Понятиеугрозыбезопасностиинформации.

Ретроспективныйанализподходовкформированиюмножестваугроз

Подугрозойбезопасностиинформациибудемпониматьвозникновениетакогоявленияилисобытия,следствиемкоторогомогутбытьнегативныевоздействиянаинформацию:нарушениефизическойцелостности,логическойструктуры,несанкционированнаямодификация,несанкционированноеполучение,несанкционированноеразмножение.

Кнастоящемувремениспециалистамификсируетсяоченьбольшоеколичестворазноплановыхугрозразличногопроисхождения.Напротяжениивсегопериодасуществованияпроблемызащитыинформациипредпринималисьпопыткиклассифицироватьисточникиугрозбезопасностиинформацииисамиугрозысцельюдальнейшейстандартизациисредствиметодов,применяемыхдлязащиты.Различнымиавторамипредлагаетсяцелыйрядподходовктакойклассификации[3,7,13,14,21,42,43,44].При этомвкачествекритериевделениямножестваугрознаклассыиспользуютсявидыпорождаемыхопасностей,степеньзлогоумысла,источникипроявленияугрози т.д.Рассмотримэтиподходыболееподробно.

ВдостаточноизвестноймонографииЛ.Дж.Хофмана«Современныеметодызащитыинформации»[7]быливыделены5группразличныхугроз:хищениеносителей,запоминаниеиликопированиеинформации,несанкционированноеподключениекаппаратуре,несанкционированныйдоступкресурсамсистемы,перехватпобочныхизлученийинаводок.

Вкниге«ЗащитаинформациивперсональныхЭВМ»[13]предпринятапопыткаклассификацииугроз,причемвкачествекритерияклассификациивыбрантипсредства,спомощьюкоторогоможетбытьосуществленонесанкционированноеполучениеинформации.Авторамибыловыделенотритипасредств:человек,аппаратураипрограмма.Кгруппеугроз,вреализациикоторыхосновнуюроль

играетчеловек,отнесеныхищениеносителей,чтениеинформациисэкранадисплея,чтениеинформациисраспечаток;кгруппе,гдеосновнымсредствомвыступаетаппаратура,-подключениекустройствамиперехватизлучений;кгруппе,гдеосновнымсредствомявляетсяпрограмма,-несанкционированныйпрограммныйдоступ,программноедешифрованиезашифрованныхданных,программноекопированиеинформациис носителей.

Аналогичныйподходпредлагаетсяигруппойавторовучебныхпособийпозащитеинформацииотнесанкционированногодоступа[21,42].Имивыделенытрикласса:природные(стихийныебедствия,магнитныебури,радиоактивноеизлучение);технические(отключениеиликолебанияэлектропитания,отказыисбоиаппаратно-программныхсредств,электромагнитныеизлученияинаводки,утечкичерезканалысвязи);созданныелюдьми(непреднамеренныеипреднамеренныедействияразличныхкатегорийлиц).

ВруководящемдокументеГостехкомиссииРоссии[43]введенопонятиемоделинарушителявавтоматизированнойсистемеобработкиданных,причемвкачественарушителяздесьрассматриваетсясубъект,имеющийдоступкработесоштатнымисредствамисистемы.Нарушителиклассифицируютсяпоуровнювозможностей,предоставляемыхимштатнымисредствами.Вдокументевыделяютсячетыре уровняэтихвозможностей:

1) самыйнизкий-возможностизапусказадач(программ)изфиксированногонабора,реализующихзаранеепредусмотренныефункцииобработкиинформации;

2) первыйпромежуточный-дополнительнокпредыдущемупредусматриваетвозможностисозданияизапускасобственныхпрограммсновымифункциямиобработки информации;

3) второйпромежуточный-дополнительнокпредыдущемупредполагаетвозможностиуправленияфункционированиемсистемы,т.е.воздействиянабазовоепрограммноеобеспечениеинасоставиконфигурациюееоборудования;

4) самыйвысокий-определяетсявсемобъемомвозможностейлиц,осуществляющихпроектирование,реализациюиремонттехническихсредствсистемы,вплотьдовключениявсоставсистемысобственныхтехническихсредствсновымифункциямиобработкиинформации.

Предполагается,чтонарушительнасвоемуровнеявляетсяспециалистомвысшейквалификации,знаетвсеосистеме,втомчисле иосредствахзащиты.

Ещеодинвидисточниковугрозбезопасностиинформации,связанныйсеехищением,достаточноподробноклассифицированвмонографииС.П.Расторгуева«Программныеметодызащитыинформациивкомпьютерахисетях»[14].Авторвыделяетчетыреспособахищенияинформации:

1) поканалампобочныхэлектромагнитныхизлучений;

2) посредствомнегласногокопирования,причемвыделенодверазновидностикопирования:«ручное»(печатьсэкрананапринтериливыводизпамятинапринтерилиэкран)и«вирусное»(например,выводизпамятинапринтер,наэкранилипередачаинформациис помощьювстроеннойвкомпьютеррадиозакладки);

3) хищениеносителейинформации;

4) хищениеперсонального компьютера.

ВмонографииВ.А.Герасименко[3]введеныпонятиядестабилизирующихфакторов,источниковихпроявленияипричиннарушениязащищенностиинформации.Предложеныподходыкформированиюотносительнополныхмножествуказанныхпричиниприведенаструктураэтихмножествприменительнокнарушениюфизическойцелостностиинформацииинесанкционированномуееполучению.

ДостаточнодетальныйанализугрознесанкционированногополученияинформациипроведентакжевучебномпособииВ.Ю.Гайковичаи Д.В.Ершова[44],причемконцептуальныеподходыанализа перекликаютсясподходами,изложенными в[3].

Своеобразныйвидугрозпредставляютспециальныепрограммы,скрытноипреднамеренновнедряемыевразличныефункциональныепрограммныесистемы,которыепослеодногоилинесколькихзапусковразрушаютхранящуюсявнихинформациюи/илисовершаютдругиенедозволенныедействия.Кнастоящемувремениизвестнонесколькоразновидностейтакихпрограмм:электронные вирусы,компьютерныечерви,троянские кониидр.

Вредоносныепрограммыпредставляютдостаточнобольшуюопасностьдлясовременныхавтоматизированныхсистем.ДетальныйанализэтихугрозиметодовборьбыснимиприведенвучебномпособииБ.И.Скородумова[45]идр.

Нетрудновидеть,чтовпроцессеформированиямножестваугроздостаточночеткопроявиласьтенденцияпереходаотэмпирическихподходовксистемно-концептуальным,научнообоснованнымподходам.Вэтойсвязиинтереснойпредставляетсяклассификацияугрозбезопасностиинформациипоспособамихвозможногонегативного

воздействия.Такаяклассификацияпредусматриваетподразделениеугрознаинформационные,программно-математические,физическиеиорганизационные.

Информационныеугрозыреализуются ввиде:

нарушенияадресностиисвоевременностиинформационногообмена,противозаконногосбораииспользованияинформации;

осуществлениянесанкционированногодоступакинформационнымресурсамиих противоправногоиспользования;

хищенияинформационныхресурсовизбанковибазданных;нарушениятехнологииобработкиинформации.

Программно-математическиеугрозы реализуютсяввиде:внедренияваппаратныеипрограммныеизделиякомпонентов,

реализующихфункции,неописанныевдокументациинаэтиизделия;

разработкиираспространенияпрограмм,нарушающихнормальноефункционированиеинформационныхсистемилисистемзащитыинформации.

Физическиеугрозыреализуютсяввиде:

уничтожения,повреждения,радиоэлектронногоподавленияилиразрушениясредствисистемобработкиинформации,телекоммуникацииисвязи;

уничтожения,повреждения,разрушенияилихищениямашинныхидругихносителейинформации;

хищенияпрограммныхилиаппаратныхключейисредствкриптографическойзащитыинформации;

перехватаинформациивтехническихканалахсвязиителекоммуникационныхсистемах;

внедренияэлектронныхустройствперехватаинформациивтехническиесредствасвязиителекоммуникационныесистемы,атакжевслужебныепомещения;

перехвата,дешифрованияинавязыванияложнойинформациивсетяхпередачи данныхи линияхсвязи;

воздействиянапарольно-ключевыесистемызащитысредствобработкиипередачиинформации.

