CC BY
52
Ю.А Галкин, _ с _ б
начальник отдела ФГУ НИЦ «Охрана» ' ' ару ин
МВДРоссии доктор технических наук
ПРОБЛЕМА ОПТИМИЗАЦИИ ПРОЦЕССОВ ЗАЩИТЫ ИНФОРМАЦИИ В АППАРАТУРЕ СПУТНИКОВОЙ НАВИГАЦИИ
THE PROBLEM OF OPTIMIZATION OF INFORMATION PROTECTION PROCESSES IN NAVIGATION EQUIPMENT
Рассматриваются проблемы оптимизации процессов защиты информации в аппаратуре спутниковой навигации и пути их решения путем синтеза показателей для оценки защищенности информационных ресурсов этих систем.
The article considers problems of optimization of information protection processes in satellite navigation equipment and ways of their solving by synthesis of indicators for estimation of information resources security of these systems.
При оптимизации требований к качеству защиты компьютерной информации можно выделить ряд взаимосвязанных аспектов. Во-первых, в общем случае отсутствуют формальные или рациональные методы объективного обоснования необходимого и достаточного набора оценочных показателей и требований к их значениям. Очевидно, это обусловлено как многообразием характеристик защищенности информации, связанным со сложностью, размерами и организационно-технической природой аппаратуры спутниковой навигации (АСН), так и с широким диапазоном и динамикой пользовательских требований.
Оценка качества защиты информации в АСН представляет собой процедуру соотнесения результатов измерения с информационными потребностями пользователя и его представлением о качестве. Это означает необходимость наличия требований к области допустимых значений каждого из множества оценочных показателей качества.
Таким образом, для разрешения проблемы оценки качества защиты информации в АСН необходимы разработка и обоснование: множества показателей качества; требований к областям допустимых значений этих показателей с точки зрения предметной области; разработка методик измерения и оценки качества. Структуризация важнейших общих аспектов проблемы оптимизации процессов защиты информации в АСН позволяет вплотную подойти к разработке подходов ее решения. В этих целях будем использовать такой известный метод, как классификация показателей качества.
В качестве критерия классификации будем использовать способ измерения. Это позволяет выделить множества объективных и субъективных показателей.
Объективные показатели. В общем случае, объективный способ измерения представляет собой инструментальное или расчетное измерение свойства предмета или услуги. Общим признаком множества объективных показателей является возможность непосредственного и оперативного присваивания чисел результатам измерений в соответствии со шкалой отношений. Подобные показатели определяют объективное качество обеспечения защиты информации в корпоративных компьютерных системах и являются инвариантами для условий реализации информационных процессов в этих системах, их
архитектуры и технологии защиты информации. На множестве объективных показателей можно выделить подмножества технических и экономических показателей, и в дальнейшем будем считать, что они определяют две стороны объективного качества защиты информации в АСН.
Технические (физические) показатели позволяют измерять и оценивать по шкале отношений качество защиты информации в АСН с технологической точки зрения. Это означает, что защиту информации следует рассматривать как предмет соответствующей технологии, во-первых, обладающий набором измеримых свойств, и, во-вторых, над которым осуществляются некоторые процедуры, также описываемые измеримыми характеристиками.
Характерными свойствами технических показателей являются измеримость, известные области допустимых значений, большая практика оценивания в различных предметных областях. Свойства информации и характеристики процессов защиты информации описываются и измеряются обычно физическими или электрическими скалярными показателями с высоким уровнем понятийной абстракции для неподготовленного пользователя. Обычно показатели с близкими характеристиками называются физическими. Рассмотрим основные технические показатели качества защиты информации в АСН, взяв за основу их определения в [1, 2].
1. Объем защищаемой информации (^1(т)), характеризующий потребности в обеспечении установленного статуса ее хранения, обработки и использования. Существует трудность практического использования этого показателя при количественной оценке объемов защищаемой информации с использованием различных технологий защиты информации. Многолетняя практика обработки показывает, что в зависимости от целей измерения и способа представления информации ее объем безотносительно смыслового содержания удобно выражать в различных единицах. Так, для измерения объема информации на машинных носителях наибольшее распространение получил байт. Объем информации, представленной на традиционных носителях, чаще всего измеряется объемом носителя, занятого измеряемой информацией, например количеством страниц стандартного формата; используются и другие величины. Вместе с тем существует ряд процедур преобразования объема информации, которые наиболее сис-тематизированно представлены в так называемой программной метрике Холстеда [3].
2. Время выполнения процедуры защиты (^2(т)), характеризующее временной интервал с момента начала действий, предпринятых для выполнения процедуры защиты информации, до момента их завершения.
Наиболее общим экономическим показателем является стоимость пользования и эксплуатации механизмов защиты информации (^э)).
