CC BY
10УДК 519.8:614.838+510.6:62-7:007.51:004.056.53 DOI: 10.32686/1812-5220-2018-15-80-91
ISSN 1812-5220
© Проблемы анализа риска, 2018
Мониторинг безопасности информатизированных котельных с сетевым доступом и оценкой риска на логико-вероятностной модели
М. В. Шептунов,
ФГБОУ ВО «Российский государственный гуманитарный университет» (РГГУ), ФГБОУ ВО «Московский государственный лингвистический университет» (МГЛУ)
Аннотация
Рассматривается одна из существующих технологий — многосменного мониторинга безопасности, подразумевающая отслеживание целостности информационной системы (ИС) периодически сменяющими друг друга операторами в интервал между диагностиками ими системы — применительно к информатизированным котельным с сетевым доступом. При этом ИС котельной считается защищенной от опасных программно-технических воздействий через компьютерную сеть, только если к началу заданного периода времени целостность системы обеспечена и в течение всего этого задаваемого периода источники опасности не проникают в систему (с вычисляемой вероятностью). Здесь оператор котельной фигурирует в качестве оконечного звена ряда контролируемых, в т. ч. программного уровня, преград для (внешнего) сетевого злоумышленника. Для инфор-матизированных котельных, в зависимости от соотношений для длительности работы оператора в течение каждой смены, задаваемого периода безопасного функционирования и периода между диагностиками, рассматриваются три варианта, характерные при указанной технологии. Обсуждаются возможности применения последней в ракурсе оценки риска чрезвычайных ситуаций (ЧС) в пределах ранее разработанной автором логико-вероятностной модели для информатизированных котельных.
Ключевые слова: несанкционированный доступ (НСД), безотказность, риск, компьютерная система обнаружения вторжений.
Security monitoring of computerized boiler rooms with network access and risk assessment on a logical-probabilistic model
Annotation
We consider one of the existing technologies, scilicet of the multi-shift safety monitoring, which implies tracking of the integrity of the information system (IS) by periodically replacing each other operators in the interval between diagnostics of the system, in relation to computerized boiler-rooms with network access. Herein the IS of the boiler-house is taken into account as protected from dangerous software-engineering influences through the computer network only if to the beginning of the specified period of time the integrity of the system is ensured and throughout this set period the sources of danger do not penetrate the system (with a calculated probability). Here the operator of the boiler-room figures as an eventual link of the series of the controlled, including the program level, barriers for (external) network malefactor. For computerized boiler-houses, depending on the ratios for the duration of the operator's work during each shift, the specified period of safe operation and the period between diagnostics, three variants are considered that are typical for this technology. The possibilities of applying the latter in the foreshortening of risk assessment of emergency situations (ES) within the previously developed by the author logical-probabilistic model for computerized boiler-houses are discussed.
Keywords: unauthorized access (uaA), reliability, risk, computer intrusion detection system.
Содержание
Введение
1. Рассматриваемые в разрезе многосменного мониторинга безопасности котельных инициирующие события и условия сценария опасного состояния
2. Выявление наиболее целесообразного варианта многосменного мониторинга безопасности при задаваемых ключевых параметрах данной технологии
Заключение Литература
Введение
В настоящее время существенную роль в обеспечении безопасности жизнедеятельности страны, различных объектов экономики Российской Федерации играют современные методы мониторинга опасных явлений, представляя собой основу анализа риска в соответствующих сферах человеческой деятельности. Одной из таких наиболее важных сфер является бесперебойное теплоснабжение, осуществляемое на сегодняшний день как информатизируемыми,
M. V. Sheptunov,
Federal State Budgetary Educational Institution of Higher Education (FSBEI HE) "Russian State University for Humanities" (RSUH), FSBEI HE "Moscow State Linguistic University" (MSLU)
так и уже информатизированными котельными с сетевым доступом. И соответственно, не менее актуальны методы и технологии мониторинга безопасности как приоритетной составляющей оценки риска чрезвычайных ситуаций (ЧС) современных котельных, являющихся одновременно и объектами экономики, и объектами информатизации.
Указанная сфера регулируется как Федеральным законодательством (главным образом ФЗ [1]), так и ГОСТами международного уровня (например, [2]), а также другими нормативными документами.
Среди ключевых звеньев практически любой современной котельной принципиально выделить в т. ч. автоматизированное рабочее место (АРМ) оператора. Учитывая, что АРМ чаще всего создается на базе подключаемых к локальным и глобальной сетям ПЭВМ, воплощая наиболее простой вариант автоматизации рабочих мест котельных, приобретают важность и аспекты защиты не только от физического проникновения на рассматриваемый информатизируемый объект, но и от удаленного сетевого вторжения в ракурсе возможного влияния на технологические процессы в котельных.
