Какмногокритериальныйразвивающийсяобъект
Рассмотренныевышевгл.2методымоделированияпроцессовзащитыинформации,втомчислесиспользованиемэнтропийногоподхода,могутдостаточноэффективноприменятьсяприрешении
задачанализаисинтезаСЗИ.Приэтомнеобходимостьучетамножествафакторов,влияющихназащитуинаходящихсявсложномдинамичномвзаимодействии,приводитнаскпредставлениюсистемызащитыкакмногокритериальногоразвивающегосяобъекта.Всвязисэтимвданномпараграферассматриваетсяподходканализуи оценкеСЗИдляцелейуправленияих развитием.
Многокритериальныйразвивающийсяобъектопределенв[48]какмножествореализацийсложнойсистемы,описываемойзаданнымнаборомкритериевиразвивающейсяподдействиемвнешнихобъективныхивнутреннихсубъективныхфакторов.
СэтойточкизренияможновыделитьнесколькоособенностейСЗИ, которыеипозволяютрассматриватьихвкачествемногокритериальныхразвивающихсяобъектов.Перечислимэтиособенности.
ДляСЗИсуществуетрассмотренноевпредыдущемпараграфенекотороеестественноеразбиениеихреализацийнаклассы.Приэтоммогугбытьвыделеныодинилинесколькокритериев(такназываемыхклассифицирующихкритериев),покоторымможетбытьпроведеногруппированиев классы.Следуетотметить,чтоесликлассифицирующийкритерийиспользуетсявдальнейшемванализе,тонеобходимаегочисловаяоценка(числовыекритерии-заместители).
ДлякаждойСЗИсуществуетустойчивая,монотоннаяфункияспроса(стратегиипринятиярешений),описывающаярынокпотреблениятакогородасистем.Этафункияв[48]названаранговойфункиейполезностимногокритериальногоразвивающегосяобъектаиобусловленаобъективнымхарактеромеговзаимодействиясвнешнейсредой.
|
|
ДляСЗИсуществуеттакжеустойчивая,монотоннаяфункия,котораяв[48]названафункциейполезностиприанализерисков.Этафункцияопределяетсяразнообразиемтиповпринимаемыхрешений,что,вообщеговоря,обусловленосубъективнымхарактеромраспределенияресурсов,выделяемых на защитуинформации.
РазнообразиетиповреализацийСЗИ,обусловленоразнообразиемстратегийзащиты(политикбезопасности),атакжетиповтехническихрешений.Обэтомшлаобстоятельнаяречьвпредыдущемпараграфе,посвященномтипизацииистандартизациисистемзащиты.
СЗИхарактеризуетсявдинамикесвоегоразвитиякакпоявлениемновыхклассовобъектов,такипоявлениемновыхтиповобъектоввтомилииномклассе,т.е.фактическивозникновениемновыхтехническихрешенийисвязанныхснимиполитикбезопасности.
Характерэтогопроцессаявнонепоследовательныйиопределяетсякакразвитиемтехники,такивозникновениемновыхпотребностейрынкасредствзащитыинформации.
|
|
ВсеэтиособенностиСЗИмогутбытьописаныврамкахконцепциитакназываемогомонотонногокритерия[49].Рассмотримподробнее механизмтакогоописания.
ПредставимкаждуюреализациюСЗИточкойвпространствеединичныхкритериев Единичныекритерии-этонормированныевшкале[0;1]показателиснеубывающимипредпочтениями.Этикритериизадаютсякакзначенияфункцийпереводадляфизическиизмеряемыхкритериев[49].МножествореализацийСЗИвпространствеединичныхкритериев,какэтовидноизматериаловпредыдущегопараграфа,разбиваетсянаклассыэквивалентности,которыевпространственеубывающихпредпочтенийможнопредставитькакповерхностиодногоуровнянекоторогомонотонногокритерияЭ(Х).
ЕслисгруппироватьреализацииСЗИпоблизостиприменяемыхрешений,получатсянаправлениявпространствекритериев,определяющиеполитикибезопасности.Математическилиниювмногомерномпространствеможнозадатьсистемойодномерныхфункцийодногопараметра(обозначимегочерезt)
(5.1)
Системафункций характеризуетполитикубезопасности.
ДляописаниякритерияЭ(Х)используемупоминавшуюсявышеранговуюфункциюполезности(РФП)ифункциюполезностиприанализерисков(ФПР).ЗначениеЭ(Х)вk-мклассеэквивалентностиопределимчереззначениеРФПR(k).ВидповерхностиодногоуровняЭ(Х)=constопределяетотношениекрискулица,принимающегорешение(ЛПР),т.е.ФПР.Такимобразом,анализиоценкаСЗИнепосредственносвязанысанализомструктурымонотонногокритерияЭ(Х)впространствекритериев,упорядоченныхпо возрастанию.
|
|
АнализструктурымонотонногокритерияЭ(Х)базируетсянаегоспециальномпредставлении,чтоотражено вследующей теореме.
Теорема.Любойположительный,непрерывный,ограниченныймонотонновозрастающийкритерий (кромекритерияминимальноготипа),заданныйнамножествезначений
,можетбытьпредставлен(слюбойзаданнойточно
стью)ввиде
(5.2)
где -непрерывныеположительныефункции,называемыекоэффициентамивесомостипоказателей;
-РФП,определяемаякакзначениекритериянадиагонали,т.е..Доказательстводаннойтеоремыможнонайтив[50].
