МЕТОДИЧЕСКИЕ ПОЛОЖЕНИЯ ПО ВЕРОЯТНОСТНОМУ ПРОГНОЗИРОВАНИЮ КАЧЕСТВА ФУНКЦИОНИРОВАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ. ЧАСТЬ 1. ОБЩИЙ ПОДХОД Текст научной статьи по специальности «Компьютерные и информационные науки»

МЕТОДИЧЕСКИЕ ПОЛОЖЕНИЯ ПО ВЕРОЯТНОСТНОМУ ПРОГНОЗИРОВАНИЮ КАЧЕСТВА ФУНКЦИОНИРОВАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ. ЧАСТЬ 1. ОБЩИЙ ПОДХОД

Костогрызов А.И.Нистратов А.А.2

Ключевые слова: вероятность, модель, прогнозирование, риск, система, системный анализ, угроза.

Аннотация

Работа состоит из трех частей: настоящая часть 1 содержит описание общего подхода к вероятностному прогнозированию качества функционирования информационных систем (ИС) любой области приложения, в части 2 приводится описание моделей «черных ящиков» для расчетов составных показателей качества, завершающая часть 3 посвящена моделированию сложных систем и интегральному анализу результатов моделирования.

Цель всей работы: помочь системный аналитикам, участвующим в оценке качества функционирования ИС при их создании, эксплуатации, модернизации, развитии, сформировать облик комплексной методики вероятностного прогнозирования, применимый в интересах обеспечения качества и безопасности, обоснования допустимых рисков, выявления существенных угроз и поддержки принятия научно обоснованных системных решений для упреждающего противодействия угрозам в жизненном цикле ИС.

Цель 1-й части работы: предложить общий подход к вероятностному прогнозированию качества функционирования ИС, основанный на использовании моделей и методов ГОСТ Р 59341-2021 «Системная инженерия. Защита информации в процессе управления информацией системы» (которые, в свою очередь, базируются на предшествующих авторских проработках [1—12]).

В исследовании использованы методы теории вероятностей и системного анализа. В качестве моделируемой системы формально выступают «черныеящики» и сложные системы в виде параллельно-последовательных структур, формируемых из «черных ящиков», объединяемых с использованием логических соединений «И», «ИЛИ». Получаемые результаты математического моделирования используются в интерпретации к исходной ИС, в интересах которой проводятся соответствующие расчеты.

Результаты 1-й части работы: предложен общий подход к вероятностному прогнозированию качества функционирования ИС, построенный в виде основных методических положений, раскрывающих базовые термины и определения, рассматриваемые объекты ИС, цель и задачи прогнозирования, принятые предположения, условия и допущения, оцениваемые показатели, перечень вероятностных моделей (сами модели, представимые с использованием «черных ящиков» и их композиций, исходные данные и методы расчетов описываются в последующих 2-й и 3-й частях статьи), порядок проведения моделирования, интерпретация и системный анализ результатов расчетов. Применение подхода проиллюстрировано на примере извлечения эффекта при решении задачи повышения пропускной способности компьютерной сети.

Научная новизна работы: сегодня на практике возникает критичное противоречие между потребностями в системной аналитике ИС на уровне объективных количественных показателей и возможностями для решения актуальных задач системного анализа. Для преодоления этого противоречия в предлагаемых методических положениях сформулирована общая цель функционирования ИС различного функционального приложения—это обеспечение надежности и своевременности предоставления необходимой информации, полноты, достоверности и безопасности используемой информации для последующего применения по назначению. Именно ориентация на эту общую цель определила научную новизну работы, заключающуюся в формировании облика комплексной методики вероятностного прогнозирования, применимой в интере-

1 Костогрызов Андрей Иванович, доктор технических наук, профессор, Федеральный исследовательский центр «Информатика и управление» Российской академии наук, г. Москва, Российская Федерация.

E-mail: [email protected]

2 Нистратов Андрей Андреевич, кандидат технических наук, Федеральный исследовательский центр «Информатика и управление» Российской академии наук, г. Москва, Российская Федерация.

E-mail: [email protected]

сах обеспечения качества и безопасности, обоснования допустимых рисков, выявления существенных угроз и поддержки принятия научно обоснованных системных решений для упреждающего противодействия угрозам в жизненном цикле ИС.

DOI: 10.24412/1994-1404-2024-3-13-31

1. Введение

С широким внедрением средств и систем, основанных на использовании информационных технологий, проблематика системного анализа качества функционирования ИС остается остро актуальной. При этом система рассматривается как комбинация взаимодействующих элементов, организованная для достижения одной или нескольких поставленных целей. Несмотря на то, что на базе разносторонних аналитических исследований ИС [1—12] появилось множество стандартов, которые рекомендуют всестороннее использование вероятностного системного анализа для различного рода систем (см, например, стандарты системной инженерии ГОСТ Р 59329-ГОСТ Р 59357, ГОСТ Р 59991 — ГОСТ Р 59994), на практике формирование комплексной методики, применимой для прогнозирования количественных показателей качества и безопасности, обоснования допустимых рисков, выявления существенных угроз и поддержки принятия научно обоснованных системных решений в жизненном цикле ИС, вызывает у системных аналитиков практические затруднения. Во многом это связано не только с многогранностью самого понятия качества функционирования ИС и сложностью математической формализации, но и со спецификой ИС и естественным нежеланием владельцев ИС допускать к системной информации посторонних системных аналитиков, даже очень опытных. Более того, в оценках ряда стандартных показателей зачастую имеет место факторы субъективности — например, в показателях по стандартам серии ИСО/МЭК 25000 (см., например, ГОСТ Р ИСО/МЭК 25010-2015 «Информационные технологии. Системная и программная инженерия. Требования и оценка качества систем и программного обеспечения ДОиаКЕ). Модели качества систем и программных продуктов»). В итоге важные показатели теряют необходимую объективность, многие системные аспекты оказываются вне поля аналитического рассмотрения, измеряемые показатели качества оказываются несоизмеримыми по единой количественной шкале, и, как следствие, обратные аналитические задачи упреждающего противодействия угрозам в жизненном цикле ИС и ее составных элементов не решаются должным образом.

Цель настоящей статьи (в трех частях) состоит в том, чтобы помочь системный аналитикам, участвующим в оценке качества функционирования ИС при их создании, эксплуатации, модернизации, развитии, сформировать облик комплексной методики вероятностного прогнозирования, применимый в интересах обеспечения качества и безопасности, обоснования допустимых

рисков, выявления существенных угроз и поддержки принятия научно обоснованных системных решений для упреждающего противодействия угрозам в жизненном цикле ИС. Настоящая часть 1 содержит описание общего подхода к вероятностному анализу качества функционирования ИС любой области приложения. Предложенный подход представлен виде основных положений методики. В этих положениях в минимально необходимом объеме даются базовые термины и определения (для более подробного ознакомления даются необходимые ссылки), указываются возможные рассматриваемые объекты ИС, цели и задачи системного анализа, разъясняются принятые предположения, условия и допущения, определяются оцениваемые показатели, дается перечень рекомендуемых вероятностных моделей, указывается порядок проведения моделирования, объясняются способы интерпретации и применения результатов расчетов при решении прикладных задач. Применение подхода (в части обеспечения своевременности предоставления необходимой информации) проиллюстрировано на примере извлечения эффекта при решении задачи повышения пропускной способности компьютерной сети.

Настоящая методические положения предназначены для вероятностного прогнозирования качества функционирования рассматриваемой ИС (далее по тексту — «Системы» с заглавной буквы) как сложной системы и ее составных элементов (которые также могут представлять собой какую-либо систему) с использованием понятия «моделируемой системы». Для общности изложения сложная система определена как система, обладающая эмерджентными свойствами, которые не могут быть сведены к свойствам отдельных ее подсистем или элементов. В свою очередь под «моделируемой системой» понимается система, для которой решение задач системного анализа осуществляется с использованием ее формализованной модели и, при необходимости, формализованных моделей учитываемых сущностей в условиях их применения. Применение методических положений базируется на использовании принципа «от общего — к частному».

Примечание. Подчеркнем: в статье не рассматриваются методы оценки специфических свойств системы, связанных с применением результатов функционирования ИС по назначению.

2. Общий системный взгляд

Требования к функционированию Системы и ее составных элементов формируются с ориентацией на достижение целей объемлющей СИСТЕМЫ с учетом усло-

вий использования, выделяемых ресурсов на создание и эксплуатацию, функциональных возможностей источников информации, потребностей со стороны управляемых объектов, а также условий взаимодействия с другими системами. Применение Системы в целом, ее подсистем и системных элементов всегда преследует общую цель — обеспечение надежности и своевременности предоставления информации, полноты, достоверности и безопасности используемой информации для последующего прагматического применения по назначению. Именно ориентация на эту общую цель положена в основу математической формализации для оценки по единой вероятностной шкале качества функционирования всех рассматриваемых систем и их элементов.

С точки зрения математической формализации реализуемые процессы сбора, обработки и хранения информации вполне однотипны. В совокупности со сформулированной общей целью этого оказывается достаточно для выбора сравнительно общих показателей качества функционирования Систем в различных областях их приложения. Основная идея оценки качества функционирования ИС проиллюстрирована на рис. 1 с помощью абстрактного предоставления потребностей систем в качестве используемой информации.