Организационныеугроз»реализуютсяввиде:

невыполнениятребованийзаконодательствавинформационнойсфере;

противоправнойзакупкинесовершенныхилиустаревшихинформационныхтехнологий,средствинформатизации,телекоммуникацииисвязи,

3.2.Системнаяклассификацияугрозбезопасностиинформации

Изпредыдущегоизложенияследует,чтонасегодняшнийденьпредложенцелыйрядподходовкклассификацииугрозбезопасностиинформации.Приэтомвкачествекритериевделениямножестваугрознаклассыавторыэтихподходовиспользуютвидыпорождаемыхопасностей,степеньзлогоумысла,источникипроявленияугрозит.д.Всемногообразиепредлагаемыхклассификацийспомощьюподходов,предложенныхВАГерасименко[3],наосновеметодовсистемногоанализаможетбытьсведенокнекоторойсистемнойклассификации,приведеннойвтабл.3.1.

Дадимкраткийкомментарийкиспользованнымвэтойтаблицепараметрамклассификации, ихзначениямисодержанию.

Видыугроз.Данныйпараметрявляетсяосновополагающим,определяющимцелевуюнаправленность защитыинформации.

Таблица3.1

Системнаяклассификацияугрозинформации

Параметрыклассификации	Значенияпараметров	Содержаниезначения
1. Видыугроз	1.1. Нарушениефизическойцелостности 1.2. Нарушениелогическойструктуры 1.3. Нарушениесодержания 1.4. Нарушениеконфиденциальности 1.5. Нарушение правасобственности	Уничтожение(искажение) Искаженияструктуры Несанкционированнаямодификация Несанкционированноеполучение Присвоениечужогоправа
2.Природапроисхождения	2.1. Случайные 2.2. Преднамеренная	ОтказыСбоиОшибки СтихийныебедствияПобочныевлияния Злоумышленныедействиялюдей

Параметрыклассификации	Значенияпараметров	Содержаниезначения
3.Предпосылкипоявленияугроз	3.1. Объективные 3.2. Субъективные	Количественнаянедостаточность элементовсистемы КачественнаянедостаточностьэлементовсистемыРазведорганыиностран ныхгосударствПромышленныйшпионажУголовныеэлементы Недобросовестныесотрудники
4.Источникиугроз	4.1. Люди 4.2. Техническиеустройства 4.3. Модели,алгоритмы,программы Технологическиесхемыобработки 4.5.Внешняясреда	ПосторонниелицаПользователиПерсоналРегистрацииПередачиХраненияПереработкиВыдачи ОбщегоназначенияПрикладныеВспомогательныеРучныеИнтерактивныеВнутримашинныеСетевые СостояниеатмосферыПобочныешумыПобочныесигналы

Содержаниезначенийэтогопараметраопределяетсяуровнем,накоторомпроисходитнегативноевоздействиенаинформацию.Ономожетиметьместонасинтаксическом,семантическомилипрагматическом уровне.

2.Происхождениеугроз.Втабл.3.1выделенодвазначенияданногопараметра:случайноеипреднамеренное.Приэтомподслучайнымпонимаетсятакоепроисхождениеугроз,котороеобу-

словливаетсяспонтаннымии независящимиотволилюдейобстоятельствами.Наиболееизвестнымисобытиямиданногопланаявляютсяотказы,сбои,ошибки,стихийныебедствияипобочныевлияния.Сущностьперечисленныхсобытий(кроместихийныхбедствий,сущностькоторых ясна)определяетсяследующимобразом:

а)отказ-нарушениеработоспособностикакого-либоэлементасистемы,приводящеекневозможностивыполненияимсвоихосновныхфункций;

б)сбой-временноенарушениеработоспособностикакого-либоэлементасистемы,следствиемчегоможетбытьнеправильноевыполнениеимвэтотмоментсвоей функции;

в)ошибка-неправильное(разовоеилисистематическое)выполнениеэлементомоднойилинесколькихфункций,происходящеевследствиеспецифического(постоянногоиливременного)егосостояния;

г)побочноевлияние-негативноевоздействиенасистемувцеломилиотдельныеееэлементы,оказываемоекакими-либоявлениями,происходящимивнутрисистемыиливовнешнейсреде.

Преднамеренноепроисхождениеугрозыобусловливаетсязлоумышленнымидействиямилюдей.

3.Предпосылкипоявленияугроз.Втабл.3.1выделеныдверазновидностипредпосылок:объективные(количественнаяиликачественнаянедостаточностьэлементовсистемы)и субъективные(деятельностьразведоргановиностранныхгосударств,промышленныйшпионаж,деятельностьуголовныхэлементов,преднамеренныеилинепреднамеренныедействиянедобросовестныхсотрудников).Перечисленныеразновидностипредпосылокинтерпретируютсяследующимобразом:

а)количественнаянедостаточность-физическаянехваткаодногоилинесколькихэлементовсистемы,вызывающаянарушениятехнологическогопроцессаобработкиинформацииили/иперегрузкуимеющихсяэлементов;

б)качественнаянедостаточность-несовершенствоорганизациисистемы, всилучегомогутпоявлятьсявозможностислучайногоилипреднамеренногонегативноговоздействиянаобрабатываемуюилихранимуюинформацию;

в)деятельностьразведоргановиностранныхгосударств-специальноорганизуемаядеятельностьгосударственныхорганов,профессиональноориентированныхнадобываниенеобходимойинформациивсемидоступнымиспособамиисредствами.Коснов-

нымвидамразведкиотносятсяагентурная(несанкционированнаядеятельностьпрофессиональныхразведчиков,завербованныхагентовитакназываемыхдоброжелателей)итехническая,включающаярадиоразведку(перехватрадиосредствамиинформации,циркулирующейврадиоканалахсистемсвязи),радиотехническую(регистрациюспецсредствамисигналов,излучаемыхтехническимисистемами)икосмическую(использованиекосмическихкораблейиискусственныхспутниковдлянаблюдениязатерриторией,еефотографирования,регистрациирадиосигналовиполученияполезнойинформациидругимидоступнымиспособами);

г)промышленныйшпионаж-негласнаядеятельностьорганизации(еепредставителей)подобываниюинформации,специальноохраняемойотнесанкционированнойутечкиилихищения,атакжепосозданиюдлясебяблагоприятныхусловийвцеляхполучениямаксимальныхвыгод(недобросовестнаяконкуренция);

д)злоумышленныедействияуголовныхэлементов-хищениеинформациииликомпьютерныхпрограммвцеляхнаживыилиихразрушениевинтересахконкурентов;

е)действиянедобросовестныхсотрудников-хищение(копирование)илиуничтожениеинформационныхмассивовили/ипрограммпоэгоистическимиликорыстныммотивам,атакжеврезультате несоблюденияустановленныхправилработы.

4.Источникиугроз.Подисточникомугрозпонимаетсянепосредственныйисполнительугрозывпланенегативноговоздействия наинформацию.

Нетрудновидеть,чтоисточникиугрозиформыихпроявленияпредопределяютвозможностиформированиямножествапричиннарушениязащищенностиинформациипокаждомуизаспектовзащиты,чтоколичественноможетбытьохарактеризованопоказателямиуязвимостиинформации.

3.3.Методыоценки уязвимостиинформации

Прирешениипрактическихзадачзащитыинформациипервостепенноезначениеимеетколичественнаяоценкаееуязвимости.Посколькувоздействиенаинформациюразличныхфактороввзначительноймереявляетсяслучайным,товкачествеколичественноймерыееуязвимостинаиболеецелесообразнопринятьвероятностьнарушениязащищенности(измененияважнейшиххарактеристик),атакжепотенциальновозможныеразмерыущерба,наносимоготакимнарушением.

