Кластерная модель принятия решений об актуальности внешних воздействий Текст научной статьи по специальности «Компьютерные и информационные науки»

^ 1 2

Уваисов С.УАютоваИ.В.

1Московский институт электроники и математики

2Сургутский государственный университет

КЛАСТЕРНАЯ МОДЕЛЬ ПРИНЯТИЯ РЕШЕНИЙ ОБ АКТУАЛЬНОСТИ ВНЕШНИХ ВОЗДЕЙСТВИЙ

Актуальным считается воздействие, которое может быть реализовано в информационной системе обработки персональных данных (ИСПДн) и представляет опасность для персональных данных (ПДн). Подход к составлению перечня актуальных воздействий состоит в следующем [1].

Для оценки возможности реализации воздействия применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемого воздействия.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.

Исходная степень защищенности определяется следующим образом [1].

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню "высокий", а остальные - среднему уровню защищенности.

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний", а остальные - низкому уровню защищенности.

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.

Показатели исходной защищенности ИСПДн Таблица 1

Технические и эксплуатационные характеристики ИСПДн Уровень защищенности

Высокий Средний Низкий

Территориальное размещение РаспределеннаяИСПДн, охватывающая несколько областей, краев, округов или государство в целом +

ГородскаяИСПДн, охватывающая не более одного населенного пункта - - +

Корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации - + -

Локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий +

ЛокальнаяИСПДн развернутая в пределах одного здания + - -

Наличие соединения с сетями общего пользования ИСПДн, имеющая многоточечный выход в сеть общего пользования - - +

ИСПДн, имеющая одноточечный выход в сеть общего пользования - + -

ИСПДн, физически отделенная от сети + - -

Разграничение доступа к ПДн ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн +

ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн - - +

ИСПДн с открытым доступом - - +

Встроенные операции с записями баз ПДн Чтение, поиск + - -

Запись, удаление, сортировка - + -

Модификация, передача - - +

Наличие соединений с другими базами ПДн иных ИСПДн. Интегрированная ИСПДн (организация использует несколько баз ПДнИСПДн, в том числе сторонних) +

ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн +

Уровень обобщения ПДн. ИСПДн, в которой предоставляемые пользователю данные являются обезличенными + - -

ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации +

ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными; - - +

Объем ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки ИСПДн, предоставляющая всю БД с ПДн. - - +

ИСПДн, предоставляющая часть БД ПДн; - + -

ИСПДн, не предоставляющая никакой информации; + - -

При составлении перечня актуальных воздействий, каждой степени исходной защищенности ставится в соответствие числовой коэффициент У1,а именно[1]:0 - для высокой степени исходной защищенно-сти;5 - для средней степени исходной защищенности;10 - для низкой степени исходной защищенности.

Вероятность возникновения воздействия Y2 относительно каждого нарушителя определяется экспертным путем и содержит четыре возможных значения Y2[1] :0 - для маловероятной угрозы; 2 - для низкой вероятности угрозы; 5 - для средней вероятности угрозы; 10 - для высокой вероятности угрозы.

С учетом вероятности возникновения воздействия и степени исходной защищенности коэффициент реализуемости угрозы Y будет определяться соотношением [1]:Y= (Y1+Y2)/20

По значению коэффициента реализуемости воздействия Y формируется интерпретация реализуемости воздействия следующим образом[1]:

1

если 0<Y<0,3, то возможность реализации воздействия признается низкой;

если 0,3<Y<0,6, то возможность реализации воздействия признается средней;

если 0,6<Y<0,8, то возможность реализации воздействия признается высокой;

если Y>0,8, то возможность реализации воздействия признается очень высокой.

Далее оценивается опасность каждого воздействия. При оценке опасности на основе опроса экспертов определяется вербальный показатель опасности для рассматриваемой ИСПДн.

Этот показатель имеет три значения:

низкая опасность - если реализация воздействия может привести к незначительным негативным последствиям для субъектов ПДн;

средняя опасность - если реализация воздействия может привести к негативным последствиям для субъектов ПДн;

высокая опасность - если реализация воздействия может привести к значительным негативным последствиям для субъектов ПДн.

На рисунок1представлена схема определения актуальности внешнего воздействия.