Настоящие методические положения направлены на формирование облика комплексной методики вероятностного прогнозирования, применимого в инте-

ресах обеспечения качества и безопасности, обоснования допустимых рисков, выявления существенных угроз и поддержки принятия научно обоснованных системных решений для упреждающего противодействия угрозам в жизненном цикле ИС. На практике предлагаемый облик комплексной методики предназначен к использованию при построении полноценной методики, позволяющей оценивать уровни надежности и своевременности представления необходимой информации, обеспечения качества и безопасности используемой информации по рекомендациям ГОСТ Р 59341. В общем случае количественный анализ рассматриваемых систем заключается во взаимоувязанной оценке показателей в контексте достижения сформулированной цели. В частных случаях для составных подсистем и системных элементов более важными могут быть не все показатели, а некоторые из них, учитывающие функциональную специфику ИС. Так, для подсистемы обеспечения информационной безопасности достаточно ограничиться показателями защищенности от несанкционированного доступа (НСД) к информационным и программным ресурсам, целостности защищаемой информации и сохранения конфиденциальности в заданный период времени.

В зависимости от целей системного анализа рассматриваемая система может быть декомпозирована до уровня составных подсистем и элементов—см. рис. 2.

Рис. 1. Абстрактная иллюстрация качества функционирования ИС

Рис. 2. Декомпозиция рассматриваемой системы до уровня составных подсистем и элементов

В этом случае настоящие методические положения могут быть применимы к подсистемам и каждому из составных элементов.

Структура методических положений построена таким образом, что содержимое основного тела является общим для моделируемых систем независимо от функционального назначения Систем. А на непосредственно рекомендуемые к использованию математические модели и методы, которые учитывают специфику конкретной Системы, сделаны ссылки на стандарты, где эти модели и методы изложены. Такой подход применен умышленно, чтобы не перегружать основные методические идеи многочисленными математическими деталями.

Основное тело методических положений включает в себя:

- базовые термины и определения (для более подробного ознакомления даются необходимые ссылки);

- возможные рассматриваемые объекты ИС;

- цели и задачи системного анализа;

- принятые предположения, условия и допущения;

- оцениваемые показатели;

- перечень рекомендуемых вероятностных моделей (сами модели см. в последующих частях 2 и 3 статьи);

- порядок проведения моделирования;

- способы интерпретации и применения результатов расчетов.

Более подробно способы применения результатов расчетов при решении прикладных задач раскрываются в части 3 статьи.

Для понимания того, за счет чего могут быть достигнуты прагматические эффекты при решении прикладных задач, в конце настоящей части статьи приведен пример, разъясняющий возможности извлечения эффектов при решении задачи повышения пропускной способности компьютерной сети в специфических условиях ограничений на своевременность обработки запросов различных типов.

3. Базовые термины и определения

Для понимания предлагаемых методических положений ниже приведены основные термины и определения (более полное представление об используемой терминологии дают ГОСТ Р ИСО/МЭК 33002, ГОСТ Р ИСО/МЭК 33003, ГОСТ Р ИСО/МЭК 33004, ГОСТ Р ИСО/ МЭК 33020, ГОСТ РВ 51987, ГОСТ Р 57193, ГОСТ Р 58606, ГОСТ Р 58771, ГОСТ Р 59329 — ГОСТ Р 59357, ГОСТ Р 59989 — ГОСТ Р 59994, ГОСТ Р МЭК 61069 (части 1—8), ГОСТ Р МЭК 61508 (части 1, 2), ГОСТ Р МЭК 62508).

Актуальность информации: свойство безошибочной информации (в том числе подлежащей последую-

щей функциональной обработке или полученной в результате обработки) отражать текущее состояние прикладной области системы со степенью приближения, достаточной для получения на ее основе достоверной выходной информации в интересах конечного пользователя. Актуальность характеризует старение информации во времени (по ГОСТ Р 59341).

Безопасность информации: состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность (по ГОСТ Р 50922).

Безошибочность информации: свойство информации не иметь явных или скрытых ошибок и/или искажений (по ГОСТ Р 59341).

Допустимый риск: риск, который в данной ситуации считают приемлемым при существующих общественных ценностях (по ГОСТ Р 51898).

Достоверность информации: свойство информации отражать реальное или оцениваемое состояние объектов и процессов прикладной области со степенью приближения, обеспечивающей эффективное использование этой информации согласно целевому назначению системы. Достоверность выходной информации определяется истинностью исходных данных, безошибочностью входной информации, корректностью обработки, безошибочностью при хранении и передаче информации и сохранением ее актуальности на момент использования (по ГОСТ Р 59341).

Качество используемой информации в системе: совокупность свойств используемой информации, обусловливающих ее пригодность для последующего использования в соответствии с целевым назначением в системе (по ГОСТ Р 59341).

Качество функционирования системы: совокупность свойств, обусловливающих пригодность системы в соответствии с ее целевым назначением (по ГОСТ Р 59341).

Корректность обработки информации в системе: свойство системы обеспечивать получение правильных согласованных результатов или эффектов обработки информации (по ГОСТ Р 59341).

Надежность предоставления информации в системе и выполнения операций: свойство системы обеспечивать прием, автоматическую обработку запроса или команды и предоставление или принудительную выдачу выходной информации согласно функциональному алгоритму при соблюдении эксплуатационных условий применения и технического обслуживания системы (адаптировано по ГОСТ Р 59341).

Моделируемая система: система, для которой решение задач системного анализа осуществляется с использованием ее формализованной модели и, при необходимости, формализованных моделей учитываемых сущностей в условиях их применения.

Примечание. В качестве модели системы могут выступать формализованные сущности, объединенные целевым назначением. Например, при проведении системного анализа в принимаемых допущениях, огра-

ничениях и предположениях модель может формально описывать процесс, функциональные действия, множество активов и/или выходных результатов или множество этих или иных сущностей в их целенаправленном применении в задаваемых условиях (по ГОСТ Р 59341).

Полнота выходной информации в системе: свойство выходной информации отражать состояния всех требуемых объектов учета предметной области системы. Слагается из полноты реализации функций системы, полноты ввода первоначальной информации и полноты оперативного отражения объектов учета в системе (по ГОСТ Р 59341).

Полнота оперативного отражения объектов учета в системе: свойство системы отражать требуемые состояния реально существующих объектов учета, в том числе впервые появляющихся в процессе функционирования системы и подлежащих учету в системе согласно ее функциональному назначению (по ГОСТ Р 59341).

Риск: сочетание вероятности нанесения ущерба и тяжести этого ущерба (по ГОСТ Р 51898).

Своевременность предоставления требуемой информации в системе: Свойство системы обеспечивать предоставление запрашиваемой или выдаваемой принудительно (автоматически) выходной информации в задаваемые сроки, гарантирующие выполнение соответствующей функции согласно целевому назначению системы (по ГОСТ Р 59341).

Системный анализ рассматриваемого объекта: научный метод системного познания, предназначенный для решения практических задач системной инженерии путем представления рассматриваемого объекта (системы, процесса и/или соответствующего проекта) в виде приемлемой моделируемой системы.

Примечания.

1. Метод включает в себя:

- измерение и оценку специальных показателей, связанных с критичными сущностями рассматриваемого объекта, прогнозирование рисков, интерпретацию и анализ приемлемости получаемых результатов;

- определение с использованием моделирования существенных угроз и условий, способных при том или ином развитии событий негативно повлиять на свойства рассматриваемого объекта;

- обоснование с использованием моделирования упреждающих мер, обеспечивающих желаемые свойства рассматриваемого объекта при задаваемых ограничениях в задаваемый период времени;

- обоснование предложений по обеспечению и повышению качества, безопасности и/или эффективности рассматриваемого объекта и достижению целей системной инженерии при задаваемых ограничениях в задаваемый период времени.

2. К специальным критичным сущностям системы могут быть отнесены отдельные характеристики качества (например, физические параметры, характеристики безотказности и восстанавливаемости системы), до-

стигаемые эффекты, выполняемые функции, действия или защищаемые активы. При этом в состав рассматриваемых могут быть включены характеристики, эффекты, функции, действия и активы, свойственные не только самой системе, но и иным системам (подсистемам), не вошедшим в состав рассматриваемой системы. Например, это могут быть характеристики, эффекты, функции, действия и активы,свойственные обеспечивающим системам, охватываемым по требованиям заказчика (адаптировано из ГОСТ Р 59991, ГОСТ Р 59994).

Целостность моделируемой системы: Состояние моделируемой системы, которое отвечает целевому назначению модели системы в течение задаваемого периода прогноза (по ГОСТ Р 59341).

4. Возможные рассматриваемые объекты

В качестве рассматриваемых могут выступать следующие объекты ИС:

- Система, состоящая из составных подсистем и элементов, которая для системного анализа может быть представлена с помощью моделируемой системы.

Примечание. В качестве моделируемой системы формально могут выступать «черные ящики» и сложные системы в виде параллельно-последовательных структур, формируемых из «черных ящиков», объединяемых с использованием логических соединений «И», «ИЛИ». Получаемые результаты математического моделирования используются в интерпретации к исходной рассматриваемой Системы, в интересах которой проводятся соответствующие расчеты.

