CC BY
41
УДК 004.023
В. В. Коломиец
Новосибирский государственный университет ул. Пирогова, 2, Новосибирск, 630090, Россия
E-mail: viccont65@gmail.com
МЕТОД ПОЛУЧЕНИЯ ВЕРБАЛЬНЫХ ПОКАЗАТЕЛЕЙ ЗАЩИЩЕННОСТИ СИСТЕМЫ
Большинство систем персональных данных нуждаются в программно-аппаратных средствах защиты информации. Построение системы защиты для каждой конкретной организации предполагает анализ информационной системы специалистом в области безопасности, ее классификацию по определенным критериям защиты, построение модели угроз и формирование частного технического задания для информационной системы защиты. Цель данной - показать используемый при автоматизированном анализе способ реализации экспертных оценок защищенности информационной системы персональных данных для последующего применения показателей при построении системы защиты. Предлагается рассчитывать вербальный показатель на основе анализа оценок, полученных от сотрудника организации, которому будет предложен ряд вопросов, заранее «взвешенных» по важности экспертами.
Ключевые слова: показатели защищенности, экспертные оценки, метод Саати, собственный вектор, матрица парных сравнений, функция принадлежности, нечеткие множества.
Введение
В рамках задачи реализации программного продукта, который осуществляет функции построения документов для информационной системы, обрабатывающей персональные данные, отражающих требования к построению системы защиты - модель угроз и техническое задание, необходимо заменять эксперта в области информационной безопасности при определении качественных характеристик угроз.
Цель статьи - показать способ получения экспертных оценок защищенности информационной системы персональных данных (ИСПДн) для последующего их применения при построении системы защиты.
Процесс построения системы защиты во многом регламентирован существующим законодательством, но не полностью.
Имея набор входных данных, характеризующих конкретную информационную систему, полученных от уполномоченного лица предприятия, можно сформировать модель угроз и техническое задание, соответствующие стандартам, установленным регуляторами в области информационной безопасности (Росскомнадзор, ФСТЭК, ФСБ) и отражающим специфические требования предприятия.
На этапе оценивания актуальности угроз необходимо учитывать вербальные (качественные) показатели, устанавливаемые только экспертным путем. Например, эксперт определяет показатель «вероятность реализации угрозы», характеризующий, насколько вероятным является реализация конкретной угрозы безопасности персональных данных (ПДн) для данной ИСПДн в существующих условиях эксплуатации.
Коломиец В. В. Метод получения вербальных показателей защищенности системы // Вестн. Новосиб. гос. унта. Серия: Информационные технологии. 2014. Т. 12, вып. 2. С. 42-47.
ISSN 1818-7900. Вестник НГУ. Серия: Информационные технологии. 2014. Том 12, выпуск 2 © В. В. Коломиец, 2014
Понятно, что вербальные показатели рассчитываются преимущественно на основе субъективных мнений экспертов в области безопасности, руководства организации или других лиц, выполняющих оценку. Следовательно, данные показатели - качественные характеристики угроз. Как правило, качественный анализ выполняется путем заполнения опросных листов и проведения совместных обсуждений с участием представителей различных групп организации, таких как упомянутые выше эксперты по информационной безопасности, менеджеры и сотрудники ИТ-подразделений. Задача - получить актуальные показатели без привлечения экспертов со стороны.
Общий обзор алгоритма
Предлагается рассчитывать вербальный показатель на основе оценок, полученных от сотрудника (уполномоченного лица), которому будет предложен ряд вопросов, заранее «взвешенных» по важности экспертами, где важность (мнение эксперта) будет отражена в матрице оценок. А собственный вектор этой матрицы будет отражать коэффициенты важности (приоритеты) для каждого вопроса. После ответа тестируемого на заданные вопросы и получения вектора приоритетов необходимо провести построение функций принадлежности ответов к нечеткому терм-множеству, учитывая полученные приоритеты, где термы - значения искомых вербальных показателей 1.