Формализуемпонятиеполитикибезопасности,реализуемойСЗИ.Пустьзадананекотораяточка ;этаточкаопределяетнаправлениеполитикикакмножествозначений ,удовле
творяющих системепараметрических уравнений
(5.3)
Основноесвойствополитикибезопасностизаключаетсявтом,чтозначениякритериянанейфакторизуются.
Подставив в(5.2),получим
|
|
(5.4)
гдеиндексТотмечаетзаданнуюполитикубезопасности,а коэффициент,определяемыйполитикойбезопасностииФПР.
Такимобразом,значениякритериянанаправленииполитикибезопасностипропорциональнызначениямРФП(стратегиивыбора)икоэффициентамполитики.
Формализуемпонятиефункцииполезностиприанализериска,используямонотонныйкритерийЭ(Х).Таккакотношениекрискуопределяетсявидомповерхностиуровня,тообозначимчерез
каноническоеописаниеповерхностиуровня,определяемое условием .Тогдаможнозаписать
где -монотоннаяфункция.
(5.5)
ОпределимФПРкак .Дляполучения можновоспользоватьсясвойствомповерхностиуровнякакмножества,накоторомполныйдифференциалЭ(Х)равеннулюили,сучетом каноническогопредставления,
(5.6)
Такимобразом, определяетсявыделениемобщегомножителяизвыражениядляполногодифференциалакритерияЭ(Х).
ИспользуяРФПиФПР,которыеполучаютсянаоснованиифактическихданныхогруппированииреализацииСЗИпоклассамвсоответствиистем,какбылоизложеновпредыдущемпараграфе,инаправлениямполитикибезопасности,можноставитьзадачусинтезакритерияЭ(Х).
ВместестемпредставляетинтересанализкритериевсточкизрениявведенныхпонятийРФПиФПР,которыеможнобылобырекомендоватьдляпрактическогоиспользованияприрешенииконкретныхзадачзащитыинформации.Остановимсянанекоторыхизтакихкритериев.
Одинизнихаддитивныйкритерий,которыйможетбытьпредставленследующимобразом:
,(5.7)
где .
.(5.8)
Такимобразом,дляаддитивногокритерияРФПиФПРсовпадают,т.е.стратегиявыборалинейная,аотношениекрискунейтральное.
Другимявляетсяобобщенныйметрическийкритерий
где
Такимобразом,
(5.9)
(5.10)
(5.11)
(5.12)
(5.13)
Данныйкритерийимеетлинейнуюстратегиювыбораистепеньриска рприпринятиирешений.
5.3. Проектированиесистемзащитыинформации
Вопросампроектированиясистемзащитыинформациипосвященодостаточномногоразличныхработ.Вчастности,методологияпремированияСЗИчеткосформулированавмонографииВ.А.Герасименко[3]ивдальнейшемразвитавучебнике[31].Обобщаяэтиидругиеизвестныенамработы,мыможемсистематизироватьпредлагаемыеподходыкпроектированиюввидесхемы,показаннойнарис.5.4.Приэтомклассификациявозможныхподходовпредставленанарис.5.5.
Невдаваясьв подробноеописаниеметодовпроектирования,котороечитательможетпочерпнутьсамостоятельно,прочитав,например,соответствующуюглавуучебника[31],мысосредоточимздесьвниманиенапринципиальныхвопросахоценкиэффективностипроцессовзащиты,реализуемыхсоздаваемойСЗИ.
1 Обоснование требованийк защите
ианализусловийзащиты
2 Определениефункцийзащитыинформации
3 Определениеперечняпотенциально
возможныхКНПИ
4 Обоснованиеперечняподлежащих
решениюзадачзащиты
5 Выборсредств,необходимыхдлярешения
задач защиты
6 Оценкаожидаемойэффективностивыбранныхмеханизмовзащиты
7 Обоснованиеуточненийнапроектирование
8 Обоснованиеструктуры итехнологическихсхем функционированиясистем защиты
Технико-экономическиеоценкипроекта
9
10 Решениеорганизационно-правовыхвопро
совзащитыинформации
Рис.5.4,Последовательностьи содержаниепроектированиясистемзащитыинформации
Рис. 5.5.КлассификационнаяструктураподходовкпроектированиюСЗИ
Наосновеизложенноговгл.2энтропийногоподходаможетбытьпостроенамодельрешенияданнойзадачи,сходнаяпосвоейпостановкесзадачейанализагравитационноговзаимодействиясистемыматериальныхточек.
Пусть -количественнаяоценкаэффективностисредствзащиты,находящихсявI-йзонезащищаемогообъектаииспользуемыхв СЗИдляпротиводействияr-й потенциальнойугрозе;QI-
полнаяэффективностьвсехсредствзащиты,находящихсяв -ойзонеобъекта; -необходимаяэффективностьзащитыдлягаран-тированногопротиводействияйугрозе(фактическиэтоколичест-веннаяоценкаугрозы).Вкачествересурснойпеременнойрас-сматриваемойсистемыможнозадать - усредненные затратынареализациюсредствзащиты,находящихсяв -йзонеобъектаина-целенныхнапротиводействие -ойугрозе,плюсзатратыналикви-дациюпоследствийвслучаереализацииугрозы.