Актуальные в ракурсе информационно-телекоммуникационных технологий вопросы рисков использования киберпространства, включая АСУ технологическими процессами, рассматривались в т. ч. и на страницах журнала «Проблемы анализа риска» [7, 8 и др.]. В ряде определенных случаев (что ясно в т. ч. из [8]) ущерб, причиненный одному или нескольким ресурсам (информация на носителях и информация, циркулирующая по внутренним каналам компании и проч.), произошедший вследствие аварии либо в результате злоумышленных или неумышленных действий персонала или иных лиц, может оказаться фатальным для жизнедеятельности предприятия и даже привести к его ликвидации или банкротству, ибо котельные — это и объекты экономики.
На сегодняшний день применение именно интегрированных систем безопасности (ИСБ) предприятия для котельных, защищаемых как от физического НСД, так и сетевого несанкционированного доступа, позволяет не только решать возникающие задачи обеспечения безопас-
ности в комплексе, но и повысить эффективность работы отдельных подсистем и составляющих системы.
При этом следует упомянуть в ракурсе актуальности применения систем обнаружения вторжений (СОВ) для информатизированных котельных, что, как известно, эти системы имеют в своем составе среди других модулей также модуль реакции. За счет последнего СОВ способна как послать соответствующее оповещение на консоль администратора и/или выдать звуковой сигнал, при этом записав информацию об атаке (время, IP-адрес нарушителя, IP-адрес/порт цели атаки и т. п.), занеся событие в системный журнал, так и оборвать сетевое соединение. «Последнее слово» здесь тем не менее за человеком-оператором, являющимся одновременно лицом, принимающим решение (ЛПР) в рамках своей компетенции, и «динамичным» («неявно присутствующим») оконечным звеном именно контролируемой защиты системы. Но СОВ может (при ее корректной настройке и наличии, взяв на себя на определенное время часть функций человека-оператора) и запустить определенную программу — соответственно не исключая, при необходимости — что весьма важно для современной котельной, программу(ы) восстановления целостности системы и/или целостности информации, и переконфигурировать межсетевой экран после блокировки IP-адреса, с которого была осуществлена атака. Существенно (и это не противоречит сформированному в статье [8] сценарию опасного состояния системы), что СОВ может быть помещена вне области, защищаемой межсетевым экраном (выступая в роли отдельной подсистемы), когда атаки фиксируются на СОВ, но не проходят через межсетевой экран [3 и др.]. Естественно при логических построениях предполагать, что именно человек-оператор в итоге производит при такой надобности перенастройку и СОВ как одной из подсистем, и ИСБ в целом.
Сегодня немалые усилия прилагаются к обеспечению защищенности от различного рода опасных воздействий и явлений, способных разрушить целостность системы, включая целостность хранимой на жестком диске компьютера и/или циркулирующей по внутренней сети информации.
Не являются исключением и компьютеризированные системы управления процессом функционирования котельных.
При этом под целостностью системы понимается такое ее состояние, когда обеспечивается достижение целей системы с требуемым качеством.
Соответственно, под целостностью информации следует понимать такое ее состояние, при котором обеспечивается функционирование информационной системы (ИС) согласно целевому назначению с требуемым качеством.
При технологии многосменного мониторинга безопасности ИС подразумевается, что целостность системы в период между диагностиками отслеживают сменяющие друг друга операторы. Информационная система полагается защищенной от опасных программно-технических воздействий в течение задаваемого периода времени Тзад, если к началу этого периода целостность системы обеспечена и в течение него источники опасности не проникают в систему.
При обнаружении проникновения источника опасности предполагается, что человек-оператор ликвидирует таковой, восстанавливая целостность системы. Проникновение источника опасности в систему (ЭВМ) возможно (в разрезе рассматриваемого в нашем случае преодоления защитной (сетевой) «суммарной» именно контролируемой компьютерной преграды) только в случае ошибки (2-го рода) оператора. Безошибочные же действия оператора предусматривают нейтрализацию источника опасности при попытке его внедриться в систему (при полагаемом ничтожно малом времени нейтрализации). Проверка целостности системы, осуществляемая лишь при проведении диагностики, при (каждой) смене операторов в общем случае не делается. Т. е. проникший в одну из смен источник опасности способен активизироваться в последующие смены вплоть до очередной диагностики. Это усложняющее обстоятельство свидетельствует в пользу выбора в качестве основного интегрального показателя для технологии многосменного мониторинга безопасности системы именно вероятности Р „ ,Л отсутствия проникновения источника
ПрОН.(]) ] £
опасности в систему в течение задаваемого периода Тзад . непрерывного безопасного функционирования системы.
