Соу-н нкау 0060: 2010
Вид материала | Документы |
- План дій щодо впровадження вимог стандартів інформаційної безпеки соу н нбу 65. 1 Суіб, 154.72kb.
- Інструкція з діловодства в Національному космічному агентстві України Загальні положення, 984.76kb.
- Програма вступного іспиту в аспірантуру ітм нану І нкау зі спеціальності 01. 02., 61.88kb.
- А. А. Гордиенко С. Н. Еремин Е. А. Тюгашев, 4744.24kb.
- Системы обнаружения утечек из трубопроводов, 170.88kb.
- Лицензия турагента: ав 157766 Донецкая обл г. Краматорск ул. Шкадинова,, 311.56kb.
- Киева каскад 4-6 (в период с 01. 04. 10-31. 10. 10), 280.34kb.
- "Скандинавская сказка" Стоимость тура: 895 евро + виза + каюта (100 евро 4-местная;, 158.66kb.
- Стандарт житлово-комунального господарства україни житлові будинки збірник укрупнених, 1491.89kb.
- Стандарт житлово-комунального господарства україни житлові будинки збірник укрупнених, 1471.01kb.
4 ПОЗНАКИ ТА СКОРОЧЕННЯ
У цій настанові застосовано такі скорочення:
АЕС | – | атомні електричні станції |
АМР | – | адаптивне мажоритарне резервування |
ДВ | – | дефекти взаємодії |
ДP | – | дефекти розроблення або проектування |
ДФ | – | дефекти фізичні |
ІТС | – | інформаційно-технічний стан |
ІКС | – | інформаційно-керуюча система |
КС | – | космічна система |
НБС | – | непрацездатний безпечний стан |
НІТС | – | непрацездатний інформаційно-технічний стан |
НС | – | небезпечний стан |
НТС | – | непрацездатний технічний стан |
ОКУ | – | об’єкт контролю та управління |
ПЗ | – | програмне забезпечення |
ПК | – | підсистема контролю |
ПНС | – | повністю непрацездатний стан |
ПС | – | працездатний стан |
ПТК | – | програмно-технічний комплекс |
ПТК КП | – | програмно-технічний комплекс критичного призначення |
ПУ | – | підсистема управління |
ССБ | – | структурна схема безпеки |
ССЖ | – | структурна схема живучості |
ССН | – | структурна схема надійності |
ЧП | – | частково працездатний стан |
5 ГАРАНТОЗДАТНІСТЬ ПРОГРАМНО-ТЕХНІЧНИХ КОМПЛЕКСІВ КРИТИЧНОГО ПРИЗНАЧЕННЯ
5.1 Таксономічна схема гарантоздатності
5.1.1 Гарантоздатність та її складові влвстивості
5.1.1.1 Гарантоздатність та її складові властивості необхідно розглядати стосовно програмно-технічних комплексів різних типів, включаючи бортові, наземні інформаційно-обчислювальні та керуючі системи, комп'ютерні мережі, системи розподіленого оброблення інформації тощо. Гарантоздатність програмно-технічного комплексу (ПТК) базується на результатах аналізу науково-технічних робіт і стандартів, наведених у бібліографії (додаток В). Стани, події та властивості визначають у термінах послуг, які надаються ПТК та ІКС на їхній основі.
5.1.1.2 Гарантоздатність – це комплексна властивость системи надавати необхідні послуги, яким можна оправдано довіряти.
Гарантоздатність включає:
– безвідмовність (reliability) – властивість надавати коректні (необхідні) послуги впродовж заданого часу;
– готовність (availability) – властивість доступності ресурсів для надання необхідних послуг;
– обслуговуваність (maintainability) – властивість пристосовуватись до модифікацій, обслуговування та ремонту;
– живучість (survivability) – властивість мінімізувати зниження працездатності та зберігати в прийнятних межах обсяг та якість надаваних послуг у разі відмов, обумовлених зовнішніми впливами різної природи;
– функціональна безпека (safety) – властивість виключати або мінімізувати шкідливі (включаючи катастрофічні) наслідки у разі відмов для користувачів, інших систем або навколишнього середовища;
– цілісність (integrity) – властивість виключати непередбачені зміни даних, системи та надаваних послуг;
–конфіденційність (confidentiality) – властивість перешкоджати неавторизованому доступу до інформації обмеженого доступу;
– вірогідність (high confidence, trustworthiness) – властивість правильно оцінювати коректність наданих послуг, тобто визначати ступінь довіри до послуги.