Естественно,чтоколичественныеоценкивсехвведенныхнамипеременныхмогутбытьполученыисключительносиспользовани-емтехилииныхметодовэкспертныхоценоквсоответствиистем,какэтобылоизложенонамивышевглаве2данногоучебногопо-собия.Болеетого,используемыенамивдальнейшихвыкладкахметоды,основанныенаэнтропийномподходе,требуют,чтобыве-личины,и быливыраженыцелыминатуральнымичислами.Этоголегкодобитьсяприсвоивихзначениямопределенныйранг,которыйбудетхарактеризоватьэффективностьнекоторымколиче-ствомусловныхединиц.
ПоаналогиисгравитационноймодельюНьютонаинтересую-щаянасмодельоценкиэффективностизащитыможетбытьпред-ставленав виде
(5.14)
гдеk-некотораяконстанта,азатратынареализациювыступаютвкачестве«расстояния».
Однакоуэтогоуравненияимеетсяочевидныйнедостаток:еслиудвоитьзаданныезначения и ,тоэффективностьпротиводей-ствияугрозамучетверится,аестественноожидать,чтооналишьудвоится. Чтобыизбежатьэтогонедостатка,величины всегдадолжныудовлетворятьследующимограничениям:
(5.15)
(5.16)
Этимограничениямможноудовлетворить,есливвестинаборыконстант и ,,связанныесоответственнососредствамизащиты -ойзоныобъектаи -ойугрозой.Назовемихбалансирующими
множителями.Крометого,нетоснованийсчитать,что«расстоя-ние»играетвуравнении(5.14)такуюжероль,чтоивньютонов-скойфизике,поэтомувведемболееобщуюфункцию«расстояния»ввиденекоторой«ресурсной»функции .Модифицированнаягравитационнаямодельимеет,такимобразом,следующийвид:
(5.17)
где
(5.18)
(5.19)
Уравнениядля и решаютсятрадиционнымиметодами,иможнолегкопроверить,чтоонигарантируютудовлетворениеогра-ничениям(5.15)и(5.16).Величины вэтоймоделимогутслужитьобщеймеройсопротивленияреализации -ойугрозыв -ойзонеобъекта.Посколькуоценкаэтоймерыпроизводитсяэкспертамисучетомнетолькостоимостизащиты,ноитакихпараметров,каквероятностьпроявленияугрозы,времяеереализацииидр.,тона-зовем «обобщеннымизатратами».
Введемтакжедополнительноек(5.15)и(5.16)ограничениена ,имеющеевид:
где -полныйресурссистемы.
(5.20)
Перейдемтеперькосновнойцелинашегоисследованияиоп-ределимнеобходимоераспределение ,максимизируяэнтропиюсистемы,выраженнуюввиде[41]:
(5.21)
где-полноечислосостоянийсистемы,соответствующеераспределению ;Т-полнаяэффективностьвсехсредствза-щитыобъекта,выраженная,какэтобылопринятонамивыше,вусловныхединицахипредставляющаясуммуранговэффективно-стиуказанныхсредств.
Дляполучениянабора ,максимизирующего изуравнения(5.21)приограничениях(5.15),(5.16)и(5.20),следуетмаксимизироватьлагранжиан,равный
(5.22)
где и -множителиЛагранжа.
Посколькупредполагается,что достаточновелики,томожновоспользоватьсяформулойСтирлинта,согласнокоторой
Тогдаиз(5.21)получим
.(5.23)
.(5.24)
Значения ,которыедоставляютмаксимум и,следовательно,являютсяискомымраспределениемсредствзащитыпозонамобъектаипотенциальнымугрозам,представляютсобойрешениесистемыуравнений
(5.25)
совместносограничениями(5.15),(5.16)и(5.20).
Дифференцируя(5.22),будемиметь
(5.26)
Этовыражениеравнонулю,когда
Подставляя(5.27)в(5.15)и(5.16),получим
.(5.27)
,(5.28)
.(5.29)
Чтобыпредставитьокончательныйрезультатвболеепривыч-номвиде,запишем
(5.30)
Отсюда
гдевсоответствиисуравнениями(5.28)-(5.31)имеем
(5.31)
(5.32)
(5.33)
(5.34)
Такимобразом,искомоераспределениеописываетсямодифи-цированнойгравитационноймодельюснапередзаданнойфункци-ей Величина ,характеризующаясреднеезначениезатратнаоднуусловнуюединицуэффективностисредствзащиты,опреде-ляетсяизсистемыограниченийзадачи.Вслучаеодинаковойэф-фективностиприменяемыхсредствзащитывеличина будетха-рактеризовать среднюю эффективностьих применения противкон-кретныхугроз.Витогенамиполученпоказательэффективностисредствзащиты,которыйучитываетнетолькосуммарнуюэффек-тивностьприменяемыхсредствзащиты,ноиихоптимальноерас-пределениепозонамзащищаемогообъектаилисистемы,исходяизнаиболееэффективногопротиводействияпотенциальнымугро-замбезопасностиинформации.
5.4.Управлениепроцессамифункционирования
Системзащиты
ФункционированиеСЗИкаксистемыорганизационно-технологическоготипадолжнобытьорганизовановсоответствиисосновнымипринципамиуправления,разработаннымидляданноготипасистем.Интерпретацияэтихпринциповприменительнок
управлениюзащитойинформацииприводитнаскобщеймоделиуправления,представленной нарис.5.6[3,31].
