CC BY
61
УДК 007:159.995
М.А. Щербаков, В.А. Кушников АНАЛИЗ ВЫПОЛНИМОСТИ ДЕРЕВЬЕВ ЦЕЛЕЙ ПРИ УПРАВЛЕНИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ПРЕДПРИЯТИЙ И ОРГАНИЗАЦИЙ
Рассмотрены задачи анализа ситуационного управления, позволяющие осуществить проверку выполнения плана мероприятия производства.
Деревья целей, план мероприятий, автоматизированная система, безопасность M.A. Scherbakov, V.A. Kushnikov
A STUDY OF FEASIBLE OBJECTIVES WHEN MANAGING INFORMATION SECURITY AT COMPANIES AND ORGANIZATIONS
The article considers the objectives related with the study of situational control which ensures verification of plans for activities at an enterprise.
Objective «trees», action plan, automated system, security
Введение
«По-настоящему безопасной можно считать лишь систему, которая выключена, замурована в бетонный корпус, заперта в помещении со свинцовыми стенами и охраняется вооруженным караулом, но и в этом случае сомнения не оставляют меня» [1]. Эта крылатая фраза профессора Южина Спаффорда, одного из крупнейших экспертов в области безопасности и защищенности операционных систем, директора Центра образования и исследования защищенности и безопасности информации при университете в Пёдью, на наш взгляд, как нельзя лучше показывает сложность, многоаспект-ность и комплексный характер проблемы управления информационной безопасностью.
Методики управления информационной безопасностью в структурных подразделениях предприятий и организаций в настоящее время хорошо известны и детально разработаны, их требования подробно изложены, например, в международных стандартах ISO/IEC 27002, британском стандарте BS 7799, в ГОСТ Р ИСО/МЭК 15408-2002, а также во многих других документах [2-12]. Успешная реализация основных положений этих документов на практике невозможна без разработки подробного плана мероприятий по обеспечению информационной безопасности предприятия или организации, затрагивающего деятельность всех его структурных подразделений. Эти планы, как правило, формируются в виде деревьев целей, они имеют сложную структуру и могут состоять из сотен отдельных мероприятий, выполняемых в различные промежутки времени на разных уровнях иерархии объекта управления. При этом на каждое мероприятие влияют многочисленные условия, препятствующие или способствующие его осуществлению, которые также необходимо иметь в виду при разработке комплексного плана управления информационной безопасностью предприятия или организации.
В настоящее время созданы и прошли проверку практикой многочисленные автоматизированные системы управления производственными процессами, в контурах которых возможно осуществить формирование и контроль исполнения деревьев целей по обеспечению информационной безопасности предприятий и организаций [6, 7]. В трудах зарубежных и отечественных ученых, таких как Э. Фейгенбаум, Д. Уотермен, С. Рассел, П. Норвиг, Д.А. Поспелов, О.И. Ларичев, А.Ф. Резчиков и других подробно разработаны общие принципы построения этих систем [13-15].
Вместе с тем в специальной литературе, по сведению авторов, практически отсутствуют сообщения о математическом обеспечении, позволяющем оперативно подтвердить или опровергнуть возможность выполнения крупных целей, достижение которых необходимо, например, для управления информационной безопасностью крупных предприятий и организаций, а также установить причины, препятствующие их осуществления.
Данное обстоятельство значительно затрудняет реализацию известной концепции «управления по целям» (англ. objective management), в соответствии с которой цель должна быть [16]:
- чёткой, определённой (Specific);
- измеримой (Measurable);
— достижимой (Achievable).
— обеспеченной ресурсами (Relevant);
— ограниченной во времени (Time-bounded).
В результате даже опытные, высококвалифицированные специалисты могут испытывать значительные трудности при оценке выполнимости сложных деревьев целей, состоящих из нескольких сотен вершин, что зачастую приводит к срыву намеченной стратегии управления безопасностью, нерациональному использованию ресурсов и, как следствие, к значительному экономическому ущербу.
Приведенные выше соображения обусловливают актуальность, экономическую целесообразность и практическую значимость данной статьи, посвященной разработке математических моделей и алгоритмов, позволяющих оперативно оценить выполнимость сложных деревьев целей, осуществляемых при управлении информационной безопасностью предприятия или организации, и установить причины, препятствующие их реализации.