Приэтомосновнымипараметрами,влияющиминавероятностьнарушениязащищенностиинформации,являются:количествоитипыструктурныхкомпонентовсистемыилиобъекта,количествоитипыслучайныхугроз,которыепотенциальномогутпроявитьсяврассматриваемыйпериодвремени,количествоитипы преднамеренныхугроз,которыемогутиметьместовтот жепериод,числоикатегориилиц,которыепотенциальномогутбытьнарушителямиустановленныхправилобработкиинформации,и,наконец,видызащищаемойинформации.Характер такоговлияниядостаточносложен,всвязисчемструктуризацияиоценкавероятностинарушениязащищенностипревращаютсявнеформальнуюзадачу,котораяможетрешатьсянаосновеметодологическогобазиса,изложенноговпредыдущейглаведанногоучебногопособия.

РазличныеподходыкструктуризациипоказателейзащищенностиинформациичерезформированиеполногомножествавозможныхКНПИподробноизложенывучебнике[31].Здесьжемыостановимсятольконаоценкеуязвимостиинформации,связаннойсдействиямизлоумышленников,таккаквэтойзадаченаиболеевыпуклопроявляетсямногорубежныйхарактерреализацииполитикизащитыилишнийразконцентрируетсявниманиенакомплексномхарактерепроблемы.

Известно,чтонесанкционированноеполучениеинформациивозможнонетолькопутемнепосредственногодоступакбазамданных,ноимногимидругимипутями,нетребующимитакогодоступа.Приэтомосновнуюопасностьпредставляютпреднамеренныедействиязлоумышленников.Воздействиеслучайныхфакторовсамопосебеневедеткнесанкционированномуполучениюинформации,онолишьспособствуетпоявлениюКНПИ,которымиможетвоспользоватьсязлоумышленник.

Территориальнопотенциальновозможныенесанкционированныедействиямогутиметьместовразличных зонах:

внешнейнеконтролируемойзоне-территориивокругобъекта,накоторойнеприменяютсяникакиесредстваинеосуществляютсяникакиемероприятиядлязащитыинформации;

зонеконтролируемойтерритории-территориивокругпомещений,гдерасположенысредстваобработкиинформации,котораянепрерывноконтролируетсяперсоналомилисоответствующимитехническимисредствами;

зонепомещений-внутреннегопространстватехпомещений,вкоторыхрасположенысредства обработкиинформации;

зонересурсов-частипомещений,откудавозможеннепосредственныйдоступ кресурсамсистемы;

зонебазданных-частиресурсовсистемы,изкоторыхвозможеннепосредственныйдоступкзащищаемымданным.

Приэтомдля несанкционированногополученияинформациинеобходимоодновременноенаступлениеследующихсобытий:

нарушитель долженполучитьдоступвсоответствующуюзону;вовремянахождениянарушителявзоневнейдолжен про

явиться(иметьместо)соответствующийКНПИ;

проявившийсяКНПИдолженбытьдоступеннарушителюсоответствующейкатегории;

вКНПИвмоментдоступакнемунарушителядолжнанаходитьсязащищаемаяинформация.

Попытаемсятеперьсучетомизложенноговывестиформулудляоценкиуязвимостиинформации.Дляэтоговведемследующиеобозначения:

-вероятностьдоступанарушителяk-йкатегориивI-юзону

I-гокомпонентасистемы;

- вероятностьналичия(проявления)j-гоКНПИвI-й зонеi-гокомпонентасистемы;

-вероятностьдоступанарушителяk-йкатегориикj-муКНПИвI-йзонеi-гокомпонентаприусловиидоступанарушителявзону;

-вероятностьналичиязащищаемой информации вj-мКНПИвI-йзоненокомпонентавмоментдоступатуданарушителя.

Тогдавероятностьнесанкционированногополученияинформациинарушителемk-йкатегориипоj-муКНПИвI-йзонеi-гоструктурногокомпонентасистемыопределитсяследующейзависимостью:

(3.1)

ВероятностьнесанкционированногополученияинформацииводномкомпонентесистемыоднимзлоумышленникомоднойкатегориипоодномуКНПИ,назовембазовымпоказателемуязвимостиинформации(сточкизрениянесанкционированногополучения).Сучетом(3.1)выражениедлябазовогопоказателябудетиметьследующий вид:

(3.2)

Рассчитанныетакимобразомбазовыепоказателиуязвимостисамипосебеимеютограниченноепрактическоезначение.Длярешениязадач,связанныхсразработкойиэксплуатациейсистемзащитыинформации,необходимызначенияпоказателейуязвимости,обобщенныепокакому-либоодномуиндексу(i,j,k)илипоихкомбинации.Рассмотримвозможныеподходыкопределениютакихчастичнообобщенныхпоказателей.

Пусть{К*}естьинтересующеенасподмножествоизполногомножествапотенциальновозможныхнарушителей.Тогдавероятностьнарушениязащищенностиинформацииуказаннымподмножествомнарушителейпоj-муфакторувi-мкомпонентесистемы(Pij{K*})определитсявыражением:

(3.3)

гдеk*означаетперемножениевыраженийвскобкахдлявсехk,

входящихвподмножество{К*}.

Аналогично,если{J*}естьподмножествопредставляющихинтересКНПИ,тоуязвимостьинформациивi-мкомпонентеподанномуподмножествуфакторовотносительноk-гонарушителяопределитсявыражением:

(3.4)

Наконец,если{I*}естьподмножествоинтересующихнасструктурныхкомпонентовсистемы,тоуязвимостьинформациивнихпоj-муКНПИотносительноk-гонарушителя

(3.5)

Каждоеизприведенныхвышевыраженийпозволяетпроизводитьобобщениепоодномукакому-либопараметру.Нетруднополучитьиобщеевыражение,еслинасинтересуютподмножества

{I*},{J*}и{К*}одновременно.Вэтомслучае

(3.6)

Очевидно,общийпоказательуязвимостиРопределяетсяпритакомподходевыражением

(3.7)

Напрактикенаибольшийинтереспредставляютэкстремальныепоказателиуязвимости,характеризующиенаиболеенеблагополучныеусловиязащищенностиинформации:самыйуязвимыйструктурныйкомпонентсистемы ,самыйопасныйКНПИ ,самаяопаснаякатегориянарушителей .

Аналогичнымобразомможетбытьпроведенаоценкауязвимостиинформацииивдругихслучаях,вчастностивслучаенарушенияцелостности.

Рассмотримдалееметодырасчетапоказателейуязвимостиинформациисучетоминтервалавремени,накоторомоцениваетсяуязвимость.Приэтомследуетучитывать,чточембольшеинтервалвремени,тембольшевозможностейунарушителейдлязлоумышленныхдействийитембольшевероятностьизменениясостояниясистемы иусловийобработкиинформации.

Можноопределитьтакиевременныеинтервалы(несводимыекточке),накоторыхпроцессы,связанныеснарушениемзащищенностиинформации,являлисьбыоднородными.Вучебнике[31]этиинтервалыназванымалыми.Такоймалыйинтервал,всвоюочередь,можетбытьразделеннаоченьмалыеинтервалы,уязвимостьинформациинакаждомизкоторыхопределяетсянезависимоотдругих.Приэтомвсилуоднородностипроисходящихпроцессовуязвимостьинформациинакаждомизвыделенныхоченьмалыхинтерваловбудетопределятьсяпооднойитойжезависимости.

Тогда,есличерез обозначитьинтересующийнаспоказатель

уязвимостивточке(наоченьмаломинтервале),ачерез -тотжепоказательнамаломинтервале,то

(3.8)

гдеt-переменныйиндексоченьмалыхинтервалов,накоторыеподеленмалыйинтервал;n-общеечислооченьмалыхинтервалов.

Нетрудновидеть,чторассмотренныйподходможнораспространитьинадругиеинтервалы,аименно:большойинтервалпредставитьнекоторойпоследовательностьюмалых,оченьболь-

шой-последовательностьюбольших,бесконечнобольшой-последовательностьюоченьбольших.

Однакоприведенныевыражениябудутсправедливымилишьвтомслучае,еслинавсемрассматриваемоминтервалевремениусловиядлянарушениязащищенностиинформацииостаютсянеизменными.Вдействительностиэтиусловиямогутизменяться,причемнаиболееважнымфакторомздесьявляетсяактивноедействиесамойсистемызащитыинформации.