Соответственно, упомянутая вероятность Рпрон] обычно является (в задачах анализа, оценки риска) подлежащим оценке показателем, а задаваемый период Тзад() относится к требованиям заказчика и способен служить отправной точкой еще при проектировании и/или формировании ИСБ.
Среди исходных данных отводится место следующим величинам:) — условный номер варианта угроз опасных воздействий и способа защиты; (на практике не всегда точно известная) а. — частота воздействия на систему, осуществляемого с целью внедрения источника опасности; Т —
^ ' меж.]
время между окончанием предыдущей диагностики и началом очередной диагностики целостности системы; Тдиаг. — длительность диагностики, включая восстановление целостности системы; Т —
^ ' нар.]
среднее время наработки оператора на ошибку 2-го рода (момент т, с которого отсчитывается оставшееся время до завершения периода Тзад .)); к. — количество смен операторов между соседними диагностиками (между моментами начала соседних диагностик).
Т. е. для трех возможных вариантов технологии многосменного мониторинга безопасности предполагается проведение через определенные промежутки времени регламентной диагностики, системного контроля целостности ИСБ.
Целью данной работы является выяснение применимости существующей технологии многосменного мониторинга безопасности в качестве составляющей анализа и оценки по логико-вероятностной модели риска ЧС информатизированных котельных с сетевым доступом.
Научно-практические задачи работы:
• выявление наиболее целесообразного (из 3 рассматриваемых) варианта технологии многосменного мониторинга безопасности для задаваемых конкретных ключевых параметров при данной технологии;
• способствование анализу и оценке риска чрезвычайных ситуаций (ЧС) информатизирован-ных котельных с сетевым доступом по построенной автором ранее логико-вероятностной модели.
Естественно исходить из того, что нарушитель нормального режима функционирования котельной может быть как обыкновенным хулиганом, так и специально подготовленным профессионалом.
1. Рассматриваемые в разрезе многосменного мониторинга безопасности котельных инициирующие события и условия сценария опасного состояния
В статье [8] для сформированного в ней и приведенного на рис. 1 сценария опасного состояния (СОС) на основе полученной путем соответствующих логических построений формулы:
г^ ¿32) = (вд 4 4 ¿4 4)']' ■ М4з 4б)Т х
Х [%22 ¿23 (4 219220^21)']' ' (%10 ¿11 [%9 (%7 ¿8)']'}' ' (%12 ¿13)' Х X (г14 ■ (гы %17)' ■ (%27 %28)' ■ (%29 %30)' ' (%31 232)'}' (1)
была получена пригодная для расчетов риска ЧС в информатизированной котельной вероятностная функция опасного состояния (ФОС) системы в виде:
Р(/Ц,..., %32) = 1} = 0С = 1 - ([1 - 06 (1 - Б1Б2Б3Б4Б5)] X
х [1 - 024 (1 - Б25Б26)] ■ [1 - 022023 (1 - Б18Б19Б20Б21)] Х
X (1 - 010 011 (1 - [Б9(1 - 07 08)])} ■ (1 - 012013) X
X (1 - 014015) ■ (1 - 016017) ■ (1 - 027028) ' (1 - 02903о) X х (1 - 031032)}, (2)
где смысл каждого из обозначений нумерованных переменных соответствует указанному на рис. 1 для инициирующих событий и условий (ИС, ИУ) сценарию опасного состояния системы — с учетом нумерации ИС и ИУ.
Естественно, что для как такового расчета риска 0с рассматриваемой чрезвычайной ситуации нам нужны вероятности каждого из ИС и ИУ, входящих в формулу (2). Для их использования могли бы помочь статистические данные (разумеется, при наличии таковых). Нетривиальной и важной задачей представляется определение соответствующих вероятностей опасности для составляющих 027, 028 вышеуказанной формулы (причем %27 — событие обычно сложное, зависящее от относящихся только к нему простых событий с вероятностями Ри , ...,Рп% , смысл которых ясен — непреодоление (т. е. прочность в вероятностном смысле) каждой соответствующей дублирующей преграды) или же, как вариант, определение (при такой возможности сразу) вероятности в виде выражения (1 - 027028), входящего в формулу (2).
Следует отметить, что в случае некорректной настройки СОВ либо, тем более, ее отсутствия нагрузка по обнаружению и предотвращению сетевых проникновений (даже при наличии (сетевой) «суммарной», т. е. с одним либо более дублирующим звеном, контролируемой компьютерной преграды) в ИСБ в большей степени ложится на человека-оператора.
