МЕТОД ОЦЕНИВАНИЯ ЭФФЕКТИВНОСТИ ПРОЦЕССОВ ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ ОБНАРУЖЕНИЯ ПРЕДУПРЕЖДЕНИЯ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ КОМПЬЮТЕРНЫХ АТАК Текст научной статьи по специальности «Компьютерные и информационные науки»

Метод оценивания эффективности процессов функционирования системы обнаружения предупреждения и ликвидации последствий компьютерных атак

Сухов Александр Максимович

к.т.н., докторант Краснодарского высшего военного училища имени генерала армии С.М. Штеменко, г. Краснодар, Россия, 19am87@mail.ru Крупенин Александр Владимирович

д.т.н., профессор, заместитель начальника Краснодарского высшего военного училища имени генерала армии С.М. Штеменко по учебной и научной работе, г. Краснодар, Россия, 19am87@mail.ru

Якунин Владимир Иванович

к.т.н., доцент, доцент Военно-космической академии имени А.Ф, Можайского, г. Санкт-Петербург, Россия, yavi1957@mail.ru

АННОТАЦИЯ_

Введение: Задача оценивания эффективности является сложной, ввиду своей комплексности, так как включает в себя обоснование комплексного показателя качества процесса функционирования систем обеспечения информационной безопасности. Процесс оценивания эффективности операции проводиться на двух уровнях и реализовывается в два этапа: на первом этапе решается задача скаляризации показателя, а на втором - решается задача детерминизации показателей. Цель исследования: разработка новых подходов к оцениванию эффективности процессов функционирования системы обнаружения предупреждения и ликвидации последствий компьютерных атак на основе теории эффективности целенаправленных процессов с возможностью определения значения показателя качества проводимой операции (т.е. процесса функционирования) в условиях возникновения задержек (операционных) различных видов, для обоснования стратегии ее дальнейшего применения. Результаты: разработан метод оценивания эффективности процессов функционирования системы обнаружения предупреждения и ликвидации последствий компьютерных атак, показывающий достижение поставленной цели за счет обоснования показателя качества процесса функционирования системы, что позволяет производить оценивание эффективности функционирования рассматриваемой системы, исследовать влияние управляемых характеристик операционной ситуации на эффективность процесса ее функционирования и определить зависимость процессов, протекающих в системе. Описана необходимость рассмотрения сложных систем как единого целого, так как должны учитываться все возможные последствия (комплекс результатов) её функционирования, как положительные -целевые эффекты, так и отрицательные - расходы ресурсов различных видов. Практическая значимость: реализация представленного метода позволяет оценить систему в условиях деструктивных воздействий. Обсуждение: показанная особенность позволяет осуществить оценку сложных технических систем с учетом свойств их целенаправленного процесса.

КЛЮЧЕВЫЕ СЛОВА: система; эффективность; качество; показатель; методология; вероятностный подход; системный анализ.

Введение

Эффективное функционирование системы обнаружения предупреждения и ликвидации последствий компьютерных атак (СОПКА) в современных условиях может быть достигнуто только при широком внедрении информационных технологий в повседневную деятельность с существенным повышением уровня информационной поддержки процессов управления. Лавинообразное нарастание объема и разнообразия информации, циркулирующей в системе информационного обмена, необходимость обеспечения гибкого и оперативного реагирования на изменение обстановки, возрастание роли временного фактора в управлении войсками и боевыми средствами приводят к необходимости поиска новых путей повышения качества современного применения СОПКА.

Практическое решение усложняющихся задач по упреждению деструктивных воздействий (ДВ) на объекты критической информационной инфраструктуры (ОКИИ) и необходимость повышения обоснованности и качества принимаемых решений во всех областях деятельности настоятельно требуют:

1) полного (всестороннего) учета всего многообразия процессов военного строительства, вооруженной борьбы и управления Вооруженными Силами РФ в целом;

2) обеспечения актуальности, достоверности, доступности, безопасности (прежде всего конфиденциальности и целостности) информации и оперативности ее получения;

3) создания и развития средств, обеспечивающих высокую эффективность управления, повышение боевого потенциала ВС РФ и информационную безопасность наших критически важных объектов;

4) полномасштабного, всестороннего, своевременного использования достижений науки и техники в области информационных технологий.

Выполнение указанных требований в значительной степени влияет на качество процессов управления войсками и оружием и ВС РФ в целом. При этом на первый план выходит задача упреждения ДВ направленных на ОКИИ, в которые интегрируются различные информационные ресурсы. Архитектура ОКИИ обеспечивает возможность рационального сочетания централизованного и распределенного хранения информации, разрабатывается с учетом требований оперативности поиска и получения информации, обеспечения ее защищенности и доступности, но и она в свою очередь не лишена недостатков.

Анализ существующих способов оценивания

Проблемы оценивания эффективности процесса функционирования информационных систем начинаются с неоднозначности исходных определений. В отечественных и зарубежных руководящих документах используются различные определения эффективности 1. В Военно-космической академии имени А.Ф. Можайского, Г.Б. Петуховым был введен показатель эффективности, рассматриваемый как вероятностная мера соответствия характеристик случайных эффектов целенаправленного процесса требуемым (директивно заданным) значениям этих характеристик [1, 2, 3, 4].

За рубежом эффективность функционирования систем исследовалась на основе экономических методов и моделей, тесно связанных с функционированием рынка2 [5].

Методические рекомендации по оценке эффективности инвестиционных проектов (Вторая редакция) // М.: Экономика. 2016. 421 с.

ISO:9000:2015: fourth edition. Quality management systems. Fundamentals and vocabulary. URL: https://www.iso.org/obp/ui/#iso:std:iso:9000:ed4:vl:en (дата обращения: 25.01.2021).

Международный стандарт МЭК 50 (191)-90. Надежность и качество услуг. Термины и определения. URL: http://dic.academic.ru/dic.nsf/gosts/21964 (дата обращения: 25.01.2021).

2 Руководство к своду знаний по управлению проектами - PMBOK 5 (финальная полная русская версия) // М. Олимп-Бизнес. 2014. 590 с.

Описание некоторых из зарубежных исследований по направлению операционных свойств и сопоставление их с отечественными результатами приведено в [6] и [7] (в части исследования операционной системы). Ряд полученных результатов исследований различных видов операционных свойств систем, таких как efficiency, effectiveness, operational capabilities, dynamic capabilities приведен в [8-19].

Необходимо отметить, что в результате различий используемых моделей и методов, оценивание рассматриваемых операционных свойств системы в рамках российской школы исследования эффективности реализуется, как правило, количественно, в отличии от зарубежных подходов.

В статье под эффективностью будем понимать комплексное операционное свойство (качество) целенаправленного процесса функционирования (применения) системы, характеризующее его приспособленность к достижению цели реализуемой системой операции (к выполнению стоящей перед системой задачи) [4].

