Методика нормирования требований к информационной безопасности автоматизированных систем Текст научной статьи по специальности «Математика»

УДК 683.1

МЕТОДИКА НОРМИРОВАНИЯ ТРЕБОВАНИЙ К ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

АВТОМАТИЗИРОВАННЫХ СИСТЕМ

О.Ю. Макаров, В.А. Хвостов, Н.В. Хвостова

Предложена методика нормирования требований к количественным характеристикам систем защиты информации (СЗИ), основанная на взвешенном суммировании значений характеристик, полученных в результате принятия решения в условиях неопределенности по матрице платежей для каждого частного показателя эффективности автоматизированной системы

Ключевые слова: информационная безопасность, модель угроз, система защиты информации, программная система

Одной из важнейших задач теории информационной безопасности является обоснование требований к СЗИ АС. Важность данной задачи обусловлена высокой степенью влияния уровня (степени) защиты (“защищенности”) информации на эффективность функционирования АС и как следствие на эффективность выполнения технологических процессов, в которых задействована АС. Важность данной задачи обусловлена тем, что результатом ее решения является определение оптимальной части ресурсов вычислительной системы, которые необходимо выделить на эксплуатацию (функционирование) СЗИ.

Обоснование требований является весьма актуальной практической задачей и ее решению посвящено достаточное количество нормативной и методической документации.

Однако существующий порядок формирования требований к СЗИ не рассматривает насколько предлагаемое или уже реализованное решение эффективно. Такому положению, сложившемуся сейчас в области технологии обоснования требований к ИБ есть ряд причин:

- игнорирование системного подхода как методологии анализа и синтеза СЗИ;

- отсутствие механизмов полного и достоверного подтверждения качества СЗИ;

- отсутствие нормативно-методического обеспечения информационной безопасности, прежде всего в области показателей и критериев.

Система защиты информации должна обладать системными свойствами, а не бать простым набором технических средств и организационных мероприятий. Должно быть сформулировано целевое назначение СЗИ. Причем, чем более конкретно сформулирована цель защиты информации, детально уяснены имеющиеся для этого ресурсы и определен комплекс ограничений, тем в большей степени можно ожидать получение желаемого результата. Однако при расширении круга проблем, которые нужно решать для обеспечения ИБ, содержание це-

Макаров Олег Юрьевич - ВГТУ, д-р техн. наук, профессор, тел. (4732)43-77-06

Хвостов Виктор Анатольевич - ГНИИИ ПТЗИ, канд. техн. наук, тел. (4732)39-79-83 Хвостова Наталья Валерьевна - МОУ СОШ, преподаватель, e-mail: hva@mail.ru

левого назначения системы на формализованном уровне приобретает многомерный, векторный характер. При этом значимость нормирования свойств отдельных элементов СЗИ снижается, а на первый план выдвигаются общесистемные задачи — определение оптимальной структуры и режимов функционирования системы, организация взаимодействия между ее элементами, учет влияния внешней среды. При целенаправленном объединении элементов в систему последняя приобретает специфические свойства, изначально не присущие ни одной из ее составных частей. При системном подходе учитываются свойства СЗИ, которые определяют взаимодействие элементов друг с другом и оказывают влияние на АС в целом, а также на достижение поставленной цели безопасности.

Решение задач нормирования ИБ не может быть обеспечено феноменологическими способами умозрительного описания их поведения в различных условиях — нормирование характеристик СЗИ выдвигает проблемы, требующие количественной оценки. Такие данные, полученные экспериментально или путем математического моделирования, должны раскрывать свойства СЗИ. Основным из них является эффективность, под которой, понимается степень соответствия результатов защиты информации поставленной цели. Последняя, в зависимости от имеющихся ресурсов, знаний разработчиков и других факторов, может быть достигнута в той или иной мере, при этом возможны альтернативные пути ее реализации. Эффективность имеет непосредственную связь с другими системными свойствами СЗИ, в том числе показателями качества, характеризующими ее как программную систему (ПС): надежностью, управляемостью, помехозащищенностью, устойчивостью, ресурсоемкостью и удобством использования. Поэтому количественная оценка эффективности и остальных показателей качества позволяет измерять и объективно анализировать основные свойства СЗИ и является основой для построения методологии нормирования требований к ИБ.

В соответствии с указанными проблемами в теории защиты информации, целью данной статьи является разработка методики нормирования требований к уровню ИБ АС основанных, на количественной оценке эффективности решения задач защиты информации.

