Применение лингвистических переменных при оценке рисков информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

М. И. Тенетко, О. Ю. Пескова

Россия, г. Таганрог, Технологический институт ЮФУ

ПРИМЕНЕНИЕ ЛИНГВИСТИЧЕСКИХ ПЕРЕМЕННЫХ

ПРИ ОЦЕНКЕ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В настоящее время одним из наиболее перспективных методов проведения аудита информационной безопасности предприятия стал метод оценивания угроз и уязвимостей безопасности, направленных на информационные активы предприятия. Для проведения аудита по этому методу необходимо выполнить следующие этапы оценки [1]:

- инвентаризация информационных ресурсов и оценка степени их значимости для успешного выполнения бизнес-процессов предприятия;

- описание архитектуры информационной системы предприятия;

- описание информационных потоков, возникающих в процессах обработки информации.

На основании данных, полученных при выполнении этих этапов, формируется следующая информация:

- перечень угроз, способных нарушить безопасность данных информационных активов;

- перечень уязвимостей в системе обеспечения информационной безопасности; способных вызвать реализацию перечисленных угроз;

- взаимосвязь между отдельной угрозой и уязвимостью (риск);

- ранжированный перечень рисков, сопоставленных с активами.

Проведённое в работе [2] исследование методов анализа и оценки угроз и

уязвимостей показало, что эти методы имеют значительные ограничения. Во-первых, они требуют предоставления исчерпывающей исходной информации об объекте оценки, что практически невозможно. Во-вторых, оценки даются относительно дискретной шкалы и являются, как правило, численными. Такая схема представления данных не учитывает особенностей представления сложных знаний в человеческом мозге. В результате математическая модель объекта оценки, служащая основой для принятия решений, обедняется, упрощается и, возможно, даже искажается.

Действительно, лишь два этапа оценки позволяют рассматривать факты в приемлемые сроки и без искажений. Это описание архитектуры информационной системы, которое по определению предполагает однозначность, и описание информационных потоков, недвусмысленность которых, как правило, является важным требованием политики информационной безопасности.

Такие понятия, как степень значимости (ценности, важности) актива, угрозы и уязвимости, действительные для данной информационной системы, а также степень взаимосвязи между отдельной угрозой, уязвимостью и активом, являются в известной степени субъективными. Мы заинтересованы в таком описании перечисленных фактов, которое позволило бы оперировать субъективностью и принимать решения с эффективностью, наиболее близкой к эффективности человека-эксперта.

Для этих целей, в частности, подходит лингвистический подход, предложенный Л. Заде в работе [3]. Этот подход основывается на нахождении приближённого лингвистического описания явлений и процессов. В его основе лежит понятие лингвистической переменной. Подход не является целиком качественным; он опирается и на математические вычисления, но эти вычисления совершаются «за кулисами».

Описание лингвистической переменной

Приведём описание лингвистической переменной [3]. Лингвистическая переменная - это переменная, значениями которой являются слова или предложения естественного или искусственного языка. Например, «Возраст» - лингвистическая переменная, если она принимает лингвистические, а не числовые значения, то есть значения «очень молодой», «молодой», «старый», «не молодой и не старый» и т. п.

Формально лингвистическая переменная описывается набором (X, Т (X), и, G, М), в котором X - название этой переменной, Т (X) - терм-множество X, то есть совокупность её лингвистических значений, и - универсальное множество, G — синтаксическое правило, порождающее термы множества Т (X), М - семантическое правило, которое каждому лингвистическому значению X ставит в соответствие его смысл М (X), причём М (X) является нечётким подмножеством множества и. Напомним, что нечёткое множество представляет собой множество, в котором степень принадлежности элемента не ограничивается значениями {0, 1}, а может принимать любые значения из диапазона [0, 1].

Конкретное название X, порождённое синтаксическим правилом G, называется термом. Терм, состоящий из одного слова или нескольких слов, всегда фигурирующих вместе, называется атомарным термом. Терм, состоящий из одного или более атомарных термов, называется составным термом.

Смысл лингвистического значения X характеризуется функцией принадлежности □ □ и □ □ 1 □ , которая каждому элементу и □ П ставит в соответствие значение принадлежности этого элемента к X.

Назначение семантического правила - связать принадлежности так называемых первичных термов в составном лингвистическом значении с принадлежностью составного значения. Неопределённости, такие как «очень», «вполне», «чрезвычайно» и т. п., а также союзы «и» и «или» понимаются при этом как нелинейные операторы, или модификаторы, преобразующие смысл соответствующих термов.

Совокупность значений лингвистической переменной составляет терм-множество этой переменной. Это множество может иметь, вообще говоря, бесконечное число элементов.

Однако для практических задач достаточно фиксированного конечного терм-множества; такое ограничение с точки зрения практического использования не слишком обедняет возможностей аппарата.

Считается, что количество элементов терм-множества должно быть не более семи (не считая модификаторов и их производных); это связано с особенностями восприятия человеком исследуемых объектов.