Рассматриваемая нами в разрезе многосменного мониторинга безопасности котельных часть инициирующих событий и условий сценария опасного состояния, а именно %27, %28, относится к возможностям удаленных (сетевых) атак на котельную, являющуюся объектом информатизации. «Прочность» человека-оператора как «динамичного» оконечного звена комплексной контролируемой защиты (особенно от сетевых проникновений в систему) «рассеяна» при наличии СОВ (даже при не вполне корректной ее настройке, которую, как предполагаем, осуществляет в конечном счете человек-оператор) между ней и «суммарной» (последовательно преодолеваемой с некоторой вероятностью злоумышленником) именно контролируемой преградой от сетевых проникновений. Предполагается также, что именно человек-оператор производит (при необходимости) перенастройку системы и, как минимум, регулярно отслеживает файл журнала аудита событий в системе, а как максимум — будучи лицом, принимающим решение (ЛПР — на своем уровне) — вмешивается в ее функционирование в основном при сигналах от нее и/или оперативно нейтрализует электронную деятельность злоумышленника, обнаруженную благодаря актив -ности СОВ и/или межсетевого экрана либо иного звена защиты (при наличии такового) или же благодаря собственным активности и корректным действиям (включая, при необходимости, восстановление целостности всей системы).
Отметим, что в сформированном ранее в статье [8] сценарии опасного состояния системы, а именно упомянутой чрезвычайной ситуации в котельной, предполагается независимость всех фигурирующих в нем инициирующих событий (ИС) и инициирующих условий (ИУ) попарно и в совокупности (включая сложное событие %27, для которого расчет вероятности 027 становится еще более трудным при наличии для отдельной преграды (той
Рис. 1. Возможный сценарий опасного состояния котельной
или иной сущности) одной либо более дублирующих ее преград в многозвенной защите).
Важно, что дополнительная (одна либо несколько), т. е. каждая дублирующая преграда должна перекрывать, как минимум, то же количество возможных каналов НСД, что и первая. Отметим и такую отличительную особенность для показанных на рис. 1 ИС г31 (саботаж либо ошибки персонала) и для более пристально рассматриваемого в данной статье ИС г27 (преодоление защитной (сетевой) «суммарной» компьютерной преграды (включая возможное несанкционированное завладение логином и паролем сотрудника), с учетом возможности совместимого отказа подсистемы защиты информации): событие г31 подразумевает ошибки 1-го рода, а событие г27 подразумевает ошибки именно 2-го рода.
Далее, обращаясь к рис. 2, пусть нас интересует величина вероятности преодоления (сетевой) «суммарной» преграды нарушителем Рнр = 027 при наличии в ней всего 2 дублирующих (друг друга) преград; например, одна из них — межсетевой экран, а другая — операционная система компьютера. Как ясно из [5] и [8], 027 можно вычислить по формуле
Р = Ц - • Ц - р)
(3)
где Pj — прочность (вероятность непреодоления) преграды 1;
Преграда 1
Преграда 2
(Дублирующая) преграда 4
Предмет защиты
Преграда 3
Рис. 2. Многозвенная защита с отдельными дублируемыми преградами
Р4 — прочность (вероятность непреодоления дублирующей ее) преграды 4.
Тогда вероятность преодоления каждой из них (единственным) нарушителем согласно теории вероятностей как противоположное событие есть соответствующая разность (1 - Р1), (1 - Р4).
Но для расчета нам следует знать обе (для данного случая; а в ряде случаев преград может иметься в системе более 2) прочности дублирующих контролируемых преград Р1, Р4.
И, с одной стороны — при невозможности (по какой-либо причине) определить составляющие Р1 и/или Р4 формулы (3) для расчета Рнр = 027 (или же для выражения (1 - 027028) только одну 028) не представляется на первый взгляд возможным вычислить и значение входящего в (2) выражения (1 - 027028), а соответственно, и вероятность ЧС для информатизированной котельной 0с по формуле (2).
2. Выявление наиболее целесообразного варианта многосменного мониторинга безопасности при задаваемых ключевых параметрах данной технологии
Далее нас будет интересовать вопрос о применимости существующей технологии многосменного мониторинга безопасности в качестве составляющей оценки по логико-вероятностной модели риска ЧС информатизированных котельных с сетевым доступом — и в частности — для оценки входящей в формулу (2) величины (1 - 027028) (последнее возможно проделать при неизвестных прочностях Р, образующих Рнр = 027, и «с другой стороны» — иным рассматриваемым образом с позиций технологии многосменного мониторинга безопасности информатизированных котельных в случае ее применения). И что не менее важно, о наиболее целесообразном варианте технологии многосменного мониторинга безопасности для задаваемых (для трех рассматриваемых вариантов) значений ключевых параметров при данной технологии.