Субъективные показатели. Измерение и оценка субъективного качества защиты информации в АСН производится с помощью так называемых субъективных показателей непосредственно пользователем и без применения каких-либо приспособлений, инструментов или вычислительных методов. Описанный способ измерения есть субъективный способ измерения качества.
Природа субъективных показателей различна и по этому критерию позволяет разделить их на две группы. Первую группу субъективных показателей образуют показатели, производные от объективных, вторую группу — показатели, обусловленные организационной природой компьютерных систем.
Взаимосвязь субъективных и объективных показателей качества появляется в силу ряда обстоятельств. Так, современное состояние науки и техники позволяет с помощью объективных показателей описать и измерить с той или иной степенью точности различные свойства информации и как информационной сущности (семантика), и как предмета технологии защиты (ресурс). Однако при этом могут существовать трудности их применения:
1. Невозможно использовать объективные методы измерения.
2. У неподготовленного пользователя технологией защиты информации существует интуитивная и естественная трудность конкретного восприятия достаточно абстрактных объективных показателей защищенности.
3. Свойство услуги, воспринимаемое пользователем, интегрирует в себе ряд свойств, описываемых объективными (скалярными) показателями.
Психофизиологическое преодоление названных трудностей определяет существование субъективного качества обеспечения защиты информации в АСН, семантика которого состоит в реакции пользователя на объективное качество. Определим показатели для оценки такого качества, как субъективные показатели первого рода. Следствием перехода от объективных к субъективным свойствам и, соответственно, показателям является лингвистическая мера оценки качества защиты компьютерной информации.
Введение множества субъективных показателей качества защиты информации в АСН, обусловленных организационной природой этих систем, связано с наличием у них ряда свойств, присущих только такого рода системам. Естественно предположить, что эти свойства не описываются, не оцениваются и не имеют взаимосвязи с объективными (техническими) показателями. Наиболее известным такого рода показателем является показатель ущерба, наносимого компании вследствие нарушения информационной безопасности ее компьютерной системы. Определим такие показатели как субъективные показатели второго рода.
Несмотря на различную природу, субъективные показатели и мера качества обеих групп имеют общие признаки:
- нетривиальную определимость (трудности формулирования и формального описания) и количественную оценку;
- нечеткость измерения в лингвистической форме (измеримость по шкалам порядка, интервалов);
- неоднозначную, неформализуемую и, как правило, векторную связь с объективными показателями;
- отсутствие инвариантности (зависимость значения показателя от конкретных условий деятельности);
- возможную альтернативность показателей;
- широкий доверительный интервал вычислительной оценки и др.
Обычно показатели, имеющие подобные свойства, называются функциональными.
Приведенные рассуждения и классификация показателей качества защиты информации в АСН создают основу для выработки критериев для более детальной группировки показателей. Для этого будем полагать, что в системе оценки качества защиты компьютерной информации существует множество необходимых и достаточных технических показателей, общее назначение которых — характеризовать с точки зрения разработчика механизмов защиты информации технологию защиты как предмет труда. Рассмотрим данное
множество с точки зрения возможности использования для оценки свойств и характеристик, которыми оперирует пользователь.
Часть этих показателей описывает свойства защищенности информационных ресурсов АСН, которые адекватно воспринимаются пользователем. Следовательно, эти показатели можно использовать для субъективной пользовательской оценки без каких- либо преобразований и интерпретаций. Будем называть такие показатели — «технические показатели двойного применения».
Другие технические показатели описывают субъективно невоспринимаемые свойства механизмов защиты информации (например, типизация вредоносной программы по штамму, разнотипные криптографические преобразования информации), но, очевидно, входящие составной частью в более сложные и субъективно воспринимаемые свойства. Это означает, что существует взаимосвязь технических и субъективных показателей. Эта взаимосвязь может быть как скалярной, так и векторной. В данном случае это — технические показатели, непосредственно не используемые для субъективных оценок.
И, наконец, для третьей группы технических показателей нельзя установить каких-либо очевидных или достаточно простых взаимосвязей с субъективными показателями. Тем не менее, такие показатели при наличии неявных или сложных связей входят во множество технических показателей. Будем называть такие показатели специальными техническими показателями. Подмножество специальных технических показателей используется техническими специалистами при проектировании и сопровождении механизмов защиты информации.
При отсутствии достаточных оснований полагать, что связи между специальными техническими и субъективными показателями существуют, специальный показатель исключается из множества. Критерием достаточности может быть опыт исследователя.
В результате проведенной структуризации множества технических показателей множество субъективных показателей можно дополнить подмножеством технических показателей двойного применения. Этим самым формируется полное множество пользовательских показателей, т.е. показателей, которыми имеет возможность оперировать пользователь для оценки качества защиты информации в АСН.
