CC BY
26УДК 656 05 004
ISSN 1812-5220
© Проблемы анализа риска, 2016
Оценка рисков нарушения безопасности критически важных объектов и критических инфраструктур1
В. Н. Цыгичко, Аннотация
Федеральный В статье представлен метод расчета рисков нарушения безопасности критически важных
исследовательский центр объектов и критических инфраструктур при существующей системе защиты.
«Информатика и управление» _
РАН, г. Москва
Ключевые слова: безопасность, риск, допустимый риск, уязвимость, угрозы, профиль защиты, эффективность средств защиты, композиция средств защиты.
Содержание
Введение
1. Представление КВО как объекта защиты
2. Процедура оценки рисков нарушения безопасности КВО
3. Оценка рисков нарушения безопасности критических инфраструктур
4. Расчет допустимого риска нарушения безопасности КВО Заключение
Литература
Введение
Важной задачей в процедуре управления рисками нарушения безопасности критически важных объектов (КВО) является определение эффективности существующей системы обеспечения их безопасности (СОБ КВО). На практике эффективность СОБ определяется путем оценки уязвимости КВО, которая представляет собой регламентированную в каждой критической инфраструктуре (КИ) экспертную процедуру проверки уровня защищенности всех критических точек объекта (уязвимостей) от всех потенциальных угроз. Задачи этой проверки состоят в определении риска нарушения безопасности КВО при существующей СОБ и сравнении полученных результатов со значениями допустимого риска, нормативно закрепленными в каждой КИ. Если значения риска нарушения безопасности КВО больше нормативного, то выявляются недостатки системы обеспечения безопасности и даются рекомендации по их устранению.
Наиболее сложной задачей в процедуре оценки уязвимости КВО является объективная и корректная интегральная оценка уровня защищенности объекта, в качестве которой выступает риск нарушения безопасности хотя бы одной уязвимости КВО при существующей защите.
1 Статья подготовлена при поддержке гранта РФФИ № 15-07 01796.
1. Представление КВО как объекта защиты
Для детального анализа процесса функционирования СОБ КВО необходима оценка рисков нарушения безопасности всех критических элементов его функциональной структуры, а в ряде случаев и структурных составляющих этих элементов. Например, такой элемент аэропорта, как центральное здание, имеет в своем составе множество различных служб и специального оборудования, нарушение работы каждого из которых ведет к возникновению чрезвычайных ситуаций. Однако для простоты дальнейшего изложения внутреннюю структуру элементов КВО мы не рассматриваем.
С учетом этого обстоятельства представим КВО как объект защиты множеством уязвимостей
V = У}:
V =
У У.
(1)
У/2
где I = 1 - I — номер уязвимости;
1 — число уязвимостей;
г = 1 - 2 — номер элемента КВО;
2 — число элементов.
Множество угроз Q = {^¿,1 уязвимостям Уг представим матрицей-столбцом Q:
Ч11
Чк
О =
ч,
Ч,к Ч]К
где ) = 1 - ] — номер потенциальной угрозы; ] — число потенциальных угроз; )к — номер способа реализации ;-й угрозы; К — количество способов реализации ;-й угрозы.
(2)
Если для каждой уязвимости известен перечень угроз ее безопасности и способов их реализации ч^, то профиль защиты КВО можно представить матрицей бинарных отношений м = {Уг Чк}:
м =
У11
У г
Ч11 0 0 1 1 0
Ч1К 1 1 0 0 0
Чкк 1 1 1 0 0
Ч]К 0 1 1 1 0
Ч]К 0 0 1 1 1
.(3)
Эффективность Р^ средств защиты N = {пг| против каждого способа реализации каждой угрозы Ч, представим матрицей Р = {Рр|:
Р =
п1 п . . пь
Ч11 Р111 - - Р1 - - Рь1
Рпк Р 21к
Ч1К Р -Ч1К - - Р - Г11К - -
Р 12к Р Ь2к
Ч, Р1 }к Р2]к - - - РЦк
Р1 * Р2]к Р!]к -
Ч]К Р ±1]К Р
(4)
где I = 1 - Ь — номер средства защиты;
Ь — количество средств защиты;
Рр — эффективность средства защиты — вероятность нейтрализации ;-го способа к-й угрозы.
Состав и распределение средств защиты СОБ N¡2 = {пцг\ между уязвимостями КВО представим матрицей 5 = {у^, пг|:
5 =
У11
У/г
п 1 1 1 0 1
(5)
В матрице 5 каждой уязвимости Уг представлена композиция N¡2 = {п&} с N Уу{ е V средств защиты от всех угроз и способов их реализации Ч,.