Постановка задачи, ограничения и допущения
Допустим, что на промышленном предприятии или в организации возникла сложная ситуация w(х,и)е jw(X,U)j, связанная с нарушением функционирования системы информационной без® ® Г ® ® 1
опасности, в результате которой объект управления перешел в состояние s0(х,и)е jS(X,U) j и ему был причинен существенный ущерб ( js (X ,U )j - множество допустимых состояний объекта управления, jw (X ,U )j - множество контролируемых ситуаций предприятия или организации; векторы параметров среды х е jx)|и управляющих воздействий и е |u)j, соответственно).
X X Г х х 1
Примем также, что, переход объекта управления в состояние sk (х, и) е j S(X,U) j приведет
х х Г х х 1
к ликвидации возникшей сложной ситуации w(х, и) е j W(X,U) j и позволит минимизировать возникший ущерб.
х х Г х х 1
Для разрешения сложной ситуации w(х, и) е j W(X,U) j управленческим персоналом был
разработан комплекс мероприятий, представленный в виде дерева целей d е , по поэтапному пе-
—X —X j —X —X j —X —X j —X —X
реводу объекта управления из состояния s0(х, и) е jS(X,U) j в состояние sk (х, и) е jS(X,U)
означающее окончание сложной ситуации (м - множество допустимых деревьев целей). В дальнейшем будем считать, что дерево целей dе {D} состоит из конечного набора целей {zx, z2,...,zn }, при реализации каждой из которых происходит переход объекта управления из состояния
st(х,и)е js(X,U)j в состояние si+1(х,и)е js(X,U)j,i = 0,k — 1.
Допустим также, что на выполнение каждой из целейzt е {z1,z2,...,zn} влияют условия
—X —X ___
Bi (х, и), i = 1, g, вытекающие из особенностей функционирования объекта и системы управления, а
также зависящие от состояния окружающей среды. Данные условия, а оказывающие влияние на выполнение целиzi е {z1,z2,...,zn}, в общем случае могут быть формализованы с помощью продукций, которые имеют вид следующих выражений:
XX XX XX
ЕСЛИ ВЫПОЛНЯЕТСЯ < В1(х, и)Я1В2(х, и)Я2...Як—1Вк (х, и)>, ТО ЦЕЛЬ <
z е {z1, z2,...,zn} БУДЕТ ВЫПОЛНЕНА >
R. є { AND,OR,NOT, AND — NOT,OR — NOT I, i = 1,5 (1)
Если количество проверяемых условий равно двум или одному, то в (1) они записываются в виде выражений B1 (x, и) AND B2 (x, и) или B1 (x, и), соответственно.
Цель z. є {z1,z2,...,znI является выполнимой, если:
— исполнены все предшествующие ей цели дерева
d є {DI;
— выполнены влияющие на цель гі є {гх,г2,...,гп} правила В(х,и),і = 1,%, заданные в виде выражений (1).
При нарушении хотя бы одного из данных условий цель 2І є {г1,г2,...,гп} не может быть выполнена.
Дерево целей О будет выполнимым, если выполнимы все его цели, и невыполнимым, если оно содержит хотя бы одну цель, которую в сложившихся условиях невозможно достичь. С учетом приведенных выше определений и допущений формализованная постановка решаемой задачи имеет следующую формулировку.
Для систем автоматизированного управления информационной безопасностью предприятий и организаций разработать математические модели и алгоритмы, позволяющие в режиме реального времени формальными методами подтвердить или опровергнуть выполнимость цели, представленной в виде дерева целей О, установить причины, препятствующие ее достижению, и рекомендовать способы их устранения.
Общая характеристика метода решения
В основу предлагаемого метода решения поставленной задачи положен известный эвристический подход, основанный на представлении дерева целей в виде схемы цифрового дискретного устройства Ои, построенной на основе конъюнкторов, дизъюнкторов и инверторов. Данный поход к анализу выполнимости деревьев целей и планов мероприятий впервые был предложен и обоснован для диалоговых систем оперативного управления производственными процессами в трудах чл.-корр. РАН А.Ф.Резчикова и представителей его научной школы [15-19].