Исходнойосновойорганизациипроцессауправлениявэтоймоделиявляютсяпланыобработкиинформациивзащищаемойсистемеилиобъекте.Данныепланыпозволяютсформулироватьтребованиякзащитеинформациинавсехэтапахееобработки,которыемогутбытьвыраженывероятностнымпараметром
Всоответствиисэтимзначениемпоказателязащищенностинакаждомплановымэтапеобработкиинформациидолжныбытьопределеныоптимальныенаборысредствзащиты(технических(Т),программных(П),организационных(О),законодательных(3),морально-этических(М)),обеспечивающихтребуемыйуровеньзащиты.Формированиетакихнаборовиявляетсяобщейзадачейуправлениясредствамизащиты.
Далеерешениезадачиуправленияпредполаетоценкуожидаемогоуровнязащищенностиинформации( ),которыйобеспечиваетсяполученнымнаборомсредстви,вообщеговоря,можетотличатьсяоттребуемого.Еслиэтоотличиебудетпревышатьдопустимоезначение( ),то,очевидно,необходимовнестиопределеннуюкоррекцию всформированныенаборыиповторитьоценку.
Однаконеисключеныитакиеслучаи,когдаимеющимисясредствамитребуемыйуровеньзащитыпринципиальнонеможетбытьдостигнут.Вэтомслучаедолжныменятьсясамипланыобработкиинформации.
Сформированныеврезультатереализациипроцедурыпланированиянаборысредствзащитывдальнейшемиспользуютсявпроцессезапланированнойобработкиинформации.Приэтом,какпредусмотреномеханизмомобратнойсвязи,обязательнодолженосуществлятьсясоответствующийконтрольдействительногоуровнязащищенности.Наосноветакогоконтроляможетбытьопределенпоказательдействительногоуровнязащищенности ,которыйсопоставляетсястребуемымуровнем .Вслучаерассогласованияуказанныхпоказателейвышедопустимойнормыреакциясистемыуправлениязащитойможетзаключатьсялибовизменениинабораиспользуемыхсредствзащиты,либовизмененииуровнятребуемойзащищенности.
Каквидим,описаннаянамимодельуправлениязащитойинформацииявляетсячастнымслучаемуправлениявсистемахорганизационно-технологическоготипа,очемужеупоминалосьвыше.ЭтообстоятельствосущественнооблегчаетформированиетехнологииуправленияфункционированиемСЗИ, посколькудляэтого
Планыобработкиинформациивсистеме
Механизмуправлениясредствамизащитыинформации
Средствазащиты
Этаппланирования
ДаРеализациявыбранных
средствзащиты
Нет
Этапреализацииплана
Контрользащищенностиинформации
Да Нет
Рис.5.6.Общаямодельуправлениязащитойинформации
достаточнотрансформироватьобщиеположенияконцепцииуправлениявсистемахуказанноготипаприменительнокпроблемамзащитыинформации.
Какизвестно,основнымимакропроцессамиуправлениявсистемахорганизационно-технологическоготипаявляютсяпланирование,оперативно-диспетчерскоеуправление,календарно-плановоеруководствоиобеспечениеповседневнойдеятельности.Приэтомможноговоритьоразличныхпериодахуправления-краткосрочном,среднесрочномидолгосрочном.Рассмотримнекоторыеотличительныеособенностиданныхвидовуправленияприменительнокзадачам защитыинформации.
Краткосрочноеуправление.Дляэтоговидауправленияхарактерното,чтоможноиспользоватьлишьтесредствазащиты,которыевключенывсоставзащищаемойсистемыилиобъектаинаходятсявработоспособномсостоянии.Приэтомвобщейсовокупностипроцессовуправленияосновнуюдолюзанимаютпроцедурыоперативно-диспетчерскогоуправления,т.е.динамическогоуправлениянепосредственновходеобработкиинформации.Архитектуразащищаемойсистемыитехнологическиесхемыобработкиинформациикакому-либоизменениюнеподлежат,возможнытольковключениеивыключениетехэлементов,которыеуженаходятсявсоставесистемыилиобъекта.
Среднесрочноеуправление.Приэтомвидеуправленияможноиспользоватьвесьарсеналимеющихсяивводимыхвпланируемыйпериодсредствзащиты,аосновнымипроцедурамиуправлениябудутпланированиеикалендарно-плановоеруководство.ЗначительноеместовпроцессахуправленияздесьбудутзаниматьанализэффективностирешаемыхСЗИзадачиразработканаэтойосновепредложенийпоразвитиюсредствиметодовзащиты.Архитектуразащищаемойсистемынеможетбытьподвергнутасущественнымизменениям,однакоэтонеисключаетнекоторыхизмененийструктурывпределахимеющихсяструктурныхэлементов.Технологическиесхемыобработкиинформациимогутизменяться,могуттакжеформулироватьсяпредложенияпосовершенствованиюиразвитию архитектуры защищаемой системы.
Долгосрочноеуправление.Основнымипроцессамивэтомвидеуправленияявляютсяперспективноепланированиеиспользованиясредствзащиты,совершенствованиеконцепцииисистемзащитыинформации,разработкановыхсредствиметодовзащиты.Принеобходимостимогутсущественноизменятьсякакархи-
тектуразащищаемойсистемы,такитехнологическиесхемыобработкиинформации.
Втабл.5.1,основакоторойвзятанамиизучебника[31],приведеныпереченьисодержаниезадач,сформированныхвсоответствиисизложеннойклассификациейпроцессовуправлениязащитойинформации.Подробноеизложениеихимеетсявупомянутомучебнике,ккоторомумыиотсылаемзаинтересованногочитателя.Здесьжемыостановимсяболееподробнонаметодологическихосновахвыработкиуправленческихрешенийприменительнокобластиобеспечениязащитыинформации.