Следует подчеркнуть, что для комплексного (многокомпонентного, многокритериального) исследования эффективности применения СОПКА, показатель Yn качества его результатов должен включать в себя три группы компонент (называемых аспектами или атрибутами), характеризующих соответственно результативность Y^j

выполнения задачи (целевой эффект), ресурсоёмкость Y> \ (затраты ресурсов на получение

(з)

целевого эффекта) и оперативность У^ (затраты времени на получение целевого эффекта),

где п1 + п2 + п3 = п, т.е. как минимум три компоненты (симплексная каноническая форма показателя У^ качества результатов выполнения задачи).

Качество любого объекта, в том числе системы обнаружения предупреждения и ликвидации последствий компьютерных атак (далее СОПКА), в полной мере проявляется лишь в процессе его использования по назначению. Поэтому качество СОПКА наиболее объективно можно оценить по эффективности её применения.

С учетом вышеизложенного, необходимо обосновать вектор показателей качества

ПФ СОПКА, построить математическую модель У^ = Ус |АЩ, | ПФ СОПКА, позволяющую определять значение показателя эффективности её функционирования -зависимость Рш = РI Ус I А?с\,¿С^ I и разработать метод и методики оценивания

=Р ^ ^АО'Т>,

эффективности ПФ системы нарушителя и СОПКА.

Обоснование вектора показателей качества результатов процесса функционирования системы обнаружения предупреждения и ликвидации последствий компьютерных атак

В процессе функционирования СОПКА осуществляется реализация атомарных событий нарушающих политику безопасности и входящих в сценарий ДВ определенного типа. Таким образом, СОПКА состоит из нескольких подсистем (модулей) участвующих в процессе упреждения различных типов сценариев ДВ. К основным из них относятся: - модуль построения сценария ^ ДВ;

IIBA. A Guide to Business Analysis Body of Knowledge (BABOK 2.0) // 2015. 502 p. The Agile Extension to the BABOK® Guide. International Institute of Business Analysis (IIBA). 2015. 128 p. Guide to the Software Engineering Body of Knowledge (SWEBOK). Version 3.0 // IEEE Computer society. 2004. 335 p.

- модуль прогнозирования интервала [tH, tK ] времени доступа с заданным уровнем у гарантии;

- модуль построения временной схемы реализации по оперативному Т-процессу сетей массового обслуживания.

Процесс упреждения ДВ включает в себя следующие этапы:

- выбор типа реализуемого сценария ДВ;

- определения потенциальной возможности его реализации;

- определения потенциальной возможности реализации всех атомарных событий нарушающих политику безопасности входящих в него;

Отбор атомарных событий информационной безопасности (АСИБ) нарушающих политику безопасности по информационным признакам может производится в автоматическом и ручном режиме, в зависимости от уровня на котором производится отбор (например, на канальном уровне в каналах передачи данных (сети Internet) возможен отбор по МАС адресам). В случае автоматического отбора АСИБ, число и перечень определяется качеством словаря ключевых слов (объемом и полнотой). При отборе в ручном исполнении качество результатов определяется уровнем подготовки (квалификацией) лица, осуществляющего отбор.

Таким образом, цель операции упреждения СОПКА ДВ состоит в рациональном выборе упреждающего сценария, который можно реализовать на гарантированном интервале времени с полнотой (качеством) не хуже требуемой и к сроку не превышающему директивный.

Исходя из сформулированной выше цели рассматриваемого ПФ СОПКА, показатель Y качества результатов операции упреждения ДВ нарушителя с учетом эффекта поглощения по ресурсам (r = гП) должен включать две компоненты характеризующие точность y1

решения задач по всем R типам сценариев ДВ, определенным различных базах данных (знаний) сценариев, и временные затраты y3 на ее обеспечение соответственно.

Поскольку типы, по которым ведется упреждение атомарных событий имеют различную ценность (важность), то и решение задач СОПКА по подготовке самого упреждающего сценария в целом по различным типам вносит различный вклад в решение общей задачи выбора рационального упреждающего сценария, для которого необходимо спрогнозировать гарантированный интервал времени упреждения ДВ нарушителя. В силу этого, показатель эффективности процесса реализации возможных ДВ, имеет вид [20-23]:

r i \

Рдц = туг рдц (1)

у=1

где P^ - вероятность выполнения задачи упреждения сценария r -го типа (показатель

эффективности выполнения задачи упреждения сценария ДВ r -го типа),

у; - весовой коэффициент (коэффициент важности), определяющий степень важности

r

ДВ по r -му типу, yr е [0,1], ^уг = 1.

r=1

Коэффициент важности у; следует интерпретировать, как условную вероятность достижения цели операции рационального выбора упреждающего сценария при условии, что задача упреждения по r -му типу решена с требуемым качеством.

Для определения значения показателя эффективности Рдц СОПКА необходимо

определить значения показателей эффективности P^ ([г = 1(1) R]) выполнения каждой из задач.

Рассмотрим процесс выбора сценария упреждающего поведения по одному (произвольному) типу. Объем атомарных событий нарушающих политику безопасности интересующих СОПКА, зависит от интервала времени доступа к защищаемому объекту. Особенность реализации данного сценария состоит в разбивке его на этапы (этапов на атомарные события), каждый из которых передается независимо от других по некоторому маршруту (информационно-телекоммуникационной сети) до цели (объекта) атаки. На средствах приема адресата пакеты собираются в сообщение. Поскольку атомарные события могут передаваться до цели различными маршрутами, то СОПКА может перехватывать не все атомарные события реализуемого сценария ДВ. Кроме того, из-за ошибок, возникающих при обнаружении в силу воздействия на сигнал различных помех, некоторые атомарные события требуют более тщательной (полной) обработки [33, 34]. В рамках модели, можно предположить, что каждое средство защиты информации (СЗИ) (СОВ, МЭ, АУ и т.п.) осуществляет перехват сообщений по одной тематике, указанной в задании. Тогда в качестве характеристики целевого эффекта функционирования СОПКА предлагается

использовать полноту й(г) обнаруженных атомарных событий сценария ДВ г -го типа. В

"(г)

силу того, что на значение показателя полноты й задачи влияет множество случайных факторов й(г ) является случайной величиной.

Время т(г^, затрачиваемое на операцию упреждения г -го типа сценария ДВ -операционное время - включает в себя следующие составляющие:

- интервал времени формирования потенциально возможных атомарных событий;

- интервал времени т^ обработки потенциально возможных атомарных событий;

(г)

пр

интервал времени т(аг) анализа атомарных событий (выявления принадлежности к

Х(г)

сценарию ДВ определенного г -го типа);

- интервал времени т{г]м выбора упреждающего сценария, который удовлетворяет требованиям;

- интервал времени г(г) необходимый для устранения задержек различных видов. Таким образом, показателем качества результатов реализации сценария упреждения г -

го типа является случайный вектор Г2(г) = ^у(),у= ^й(г), т(г^ .

Модель показателя виртуального качества результатов процесса функционирования СОПКА.