Для автоматизации процесса принятия решений об актуальности внешнего воздействия в работе предложена кластерная модель, отличающаяся применением аппарата теории нечетких множеств.

Для построения кластерной модели принятия решений об актуальности внешних воздействий введены следующие лингвистические переменные:

А - исходная степень защищённости (ИСЗ) - лингвистическая переменная 1.

B - вероятность реализации внешнего воздействия (ВРВВ) - лингвистическая переменная 2.

С - опасность воздействия (ОВ) - лингвистическая переменная 3.

Y - актуальность воздействия (АВ).

Оценка экспертов

Частота (вероятность) реализации внешнего воздействия (Y2)

Очень Низкая Средняя Высокая

низкая (0) (2) (5) (10)

Опасность воздействия

о.

О

s

X

>н

IS

!=Г

5-. и

I a

Г) X

IP-

Правила определения актуальности внешнего

Возможн ость реализац ИИ Показатель опасности воздействия

Низкая Средняя Высокая

Низкая Неактуальная Неактуальная Актуальная

Средняя Неактуальная Актуальная Актуальная

Высокая Актуальная Актуальная Актуальная

Очень высокая Актуальная Актуальная Актуальная

Рисунок1. Схема определения актуальности внешнего воздействия Значения первой лингвистической переменной А:

Терм 1 - «низкая» ai;

Терм 2 - «средняя» a2;

Терм 3 - «высокая» аз.

Значения второй лингвистической переменной В:

Терм 1 - «очень низкая» р1;

Терм 2 - «низкая» в2;

Терм 3 - «средняя» рз;

Терм 4 - «высокая» (З4.

Значения третьей лингвистической переменной С:

Терм 1 - «низкая» с1;

Терм 2 - «средняя» с2;

Терм 3 - «высокая» с3.

Лингвистическая переменная Y - «актуальность воздействия»:

Терм 1 - «неактуальная» - y1;

Терм 2 - «актуальная» - y2.

Фрагмент вербальной модели принятия решения об актуальности воздействия, основанный представленной на рисунок1 отражен в таблице 2.

Фрагмент вербальной модели принятия решения об актуальности воздействия Таблица

А(ИСЗ) B (ВРУ) С (ОУ) Y (АУ)

1 «низкая» а1 «очень низкая» р1 «низкая» с1 «неактуальная» - y1

2 «низкая» а1 «очень низкая» р1 «средняя» с2 «неактуальная» - y1

3 «низкая» а1 «очень низкая» р1 «высокая» с3 «актуальная» -y 2

4 «низкая» а1 «низкая» в 2 «низкая» с1 «неактуальная» - y1

5 «низкая» а1 «низкая» в 2 «средняя» с2 «неактуальная» - y1

6 «низкая» «низкая» в2 «высокая» «актуальная» -

на

2

схеме ,

2

«1 сз У2

7 «низкая» «1 «средняя» вз «низкая» с1 «неактуальная» - y1

8 «низкая» «1 «средняя» вз «средняя» с2 «неактуальная» - y1

9 «низкая» «1 «средняя» вз «высокая» сз «актуальная» - у 2

10 «низкая» «1 «высокая» в4 «низкая» с1 «неактуальная» - У1

11 «низкая» «1 «высокая» в4 «средняя» с2 «актуальная» -У 2

12 «низкая» «1 «высокая» в4 «высокая» сз «актуальная» -У 2

13 «средняя» «2 «очень низкая» в1 «низкая» с1 «неактуальная» - У1

14 «средняя» «2 «очень низкая» в1 «средняя» с2 «неактуальная» - У1

15 «средняя» «2 «очень низкая» в1 «высокая» сз «актуальная» -У 2

Как указано выше, вероятность реализации и опасность для каждой из угроз должны определяться методом экспертных оценок. Экспертными оценками называются методы поиска решений неподдающихся формализации задач, основанные на суждениях, оценках или высказываниях специально выбираемых или назначаемых экспертов [2,3]. Разработке систем основанных на методах экспертного оценивания посвящено множество работ российских и зарубежных авторов [4,5,6,7] .

