CC BY
20УДК 004.056 DOI: 10.12737/20290
М. Ю. Рытов, ЕВ. Лексиков, П.А. Ковалев
ИСПОЛЬЗОВАНИЕ НЕЧЕТКОГО КОГНИТИВНОГО МОДЕЛИРОВАНИЯ ДЛЯ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ПОРТАЛОВ РЕГИОНАЛЬНЫХ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ
Рассмотрены проблемы проведения аудита информационной безопасности (ИБ) информационных порталов региональных органов исполнительной власти. Приведен алгоритм разработки информационного портала. Предложен метод проведения аудита ИБ организации на основе метода нечеткого моделирования и построения нечетких когнитивных карт. Рассмотрена процедура применения аппарата нечетких когнитивных карт к ре-
шению задачи оценки обеспеченности ИТ-стратегии. Описан процесс формирования нечетких моделей.
Ключевые слова: автоматизированные системы управления, региональные органы исполнительной власти, нечеткое когнитивное моделирование, аудит информационной безопасности, информационный портал.
M.Yu. Rytov, E.V. Leksikov, P.A. Kovalyov
FUZZY COGNITIVE MODELING APPLICATION FOR CARRYING OUT OF INFORMATION SAFETY AUDIT OF INFORMATION PORTALS OF REGIONAL EXACUTIVE AUTHORITIE
At the present moment the internal policy is formed under complicated conditions of foreign situation. The regional policy is formed on the basis of index leveling in socio-economic development. The support of vital functions in social and economic systems of regions plays a role of no small importance in the system of executive power authority (EPA) including regional one. In the interests of assurance of public administration realization it is necessary to have at the disposal a condition for the existence of the vital functions process in social and economic systems. The information portals which perform a role of information and management systems (IMS) have a significant element in the management of social and economic
systems of a region. These systems allow performing online information gathering, storage, transfer, analysis and processing regarding a situation changing for decision making. The IMS development makes new requirements to the realization of the methodology of process management, taking into account situation changes. The analysis of information flows of regional EPA witnesses of that for management decision making only 10-15% of available information is used today.
Key words: automated management systems, regional executive authorities, fuzzy cognitive modeling, information safety audit, information portal.
Обеспечение региональных органов исполнительной власти (ОИВ) единой точкой доступа к информационным, производственным и экономическим ресурсам позволяет оптимизировать и автоматизировать процесс принятия управленческих решений. Однако внедрение информационного портала в такую обширную и сложную область не является мгновенным и легким процессом. Информационный портал (ИП) является неотъемлемой частью усовершенствования процесса принятия управленческих решений для органов
государственной и исполнительной власти, призванной решать критические проблемы информационных процессов. Также следует отметить, что в настоящее время процесс разработки информационных порталов региональных органов исполнительной власти не типизирован и не позволяет оперативно создавать информационные порталы для различных регионов на основе типовых проектных решений с целью обмена и обработки данных.
Для региональных органов исполнительной власти необходимо, чтобы ин-
формационный портал выполнял роли АИС и ИСУ.
АИС (автоматизированная информационная система) - это система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы.
ИСУ (информационная система управления) - это единый набор находящихся в отношениях и связях друг с другом элементов, позволяющий осуществлять сбор, обработку, хранение и предоставление информации о деятельности региональных ОИВ в целях принятия управленческих решений.
Разработка информационного портала региональных органов исполнительной власти является сложным процессом (рисунок). Перед разработкой информационного портала выполняются длительные и масштабные работы по сбору первичных требований, их анализу и проектированию будущего программного решения, оценке угроз и рисков. В целом весь этот длительный процесс называется аудитом информационной безопасности.
Условно первый этап процесса разработки ИП можно разделить на 4 уровня, которые выполняются строго последовательно:
1. Проведение аудита ИБ.
2. Подготовка ТЗ. Формируется техническое задание на разработку АИС (в обиходе «ТЗ по конкурсу»), в котором оформляются первичные требования различных направлений к АИС.