ЖелающихболееподробноознакомитьсясоценкойуязвимостиинформациинаразличныхвременныхинтервалахмыотсылаемккнигеВ.А.Герасименко[3],вкоторойприведенрядмоделейопределениязначенийпоказателейуязвимостидлянаиболеераспространенныхтехнологическихмаршрутовобработкиинформации.

Здесьжемыобратимвниманиенато,чтововсехрассмотренныхнамивыражениях,структурирующихоценкууязвимостиинформации,присутствуютпоказатели,представляющиесобойвероятностиреализациитехилииныхсобытий.Значенияэтихпоказателейприотсутствии достаточногостатистическогоматериаламогутбытьполученытолькоэкспертнымпутемсиспользованием,например,описаннойвышетехнологииавтоформализациизнаний.Приэтомисключительноезначениеприобретаетоценкадостоверностиданных,опираясьнакоторыеэксперт-аналитикпринимаеттоилииноерешение.Всвязисэтимпредставляетсяцелесообразнымвопросоценкидостоверностирассмотретьсамостоятельно,посвятивемуспециальныйпараграфданнойглавы.

3.4.Методыоценкидостоверностиинформационнойбазымоделейпрогнозирования значенийпоказателейуязвимости

Информации

Определяющейкомпонентойобщегоалгоритмаработыэкспертаприрешениизадачиоценкиуязвимостиинформации(рис.3.1)являетсяформированиетакназываемойинтегрированнойбазыданных(ИБД),представляющейсобойвзаимосвязаннуюсовокупностьсобственнобазыданных(БД),базызнаний(БЗ)ибазымоделей (БМ).

Нетрудновидеть,чтоуказанныйалгоритмвотличиеотизвестногоалгоритмавычислительногоэкспериментасимитационноймодельюимеетпризнаки,характерныедлясамоорганизующихсясистем,ипозволяетэкспертуиспользовать данные,знания,объективныеисубъективныемоделидляанализаирешенияпоставлен-

Постановказадачи.Формированиезапроса.

Оценкановыхфрагментовзнаний

Новая информация

Базаданных

Базамоделей

Базазнаний

Вычислительныйэксперимент НФЗ

Ввести

НФЗ

полезен?

да

Интегрированнаябаза данных

да НФЗ

вИБД

принятиерешений

Рис.3.1.Общийалгоритмработыэксперта

нойпроблемыв условияхнедоопределенностиБДинеполнотыБЗ.Приэтомизвсехаспектов,связанныхссозданиемИБД,решающеезначениеприобретаетпроблемаоценкидостоверностивходящейвнее информации.

Определимдостоверностькак«уровеньразумнойуверенностивистинностинекоеговысказывания,которыйудовлетворяетнекоторымправиламнепротиворечивостиивсоответствиисэтимиправиламиформальноможетбыть выраженчислом»[46].

ИзвестныеподходыкрешениюпроблемыоценкидостоверностисвязанысприменениемтеоремыБайеса(вширокомсмысле)(см.[46])итеориинечеткихмножеств,наосновекоторыхвнастоящеевремяразработаныиприменяютсявэкспертныхсистемахпрактическиеспособыобъединениясвидетельств,регистрирующихкачественныеилогико-семантическиесвязимеждуфрагментамибазыданных.

Используяидеюбайесовскогоподхода,можнопоставитьвопросодостоверностифрагментовИБДвболееобщемплане,рассматриваялюбойеефрагменткакгипотезу,афрагментыскоторымионсвязан,каксвидетельстваотносительнофрагмента-гипотезы.ПодфрагментомИБДбудемпониматьчастьсодержанияилиструктуры,обладающуюсвойствомдискретностиинезависимости(видеалесодержащуюоднонезависимоепонятие),т.е. некоторую

совокупностьданныхиливысказываний,имеющуюсамостоятельныйсмысл.

Достоверность(Д)фрагмента,поступающеговИБД,зависитотдостоверностиисточникаинформациии методикиееполучения.КаждыйвновьпоступающийвИБДфрагмент(НФЗ-новыйфрагментзнаний)естьпара:

НФЗ=<3, Д>, (3.9)

где3-значениефрагмента;Д-достоверностьфрагмента.

Разделимфрагменты-свидетельстванаклассы:прямыесвидетельства(ПС);косвенныесвидетельства:условные(УС)исвязанные(СС).

Подпрямымисвидетельствамибудемпониматьфрагментытипаизмерениязначенияфрагмента-гипотезы.Онисоставляютвыборку,наоснованиикотороймогутбытьрассчитаныоценкизначенияфрагмента-гипотезы,ирегистрируют,восновном,статистическиесвязимеждуфрагментами.

Подусловнымисвидетельствамибудемпониматьфрагментытипа:«еслиАи/илиВ,тоСсдостоверностьюР».Сихпомощьюможнорегистрироватькачественныеэкспертныеоценки,логическиесвязимеждуфрагментамииаприорныезнанияофрагменте-гипотезе(условияприменениятогоилииногометода,условныефункциираспределенияит.п.).

Связанныесвидетельстварегистрируютфункциональныеилисистемныесвязимеждуфрагментом-гипотезойидругимифрагментами,т.е.структурунекоторойдостаточноавтономнойчастиИБД(формулы,модели ит.п.).

НФЗ,будучивключеннымвИБД,взаимодействуетсужесодержащимисявнейфрагментамиигипотезами,изменяякакихзначения,такидостоверности.ЭтареакциядостаточносложнаивызываетмодификациюзначенийидостоверностейвсехстарыхфрагментовИБД,такилииначесвязанныхсвновьпоступившимиНФЗ.Дляописанияпроцессамодификациивведемпонятиясистемногозначения(СЗ)исистемнойдостоверности(СД)фрагментаИБД,определяемых сучетомвсехсвидетельств,содержащихсявИБД.

Такимобразом,сучетомвведеннойклассификациипроблемаоценкидостоверностисводитсякразработкеметодовопределениявкачествеатрибутовфрагмента-гипотезыИБДсистемныхдостоверностейфрагментов,являющихсядляданногофрагмента-

гипотезысвидетельствами,атакжесистемнойдостоверностиданногофрагмента-гипотезы.

РассмотримвозможностьразработкиформальногоалгоритмамодификациифрагментаИБД,атакжеметодовобработкисвидетельств.

Длямодификациизначенияи достоверности фрагментаИБДприизменениисоставасвидетельствможноиспользоватьалгоритм,блок-схемакоторогоизображенанарис.3.2.Предполагается,чтофрагментыпредставлены вИБДввидетакназываемыхфреймов(элементовзнаний),которыевключаютвсвойсостав:

3-значениефрагментаприпоступлениивИБД;

Д-достоверностьфрагментаприпоступлениивИБД;

КПС -кортежпрямыхсвидетельствдляданногофрагмента;КУС-кортежусловныхсвидетельств;

КСС-кортежсвязанныхсвидетельств;

ПЗ,ПД-значениеидостоверностьфрагментасучетомвсехпрямыхсвидетельств;

УЗ,УД-значениеидостоверностьфрагментасучетомвсехусловныхсвидетельств;

СЗ,СД-системныезначениеи достоверностьфрагмента.Алгоритмработаетследующимобразом.

ВблокеП1(рис.3.2)формируютсяпараметрывыборкипрямыхсвидетельствинаихоснове-точечныеилиинтервальныеоценки(ПЗk,ПДk)параметровраспределениязначенияk-гофрагмента.

Правилаобработкипрямыхсвидетельств

Правилаобработкиусловныхсвидетельств

Правилаобработкисвязанныхсвидетельств

Рис.3.2.Блок-схема алгоритмавычислениясистемногозначенияисистемнойдостоверностифрагментаИБД

Этиоценкиприсваиваютсясоответствующимэлементамданногофрагмента,атакжеподаютсянавходблокаП2.