Для того чтобы лучше понять, что такое лингвистическая переменная, можно обратиться к рис.1, на котором изображена иерархическая структура связи между лингвистической переменной «Возраст», нечёткими ограничениями, представляющими смысл её значений, и значениями базовой переменной «возраст».

Оценивание значимости информационных активов

Рассмотрим, каким образом можно решить задачу оценивания значимости информационных активов предприятия при помощи лингвистических переменных. Допустим, мы имеем множество активов А = {а1, а2 ..., ап}. Множество вполне чёткое; предприятие должно иметь чёткое представление о своих тайнах. Перед нами стоит задача определить для каждого элемента-актива а1 □ А лингвистическую оценку его значимости.

пицавиопичват

20 25 30 35 40 45 50 55 60 65 70 / возраст

базовая / пер9менная -

И

Рис. 1. Иерархическая структура лингвистической переменной

Определим лингвистическую переменную «Значимость» (X, Т (X), и, G, М), где Т (X) = {«незначительная», «малая», «средняя», «высокая», «критическая»}. Затем нам необходимо определить универсальное множество и.

Основная сложность заключается в том, что мы в данном случае не можем назвать чёткое множество и, элементы которого могли бы количественно охарактеризовать значимость, ценность, критичность информационных активов для бизнес-процессов компании, то есть мы не знаем, как выразить степень ценности актива в форме функции тех или иных точно измеренных величин. Шкала стоимости активов, финансовых потерь в случае нарушения безопасности активов и т. п. не может быть использована, поскольку довольно часто нет возможности определить точную сумму стоимости либо потерь.

В этом случае можно определить класс ценных активов и приписывать каждому терму X степень принадлежности к этому классу. Разумеется, полученные таким образом значения функции принадлежности основаны лишь на впечатлениях эксперта, которые он не в состоянии точно формализовать.

Другими словами, эксперт определяет функцию принадлежности не на множестве математически точно определённых объектов, а на множестве обозначенных некими символами впечатлений.

Т акие определения имеют смысл для человека, но не для ЭВМ, однако, тем не менее, могут обрабатываться при помощи ЭВМ.

Результатом определения ценности активов является множество А = {(а1, X])}

— множество упорядоченных пар, первым компонентом которых являются элементы а1 □ А, а вторым компонентом — элементы X] □ ТX Каждая упорядоченная пара устанавливает соответствие между активом а1 и степенью его ценности X], выраженной лингвистически.

Представление рисков

Рассмотрим возможность представления рисков. Риск, как правило, представляет собой определённую взаимосвязь между угрозой и уязвимостью. Определим множество угроз --- Т = {/ь /2, ..., 4} и множество уязвимостей - V = {V!, У2, ...,

^Ш}.

Традиционно взаимосвязь между парой объектов х □ X, у □ У выражается в форме упорядоченной пары (х, у). Множество, элементами которого являются упорядоченные пары, называется отношением между множеством X и множеством У и обозначается X □ У. Как правило, отношение определяется прямым (декартовым) произведением множеств X и У: X □ У.

Учитывая это, определим множество всех возможных сочетаний угрозы и уязвимости (множество рисков К), являющееся декартовым произведением множеств Т и V и состоящее из упорядоченных пар (/к, ^): К = Т □ V□ □ (/ь VI), (/1, v2), . ., (/к, ^) □. Затем определим нечёткое множество оценённых рисков:

К = □ (/1, Vl)/□11, (/1, V2)/□1 □, ..., (/к, Пш)/Пкш □ 1 .

Как видно, множество К есть множество кортежей, первым компонентом которых являются элементы /1 □ □, вторым --- элементы V] □ V, а третьим — элемен-

ты □ у □ М. Множество К является универсальным множеством множества К , а множество М является множеством значений функции принадлежности из диапазона [0, 1].

Поясним смысл нечёткого множества К . Значение принадлежности упорядоченной пары из множества К к множеству К — это субъективное выражение уверенности эксперта в том, что для данной информационной системы угроза /1 реализуется через уязвимость V].

Речь в данном случае не идёт о вероятности реализации угрозы через уязвимость. Вероятность характеризует долю реализаций данной угрозы при функционировании информационной системы в заданный период времени. Принадлежность характеризует субъективную меру того, насколько упорядоченная пара (/1, V]) соответствует в представлении эксперта высказыванию «данная угроза реализуется через данную уязвимость».

Иными словами, независимо от значений вероятности возникновения угроз из множества Т мы оцениваем, насколько правомерно высказывание о том, что угроза /1 реализуется через уязвимость V]. Экспертное определение и назначение вероятности возникновения угрозы связано со сбором статистических данных; экспертное определение и назначение принадлежности связано со сложившимися представлениями эксперта о характере исследуемых угроз и уязвимостей, т. е. с его персональным опытом.

Разумеется, на накопление персонального опыта могут влиять в том числе и выявленные экспертом в своё время статистические закономерности. Однако человек-эксперт практически никогда не занимается непосредственным выявлением и сопоставлением статистических закономерностей, вычислением значений вероятности и т. п. Знания, соответствующие его опыту, формируются, вообще говоря, в виде образов, не имеющих чётких границ.