Вся информация, представленная множествами V, О, М, Р и 5, должна быть получена при инспек-
У
У
У
торской проверке КВО. Если множества У, Q, М, Р и 5 известны, то задача оценки уязвимости сводится к вычислению рисков нарушения безопасности КВО (Я) и его элементов (Яг) на декартовом произведении В множеств М, Р и 5:
В — М х Р х 5 = — [У, %, Рщ ПУг еМ, Уг еМ, Рщ е Р,пг е5}. (6)
2. Процедура оценки рисков нарушения безопасности КВО
Процедура оценки рисков нарушения безопасности КВО и его элементов состоит из ряда последовательных этапов.
На первом этапе для каждой уязвимости уг е У вычисляется эффективность композиции средств защиты = [п&} с N против каждого способа реализации каждой угрозы qizjk е М.
Расчеты проводятся по формуле вероятности сложного события:
Р^ = 1 -П(1 -Рт),Чп, еN¡¡
(7)
Формула (7) и ее инварианты являются операторами последовательного преобразования исходного массива информации В на всех этапах процедуры расчета рисков нарушения безопасности КВО и его структурных составляющих.
Риск нарушения безопасности уязвимости у{г е У от реализации каждого способа каждой угрозы qiтk е М определится выражением — 1_
т>т _ 1 рЕ
(8)
Результаты расчетов представим матрицей-столбцом А — [К'*}:
А —
к;1
и
(9)
Далее для каждой уязвимости уг е У определяется риск нарушения безопасности от всех угроз и способов их реализации, представленных в профиле защиты:
К —; _ П(1 _ КN ),ЧК^е М.
(10)
С помощью выражения (8) матрица А преобразуется в матрицу В = [К. }:
В —
К;;
К
К
(11)
На третьем этапе определяются риски нарушения безопасности элементов КВО от всех угроз и способов их реализации:
12 , ч
—1 _ П(1 _ Яг). (12)
Результаты расчетов формируют матрицу рисков нарушения безопасности элементов КВО С = [Кг}:
Я
С —
К
К
(13)
На четвертом, заключительном, этапе определяется риск К хотя бы одного нарушения безопасности КВО при существующих профиле защиты М и композиции средств защиты 5:
Я —1 _ П(1 _К), ЧЯг е С.
г—1
(14)
Матрицы А, В, С и численное значение Я составляют объективную информацию о защищенности КВО и всех его структурных составляющих при существующей композиции средств защиты 5 и заданном профиле защиты М.
При проведении инспекции СОБ КВО эксперты часто обнаруживают неизвестные ранее уязвимости, новые угрозы или новые способы реализации известных угроз, которые не представлены в действующем профиле защиты. Эта информация служит для дополнения и корректировки профиля защиты М и матрицы эффективности средств защиты Р. Метод оценки уязвимости КВО позволяет оценить влияние неполного соответствия существующей композиции средств защиты 5 дополненному профилю защиты М и сформулировать требования по корректировке существующей композиции средств защиты.
N
N
3. Оценка рисков нарушения безопасности критических инфраструктур
Представленный выше метод оценки уязвимости КВО может быть распространен и на оценку безопасности критических инфраструктур. Рассмотрим применение этого метода на примере расчета рисков нарушения безопасности некоторой гипотетической КИ, например отраслевого министерства. СОБ такой КИ будет иметь три уровня управления — объектовый, региональный и отраслевой. На каждом уровне этой иерархической структуры риск нарушения безопасности хотя бы одного КВО является единым интегральным показателем эффективности звеньев СОБ этого уровня. Для простоты и наглядности расчетов примем, что каждый региональный уровень имеет в своем составе 5 КВО и отрасль имеет КВО в 2 регионах.
Пусть для всех КВО нашего гипотетического КИ проведена оценка уязвимости. Результаты этих расчетов представлены матрицами рисков нарушения безопасности КВО регионов Срег и срег. Для простоты расчетов примем, что в каждом регионе выполнен принцип равной защищенности КВО, т. е. риски нарушения безопасности КВО в каждом регионе одинаковы и составляют для первого региона ^ = 0.1^ е СреГ, а для второго Я \ = 0.05Vg е Ср2ет, где g = 1 - О — номер КВО; О — число КВО в регионе.
