідповідностей (пов'язаних із використанням невідповідного інструмента або введеним людиною, або через недолік використовуваних засобів тощо) і є розрив. Аномалії можуть біти представлені у вигляді вразливостей продукту, тобто ІКС на ПЛ. Зокрема, такі аномалії можуть бути викликані недоліками специфікації і нормативного профілю, використовуваного для розробки ІКС на ПЛ, некоректністю процесів верифікації, та/або іншими невідповідностями.

Для предметної області ІКС на ПЛ пропонується таксономія, що зображена на рис. 1. Вона заснована на термінології, прийнятій в області функціональної безпеки [12] та інформаційної безпеки [2], кейс-орієнтованих оцінок (кейс функціональної безпеки [5], кейс інформування функціональної безпеки інформаційною [6; 11-12], кейс довіри [13], кейс запевнення [14], покращений кейс запевнення інформаційної безпеки [7; 9]), що використовується при оцінці безпеки в ІКС на ПЛ.

Її відмінною особливістю є те, що терміни з цієї предметної області пов'язані між собою в єдину систему і здійснено семантичний опис зв'язку між ними. Ця таксономія не є суворою онтологією. На її основі може бути побудована онтологічна схема для вирішення різних завдань, однак це виходить за рамки даної статті.

Таксономія включає такі основні частини: Блок кейс-оцінювання, що містить нотації (GSN, CAE), які є математичною базою для кейс-технік, або видів кейсів (кейс функціональної безпеки, покращений кейс запевнення інформаційної безпеки, тощо), які, у свою чергу впливають на методи та засоби оцінювання рівня безпеки (функіцональної, інформаційної, тощо),

сумісного використання аналізу розривів (gap analysis) з аналізом видів, ефектів та критичності вторгнень (Intrusion Modes, Effects and Criticality Analysis, IMECA). На рис. 1 цей блок зображений як GAP- (X)ME(Y)A тому, що IMECA - окремий випадок аналізу видів та ефектів та вторгнень (Failure Modes and

Effects Analysis, FMEA). (X)ME(Y)A є узагальненням FMEA, де у якості X може бути Концепт (Concept), Дизайн (Design), Відмова (Failure), Вторгнення (Intrusion), Процес (Process), Продукт (Product), Програмне забезпечення (Software) та Система (System) та у якості Y може бути критичність (Criticality) та Діагностування (Diagnostic). Блок кейс-оцінювання формує результати для блоку GAP-(X)ME(Y)A, який, у свою чергу допомагає оцінити ризики невиконання вимог (невиконання контр-заходів для усунення негативних наслідків вторгнень, відмов, тощо). Вимоги аналізуються за допомогою кейс-оцінювання, який впливає на їх корекцію. Блок контрзаходів безпосередньо впливає на джерела загроз, що породжують загрози, які використовують вразливості, що викликають ризики у системі на ПЛ, яка функціонує в умовах загроз та має властивості безпеки (функціональної, інформаційної, тощо), яку, в свою чергу, допомагають оцінити методи та засоби з блоку кейс-оцінювання. Також, блок контрзаходів визначає набір заходів і коректує проект системи на ПЛ згідно з їх переліком, а система на ПЛ може стати причиною негативного впливу, який може бути попереджено своєчасним наданням інформації щодо контр-заходів.

До особливостей ПЛ (які можуть містити загрози та уразливості), можуть бути віднесені, наприклад, етапи життєвого циклу проектів на ПЛ, а саме: етап проектування кристала, етап виробництва і упаковки, етап розробки електронного проекту, що описує логіку для реалізації на кристалі, безпосередньо етап реалізації проекту на кристалі (конфігурування логічних елементів), етап експлуатації системи на ПЛ. Цей перелік не є вичерпаним. Більш детально етапи життєвого циклу проектів на програмовній логіці, зокрема, з використанням програмовних логічних інтегральних схем, наведені в [10].

У запропонованій таксономії одним з ключових моментів є формалізм, на якому будується оцінювання кібербезпеки ІКС на ПЛ.

Нотація

Нинішня практика використання кейсів безпеки використовує базовий підхід, розроблений британським філософом Тулміним С.Е. [15]. Аргументація Тулміна фокусується на верифікаційній функції, де твердження (claims) підтверджуються доказами (evidences), а також «ордером» («warrant») чи аргументом (argument), який пов'язує докази з твердженням. Існують варіанти цього базового підходу, які подають структуру тверджень графічно, наприклад, Нотація Структурування Цілі (Goal Structuring Notation або GSN) [17], чи Твердження-Аргументи-Свідоцтва (Claims-Arguments-Evidence або CAE [5; 18]).