В дополнение к ранее перечисленным (преимущественно во введении) потребующимся нам далее обозначениям укажем (Т + Т ) / к — длитель-
х меж. диагУ ^
ность работы оператора в течение смены (индекс )
для уменьшения громоздкости обозначений опущен сознательно).
Итак, в разрезе известной технологии многосменного мониторинга безопасности возможны три варианта:
• вариант 1 — заданный период безопасного функционирования Тзад меньше длительности работы оператора в течение одной смены, т. е. (Тмеж + + Тдиаг ) / к > Тзад, где к — количество смен операторов между моментами начала соседних диагностик;
• вариант 2 — заданный период безопасного функционирования Тзад больше или равен длительности работы одного оператора, но меньше периода между диагностиками, т. е. ( Т + ТЛ ) / к < Т , <
^ ' х меж. диаг.' зад.
< Т + Т ;
меж. диаг.
• вариант 3: Т + Тл < Т ,, т. е. в течение за-
меж. диаг. зад.
данного периода безопасного функционирования Тзао завершится хотя бы одна диагностика.
Для каждого из 3 перечисленных вариантов имеет место свое утверждение относительно вероятности Р „ (Т , ) отсутствия источника опасности
прон. х зад.' J
в системе за заданный период Тзао ; хотя они известны (преимущественно из [4]), не было обнаружено сведений о применении и/или применимости их в разрезе многосменного мониторинга безопасности именно для информатизированных котельных с сетевым доступом при оценке риска их ЧС по логико-вероятностной модели.
Утверждение I. Для варианта 1 при условии независимости исходных характеристик вероятность Р« (Т ■,) отсутствия источника опасности в си-
прон. зад.
стеме за заданный период Тзао :
статьи, поскольку предполагается, что даже если аналитически ту или иную из этих вероятностей либо обе посчитать крайне сложно (или невозможно), то, по крайней мере, вычислить приближенно и/или с использованием численных методов либо определить на основе экспертных оценок вполне реально.
Пусть для известного (обычно задаваемого заказчиком) Тзад = 24 (час.) вычислены (приближенно либо точно) вышеупомянутые: вероятность
Т.д.
| йЛ(т) «0,999 и вероятность Пвозд (Тзад -т) = 0,301
0
(для Т (ср ) ~ 4 (час.)). Вычисленная на основе этих вероятностей по формуле (I) величина интересующей (именно когда более сложно определить все либо какую-либо одну из составляющих вышеупомянутого выражения (1 - 027 028), в котором 027 может вычисляться в случае известных всех обычно последовательно преодолеваемых злоумышленником составляющих «суммарной» контролируемой защиты) вероятности Рпрон (^(Т^ = = 24 (час.)) (для варианта 1) приведена в табл. 4.
Для варианта 2 имеет место известное
Утверждение II. Для варианта 2 при условии независимости исходных характеристик вероятность отсутствия источника опасности в системе за время Тзад равна:
, ч I • (Т + 1 )/к
~ (1Г \ _ 4 меж ._диаг.' ..
(1зад.)~ Х
прон.(2)\ зад.
X PL
гпрон.(1)
Тмеж. + Тдиаг. I , * ост.(2) X п (Т \ (TT)
I"1" „ Х 1прон.(\)(1ост.(2)
Р^Тд) =1 - ]' йЛ(т) -т^ (1)
0
Т.,.
где | йЛ(т) — вероятность того, что до завершения перйода Тзад истечет (среднее) время наработки Тнар ср) человека-оператора на ошибку (2-го рода); ^возд (Тзад - т) — вероятность того, что в оставшееся время с момента т до завершения Тзад осуществится опасное воздействие на систему.
Отметим, что как таковая оценка обеих вышеупомянутых перемножаемых вероятностей для вычисления Рпрон (!) (Тзад ) заслуживает отдельного рассмотрения и не является основной задачей данной
где L = [Т , • к / (Т + ТЛ )] — целая часть;
^ 1 зад. х меж. диаг. '
Т п-, = Т , - L • (Т + Т ) / к — остаток,
ост. (2) зад. х меж. диаг.' ?
причем для Тост (2), а не для всего периода Тзад рассчитывается, как для варианта 1, вероятность Рпрон (1) (Тзад ), для которого выполняется условие: г""! < (?' + Тд ) / к.
ост.(2) х меж. диаг.'
Пусть, далее, имеются (более-менее реалистичные для информатизированных котельных) исходные данные наряду с Тзад, приведенные для варианта 1 и варианта 2 в табл. 1 и табл. 2 — такие, что выполнены соответственно этим вариантам условия (причем Тдиаг. включает при необходимости время восстановления целостности системы).