С1 =
рег
я; = 0.1 Я?= 0.05
я1 = 0.1 я22= 0.05
я; = 0.1 с2 = рег Я2= 0.05
я; = 0.1 Я2= 0.05
я5 = 0.1 я2= 0.05
(15)
Риск нарушения региональной безопасности КИ, т. е. вероятность возникновения ЧС хотя бы на одном КВО региона Я\ рассчитывается с помощью регионального инварианта формулы (3.31):
Я = 1 -П(1- Ке ср
(16)
В нашем примере V = 2 и О = 5, и с учетом равенства рисков нарушения безопасности КВО региона (3.32) выражение (3.33) запишется:
для первого региона Я1 = 1 - (1 - 0.1)5 = 0.4095; для второго региона Я2 = 1 - (1 - 0.05)5 = 0.2262.
Риск нарушения безопасности КИ, т. е. вероятность возникновения ЧС хотя бы на одном КВО КИ, определяется выражением
яки = 1 -П(1 - Я е {V}. (17)
1
И в нашем примере
ЯКИ = 1 - (1 - 0,4095) х (1 - 0,2262) = 0,5406.
В результате проведенных расчетов уязвимости КВО КИ, рисков нарушения безопасности регионов КИ и КИ в целом формируется массив объективной информации о состоянии защищенности всех элементов иерархической структуры отрасли при существующей СОБ. Анализ этой информации позволяет выявлять недостатки СОБ и определять пути ее совершенствования.
Наши расчеты на примере гипотетической КИ показывают, что риски нарушения безопасности регионов КИ и КИ в целом слишком велики при заданных значениях рисков нарушения безопасности КВО. Здесь мы обращаемся к проблеме определения допустимого риска для всех уровней управления безопасностью КИ.
4. Расчет допустимого риска нарушения безопасности КВО
На практике чаще всего значения допустимого риска нарушения безопасности КИ в целом задаются экспертами с учетом последствий возможных ЧС на КВО КИ, возможностей средств и методов обеспечения безопасности КВО и ограничений, связанных с его производственной деятельностью [1].
Если значение допустимого риска нарушения безопасности КИ ЯКИ задано, то в соответствии с (17) значение допустимого риска нарушения региональной безопасности Яр™ определится выражением
ДрТ = 1 -
доп ) КИ )
(18)
Величина допустимого риска КВО согласно (17) запишется
яквпо = 1 - О (1 - я реп).
(19)
Пусть для нашего гипотетического КИ задан допустимый риск нарушения ее безопасности ККоИп = 0.1, тогда согласно формулам (18) и (19) допустимые риски нарушения региональной безопасности КИ и безопасности КВО КИ примут значения К®11 = 0.0513 и ККВО = 0.0105.
Если задано ЯКИ = 0.1, то в рамках нашего примера Креогп = 0.005 и КВО = 0.001.
Значение ККВО = 0.001, полученное в нашем гипотетическом примере, близко к допустимым значениям риска нарушения безопасности КВО, закрепленных в ГОСТ для различных критических инфраструктур. Например, в СНиП 33-01-2003 «Гидротехнические сооружения» допустимые риски нарушения безопасности гидротехнических объектов варьируются в пределах от 3 • 10-3 до 5 • 10-5 в год в зависимости от класса сооружения.
Заключение
В заключение отметим, что предложенный математический аппарат позволяет организовать итеративную процедуру выбора минимального значения допустимого риска нарушения безопасности КИ в соответствии с возможностями средств и методов обеспечения безопасности КВО. Представленный инструментарий может быть использован и при решении задач синтеза состава (композиции) средств защиты СОБ КВО [2].
Литература
1. Цыгичко В. Н., Черешкин Д. С. Безопасность критически важных объектов транспортного комплекса. Lambert Academic Publishing, 2014. 217 с.
2. Цыгичко В. Н. Управление рисками нарушения безопасности КВО при неполной информации // Проблемы анализа риска. 2015. Т. 12. № 4. С. 18—28.
Сведения об авторе
Цыгичко Виталий Николаевич: доктор технических наук, профессор, главный научный сотрудник Федерального исследовательского центра «Информатика и управление» РАН, Институт системного анализа Число публикаций: 8 монографий и более 200 статей Область научных интересов: методологические и методические проблемы математического моделирования социально-экономических процессов, теория принятия решений, прикладной системный анализ, теория и методы социально-экономического прогнозирования, проблемы обеспечения национальной безопасности и стратегической стабильности, проблемы информационной безопасности
Контактная информация:
Адрес: 117312, г. Москва, просп. 60-летия Октября, д. 9 Тел.: +7(499) 135-50-43 E-mail: vtsygichko@inbox.ru