Нажаль, жодна з систем аргументацій, яка використовується на практиці для побудови різних типів кейсів обмежується як засіб інструменту для формалізації вимог, але їх визначення слід посилити процедурою прийняття рішень щодо відповідності вимогам [7], тобто алгоритмом, який зможе використати як розробник ІКС на ПЛ, валідатор, так і власник системи такого роду згідно з міжнародними нормативними документами [2-3].

Базуючись на запропонованій таксономії, а також на отриманих раніше результатах [7; 9; 16], зокрема на: побудові покращеного кейсу запевнення інформаційної безпеки, особливостях сумісного життєвого циклу розробки функціонально та інформаційно-захищених систем на ПЛ та оцінювання безпеки таких систем з урахуванням технологій ПЛ, спільного використання аналізу розривів процесу проведенні аналізу кібербезпеки сумісно з аналізом видів, ефектів та критичності вторгнень (GAP- IMECA), далі у розділі пропонується модифікована формальна нотація для використання у покращеному кейсу запевнення інформаційної безпеки.

Початкова концепція аргументу запевнення, що була представлена у [19], як правило, є достатньо універсальною, для охоплення запропонованої кейс- техніки запевнення безпеки. Проте, результати оцінювання безпеки за наведеними аргументами, повинні бути симетричними за часом і експертами. Значна залежність від людей під час заходів з запевнення безпеки та подальшого застосування процедури запевнення (цільовою аудиторією ISO / IEC 15408) є небезпечною саме тому, що певні люди (експерти), стають вузьким місцем для будь-якого проекту чи рішення. Без жорсткого і строгого алгоритмічного процесу прийняття кожного рішення про відповідність вимогам, люди стають критичним ресурсом в будь-якій організації [7]. Втрата знань, відсутність узгодженості, професіоналізм, зрілість, нецільове використання артефактів, відсутність простежуваності може привести до проблем в підтримці кейсу [20]. Далі пропонується модифікація кейсу запевнення, запропонованого в [19], який початково складається з чотирьох елементів:

- Твердження (Claims) - заяви, що щось має певну властивість;

- Свідоцтво (Evidence) - емпіричні дані, на яких може бути засноване судження;

- Аргументація (Reasoning) - заяви, які об'єднуються разом для встановлення твердження;

- Зона допущення (Assumption Zone) - обмеження аргументу, коли претензії приймаються без доказів.

До вище перелічених елементів додається ще один:

- Техніка прийняття рішень (Decision Making Technique), що є підставою для прийняття рішення про відповідність.

Запропонована нотація та структура кейсу запевнення, для якої доданий новий елемент - алгоритм процесу оцінювання реалізованості вимог безпеки (техніка прийняття рішень з запевнення безпеки) модифікована саме для того, щоб довести, що докази пов'язаних властивостей відповідають певній вимозі, або твердженню про безпеку. Модифікована структура кейсу запевнення може бути використана як валідатором, експертом, розробником, так і власником системи на ПЛ для того, щоб виконати вимоги повторюваності і відтворюваності результатів оцінювання безпеки усіма сторонами. Алгоритмізація процесу прийняття рішень щодо запевнення безпеки дозволяє зменшити невизначеність оцінки.

Концепція оцінювання систем на програмовній логіці з використанням кейсів

Загальна концепція оцінювання систем на програмовній логіці з використанням кейсів представлена на рис. 2. Вона включає в себе нотацію, кейс-модель, що заснована на представленій нотації, та кейс-технологію (як набір інструментів, послідовність дій та результат, що представляється в формалізованому та доказовному вигляді).

Пропонується показник глибини деталізації та чіткості формулювання нефункціональних вимог до безпеки, який, на відміну від відомих, базується на класифікації вимог з урахуванням можливості їх декомпозиції до такого рівня, де єдиною відповіддю на запитання реалізовності вимогу будуть відповіді «так», чи «ні» без необхідності подальших комплексних перевірок свідоцтв реалізації і подальшої де-композиції вимог, а також наявності, типу і структури свідоцтв реалізовності вимог, і дозволяє оцінити граничні значення методичних похибок при оцінюванні та сформувати рекомендації щодо деталізації вимог.

інформаційний логіка безпека

Висновки

Проблема оцінювання і запевнення в безпеці ІКС на ПЛ, як і раніше, кидає виклик експертній спільноті в тому, що системи такого роду складаються зі складного взаємозв'язку компонентів з різною функціональністю та природою (наприклад, аналогові, цифрові); більшість ІКС критичного застосування реалізовані на основі ПЛ, що призводить до неможливості отримати об'єктивні результати оцінки безпеки без урахування особливостей гетерогенності проектів з використанням даної технології.