Введем лингвистические переменные (ЛП) [1] для каждого вербального показателя -«Опасность» и «Вероятность», базовые терм-множества которых представим нечеткими термами Т = {Т1, ..., ТЬ}, имеющими названия, введенные методикой определения актуальных угроз [1].
Опасность: «Низкая», «Средняя», «Высокая».
Вероятность: «Маловероятно», «Низкая», «Средняя», «Высокая».
Определим числовое универсальное множество V = [1, Ь — 1], где Ь - количество термов.
Для построения показателя тестируемый (сотрудник) должен ответить на п вопросов по Л-балльной шкале, причем значение N может быть различным для каждого вопроса.
После этого, имея набор ответов в баллах, отобразим диапазон изменения параметра X,
(количества баллов по каждому вопросу), . = 1...п, на универсальное множество V = [1, Ь — 1]. Пересчет фиксированного значения X. в соответствующий элемент V. е [1, Ь — 1] выполним по следующей формуле [3]:
X, — X, V. = (Ь — 1) -У ,
' X — X,
где X, = 0, X, = N. - изменения параметра X, по каждому вопросу.
Построим функции принадлежности ц.. (X.) ответа X. терму Ti.
Имеем Ь термов Ti на универсальном множестве V = [1, Ь — 1].
Построение функций принадлежности
Функции принадлежности ц.. (X.), составляющие количественный смысл термов для введенной ЛП, должны удовлетворять следующим условиям, которые исходят из дальнейшего алгоритма нахождения решения (максиминный принцип) и теории построения функций принадлежности [3].
1 Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 г. URL: http://fstec.ru/normativnye-i-metodicheskie-dokumenty-tzi/114-deyatelnost/tekushchaya/tekhnicheskaya-zashchita-informatsii/normativnye-i-metodicheskie-dokumenty/ spetsialnye-normativnye-dokumenty/380-metodika-opredeleniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-fstek-rossii-2008-god (дата обращения 07.04.2014).
1. Ограниченность. Универсальное множество и должно быть ограничено, так как понятие, описываемое с помощью ЛП, имеет ограниченный набор значений.
V/ = 1...п: 0 < ^ (и) <
и
Следует из общих принципов построения функции принадлежности [1].
2. Симметричность |.
Теперь можно приступить к подбору функции принадлежности, удовлетворяющей этим условиям.
Колоколообразная функция принадлежности имеет вид
1
| в (х) =-
-]2 '
х-а
1+
где нечеткое число В с колоколообразной функцией принадлежности задается парой чисел В = (а, с); а - центр, с - величина, характеризующая ширину функции.
Данная функция удовлетворяет перечисленным требованиям, является гладкой на всей области определения и принимает ненулевые значения. Для построения такой функции необходим довольно большой набор данных, график колоколообразной функции симметричен относительно своей моды (центра).
Функции принадлежности нечеткого терма с номером / определим следующим образом
[4]:
-¡РЫ,
*'(и,) = [т+цЬпр
где РЫ,, , = 1...п - коэффициенты важности, определенные экспертом по каждому вопросу.
Оценка на основе метода парных сравнений
Рассмотрим вариант применения метода анализа иерархий для задачи получения коэффициентов важности (приоритетов) для вопросов. Метод анализа иерархий состоит в декомпозиции проблемы на более простые составляющие части и дальнейшей обработке последовательности суждений лицом, принимающим решение, например на основе метода парных сравнений [5]. Эти суждения затем выражаются численно.
Если рассматривать какой-либо качественный показатель угрозы безопасности системы обработки персональных данных как объект иерархии, а вопросы, задаваемые экспертам, -как объект иерархии следующего (дочернего) уровня, то веса вопросов ю1,..., юп являются приоритетами для показателя. Основным инструментом будет матрица чисел, представляющая суждения о парных сравнениях вопросов. Для представления приоритетов выбран собственный вектор, соответствующий наибольшему собственному значению [5].