5.1.2 Первинні та вторинні властивості. Взаємозв’язок властивостей
5.1.2.1 Таксономічну схему гарантоздатності наведено на рис. 5.1. Схема включає:
– властивості, що складають гарантоздатність. Властивості, що складають гарантоздатність відповідно до 5.1.1.2, є первинними;
– загрози (дефекти, помилки, вразливості, втручання, відмови тощо), що призводять до порушення працездатності;
– відмовостійкість, яка є ключовим механізмом забезпечення гарантоздатності та парирування загроз;
– вторинні властивості, які є похідними від первинних властивостей і деталізують їх зміст;
– зв’язки між цими поняттями.
5.1.2.2 Для кожної з первинних властивостей, відповідно до типу системи та вимог до неї, визначають вторинні властивості. Наприклад, для обслуговуваності такими є ремонтопридатність (repairability), контролепридатність (checkability) тощо. При цьому вторинні та подальші властивості можуть бути спільними для різних первинних властивостей.
5.1.2.3 Потрібно ураховувати такі особливості таксономічної схеми (рис. 5.1) та її елементів:
– у визначенні гарантоздатності обов'язковим є термін «необхідні», тобто специфіковані послуги (функції), оскільки без цього розмиваються межі властивості;
– включення властивостей конфіденційності, живучості та вірогідності як складових гарантоздатності залежить від призначення і специфіки використання КС;
– якщо не дозволено доступ до інформації обмеженого доступу, яку надає система, гарантоздатність повинна включати конфіденційність як обов'язкову властивість;
– якщо дозволено деградацію (зниження) обсягу та якості послуг, що надаються, живучість для таких КС повинна розглядатися як частина гарантоздатності;
– до первинних властивостей гарантоздатності доцільно включити вірогідність, тому що її ознакою є необхідність «…оправдано довіряти» послугам, що надаються (та функціям, що виконуються) (5.1.1.2);
– гарантоздатність та інформаційна безпека (security) мають загальні властивості (цілісність і конфіденційність) та специфічні (для безпеки – це автентичність) Включення готовності до числа таких специфічних властивостей безпеки не є необхідним, тому що вона має самостійний характер, хоча й залежить від рівня інформаційної безпеки;
– властивість «готовність» не розглядалася в ДСТУ 2860 та міжнародних стандартах як первинна властивість надійності та могла в їхніх рамках представлятися як сукупність властивостей безвідмовності і ремонтопридатності;
– відмовостійкість (fault tolerance) не розглядається як властивість гарантоздатності, а визначається як механізм та засоби, що забезпечують інші властивості гарантоздатності, оскільки за їх допомогою повинні забезпечуватися (підвищуватися) як безвідмовність, так і готовність, безпека, живучість.
5.1.2.4 Властивості гарантоздатності пов’язані між собою і використання засобів підвищення показників однієї властивості може покращувати або погіршувати показники іншої властивості. Наприклад, використання засобів покращення безвідмовності та цілісності покращує показники готовності, а забезпечення вірогідності, інформаційної та функціональної безпеки може призвести до зниження рівня безвідмовності.
5.2 Інформаційно-технічний стан
5.2.1 Дефекти та уразливості, що призводять до порушення працездатності
5.2.1.1 Важливою частиною таксономії гарантоздатності є загрози (threats), які можуть призвести до ненадання послуг – невиконання функцій (рис. 5.1). Під час аналізування погроз необхідно враховувати, насамперед, дефекти або несправності (faults), які виникають з різних причин.
Множину дефектів, які класифікують за ознаками, поділяють на три групи:
– дефекти розроблення або проектування (ДP) (development or design faults);
– фізичні дефекти (ДФ) (physical faults);
– дефекти зовнішніх впливів (взаємодій) (ДВ) (interaction faults).