На множестве пользовательских показателей может быть выделено подмножество, характеризующее технологию защиты информации в части удобства работы пользователя и размеров психофизиологических, временных или материальных затрат. Область оценки по каждому показателю детерминирована субъектом деятельности в соответствии со степенью удовлетворения его технологией защиты информации. Рассмотрим основные субъективные показатели качества защиты информации в АСН.
1. Степень проявления (воздействия) угрозы информационной безопасности — Существует целый ряд моделей угроз информационной безопасности компьютерных систем, позволяющих определить данный показатель. Наиболее известными из этих моделей являются модели надежности информационной системы, с помощью которых определяются вероятностные характеристики воздействия угроз нарушения целостности и доступности информации и модели нарушителя, — позволяющие определить вероятностные характеристики угроз нарушения конфиденциальности (утечки) информации.
2. Конфиденциальность информации (^2(с)) — сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней.
3. Целостность информации (^3(с)) — устойчивость информации к несанкциони-
рованному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение, искажение или подделка информации.
4. Доступность информации (^4(с)) — состояние информации, характеризуемое способностью технических средств и информационных технологий обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия [2].
5. Своевременность реализации функций защиты информации (й5(с)), характеризующая время, в течение которого эти функции удовлетворяют предыдущие требования.
Рассмотренная группа субъективных показателей качества защиты информации в АСН характеризует ее способность удовлетворять прагматические информационные потребности компании. Но оценка качества защиты информации в этих системах всегда коррелируется с ее полезностью для предметной деятельности корпорации. Причем область оценки детерминирована этой деятельностью.
Наиболее известным такого рода показателем является обобщенный показатель ущерба, наносимого компании вследствие нарушения информационной безопасности ее компьютерной системы. Оценка ущерба предметной деятельности вследствие нарушения ее информационной безопасности производится по формуле:
К(у) = ДК-), Ки), Кзи), (1)
где Ку) — обобщенный коэффициент ущерба, наносимого компании вследствие нарушения информационной безопасности ее компьютерной системы;
К(вз) — коэффициент важности задач, решаемых компанией, для решения которых используется информация ее компьютерной системы;
К(из) — коэффициент важности информации в рамках задачи;
К(зи) — коэффициент, учитывающий защищенность информации в рамках задачи.
Отметим, что в настоящее время не известен вид функциональной зависимости (1). Это связано с большой размерностью задач и значительными трудностями в применении экспертных оценок.
Позадачная оценка важности и защищенности информации по критериям К(из) и К(зи), соответственно, является ситуативной и, исходя из сути предметной деятельности, априори невозможна, поскольку в зависимости от конкретной задачи важность и защищенность одной и той же информации может меняться в широких пределах.
Проведенная классификация показателей качества защиты информации в АСН приведена на рисунке .
ПОКАЗАТЕЛИ КАЧЕСТВА ЗАЩИТЫ ИНФОРМАЦИИ
Объективные
Субъективные
Проведенный анализ показателей качества защиты информации в АСН позволяет сделать следующие выводы:
- качество защиты компьютерной информации характеризуется множеством показателей, максимально полно отражающих групповые и индивидуальные потребности пользователей в поддержании заданного уровня характеристик находящейся в компьютерной системе информации, определяющих установленный статус ее хранения, обработки и использования;
- множество пользовательских показателей отражает технологии защиты ин-фор мации.
Формально качество защиты информации в АСН можно оценить векторным показателем О, характеризующим различные аспекты защищенности информации, используемой в АСН, а также используемые технологии ее защиты
О = (ё/т), &т\ ёэ\ ^1(с), ё>(с), ..., й5(с)),
где ё^т), ^э), ё/с) — соответственно скаляры объективных и субъективных показателей качества защиты информации в АСН.
Вместе с тем приходится констатировать тот факт, что, несмотря на особую актуальность, пока не выработано формальных подходов к интегральной (векторной) оценке качества защиты информации в АСН.
Тем не менее, при синтезе системы показателей для оценки защищенности информационных ресурсов АСН невозможно обойти данную проблему, которая в общем случае является самостоятельной и нетривиальной в научном плане, укажем лишь на ее особенности. В общем случае в полном множестве свойств и характеристик услуги обычна следующая ситуация. Ряд свойств представляется векторами, компоненты которых известны и измеримы по шкалам отношений. Для других свойств компоненты
вектора могут быть известны, но измеряются по различным шкалам. И, наконец, некоторые свойства могут иметь неточно известные компоненты вектора.