Пусть имеем:
/ = 1, 2...п угроз безопасности;
, = 1, 2...т вопросов для каждой угрозы, характеризующих вербальный показатель (Опасность угрозы или вероятность угрозы).
Глобальные приоритеты - приоритеты альтернатив относительно цели (качественный показатель), которые вычисляются на заключительном этапе метода путем линейной свертки локальных приоритетов всех элементов.
В нашем случае все приоритеты глобальные, так как. иерархия состоит из двух уровней.
Значения приоритетов нормализуем: Приоритет т = 1.
В таком случае, сравнив вопросы методом парных сравнений, мы получим значения глобальных приоритетов для цели «важность ,-го вопроса для показателя /-й угрозы».
В основе метода парных сравнений лежит процедура обработки результатов опроса экспертов в виде упомянутой выше матрицы оценок А.
А = (а, ), (г, у = 1,2,..., и); 1 ... а1
А=
1/а.
1
После представления количественных суждений а, о важности вопросов необходимо поставить в соответствие множество весов юи, соответствующих суждениям а,.
ю.
—а,,, (для г, у = 1,2,..., и);
ю ,■
А =
ю, ю,
ю,
Ю1
юи
юи
Далее обработка заключается в оценке максимального собственного значения указанной матрицы. Вектор приоритетов вопросов - собственный вектор матрицы оценок. Поэтому для нахождения вектора приоритетов необходимо найти вектор, удовлетворяющий уравнению
[5]:
Аю = ^тах ю.
Для уменьшения числа сравнений и обеспечения согласованности суждений, сами сравнения достаточно производить только в одном направлении. Например, если величине ю,
присвоено значение к, то величина ю, автоматически принимает значение 1/к. Экспертам
необходимо произвести и(и - 1) / 2 сравнений важности вопросов относительно друг друга. Затем вычисляется собственный вектор матрицы парных сравнений, для представления приоритетов вопросов.
Корректность применения метода получения из количественных суждений группы (т. е. из относительных величин, ассоциируемых с парами объектов (вопросов)) множества весов, ассоциируемых с отдельными объектами (вопросами), и более подробное обоснование использования метода можно найти в работах Т. Саати, например, в [5].
Нашей модели присуще требование транзитивности. Однако в [6] исследовано предположение, что нетранзитивность предпочтений может быть естественным явлением, а не следствием ошибки в суждениях или заблуждением. Сделано заключение, что в ряде случаев нетранзитивность является естественной и ее нельзя избежать.
Все оценки парных сравнений подвержены погрешностям, которые могут привести к несогласованным выводам. Степень согласованности суждений экспертов оценивается показателями согласованности.
Связь вектора приоритетов с согласованностью показывается с помощью вычисления индекса согласованности, ИС: ((к тах) - и)/(и -1), где ктах - наибольшее собственное значение квадратной матрицы сравнений; и - количество элементов квадратной матрицы сравнений.
В общем случае, если ИС < 0,1, мы можем быть удовлетворены суждениями.
ИС - это количественная оценка противоречивости результатов сравнений. Затем вычисляется относительная согласованность, ОС (отношение индекса согласованности к среднестатистическому значению индекса согласованности (СС). СС получено Т. Саати методом генерации ИС случайным образом по шкале от 1 до 9 обратно-симметричной матрицы).
Величина ОС должна быть порядка 10 % или менее, чтобы быть приемлемой. В некоторых случаях можно допустить 20 %, но не более. Если ОС выходит из этих пределов, то участникам нужно исследовать задачу и проверить свои суждения [7].
Значение качественного показателя для угрозы определим, используя свертку на основе пересечения нечетких множеств, на основании следующего нечеткого логического выражения [8]:
L n
^ s (Xj) = VA^j,
i=i j=i
где i = 1...L - номер терма из базового терм-множества T, а j = 1...n - номер вопроса.
Заключение
Подтвердить эффективность предложенного метода может практическое применение в существующих системах персональных данных.