Совокупность используемых в расчете для варианта 1 исходных данных и задаваемого периода Тзад Таблица 1
Время Тмеж с момента завершения Время диагностики Тдиаг, Количество к смен Задаваемый период Тзад
предыдущей диагностики час. операторов между непрерывного безопасного
до начала следующей диагностики соседними диагностиками функционирования системы, час.
(согласно регламенту), час.
24 0,10 1 24
Совокупность используемых в расчете для варианта 2 исходных данных и задаваемого периода Тзад Таблица 2
Время Тмеж с момента завершения Время диагностики Тдиаг , Количество к смен Задаваемый период Тзад
предыдущей диагностики час. операторов между непрерывного безопасного
до начала следующей диагностики соседними диагностиками функционирования системы,
(согласно регламенту), час. час.
24 0,10 2 24
Совокупность используемых в расчете для варианта 3 исходных данных и задаваемого периода Тзад Таблица 3
Время Тмеж с момента завершения предыдущей Время диагностики Тдиаг , Задаваемый период Тзад непрерывного безопасного
диагностики до начала следующей час. функционирования системы, час.
диагностики (согласно регламенту), час.
23,8 0,10 24
Промежуточные и итоговые результаты расчетов Таблица 4
при рассматриваемых значениях ключевых параметров
Рпрон. (1)(Тзад. = 24 Час-) - - 0,699 к = 2 1 = 1 (Т + Т \ Р меж. диаг -Р"Р0"{" | к ) - 0,819 Тост (2) = 11,95 час. ост. (2) ' Рпрон. (1)(Тост. (2)) - 0,820 Рпрон.(2)(Тзад. = 24 час.) - 0,819
Т + Т шж. ьиаг. = 12,05 час. к
N = 1 Тмеж + Тдиаг. = 23,9 Час. Рпрон. (2) (Тмеж. + Тдиаг.. - - 0,819 Тост (3) = 0,1 час. ост. (3) ' Рпрон.(1)(Тост.(з) - - 0,998 Рпрон.(3)(Тзад. = = 24 час.) - 0,819
Результаты расчетов вероятности Рпрон (2) (Тзад) приведены в верхней половине табл. 4. Дадим некоторые пояснения. Для (промежуточного) расчета входящей в (II) вероятности Р„рон(1) | Тмеж' + Тдиаг' будем исходить из того естественного предположения, что (при к = 2) за меньшее время Тмеж■ + Тдиаг- =
к
= 12,05 (час.) по сравнению с Тзад = 24 (час.), для которого в случае варианта 1 вероятность
&возд (Тзад -т) при т - 4 (час.) при полагаемой прямо пропорциональной зависимости от времени,
24 - 4
уменьшится практически в - 1,66 (раза), а ве-
12,05
'' йЛ(т) (поскольку т <<Тзад) практически не изменится. Тогда, уменьшая при вычислени-'Т...... + Т.
прон■ (1) I
ях вероятности Рпрон.(1) | меж' ,—— = 12,05 (час.) | по
формуле (I) величину уже ранее использовавшейся вероятности 0,301 в - 1,66 раза, получим значение
Р
Т + Тд
меж. диаг.
указанное в верхней половине
ПрОН.(1) I k
табл. 4.
Далее, для расчета входящей в (II) вероятности
Рпрон.(1)(Тост.(2) = П,95 (чаС.)) бУДеМ исходить из
аналогичного предположения, а поскольку
24 - 4 11,95
~ 1,67 (раза), то при аналогичных рассуждениях будем иметь величину рпрдн. w(Tcm. (2) = 11,95 (час.)), также указанную в верхней половине табл. 4.
Тогда, вычислив по формуле (II), имеем указанную в верхней половине табл. 4 величину интересующей вероятности Рпрон(2)(Тзад = 24 (час.)).
Пусть также имеются исходные данные, приведенные наряду с Тзад для варианта 3 (причем Тдиаг , по аналогии с табл. 1 и табл. 2, включает при необходимости время восстановления целостности системы).
Результаты расчетов вероятности Рпрон (3)(Тзад ) для варианта 3 по (нижеследующей) формуле (III) утверждения III приведены в нижней половине табл. 4, причем с учетом выполненного его верхнего соотношения (*) индекс «x» для вероятности Рп , ,(Т „О имеет значение «1», т. е. рассматрива-
прон.(х)х ост.(3)7 ' £ £
ем именно Рп ,,JT ,,-,) при х = 1.
прон.(1)у ост.(3)' £
Утверждение III. Для варианта 3 при условии независимости исходных характеристик вероятность отсутствия источника опасности в системе за время Тзад равна:
прон.(3)\ зад
(TJ =
N ■ (T + T ) N
_4 меж._диаг. pN
(T''меж . + Тди аг . ) +
T
ост.(3)
T
прон.(2)\ меж. диаг.