Какужеотмечалось,управлениевобщемслучаепредставляетсобойнепрерывнуюпроцедурувсистемесобратнойсвязью.Управлениесистемамиорганизационно-технологическоготипа(системамизащитыинформациивтомчисле)имееторганизационныеитехнологическиеаспекты.Наиболеесложнымвсистемеуправленияявляетсяпроцессвыработкирешения.Приосуществленииэтогопроцессадолжнабытьправильнопонята(описана)цельвыполняемогопроцесса,обработкаинформацииоходереализациипроцессадолжнабытьосуществленатакимобразом,чтобыприминимальномееколичествеможнобылопровестисравнениефактическогосостоянияпроцессастем,котороедолжносоответствоватькачественномувыполнениюпоставленнойзадачивнастоящиймоментвремениив прогнозируемыйпериод.
Первойоперациейпривыработкеуправленческогорешенияявляетсяуяснениезадачи,чтовслучаезащитыинформациивпервуюочередьопределяетсяеехарактером(общедоступная,конфиденциальнаяит.д.).Необходимымэлементомэтойоперацииявляетсяуяснениеконкретныхэлементарныхзадачнакаждомуровнеуправления.
Послеэтогоможнопереходитькдругойоперации-изучениюиоценкеобстановки(ситуации),вкоторойосуществляетсяпроцесс.Онапроводится,какправило,последовательнопоэлементам.Послеоценкикаждогоэлементаделаютсявыводы-обобщения.Необходимоиметьввиду,чтоприоценкеобстановкикаждыйэлементрассматриваетсявовзаимнойсвязисдругимиэлементамиивсейсистемойвцелом. Такимиэлементамиоценкиобстановкимогутбыть:
• персоналсистемы(преждевсего,комупоручитьвыполнениетехилииныхэлементовзадачи);
• главныенаправлениявыполнениязадачи;
• последовательностьдействий;
• ресурсы,необходимыедлявыполнениязадачи(материальные,финансовые,трудовые);
• техническоеипрограммноеобеспечение;
• экономическаяэффективностьосуществляемыхопераций,пространственныефакторы(площадь,расстояниеит.п.);
• времявыполненияосуществляемыхопераций;
• организационноеобеспечение(структура,связь,координация,контрольит.п.).
Изучениеиоценкаобстановкитребуютсбораиобработкиопределеннойинформации(технической,экономической,правовой,социальнойидр.).Например,влюбомслучае,принимаярешениепоорганизациизащитыинформации,необходимоанализироватьресурсы,которымирасполагаетзащищаемаясистема,степеньвыполненияплановобработкиинформации,возможностиускорениясоздания и введениявдействиетехилииныхсредствзащиты,прогнозироватьвозможностьсрываплановобработкиинформациииз-зареализацииугрозбезопасностис цельюегопредупреждения.
Полныйанализвсейполученнойинформациипозволяетприступитькформулировкеиотборувозможныхвариантоврешенияпроблемы защитыинформацииивыборуоптимальногоиз них.
Сравниваяфактическоеположениеделиихпрогноз,атакжеучитываяинформациюовнешнихусловиях,ивырабатываетсярядвозможныхрешений(альтернатив),приреализациикоторыхбудетобеспечиватьсядостижение поставленнойцели.
Всоответствиистеориейуправлениявсистемахорганизационно-технологическоготипа,исходяизанализаограничений,сучетомдопустимойстепенисамостоятельностивпринятиирешенияипринциповнормальногопротеканияпроцесса(недопустимостьпотериустойчивости),можнополучитьдопустимыеальтернативы,изкоторыхпотомвыбратьоптимальные,т.е.такие,прикоторыхмаксимизируетсяпоказателькачествапроцесса.
Приокончательнойвыработкерешения,помимомаксимизациипоказателякачествапроцесса,необходимоучитыватьещемногоразличныхобстоятельств,которыедалеконевсегдаудаетсяописатьматематическиивыразитьвформеосновногопоказателяпроцессаилиограничений.
Кчислутакихфакторовмогутотноситьсянекоторыеаспектыюридическойосновы,некоторыефакторы,связанныесэкономикойисоциологией,наконец,страдициямииэмоциональнымимоментами.Каждыйизэтихфакторовможетповлиятьнапринятиетогоилииногорешения.Поэтомузаключительнаяфазавыработкире-
T86m11..185.1
UU,
|
Q)
Q) |
OJ
|
(") |
3
w |
Ill
c:: |
3
c:: |
.§. |
.g
c:: |
c::
|
;i
Ill
Ill |
u,
|
() |
(') |
3
(!)
:ii:
!!:
Ill |
.E
3 |
!!:
:x: |
G.
0
1J
:ii:
Ill
c: |
c:
шениявобщемслучаенеможетбытьформализованаидолжнавыполнятьсяЛПР.Чтожекасаетсяпредыдущихэтаповвыработкирешений,тоонимогутбытьдостаточнохорошоформализованыирешеныматематически.
Следуетотметить,чтоматематическиеметодыоптимизацииуправленческихрешенийполностьюповторяютизвестныеметодыоптимальногопланирования.Необходимотолькоостановитьсянаслучаяхмногокритериальныхзадач,когданеудаетсясвестирешениепроблемыкединственномукритериюоптимальности.Такогородаситуацииособеннохарактерныдляпроблемызащитыин-формации.
Вэтомслучаеможноиспользоватьнесколькоподходов.Пер-выйизнихсостоитвсведениинесколькихкритериев кодному:
(5.35)
гдевесовыекоэффициентычастныхкритериев определяютсяспомощьюметодовэкспертныхоценоклибологическиманализом.