ВблокеП2вычисляютсяусловноезначениеиусловнаядостоверность(УЗk,Удk)k-гофрагментасучетомсостоянияусловийиограниченийблокаП2вданныймомент.ПолученныеУЗkиУДkприсваиваютсясоответствующимэлементамфрагментаиодновременноподаютсянавходблокаП3.ДообработкивыборкиможнопропуститьчерезблокП2каждоеПС.

ВблокеП3,УЗkиУДkрассматриваютсякакзначениеидостоверностьпоступившегоновогосвидетельстваидлякаждогосвязанногосвидетельства(модели,содержащейэтотфрагмент)уточняетсявекторсостояния,арезультатсноваподаетсянавходП2.Процессзаканчиваетсяпридостижениизаданногочислаитерацийилизаданнойточностиоценки.Новыесистемныеоценкиполучатзначениявсехфрагментов,являющихсясоставляющимивекторовсостояниймоделейблокаП3.ЗначенияС3kиСдkприсваиваютсясоответствующимэлементамданногофрагмента.

Очевиднаяпроблема,возникающаяприреализацииописанногоподхода,эторазрастаниечислафрагментов,вовлекаемыхвалгоритм,дочисласодержащихсявИБД,включаявсемодели.Чтобыееразрешить,необходимоограничитьчислосвязеймеждуфрагментами,регистрируятолькосамыесущественные.Вопросэтотрешаетсамэксперт.Какследствиепоявляютсявариантысистемнойдостоверности:

СДД-поКнаиболеедостовернымсвидетельствам;СДЦ-поКнаиболееценнымсвидетельствам;

СДП-поКпоследнимсвидетельствам.

Инымисловами,длякаждойконкретнойзадачинеобходимоактуализироватьсвоюопределеннуючастьИБД,т.е.уметьвыделитьнаиболеесущественныесвязиифрагменты(доминант-фрагменты),образующиеполевычислительногоэксперимента.Этопозволитнетолькоограничитьмножествофрагментовисвязей,ноиповыситнепротиворечивостьфрагментов,выделенныхизИБДдлярешенияконкретнойзадачи.

Рассмотримболееподробнометодыобработкисвидетельств,которыемогутбытьпримененывописанном алгоритмемодификации.

Прямыеиусловныесвидетельствамогутбытьпредварительноструктурированыв кубес осями"фрагмент-источник-время"(рис.3.3).Этоткубможнорассматриватькакмногоэтапнуюэкспертизуиприменитькнемуметодыобработкиэкспертныхоценок,рассматриваяисточникиинформациикакотдельныхэкспертов.

Рис.3.3.Представлениесвидетельствв видекуба:(фрагмент,время,источник,*-значениефрагмента)

Различныесечениякубапозволяютанализироватьразныесвойствасгруппированнойтакимобразом информации:

зависимостифрагментовФ1,...,ФkотисточниковинформацииИ1,...,Иnнанекоторыймоментвремени(статика);

зависимостифрагментовФ1,...,Фkотвременипосведениямизодного источника(динамика);

зависимостиодногофрагментаФiотвременипосведениямизразныхисточников(динамика).

Любыедостоверныеданные,поступившиевИБДиотносящиесякопределенномумоментувремени,рассматриваютсянаэтотмоменткакэталонные,всоответствиисчемнаэтотжемоментвременипересчитываютсяидостоверностиисточниковинформации.Этиметодытрадиционныдляэкспертныхсистем.

Вычисливпараметрывыборки,мы можем:

• назначить фрагменту-гипотезе значениеидостоверность;

• модифицироватьвсемфрагментам-ПСдостоверности,оставивихзначенияпрежними;

• модифицироватьдостоверностиисточниковинформации.

КромеметодаэкспертныхоценокдляобработкиПСиУСмогутбытьпримененыдругиедостаточнотрадиционныеметодытеориивероятностейиматематическойстатистики,авыборихзависитотналичияаприорнойинформацииобисследуемомобъекте.

Привыбореметодовобработкисвязанныхсвидетельств,необходимоисходитьизтого,чтотакимисвидетельствамиявляютсязаконыконкретнойпредметнойобластиипостроенныенаихосновемоделиисследуемыхсистемивнешнихсред.

Строямодель,фиксируявнейструктуруи параметрыисследуемогообъекта,анализируярезультатвычислительногоэкспериментаимодифицируявсоответствиисним,атакжевсоответствииспоступающимисвидетельствамифрагментыИБД,экспертформализуетсвоиинтуитивныепредставленияиличныйпрофессиональныйопыт.

Этотпроцесспостроениямоделейсамимэкспертомиихпостоянноймодификацииприпоявленииновойинформациииявляетсяописаннымвышепроцессомавтоформализациизнанийэксперта.Приэтом,начальныевариантымоделей,какправило,достаточнопросты,частолинейныилилинеаризованы.Основнаязадачанапервыхитерациях-обеспечитьпринципиальнуюправильностьиустойчивостьмодели.Однако,дляеедальнейшегоулучшенияочевиднонеобходиманализвсейвновьпоступающейинформацииовекторееесостояния,наоснованиикоторогоможнобылобымодифицироватьзначенияидостоверностифрагментовмодели,устранитьв нейструктурные ипараметрические неопределенности.

Понятныйидостаточноуниверсальныйалгоритммодификациизначенияидостоверностивекторасостояниямоделейтакоготипа(т.е.целойсвязкифрагментов)попоступившейинформациионекоторыхфрагментахвекторасостояниядаетприменениеформальногоаппарататеориидинамическихсистем,устойчивыхкотказам[47],восновекотороголежитБайесовподход.Этотаппаратхорошоразвитприменительноквероятностнымсистемам,параметрыиструктуракоторыхмогутскачкообразноменятьсявслучайныемоментывремени.УчитываянеполнотуБЗинеопределенностьБД,можносделатьвывод,чтобольшинствомоделейвзадачахоценкиипрогнозированияуровняуязвимостиинформациибудетпринадлежатьименнокэтомуклассу.

Рассмотримещеодинвозможныйподходкопределению достоверностифрагментовинтегрированнойбазыданных,основанныйнапримененииметодовфильтрации.

Общаяпостановказадачинелинейнойоптимальнойфильтрацииимеетследующийвид:

х(k+1)= F[x(k),w(k), d(k)], (3.10)

у(k)=H[х(k),v(k),d(k)], (3.11)

гдеуравнениесостояния(3.10)описываетструктуруидинамикуисследуемойсистемы,ауравнениенаблюдения(3.11)определяетмеханизмобразованияданных,доступныхдляэксперта-аналитика.Здесь:х(k)-векторсостоянияисследуемойсистемы;w(k)-случайныйвекторшумовисследуемойсистемы,связанныхспогрешностямиметодовмоделирования;у(k)-векторнаблюдения;v(k)-случайныйвекторшумовнаблюдения,связанныхспогрешностямиканалаполученияинформации(wиvнекоррелированы);d(k)-векторвариативности,характеризующийтекущеесостояние иструктурусистемыиканалаполученияинформации(приэтом,отказвсистемерассматриваетсякакизменениееепараметровилиструктуры).

Задачафильтрациизаключаетсявполучениипопоследовательностинаблюденийу(k)={у(1),у(2),...,у(k)}оценкивекторасостояниях(k),оптимальнойпокритериюминимумасреднегоквад-ратическогоотклонения,иеекорреляционнойматрицы.

Допустим,экспертрасполагаетпоследовательностьюу(k)наблюденийзаисследуемымобъектом.Наосновеэтихнаблюденийипредшествующегоопыта(априорнаяинформация)экспертвыдвигаетгипотезыFиНоструктуреипараметрахнаблюдаемогообъектаи источникаинформации.Задавшисьначальнымиусловиями,онможет теперьпроверитьсправедливостьсвоейгипотезы,последовательноприменяяалгоритмфильтрациидляуточненияпараметровFиНспомощьюкаждогоизимеющихсянаблюдений(рис.3.4).

ЭтоталгоритмпозволяетэкспертукаждыйразприпоступлениивИБДновыхданныху(k)обисследуемомобъектерекуррентномодифицироватьоценкузначенияеговекторасостояниях(k)икорреляционнуюматрицуошибокР(k),характеризующуюдостоверностьэтойоценки,сучетомвсехпоступившихнаданныймоментнаблюденийу(k),атакжединамикииструктурыизучаемогообъектаи каналовполученияинформации.