Решение задачи нормирования требований к информационной безопасности автоматизированных систем возможно классическими методами теории принятия решений [1-5]. При этом нормированные характеристики подсистем информационной безопасности должны быть в некотором смысле оптимальны и ориентированы на ситуацию, которая произойдет или будет иметь место в ближайшем или далеком будущем. Само решение связано со значительными последствиями и требует учета большого числа факторов. В этой связи необходим формальный математический аппарат, позволяющий сравнивать альтернативные варианты не только качественно, но и количественно. Для этого необходимо определить основные элементы ситуации задачи принятия решения и классифицировать задачу нормирования с точки зрения информации, имеющейся в распоряжении, так чтобы отнести задачу нормирования к той или иной типовой задаче.

Пусть эффективность АС характеризуется вектором частных показателей Q = {Q1,Q2, - Qk}, имеется совокупность A альтернативных вариантов СЗИ A = {a1 ,а2,....ап} п > 2, характеризуемых

множеством остаточных рисков по каждой возможной угрозе ИБ, которые можно выбрать при построении АС. На выбор того или иного решения оказывает влияние объективные условия, представляемые в задачах принятия решения в виде множества состояний природы Q = {,02,....<Эп}, одно из которых (й{

i е {,2,....п} будет иметь место в действительности при реализации выбранного альтернативного варианта СЗИ, имеющего смысл варианта совокупности угроз ИБ.

Другим фактором, влияющим на выбор альтернативы варианта A, является последствие принимаемого решения, являющееся числовой характеристикой эффективности АС получаемой в условиях реализации угроз ИБ. Другими словами, последствие есть функция, определенная на множестве альтернатив вариантов СЗИ (множестве вариантов остаточных рисков) и на множестве совокупности угроз ИБ. Таким образом, для каждой альтернативы ai и для каждого состояния природы (Oj определим последствия в виде полезности (достижимого уровня эффективности АС, связанного в свою очередь с понятием стойкости функции безопасности СЗИ (Strength of

Function (SOF)) т.е. Q нсд :(A * Q ) ^ R .

Значения показателей эффективности АС играют роль платежей теории игр.

Для каждого частного показателя эффективности АС можно составить матрицы платежей задачи принятия решения с m возможными вариантами построения СЗИ и п состояниями природы (совокупностями реализаций угроз ИБ) c соответствующими оптимальными в смысле критерия Z решете

ниями ак следующего вида.

Платежная матрица Р^ для частного показателя эффективности АС 01:

О1нсд - О1нсд (а1,ап )

: : ^ а

О1нсд (ат ,^1) - О1нсд К ,&п )

Платежная матрица Р°^ для частного показателя эффективности АС 02 :

О2нсд (а1,®1) - О2нсд (а1,0п)

О2нсд (ат ,®1) - О2нсд (ат , ®п )

Платежная матрица Р°^ для частного показателя эффективности АС 0к ■

Окнсд (а1,®1) - Окнсд (а1,0п )

_ : _ : ^ а\

Ок нсд (ат ,®1) - Ок нсд (ат ,®п )

Выбор критериев С, для решения задачи оптимизации для каждого показателя эффективности АС осуществляется в условиях неопределенности принятия решения (игра с природой) из-за необходимости получения норм безопасности применительно ко всем возможным условиям эксплуатации АС. То есть исходя из принципа максимизации энтропии заключающегося в том, что в ситуациях, когда распределение вероятностей или значения вероятностей неизвестны, их задают, исходя из следующего утверждения [3]: система находится в равновесии, когда энтропия максимальна, что соответствует полному беспорядку. То есть все возможные состояния природы равновероятны. Принцип максимизации энтропии также соответствует равновесному и наиболее вероятному состоянию системы.

При принятии решения в условиях неопределенности вероятностное распределение, соответствующее состояниям й)1 либо неизвестно, либо не может быть определено. Этот недостаток информации обусловил развитие следующих критериев [1-5]:

- критерий Лапласа;

- минимаксный критерий.

- критерий Сэвиджа.

- критерий Гурвица.

Эти критерии отличаются по степени консерватизма в отношении неопределенности.

Критерий Лапласа опирается на принцип недостаточного основания, сформулированный Я. Бернулли, который гласит, что, поскольку распределение вероятностей состояний P(юi) неизвестно,

нет причин считать их различными. Следовательно, используется оптимистическое предположение, что вероятности всех состояний природы равны между собой, т.е. Р(®1) = Р(®2) = Р(®п) = 1/ п. Наи-

лучшим решением по критерию Лапласа является то, которое обеспечивает:

^(?кнсд(а1|й>;)|

Максиминный (минимаксный) критерий основан на консервативном (осторожном) отношении к неопределенности, и сводится к выбору наилучшей альтернативы из наихудших. В соответствии с мак-симинным критерием в качестве оптимального выбирается решение, обеспечивающее:

}

Критерий Сэвиджа стремится смягчить консерватизм минимаксного (максиминного) критерия путем замены матрицы платежей PQ матрицей потерь RAQ которая определяется следующим образом:

r(a„w;) = шах(?кнсд(аг,б);)- <?^вд(а{, а>;-)

“г

Критерий Гурвица охватывает ряд различных подходов к принятию решений от наиболее оптимистичного до наиболее пессимистичного (консервативного). Пусть 0 < а < 1 тогда решению, выбранному по критерию Гурвица, соответствует:

al = max a max + (1-a)

a, (. ti)j 1 Cl>j 1 .