Перша з наведених груп характерна програмним засобам і виникає за певних умов (вхідних даних), друга – характерна для апаратних засобів і виникає внаслідок природних причин (наприклад, старіння елементів), третя є наслідком зовнішніх впливів (несанкціонованих втручань або інформаційних атак, помилок обслуговуючого персоналу, екстремальних впливів фізичного характеру), які можуть призводити до кратних відмов апаратних і програмних засобів.
5.2.1.2 Дефекти є причиною відмов ПТК. Відмови мають свою класифікацію дефектів, обумовлену, насамперед, їхніми наслідками. Ланцюжок подій, які мають місце для різних дефектів, такий:
– для ДР: помилкові дії або рішення під час розроблення системи призводять до внесення дефекту до проекту, що проявляється під час використання за певних умов і призводить до помилки в обчислювальному процесі; це, у свою чергу, викликає збій або відмову системи (у наданні послуги);
– для ДФ: внаслідок природних (внутрішніх) причин виникає фізичний дефект, що призводить до помилки в обчислювальному процесі, яка залежно від її характеру призводить до збою або відмови;
– для ДВ: внаслідок зовнішніх впливів інформаційного, фізичного або іншого характеру з'являється фізичний дефект або проявляється дефект розробки, що викликає помилку обчислювального процесу і у подальшому збій або відмову системи.
5.2.2 Множина технічних станів програмно-технічного комплексу
5.2.2.1 ПТК, у загальному випадку, може мати: (рис. 5.2) множину працездатних (безпечних) станів МSПС, множину частково працездатних (і безпечних) станів МSіЧП, (d – число допустимих рівнів деградації) і множину повністю непрацездатних станів МSПНС. Якщо d > 1, розглянута система має властивість живучості.
До складу МSПНС входять множини: непрацездатних безпечних станів МSНБС і небезпечних станів МSНС. При цьому, множину МSНС розглядають як множину функціонально небезпечних (аварійних) станів, а множини МSНБС і МSЧП поєднують функціонально безпечні стани.
Інформаційна безпека може забезпечуватися частково для множин МSЧП. З урахуванням можливих типів відмов через ДР, ДФ і ДВ система з вихідного справного стану S0 переходить у стани (підмножини станів) SДР, SДФ і SДВ відповідно. Якщо ці дефекти виникають, але не виявляються, система переходить у стани (підмножини станів) S'ДР, S'ДФ і S'ДВ.
5.2.2.2 За умов виявлення дефектів та їхнього парирування (усунення) система переходить у справний стан S0 у випадку, якщо це не пов'язано із включенням резервних ресурсів (апаратних, програмних) або використанням ресурсів, які не поповнюються (не можуть поповнюватися за умовами функціонування), і в такий спосіб залишається у просторі станів множини МSПС1. Ця множина може включати й інші стани, наприклад, пов'язані із профілактикою, відновленням ПТК тощо (на рис. 5.2 не наведено).
Можливий перехід системи зі станів множини МSПС1 у стани множини МSПСj, , викликаний зменшенням запасу ресурсів за умови збереження у повному обсязі її функціональності. У випадку поповнення ресурсів можливий зворотний перехід.
За умови неможливості збереження повної функціональності системи (рівня основних характеристик) після виникнення нових дефектів ДР, ДФ або ДВ відбувається перехід у стани з множини MSіЧП. Структура простору станів цієї множини аналогічна структурі МSПС.
Далі можуть здійснюватися переходи в стани SMSПНС (MSНБС, MSНС). Пунктиром позначені менш імовірні переходи, які можуть мати місце за умови виникнення кратних (однорідних і неоднорідних) дефектів або у випадку поповнення ресурсів, що забезпечує відновлення (перехід) на кілька рівнів «нагору». Ця модель станів і переходів є узагальненням моделі відмовобезпечних систем, оскільки враховує аспекти як функціональної, так і інформаційної безпеки.
5.2.3 Поняття про інформаційно-технічний стан
5.2.3.1 Інформаційно-технічний стан (ІТС) під час аналізування гарантоздатності є визначальним, оскільки акумулює її властивості та дозволяє з більш загальних позицій розглядати інші поняття.