Для определения закона распределения Ф^ ,(г ),(г^(и, т) случайного вектора

72(г) = (и(г),т(г^ необходимо знать операционный функционал и законы распределения

генеральных аргументов. Поскольку целевой эффект й(г) и время г(г ), затрачиваемое на его обеспечение связаны функционально-стохастически, то плотность распределения ф (г) (г^ (и,т) определяется по формуле:

ф(й«(й'т) = Ф»« (й/»« (т'й) (2)

Для определения выражения, связывающего целевой эффект й(г) и время г(г^, затрачиваемое на операцию реализации, воспользуемся следующими соображениями.

В силу того, что процесс ведения мониторинга СОПКА непрерывный и круглосуточный, то качество его результатов следует рассматривать относительно одного «произвольного» атомарного события, являющегося полномочным представителем всей их совокупности. При этом, поскольку число событий (этапов), входящих в сценарий,

ограничено, то и время г0, затрачиваемое на его анализ и обработку, также ограничено, т.е.

Х0 е [х0; Х0 ] •

Время г0' - есть минимально необходимое время для анализа и обработки ДВ (оно складывается из времени отбора атомарных событий и времени определения порядка их следования).

Максимальное время х0 реализации ДВ, складывается из минимально необходимого времени х0 и времени ха, затрачиваемого на определение реализации интервала времени каждого АСИБ, входящего в сценарий ИТВ. Время ха анализа, в свою очередь, определяется типом сценария, числом СоИБ сценария ИТВ и квалификацией аналитика. Таким образом, зависимость целевого эффекта и(г) от времени х(г) обработки и анализа могут выглядеть следующим образом, как показано на рис. 1.

Рис. 1. Возможные виды зависимостей целевого эффекта и(г) от времени х(г) обработки

В рамках модели предложено аппроксимировать зависимость ЦЭ и(г) от времени х(г),

(рисунок 1) линейной зависимостью (рисунок 1, кривая 2).

В качестве генерального аргумента следует принять случайную величину и(г).

Тогда иг) путем варьирования значения параметров ЗР (или даже видом ЗР) случайной

величины иг), можно получить большое число зависимостей вида и = / (х), позволяющих

описывать различные классы процессов функционирования СОПКА.

Таким образом, из сказанного выше следует, что операционный функционал имеет вид:

х(г), (3)

где Х(г) - технологическое время отбора атомарных событий, подходящих к одному из ДВ, определяемое эксплуатационно-техническими характеристиками СОПКА,

характеристиками наблюдаемых каналов и стратегией проведения операции упреждения сценария ДВ;

х(г) - временная задержка при реализации атомарного события г -го типа сценария ДВ, обусловленная сбоями технических средств и ошибками администратора;

аг - агрегированная характеристика временной ресурсоемкости реализации г -го типа сценария ДВ, обусловленная качеством программного и математического обеспечения, уровнем подготовки (квалификацией) обслуживающего персонала и стратегией подбора атомарного события.

В силу того, что случайная величина й( г) является ограниченной (носителем ее

распределения является отрезок

достаточно адекватной моделью вероятностного

поведения случайной величины й(г) является 4-х параметрическое Р-распределение, позволяющее путем варьирования значений его параметров описывать широкий класс ограниченных случайных величин. Таким образом, выражение плотности распределения случайной величины й(г) имеет вид [20, 21, 23]:

фй(г) (й йт , йм , Л. р) = + 1)-(й йт н+Р^ й) х ^ (м; Ыт , ^ ) , (4)

Л!Р!(йм - йт )

где Л-0,Р-0 - параметры формы распределения случайной величины и(г^ (л,Р - целые числа);

йт,йм - параметры положения (границы носителя [йт, йм ]) случайной величины и(г^; П(й; йт, йм ) - селектор интервала [йт, йм ].

Для лучшей наглядности представления формул в них параметры л(г^,Р(г^,й^г^,йм(г) обозначены л,Р,йт,йм соответственно.

Числовые характеристики случайной величины и(г^ - математическое ожидание м (г), дисперсия Б), мода Ыв (г) - определяются следующими выражениями:

м (г) = йт + (йм - йт ) Ц+\ . (5)

" Л+Р+1

Б (г) = (йм - ^т )2 (л + 1)(р + 1) , (6)

И (Л + Р + 2)2 (Л + Р + 3)

мвй(г) = йт + (йм - йт )- . (7)

и Л + Р

В случае ведения операции упреждения сценария ДВ в неблагоприятных условиях (например, при хорошей системе нарушителя осуществляющей проведение атакующих действий, о которой известно минимальное количество информации) минимальное значение

йт показателя и(г^ целевого эффекта может быть равно нулю, т.е. йт = 0. Максимальное

значение йм показателя и(г-1 целевого эффекта ограничено сверху значением вероятности

Р(г) успешной реализации элементарного (единичного) сценария (состоящего например из одного атомарных событий) [0].

Параметры закона распределения показателя и(г-1 целевого эффекта определяются в зависимости от числа 5 [£" = 2,3,4] параметров закона распределения и(г-1, значения которых известны.

Рассмотрим возможные значения 5 :

1. При 5 = 2, известны границы носителя распределения показателя и(г) и, в силу принципа неопределенности Лапласа, закон распределения и(г) принимается равномерным на интервале [ит, им ], т.е. л = р = 0.

2. При 5 = 3, кроме границ носителя распределения и(г) известна лишь одна из характеристик положения случайной величины и( г). Так как, при л> 0, р> 0 и л^р Р-распределение является одновершинным и не является симметричным, то в качестве характеристики положения целесообразно использовать моду Мо (г) .

Поскольку математическое ожидание Мо(г) - это среднее значение и по нему нельзя

судить о распределении значения и(г) относительно среднего, в то время как мода мо (г)

характеризует наиболее вероятное значение величины и(г) и ее оценка Мои(г) может быть определена методом экспертного оценивания.

Тогда, перенеся в левую часть формулы (7) параметр им , при ит = 0 получим:

Мои(г) л

Л + р

(8)

Округлив дробь в правой части до рационального числа вида т (где п, т - целые числа

п

и п ф 0), выразим через них п и р:

Л = т/, р = (п - т) /, (9)

где /=1, 2, 3... .

В условиях априорной неопределенности о других числовых характеристиках примем

1=1.

3. При 5 = 4, кроме границ носителя и(г) известны как минимум, две характеристики положения случайной величины и( г). Тогда, решив систему из двух уравнений (например, при известной моде Мой(г) и математическом ожидании Мой(г), либо их оценках Мои(г) и

М.„, система уравнений состоит из формул (8, 9), получим значения г| и р.

При хорошей организации ПФ системы целесообразно предположить, что, чем временная г/г) задержка больше, тем вероятность ее возникновения меньше, поэтому закон

г)

распределения случайной величины г следует принять смещенным показательным с

'(г)

параметрами цг, гх' ':

Ф;(г) (г) =

-Мг (х-х1(г))

А(х-х|(г)) ,

(10)

где х:( г) - смещение, позволяющее учесть время приема атомарного события; 1

М(г) -х1(г)

интенсивность возникновения временных задержек;

М (г) - математическое ожидание времени задержки х(г).