Рпр0н,х) (Тост.(3) )> (III)
ГДе N = [Тзад. / (Тмеж. + Тдиаг)] — ЧиСло периодов
между диагностиками, целиком вошедших в Тзад,
остаток Т
ост. (3)
Тзад. N ( Тмеж.. + Тдиаг.
1, если T < ( T + T ) / k;
ост .3 меж. диаг.
2 — в противном случае.
(*)
Дадим некоторые пояснения к указанным в нижней половине табл. 4 вычисленным вероятностям Рп т(Т + Т ) и Рп т(Т ,а,), нужным
прон.(2р меж. диаг.' прон.(1)у ост.(3)/? J
для расчета по формуле (III) интересующей вероятности Рпрон(3)(Тзад). Для входящей в (III) вероят-
ности Р п ,1Л(Т + Т ) будем исходить из того
прон.(2р меж. диаг.; ^
естественного предположения, что за почти то же, что и Т , = 24 (час), время Т + Т = 23,9 (час.)
зад. х /' г меж. диаг. ' х '
она практически не будет отличаться от ранее рассчитанной вероятности Рпрон(2)(Тзад = 24 (час.)), т. е. примем Р „ ,1Л(Т + Т = 23,9 (час.)) ~
прон.(2) меж. диаг.
Рпрон.(Тзад. 24 (час.)).
А для промежуточного расчета также входящей в (III) вероятности Рпрон(1)(Тост3) при уже упомянутом выполненном верхнем неравенстве (*) будем исходить из того естественного предположения, что за меньшее время Тост (3) = 0,1 (час.) по сравнению с Тзад = 24 (час.), для первого из которых в случае варианта 1 вероятность &возд (Тзад - т) при т ~ 4 (час.) при полагаемой прямо пропорциональной зависимости ее от времени, уменьшится прак-
24 - 4 '
тически в ~ 200 (раз), а вероятность j dA(x)
(поскольку т << Тзад) практически не изменится. Результат расчета интересующей вероятности Рпрон (Л ) также приведен в нижней половине табл. 4.
Из всего вышесказанного ясно, что наиболее целесообразно использовать (по крайней мере, при весьма близких к рассмотренным значениям ключевых параметров) вариант 2 либо вариант 3 (характеризующиеся в рассматривавшемся для вероятного сетевого проникновения случае, но необязательно всегда, практически одинаковыми приближенными значениями вероятности отсутствия источника опасности в системе за время Тзад).
Отметим, что вычисленное (с помощью MS Excel) значение риска ЧС в информатизированных котельных с сетевым доступом по формуле (2) Oc при значениях всех остальных (т. е. кроме O27, O28) составляющих этой формулы, равных Б{ = 0,5,
O = 0,1 при Рпрон.(1)( Тзад.) ~ (1 - O27 ' O28)(1) ~ 0,699, Рпрон.(2)(Тзад) ~ (1 - O27 ' O28)(2) ~ 0,819 Рпрон.(3)(Тзад) ~
~ (1 - O27 ■ O28)(3) ~ 0,819 и рассмотренных значениях ключевых параметров данной технологии, т. е. многосменного мониторинга безопасности, составит
• для варианта 1: Oc ~ 0,4527;
• для варианта 2 и/или варианта 3: Oc ~ 0,3587.
Рассчитанные приближенные значения (хотя таковые получены далеко не для всех возможных величин параметров, учесть большую часть которых
'
x =
при расчетах в той или иной степени представляется перспективным с помощью имитационного моделирования) говорят в пользу недопустимости игнорирования возможного сетевого проникновения внешнего злоумышленника (даже одного) в инфор-матизированные котельные, чреватого возникновением в них ЧС.
Прикидочные расчеты показывают, что если бы при тех же значениях Б{ = 0,5, 0{ = 0,1, всех остальных (т. е. кроме 027, 028) составляющих формулы (2) значение выражения (1 - 027 • 028), входящего в (2), удалось бы повысить до 0,990, то риск ЧС в информатизированной котельной с сетевым доступом по формуле (2) составил бы 0с - 0,2248, т. е. по сравнению с вариантом 1 при рассматривавшихся исходных данных и параметрах он снизился бы практически в 2 раза.
Заключение
Хотя выполненные расчеты приблизительные, они все же дают представление и о том, какой или какие из трех рассмотренных вариантов технологии многосменного мониторинга безопасности наиболее целесообразно использовать при хотя бы близких к использовавшимся расчетным значениям, и о том, за счет изменения какого более предпочтительного из параметров соответствующего варианта данной технологии реально снизить риск ЧС для информатизированных котельных с сетевым доступом.