В определённой степени можно говорить о том, что эти образы — своего рода метаданные; образы на качественном уровне представляют абсолютно все количественные результаты экспериментов, служащие основой для формирования персонального опыта, в том числе и статистические наблюдения. В дальнейшем человек-эксперт при принятии решения обращается именно к образам, таким как «ве-

роятность возникновения этого события очень велика» (лингвистически заданное значение вероятности), «скорее всего, между этими двумя объектами существует взаимосвязь» (лингвистически заданное бинарное отношение), «из этих двух объектов первый существенно значимее второго» (лингвистически заданное отношение предпочтения) и т. п.

По этой причине описанная модель представления взаимосвязи между угрозой и уязвимостью может оказаться эффективнее модели, основанной на вероятностях событий. Модель позволяет более точно описывать процессы, нарушающие безопасность активов, без потери времени, связанного со сбором фактов.

Можно слегка видоизменить модель для того, чтобы избежать использования численных оценок принадлежности.

Зададим лингвистическую переменную «Взаимосвязь между угрозой и уязвимостью» с терм-множеством T (Г) = {«незначительное», «низкое», «среднее», «значительное», «высокое»} и универсальным множеством и, определённым как класс однозначно взаимосвязанных угроз и уязвимостей. Кортеж {(4, уш)/Пкт), лежащий в основе множества К (см. формулу №1), в таком случае заменяется на кортеж {(/к, ут)/Г} где YJ □□ (Г) — значение лингвистической переменной «Взаимосвязь между угрозой и уязвимостью».

Однако, с другой стороны, численные оценки принадлежности позволяют наглядно показать взаимосвязь между угрозами и уязвимостями. Любое множество, элементами которого являются отношения, в том числе и нечёткое, может быть представлено в виде двудольного графа [4]. Нечёткое отношение (?к, ут) легко сводится к матрице инциденций следующего вида (табл.1).

Таблица 1

Матрица инциденций нечёткого отношения (/к, ут)

VI V2

*1 □и □і □ □і □ іт

*2 0 □ і □□ □ □ □ □ т

□, □ □ □ □т

*к □ к1 □к2 □ к □кт

Двудольный граф нечёткого отношения приведён на рис. 2.

и І2 ^к

Рис. 2. Двудольный граф нечёткого отношения {(к,

Известно, что □ принимает значения из непрерывного диапазона [0, 1]. Это значит, что для наглядного графического изображения связи между угрозами и уязвимостями можно использовать следующие приёмы:

- раскраска рёбер графа цветом, интенсивность которого линейно связана со значением □ ij;

- обозначение рёбер графа линиями, толщина которых линейно связана со значением □ij;

- задание непрерывного диапазона цветов (например, диапазон цветов радуги: от красного до фиолетового) и линейное сопоставление с ним значений

□ ч.

Эти приёмы не играют особой роли в процессе принятия решения, однако могут облегчить понимание неспециалистами процесса аудита.

Сопоставление риска и актива

Как правило, риски не рассматриваются сами по себе; они имеют значение, поскольку направлены на защищаемые активы. Чтобы сопоставить риск и актив, расширим кортеж {(/k, Vm)/^km}, описанный в формуле №1, до вида {((/k, vm)/^km), (an, X,)}. Как видно, полученный кортеж представляет собой бинарное отношение двух других кортежей.

Первый из них в свою очередь является нечётким бинарным отношением между угрозой и уязвимостью. Второй является обычным бинарным отношением между активом и степенью его ценности.

Т акое представление учитывает одновременно ценность актива и степень связанности угрозы с уязвимостью, что даёт возможность впоследствии оценить величину риска нарушения безопасности данного актива.

Заключение

Предложенная модель оценивания информационных активов и описания рисков позволяет максимально эффективно использовать персональный опыт эксперта при проведении аудита информационной безопасности.

Она опирается на концепцию лингвистических метаданных, нечётких образов, описывающих в разуме человека персональный опыт. Вместе с тем модель позволяет обрабатывать данные с помощью ЭВМ.

Основное достоинство такого подхода — сведение к минимуму затрат на исследование информационной системы с целью выявления статистических закономерностей и обнаружения рисков, а также адекватная оценка информационных активов предприятия.

В заключение следует сказать, что вопросы формирования терм-множества лингвистической переменной, сопоставления термов с функциями принадлежности и применения лингвистических модификаторов заслуживают отдельного исследования.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Петренко С. А., Петренко А. А. Аудит безопасности Intranet. - М.: ДМК Пресс, 2002. - 416 с.

2. Тенетко, М. И., Пескова, О. Ю. Обзор методов анализа и оценки информационных рисков. — http://www.securitv.ase.md/publ/ru/pubru101/21 .pdf .

3. Заде Л. Понятие лингвистической переменной и его применение к принятию приближённых решений. - М.: Мир, 1976. - 163 с.

4. Кофман А. Введение в теорию нечётких множеств. - М. Радио и связь, 1982. - 432 с.