х1

Поскольку при фиксированном значении и( г) целевого эффекта и(г)

(г) (г)

Хц = аги ;

(11)

и, следовательно,

и

Х(г) = аги>г)+Х(г). (12)

,(г) 4г)

и

Поскольку случайные величины х( ) и Х( ) взаимно независимы, то величина

„(г)

рамках рассматриваемой модели не зависит от временной задержки х , тогда

в

фхог)/и (г)(х;и)=ФхОГ ) /и(г)(х;и) * ФхОГ )(г) = М^

х-х(г)-а и(г)

хА

(13)

где * - символ композиции законов распределения, А[х- а] - селектор луча [а,оо).

Таким образом, после подстановки (10) и (13) в (2) плотность распределения случайного вектора /и(г-1,Х(гЛ примет вид:

(14)

(Л + р + 1)!(и - ит )Л(иМ - и )р -Мг [х-х1(г фиг )^г))(«, Х)=-—-^+1-[

\ , i л!р!(иМ -ит)

хА

х-х; ' -а, и

п(и;ит , им )

Проинтегрировав выражение (14) получим:

Ф/

>, х)= I

(л + р + 1)!(и-ит )>м-и)р

•'11/ чл+р+1

и л!р!(°М-ит)

I

-м I х-х(г) -аи(г)

d х

d и>

П (и; ит, иМ ) П (х; х|г), х1г г +а г ^м ) +

х

х

. (15)

+ °М (л + р + 1)!(и-ит )л(^М -и)р

л!р!(иМ -ит)

л+р+1

м I х-х(г) -аи(г)

ё х

ё и>

:П (и; ит , им )А(х-х1г )-агим )

Выражение (15) представляет собой математическую модель ПК результатов ПФ СОПКА.

Модель показателя качества ПФ СОПКА с учетом прогнозирования гарантированного интервала времени упреждения.

Показатель эффективности ПФ СОПКА - вероятность Рщ выполнения задачи

упреждения -го типа сценария ДВ при детерминированных требованиях к результатам операции определяется как значение функции распределения Ф (г) (г) (и, х) вектора и, х

виртуальных результатов операции в точке и, х предъявленных требований, то есть [23]:

Рдц «тр )п(^<та)] = ф^,,.^ (и

ТР, хд

хЙ ) =

(л + р +1)!

л!р!(иМ ит)

чл+р+1

-м(хд-х1 )-а,(иМ-ит)) Р , чр-г

1=0

а

>

и

у+л+к (' + к)!(им -Цщ )к _£V СР ("м -"ш)'

1+л+1-к

хЕ(-1)'

к=О

к !(ца)

р+Л+1^

-2(-1)'

(1 + л +1)

/

\к

усРк-Цщ('+к) - (16)

V

1=О

к=О

к !(ца)г+Л+1-к

¡у СР ("ТР -Цш) К -Цш)

г=0

-Л

(1 + Л +1)

г 'I

А(хй -х1(г) -аг"М)+ (Е-1 ("М -"ш)Р:

1+Л »

х :>Л (-1 )г+Л+к-

к=О

(1 + к )!

У

с

к !(ца)г+Л+1 к 1=о

\ 1+Л+1 А

(Цм -Цш )Р-

-х1(г)-аг("тр-цш)) р

е(-1) сР("м -"ш ГеН)

1=О к= О

(1+Л +1)

л у+л+к (' + к)! ("тр - "ш )к

Р ■ V СР ("ТР - "ш У+Л+1 ("М - "ш )Р 1

(1 + Л +1)

П

к !(ца)г+Л+1-к (тд;т1(г),т1(г)+аг"т )|х П(

"тр ; "ш, "м

) -

где Ср - биномиальный коэффициент определяемый выражением:

с = -

Р!

! (р 1)!

(17)

Для наглядного представления зависимости ПЭ вероятности проведения упреждения сценария ДВ от значения интервала времени упреждения приведен рис. 2.

Показатель эффективности ПФ СОПКА определяется по формуле (16):

рдц = Ту г рдц

г=1

(18)

где уг - весовой коэффициент, определяющий степень важности упреждения атомарного события по г-му типу сценария ДВ.

Ввиду значительной неопределенности исходных данных представляется наиболее целесообразным получать значения величин у г [ г = 1(1) Я ] методом экспертного оценивания по формуле:

— V Э уг = : у г 1 ]=1

(19)

где уЭ - коэффициент важности упреждения атомарного события по г-му типу сценария

ДВ, значение которого задается у'-м экспертом

УЭ] е[0,1],Еу% = 1,] = 1(1)т

г=1

хд -т1

/

1=0

Я

- весовой коэффициент, отражающий относительную степень компетентности -го

эксперта

^ ^ [0,1]; е 81 = 1

тЭ - число опрошенных экспертов.

Рис. 2. Вид зависимости вероятности упреждения ДВ от времени доступа

Метод оценивания эффективности процесса функционирования системы обнаружения предупреждения и ликвидации последствий компьютерных атак

Решение квалиметрической задачи (задачи оценивания) составляет основу проведения любых системных исследований. В свою очередь все системные исследования в конечном счете, проводятся с целью поиска пригодных (приемлемых) или наилучших (оптимальных) решений: проектных, организационных и управленческих [4].

Опыт проведения исследований показывает [4, 24-28], что практически могут быть корректно реализованы лишь схемы решения скалярных ("однокритериальных") детерминированных оптимизационных задач, то есть задач поиска оптимума скалярной детерминированной ("критериальной") функции от детерминированных аргументов (возможно векторных). Все другие оптимизационные процедуры неизбежно содержат в себе элемент субъективизма и произвола, обусловленных формулировкой принципа (критерия) оптимальности. Поэтому актуальной проблемой проведения любого серьезного исследования является проблема корректной "скаляризации" и "детерминации" показателей, по которым сравниваются различные варианты создания системы или организации процесса ее функционирования.

Оценивание эффективности операции должно проводиться и на двух уровнях и реализовываться в два этапа, первый из которых завершается оцениванием качества ее результатов, то есть формулировкой (формализованным описанием) ее цели в виде критерия пригодности, а второй - собственно оценивание ее эффективности по одному из принятых (обоснованных) критериев пригодности или оптимальности - завершается принятием решения об эффективности операции (комплексном качестве самой операции).

При этом на первом этапе решается задача скаляризации показателя путем перехода от вектора Уп показателей качества результатов операции к случайному событию Уи е {#иэ |,

являющегося математической формулировкой критерия оценивания качества результатов целенаправленного процесса функционирования системы (ЦнПФС). На втором этапе решается задача детерминизации показателей путем перехода от случайного события

{уп е к вероятности Рдц = Р {уп е его наступления.