Рассмотрим основные положения данного подхода. Для каждого мероприятия проверяемого плана формируется система условий, выполнение которых, по мнению ЛПР, непосредственно влияет на выполнение или невыполнение соответствующего мероприятия. Условия должны быть сформированы в виде продукций, т.е. иметь вид выражений (1).
Использование данной системы условий позволяет формализовать знания ЛПР о причинноследственных связях, без учета которых выполнение того или иного мероприятия плана ликвидации сложной
производственной ситуации w(X и) є ^(X и)| может привести к получению нежелательного результата.
Каждому входу цифрового устройства О0 во взаимно однозначное соответствие ставится
или цель гі є {гх, г2,...,2п }, или условие Ві (х, и) . При выполнении данных мероприятий и условий
на соответствующий им вход цифрового устройства ОЦ подается единичный сигнал, а при невыполнении - нулевой.
Управленческий персонал предприятия, формируя на входах цифрового устройства Ои дво-
® ® ________
ичные сигналы, соответствующие выполнению или невыполнению условий Ві (х, и), і = 1, %, и мероприятий є {гх,г2,...,гп}, по значению выходного сигнала может оперативно подтвердить выполнимость
крупной цели, характеризуемой деревом целей d, или определить причины ее невыполнения. Математические модели и алгоритмы
В зависимости от того, используются ли при формальном описании дерева целей условия (1), при анализе выполнимости цели d применяются различные формальные модели и алгоритмы, отличающиеся сложностью их построения.
Модель А. Представим дерево целей d в виде ориентированного графа 0(0, Е), множество вершин и которого - мероприятия разработанного плана, а множество Е - дуги, соединяющие эти вершины иі є и . При этом вершины иі, и ■ є и графа 0(0, Е) соединяются дугой е^ є Е в том и 138
только том случае, если для двух мероприятий плана , Mj е M , соответствующих этим вершинам,
выполняется отношение Ш - «выполнение нетранзитивно зависит от».
В процессе формирования модели А граф G(U, E) описывается системой продукций, формируемой по следующему алгоритму.
Алгоритм 1
1. Начало работы.
2. На графе G(U, E) определить вершину и * с нулевой полустепенью захода d (и *) = 0 На схеме плана мероприятий M эта вершина соответствует вершине - «План мероприятий выполнен».
3. На графе G(U,E) определить все вершины um0,uk0,h0 ,...,u0 е U, соединенные дугами с
*
вершиной и .
4. В формируемую продукционную модель записать условие:
ПЛАН M БУДЕТ ВЫПОЛНЕН, ЕСЛИ ВЫПОЛНЕНЫ МЕРОПРИЯТИЯ, СООТВЕТСТВУЮЩИЕ ВЕРШИНАМ ГРАФА U AND и AND и AND ... AND и
m0 k 0 h0 10
5. Для вершины Um0, определить все вершины им1, ик1, им,...,ия, соединенные дугами с вершиной ит0.
6. В формируемой продукционной модели записать условие: МЕРОПРИЯТИЕ и^ БУДЕТ
ВЫПОЛНЕНО, ЕСЛИ ВЫПОЛНЕНЫ МЕРОПРИЯТИЯ, СООТВЕТСТВУЮЩИЕ ВЕРШИНАМ ГРАФА и AND и AND и AND . AND и
ml k1 hi 11
7. Продолжить формирование продукционной модели до тех пор, пока не будут достигнуты
конечные вершины графа G(U, E) , т.е. вершины с нулевой полустепенью исхода d + (^ ) = 0 .
8. Конец алгоритма.
Затем по известным правилам, используемым при проектировании цифровых ЭВМ[20,21], системе
продукций ставится в соответствие логическая функция f (и ,и ,...,и ) , где и ,и ,...,и - ко-
lk 2k vk 1k 2k vk
нечные вершины графа G(U, E), т.е вершины, полустепень исхода которых равна нулю. При этом каждый аргумент и.. функции f (и^,и2^,-..,и ^) должен принимать значение 1 или 0, что будет означать выполнение или невыполнение мероприятия т.. е M , соответствующего вершине и.. графа G(U, E) . Ло-
V У
гическая функция, формируемая на выходе DU, принимает следующие значения:
11, если план выполнен f(и, ,и0, ,...,и , ) = 1
1k 2k vk L0, если план не выполнен
Задавая различные комбинации значений аргументов и °1k, и °2k,..., и 0vk и определяя соответствующие этим аргументам значения функции f ( и01k,и02k, . ,и0vk), можно анализировать степень выполнения намеченного плана мероприятий; определить невыполненные мероприятия, сдерживающие успешное осуществление разработанного плана, и получить новые знания об условиях выполнения плана М .