3. Выбор вида ИП. Выбирается основное техническое решение для поставленной в ТЗ задачи.
4. Выдача проекта и прогнозирование рисков. На выходе после первых трех уровней должен получиться технический проект по реализации заданной АИС.
Рассматривая процесс аудита ИБ организации, остановимся на первом уровне.
На первом уровне происходит осознание потребности в информационном портале, поиск первичной информации по запрашиваемой тематике. Формируются первичные требования к информационному порталу, а также перечень целей и задач, которые он должен будет выполнять.
Затем на основе первичных требований необходимо проводить аудит информационной безопасности (далее аудит ИБ). Аудит ИБ определен как аудит, охватывающий изучение и оценку по всем аспектам (или части из них) систем автоматизированной обработки информации, в том числе связанных неавтоматизированных процессов и интерфейса, который их собирает [1].
Аудит ИБ представляет собой деятельность по сбору и оценке ряда доказательств для определения того, является ли информационная система безопасной, поддерживает ли целостность переработанных и внесенных данных, позволяет ли достичь стратегических целей субъекта и насколько эффективно использует информационные ресурсы.
Активное развитие информационных технологий способствовало разработке и последующему совершенствованию методологий аудита при использовании компьютеров и комплектующих средств. Информационные технологии сегодня применимы на всех этапах проведения процедуры аудита: во время планирования, осуществления, документирования аудиторской работы, оформления аудиторского вывода. Поэтому вопрос автоматизации процесса аудита является очень важным на данный момент.
В настоящее время достаточно сложно представить аудиторское исследование без использования информационных технологий. С одной точки зрения, компьютер - это универсальное средство, призванное помогать аудиторам решать различные повседневные задачи, в круг которых входят: в информационном обслуживании - ускорение процессов получения и обработки информации из баз данных клиента, документальная обработка информации, полученной аудиторами в ходе проверки; в методическом обслуживании - разработка аналитических электронных таблиц, создание прикладных аудиторских программ, ускорение применения аудиторских процедур; редактирование текстов и электронных таблиц, создание баз данных и пр. Однако, с другой точки зрения, использование клиентом автоматизированных ин-
формационных систем предъявляет особые требования к организации проведения исследования и выбора аудиторских процедур, что усложняет данный процесс.
На современном этапе организациям необходим структурированный подход в области аудита и управления информационными технологиями, который позволит гарантировать безопасность. Анализ показывает, что существующие подходы к проведению аудита ИБ не учитывают взаимное влияние ИТ-процессов друг на друга, объясняемое наличием ограничений на общий потребляемый ресурс.
Система управления ИТ-процессами организации является сложным организационно-техническим объединением. Именно поэтому механизм управления ее элементами является слабоструктурированным, допускающим формализацию в основном на качественном уровне, где изменение параметров системы может приводить к труднопредсказуемым изменениям в ее структуре [3].
В связи с этим для решения задачи анализа информации, имеющей такого рода нечеткости, особую актуальность приобрели нечеткие модели, т. е. модели, опирающиеся на теорию нечетких множеств, представляющую собой обобщение и переосмысление важнейших направлений классической математики. Для формализации подобных сложных систем чаще всего используется метод нечеткого моделирования для слабоструктурированных систем, который базируется на понятии нечетких множеств.
В основе метода нечеткого моделирования лежит понятие нечеткой когнитивной карты (НКК), впервые предложенное Б. Коско.
Информация о системе или процессе представляется в виде набора значимых факторов (концептов) и связывающих их причинно-следственных связей, при этом узлы получаемого нечеткого ориентированного графа представляют собой нечеткие множества, а направленные ребра определяют степень влияния (вес) связывае-
мых концептов, что, в отличие от других методов, дает возможность формализации численно неизмеримых факторов, использования неполной, нечеткой информации [2].