Таким образом, в рамках теории эффективности целенаправленных процессов [8] проблема скаляризации и детерминизации показателя качества (эффективности), по которому сравниваются (оцениваются) и оптимизируются объекты (процессы), решается в наибольшей степени комплексно и корректно.

Следует также отметить, что при проведении оценивания эффективности ПФ СОПКА на этапе реализации разработанных методик перед исследователем встает задача определения значений параметров ПФ СОПКА. Для решения данной задачи существуют следующие методы определения значений параметров:

- метод имитационного моделирования ПФ на ЭВМ или на натурных моделях.

- метод экспертного оцениванияЗ [29, 30].

- методы статистической обработки экспериментальных данных. К ним относятся: методы статистического оценивания значений параметров законов распределения случайной величины, методы определения законов распределения случайных величин и методы корреляционного и дисперсионного анализа4.

Методика оценивания эффективности процесса функционирования системы нарушителя с помощью аналитической модели

Агрегированными параметрами хт аналитической модели являются: X - характеристика интенсивности обработки АСИБ входящих в сценарий определенного типа;

ц - характеристика интенсивности возникновения временных задержек; им - максимальное значение величины возможной доли и реализованных АСИБ с качеством не хуже требуемого;

ит - минимальное значение величины возможной доли и реализованных АСИБ с качеством не хуже требуемого;

т0 - минимально необходимое технологическое время реализации АСИБ; т0 - максимально допустимое время, отводимое по технологии на реализацию АСИБ; т1 - минимально необходимые технологические затраты времени на обработку АСИБ принадлежащих сценарию ДВ.

Требования, предъявляемые к результатам операции, описываются следующими параметрами:

иТ - требуемое (минимально допустимое) значение доли и АСИБ реализованных с требуемым качеством;

т8 - предельно допустимые затраты операционного времени т .

3 Лебедев А.Н. Вероятностные методы в инженерных задачах: Справочник. - СПб.: Энергоатомиздат. Санкт-Петербургское отделение, 2000. - 331с.

4 Справочное пособие по прикладной математике/ А.Я. Иоффе, Г.Б. Петухов, Л.М. Морозов.- МО СССР, 1975.- 253с.

Статистические методы обработки результатов наблюдений. /Под ред. Р.М. Юсупова. - МО СССР, 1984. - 563с.

Методика оценивания эффективности процесса функционирования системы нарушителя с помощью аналитической модели

Методика оценивания эффективности процесса функционирования системы нарушителя с помощью аналитической модели реализуется следующим алгоритмом:

1. Определяются значения границ диапазона ^х0, то ^ возможных затрат т0 на

реализацию АСИБ.

Величина т0 является нормативной (минимально необходимой) оценкой значения времени т0 обработки АСИБ, т.е. соответствующей случаю когда АСИБ не требует более глубокого анализа данных и весь процесс обработки заключается в проверке соответствия адреса отправителя (соответствие 1Р-адреса) и передаче его для дальнейшей обработки в МО. Время построения возможного сценария ДВ определяется числом АСИБ, входящих в него, реализуемого системой нарушителя. Заголовок имеет постоянный размер и структура его строго формализована. Таким образом, значение величины т0 зависит от:

- ЭТХ системы нарушителя;

- полноты базы АСИБ;

- числа АСИБ входящих в сценарий ДВ, и определяется методом оценивания значения величины т0 (методом статистической обработки экспериментальных данных или методом экспертного оценивания).

Значение величины т0 зависит от:

- максимального размера сети в которой происходит реализация сценария ДВ;

- качества приема АСИБ в модуле обнаружения (наличие в сети помех различных видов), и определяется методом статистической обработки результатов обнаружения признаков АСИБ существующей СОПКА ОКИ или результатов данных имитационного моделирования ПФ системы защиты информации в целом.

2. Значения параметров доли АСИБ зависят от качества алгоритмов принятия решения о реализуемом сценарии и могут быть оценены йт и йм методом статистической обработки результатов ПФ существующей СОПКА ОКИ.

3. Определяется значение параметра X интенсивности обработки АСИБ. Для этого по результатам имитационной модели определяется среднее время т0 обработки АСИБ, а затем

среднее значение X = -1 интенсивности X обработки, которое и принимается в качестве х0

значения X.

4. Определяются значения параметров ц и т1 .

В качестве значения величины т1 принимается сумма среднего времени тПР приема АСИБ и среднего времени х3 задержек, связанных с передачей АСИБ с модуля приема на модуль анализа. Значения тПР и х3 определяются в ходе имитационного моделирования. Экспертное оценивание позволяет получить значение м^ математического ожидания

времени т1 задержки. Тогда, значение параметра ц определяется по формуле:

Ц = . (20)

мТ -т1

5. На основе анализа операционной ситуации предъявляются требования йт, та к качеству результатов функционирования системы нарушителя.

6. Вычисляется значение PВ3 показателя эффективности ПФ системы нарушителя по формуле представленной в первой части настоящей статьи.

7. Обосновывается требование к эффективности ПФ системы нарушителя - требуемое РВ3 значение вероятности PВ3 достижения выполнения задачи операции.

8. Производится оценивание эффективности ПФ системы нарушителя по критерию

пригодности GЭ : PВ3 > РВ3.

Формулируется вербальный вывод об эффективности ПФ системы нарушителя. Система считается качественной, а процесс ее функционирования эффективным, если значение показателя эффективности не меньше требуемого. В противном случае, система считается непригодной к выполнению задачи.

Методика оценивания эффективности процесса функционирования системы обнаружения предупреждения и ликвидации последствий компьютерных атак с помощью аналитической модели

В начале статьи представлена аналитическая модель ПФ СОПКА. Агрегированными параметрами аналитической модели являются:

Я - число возможных потенциально подходящих сценариев ДВ определенного типа; Гк = (у^у2,..., 1к) - вектор весовых коэффициентов, определяющих степень опасности

R

ДВ по г-му сценарию, где = 1,0 - У г - 1,г = 1(1)р ;

г=1

AR =(а1, а2,...,- вектор агрегированных характеристик временной ресурсоемкости реализации комплексного сценария ДВ определенного г-го типа;

мк =(ц1, ц2,-.., ц^ - вектор характеристик интенсивности возникновения временных задержек различных видов;

Мя =(("4!,Р1),(",Рг),-•-,(,Рд)) - вектор параметров формы закона распределения

целевых эффектов и(г) - долей АСИБ входящих в сценарий ДВ по каждому (г-му) типу распознанных АСИБ нарушителя с качеством не хуже требуемого;

VR (йт), ^ ^, й^ ^,.. , ы^ ^ - вектор параметров положения законов

распределения целевого эффекта й(г) для каждого из сценариев г-го типа;

Т х'2,..., - вектор технологических (нормативных) затрат времени на

реализацию каждого г-го сценария ДВ;

=(^,г(1),...,2$\ = (й(1),й(2>)й^Л - вектор требуемых (минимально допустимых)

= у ^ , ^г / = \ йтр , йтр йтр

значений долей й>г) АСИБ входящих в реализуемый г-й сценарий ДВ с требуемым качеством;

~(2) /(2) (2) (2)\ /(1) (2)

¿Кк' = гП ^ %..., > = ^д , ту ту) - вектор предельно допустимых затрат операционного времени х( г) на реализацию г-го комплексного сценария ДВ на ОКИ.