Множина станів (справних – несправних, працездатних – частково працездатних – непрацездатних, безпечних – потенційно небезпечних –небезпечних або критичних) повинна розглядатися з урахуванням того, що переходи між ними можуть здійснюватися внаслідок не тільки виникнення або прояву ДР, ДФ, але й внаслідок дефектів взаємодії (interaction faults) ДВ, викликаних випадковими ненавмисними й навмисними зовнішніми впливами фізичної природи (механічними, електромагнітними, радіаційними) та інформаційними впливами (помилковими діями персоналу, хакерськими атаками, спамом тощо).
Якщо такі дефекти викликають перекручування інформації або несанкціонований доступ до неї (що заборонено за умовами її використання відповідно до технічного завдання), це повинно кваліфікуватися, як перехід системи у несправний, непрацездатний, частково працездатний або небезпечний стан, залежно від характеру та обсягу наслідків такого переходу.
Таким чином, ІТС – це сукупність властивостей та ознак як технічного, так і інформаційного характеру, про придатність системи у певний момент часу. Ця сукупність є більш розвинутою, ніж технічний стан, і повинна визначати критерії класифікації станів комп'ютерної (інформаційно-керуючої) системи з урахуванням моделі (рис. 5.2).
При цьому в ІТС реалізується у повному обсязі принцип доповнення – один з важливих принципів теорії систем, відповідно до якого стани ПТК та ІКС в цілому повинні розглядатися з урахуванням взаємодії із зовнішнім середовищем. Якщо внаслідок порушення конфіденційності зовнішня система одержала несанкціонований доступ до «внутрішньої» інформації ПТК, це повинно кваліфікуватися як перехід цієї системи в несправний (непрацездатний, небезпечний) інформаційно-технічний стан, а відповідна подія – як ушкодження, збій або відмова (часткова, повна небезпечна або безпечна).
5.2.3.2 Необхідність такого комплексного розгляду станів обумовлюється тим, що наявність одних дефектів створює умови для виникнення інших. Найбільш характерною є така залежність між дефектами проектування програмних засобів (ДР) і дефектами взаємодії інформаційного типу (ДВ), оскільки ДР можуть ставати причиною так званої уразливості (vulnerability) комп'ютерних систем, через які здійснюються несанкціоновані дії.
Спеціальні бази даних найпоширеніших програмних продуктів є підставою для оперативного розроблення та впровадження відповідних засобів захисту. Ця інформація повинна враховуватися під час розроблення гарантоздатних систем залежно від наявності та ступеня збігу можливих наслідків цілеспрямованого використання уразливостей та їхніх компонентів і під час вибору версій у випадку багатоверсійного проектування.
Поняття ІТС гармонізує поняття «надійність апаратних (технічних) засобів» і «надійність програмних засобів», оскільки дефекти проектування, якщо їх відносити тільки до програмного компонента, під час прояву призводять фактично до порушення саме інформаційної складової стану ПТК.
5.2.4 Зміна інформаційно-технічних станів
5.2.4.1 Система може перебувати в одному з восьми інформаційно-технічних станів, кількість яких визначається комбінацією трьох типів дефектів – ДФ, ДР, ДВ. Кожному стану і відповідній вершині графу станів (рис. 5.3) надають трирозрядний код ДФ, ДР, ДВ, який описує наявність відповідних дефектів (1 – дефект присутній, 0 – відсутній). Переходи на графі, на яких виникають два або три дефекти різних типів, показані пунктиром як менш імовірні.
SНТС
Рисунок 5.3 – Граф ІТС
5.2.4.2 Наявність (виникнення) ДФ призводить до непрацездатного технічного стану SНТС (100), а прояв ДР або виникнення ДВ – до непрацездатного інформаційного стану SНІТС (010, 001, 011).
Якщо стан системи характеризується порушенням справності як за технічною, так і інформаційної складовою, його кваліфікують як несправний (непрацездатний, небезпечний) інформаційно-технічний стан SНІТС. У множину SНІТС входять підмножини SНІТС1(101), SНІТС2(110), SНІТС3(111), залежно від комбінації дефектів ДР і ДВ, за наявності ДФ.