Параметр а показатель оптимизма. Если а = 0, критерий Гурвица становится консервативным, так как его применение эквивалентно применению обычного минимаксного критерия. Если а = 1, критерий Гурвица становится слишком оптимистичным, ибо рассчитывает на наилучшие из наилучших условий. Мы можем конкретизировать степень оптимизма (или пессимизма) надлежащим выбором величины а из интервала [0, 1].

Значение нормированных значений характеристик СЗИ из полученной совокупности оптимальных в смысле критериев Z значений характеристик

СЗИ a1 ,a2,...ak , полученных для частных показателей эффективности АС Q1,Q2,----Qk могут быть

получены исходя из анализа комплексного показателя эффективности АС.

Пусть комплексный показатель эффективности АС является линейной сверткой частных показателей эффективности. Метод линейной свертки - наиболее часто применяемый метод "скаляризации" (свертки) вектора частных показателей, позволяющий заменить векторный показатель эффективности

вида Q = {Qj,Q2,...Qk } на скалярный показатель вида Q : D ^ R [6]. Он основан на линейном объединении всех частных целевых показателей в один:

k=l

Весовые коэффициенты вк , могут при этом

рассматриваться как показатели относительной значимости отдельных показателей. Чем большее значение мы придаем показателю, тем больший вклад в комплексный показатель он должен давать и, следовательно, тем большее значение Рк. Значения Рк

могут выбираться исходя из неформальных соображений, связанных, как правило, с результатами экспертного анализа (пример обобщенный показатель эффективности АС на основе нечеткого интеграла по Х-нечеткой мере Сугено [7,8]).

При наличии комплексного показателя АС эффективности нормированные характеристики СЗИ можно найти исходя из следующего математического выражения:

К

«нор* = а^шах^Са,,^)) = ^0, . а[;

1 1-=1

Схема нормирования требований к ИБ в соответствии с предложенной методикой представлена на рисунке.

Таким образом, предложена методика нормирования требований к количественным характеристикам СЗИ, использующая методический аппарат теории принятия решений в условиях неопределенности и взвешенное суммирование полученных значений характеристик СЗИ, оптимальных для частных показателей эффективности АС. Предложенная методика может быть использована в качестве основы нового подхода к обоснованию требований к СЗИ, концептуально отличающегося от современного, регламентированного нормативной документацией классификационного подхода.

Литература:

1. Ларичев О.И. Теория и методы принятия решения, а также Хроника событий в Волшебных Странах. / -М.: Логос, 2000 г. - 296 с.

2. Льюс Р., Райфа Х. Игры и решения: Введение и критический обзор / - М.: Изд-во иностранной литературы, 1961 г. - 642 с.

3. Райфа Х. Анализ решений / - М.: Наука 1977 г.

— 408 с.

4. Черноруцкий И. Методы принятия решений / -СПб.: БХВ Петербург, 2005 г. - 408 с.

5. Кини Р., Райфа Х. Принятие решений при многих критериях: предпочтения и замещения / - М.: Радио и связь, 1981 г. — 5б0 с.

6. Синавина В.С. Оценка качества функционирования АСУ. — М.: Экономика 1973 г. — 240 с.

7. Нечеткие множества в моделях управления и искусственного интеллекта / под ред. Д.А.Поспелова. - М.: Наука, 1986 г. - 391с.

8. Нечеткие множества и теория возможностей / под ред. Р.Р. Ягера. - М.: Радио и связь, 1986 г. — 408с.

Схема нормирования требований к характеристикам СЗИ в АС Воронежский государственный технический университет

Государственный научно-исследовательский испытательный институт проблем технической защиты информации (г. Воронеж)

Муниципальное образовательное учреждение средняя образовательная школа № 1 (г. Воронеж)

METHOD OF NORMALIZATION REQUIREMENTS FOR INFORMATION SECURITY

AUTOMATED SYSTEMS

O. U. Makarov, V. A. Khvostov, N. V. Khvostova

The method of valuation requirements for the quantitative characteristics of information security systems, based on a weighted summation of the values of the characteristics resulting from a decision under uncertainty over the matrix of payments for each particular performance indicator automated system

Key words: information safety, model of the threats, system of protection to information, program system