- подсистемы и элементы Системы, которые для системного анализа могут быть представлены с помощью моделируемых систем.

Моделируемая система представляет собой формализованную модель Системы в целом и, при необходимости, формализованные модели учитываемых сущностей в условиях их применения. Прогнозирование качества функционирования системы проводится применительно к моделируемой системе и, при необходимости, к ее моделируемым подсистемам и элементам. Получаемые результаты оценки распространяются на оцениваемые Систему, подсистемы или соответствующие элементы с учетом принятых предположений, условий и допущений.

5. Цель и задачи

Основной целью применения методических положений является получение объективных результатов количественного прогноза качества функционирования ИС для решения следующих задач системного анализа:

- задачи вероятностного прогнозирования показателей качества и рисков, интерпретации и анализа получаемых результатов, включая сравнение прогнозируемых значений оцениваемых показателей с допустимым уровнем на предмет выполнения задаваемых ограничений;

- задачи обоснования допустимых рисков;

- задачи определения существенных угроз и условий, способных при том или ином развитии событий в жизненном цикле негативно повлиять на качество функционирования и/или безопасность рассматриваемой системы;

- задачи определения и обоснования в жизненном цикле моделируемой системы упреждающих мер противодействия угрозам и условий снижения рисков или удержания рисков в допустимых пределах, обеспечивающих желаемые свойства качества функционирования рассматриваемой системы;

- задачи обоснования рекомендаций по минимизации рисков нарушения качества функционирования подсистем и Системы в целом с учетом дополнительных специфических требований (например, требований по защите информации).

6. Принятые предположения, условия и допущения

Предполагается, что оценка угроз качеству функционирования системы может быть осуществлена с использованием моделируемой системы, формально описывающую систему на уровне исходных данных и оцениваемых показателей. С учетом неопределенностей расчет вероятностных показателей делается при условии или в предположении реальной или гипотетической повторяемости возможных событий. Получаемые результаты математического моделирования используются в приложении к исходной рассматриваемой системе, в интересах которой проводятся соответствующие оценки.

Примечание. Поскольку на практике представительная статистика реальных нарушений качества функционирования Системы от реализации угроз может целенаправленно не собираться или в некоторых случаях ее мало, при моделировании и в прогнозах могут быть использованы гипотетические данные из возможного диапазона значений, в т. ч. свойственные системам-аналогам и средствам из других областей приложений.

Для прогнозирования качества функционирования моделируемой системы с учетом неопределенности принято виртуальное условие, что учитываемые угрозы или их негативные последствия прямо или косвенно могут проявиться в задаваемый период прогноза. Тем самым в рамках период прогноза могут накладываться сценарии действий по разработке, эксплуатации и сопровождению моделируемой системы с учетом возможных последствий. Вероятностные результаты моделирования должны иметь соответствующую логичную интерпретацию.

Для математической формализации приняты следующие предположения:

- в общем случае в моделируемой системе (подсистеме) качество функционирования зависит

от надежности и своевременности предоставления услуг, полноты оперативного отражения в системе новых объектов и явлений, актуальности обновляемой информации, безошибочности информации после контроля, корректности обработки информации, обеспечения безопасности информации (включая сохранение целостности моделируемой системы в условиях опасных программно-технических воздействий, защищенность активов от несанкционированного доступа и сохранение конфиденциальности используемой информации);

- к началу периода прогноза целостность моделируемой системы обеспечена, включая изначальное выполнение требований по обеспечению качества и безопасности функционирования;

- в условиях неопределенностей возникновение и разрастание различных угроз качеству функционирования описывается в терминах случайных событий;

- для различных вариантов развития угроз качеству функционирования средства, технологии и меры противодействия угрозам с формальной точки зрения представляют собой совокупность мер, предназначенных для воспрепятствования реализации угроз.

Обоснованное использование выбранных мер противодействия угрозам является предупреждающими контрмерами. Кроме того, делается предположение о наличии возможностей по определению предпосылок к реализации угроз и выявлению признаков или следов реализации скрытых угроз, а также возможностей по приемлемому восстановлению нарушаемых условий обеспечения качества и безопасности функционирования моделируемой системы.

С учетом различных неопределенностей относительно возможных угроз качеству функционирования ИС в настоящей методике принято допущение о пуассо-новских потоках моментов возникновения угроз на временной оси и об экспоненциальном распределении времени их развития в моделируемой системе. Предположение о пуассоновости потоков обосновано тем, что общий поток угроз представляет собой сумму большого числа составных разнородных потоков от различных источников. Интенсивность каждого из слагаемых потоков мала по сравнению с интенсивностью суммарного потока — в такой ситуации действует предельная теорема Хинчина — Григолиониса, согласно которой суммарный поток будет близок к пуассоновскому [13—14]. В свою очередь экспоненциальное распределение обладает свойством отсутствия последействия, это означает, что согласно предположению об экспоненциальности остаток времени до реализации угрозы всегда имеет то же распределение с тем же параметром, что и время с момента возникновения угрозы [5].

Необходимо учитывать, что последние предположения и допущения ставят моделируемую систему в более тяжелые условия, а получаемые оценки будут

носить пессимистический характер, т. е. на практике можно ожидать несколько более лучших результатов по сравнению с расчетными.

7. Оцениваемые показатели

В простом случае, когда в условиях обеспечения качества функционирования реальной системы имеет место высокая степень определенности или когда в условиях некоторой неопределенности моменты возникновения угроз редки, а методы восстановления нарушаемого качества и безопасности освоены и заведомо результативны, качество функционирования системы может быть оценено с помощью экспертных показателей (например, это простейшие случаи, когда в реальности технологии создания и применения системы давно отработаны, а множество угроз полностью предсказуемо). В этом простом случае может быть применен экспертный метод оценки риска. При этом ориентируются на следующее определение риска: риск — это следствие влияния неопределенности на достижение поставленных целей. Под следствием влияния неопределенности понимается отклонение от ожидаемого результата или события — позитивное и/или негативное (по ГОСТ Р ИСО 31000). Риск оценивается экспертом на качественном уровне в характеристиках «допустимый» риск, «значимый» риск, «критичный» риск без каких-либо количественных оценок (см., например ГОСТ Р 33020, ГОСТ Р 59346). Эта характеристика риска относится к моменту оценки с учетом возможного эффекта и ожидаемого ущерба на период до восстановления нарушаемого качества функционирования (для значения «критичный» риск) или до следующей оценки уровня качества функционирования (для значения «допустимый» или «значимый» риск с принятием при необходимости мер по снижению риска) — см. рис. 3.

В более общем случае, когда в условиях обеспечения качества функционирования реальной системы имеет место неопределенность, на временной оси через случайные интервалы времени возникают разнородные угрозы. Риск нарушения качества функционирования подлежит оценке на количественном уровне применительно к моделируемой системе (такое наблюдается, например, когда имеет место высокая степень неопределенности от множества источников разнородных угроз или когда внедряются новые технологии). В этом случае риск определяется как вероятностная мера опасности с ее последствиями (в частности, по ГОСТ Р 51898: риск — это сочетание вероятности нанесения ущерба и тяжести этого ущерба).

Выбранные оцениваемые показатели должны поддерживаться математическими моделями и методами, обеспечивающими проведение оценок показателей различных рисков и прогнозирование интегрального риска нарушения качества функционирования моделируемой системы. Частные показатели должны учитывать возможные нарушения качества функционирования подсистем и элементов в их жизненном цикле.

Рис. 3. Риск, оцениваемый экспертом на качественном уровне в характеристиках рисков «допустимый», «значимый» и «критичный»

С учетом рекомендаций ГОСТ Р 59341, ГОСТ Р 59991 и ГОСТ Р 59994 в предлагаемом облике комплексной методики приняты следующие обобщенные количественные показатели:

- частные показатели, характеризующие сохранение и нарушение качества функционирования моделируемой системы (подсистемы, элемента). Эти частные показатели в общем случае зависят от надежности и своевременности предоставления информации и выполнения операций, полноты, достоверности информации, безошибочных действий пользователей и персонала системы и обеспечения безопасности информации (включая сохранение целостности моделируемой системы в условиях опасных программно-технических воздействий, защищенность активов от несанкционированного доступа и сохранение конфиденциальности используемой информации);

- интегральный риск нарушения качества функционирования моделируемой системы (формально представимой в общем случае в виде сложной системы) в течение заданного периода прогноза. Это — интегральный показатель, учитывающий частные расчетные показатели в зависимости от условий их существенности (существенные условия формально обозначаются далее по тексту как а).