Методика оценивания эффективности процесса функционирования системы обнаружения предупреждения и ликвидации последствий компьютерных атак

Методика оценивания эффективности ПФ СОПКА реализуется следующим алгоритмом:

1. Определяется число Я (в зависимости от важности ОКИ, степени его защищенности, количества СрЗИ из которых состоит СОИБ) возможных потенциально подходящих сценариев ИТВ.

2. Методом экспертного оценивания определяются значения элементов вектора ГЛ .

3. Определяются значения компонент векторов ¥к ,ЫК - параметров законов

распределения целевых эффектов и>г). Существует несколько методов определения данных параметров:

- в случае, если ранее выполнялись подобные операции, то в качестве искомых параметров целесообразно использовать оценки, полученные в результате статистической обработки результатов проведения (реализации) данных операций;

- в случае отсутствия каких либо статистических данных, для определения параметров закона распределения целевых эффектов необходимо воспользоваться либо методом экспертного оценивания, либо результатами имитационного моделирования процесса реализации каждого г-го Мг [г = 1{1)Л] сценария ДВ.

4. Методом имитационного моделирования определяются характеристики временных задержек, возникающих при проведение операции по реализации г-го сценария ДВ, описываемых векторами МЛ и ТЛ .

5. Методом экспертного оценивания или по результатам имитационного моделирования ПФ СОПКА определяются значения агрегированных характеристик аг временной ресурсоемкости реализации сценария ДВ каждого г-го типа.

6. На основе анализа операционной ситуации предъявляются требования Z{1), Z{2) к качеству результатов применения СОПКА сценария упреждающего поведения.

7. Вычисляется значение показателя эффективности Рдц по формуле (16).

8. Обосновываются требования к эффективности ПФ СОПКА - требуемое Р^Р значение вероятности Рдц достижения цели.

9. Производится оценивание эффективности ПФ СОПКА по критерию пригодности.

10. Делается вывод об эффективности ПФ СОПКА. Система считается качественной, если она функционирует с эффективностью не ниже требуемой. В противном случае, система считается непригодной к выполнению задачи и необходимо либо "смягчать" предъявляемые требования, довольствуясь худшими результатами, либо выделять дополнительные ресурсы на повышение качества результатов операции упреждения сценария ДВ.

Заключение

1. Для комплексного исследования эффективности ПФ СОПКА вектор показателей качества его результатов должен включать три группы компонент, характеризующих соответственно целевые эффекты, затраты ресурсов и времени.

2. При описании процесса реализации сценария ДВ следует учитывать взаимосвязь всех компонент вектора показателей качества результатов операции.

3. Для построения аналитической модели операционной системы необходимо и достаточно определить операционный функционал и ЗР генеральных аргументов.

4. Для учета системных свойств ПФ системы нарушителя и СОПКА, упрощения процедуры построения моделей процесса их функционирования и интерпретации результатов исследования на этапе внешнего проектирования предпочтительно использование агрегированных параметров модели.

5. На этапе построения моделей различных видов необходимо разрабатывать операционные и временные модели противоборствующей стороны.

Литература

1. Юсупов Р.М., Мусаев А.А. Особенности оценивания эффективности информационных систем и технологий // Труды СПИИРАН. 2017. Вып. 1(51). С. 5-34.

2. Морозов Л.М., Петухов Г.Б., Сидоров В.Н. Методологические основы теории эффективности // Л. 1979. 174 с.

3. Петухов Г.Б. Основы теории эффективности целенаправленных процессов. Часть 1. Методология, методы, модели. 1989. 647 с.

4. Петухов Г.Б., Якунин В.И. Методологические основы внешнего проектирования целенаправленных процессов и целеустремленных систем. М.: АСТ. 2006. 504 с.

5. McMahon P. 15 Fundamentals for Higher Performance in Software Development: Includes discussions on CMMI, Lean Six Sigma, Agile and SEMAT's Essence Framework // Pem Systems Publ. 2014. 336 p.

6. Гейда А.С., Исмаилова З.Ф., Клитный И.В., Лысенко И.В. Задачи исследования операционных и обменных свойств систем // Труды СПИИРАН. 2014. Вып. 4(35). C. 136-160.

7. Гейда А.С., Лысенко И.В., Юсупов Р.М. Основные концепты и принципы исследования операционных свойств использования информационных технологий // Труды СПИИРАН. 2015. Вып. 5(42). C. 5-36.

8. ScottM., DeLone W., Golden W. Measuring Government success: a public value approach // European Journal of Information Systems. 2016. Vol. 25(3). Pp. 187-208.

9. Bayne L., Schepis D., Purchase S. A framework for understanding strategic network performance: Exploring efficiency and effectiveness at the network level // Industrial Marketing Management. 2017. Vol. 67. Pp. 134-147.

10. Stojcic N., Hashi I., Orlic E. Creativity, innovation effectiveness and productive efficiency in the UK // European Journal of Innovation Management. 2018. Pp. 1460-1060.

11. Yang Z., Yong S., Hong Y. Scale, congestion, efficiency and effectiveness in e-commerce firms // Electronic Commerce Research and Applications. 2016. Vol. 20. Pp. 171-182.

12. Matinheikki Y., Pesonen T., Artto K., Peltokorpi A. New value creation in business networks: The role of collective action in constructing system-level goals // Industrial Marketing Management. 2017. Vol. 67. Pp. 122-133.

13. Yang Z., Yong S., Hong Y. Analysis on pure e-commerce congestion effect, productivity effect and profitability in China // Socio-Economic Planning Sciences. 2017. Vol. 57. Pp. 35-49.

14. Garza-Reyes J. From measuring overall equipment effectiveness (OEE) to overall resource effectiveness (ORE) // Journal of Quality in Maintenance Engineering. 2015. Vol. 21(4). Pp. 506-527.

15. Shelly P., Straub D., Liang T. How Information Technology Governance Mechanisms and Strategic Alignment Influence Organizational Performance: Insights from a Matched Survey of Business and IT Managers // MIS Quarterly. 2015. Vol. 39. Pp. 497-518.

16. Mikalef P., Pateli A. Information technology-enabled dynamic capabilities and their indirect effect on competitive performance: Findings from PLS-SEM and fsQCA // Journal of Business Research. 2017. vol. 70. pp. 1-16.

17. Wetering V., Mikalef P., Adamantia P. A strategic alignment model for IT flexibility and dynamic capabilities: Toward an assessment tool // Twenty-Fifth European Conference on Information Systems (ECIS). 2017. Pp. 1-17.