Второйподходсостоитвпревращениичастикритериеввограничения.Втехслучаях,когдаудаетсяобосноватьограниченияподополнительнымкритериям,такойподходвполнеоправдан.
Третийподходсостоитвранжировкекритериев.Оптимизациювэтомслучаепервоначальнопроизводятпосамомуважномукритерию,азатемопределяютобластьрешений,гдеэтоткритерийотличаетсяотоптимальногоегозначениянеболее,чемна10%.Внайденнойтакимпутемобластипроизводитсяоптимизацияповторомукритериюит.д.
Критерийдолженправильноучитыватьнеполнотуинформации,котораяможетсостоятьвслучайномхарактереиспользуемыхпараметров,полнойнеопределенностиотносительнорядапараметровидажесознательномпротиводействиивыполнениюнашихза-дач.
Пусть,например,мыотыскиваемоптимальноезначениевели-чиныа,прикотороймаксимизируетсякритерийК.НавеличинуКоказываетвлияниепараметрА,точноезначениекоторогонеиз-вестно.Вэтомслучаенеобходимозадатьсявозможнымизначе-ниями ;возможнымизначениями,идлявсехкомбинацийэтихзначенийрассчитатькритерий
ДляпринятияокончательногорешениявкачествеитоговогомогутиспользоватьсякритерииЛапласа,Гурвица,Сэвиджаиряддругих.
КритерийЛапласаопределяетсяизусловия,чтовсезначе-ниясчитаютсяравновероятными.Тогдаитоговыйкритерийимеет вид
(5.36)
КритерийГурвицазаписываетсяследующимобразом:
(5.37)
где и -максимальноеиминимальноезначения для ; - коэффициент,выбираемыйисходяизспецификизадачи.При = 1оценкапроизводитсяпонаиболеевыгоднымрезультатам(оптимистическаяоценка).При =0оценкапроизводитсяпонаиболеепессиместическимданным. ЭтоткритерийназываетсякритериемВальда.Онсоответствуетсамойстрогойоценке .
КритерийСэвиджапредставляетсобой«сожаление»междувы-
боромдействительныминаиболееблагоприятным:
(5.38)
Еслиизвестнывероятности получениятехилииныхвеличин (стохастичекийслучай),товэтомслучаеитоговыйкритерийопределяетсяследующейформулой:
(5.39)
ВслучаеполнойнеопределенностичащевсегоиспользуетсякритерийЛапласа,вслучаеналичиясознательногопротиводействия-критерийГурвицаивситуациислучайнойвеличиныпараметровсизвестнымихарактеристиками-критерий(5.39).
Взаключениеболееподробнорассмотримвозможныеподходыкорганизацииконтролязащищенностиинформациикакоднойизважнейшихфункцийуправлениязащитой.
Подэтимконтролембудемпониматьобъективнуюоценкуреальногоуровнязащищенностиинформации,представляющегосо-бойотношениедействительногозначенияпоказателязащищенностиктребуемому.Наосновеанализаэтогоотношенияипринимаетсявдальнейшемуправленческоерешениепоиспользованиютехилииныхсредствзащиты.
Есличерез обозначитьдействительноезначениепоказателязащищенностиинформациивмоментвремени ,ачерез -требуемоезначениеэтогожепоказателявтотжемоментвремени,топри ,где -допустимоеснижениеуровнязащищенности,необходимоусилениезащиты,апри ,где -допустимоепревышениетребуемогоуровнязащищенности,изсхемызащитымогутбытьисключенынекоторыефункционирующиесредства,чтоврезультатеприведеткэкономииресурсов, затрачиваемых на защиту.
Изметодологииоценкиуязвимостиинформацииизвестно,что
зависитотцелойсовокупностипараметров.Ихпереченьисодержаниебыли достаточноподробнорассмотренынамив гл.3.
Сучетомэтогозадачаконтролязащищенностиможетбытьсведенакследующейпоследовательностимероприятий:
• сборвозможноболееполныхданныховсейсовокупностипараметров,необходимыхдляопределениявыбранныхпоказателейзащищенности;
• определениесобязательнойоценкойдостоверноститекущихзначенийвсехнеобходимыхпараметров;
• определениетекущихзначенийвыбранныхпоказателейзащищенностиинформации;
• сравнениедействительныхзначенийтекущихпоказателейзащищенностистребуемымизначениями.
Каквидим,такаяпостановказадачипредполагаетопределениетекущихзначенийпоказателейзащищенностиинформациидлятехмоментоввремени,которыеужепрошли,однаконаихосноведолжныприниматьсяуправленческиерешенияотносительнобудущихмоментоввремени.Чтобыустранитьэтопротиворечие,вприведенныйвышепереченьмероприятийнеобходимовключитьзадачупрогнозированияожидаемыхзначенийпоказателейзащищенности,котороеможетосуществлятьсялишьнаоснованиинакопленныхданныхпредысториипроцесса.Такимобразом,вперечнемероприятийдолжнабытьтакжеизадачанакопленияданныхпредыстории.