В общем случае для оценки частных показателей качества функционирования моделируемой системы (подсистемы, элемента) используются расчетные вероятностные показатели, определяемые с помощью математического моделирования (сами модели представлены во 2-й части статьи с соблюдением обозначений):

вероятность Рнад „редст^зад) надежного предоставления информации и выполнения операций в системе в течение заданного периода прогноза Тзад и вероятностный показатель надежности предоставления информации и выполнения операций £надПредст(Тзад), учи-

тывающий рассчитываемое значение Рнад предст(^зад) и соответствующие условия а из ГОСТ Р 59341, приложения В.3.2;

относительная доля своевременно обработанных в системе запросов Ссвоевр и вероятностный показатель своевременности обработки запросов Zcвoeвp, учитывающий рассчитываемое значение Ссвоевр, и соответствующие условия а из ГОСТ Р 59341, приложения В.3.3;

вероятность того, что в системе полностью отражены состояния всех реально существующих критичных объектов и явлений Рполн и вероятностный показатель полноты оперативного отражения в системе новых

объектов и явлений Zu

учитывающий рассчиты-

ваемое значение Рполн и соответствующие условия а из ГОСТ Р 59341, приложения В.3.4;

вероятность сохранения актуальности информации на момент ее использования Ракт и вероятностный показатель актуальности информации Zaкт, учитывающий рассчитываемое значение Ракт и соответствующие условия а из ГОСТ Р 59341, приложения В.3.5;

вероятность отсутствия ошибок в информации после ее контроля Рбе3ош и вероятностный показатель безошибочности информации в системе Zбeзoш, учитывающий рассчитываемое значение Рбе3ош и соответствующие условия а из ГОСТ Р 59341, приложения В.3.6;

вероятность получения корректных результатов обработки информации Ркорр и вероятностный показатель корректности обработки информации в системе Zкopp, учитывающий рассчитываемое значение Ркорр и соответствующие условия а из ГОСТ Р 59341, приложения В.3.7;

вероятность безошибочных действий пользователей и персонала в течение заданного периода прогноза Рчел(^зад) и вероятностный показатель безошибочности действий пользователей и персонала систе-

мы Рчел(Тзад), учитывающий рассчитываемое значение Рчел(Тзад) и соответствующие условия а из ГОСТ Р 59341, приложения В.3.8;

^возд(Тзад) — вероятность отсутствия опасного программно-технического воздействия на систему в течение заданного периода прогноза Тзад, определяемую по рекомендациям ГОСТ Р 59341, приложения В 3 9 2 как (а, р, Гмеж, Гдиаг, Гвосст, Гзад);

Рнсд (Тзад) — вероятность обеспечения защищенности активов системы от НСД — РНСД, определяемую по рекомендациям ГОСТ Р 59341, приложения В.3.9.3;

Рконф(Тконф) — вероятность сохранения конфиденциальности используемой информации в течение периода объективной конфиденциальности Тконф, определяемую по рекомендациям ГОСТ Р 59341, приложения В.3.9.4 (период Тконф может играть роль периода прогноза Гзад ).

Интегральный риск нарушения качества функционирования моделируемой системы (формально представимой в общем случае в виде сложной системы) в течение заданного периода прогноза учитывает структуры ИС, принятые для моделирования (см. рис. 1 и 2), и частные расчетные показатели в зависимости от условий их существенности.

8. Перечень рекомендуемых вероятностных моделей и методов

Перечень рекомендуемых вероятностных моделей и методов включает:

1. Модели для оценки надежности предоставления информации и выполнения операций;

2. Модели для оценки своевременности предоставления информации и выполнения операций;

3. Модели для оценки полноты используемой информации;

4. Модели для оценки актуальности используемой информации;

5. Модели для оценки безошибочности информации после контроля;

6. Модели для оценки корректности информации после обработки;

7. Модели для оценки безошибочности действий пользователей и персонала;

8. Модели для оценки защищенности системы от опасного программно-технического воздействия;

9. Модели для оценки защищенности активов от несанкционированного доступа;

10. Модели для оценки конфиденциальности используемой информации;

11. Метод использования универсальной вспомогательной модели показателя для определения исходных данных в расчетах

12. Методы учета дополнительных специфических требований и сложности моделируемой системы

13. Методы оценки интегральных показателей качества функционирования ИС.

Примечание. Представленный перечень не исчерпывает всего множества существующих вероятностных моделей и методов, практически приемлемых для достижения поставленных целей применения методик анализа качества функционирования ИС.

Непосредственно сами рекомендуемые модели и методы представлены в последующих частях 2 и 3 статьи.

9.Порядок проведения моделирования

Для прогнозирования качества функционирования системы осуществляются следующие шаги.

Шаг 1. Определяются рассматриваемые объекты, подлежащие оценке с помощью моделируемых систем — см. раздел 4 (моделируемая система в общем случае состоит из подсистем и отдельных элементов, которые при необходимости также могут подлежать оценке).

Шаг 2. Устанавливаются конкретные цели прогнозирования, а также определяются задачи, для которых планируется использовать результаты расчетов — см. раздел 5.

Например, цель прогнозирования — установить степень вероятного нарушения качества функционирования Системы в течение месяца.

В качестве прикладных задач применения результатов прогнозирования могут выступать задачи: оценки показателей качества и безопасности информации для задаваемого периода прогноза в условиях ожидаемых угроз (в т. ч. задачи оценки и сравнения рисков); обоснования допустимых рисков; определения существенных угроз и условий, способных при том или ином развитии событий негативно повлиять на качество функционирования системы и безопасность используемой информации; обоснования рекомендаций по минимизации рисков нарушения качества функционирования системы с учетом дополнительных специфических требований (например, требований по защите информации).

Шаг 3. Определяется множество моделируемых систем, в т. ч. подсистем и элементов (с тем, чтобы получаемые в результате использования методических положений результаты моделирования и решения прикладных задач распространить на рассматриваемые Систему, ее подсистемы и элементы). Принимается решение о приемлемости предположений, условий и допущений при моделировании (см. раздел 6), а также о представлении моделируемой системы в виде «черного ящика» или в виде сложной структуры, декомпозируемой до составных подсистем и элементов. Формируется перечень существенных угроз, критичных с точки зрения недопустимого потенциального ущерба для моделируемой Системы, составных подсистем и элементов. Формируется пространство элементарных состояний для каждой подсистемы, элемента и моделируемой системы в целом.

Шаг 4. Выбираются расчетные показатели для каждой из моделируемых систем (см. раздел 7). Выбираются подходящие математические модели и методы согласно рекомендациям раздела 8. Осуществляют сбор исходных данных для моделируемых систем и для каждой из подсистем и элементов (если сложная система декомпозирована до подсистем и составных элементов). Проводится расчет выбранных показателей с использованием моделируемых систем.

При этом осуществляют учет различных условий.

Для системного анализа результатов моделирования в оценках интегрального риска задают допусти-

мый уровень Рдоп над(Тзад) и совокупные условия а, которые могут по-своему характеризовать различные свойства качества.

Условие а, касающееся надежности предоставления услуг (информации), формулируется в виде ограничений: Рнад предст(Тзад) > Рдоп над(Тзад) и возможный ущерб от нарушения не превышает допустимого (это — формулировка условия а для свойства надежности). Учет результатов моделирования в интегральных оценках осуществляют с использованием индикатора

над предст'

(^зад) —

1, если условие надежности предоставления информации а выполнено,

Р,

над предст'

■(Тзад), если условие а не выполнено или не задано.

Для оценки своевременности предоставления услуг (информации) используется понятие относительной доли своевременно обработанных в системе запросов С(

своевр

Этот вспомогательный показатель охва-

тывает лишь те типы запросов, для которых выполнены требования потребителя информации, этот показатель вычисляется по формуле

^своевр = ^ 1 (Гзад 1) [Ш (а!) + Ш (а2)]^, ¿=1 ¿=1

(1)

¿=1

где — частота поступления на обработку запросов /-го типа на предоставление услуг (информации);

Критерии своевременности обработки каждого типа запросов устанавливают с использованием индикаторной функции 1пй (а):

'1, если условие а истинно,

1пй(а) =

0, если условие а ложно.

При этом для /-го типа запросов условие своевременности а с учетом возможных ущербов определяют одним из условий или а2:

- ах — условие, когда для /-го типа запросов задан критерий своевременности по среднему времени реакции и Т{< 7тзадг.

- а2 — условие, когда для /-го типа запросов задан вероятностный критерий своевременности

и ^св I— ^зад I) — ^св зад г

Для оценки интегрального риска условие своевременности предоставления информации а формулируют в виде условий или а2 с добавлением, что в случае их нарушения возможный ущерб не превыает допустимого (это — формулировка условия а по всем типам запросов). Учет результатов моделирования в интегральных оценках осуществляют с использованием индикатора своевременности обработки запросов ^воевр:

своевр

1, если условия своевременности а выполнены для всех типов запросов, Ссвоевр по (4), если хотя бы одно условие не выполнено.

Для оценки полноты информации задают допустимый уровень Рдоп полн и условие а. Условие а касается полноты оперативного отражения в системе новых объектов и явлений и формулируется в виде ограничений: Рполн > Рдоп полн и возможный ущерб от нару-

шения не превышает допустимого (это формулировка условия а). Учет результатов моделирования в интегральных оценках осуществляют с использованием индикатора Zпoлн

1, если условие полноты отражения в системе объектов и явлений а выполнено, Рполн, если условие а не выполнено или не задано.

Для оценки актуальности информации задают допустимый уровень Рдоп акт и условие а. Условие а касается сохранения актуальности информации в системе на момент ее использования и формулируется в виде

ограничений: Ракт > Р

доп акт

и возможный ущерб от на-

рушения не превышает допустимого (это — формулировка условия а). Учет результатов моделирования в интегральных оценках осуществляют с использованием индикатора Zaкт

z = i

^акт i

1, если условие сохранения актуальности информации в системе а выполнено,

Ракт, если условие а не выполнено или не задано.