18. Laaksonen O., Peltoniemi M. The essence of dynamic capabilities and their measurement // International Journal of Management Reviews. British Academy of Management. 2018. Vol. 20(2). Pp. 184-205.

19. Schilke O., Hu S., Helfat C. Quo vadis, dynamic capabilities? A content-analytic review of the current state of knowledge and recommendations for future research. Academy of Management Annals. 2018. Vol. 12. No. 1. Pp. 390-439.

20. Сухов А.М., Якунин В.И., Калиниченко С.В. Алгоритм применения методов и моделей противодействия компьютерным атакам // «Защита информации. Инсайд». С-Пб.: Изд-во ООО «Афина».

2016. № 6 (72). С. 38-41.

21. Сухов А.М., Горбачев И.Е., Якунин В.И. Методика моделирования процесса функционирования системы обнаружения вторжений в компьютерную сеть в задачах исследования эффективности // Проблемы информационной безопасности. Компьютерные системы. С-Пб.: Изд-во Политехн. ун-та.

2017. №2. С. 23-30.

22. Сухов А.М., Якунин В.И. Обоснование подхода к постановке и решению задачи внешнего проектирования проактивных систем обнаружения вторжений на объекты критической информаци-

онной инфраструктуры // Материалы XX Всероссийской научно-практической конференции «Актуальные проблемы защиты и безопасности». С-Пб.: Изд-во НПО «Специальных материалов». 2017. С. 228-231.

23. Сухов А.М., Горбачев И.Е., Якунин В.И. Подход к моделированию целенаправленных компьютерных атак на основе построения оперативного Т-процесса реализации возможного сценария деструктивного воздействия // Материалы 26 научно-технической конференции «Методы и технические средства обеспечения безопасности информации». С-Пб.: Изд-во Политехн. ун-та. 2017. С. 44-46.

24. Лукацкий А. В. Обнаружение атак. СПб.: БХВ-Петербург, 2001. 624 с.

25. Сухов А.М., Лукьянов Р.В., Андрушкевич Д.В. Алгоритм оперативного контроля информационной безопасности автоматизированных систем» // Сборник «Алгоритмов и программ прикладных задач», выпуск № 33, ВКА имени А.Ф. Можайского.

26. Горбачев И.Е., Кудрявцев А.Ю. Принципы рефлексивного управления нарушителем в инфо-телекоммуникационных системах на основе технологии маскирования информационных ресурсов // Защита информации. INSIDE. С-Пб.: ООО «Издательский дом «Афина». 2015. № 1(61). С. 2-8.

27. Бешелев С.Д., Гурвич Ф.Г. Математико-статистические методы экспертных оценок. М.: Статистика, 1980. 263 с.

28. Панкова Л.А., Петровский А.М., Шнейдерман М.В. Организация экспертизы и анализ экспертной информации. М.: Наука, 1984. 120 с.

29. Евланов Л.Г., Кутузов В.А. Экспертные оценки в управлении. М.: Экономика, 1989. 133 с.

30. Гмурман В.Е. Теория вероятностей и математическая статистика. М.: Высшая школа, 1999. 479 с.

A METHOD FOR EVALUATING THE EFFECTIVENESS OF THE PROCESSES OF FUNCTIONING OF THE SYSTEM FOR DETECTING PREVENTING AND ELIMINATING THE CONSEQUENCES OF COMPUTER ATTACKS

ALEKSANDR M. SUKHOV

PhD, Doctoral Candidate of the Krasnodar Higher ilitary School named after S.M.Shtemenko, Krasnodar, Russia, 19am87@mail.ru

ALEKSANDR V. KRUPENIN

PhD, Full Professor, Deputy Head of the Krasnodar Higher Military School named after Army General S.M. Shtemenko for academic and scientific work, Krasnodar, Russia, 19am87@mail.ru

VLADIMIR I. YAKUNIN

PhD, Docent, Docent at the special Department of the Military Space Academy named after A.F. Mozhaisky, Sankt-Petersburg, Russia, yavi1957@mail.ru

ABSTRACT

Intoduction: the task of evaluating the effectiveness is complex, due to its complexity, since it includes the justification of a comprehensive indicator of the quality of the process of functioning of information security systems. The process of evaluating the effectiveness of the operation is carried out at two levels and is implemented in two stages: at the first stage, the problem of scalarization of the indicator is solved, and at the second stage, the problem of determinization of indicators is solved. Purpose: development of new approaches to evaluating the effectiveness of the processes of functioning of the system for detecting, preventing and eliminating the consequences of computer attacks based on the theory of the effectiveness of targeted processes with the possibility of determining the value of the quality indicator of the operation (i.e., the functioning process) in the conditions of various types of delays (operational), to justify the strategy of its further application. Results: a method has been developed for evaluating the effectiveness of the processes of functioning of the system for detecting, preventing and eliminating the consequences of computer attacks, showing the achievement of the goal by justifying the quality indicator of the system functioning process, which allows evaluating the effectiveness of the system under consideration, investigating the influence of the controlled characteristics of the operating situation on the effectiveness of its functioning process and determining the dependence of the processes occurring in the system. The necessity of considering complex systems as a whole is described, since all possible consequences (a set of results) of its functioning should be taken into account, both positive - target effects and negative - resource expenditures of various types. Practical relevance: the implementation of the presented method allows us to evaluate the system in the conditions of destructive influences. Discussion: the shown feature makes it possible to evaluate complex technical systems taking into account the properties of their purposeful process.

Keywords: system; efficiency; quality; indicator; methodology; probabilistic approach; system analysis.

REFERENCES

1. Yusupov R.M., Musaev A.A. Features of evaluating the effectiveness of information systems and technologies. Trudy SPIIRAN [Proceedings of SPIIRAN]. 2017. Issue 1(51). Pp. 5-34. (In Rus)

2. Morozov L.M., Petukhov G.B., Sidorov V.N. Metodologicheskie osnovy teorii jeffektivnosti [Methodological foundations of the efficiency theory]. L. 1979. 174 Pp. (In Rus)

3. Petukhov G.B. Osnovy teorii jeffektivnosti celenapravlennyh processov. Chast 1. Metodologija, metody, modeli [Fundamentals of the theory of the effectiveness of purposeful processes. Part 1. Methodology, methods, models]. 1989. 647 Pp. (In Rus)

4. Petukhov G.B., Yakunin V.I. Metodologicheskie osnovy vneshnego proektirovanija celenapravlennyh processov i celeustremlennyh sistem [Methodological foundations of external design of purposeful processes and purposeful systems]. Moscow: AST, 2006. 504 Pp. (In Rus)

5. McMahon P. 15 Fundamentals for Higher Performance in Software Development: Includes discussions on CMMI, Lean Six Sigma, Agile and SEMAT's Essence Framework // Pem Systems Publ. 2014. 336 Pp.