При формировании группы экспертов учитывались следующие критерии [3]: компетентность - наличие знаний и опыта по решаемой проблеме; креативность - способность решать творческие задачи; антиконформизм - неподверженность влиянию авторитетов;

конструктивность мышления - способность давать практически значимые решения;

коллективизм - способность работать в коллективе в соответствии с общепризнанными этическими нормами поведения;

самокритичность - способность критично относиться к собственной компетенции и суждениям; заинтересованность - наличие желания в решении рассматриваемой проблемы.

При определении оптимальной численности группы экспертов необходимо учитывать, что при малом количестве экспертов в группе, мнение каждого будет существенно влиять на общий результат. В свою очередь, при большом числе трудно вырабатывается единое (консолидированное) мнение экспертной группы. В общем случае следует отметить, что численность экспертной группы зависит от требований к точности результатов экспертизы и допустимой трудоемкости оценочных процедур [8].

Нарисунок 2 представлена априорная зависимость доверительной вероятности результатов экспертной оценки от количества экспертов в группе [9].

экспертов в группе

количества

В состав сформированной группы экспертов, согласно указанным критериям, вошли десять специалистов из разных учреждений системы образования ХМАО, имеющие высшее техническое образование в области защиты информации или прошедшие повышение квалификации по программе, утвержденной ФСТЭК России «Защита конфиденциальной информации в организации» Как видно из графика доверительная вероятность оценки для десяти экспертов равна 0,9. Все эксперты имеют стаж работы не менее одного года и практический опыт обслуживания и управления информационной безопасностью.

Эффективными способами работы с экспертами признаны интервьюирование и анкетирование.

При работе с экспертами необходимо определить по какой шкале будет проходить сравнение объектов. Различают четыре типа шкал: номинальная шкала, порядковая шкала, интервальная шкала и шкала отношений.

При построении графиков функций принадлежности использовалась номинальная шкала, полученная в ходе анкетирования экспертов. При оценке вероятности реализации внешнего воздействия и опасности воздействия относительно каждого типа нарушителя использовалась интервальная шкала, полученная при использовании лингвистического метода.

3

Графики функций принадлежности термов лингвистических переменных «исходная степень защищенности», «вероятность реализации внешнего воздействия» и «опасность воздействия» представлены на рисунок 3-5 соответственно.

1

0.8

ma1(A)

0.6

ma2(A)

|aa3(A)°.4

0.2 0

0 20 40 60 80 100

A

Рисунок 3. Функции принадлежности термов «низкая», «средняя», «высокая» лингвистической пере-

менной «исходная степень защищенности»

1

Рисунок 4.Функции принадлежности термов «очень низкая», «низкая», «средняя», «высокая» лингвистической переменной «вероятность реализации внешнего воздействия»

Рисунок 5. Функции принадлежности термов «низкая», «средняя», «высокая» лингвистической пере-

менной «опасность воздействия»

Значение функции принадлежности лингвистической переменной Определяется как максимум из

m (А В, С) ё туг ( а В,С).

Функция принадлежности my2 ( А В,С ) определяется согласно:

4

m (A, B,C ) = МЩ( A)& M,(B )& mc3(C) U m (A)&

&M/32(B)& m(c) Um(A) & тьз(в)& тсз(с) U Uma(A) & (B) & m2(c) Ua(A) &

&mfii(B)& mc3(c) Uma2(A)& m,(в)& т3(с) U Uma2(A) & mh(B)& т2(с) Uma2(A)&

&mfi2(B)& m3(c) um„2(A)& mh(B)&

&mc2(c) Uma2(A) & ma(B) & mc3(c) UMa2(A) &

& Mfit (B )& Ac, (c) U Ma2 (A) & mb (B) &

& Mc2(c ) U Ma3( A) & Mbt(B )& Mc3 (c ) U Ma3( A) & (1)

& Mb (B )& Mc2(c) U Ma3( A) & Mb (B )& Mc3(c) U Uma3(A) & Mb2(B) & Mb(c) UMa3(A) &

&Mb2(B)& m3(c) UMa3(A) & Mb3(B)& Mc,(c) U

Uma3(A) & Mb3(B)& Mc2(c) UMa3(A) &

&Mb3(B)& m3(c) UMa3(A) &

& Mb (B )& Mb (c) U m„3( A) & Mb (B) & Mc2 (c) U Uma3(A)& Mb(B)& Mc3(c)