Для оценки безошибочности информации после контроля задают допустимый уровень Рдоп безош и условие а. Условие а касается обеспечения безошибочности информации после контроля и формулируется в виде ограничений: Рбезош > Рдоп безош и возможный

^ безош

Для оценки корректности обработки информации задают допустимый уровень Рдоп корр и условие а. Условие а касается обеспечения корректности обработки информации и формулируется в виде ограничений: Ркорр > Рдоп корр и возможный ущерб от нарушения не

ущерб от нарушения не превышает допустимого (это — формулировка условия а). Учет результатов моделирования в интегральных оценках осуществляют с использованием индикатора Zбeзoш

превышает допустимого (это формулировка условия а). Учет результатов моделирования в интегральных оценках осуществляют с использованием индикатора Z

^корр

1, если условие безошибочности информации после контроля а выполнено, Рбезош, если условие а не выполнено или не задано.

7 =

''корр

1, если условие обеспечения корректности обработки информации а выполнено, Ркорр, если условие а не выполнено или не задано.

Для оценки влияния «человеческого фактора» задают допустимый уровень РД0Пчел (?зад) и условие а. Условие а касается безошибочности действий пользователей и персонала системы и формулируется в виде ограничений: Рчел (Гзад) > Рдоп чел (гзад) и возмож-

ный ущерб от нарушения не превышает допустимого (это формулировка условия а). Учет результатов моделирования в интегральных оценках осуществляют с использованием индикатора Z (Т )

" 1 чел V зад^

^чел(^зад)

1, если условие безошибочности действий а выполнено, Рчел(Тзад), если условие а не выполнено или не задано.

Сопоставление с возможным ущербом позволяет рассматривать дополнение до единицы упомянутых показателей-индикаторов (1 — Z...) в качестве вероятностного выражения соответствующего риска.

Шаг 5. Результаты расчетов качества функционирования моделируемых систем подлежат обработке и дальнейшему системному анализу. Результаты интерпретируются для конкретной области приложения и применяются для достижения поставленных целей и решения прикладных задач (например, согласно рекомендациям по способам решения задач в ГОСТ Р 59329 — ГОСТ Р 59357, ГОСТ Р 59989 — ГОСТ Р 59994).

10. Способы интерпретации и применения результатов расчетов

Результаты расчетов представляются в виде, позволяющем анализировать зависимости расчетных показателей от изменения значений исходных данных при решении задач системного анализа.

Применение математических моделей, рекомендуемых в методических положениях, призвано обеспечить возможность извлечения скрытых знаний не только

в расчетной точке, задаваемой в исходных данных, но и в результате построения зависимостей расчетных показателей от длительности периода прогноза (Тзад) и, по возможности, от других исходных данных. Расчетное построение функции распределения (ФР) для рисков, зависящих от Тзад, получается при изменении длительности периода прогноза от нуля до вычислительной бесконечности.

Ниже для ответа на вопрос «Какие скрытые знания могут быть извлечены из более адекватной функции распределения?» приведены поясняющие логические рассуждения.

На практике зачастую допустимый уровень риска задается одним значением, например: «вероятность (характеризующая соответствующий риск критичных нарушений) не должна превышать допустимого значения 0,02 за год эксплуатации системы» или «частота критичных нарушений А не должна превышать 3-х раз в год». При этом без официальных пояснений подразумевается, что случайная величина «время до критичного нарушения...» имеет экспоненциальное распределение, как и граница для допустимого риска — см. рис. 4.

Рис. 4. Пример фрагмента ФР, демонстрирующего возможные варианты зависимостей ограничений на допустимый риск, экспоненциальную и более адекватную аппроксимацию ФР

При отсутствии каких-либо моделей на практике нередко применяется грубое приближение ФР времени до критичного нарушения путем использования экспоненциальной аппроксимации с единственным параметром А, характеризующим частоту нарушений. На рисунке для одинаковой частоты критичных нарушений А проиллюстрированы ограничения к допустимым рискам, экспоненциальная и некая более адекватная ФР времени между соседними критичными нарушениями целостности моделируемой системы. Эта более адекватная ФР времени между соседними нарушениями целостности может быть построена с использованием математических моделей и методов, рекомендованных во 2-й и 3-й частях статьи. Ориентируясь на простейшую аппроксимацию экспоненциальной ФР (с одним параметром), можно легко констатировать выполнение или невыполнение задаваемых требований к уровню допустимых рисков. Ниже «пограничной полосы» — требование выполнено, выше — не выполнено. И это — все извлекаемые знания... Немного. Из «плюсов» — лишь удобство сравнения для аналитика, но «минусы», связанные с высокой неточностью оценок — играют решающую роль в недоверии к таким упрощенным результатам прогнозирования рисков.

Ориентируясь на более адекватную ФР, характеризуемую множеством параметров, возможно извлечение следующих существенных для принятия решений знаний — см. рис. 5, а именно, возможно:

- рассчитать реальную зависимость вероятности критичного нарушения целостности моделируемой системы и составных подсистем от поэлементных характеристик разнородных угроз и предпринимаемых мер противодействия угрозам (которые для каждого элемента — свои);

- оценить точность прогнозирования по сравнению с экспоненциальной аппроксимацией ФР;

- определить период эффективного функционирования, в течение которого критичных нарушений

не ожидается (по критерию непревышения допустимых рисков) — для определения упреждающих противодействий угрозам за время, не превосходящее данного периода;

- выделить зоны прогнозных периодов времени, когда возможны критичные нарушения требований допустимого риска — для определения упреждающих противодействий угрозам или обоснованное уточнение риска для этих зон (в т. ч. используя избегание рисков или смягчение требований из-за неизбежного резкого возрастания рисков в пределах, признанных приемлемыми);

- сравнить периоды эффективного функционирования моделируемой системы, в течение которого критичных нарушений не ожидается (по критерию непревышения допустимых рисков) с соответствующими периодами при экспоненциальной аппроксимации ФР.

Эти знания могут быть выявлены, если учесть, что при определении моделей для каждого критичного составного элемента задавались характеристики угроз и предпринимаемые меры противодействия угрозам, а также меры по восстановлению нарушаемой целостности моделируемой системы. И в результате моделирования соответствующие зависимости будут сформированы в явном виде.

Кроме того, построив более адекватную ФР, возможно обычными статистическими методами извлечь дополнительные знания, в частности:

- рассчитать среднюю наработку на нарушение и, как обратную к ней величину — частоту критичных нарушений целостности моделируемой системы и составных подсистем и элементов в условиях задаваемых разнородных угроз и предпринимаемых мер противодействия угрозам;

- сравнить среднюю наработку на критичное нарушение целостности или частоту критичных нарушений целостности моделируемой системы

(и подсистем) со средней наработкой или частотой критичных нарушений целостности при экспоненциальной аппроксимации ФР.

Примечание. На практике оценки средней наработки или частоты для экспоненциальной и более адекватной ФР различаются на порядок, что говорит о грубости экспоненциальной аппроксимации.

Зафиксировав уровни «допустимых рисков» для системы и составных подсистем, а также считая неизменными все параметры, за исключением одного, возможно решение различных оптимизационных задач, связанных с обоснованием эффективных упреждающих мер обеспечения целостности моделируемой системы в условиях разнородных угроз. Классическими задачами являются максимизация эффекта (уровня качества или безопасности и др.) или минимум рисков при ограничениях или минимизация затрат при ограничениях на допустимые риски и иных условиях.

Обработка результатов моделирования осуществляется в интересах системного решения задач (см. подробнее 3-ю часть статьи):

- задачи 1-го типа: прогнозирования значений показателей (в т. ч. рисков), интерпретации и анализа получаемых результатов, включая сравнение прогнозируемых значений показателей с допустимым уровнем на предмет выполнения задаваемых ограничений;

- задачи 2-го типа: обоснования допустимых рисков;

- задачи 3-го типа: определения существенных угроз и условий, способных при том или ином развитии событий в жизненном цикле негативно повлиять на свойства рассматриваемой системы (и/или ее элементов);

- задачи 4-го типа: определения и обоснования в жизненном цикле системы упреждающих мер противодействия угрозам и условий снижения рисков или удержания рисков в допустимых пределах, обеспечивающих желаемые свойства рассматриваемой системы (и/или ее элементов) при задаваемых ограничениях в задаваемый период прогноза;

- задачи 5-го типа: обоснования предложений по обеспечению и повышению качества функционирования рассматриваемой системы (и/или ее элементов).

11. Пример извлечения прагматических эффектов в системном решении задач

Применение подхода проиллюстрировано в части показателей своевременности предоставления необходимой информации в системе. Рассмотрен пример извлечения эффекта при решении задачи повышения пропускной способности компьютерной сети ИС, предназначенной к применению в режиме реального времени. В примере разъясняются возможности по повышению пропускной способности сети за счет ра-

циональной динамической настройки параметров технологий диспетчеризации в специфических условиях ограничений на своевременность обработки запросов различных типов.

