ГОСТ Р ИСО/МЭК 27010-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности при обмене информацией между отраслями и организациями

Приложение B

(справочное)

 

ФОРМИРОВАНИЕ ДОВЕРИЯ ПРИ ОБМЕНЕ ИНФОРМАЦИЕЙ

 

B.1 Подтверждение доверия

Степень доверия получателя к полученному заявлению во многом определяется степенью доверия к источнику сообщения и доверием к сообщению самого источника.

Возможно, это лучше всего отражено в модели "5 на 5", используемой в правоохранительных и разведывательных сообществах:

- {A - E} степень доверия к источнику по убыванию;

- {1 - 5} степень доверия источника к информации по убыванию.

Таким образом, предполагается, что информация со степенью "A-1" будет полностью достоверной, тогда как информация "E-5", как правило, будет исключена.

Но, конечно, в реальном мире очень мало информации степени "A-1". Возможно, наиболее известным примером, когда предполагается, что как источник, так и информация полностью заслуживают доверия, но для которых следует ожидать случайных ошибок, является использование спутниковых навигационных систем на основе глобальной системы определения местоположения (GPS). Системные ошибки карт или планирования маршрута порой вводят в заблуждение, что приводит к неправильному направлению движения больших транспортных средств по узким дорогам, что часто служит предметом критики в прессе.

Еще одна проблема, связанная с подтверждением доверия - это риск ложного подтверждения. Существует естественная тенденция или основополагающее предположение о том, что неоднократное поступление одной и той же информации из разных источников подтверждает ее достоверность.

Это, в некоторой степени, конечно, верно, но такое доверие нельзя воспринимать слишком буквально. Математическая модель такого доверия не должна назначать один и тот же вес отдельным экземплярам.

B.2 Технологическая поддержка

B.2.1 Введение

В последнее время был разработан целый ряд технологий для поддержки доверия к информации, предоставляемой в электронном виде неизвестными или незнакомыми субъектами. Такие технологии тесно связаны с понятием "Web 2.0" [3]. Web 2.0 - это не набор технологий, а скорее философия/концепция, относящаяся к социальным сетям и включающая такие идеи, как использование Интернета в качестве платформы, использование коллективного интеллекта, совместное создание контента пользователями, социально направленное использование Интернета и т.д. Два аспекта Web 2.0 имеют особое значение для настоящего стандарта:

- псевдо-анонимность;

- системы репутации, также названные механизмами репутации.

B.2.2 Анонимность и псевдоанонимность

Источники и получатели информации могут стремиться к сохранению анонимности в силу разнообразных причин. Реально достижимый уровень анонимности зависит от понимания общих условий обмена сообщениями, не всегда доступного всем участникам в больших децентрализованных системах. Во многих случаях условия обмена сообщениями могут изменяться с течением времени.

В общем случае понятие анонимности может быть сведено к понятию несвязанности, когда наличие связей между интересующими нас предметами невозможно выявить с помощью наблюдений, связи между ними выглядят точно так же, как они выглядели исходя из априорных знаний.

Анонимность отношений подразумевает определенную степень невозможности отследить, кто с кем общается. Таким образом, невозможно связать отправителя с получателем или получателями.

Невидимость обеспечивает невозможность проследить отправление и получение.

Невидимость отношений означает, что невозможно увидеть связь между отправителем и получателем.

Использование псевдонима подразумевает замену имени человека и других идентифицирующих характеристик ярлыком, чтобы предотвратить идентификацию субъекта или, по крайней мере, существенно затруднить такую идентификацию. Использование псевдонима является состоянием использования псевдонима в качестве идентификационной метки.

Что касается степени связности, возможны различные типы псевдонимов:

a) Псевдоним лица: псевдоним лица является заменой имени владельца, которое считается представлением его личности. Он может быть использован во всех контекстах. Примерами такого псевдонима являются номер удостоверения личности, номер социального страхования, ДНК, псевдоним актера или номер мобильного телефона.

b) Псевдоним роли: использование псевдонимов роли ограничено конкретными ролями, например, псевдонимом клиента или учетной записью в Интернете, используемой для многих экземпляров одной и той же роли "пользователь Интернета". Один и тот же псевдоним роли можно использовать с разными партнерами по общению.

c) Псевдоним отношений: для каждого партнера по общению используется свой псевдоним. Это означает, что разные партнеры по коммуникации не могут сказать, что они общаются с одним и тем же пользователем.

d) Псевдоним ролевых отношений: для каждой роли и для каждого коммуникационного партнера используется другой псевдоним ролевых отношений. Это означает, что партнер по связи не обязательно знает, принадлежат ли два псевдонима, используемых в разных ролях, одному и тому же владельцу. С другой стороны, два разных партнера по общению, которые взаимодействуют с пользователем в одной и той же роли, по одному лишь псевдониму не могут определить, является ли он одним и тем же пользователем.

Пример - Предположим, что источник информации регулярно использует имя "Wool" при передаче информации ограниченного доступа Бернштейну и "Touched" при передаче той же информации Вудворду. Затем Бернштейн получает информацию о новом предмете от "Deep Throat", а Вудворд от "Watergate". Бернштейн и Вудворд не знают, являются ли "Deep Throat" и "Watergate" одним и тем же человеком, а также не знают, является ли "Deep Throat" тем же человеком, что и "Wool" или "Touched", или и тем, и другим.

e) Псевдоним транзакции: для каждой транзакции используется псевдоним транзакции, который не связан ни с какими другими псевдонимами транзакции и, по меньшей мере, изначально не связан с псевдонимами любой другой транзакции, например, случайно сгенерированные номера транзакций для онлайн-банкинга. Таким образом, псевдонимы транзакций могут использоваться для обеспечения максимально возможной анонимности.