ПравиламодификациифрагментовИБД

Рис.3.4.Модельинформационнойсредыэксперта

РНС-реальнаянаблюдаемаясистема;РКН-реальныйканалнаблюдения;ВС-векторсостояния;ИБД-интегрированнаябазаданных

Критериемдостоверностигипотезы(F,Н)здесьмогутбытьрасхождениеzреальногонаблюденияу(k)ипрогнозадлянаблюдениянаk-омшаге :

(3.12)

а такжединамикаизменениякорреляционнойматрицыР(k)дляоценкивекторасостояния х(k).

Еслионидостаточномалы,этоговорит отом,чтоэкспертверноидентифицировалпопоступившейинформацииструктуруипараметрыобъектаиисточникаинформации.Еслинет-необходимоизменитьгипотезудляFилиН.

Сэтойцельюрассмотриммножествовозможныхструктурисследуемогообъекта{F}иисточникаинформации{Н}.Пустьтакихструктурn.Тогдадопустимоезначениеdi(i=1,...,n)вектораdпредставляетоднуизвозможныхструктурисследуемогообъектаиисточникаинформацииобобъекте.

Вобщемслучаеdможетизменятьсянакаждомшагеинаk-томшагеобразуетпроизвольнуюпоследовательностьDI(k)изкдопустимыхзначенийвектораd.ЧислоIтакихпоследовательностей,образующихмножествоD=(DI(k)},определяетсявыражением:

I= nk. (3.13)

Легковидеть,что прип>1и .ДлякаждойпоследовательностиDI(k),в предположении,чтоонаосуществиласьнасамомделе,наоснованииимеющихсянаблюденийможетбытьвычисленозначениевекторасостоянияи

егодостоверность.

Изтеорииоцениванияизвестно,чтокритерийминимумасреднегоквадратическогоотклоненияприводиткоценкамусловногосреднего:

(3.14)

аихкачествоопределяетсяусловнойкорреляционнойматрицейошибокоценивания:

(3.15)

Опускаявывод,запишем(3.14)и(3.15)вразвернутомвиде:

(3.16)

где -частнаяоценкавекторасостояниях(k),т.е.оптимальнаяоценка,полученнаядляконкретнойреализацииDI(k)последовательностиd(k)иудовлетворяющаякритериюминимумасреднегоквадратическогоотклонения; р[DI(k):Y(k)]-апостериорнаявероятностьэтойреализации;

(3.17)

где

(3.18)

I-номеравсехвозможныхDI(k);

; (3.19)

ВэтихвыраженияхРI{k)иDPI(k)естьсоответствующиекорреляционныематрицыошибокчастныхоценоквекторасостояния.

Такимобразом,вобщемвидеалгоритмоптимальнойфильтрациипредставляетследующуюпоследовательностьвычислений:

• дляпринятойреализациинаблюденияY(k)рассчитываютсячастныеоценкивекторасостояниядлявсехвозможныхреализацийDI(k)и соответствующие частныекорреляционныематрицы;

• рассчитываютсязначенияр[DI(k):Y(k)],играющиерольвесовыхкоэффициентоввуравнениях(3.16)и(3.17);

• рассчитываетсяпо(3.16)оптимальнаяоценка векторасостояниях(k);

• рассчитываетсяпо(3.17)корреляционнаяматрицаошибок

оценивания;

• рассчитываетсяпрогнозоценки,еекорреляционнойматрицыинаблюдениянаследующийшаг;

• рассчитываютсяпереходнаяматрицаисследуемойсистемы,матрицаканаланаблюденияикорреляционныематрицышумовнаследующийшаг.

Этотпроцесссходитсяпридостаточнообщихпредположениях(еслиугаданыструктураиопорныефункции),причемособенноэффективноуточнениепараметровидетвовремяпервыхнесколькихшагов.

Припрактическойреализацииалгоритмаоптимальнойфильтрациивозникаютследующиепроблемы:

• привозрастаниичисланаблюденийкнеограниченновозрастает/и,следовательно,числочастныхоценок,чтотребуетнеограниченныхвычислительныхресурсов;

• требуетсяразработкаконкретныхподходовквычислениючастныхоценоквекторасостояния,соответствующихкорреляционныхматрицивероятностиразличныхпоследовательностейDI(k).

Возможныепутипреодоленияэтихтрудностеймогутбытьсве

деныкследующему:

• выборопределенныхструктурдляисследуемойсистемыика-

наланаблюдения;

• выборопределенныхклассов и ;

• ограничениечислаучитываемыхнаблюдений;

• введениенекоторыхгипотезприаппроксимациипрогнозазначениявекторасостоянияисследуемой системы.

Витогезадачаможетрешатьсяв следующейпостановке:

,(3.20)

,(3.21)

гдесделаныследующиепредположения:структураисследуемойсистемыиканаланаблюдениялинейна;шумы и -белые,некоррелированымеждусобойисвектором

Вуравнениях(3.20)и(3.21)задаютконкретныевозможныережимыисследуемойсистемыиканаланаблюдения,например:

-нормальныйрежимфункционированияисследуемойсистемыиканаланаблюдения,когдаэкспертуизвестнысточностьюдошумаих структураипараметры;

-вканаленаблюдениярезковозросуровеньшума,врезультатечеговозросразброспоступающихкэкспертуданныхбезизменениясреднегозначениявекторасостоянияисследуемойсистемы;

-отсутствуетинформациявканаленаблюдения,врезультатечеговпоступающихкэкспертуданныхпропаласистематикаи осталсяодинбелыйшум;

-отсутствуетинформациявканаленаблюденияивтожевремярезковозросшум;такойвариантозначает,скореевсего,чтоизменилосьсодержаниепоступающейинформации,аэксперт,неумея«расшифровать»этуинформацию,принимаетеезашум;

-отсутствуютшумывмоделиисследуемойсистемы,т.е.экспертсумелподобратьточнуюдетерминированнуюмодель;

-резковозросли шумывмоделиисследуемойсистемы;приэтомеслишумосталсябелым,томодельэкспертаверна,носамисследуемыйобъектсталменеедетерминированным,аеслишумокрашен(имеетсистематику),томодельэкспертатребуетуточнения(систематикадолжнабытьрасшифрована экспертомивключенавмодельисследуемойсистемы).

Такимобразом,видно,чтодажесприведеннымсравнительнопростымнаборомвозможныхзначенийвекторавариативности

можноописатьширокийкругпроблем,связанныхсдостоверно-стьюфрагментаИБД,авболееширокомплане-получитьунивер-сальныйигибкийформальныйаппаратмодификациифрагментовИБДприпоступлениивнееновогофрагмента.

Исследованиеконкретнойпроблемы,стоящейпередэкспертом,следуетначинатьстехслучаев,когдаизмененияимодификациизатрагиваютпреждевсегоканалнаблюдения.Еслиэкспертизуча-етнекоторуюсложнуюсистему(объект)достаточнодолго,тоиме-етопределенноепредставлениеоееструктуреипараметрах,пустьинеоченьточное.Вэтойситуацииглавнойстановитсязада-чаоценкидостоверностиисточниковинформации,азадачауточ-ненияпараметровисследуемойсистемырешаетсяпомеререше-нияпервойзадачи.Длятакойпостановки и,соответственно,системауравненийпринимаетвид:

, (3.22)

. (3.23)

Длянормальногорежимафункционированияисследуемойсис-темыиканаланаблюдения уравнениеимеетвид:

, (3.24)

, (3.25)

аалгоритммодификациивекторасостоянияисследуемойсистемыдляk-гошагаестьклассическийалгоритмоптимальногофильтраКалмана(рис.3.5).

Располагаяэтималгоритмомможнодоскональноизучитьнаэтапепредварительногомоделированияисследуемуюсистему,основнойрежимработыкоторойописываетсялинейнойсистемойуравнений,атакжеполучитьвсечастныеоптимальныеоценкивек-торасостояниясистемыиихкорреляционныематрицы,чтосни-маетчастьперечисленныхвышепроблемреализацииобщегоал-горитмаоптимальнойфильтрации.