Приреализациисформулированноготакимобразомполногоперечнямероприятийконтроляпредполагается,чтомеханизмызащитыфункционируютвсоответствиисзапланированнымрегламентом.Однаковпроцессефункционированияонисамиподверженывоздействиювсейсовокупностидестабилизирующихфакто-
ров,т.е.отказам,сбоям,ошибкам,стихийнымбедствиям,злоумышленнымдействиямипобочнымвлияниями.Поэтомувперечньмероприятийконтролязащищенностинеобходимовключитьтакжеконтрольфункционированиясамогомеханизмазащиты.Последнее,очевидно,должнопредполагатьпланированиеконтроля,оперативно-диспетчерскийикалендарно-плановыйвидыконтроля,какидлявсехдругихфункцийуправления
Сучетомвсегоизложенного,структураиобщеесодержаниезадачконтролязащищенностипредставленынарис.5.7.
Попытаемсяформализоватьпостановкузадачиконтролязащищенности,используявведенноеранеепонятиеоптимизацииуправленческихрешений.Приэтомформулировказадачиприобретаетследующийвид:разработатьиосуществитьтакуюсовокупностьмероприятий,прикоторойнадежностьконтроля ,т.е.вероятностьтого,чтосущественныеотклоненияпоказателейзащищенности неостанутсяневыявленнымив течениезаданного
промежуткавремени,-будетненижезаданной ,иприэтом
расходы наорганизациюконтроля будутминимальными,т.е.:
(5.40)
(5.41)
Еслижепокаким-либопричинамсредстванаорганизациюконтроляограниченызначением ,топостановказадачивидоизменяетсяследующимобразом:разработатьиосуществитьсовокупностьмероприятий,прикоторых
(5.42)
(5.43)
Непосредственнаяорганизацияконтролязащищенностиможетизменятьсявзависимостиотпоставленныхпрагматическихцелей,которыесформулируемследующимобразом:
• контрольсостоянияпараметров,определяющихзначенияконтролируемыхпоказателей;
• контрольналичия(проявления)типовыхнарушенийправилзащитыинформации;
• комбинированныйконтроль.
Первыйвариантхарактерентем,чтоконтролируютсятолькотепараметры,которые,соднойстороны,определяютзначениявыбран-
Оценкапоказателейзащищенностиинформации
Контрользащищенности
Контрользащищенностиинформации
Прогнозированиепоказателейзащищенности информации
Определениетекущих значенийпоказателейзащищенности
Накоплениеданныхопараметрахзащищенностиинформации
Определениетекущихзначенийпараметровзащищенностиинформации
информации Сборданныхо совокупностипараметров,характеризующих
защищенностьинформации
Календарно-плановыйконтроль
Контрольфункционированиямеханизмовзащиты
Оперативно-диспетчерскийконтроль
Планированиеконтролямеханизмовзащиты
Рис.5.7.Структураисодержаниезадачконтролязащищенностиинформации
ныхпоказателейзащищенности,асдругой-могутбытьизмеренынепосредственновпроцессеобработкизащищаемойинформации.
Чтобыорганизоватьконтрольвэтомслучае,необходимопредусмотретьрешениеследующихзадач:
• обоснованиеперечняисодержанияпоказателейзащищенности,которыедолжны контролироваться;
• формированиеминимальногомножествапараметров,которыемогутбытьизмереныипозначениямкоторыхможноопределитьзначенияконтролируемыхпоказателей;
• определениеточеквструктуреобработкиинформации,гдемогутбытьзафиксированызначениякаждогоизсформированногомножествапараметров;
• определение способовизмеренияпараметров;
• выработкаметодовопределения(проверки,верификации)значений параметров;
• разработкаметодовопределениятекущихипрогнозированияожидаемыхзначенийпоказателейзащищенности.
Принципиальноважнымдляданноговариантаконтроляявляетсято,чтонепосредственномунаблюдениюприегореализацииподвергаютсяэлементарныепараметры,чтозатрудняетзлоумышленникамвыборпутиобходаконтроля.Втожевремяочевидно,чтомножествоконтролируемыхпараметровприэтомдолжнобытьдостаточнопредставительным,асамипараметры-достаточноэлементарными.Тольковэтомслучаебудеттрудноопределить(вскрыть)характер(содержание)контролируемыхпоказателейзащищенности.
Контрольповторомувариантузаключаетсявтом,чтовпроцессеегореализациивыявляютсятакиенарушенияправилзащитыинформации,которыеимелиместоранее(возможнованалогичныхситуациях),иливозможностьпроявлениякоторыхпредполагаетсягипотетически.Организацияконтроляпоэтомувариантупредполагаетрешениеследующихзадач:
• формированиеирегулярнаякорректировкаспискапотенциальновозможныхнарушенийправилзащиты;
• определениевероятностных(частотных)характеристикпроявлениякаждогоизпотенциальновозможныхнарушений;
• определениевозможныхмест,условийихарактерапроявлениякаждогоизнарушений;
• формированиеиперманентноеуточнениеипополнениеспискапотенциальновозможныхнарушений.
Преимуществамиданноговариантаявляютсянаглядностьконтроляипрактическиполныйучетопытафункционированиякон-
кретныхсистемилиобъектов.Ноочевиднымиявляютсяиориентацияпреимущественнонапредшествующийопыт,атакженезамаскированностьдлязлоумышленниковсточкизренияпоискавозможныхпутейуклоненияотконтроля.
Третийвариантпредполагаеткомбинированиеконтроляпопараметрамитиповымнарушениям.Этотвариантявляетсяобщим,апотомуиможетрассматриватьсявкачествебазовогоприорганизации любыхвидовконтроля.