6. Geida A.S., Ismailov Z.F., Klitna I.V., Lysenko I.V. Objectives of the study the operating and metabolic properties of systems. Trudy SPIIRAN [Proceedings of SPIIRAN]. 2014. Issue 4(35). Pp. 136-160. (In Rus)

7. Geida A.S., Lysenko I.V., Yusupov R.M. Basic concepts and principles of research operating properties, the use of information technologies. Trudy SPIIRAN [Proceedings of SPIIRAN]. 2015. Issue 5(42). Pp. 5-36. (In Rus)

8. Scott M., W. DeLone, W. Golden. Measuring Government success: a public value approach. European Journal of Information Systems. 2016. vol. 25(3). Pp. 187-208.

9. Bayne L., Schepis D., Purchase S. A framework for understanding strategic network performance: Exploring efficiency and effectiveness at the network level. Industrial Marketing Management. 2017. vol. 67. Pp. 134-147.

10. Stojcic N., Hashi I., Orlic E. Creativity, innovation effectiveness and productive efficiency in the UK. European Journal of Innovation Management. 2018. Pp. 1460-1060.

11. Yang Z., Yong S., Hong Y. Scale, congestion, efficiency and effectiveness in e-commerce firms. Electronic Commerce Research and Applications. 2016. vol. 20. Pp. 171-182.

12. Matinheikki Y., Pesonen T., Artto K., Peltokorpi A. New value creation in business networks: The role of collective action in constructing system-level goals. Industrial Marketing Management. 2017. vol. 67. Pp. 122-133.

13. Yang Z., Yong S., Hong Y. Analysis on pure e-commerce congestion effect, productivity effect and profitability in China. SocioEconomic Planning Sciences. 2017. vol. 57. Pp. 35-49.

14. Garza-Reyes J. From measuring overall equipment effectiveness (OEE) to overall resource effectiveness (ORE). Journal of Quality in Maintenance Engineering. 2015. vol. 21(4). Pp. 506-527.

15. Shelly P., Straub D., Liang T. How Information Technology Governance Mechanisms and Strategic Alignment Influence Organizational Performance: Insights from a Matched Survey of Business and IT Managers. MIS Quarterly. 2015. vol. 39. Pp. 497-518.

16. Mikalef P., Pateli A. Information technology-enabled dynamic capabilities and their indirect effect on competitive performance: Findings from PLS-SEM and fsQCA. Journalof Business Research. 2017. vol. 70. Pp. 1-16.

17. Wetering V., Mikalef P., Adamantia P. A strategic alignment model for IT flexibility and dynamic capabilities: Toward an assessment tool. Twenty-Fifth European Conference on Information Systems (ECIS). 2017. Pp. 1-17.

18. Laaksonen O., Peltoniemi M. The essence of dynamic capabilities and their measurement. International Journal of Management Reviews. British Academy of Management. 2018. vol. 20(2). Pp. 184-205.

19. Schilke O., Hu S., Helfat C. Quo vadis, dynamic capabilities? A content-analytic review of the current state of knowledge and recommendations for future research. Academy of Management Annals. 2018. vol. 12. no. 1. Pp. 390-439.

20. Sukhov A.M., Yakunin V.l., Kalinichenko S.V. Algorithm of application of methods and models of countering computer attacks. «Zashhita informacii. Insajd» ["Information Protection. Insider"]. From-Pb.: Publishing house of LLC "Athena". 2016. № 6 (72). Pp. 38-41. (In Rus)

21. Sukhov A.M., Gorbachev I.E., Yakunin V.l. Methodology for modeling the process of functioning of the intrusion detection system in a computer network in the tasks of efficiency research. Problemy informacionnoj bezopasnosti. Kompjuternye sistemy [Problems of information security. Computer systems]. S-Pb.: Publishing house of the Polytechnic University. un-ta. 2017. No. 2. Pp. 23-30. (In Rus)

22. Sukhov A.M., Yakunin V.I. Obosnovanie podhoda k postanovke i resheniju zadachi vneshnego proektirovanija proaktivnyh sistem obnaruzhenija vtorzhenij na obekty kriticheskoj informacionnoj infrastruktury [the Rationale of the approach to the formulation and solution of the problem of the external design of proactive intrusion detection systems on objects of critical information infrastructure]. Materialy XX Vserossijskoj nauchno-prakticheskoj konferencii «Aktual'nye problemy zashhity i bezopasnosti» [proceedings of the XX all-Russian scientific-practical conference "Actual problems of protection and security"]. S-Pb.: Izd-vo NPO "Special materials". 2017. Pp. 228-231. (In Rus)

23. Sukhov A.M., Gorbachev I.E., Yakunin V.I. Podhod k modelirovaniju celenapravlennyh kompjuternyh atak na osnove postroenija operativnogo T-processa realizacii vozmozhnogo scenarija destruktivnogo vozdejstvija [Approach to modeling targeted computer attacks based on the construction of an operational T-process for the implementation of a possible scenario of destructive impact]. Materialy 26 nauchno-tehnicheskoj konferencii «Metody i tehnicheskie sredstva obespechenija bezopasnosti informacii» [Materials of the 26 scientific and technical conference "Methods and technical means of ensuring information security"]. S-Pb.: Publishing House of the Polytechnic University. un-ta. 2017. Pp. 44-46. (In Rus)

24. Lukatsky A.V. Obnaruzhenie atak [Detection of attacks]. St. Petersburg: BHV-Petersburg, 2001. 624 p. (In Rus)

25. Sukhov A.M., Lukyanov R.V., Andrushkevich D.V. Algoritm operativnogo kontrolja informacionnoj bezopasnosti avtomatizirovannyh sistem» [Algorithm of operational control of information security of automated systems"]. Sbornik «Algoritmov i programm prikladnyh zadach» [Collection of "Algorithms and programs of applied problems"], issue No. 33, Mozhaisky VKA. (In Rus)

26. Gorbachev I.E., Kudryavtsev A.Yu. Principles of reflexive management of the violator in infotelecommunication systems based on the technology of masking information resources. «Zashhita informacii. Insajd» ["Information Protection. Insider"]. From. S-Pb.: LLC "Publishing House "Athena". 2015. № 1(61). Pp. 2-8. (In Rus)

27. Beshelev S. D., Gurvich F.G. Matematiko-statisticheskie metody jekspertnyh ocenok [Mathematical-statistical methods of expert assessments]. M.: Statistics, 1980. 263 p. (In Rus)

28. Pankova L.A., Petrovsky A.M., Schneiderman M.V. Organizacija jekspertizy i analiz jekspertnoj informacii [Organization examination and analysis of expert information]. M.: Nauka, 1984. 120 p. (In Rus)

29. Evlanov L.G., Kutuzov V.A. Jekspertnye ocenki v upravlenii [Expert assessment in management]. M.: Ekonomika, 1989. 133 p (In Rus)

30. Gmurman V.E. Teorija verojatnostej i matematicheskaja statistika [Theory of probability and mathematical statistics]. M.: Vysshaya SHKOLA, 1999. 479 p. (In Rus)