В общем, анонимность псевдонимов ролей и псевдонимов отношений сильнее, чем анонимность псевдонимов человека. Сила анонимности возрастает с применением псевдонимов ролевых отношений, использование которых ограничено одной и той же ролью и одинаковыми отношениями.

Чем меньше персональных данных владельца можно связать с псевдонимом, тем сильнее анонимность.

B.2.3 Механизмы репутации

Концепция механизма репутации лежит в основе многих социальных сетей и социальных сетей в Интернете. Механизмы репутации используются для фильтрации релевантной информации, и они становятся более актуальными с резким возрастанием количества и разнообразия информации.

Механизм репутации может быть определен как формализованный набор политик и процедур, используемых для вычисления рейтинга репутации человека на основе его прошлой деятельности. В онлайн-мире механизм репутации связан с идеей цифрового следа. Цифровые следы - это свидетельства деятельности в цифровой среде.

Кредитные отчеты и другие механизмы всегда предоставляли средства для количественной оценки репутации, но интересно сравнить веб-механизмы репутации (например, рейтинги интернет-аукционов) с традиционными кредитными отчетами. Осуществляя операции в Интернете (покупаем, продаем, одалживаем, погашаем), мы создаем цифровые данные. Эти данные собираются другими (например, агентствами кредитного рейтинга) и, хотя они принадлежат нам, агентство кредитного рейтинга "владеет" ими (и действительно, мы могли бы взимать плату за доступ к ним!).

Существуют более совершенные формы механизмов репутации, такие как механизм репутации eBay. Механизм eBay отличается от кредитного рейтинга тем, что он прозрачен. Каждый отзыв (в том числе и отрицательный отзыв) направляется тому, в отношении кого он сделан, что дает возможность для апелляции.

Механизм репутации может быть использован для повышения доверия за счет включения идей из более широких источников сообщества с помощью таких задач, как проверка новых источников информации, проверка источников контента, оповещения в реальном времени и таких, как поиск в Твиттере, оповещения Google, укрепление доверия из неизвестных источников, дополнение поиска внешними источниками, привнесение новых/внешних идей в доверенный домен совместного использования, прогнозирование возможностей и угроз из внешних источников и т.д. Однако многие современные технологии Web 2.0 (например, wikis) имеют ограничения для создания доверия, поскольку у них нет собственной надежной модели доверия.

B.3 Оценка достоверности информации

Концепции, лежащие в основе доверия, по своей сути носят субъективный, а не объективный характер, и как таковые не всегда поддаются механистическому представлению. Тем не менее, к этой проблеме может быть применен подход Парето [4]: решение, при котором большая часть желаемого результата может быть достигнута с относительно небольшим количеством усилий, хотя любая попытка усовершенствовать модель потребует непропорционально большего количества усилий.

Возможные компоненты такого подхода:

a) Создатели информации должны присвоить степень доверия к информации, которую они публикуют. Полезность этого подхода была подтверждена Центром по защите национальной инфраструктуры Соединенного Королевства, где он используется для автоматического профилирования и распространения предупреждающей информации среди различных сообществ по обмену информацией.

b) Вся информация должна быть четко идентифицирована с ее источником, в идеале с использованием структурированного формата данных.

c) Несмотря на концепцию идентификации источника, должна также поддерживаться анонимная отчетность, поскольку опыт в мире безопасности показывает, что обеспечение анонимности значительно увеличивает обмен информацией.

d) Для инкапсуляции содержания любой передаваемой информации используется концепция граничного объекта. Граничные объекты - это структурированные совокупности информации, которые имеют определенную степень взаимного признания в интересующем сообществе и, как таковые, обеспечивают связь через языковые и доменные границы. Успех таких инициатив, как нотация Mitre Common Vulnerability Enumeration (CVE), частично объясняется их фактическим принятием в качестве таких граничных объектов.

 

 

W.n - оценка достоверности информации в сообщении

со стороны отправителя

W.n' - оценка достоверности информации в сообщении

со стороны получателя

 

Рисунок B.1 - Оценка степени достоверности

содержимого сообщения

 

e) Как отправитель, так и получатель доверенного информационного обмена должны оценить, поддерживается ли и сколько раз подтверждается информацией ранее полученный контент. Хотя для этой цели имеется автоматический анализ информации, все же следует признать, что автоматический анализ сообщений для таких целей в рамках современного уровня техники ненадежен. Чтобы свести к минимуму риски ложного подтверждения, к количеству предыдущих подтверждений нужно применить функцию кумулятивного распределения убывающей доходности, что, следовательно, будет означать, что взвешенное значение дополнительной информации уменьшается с увеличением счетчика.

f) Для защиты от распространения "легенд" в качестве полезной информации источник или получатель должны присвоить информации флаг независимого подтверждения. Это закрепляет дальнейшую степень критического скептицизма в отношении полученной информации.

g) Получатели информации должны присвоить источнику субъективную оценку, основываясь на принципах модели "5 на 5" (см. B.1).

Такие критерии, соответствующим образом взвешенные, могут позволить участникам сообщества по обмену информацией количественно оценить доверие, которое они могут и должны оказывать информации, которую они получают от других членов сообщества. Это представлено наглядно на рисунке B.1, приведенном выше.