11.1 Об актуальности задачи повышения

пропускной способности компьютерной сети

Для компьютерных сетей обработка разнородных потоков запросов различной срочности обычно задействует общие вычислительные ресурсы. В качестве запросов на отдельный узел сети могут выступать запросы на ввод обновляемой информации в базу данных, поиск или получение запрашиваемых данных, выполнение операций, связанных с обеспечением информационной безопасности, решение каких-либо функциональных задач, запросы на прием-выдачу сигналов, пересылку сообщений или выполнение каких-либо промежуточных транзакций, словом любые запросы, требующие на свою обработку какие-либо общие компьютерные ресурсы в течение определенного времени, соизмеримого со временем обработки других запросов. При возрастании интенсивности потоков запросов в узлах сети возникают естественные задержки, приводящие к снижению пропускной способности компьютерной сети в целом. Как следствие — в результате несвоевременности обработки запросов различной срочности это, в свою очередь, может приводить к упущенной выгоде, потерям или ущербам для пользователей сети. С точки зрения бизнеса и обеспечения безопасности снижение пропускной способности сети критично для компьютерных сетей, функционирующих в банковских структурах, где задержки в срочном исполнении запросов чреваты существенными финансовыми потерями, в космических системах и опасном производстве (например, в интересах топливно-энергетического и нефтегазового комплексов, объектов и систем химического производства), в системах реагирования на чрезвычайные ситуации, в различных транспортных системах и иных системах критической информационной инфраструктуры. При этом под пропускной способностью распределенной компьютерной сети понимается количество своевременно обработанных в сети запросов за определенный период времени. Сегодня в общем случае на практике в определении последовательности обработки запросов отсутствует какая-либо целенаправленная аналитическая увязка с частотой появления разносрочных запросов и возможностями технологий их обработки, возможной упущенной выгодой, потерями или ущербами, которые могут последовать из-за задержек и нарушения требований к своевременности обработки запросов. В примере предложен динамический метод рациональной диспетчеризации разносрочных запросов, учитывающий перечисленные упущения, поставлена оптимизационная задача по его рациональному применению.

11.2. Анализ свойств технологий диспетчеризации для извлечения эффекта

В общем случае требования к своевременности обработки запросов в условиях неопределенности определяются формально с помощью следующих критериев (см. выше в разделе 9 условие а для оценки своевременности).

Определение критерия 1 (оценка по среднему времени обработки). Обработка запросов /-го типа считается выполненной в срок, если среднее время их обработки с учетом задержек не превышает заданного

^зад-у т. е. если TnonH.il— Тзад.л.

Определение критерия 2 (оценка по вероятности своевременной обработки). Обработка запросов /-го типа считается выполненной в срок, если вероятность своевременной обработки за время Тзад.л не ниже заданной вероятности Рзад1Л, т. е. Рсвл=Р(1полнл^Тзад..;)>Рзад.; , где случайная величина ^полн.1 характеризует полное время обработки запросов /-го типа с учетом задержек. Критерий 2 задает более жесткие временные рамки и используется для компьютерных систем жесткого реального времени (как правило, при этом РзаДл ^ 0.8).

В общем случае при прочих одинаковых условиях пропускная способность сети зависит от пропускных способностей всех узлов сети с учетом соответствующих их загрузок. С точки зрения пропускной способности функционирование отдельного узла может быть формализовано как функционирование однолинейной системы массового обслуживания потока запросов на обработку в узле. При возрастании потока запросов могут возникать очереди. Формальный порядок выбора из очереди следующего запроса для обработки определяется с использованием технологии диспетчеризации запросов.

Прежде, чем сформировать идеи по появлению и извлечению прагматических эффектов, рассмотрим выявленные свойства 5 типовых технологий диспетчеризации [15—24].

Технология 1 заключается в бесприоритетном обслуживании запросов (БПО) в порядке «первый пришел — первый обслужился». Ее главное свойство в том, что средние задержки до начала обработки по всем разнородным запросам — одинаковы. При использовании одного приоритета (т. е. когда приоритет формально не действует) она является частным случаем технологий 2—5.

Технология 2 заключается в обслуживании запросов с относительными приоритетами (ОП). Запросы более высокого приоритета имеют преимущество перед запросами низшего приоритета, а именно: среди запросов, ожидающих начала обработки, запросы более высокого приоритета обрабатываются впереди запросов низшего приоритета. Из запросов одного приоритета следующим выбирается на обработку запроса, который поступил раньше (т. е. в порядке «первый пришел — первый обслужился»). Если во время обработки

некоторого запроса поступает запрос более высокого приоритета, то прерывания не происходит. Это означает, что начатая в узле обработка всегда доводится до своего завершения, несмотря на поступление более приоритетных запросов. Главное свойство технологии 2 в том, что средние задержки до начала обработки по запросам низшего приоритета в 3—5 раз выше (при высокой загрузке может быть заметно выше), чем задержки запросов высшего приоритета.

Технология 3 заключается в обслуживании запросов с абсолютными приоритетами (АП). В отличии от технологии 2 поступающие запросы более высокого приоритета абсолютно прерывают обработку запроса с низким приоритетом. Прерванный запрос до-обслуживается с прерванного места. Это означает что при поступлении запроса более высокого приоритета в узле сети прерывается начатая обработка и начинается обработка этого более приоритетного запроса. А завершение начатого обрабатываться, но прерванного запроса осуществляется сразу после выполнения обработки всех поступивших запросов более высоких приоритетов. Главное свойство технологии 3 в том, что средние задержки до начала обработки запросов низшего приоритета в 10-20 раз выше (при высокой загрузке узла может быть и более), чем задержки запросов высшего приоритета.

Технология 4 заключается в пакетном обслуживании запросов с естественным формированием пакетов и относительными приоритетами внутри пакета (Пак.). Первый поступивший запрос при отсутствии очереди образует первый пакет на обработку. Очередной пакет формируется из запросов, поступивших за время обработки запросов предыдущего пакета, а если таковых нет, то из следующего же поступившего запроса. Очередной пакет запросов начинает обслуживаться сразу же после обработки всех запросов предыдущего пакета. В пакете, поступившем на обслуживание, выбираются запросы наивысшего приоритета и обслуживаются последовательно в порядке «первый пришел — первый обслужился». Обработка по всем запросам, вошедшим в обслуживаемый пакет, осуществляется без прерываний независимо от других поступающих в систему запросов. Главное свойство технологии 4 заключается в следующем. Если для технологий 2 и 3 запросы высшего приоритета имеют подавляющее преимущество (проявляемое в задержках на обработке, в десятки раз более коротких), то для технологии 4 это преимущество резко сокращается. В итоге средние задержки запросов низшего приоритета заметно уменьшаются и превышают задержки запросов высшего приоритета не более, чем в 3 раза. Это замечательное свойство доказано в [17, 21] и может быть эффективно использовано в технологии 5, позволяющей путем настройки параметров комбинировать технологиями 2, 3 и 4.

Технология 5 (Ком.), определяющая предлагаемый метод диспетчеризации разносрочных запросов, является комбинацией технологий 2, 3, 4. Технология 5

обобщает варианты обслуживания запросов, описанные в технологиях 2—4. Все поступающие запросы разбиваются на п групп (см. рис. 5). Запросы е-й группы имеют более высокий приоритет над запросами g-й группы при в<% (е, g=1, п).Внутри каждой группы приоритеты запросов относительные. Система облада-

ет возможностью обслуживания запросов в соответствии с технологиями 2, 3 и 4. Для обработки запросов g-й группы назначается какая-либо одна из технологий (2 или 4). Между запросами е-й и g-й групп назначаются либо относительные (по технологии 2), либо абсолютные приоритеты (по технологии 3).

1) Номера приоритета

2) Номер группы Л^,

3) Технология обслуживания

4) Коды защиты от прерываний Abs

1

К1

1-я группа

ОД

Ке-1+1 Ке

К-1+1 К*

е-я группа

ОД

.Abs 1е ■

■ Abs ■

g-я группа

ОД

-Abs

-Abs 1„.

Кп-1 + 1 Кп

п-я группа

ОД

аь$ gn —

.Abst

Рис. 5. Структура комбинированной обработки запросов в технологии 5

Свойства технологий диспетчеризации проявляются в задержках, если задержки выходят за границы, возникают упущенная выгода, потери или ущербы. Предлагаемый динамический метод диспетчеризации заключается в периодической настройке параметров (таких, как разбиение типов запросов по группам, на-

значение технологий и приоритетов внутри групп) при использовании Технологии 5. Эта Технология 5 способна в различной степени обладать свойствами технологий 2, 3, 4 (вплоть до полного превращения в эти технологии) [22—24] — см. рис. 6.

Рис. 6. Сравнение в задержках для технологий 1-5 в условиях задаваемой границы допустимости

11.3. О постановке задачи оптимизации и ее решении

Предлагается следующая постановка задачи оптимизации последовательности обработки разносроч-ных запросов в динамике функционирования компьютерной сети.