Модель В. Данная модель строится на основе модели А и отличается от нее тем, что учитывает влияние на выполнение отдельных мероприятий плана mi е M условий (1), задаваемых управленческим персоналом на основе личного опыта, интуиции, хорошего знания особенностей функционирования объекта и системы управления и т.д. Данные условия могут носить необходимый или достаточный характер и касаться выполнения тех или иных мероприятий плана M . При этом указанные условия могут быть сформированы как заранее, на этапе первоначальной разработки плана мероприятий, так и добавлены в этот план в процессе его практической реализации. Условия должны быть представлены в виде продукций и объединяться операциями AND, OR, NOT. В частности, они могут иметь следующий вид:
МЕРОПРИЯТИЕ т. БУДЕТ ВЫПОЛНЕНО, ЕСЛИ (<H1> £N1) OR ((H2 £ N2 AND H3 >
N3) AND H4 £ N4); (2)
H1:: = <Количество неработающих компьютеров>;
H2:: = <Продолжительность вирусной атаки, ч>;
H3:: = <Степень интенсивности воздействия на информационную систему, %>;
H4:: = < Ожидаемая продолжительность периода восстановления, ч>;
(I - порядковый номер мероприятия в плане М; Н1, Н2, Н3, Н4 - логико-лингвистические переменные, значения которых заданы приведенными выше соотношениями; N1, N2, N4, N4 - известные константы).
Использование условий (1) позволяет повысить качество планирования мероприятий по лик® ® Г ® ® 1
видации сложных ситуацийw(x,и) е < W(X,U) >, а также заранее проверить выполнимость разрабо-
танного плана в складывающихся условиях и, при необходимости, осуществить его коррекцию. Кроме того, данные продукции могут заноситься в базу данных информационной системы вместе с документами, регламентирующими поведение оперативно-диспетчерского персонала предприятия или организации и использоваться как в процессе подготовки и принятия решений при ликвидации ситу® ® Г ® ® ]
аций w(х, и) е (X, и) >, так и на этапе обучения персонала эффективным действиям при нарушениях информационной безопасности.
Для построения модели В, как и в случае модели А, по структурной схеме плана мероприятий М в соответствии с алгоритмом 1 формируется граф 01(и,Е). Отличием является добавление в пункты 4, 6 и 7 алгоритма 1 продукций (1), связывающих реализацию тех или иных мероприятий плана т{ е М с выполнением предварительно заданных условий. Затем по графу 01(и, Е) формируется логическая функция /(и1к,и2к,...,иук) (где и1к,и2к,...,ил- конечные вершины графа 01(и,Е)) и синтезируется цифровое устройства на базе конъюнкторов, дизъюнкторов и инверторов, имеющего ту же таблицу состояний, что и логическая функция / (и1к, и2к,... ,иук ). Формирование логической функции и синтез цифрового устройства Ои осуществляется по той же методике, что и при построении модели А.
При помощи цифрового устройства Ои, реализация которого может быть осуществлена как программным, так и аппаратным способом, оценивается возможность выполнения плана при различных условиях.
Оперативная оценка выполнимости плана мероприятий. На текущий момент времени анализируется выполнение всех мероприятий mj е М, а также условий выполнения этих мероприятий,
входящих в состав продукций (1). На вход цифрового устройства Ои подаются единичные сигналы, соответствующие уже выполненным мероприятиям и условиям (1), и нулевые сигналы - соответствующие невыполненным.
Определяется сигнал на выходе Ои . Если он равен 1, то в текущий момент времени дерево
целейd е {О} по ликвидации сложной ситуации w(х,и) е Г Ж(X,и) I, возникшей в результате нару-
шения информационной безопасности, может быть реализовано. В противном случае осуществляется коррекция условий (1) и проверяемого плана мероприятий.