Наибольшиетрудностивызываеткорректноевычислениеусловнойвероятности дажедлянесложныхсистем.Анализточныхвыраженийдля ,однако,показывает,чтодлямногихслу-чаев,связанныхсисследованиемуровняуязвимостиинформации,даннуювероятностьможноаппроксимироватьдвумя-тремязначения-митипа 0-1/2-1 (нет-можетбыть -да).

Деловтом,чтоособенностьюэкспертныхзадачоценкиуровняобеспечениябезопасностиинформацииявляется,какотмечалось

Рис.3.5.Блок-схемаалгоритмаОФК(оптимальныйфильтрКалмана):РНС-реальнаянаблюдаемаясистема;РКН-реальныйканалнаблюдения; -звено задержки;QиR-корреляционныематрицышумовсистемыиканаланаблю

дения

выше,неполнотаданных,которымирасполагаетэкспертпрактическинавсехэтапахисследованиясложногообъектаинформатизации.Принципбалансаточностейрекомендуетвтакихслучаяхнепользоватьсятонкимисложнымиметодамимоделирования,посколькуихточностьбудетзагрубленанеполнотойинеточностьюисходнойинформации,аихсложностьпрактическинеизбежноприведеткневероятномурезультатувсилунеадекватностиотдельныхчастеймоделииобъекта.Всоответствиисэтимпринципомдолженсоблюдатьсянекоторыйразумныйбалансмеждутребующейсяточностьюответа,точностьюисходныхданных,точностьюмоделииточностьюметодаисследования.Вэтомсмыслесделанноедопущениевполнеразумно,особеннонапервыхэтапахисследованиясложногообъекта,когдапроверяются,восновном,правильностьструктурыисследуемойсистемыиканаланаблюде-

ния,атакжеобластивозможныхзначенийихпараметров.Критериемздесьможетбытьотклонениеочередногонаблюденияотегопрогноза,например:

(3.26)

т.е.вычислениеусловнойвероятностипредельноупрощается:необходимотолькосравнитьпоступившеенаблюдениеуснекоторымипороговымизначениямиивыбратьсоответствующеезначение (рис.3.6).

Рис.3.6.Определение поотклонениюнаблюдения отпрогноза

3.5.Моделиоценкиущербаотреализацииугрозбезопасностиинформации

Уязвимостьинформациинеопределяетсятольковероятностя-мипроявлениятехилииныхугроз.Совершенноочевидно,чтосдругойстороныонахарактеризуетсявозможнымущербом, которыйбудетиметьместо вслучае ихреализации.

Вопросоценкиущербапредставляетнасегодняшнийденьнаи-болеесложнуюзадачу,практическинеподдающуюсяформализа-цииирешаемуютолькосиспользованиемметодовэкспертныхоценок.Приэтомвцеляхформированияпрогнозныхоценокущер-баможносуспехомприменятьописаннуюнамивышетехнологиюформализациипрофессиональныхзнаний,опирающуюсянанеко-торыемодели,которыемогутсоставитьпервоначальнуюбазумо-делей,вдальнейшемуточняемуюивидоизменяемуюэкспертом.

Исходнойпосылкойприразработкеэтихмоделейможетявить-сяочевидноепредположение,чтополнаяожидаемаястоимостьзащитыинформацииможетбытьвыраженасуммойрасходовназащитуипотерьотеенарушения.Вработе[3]В.А.Герасименкопоказал,чтоприэтомподходеоптимальнымрешениембылобывыделениеназащитуинформациисредствв размере (см.рис.3.7),посколькуименноприэтомобеспечиваетсяминимизацияоб-щейстоимостизащитыинформации.

Поскольку,каквидноизрис3.7,приоптимальномрешениице-лесообразныйуровеньзатратназащитуравенуровнюожидаемыхпотерьпринарушениизащищенности,тодляоценкисуммарныхзатрат,достаточноопределитьтолькоуровеньпотерь.

ДлярешенияэтойзадачипрофессоромВ.А.Герасименков[3]былиспользованподход,основанныйнадинамическоймоделиоценкипотенциальныхугроз.Рассмотримегоболееподробно.

Допустим,чтопроявлениеугрозырассматриваемоготипаха-рактеризуетсяслучайнойпеременной сраспределениемверо-ятностей .Заметим,чтофункцияраспределения должнаопределятьсянаосновеобработкиданныхофактахреальногопроявленияугрозэтоготипа,котораяпроводитсяэкспертомсобя-зательнойоценкойдостоверностииспользуемойинформации(см.предыдущийпараграф).

Еслирассматриватьпроявлениеданнойугрозывтечениеопре-деленногопериодавремени,точислуэтихпроявлений будетсоответствоватьраспределение вероятностей ,котороеможетбытьвыраженофункциейраспределенияПуассона:

Рис.3.7.Стоимостныезависимостизащитыинформации:

1-ожидаемаяполнаястоимость;2-стоимостьзащиты;3-уровеньущерба

(3.27)

где -периодвремени,закоторыйопределенызначения

Порядузначений функция ,можетбытьвыраженафункциейгамма-распределения

(3.28)

где и параметрыраспределения,определяемыепорекурент-нымзависимостям:

(3.29)

где -числопроявленийрассматриваемойугрозывпериодынаблюдения .

Далееотметим,чтобезусловноераспределениевероятностей

проявленияугроззапериодвремени можетбытьпредставленоввиде:

(3.30)

Тогдарезультирующеераспределение

(3.31)

Количествопроявленийугрозприэтомхарактеризуетсяматематическиможиданием

(3.32)

идисперсией

(3.33)

Такимобразом,мыописаливероятностипроявленияугроз.Длятого,чтобыоценитьущерботпроявленияугроз,рассмотримдляначаласредниеоценкиущерба,длякоторыхможетбытьпринятанормальнаяфункцияраспределенияспараметрами и

(3.34)

где и -функциинормальногои гамма-распределений

вероятностей; и -параметрынормальногоигаммараспределений.

Есливзаданныйпериодвремениимеетместо проявленийрассматриваемойугрозы, которыеприводяткущербу , ,... соответственно,топараметрыраспределениявероятностейожидаемыхпотерькорректируютсяследующимобразом:

(3.35)

где

Выделимдалеенеопределенныепараметрыи изфункциираспределениявероятностейдлястоимостипроявленияугрозыданноготипа.Темсамымбудетполученопрогнозируемоераспределениедляущербаотвозможногопроявлениярассматриваемойугрозы

(3.36)

где -членсемействараспределенияСтьюдента.

Ожидаемоеизменениезначения определяетсяпараметрами:

(3.37)

Ожидаемыеполныезатратывусловияхпроявлениярассматри-ваемойугрозы определяютсяпоформуле:

(3.38)

Посколькуполныезатратывусловияхпроявленияугрозявля-ютсяслучайнымивеличинами(из-заслучайногохарактеранано-симогоущерба),тодляихоценкинеобходимознаниесоответст-вующейфункциираспределениявероятностей.

Такимобразом,еслибысуществовалисистематизированныестатистическиеданныеопроявленияхугрозиихпоследствиях,торассмотреннуюмодель,почерпнутуюнамиизработы[3],можнобылобыиспользоватьдлярешениядостаточноширокогокругазадачзащитыинформации.Болеетого,этамодельпозволяетнетольконаходитьнужныерешения,ноиоцениватьихточность,что,какподчеркивалосьвыше,имеетпринципиальноезначение.Ксо-жалению,всилурядаобъективныхисубъективныхпричинтакаястатистикавнастоящеевремяпрактическиотсутствует,чтоделаетособоактуальнойорганизациюнепрерывногоирегулярногосбораиобработкиданныхопроявленияхугроз,охватывающихвозможнобольшеечислореальныхситуаций.