Общая процедура применения аппарата НКК к решению задачи оценки обеспеченности ИТ-стратегии на заданном интервале планирования предусматривает реализацию следующего конечного множества этапов, которые задаются стандартным способом построения НКК.
Этап 1. Ввод множеств концептов:
• Шаги 1-4. Формирование множеств концептов, которые характеризуют различные параметры.
Для моделирования НКК необходимо задать множества концептов, которые в дальнейшем определят структуру нечеткой когнитивной модели исследуемого процесса.
В данном случае рассматривается ИТ-аудит предприятия перед проектированием ИП. Берутся множества угроз, рисков, ИТ-целей, уровни возможностей ИТ-процессов, а также ключевые показатели эффективности ИТ-процессов [4].
Каждое множество концептов имеет следующий вид:
где К? - концепт, характеризующий уровень влияния угроз безопасности (1 =1, ...,
I).
Таким способом задаются все остальные множества концептов.
• Шаг 5. Формирование когнитивной модели исследуемого процесса.
Результатом выполнения шагов 1-4 первого этапа является структура нечеткой когнитивной модели:
К = (ос1 Ку,<х2 Ка,<хя Кь,Ккр' }, где ос1з ос2, осд - бинарные функции, определяющие перечень критичных бизнес-целей, ИТ-целей и ИТ-процессов для конкретного профиля организации; Ка, Кь,
- множества концептов, которые были заданы в шагах 2-4.
Инициация процесса обследования
Технические требования Функциональные требования Другие
Уровень 2
Подготовка предпроектной документации
задания Выдача ТЗ к проектированию
Уровень 3
Алгоритм выбора вида
КП и его структуры посредством нечеткого когнитивного моделирования у
Уровень 4
Алгоритм прогнозирования возможностей расширения посредством модели АШМАХ
Организационные решения (аудит, рекомендации эксперта)
Специальный алгоритм выбора оптимальной альтернативы
Алгоритм выбора / оптимального варианта из \ I множества посредством / хметода анализа иерархий.
Выбор КП из предложенных вариантов
Прогнозирование расширения КП
Закладка результатов прогноза в проект
Выдача технологического проекта к разработке
Рис. Алгоритм разработки информационного портала
Этап 2. Формирование отношений влияния между множествами:
• Шаги 1-4. Формирование отношений влияния между концептами из всех введенных на 1-м этапе множеств.
В качестве примера рассмотрим множество Ку Отношения влияния между концептами из множества К^ представляются в виде весов £ [—1/1] и рассматриваются как элементы нечеткой матрицы смежности М*31*:
№ <2 .
Ъу™ = и£ - . ц£
к К ■ Ч-
Эти отношения, отображаемые в виде дуг ориентированного графа, описы-
вающего нечеткие причинно-следственные связи между концептами, могут быть положительными, отрицательными или нейтральными, характеризующими соответствующее влияние концептов друг на друга.
• Шаг 5. Для определения
взаимовлияния концептов от исходной нечеткой матрицы смежности W с положительно-отрицательными нечеткими связями нужно перейти к нечеткой матрице положительных связей V размером 21 X 21, элементы которой определяются из матрицы W размером : ! с помощью следующей замены:
- если :=■ ~ то = = ^ ^ - если V.-.. =: ~ то = -V-= -V'-.;.
Остальные элементы принимают нулевые значения.
В случае амбивалентности в исходной матрице положительно-отрицательная пара весов влияния преобразуется по аналогичному алгоритму, только вместо нулей на диагоналях ставятся определенные значения.
• Шаг 6. Согласованные отношения взаимовлияния концептов определяются в результате транзитивного замыкания:
V = УиУ2!?... где степени нечетких матриц вычисляются на основе операции тах-Т-композиции.
После этого результат представляется в виде модифицированной матрицы, состоящей из положительно-отрицательных пар весов \У= Ци^й^Ц, полученных по следующему правилу:
В результате этапа 2 формируется нечеткая когнитивная карта, отображающая системные факторы анализируемой системы (процесса, проблемы).