Последовательность обработки запросов устанавливается в соответствии с той технологией (из состава технологий 1—5) и с теми параметрами, на которых достигается максимум относительной доли своевременно обработанных в системе запросов — см. (1):

Il'i=i^iPcBi (ГзаД4)[Ind Ю + Ind (а2)]/

l'i=ih ^ max

или минимум упущенной выгоды, потерь или ущербов (суммарный ожидаемый ущерб) при ограничениях на своевременность обработки запросов по критериям 1 или 2:

Zi=iAi [1 ^св i (Т3 ад4)] Ui[/nd (а1) + , Ind («2)]/Е{=1^1 ^ min где — частота поступления запросов /-го типа,

Ь = Zl=iAi;

Ui — ожидаемый размер упущенной выгоды, потерь или ущербов в результате нарушения сроков выполнения работ по запросам /-го типа;

Ind(ai)=l, если используется критерий 1, иначе Ind(ai)=0;

Ind(a2)=l, если используется критерий 2, иначе Ind(a2)=0.

При формировании исходных данных на практике для расчетов частота поступления запросов i-го типа может пересчитываться за определенный прошедший период времени как отношение количества запросов к длительности взятого периода.

Решение задачи может быть осуществлено путем перебора всех возможных технологий диспетчеризации и вариантов настраиваемых параметров (таких, как разбиение типов запросов по группам, назначение технологий и приоритетов внутри групп). Наиболее рациональными параметрами признаются те, для которых относительная доля своевременно обработанных в системе запросов максимальна или суммарный ожидаемый ущерб минимален (именно по этим прагматическим показателям реально предлагается рассматривать пропускную способность сети). По результатам моделирования для случая, когда расчетным временем определения рациональных параметров для узла сети можно пренебречь, за

счет использования предложенного динамического метода диспетчеризации с Технологией 5 количество своевременно обработанных запросов возможно увеличить в разы по сравнению с Технологией 1 и на десятки процентов по сравнению с Технологиями 2, 3, 4. Эти аргументы характеризуют возможности по повышению пропускной способности не только одного узла, но и компьютерной сети в целом.

Таким образом, приведенный пример разъясняет возможности извлечения эффектов при решении задачи повышения пропускной способности компьютерной сети, предназначенной к применению в режиме реального времени, путем максимизации своевременно обработанных в системе запросов или минимизации упущенной выгоды, потерь, ущербов. Эффекты достигаются за счет рациональной динамической настройки параметров технологий диспетчеризации (таких, как разбиение типов запросов по группам, назначение технологий и приоритетов внутри групп) в специфических условиях ограничений на своевременность обработки запросов различных типов.

Выводы по 1-й части работы

1. Предложен общий подход к вероятностному прогнозированию качества функционирования ИС, основанный на использовании моделей и методов ГОСТ Р 59341-2021. Подход представлен в виде основных методических положений, раскрывающих базовые термины и определения, рассматриваемые объекты ИС, цель и задачи прогнозирования, принятые предположения, условия и допущения, оцениваемые показатели, перечень вероятностных моделей, порядок проведения моделирования, интерпретация и системный анализ результатов расчетов. Тем самым описан облик комплексной методики вероятностного прогнозирования качества функционирования ИС, который подлежит наполнению моделями и методами из 2-й и 3-й частей работы.

2. Применение подхода проиллюстрировано примером в части показателей своевременности предоставления необходимой информации в системе. Разъяснены возможности извлечения эффектов при решении задачи повышения пропускной способности компьютерной сети, предназначенной к применению в режиме реального времени, путем максимизации своевременно обработанных в системе запросов или минимизации упущенной выгоды, потерь, ущербов. Эффекты достигаются за счет рациональной динамической настройки параметров технологий диспетчеризации в специфических условиях ограничений на своевременность обработки запросов различных типов.

(Продолжение следует)

Литература

1. Костогрызов А.И., Петухов А.В., Щербина А.М. Основы оценки, обеспечения и повышения качества выходной информации в АСУ организационного типа. М. : Вооружение. Политика. Конверсия, 1994. 278 с.

2. Костогрызов А.И., Липаев В.В. Сертификация качества функционирования автоматизированных информационных систем. М. : Вооружение. Политика. Конверсия, 1996. 278 с.

3. Костогрызов А.И., Головин С.А., Соколов И.А. и др. Методическое руководство по оценке качества функционирования информационных систем. Изд-во 3 ЦНИИ МО, 2003. 352 с.

4. Костогрызов А.И., Нистратов Г.А. Стандартизация, математическое моделирование, рациональное управление и сертификация в области системной и программной инженерии. М. : Вооружение. Политика. Конверсия, 2004, 2-е изд.: 2005. 395 с.

5. Костогрызов А.И., Степанов П.В. Инновационное управление качеством и рисками в жизненном цикле систем. М. : Вооружение. Политика. Конверсия, 2008. 404 с.

6. A. Kostogryzov, A. Nistratov, G. Nistratov, Some applicable methods to analyze and optimize system processes in quality management (Некоторые прикладные методы для анализа и оптимизации системных процессов в управлении качеством) // InTech, 2012, ISBN 979-953-307-778-8, 2012, pp. 127—196.

7. Абросимов Н.В., Алешин А.В., Махутов Н.А. и др. / Под ред. Махутова Н.А. / Безопасность России. Правовые, социально-экономические и научно-технические аспекты. Научные основы техногенной безопасности. М. : МГОФ «Знание», 2015. 936 с.

8. Абросимов Н.В., Махутов Н.А. и др. / Под ред. Махутова Н.А. / Безопасность России. Правовые, социально-экономические и научно-технические аспекты. Техногенная, технологическая и техносферная безопасность. М. : МГОФ «Знание», 2018. 1016 с.

9. Probabilistic modeling in system engineering (Вероятностное моделирование в системной инженерии). InTechOpen, ed.: A. Kostogryzov, 2018, 279 pp.

10. A. Kostogryzov, V. Korolev, Probabilistic Methods for Cognitive Solving of Some Problems in Artificial Intelligence Systems (Вероятностные методы для когнитивного решения некоторых задач в системах искусственного интеллекта). Probability, combinatorics and control // IntechOpen, 2020, pp. 3—34.

11. Нистратов А.А. Аналитическое прогнозирование интегрального риска нарушения приемлемого выполнения совокупности стандартных процессов в жизненном цикле систем высокой доступности. Часть 1. Математические модели и методы // Системы высокой доступности. 2021. Т. 17. № 3. С. 16—31. Часть 2. Программно-технологические решения. Примеры применения // Системы высокой доступности. 2022. Т. 18. № 2. С. 42—57.

12. Kostogryzov A., Makhutov N., Nistratov A., Reznikov G. Probabilistic predictive modeling for complex system risk assessments (Вероятностное упреждающее моделирование для оценок рисков в сложных системах). Time Series Analysis — New Insights. IntechOpen, 2023, pp. 73—105.

13. Хинчин А.Я. Работы по математической теории массового обслужи вания. М. : Физ.-мат. лит., 1963.

14. 14. Григолионис В. О сходимости сумм ступенчатых процессов к пуассоновскому // Теория вероятности и ее применения. 1963. Т. 8. № 2.

15. Гнеденко Б.В., Коваленко И.Н. Введение в теорию массового обслуживания. М. : Наука, 1987.

16. Матвеев В.Ф., Ушаков В.Г. Системы массового обслуживания. М. : МГУ, 1984.

17. Костогрызов А.И., Назаров Л.В. Пакетная обработка требований в системе с относительным приоритетом // Изв. АН СССР, сер. Техническая кибернетика. 1981. № 3. С. 183—187.

18. Балыбердин В.А. Методы анализа мультипрограммных систем. М. : Радио и связь, 1982. 152 с.

19. Балыбердин В.А. Оценка и оптимизация характеристик систем обработки данных. М. : Радио и связь, 1987. 176 с.

20. Костогрызов А.И., Матвеев В.Ф. Анализ применения комбинированной дисциплины обслуживания в системах реального времени // Изв. АН СССР, сер. Техническая кибернетика. 1986. № 6. С. 79—84.

21. Костогрызов А.И. Пакетная обработка заявок в режиме равномерного разделения процессора с прерыванием // Изв. АН СССР, сер. Техническая кибернетика. 1987. № 4. С. 88—93.

22. Костогрызов А.И. Класс приоритетных дисциплин с комбинированием принципов обслуживания в порядке приоритета и пакетной обработки заявок. Анализ их свойств и возможностей применения в АСУ // Анализ стохастических систем методами исследования операций и теории надежности. К. : Ин-т кибернетики им. В.М. Глушкова АН УССР, 1987. С. 52—55.

23. Безкоровайный М.М., Костогрызов А.И., Львов В.М. Инструментально-моделирующий комплекс для оценки качества функционирования информационных систем КОК. М. : Вооружение. Политика. Конверсия, 2002. 304 с.

24. Kostogryzov A., Atakishchev O., Nistratov A., Nistratov G., Klimov S., Grigoriev L. The method of rational dispatching a sequence of heterogeneous repair works // Energetica. 2017. Vol. 63. No. 4, pp. 154—162.

SECTION:

INFORMATION AND COMPUTER SECURITY

METHODOLOGICAL PROPOSITIONS FOR PROBABILISTIC PREDICTION OF QUALITY OF INFORMATION SYSTEM OPERATION.

PART 1. GENERAL APPROACH

Andrei Kostogryzov, Dr.Sc. (Technology), Federal Research Centre "Informatics and Management" of the Russian Academy of Sciences, Moscow, Russian Federation. E-mail: [email protected]

Andrei Nistratov, Ph.D. (Technology), Federal Research Centre "Informatics and Management" of the Russian Academy of Sciences, Moscow, Russian Federation. E-mail: [email protected]

Keywords:probability, model, prediction, risk, system, system analysis, threat.