У статті наведено результати удосконалення таксономії оцінювання безпеки систем на програмовній логіці, яка базується на високорівневих концепціях інформаційної безпеки та їх взаємовідносинах, яка, на відміну від існуючої, включає в себе наступні елементи: концепцію оцінювання кібербезпеки за допомогою покращеного кейса запевнення інформаційної безпеки, особливості життєвого циклу розробки та оцінювання безпеки систем на програмовній логіці з урахуванням

технології ПЛ, спільне використання аналізу розривів процесу проведення аналізу кібербезпеки сумісно з аналізом видів, ефектів та критичності вторгнень у системи на програмованій логіці, що сумісно дозволяє підвищити достовірність оцінювання. Сумісне використання аналізу розривів з аналізом видів, ефектів та критичності вторгнень може бути застосовано у різних аспектах забезпечення безпеки ІКС на ПЛ, оскільки розглядається провесно-продуктна модель для виявлення всіх розбіжностей в процесах оцінювання та забезпечення безпеки, які можуть призвести до аномалій кінцевого продукту, тобто ІКС на ПЛ.

У якості напрямів подальшого розвитку потрібно зазначити детальний розвиток метрик глибини деталізації та чіткості формулювання вимог, які дозволять робити кількісне оцінювання безпеки, та необхідність урахування всіх особливостей ІКС на ПЛ, починаючи з життєвого циклу розробки, верифікації, оцінювання безпеки та закінчуючи аспектами утилізації систем такого роду

Список літератури

1.Потій О.В. Формальний опис процесу оцінювання гарантій інформаційної безпеки / О.В. Потій, Д.С. Комін // Вісник Академії митної служби України. Серія: “Технічні науки”. - 2011. - №2 (46). - C. 35-45.

2.ISO/IEC 15408-1:2009 Informational technology - Security techniques - Evaluation criteria for IT security - Part 1: In-troduction and general model (Інформаційна технологія. Техніки інформаційної безпеки. Оцінка критеріїв захищеності IT. Частина 1: Вступ та загальна модель).

3.ISO/IEC 15408-3:2008 Informational technology - Security techniques - Evaluation criteria for IT security - Part 3: Se¬curity assurance components (Інформаційна технологія. Техніки інформаційної безпеки. Оцінка критеріїв захищеності IT. Частина 1: Компоненти запевнення інформаційної безпеки).

4.НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого до-ступу. - Чинний від 28 квітня 1999 р. - Київ: ДСТСЗІ СБ України, 1999. - 60 с.

5.Bishop P.G. A Methodology for Safety Case Development / P.G. Bishop, R.E. Bloomfield // Redmill, F., Anderson, T. (eds.) Industrial Perspectives of Safety-critical Systems: Proceedings of the Sixth Safety-Critical Systems Symposium. Birming¬ham. Springer, London - 1998. - P. 194-203.

6.SESAMO|Security and Safety Modelling [Електронний ресурс]. - Режим доступу до ресурсу: http://sesamo- project.eu.

7.Illiashenko O. Advanced Security Assurance Case Based on ISO/IEC 15408 / O.Illiashenko, O. Potii, D. Komin // Ad-vances in Intelligent Systems and Computing. - 2015. - P. 391-401. https://doi.org/10.1007/978-3-319-19216-1_37.

8.ISO/IEC 15026-2:2011 Systems and software engineering -- Systems and software assurance Part 2: Assurance case (Інженерія систем та програмного забезпечення. Запевнення систем та програмного забезпечення. Частина 2: Кейс запе-внення).

9.Illiashenko O.A. Cybersecurity Case for FPGA-Based NPP Instrumentation and Control Systems / O.A. Illiashenko, Y.V. Broshevan, V.S. Kharchenko // 24th International Conference on Nuclear Engineering - 2016. - Volume 5: Student Paper Competition. ASME. 2016. -10 p. https://doi.org/10.1115/ICONE24-604.

10.Security of Safety Important I&C Systems, Nuclear Power Plant Instrumentation and Control Systems for Safety and Security: monography / Eds. M. Yastrebenetsky, V. Kharchenko. - IGI Global., 2014 -470 p. https://doi.org/10.4018/978-1- 4666-5133-3.

11.Bloomfield R. Security-Informed Safety: If It's Not Secure, It's Not Safe / R. Bloomfield, K. Netkachova, R. Stroud // Proceedingsof the 5th International Workshop SERENE 2013. Lecture Notes in Computer Science. - Springer-Verlag Berlin Heidelberg, 2013. - P. 17-32.

Размещено на Allbest.ru