Рассмотреннаявышемодельможетбытьсформулированаивтерминахтеорииигр.Предположим,чтозлоумышленникзатрачи-вает средствсцельюпреодолениязащиты,насозданиекоторойизрасходовано средств.Врезультатеонможетполучитьзащи-щаемуюинформацию,количествокоторойоцениваетсяфункцей

.Положимдалее,что -естьценностьдлязлоумышленни-каединицинформации,а - суммарныезатратынасоздание

этогожечислаединицинформации.Тогдачистаяприбыльзло-умышленника

апотерисобственникаинформации

(3.39)

(3.40)

Всоответствиисизвестнымиправиламитеорииигроптималь-ныестратегииобеихсторонмогутбытьопределеныизусловий:

(3.41)

Дляпрактическогоиспользованияэтоймоделинеобходимооп-ределитьстоимостьинформации,атакжезадатьфункции и чтовусловияхотсутствиянеобходимогообъемастатистическихданныхявляетсяпрактическинеразрешимойпроблемой,еслиопи-ратьсянаформальныеметоды.

Такимобразом,мысновавынужденывозвращатьсякописан-нымвышеприемамавтоформализациизнаний,которыесоставля-ютосновуметодологическогобазисатеориизащитыинформации.

Рассмотренныенамиподходыимоделипозволяютвобщемслучаеопределятьтекущиеипрогнозироватьбудущиезначенияпоказателейуязвимостиинформации.Необходимотолькосделатьнекоторыесущественныезамечанияотносительноихадекватно-сти.Во-первых,практическивсеприведенныенамимоделипо-строенывпредположениинезависимостислучайныхсобытий,со-вокупностикоторыхобразуютсложныепроцессызащитыинфор-мации,аво-вторых-дляобеспеченияработымоделейнеобходи-мыисходныеданные,формированиекоторыхприотсутствиидос-товернойстатистикисопряженосбольшимитрудностями.

Такимобразом,прииспользованииэтихмоделейфактическиделаютсяследующиедопущения:

• возможностипроявлениякаждойизпотенциальныхугрознезависятотпроявлениядругих;

• каждыйиззлоумышленниковдействуетнезависимоотдругих,т.е.неучитываютсявозможностиформированиякоалициизло-умышленников;

• негативноевоздействиенаинформациюкаждойизпроявив-

шихсяугрознезависитоттакогожевоздействиядругихпроявившихсяугроз;

• негативноевоздействиепроявившихсяугрознаинформациюводномкаком-либоэлементесистемыможетпривестилишькпоступлениюнавходысвязанныхснимэлементовискаженнойинформацииснарушеннойзащищенностьюинеоказываетвлияниянатакоежевоздействиенаинформациювсамихэтих элементах;

• каждоеизиспользуемыхсредствзащитыоказываетнейтрализующеевоздействиенапроявившиесяугрозыивосстанавливающеевоздействиенаинформациюнезависимооттакогожевоздействия другихсредствзащиты;

• благоприятноевоздействиесредствзащитыводномэлементесистемылишьснижаетвероятностьпоступлениянавходысвязанныхснимэлементовискаженнойинформациииневлияетнауровеньзащищенностиинформациивсамихэтихэлементах.

Вдействительностижесобытия,перечисленныевыше,являютсязависимыми,хотястепеньзависимостиразлична-отнезначительной,которойвполнеможнопренебречь,досущественной,которуюнеобходимоучитывать.Однакострогоформальноерешениеданнойзадачивсилуприводившихсянамивышепричинвнастоящеевремяневозможно,поэтомуостаютсялишьметодыэкспертныхоценокивчастности,технологияавтоформализациизнанийэксперта.

Чтокасаетсяобеспечениямоделейнеобходимымиисходнымиданными,токакнеоднократноотмечалось,практическоеиспользованиелюбыхпредлагаемыхмоделейоценкиуязвимостиупираетсявограничения, связанныеснеполнотойинедостоверностьюисходныхданных.Всвязисэтимотметим,чтоматериалыданнойглавы,посвященныеоценкеикорректировкедостоверностиинтегрированнойбазыданныхмоделирования,даютнеобходимыйинструментарийдляработыэкспертов-аналитиков.

Вообще,правильнопоставленнаяработасисходнымиданнымивусловияхвысокойстепениихнеопределенностиявляетсяключевыммоментомврешениилюбых задач,связанныхс обеспечениеминформационнойбезопасности.Поэтомупроблемазаключаетсянепростовформированиинеобходимыхданных,авперманентномихоцениваниииуточнении.Посколькуэкспертныеоценкиитехнологияавтоформализациизнанийвэтихусловияхстановятсяоднимиизосновныхметодоврешенияосновныхзадачзащитыинформации,аадекватностьэкспертныхоценоксущественнозависитотобъемаихвыборки,тонеобходимаорганизацияиперманентное

осуществлениемассовойэкспертизывсистемеорганов,ответственныхзазащитуинформации.Существоконцепциитакойэкспертизыбудетрассмотреновгл.6.

Краткиевыводы

1. Обоснованиеструктурыисодержаниясистемыпоказателейуязвимостиинформации, исследованиевлияниянанихразличныхпараметровугроз,разработкакомплексамоделейиметодологииадекватнойоценкиреальнойуязвимостимогутбытьвыполненынаосновесистемнойклассификацииугроз,проведеннойпоследующимпараметрам:видыугроз,происхождениеугроз,предпосылкипоявленияугроз,источникиугроз.Перечисленныепараметрынаходятсявсложныхвзаимосвязях,учеткоторыхнеобходимдляпостроенияадекватныхмоделей,описывающихпроцессынарушенияцелостности изащиты информации.

2. Основнымипараметрами,определяющимивероятностьнарушениязащищенностиинформации,являются:количествоитипыструктурныхкомпонентовсистемы, количествоитипыслучайныхдестабилизирующихфакторов,количествоитипызлоумышленныхдестабилизирующихфакторов,числоикатегориинарушителей,видызащищаемойинформации.

Измножестваразновидностейразличныхпоказателейуязвимостиинформациицелесообразновыделитьдвапоказателя:первый(базовый)характеризуетуязвимостьводномструктурномкомпонентесистемыприоднократномпроявленииодногодестабилизирующегофактораиотносительноодногопотенциальногонарушителя,второй(общий)-уязвимостьинформациивцеломповсемпотенциальновозможнымдестабилизирующимфакторамотносительновсехпотенциальновозможныхнарушителей.Вседругиепоказателиявляютсячастичнообобщенными.

Дляпрактическогорешениязадачзащитыинформациимогутбытьтакжеиспользованыпоказатели,характеризующиенаиболеенеблагоприятныеситуации(экстремальныепоказатели):самыйуязвимыйструктурныйкомпонентсистемы,самыйопасныйдестабилизирующийфактор,самый опасныйнарушитель.

3. Однойизнаиболеепринципиальныхособенностейпроблемызащитыинформацииявляетсяабсолютныйхарактертребованияполнотывыявленныхугроз.Приэтомформированиеполногомножестваугрозявляетсяярковыраженнойнеструктуризованнойпроблемой.

Дляпервоначальногоформированиявозможноболееполногомножестваугрозцелесообразноиспользоватьразличныемодификацииэкспертныхоценок.Наиболееэффективнымиздесьоказываютсяметоды,основанныенатехнологииавтоформализациизнанийэксперта.

4.Рассмотренныевгл.3модели,атакжемодели,предлагаемыевдругихисточниках(см.,например,[3]),вобщемслучаепозволяютопределятьтекущиеипрогнозироватьбудущиезначениятехилииныхпоказателейуязвимостиинформациивразличныхситуацияхфункционированиясистемиобъектов.Однаковсеэтимодели,построенывпредположениинезависимостислучайныхсобытий,совокупностикоторыхобразуютсложныепроцессызащитыинформации,адляобеспеченияихработынеобходимыисходныеданные,систематизацияиобобщениеподавляющегобольшинствакоторыхдолжныбазироватьсянасетицентровзащитыинформации,организующихпроведениемассовойэкспертизы.

Главачетвертая

ТРЕБОВАНИЯКЗАЩИТЕИНФОРМАЦИИ

Дата добавления: 2018-02-15; просмотров: 509; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 1 234 5 6 7 8 9 10 Следующая ⇒

Мы поможем в написании ваших работ!