Abstract

The work consists of three parts: this part, Part 1, contains a description of the general approach to probabilistic prediction of quality of information system (IS) operation in any field of application, Part 2 gives descriptions of black box models for calculating composite quality indicators, and the final Part 3 is devoted to modelling of complex systems and integral analysis of modelling results.

Purpose of the entire work: helping system analysts involved in assessing the IS operation quality during its set up, operation, modernisation, and evolution, to shape a complex probabilistic prediction methodology applicable for ensuring quality and security, justifying acceptable risks, identifying significant threats and supporting making justified system decisions for proactively countering threats in the IS lifecycle.

Purpose of the 1st part of the work: putting forward a general approach to probabilistic prediction of IS operation quality, based on using models and methods provided in the GOST R 59341-2021 standard "System engineering. Protection of nformation in system information management process" (and based, in turn, on the authors' previous studies [1—12]).

Methods of probability theory and system analysis are used in the study. The modelled system is formally represented by black boxes and complex systems in the form of parallel-cum-sequential structures formed from black boxes combined using logical connectives AND and OR. The results obtained from mathematical modelling are used in the interpretation of the original IS for which these calculations are carried out.

Findings, Part 1 of the work: a general approach to probabilistic prediction of IS operation quality is put forward built in the form of basic methodological propositions explaining the basic terms and definitions, objects of the IS under consideration, prediction purpose and tasks, adopted suppositions, conditions and assumptions, assessed indicators, a list of probabilistic models (models themselves represented using black boxes and their compositions, initial data, and calculation methods are described in the following 2nd and 3rd parts of the paper), the procedure for modelling, interpretation and system analysis of calculation results. The application of the approach is illustrated by the example of generating effect in solving the problem of increasing a computer network traffic capacity.

Research novelty of the work: today there arises, in practice, a critical contradiction between the needs for system analysis of ISs at the level of objective quantitative indicators and the possibilities for solving topical problems of system analysis. To overcome this contradiction, the proposed methodological propositions formulate the general purpose of IS operation in various functional applications, that is, to ensure the reliability and timeliness of providing the necessary information, the completeness, reliability and security of the information for its further use as intended. It is the orientation towards this common goal that determined the research novelty of this work which consists in shaping the complex methodology for probabilistic prediction applicable for ensuring quality and security, justifying acceptable risks, identifying significant threats and supporting making justified system decisions for proactively countering threats in the IS lifecycle.

References

1. Kostogryzov A.I., Petukhov A.V., Shcherbina A.M. Osnovy otsenki, obespecheniia i povysheniia kachestva vykhodnoi informatsii v ASU organizatsionnogo tipa. M. : Vooruzhenie. Politika. Konversiia, 1994. 278 pp.

2. Kostogryzov A.I., Lipaev V.V. Sertifikatsiia kachestva funktsionirovaniia avtomatizirovannykh informatsionnykh sis-tem. M. : Vooruzhenie. Politika. Konversiia, 1996. 278 pp.

3. Kostogryzov A.I., Golovin S.A., Sokolov I.A. i dr. Metodicheskoe rukovodstvo po otsenke kachestva funktsionirovaniia informatsionnykh sistem. Izd-vo 3 TsNII MO, 2003. 352 pp.

4. Kostogryzov A.I., Nistratov G.A. Standartizatsiia, matematicheskoe modelirovanie, ratsional'noe upravlenie i sertifikatsiia v oblasti sistemnoi i programmnoi inzhenerii. M. : Vooruzhenie. Politika. Konversiia, 2004, 2-e izd.: 2005. 395 pp.

5. Kostogryzov A.I., Stepanov P.V. Innovatsionnoe upravlenie kachestvom i riskami v zhiznennom tsikle sistem. M. : Vooruzhenie. Politika. Konversiia, 2008. 404 pp.

6. A. Kostogryzov, A. Nistratov, G. Nistratov, Some applicable methods to analyze and optimize system processes in quality management (Nekotorye prikladnye metody dlia analiza i optimizatsii sistemnykh protsessov v upravlenii kachestvom). InTech, 2012, ISBN 979-953-307-778-8, 2012, pp. 127-196.

7. Abrosimov N.V., Aleshin A.V., Makhutov N.A. i dr. Pod red. Makhutova N.A. Bezopasnost' Rossii. Pravovye, sotsi-al'no-ekonomicheskie i nauchno-tekhnicheskie aspekty. Nauchnye osnovy tekhnogennoi bezopasnosti. M. : MGOF "Znanie", 2015. 936 pp.

8. Abrosimov N.V., Makhutov N.A. i dr. Pod red. Makhutova N.A. Bezopasnost' Rossii. Pravovye, sotsial'no-eko-nomicheskie i nauchno-tekhnicheskie aspekty. Tekhnogennaia, tekhnologicheskaia i tekhnosfernaia bezopasnost'. M. : MGOF "Znanie", 2018. 1016 pp.

9. Probabilistic modeling in system engineering (Veroiatnostnoe modelirovanie v sistemnoi inzhenerii). InTechOpen, ed.: A. Kostogryzov, 2018, 279 pp.

10. A. Kostogryzov, V. Korolev, Probabilistic Methods for Cognitive Solving of Some Problems in Artificial Intelligence Systems (Veroiatnostnye metody dlia kognitivnogo resheniia nekotorykh zadach v sistemakh iskusstvennogo in-tellekta). Probability, combinatorics and control. IntechOpen, 2020, pp. 3-34.

11. Nistratov A.A. Analiticheskoe prognozirovanie integral'nogo riska narusheniia priemlemogo vypolneniia sovok-upnosti standartnykh protsessov v zhiznennom tsikle sistem vysokoi dostupnosti. Chast' 1. Matematicheskie mod-eli i metody. Sistemy vysokoi dostupnosti, 2021, t. 17. No. 3, pp. 16-31. Chast' 2. Programmno-tekhnologicheskie resheniia. Primery primeneniia. Sistemy vysokoi dostupnosti, 2022, t. 18. No. 2, pp. 42-57.

12. Kostogryzov A., Makhutov N., Nistratov A., Reznikov G. Probabilistic predictive modeling for complex system risk assessments (Veroiatnostnoe uprezhdaiushchee modelirovanie dlia otsenok riskov v slozhnykh sistemakh). Time Series Analysis — New Insights. IntechOpen, 2023, pp. 73-105.

13. Khinchin A.Ia. Raboty po matematicheskoi teorii massovogo obsluzhivaniia. M. : Fiz.-mat. lit., 1963.

14. Grigolionis V. O skhodimosti summ stupenchatykh protsessov k puassonovskomu. Teoriia veroiatnosti i ee primeneniia, 1963, t. 8. No. 2.

15. Gnedenko B.V., Kovalenko I.N. Vvedenie v teoriiu massovogo obsluzhivaniia. M. : Nauka, 1987.

16. Matveev V.F., Ushakov V.G. Sistemy massovogo obsluzhivaniia. M. : MGU, 1984.

17. Kostogryzov A.I., Nazarov L.V. Paketnaia obrabotka trebovanii v sisteme s otnositel'nym prioritetom. Izv. AN SSSR, ser. Tekhnicheskaia kibernetika, 1981. No. 3, pp. 183-187.

18. Balyberdin V.A. Metody analiza mul'tiprogrammnykh sistem. M. : Radio i sviaz, 1982. 152 pp.

19. Balyberdin V.A. Otsenka i optimizatsiia kharakteristik sistem obrabotki dannykh. M. : Radio i sviaz, 1987. 176 pp.

20. Kostogryzov A.I., Matveev V.F. Analiz primeneniia kombinirovannoi distsipliny obsluzhivaniia v sistemakh real'nogo vremeni. Izv. AN SSSR, ser. Tekhnicheskaia kibernetika, 1986. No. 6, pp. 79-84.

21. Kostogryzov A.I. Paketnaia obrabotka zaiavok v rezhime ravnomernogo razdeleniia protsessora s preryvaniem. Izv. AN SSSR, ser. Tekhnicheskaia kibernetika, 1987. No. 4, pp. 88-93.

22. Kostogryzov A.I. Klass prioritetnykh distsiplin s kombinirovaniem printsipov obsluzhivaniia v poriadke prioriteta i paketnoi obrabotki zaiavok. Analiz ikh svoistv i vozmozhnostei primeneniia v ASU. Analiz stokhasticheskikh sistem metodami issledovaniia operatsii i teorii nadezhnosti. K. : In-t kibernetiki im. V.M. Glushkova AN USSR, 1987, pp. 52-55.

23. Bezkorovainyi M.M., Kostogryzov A.I., L'vov V.M. Instrumental'no-modeliruiushchii kompleks dlia otsenki kachestva funktsionirovaniia informatsionnykh sistem KOK. M. : Vooruzhenie. Politika. Konversiia, 2002. 304 pp.

24. Kostogryzov A., Atakishchev O., Nistratov A., Nistratov G., Klimov S., Grigoriev L. The method of rational dispatching a sequence of heterogeneous repair works // Energetica. 2017. Vol. 63. No. 4, pp. 154-162.