Функция принадлежности Myi (A, B,C) определяется согласно:

My,( A,B,c) = Ma (A) & Mb (B) & ) U Ma (A) & Mb (B) &

& Mc2 (c) U Ma( A) & (B) & Mb(c) U Ma (A) & Mp2 (B) &

& m2 (c) U Ma (A) & Mb (B) & Mb(c) U Ma (A) &

& Mh (B) & Mc2 (c) U Ma( A) & Mb (B) & ) U Ma2 (A) & (2)

& Mb (B) & Mb(c) U Ma (A) & Mb (B) & (c) U Ma2( A) &

& Mb2 (B) & M, (c) U Ma2 (A) & Mb (B) & M, (c) U UMa3 (A) & Mb (B) & Mcl(c) U Ma3 (A) & Mb (B) & M, (c)

Приведем пример применения модели принятия решений.

Пусть ИСЗ равна 86 %, ВРВВ равна 0,7, ОВ равна 38%.

Значение функции принадлежности лингвистической переменной Определяется как максимум из

My, (A,B,c) e My2 (A,B,c) .

Значения функций принадлежности термов представленных в формулах (1) и (2) определяются согласно графикам,представленным на рисунках 3-5, и соответственно равны:

Ma(86) = 0 Ma2m = 0,3 Ma3(86) = 0,4

Mb(0J) = 0 Mb2(0,7) = 0 Mfi3(0J) =1 Mb4(0,7) = 0

Mn, (38) = 0,25 Mn2 (38) = 0,3 MkS(3S) = 0

Тогда значение функций принадлежности АВ соответственно равны:

My, (86; 0,7; 38) = Ma2 (A) & MA(B) & M, (c) = 0,3& 1 & 0,25 = 0,25 My2 (86; 0,7; 38) = Ma2 (A) & MA(B )& Mc2(c) U Ma3 (A) & Mh(B )& M^c) U UMa3(A)& Mb3(B) & Mc2(c) =

= 0, 3 & 1 & 0, 3 U 0, 4 & 1 & 0, 25 U 0, 4 & 1 & 0, 3 = 0, 3 U 0, 25 U 0, 3 = 0, 3

Соответственно данное воздействие для информационной системы является актуальным.

Предложенная модель принятия решений об актуальности внешних воздействий позволяет автоматизировать процесс предпроектного обследования информационных систем обработки персональных данных на этапе построения модели воздействий. Применение данной модели позволяет сократить временные и

финансовые затраты в организации и избежать привлечения сторонних специалистов узкого профиля при проведении данного обследования.

ЛИТЕРАТУРА

1. Нормативно-методический документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 года.

2. Герасименко, В.А. Основы защиты информации в автоматизированных системах: В 2 кн. - Кн. 2.

- М. : Энергоатомиздат, 1994. - 176 с.

3. Зыков, В.Д. Модели и средства обеспечения управления информационной безопасностью медицинских информационных систем: дис. ... кандидата технических наук: 05.13.19 / Зыков Владимир Дмит-

риевич. - Томск, 2010. - 150 с.

4. Васильев, В. И. Экспертная система поддержки принятия решений в процессе аудита информационной безопасности / В.И. Васильев, Т.З. Хисамутдинов, А.С. Красько, П.В. Матвеев // Информационное противодействие угрозам терроризма. - 2005. - №4. - С. 98-102.

5. Литвак, В.Г. Экспертная информация. Методы получения и анализа / В. Г. Литвак. - М. : Радио и связь, 1982. - 184 с.

6. Нейлор, К. Как построить свою экспертную систему / К. Нейлор. - М. : Энергоатомиздат, 1991.

- 286 с.

7. Уотермен, Д. Руководство по экспертным системам / Д. Уотермен. - М. : Мир, 1989.-388 с.

5

8. Владимирцев, А. В. Менеджмент качества на современном предприятии / А. В. Владимирцев -СПб.:Издание Ассоциации по сертификации «Русский Регистр», 2003.

9. Марцынковский, Д.А. Руководство по риск-менеджменту / Д.А. Марцынковский, А.В. Владимирцев, О.А. Марцынковский. - СПб. : Береста, 2007. - 331 с.

6