Этап 3. Формирование нечетких моделей. Модели формируются исходя из влияния одного концепта на другой. Например, в случае аудита ИБ можно построить НКМ влияния угроз, рисков на ИТ-процессы и БЦ региональных ОИВ.
В итоге получаются нечеткие когнитивные модели, отражающие все ключевые параметры, а также влияние каждого параметра на остальные. Таким образом, можно получить полную картину и взвесить все плюсы и минусы при планировании разработки программного решения.
Для региональных ОИВ, планирую -щих внедрение информационного портала, данный метод проведения аудита ИБ может сыграть немаловажную роль, так как позволяет установить зависимость между предполагаемыми угрозами, рисками и бизнесцелями, ИТ-возможностями информационного портала, определив эффективность использования такого мобильного инструмента централизованного управления практически всеми организационными и информационно-технологическими процессами ОИВ, и оценить риски при принятии управленческих решений.
СПИСОК ЛИТЕРАТУРЫ
1. Еременко, С.В.Теоретические основы управления обменом данными в средекорпоративного портала промышленного предприятия / С.В.Еременко, М.Ю. Рытов, К.В. Мегаев. -Брянск: БГТУ, 2014.
2. Рытов, М.Ю. Анализ проблем обмена данными в сетях промышленных предприятий с корпоративными порталами/ М. Ю. Рытов, П. А. Ковалев // Вестник Брянского государственного технического университета.- 2015.- № 1 (45). - С. 95100.
3. Обзор стандарта COBIT (Control Objectives for Information and related Technology). V. 4.1. Методология, процессы, критерии, внедрение Cobit/ЛT-Expert-2012-Режим доступа: http://www.itexpert.ru/rus/biblio/cobit/.
4. Мониторинг рисков на основе нечетких когнитивных моделей // Программные продукты и системы. - 2007. -Режим доступа: http://www.swsys.ru/index.php?id=399&page=artic le.
1. Yeryomenko, S.V. Theoretical Fundamentals of Data Communication Control in Corporate Portal Environment of Enterprise / S.V. Yeryomenko, M.Yu. Rytov, K.V. Megaev. - Bryansk: BSTU, 2014.
2. Rytov, M.Yu. Analysis of data communication problems in networks of enterprises with corporate portals/ M.Yu. Rytov, P.A. Kovalyov // Bulletin of Bryansk State Technical University.- 2015.- № 1 (45). - pp. 95-100.
3. Review of Standard of COBIT (Control Objectives for Information and related Technology). V. 4.1. Methodology, Processes, Criteria, Introduction Co-bit//IT-Expert. -2012.- Access Mode: http://www.itexpert.ru/rus/biblio/cobit/.
4. Risk monitoring based on fuzzy cognitive models // Software Products and Systems. - 2007. - Access Mode:
http://www.swsys.ru/index.php?id=399&page=artic le.
Статья поступила в редколлегию 8.04.2016. Рецензент: д.т.н., профессор Брянского государственного технического университета
Лозбинев Ф.Ю.
Сведения об авторах:
Рытов Михаил Юрьевич, к.т.н., доцент Брянского государственного технического университета, е-тай: rmy@tu-bryansk.ru. Лексиков Евгений Вячеславович, ассистент Брянского государственного технического университета, е-тай: JL32@yandex.ru. Ковалев Павел Алексеевич, аспирант Брянского государственного технического университета, е-тай: rmy@tu-bryansk.ru.
Rytov Mikhail Yurievich, Can.Eng., Assistant Prof. Bryansk State Technical University, e-mail: rmy@tu-bryansk.ru.
Leksikov Eugene Vyacheslavovich, Assistant Bryansk State Technical University, e-mail: JL32@yandex.ru.
Kovalyov Pavel Alekseyevich, Post graduate student Bryansk State Technical University, e-mail: rmy@tu-bryansk.ru.