Так, в ракурсе технологии многосменного мониторинга безопасности системы для варианта 2 видится наиболее логичным и целесообразным снизить (регламентируемое) время Тмеж между окончанием предыдущей и началом очередной диагностики целостности системы и/или увеличить количество смен между диагностиками системы, а для варианта 3 — снизить (регламентируемое) время Тмеж между окончанием предыдущей и началом очередной диагностики целостности системы — при неизменном (заданном заказчиком) периоде Тзад.
Научная новизна работы состоит в выясненной применимости существующей технологии многосменного мониторинга безопасности в качестве составляющей анализа и оценки по логико-вероятностной модели риска ЧС информатизированных котельных с сетевым доступом.
Практическая ценность работы заключается в:
• выявленном наиболее целесообразном варианте (а точнее, в двух выявленных наиболее целесообразных вариантах) технологии многосменного мониторинга безопасности для задаваемых конкретных значений ключевых параметров для трех рассмотренных вариантов для информатизированных котельных с сетевым доступом;
• способствовании анализу и расчету риска ЧС информатизированных котельных с сетевым доступом по построенной автором ранее логико-вероятностной модели, в т. ч. не исключая применение для этой цели имитационного моделирования для случаев неизвестных точных значений вероятностей инициирующих событий и инициирующих условий.
Основа работы была выполнена автором в Финансовом университете после (успешной) аттестации в должности доцента и продолжена в период пребывания слушателем курсов повышения квалификации НИУ «Высшая школа экономики».
Автор признателен организаторам Всероссийской научно-практической конференции «Человек, общество и государство в обеспечении безопасности жизнедеятельности современной России», особенно ее круглого стола «Современные методы мониторинга опасных явлений как основа анализа риска» за предоставленную возможность выступления с указанной тематикой и опубликования материалов данной работы.
Литература [References]
1. Федеральный закон от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» (с изменениями и дополнениями). [Federal law of 21 July 2011 № 256-FL "About safety of objects of fuel-energy complex" (with changes and additions).]
2. ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности». [ISO/IEC 27002:2012. Information technology. Security techniques. Code of practice for information security management.]
3. Корт С. С. Теоретические основы защиты информации: Учеб. пособие. М.: Гелиос АРВ, 2004. 240 с. [Court S. S. Theoretical foundations of information security: the training manual. Moscow: Helios ARV, 2004. 240 p.]
4. Костогрызов А. И., Петухов А. В., Щербина А. М. Основы оценки, обеспечения и повышения качества выходной информации в АСУ организационного типа. М.: Вооружение. Политика. Конверсия, 1994. 278 с. [Kostogryzov A. I., Petukhov A. V., Shcherbina A. M. The basis of evaluation, providing and improving the quality of output information in MIS of the organizational type. M.: Weapon. Policy. Conversion, 1994. 278 p.]
5. Мельников В. В. Безопасность информации в автоматизированных системах. М.: Финансы и статистика, 2003. 368 с. [Melnikov V. V. Information security in automated systems. M.: Finance and statistics, 2003. 368 p.]
6. Рябинин И. А. Надежность и безопасность структурно-сложных систем. СПб.: Политехника, 2000. 248 с. [Ryabinin I. A. Reliability and safety of structural-complex systems. SPb.: Polytechnic, 2000. 248 p.]
7. Соколов Ю. И. Новый вид рисков: риски киберпро-странства // Проблемы анализа риска. 2016. Т. 13. № 6. С. 6—21. [Sokolov Yu. I. A new type of risks: cyber risks // Issues of risk analysis. 2016. V. 13. No. 6. P. 6—21.]
8. Шептунов М. В. Котельные как информатизируемые объекты защиты в ракурсе надежности и безопасности структурно-сложных систем // Проблемы ана-
лиза риска. 2018. Т. 15. № 1. С. 80—88. [Sheptunov M. V. Boiler-houses as the computerized objects of protection at foreshortening of reliability and safety of structural-complex systems // Issues of risk analysis. 2018. V. 15. No. 1. P. 80—88.]
Сведения об авторе
Шептунов Максим Валерьевич: кандидат технических наук, доцент, член Ученого совета Института информационных наук ФГБОУ ВО «Московский государственный лингвистический университет» (МГЛУ), доцент ФГБОУ ВО «Российский государственный гуманитарный университет» (РГГУ)
Количество публикаций: св. 60, в т. ч. глава в двух коллективных монографиях, более 20 вышеупомянутых работ — учебно-методические
Область научных интересов: исследование операций,
управление в социально-экономических и технических
системах, дискретный анализ и анализ риска
Контактная информация:
Адрес: 129347, г. Москва, ул. Проходчиков, 5-23
Тел.: +7 (915) 297-22-75
E-mail: triumf403@yandex.ru