Заключение
Рассмотренный в данной статье подход к анализу выполнимости деревьев целей позволяет создать методологическую основу для разработки новых систем управления информационной безопасностью с когнитивными функциями, использование которых повысит надежность и эффективность функционирования предприятий и организаций.
ЛИТЕРАТУРА
1. Eugene H. Spafford: Cyber Security: Assessing Our Vulnerabilities and Developing an Effective Defense. ISIPS 2008: P. 20-33.
2. BS 7799-1: 2005. Information security management. Code of practice for information security management
3. BS 7799-2: 2005. Information security management. Specification for information security management systems.
4. BS 7799-3: 2006. Information security management systems. Guidelines for information security risk management.
5. BS 7799-3:2006 “Information security management systems - Part 3: Guidelines for information security risk management”.
6. Information Security Management Handbook. Fifth Edition. CRC Press, 2004 г.
7. ISO/IEC TR 13335-3:1998 “Information technology - Guidelines for the management of IT Security - Part 3: Techniques for the management of IT security”.
8. Risk Management Guide for Information Technology Systems. Recommendations of the National Institute of Standards and Technology. - Special Publication 800-30, 2002.
9. ГОСТ Р ИСО/МЭК ТО 18044 «Информационная технология. Методы обеспечения безопасности. Руководство по менеджменту безопасностью информации».
10. ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий».
11. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
12. О внедрении ГОСТ ИСО/МЭК 17799 и 27001 / С.А. Леденко, А.С. Марков и др. // Information Security, 2006 -№3/4.
13. Васильев С.Н. От классических задач регулирования к интеллектуальному управлению I / С.Н. Васильев // Известия РАН. Теория и системы управления. 2001. № 1. С. 5-22.
14. Васильев С.Н.. От классических задач регулирования к интеллектуальному управлению II / С.Н. Васильев // Известия РАН. Теория и системы управления. 2001. № 2. С. 5-21.
15. Модели и алгоритмы постановки задач разработки АСУ промышленными объектами / А.Ф. Резчиков, В.А. Кушников, Е.И. Шлычков, О.М. Бойкова // Приборы и системы. Управление, контроль, диагностика. 2006. № 9. С. 64-68.
16. Анализ выполнимости планов мероприятий при оперативном управлении машиностроительным предприятием / Е.И. Шлычков, М.Ю. Похазников, В.А. Кушников, О.М. Калашникова // Вестник СГТУ. 2007. Т. 1. № 1. С. 88-95.
17. Математические модели и алгоритмы оперативного управления процессами ликвидации чрезвычайных ситуаций / Ю.А. Аветисян, В.А. Кушников, А.Ф. Резчиков, В.А. Родичев // Мехатро-ника, автоматизация, управление. 2009. № 11. С. 43-47.
18. Родичев В.А. Модели и алгоритмы поиска данных в информационных системах промышленного предприятия / В.А. Родичев, А.Ф. Резчиков, В.А. Кушников // Информационные технологии. 2005. № 8. С. 62.
19. Kushnikov V.A. Сontrol in man-machine systems with automated correction of objectives / V.A. Kushnikov, A.F. Rezchikov, A.D. Tsvirkun // Meitan Kexun Jishu/Coal Science and Technology (Peking). 1998. Т. 26. № 11. С. 168-175.
20. Друкер П. Ф. Менеджмент: задачи, обязанности, практика: пер. с англ. / Питер Ф. Друкер. М. : Вильямс, 2008. 992 с.
21. Андерсон Дж. Дискретная математика и комбинаторика: пер. с англ. / Дж. Андерсон. М.: Вильямс, 2003. 960 с.
Щербаков Максим Александрович -
аспирант Института проблем точной механики и управления РАН
Кушников Вадим Алексеевич -
доктор технических наук, профессор, профессор кафедры ПИТ Саратовского государственного технического университета имени Гагарина Ю.А.
Статья поступила в редакцию 21.11.13, принята к опубликованию 15.12.13
Maxim A. Scherbakov -
Postgraduate
Institute of Precision Mechanics and Control, Russian Academy of Sciences
Vadim A. Kushnikov -
Dr. Sc., Professor
Department of Applied Information Technologies, Yuri Gagarin State Technical University of Saratov