5.3 Методи забезпечення гарантоздатності
5.3.1 Відмовостійкість як механізм забезпечення властивостей гарантоздатності
5.3.1.1 Відповідно до таксономії, яку зображено на рис. 5.1, відмовостійкість є механізмом (засобом) забезпечення гарантоздатності. Він повинен базуватися на реалізації у повному або скороченому вигляді ланцюжка дій (операцій):
а) прогнозування (fault forecasting, Ff) можливості появи (прояву) дефекту і виникнення відмови внаслідок цього дефекту;
б) попередження (fault prevention, Fp) появи (прояву) дефекту і виникнення відмови;
в) виявлення (fault detection, Fd) появи (прояву) дефекту, помилки обчислень, відмови;
г) ідентифікації (fault diagnosis, Fi) причини, виду і місця дефекту (відмови);
д) парирування (fault tolerance Ft) наслідків дефекту і виникнення відмови. Ця остатня дія включає:
1) відключення (fault isolation, Fs) елементів (компонентів, модулів архітектури), які відмовили, і/або ізолювання перекрученої інформації;
2) реконфігурацію (fault removal, Fr) структури (архітектури) шляхом видалення компонента, який відмовив, з конфігурації та заміни його працездатним; реконфігурація може проводитися і для групи компонентів залежно від особливостей системи та відповідних засобів реконфігурування;
е) відновлення обчислювального процесу (fault recovery, Fc) шляхом формування правильної інформації або повернення до попередньої контрольної точки та продовження функціонування.
5.3.1.2 У таблиці 5.1 наведено певну відповідність між складовими (властивостями) гарантоздатності та операціями відмовостійкості (символом «+» позначено операції (засоби) відмовостійкості, які виконуються (вводяться в дію) для забезпечення відповідної властивості).
Таблиця 5.1 – Матриця відповідності властивостей гарантоздатності та операцій відмовостійкості
Складові властивості гарантоздатності | Операції (функції) відмовостійкості | | ||||||
Ff, прогно-зування | Fp, попере-дження | Fd, вияв-лення | Fi, іденти-фікація | Ft, пари-рування | Fs, від-клю-чення | Fr, реконфі-гурація | Fc, віднов-лення | |
Безвідмовність | | | + | | + | | | |
Готовність | | | + | + | | + | | + |
Обслуговуваність | + | + | + | + | | | + | |
Вірогідність | | | + | + | | | | |
Функціональна безпека | + | + | + | | + | + | + | |
Живучість | + | + | + | + | + | + | + | + |
Цілісність | + | + | + | | + | + | | + |
Конфіденційність | + | + | + | | + | | | |
Операції, наведені у таблиці 5.1, утворюють у часі цикл забезпечення відмовостійкості F та повинні виконуватися за послідовно-паралельною схемою (рис. 5.4), деякі елементи якої можуть бути або відсутні, або реалізовуватися сумісно у часі.
Ff
Fp
Fd
Fi
Ft
Fr
Fc
Fs
F
Рисунок 5.4 –Діаграма операцій відмовостійкості
5.3.1.3 Кожен з методів забезпечення відмовостійкості повинен бути проаналізований, виходячи з наявності та особливостей реалізації елементів множини MF = {Ff, Fp, Fd, Fi, Ft, Fs,Fr, Fc}.
У таблиці 5.2 наведено звичайне мажоритарне резервування «два з трьох» («2 з 3»), яке забезпечує відмовостійкість тільки за допомогою операції Ft; адаптивне мажоритарне резервування (АМР) – за допомогою операцій Fd (виявлення факту відмови другого каналу), Fi (ідентифікації працездатного каналу), Ft (парирування наслідків відмови першого, а потім і другого каналу), Fr (реконфігурації структури з мажоритарної – в одноканальну конфігурацію), FS (відновлення елементів після відмови), Fc (відновлення обчислювального процесу).
Максимально повною є процедура забезпечення відмовостійкості за умови реалізації АМР шляхом рейтингування каналів – обліком числа помилок у процесі функціонування, що дозволяє парирувати (Ft), а в деяких випадках (символ ±) і попереджати (Fp) виникнення відмов.