Следуетотметить,чтовпоследнеевремяактивноразворачиваютсяработыпосозданиюметодоваудитаинформационныхсистемсточкизренияобеспеченияихинформационнойбезопасности.Приэтомосновнымвэтихметодахявляетсяконтрольработытакназываемыхлегальныхпользователей(втомчислепрограммистов,администраторов)путемретроспективногосравнительногоанализаданныхобихдеятельности,фиксируемыхврегистрационныхжурналахипрофиляхполномочий.Цельютакогоанализаявляетсявыявлениеотклоненийфактическихдействийконтролируемыхлицотдействий,разрешенныхимпрофилямиполномочий.Наосновестатистическогоанализатакихотклоненийможноопределитьхарактернамеренийсоответствующихлиц,втомчислеизлоумышленных.
Краткиевыводы
1. Всересурсы,выделяемыевтехилииныхсистемахилиобъектахдлязащитыинформации,должныбытьобъединенывединую,целостную,функциональносамостоятельнуюсистемузащитыинформации.СозданиеСЗИпредполагаетудовлетворениецеломукомплексуфункциональных,эргономических,экономических,техническихи организационныхтребований.
2. СточкизренияорганизационногопостроенияСЗИпредставляетсобойсовокупностьмеханизмовобеспечениязащитыинформации,механизмов управлениямеханизмамиобеспечениязащитыинформации имеханизмовобщейорганизацииработысистемызащиты.ДляувязкивсехподсистемСЗИв единуюцелостную системувнеевводитсяспециальныйкомпонент-ядросистемы.
ОбщаяструктурнаясхемаСЗИдолжнавключатьтакиеэлементы,какчеловеческийкомпонент(системныепрограммисты,обслуживающийперсонал,администраторыбанковданных,диспетчерыиоператорызащищаемойсистемы,администрация,пользователи,службазащитыинформации),организационно-правовоеобеспечение(организационно-правовыенормыиорганизационно-техническиеме-
роприятия),привлекаемыересурсысистемы(лингвистическое,информационное,программное,математическоеитехническоеобеспечение).
3. ВажнейшеезначениедляобеспечениянадежностииэкономичностизащитыинформацииимеюттипизацияистандартизацияСЗИ.ИсходяизконцепциизащитыинформациииподходовкархитектурномупостроениюСЗИможновыделитьтриуровнятипизацииистандартизации:высший-уровеньСЗИвцелом,средний-уровенькомпонентовСЗИинизший-уровеньпроектныхрешенийпосредствамимеханизмамзащиты.
4. ОбъективныепредпосылкидлятипизацииистандартизациинавысшемисреднемуровняхсоздаетсистемнаяклассификацияСЗИ,включающая6классовииспользующаятакиекритерии,какуровеньобеспечиваемойзащиты(слабая,сильная,оченьсильнаяиособая)иактивностьреагированиянанесанкционированныедействия(пассивное,полуактивное,активное).Полнаяклассификацияучитываетдополнительнотипзащищаемойсистемы(персональнаяЭВМ,групповаяЭВМ,ВЦпредприятия,ВЦколлективногопользования,локальная,региональнаяилиглобальнаявычислительнаясеть).
ТипизацияистандартизациянасреднемуровнепредполагаетразработкутиповыхпроектовструктурноифункциональноориентированныхкомпонентовСЗИ.ВкачественаиболееперспективноговариантапокомпонентнойтипизацииистандартизацииСЗИможетбытьиспользованподход,основанныйнасемирубежноймодели.
Типизацияистандартизациянанизшемуровнепредполагаетразработкутиповыхпроектныхрешенийпопрактическойреализациисредствзащитыинформации(технических,программных,организационныхикриптографических).
5. Учетмножествафакторов,влияющихназащитуинформацииинаходящихсявсложномвзаимодействии,приводиткпредставлениюСЗИкакмногокритериальногоразвивающегосяобъекта.ДляанализаСЗИвэтомслучаемогутбытьиспользованыдвефункцииполезности-ранговаяфункцияполезностиифункцияполезностиприанализерисков,которыеявляютсяосновойкритериевдляоценкиполитикибезопасности,реализуемойсистемойзащиты.
6. Проектированиесистемзащитыинформацииможетосновыватьсянаразличныхподходах-отиспользованиятиповыхСЗИдоразработкииндивидуальногопроектасистемысприменениеминдивидуальныхсредствзащиты.
НаосновеэнтропийногоподходаможетбытьпостроенамодельСЗИ,позволяющаянайтиоптимальноераспределениесредствзащитыпоразличнымрубежам,эффективнопротиводействующихпрогнозируемымугрозам безопасностиинформации.
7. УправлениефункционированиемСЗИпредполагаетреализациюследующихмакропроцессов:планирование,оперативно-диспетчерскоеуправление,календарно-плановоеруководствоиобеспечениеповседневнойдеятельности.Этипроцессымогутосуществлятьсявусловияхкраткосрочного,среднесрочногоидолгосрочногоуправления.
8. Особоезначениевпроцедурахуправленияимеетрегулярноосуществляемыйконтрользащищенностиинформациивзащищаемойсистемеилиобъекте,которыйскладываетсяизсобственноконтролязащищенностиинформациииконтроляфункционированиямеханизмовзащиты.Технологияконтролязащищенностипредусматриваетконтрольсостоянияпараметров,определяющихзначенияконтролируемыхпоказателей,контрольпроявлениятиповыхнарушенийправилзащитыинформации,атакжекомбинированныйконтрольпопараметрамитиповымнарушениям.
Дата добавления: 2018-02-15; просмотров: 457; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!