Метод используется в приложении, которое автоматизирует процесс построения документов для системы защиты информационной системы персональных данных. Тестирование программы показало значительное совпадение сформированных документов с уже имеющимися и работающими техническими заданиями и моделями угроз.
Список использованных источников
1. Корнеев В. В., Гареев А. Ф., Васюткин С. В., Райх В. В. Базы данных. Интеллектуальная обработка информации. 2-е изд. М.: Нолидж, 2001. 496 с.
2. Ротштейн А. П. Медицинская диагностика на нечеткой логике. Винница: Континент-Прим, 1996. 132 с.
3. Кофман А. Введение в теорию нечетких множеств. М.: Радио и связь, 1982. 432 с.
4. Попов Э. В. Экспертные системы: решение неформализованных задач в диалоге с ЭВМ. М.: Наука - Москва, 1987. 288 с.
5. Саати Т. Принятие решений. Метод анализа иерархий. М.: Радио и Связь, 1993.
6. May K. Q. Intransitivity, Utility, and the Aggregation of Preference Patterns // Econometrica. 1954. Vol. 22. № 1.
7. Грибунин В. Г., Чудовский В. В. Комплексная система защиты информации на предприятии: Учеб. пособие для студ. высш. учеб. заведений. М.: Академия, 2009. 416 с.
8. Борисов А. Н., Крумберг О. А., Федоров И. П. Принятие решений на основе нечетких моделей. Примеры использования. Рига: Зинатне, 1990. 184 с.
Материал поступил в редколлегию 21.05.2014
V. V. Kolomiyets
THE METHOD OF CALCULATION QUALITATIVE CHARACTERISTICS
OF SYSTEM SECURITY
Most systems that processing personal data need to be protected in the software and hardware data. The defensive system for each organization involves analyzing information system by specialist in security, classification this system according to certain criteria of protection, the construction of the threat model and the formation of private technical specifications for information system protection. The aim of this work is to show the way, how to implement security expert assessments personal data information system in automatic analysis, for subsequent use in the construction of indicators system of protection. Expert assessments calculate offered by based on the analysis estimates, obtained from the employee of organization who will offered a number of questions in advance «weighted « on the importance by experts.
Keywords: Security indicators, expert estimates, Saati's method, own vector, matrix of pair comparisons, accessory function, indistinct sets.
References
1. Korneyev V. V., Gareyev A. F., Vasyutkin S. V., Raykh V. V. Bazy dannyh. Intellektual'naya obrabotka informacii [Intelligent database information processing]. 2nd ed. Moscow, Nolidzh Publ., 2001, 496 p.
2. Rotshteyn A. P. Medical diagnostics on fuzzy logic. Vinnitsa, Kontinent-Prim, 1996, 132 p.
3. Kofman A. Introduction to the theory of fuzzy sets. Moscow, Radio i svyaz', 1982, 432 p.
4. Popov E. V. Jekspertnye sistemy: reshenie neformalizovannyh zadach v dialoge s JeVM [Expert systems: Decision formalized problems in dialogue with the computer]. Moscow, Nauka -Moskva, 1987, 288 p.
5. Saati T. Adoption decisions. Analytic hierarchy process. Moscow, Radio i Svyaz', 1993.
6. May K. Q. Intransitivity, Utility, and the Aggregation of Preference Patterns. Econometrica, 1954, vol. 22, no. 1.
7. Gribunin V. G., Chudovskiy V. V. Kompleksnaya sistema zashhity informacii na predpri-yatii: Ucheb. posobie dlya stud. vyssh. ucheb. zavedenij [Complex protection system of information in the enterprise]. Moscow, Akademiya, 2009, 416 p.
8. Borisov A. N., Krumberg O. A., Fedorov I. P. Prinyatie reshenij na osnove nechetkih mod-elej. Primery ispol'zovaniya [Adoption decisions on the basis nechetkyh models. Using examples]. Riga, Zinatne, 1990, 184 p.