Для исключения некорректных оценок при измерении свойств услуги перечисленные комбинации размерности и уровня требуют повышенного внимания. Известная аксиома сравнимости не может быть удовлетворена для вектора, если только не наделить его компоненты относительными весами, обеспечивающими транзитивное ранжирование свойств. Это связано с тем, что каждое свойство требует оценок по собственному показателю и, хотя каждое свойство само по себе транзитивно, их объединение может оказаться нетранзитивно.
Изложенные обстоятельства обуславливают широкое обсуждение в специальной литературе проблемы решения многокритериальных задач. Многочисленные методики решения такого рода задач сводятся, по сути, к трем основным [4]:
«1) ранжировка (упорядочение) критериев и сведение многокритериальной задачи к одному критерию;
2) построение моделей многокритериальных ситуаций и априорная ранжировка моделей (возможно для простых ситуаций);
3) структуризация задачи и аппеляция в конечном счете к метасистеме (эвристики)».
В условиях синтеза системы показателей для оценки защищенности информационных ресурсов корпоративных компьютерных систем целесообразно использовать первый путь. При этом попытка скаляризации показателя качества должна проводиться с учетом значений всех рассмотренных выше показателей. Однако в настоящее время методика такого определения отсутствует, и разработка ее требует самостоятельных и весьма нетривиальных исследований. Поэтому для разрешения проблемы возможен следующий подход.
1. Все показатели защищенности информации делятся по критерию важности (рангам) для выполнения целевой предметной функции на три категории: определяющие, существенные и второстепенные.
2. Требуемый уровень защиты информации определяется по значениям определяющих показателей защищенности информации.
3. Выбранный уровень в некоторых случаях может быть скорректирован с учетом существенных показателей. Второстепенные показатели при этом не учитываются.
Возможный вариант классификации показателей защищенности информации приведен в таблице.
Обозначение Наименование показателя Значимость показателя
ё1(с) Степень проявления (воздействия) угрозы информационной безопасности Определяющая
ё2(с) Конфиденциальность информации Существенная
ёз(с) Целостность информации Существенная
ё4(с) Доступность информации Существенная
ё1(т) Объем защищаемой информации Определяющая
ё2(т) Время выполнения процедуры защиты Существенная
ё5(с) Своевременность реализации функций защиты информации Существенная
Эксплутационная стоимость Несущественная
Сформированное множество пользовательских показателей позволяет сформулировать интегральный показатель защищенности информации
О = < ё1(с), ё2(с), ёз(с), ё4(с), ё1(т), ё2(т), ё5(с), ^3)>, (2)
Первые четыре показателя кортежа характеризуют собственно качество обеспечения защиты информации, а последующие четыре показателя — технологию защиты информации.
Формальное представление уровня качества защиты компьютерной информации можно осуществить к-мерным вектором лингвистических переменных X = (х 1, ..., хи ..., хк), / = 1, 2, ., к, где X — качество защиты компьютерной информации, а х^ — /-я лингвистическая переменная, соответствующая показателю качества. При этом очевидна сложность разработки обоснованной методики пересчета значений лингвистических переменных на интервале 0 < XI < 1. Поэтому будем полагать, что качество защиты компьютерной информации равно 1 (абсолютное качество), когда соответствующие лингвистические переменные принимают значения 1, т.е. при обеспечении конфиденциальности, целостности и доступности всего объема защищаемой информации.
Большую актуальность и проблему представляет проблема поиска показателя, сочетающего в себе свойства как объективного, так и субъективного качества. Исходя из изложенного, фундаментальным и наиболее общим и употребительным показателем является объем защищаемой при заданной степени проявления (воздействия) угрозы безопасности информации, характеризующейся своевременностью обеспечения ее конфиденциальности, целостности и доступности в соответствии с заданной эксплуатационной стоимостью технологии защиты информации. В конечном итоге именно показатели объема защищаемой информации и степени проявления (воздействия) угрозы информационной безопасности определяют удовлетворение (неудовлетворение) потребностей в защите информации.
Не требует специальных доказательств тезис о функциональной зависимости всех компонентов вектора (2) от объема защищаемой информации и степени проявления (воздействия) угрозы информационной безопасности. Теоретически можно полагать, что при ё1(т) ® ¥, ё2(т) ® ¥, ® ¥, ё1(с) ® 1, ё2(с) ® 1, ёз(с) ® 1, ё4(с) ® 1, ё5(с) ® 1.
Это означает, что О = /(ё1(т))® 1, при ё1(т) ® ¥. Но практически могут быть случаи, когда любой из показателей качества защиты компьютерной информации не может превышать некоторую константу, меньшую 1.
Такие допущения позволяют производить оценку качества защиты информации в АСН посредством измерения необходимого объема защищаемой при заданной степени проявления (воздействия) угрозы безопасности информации, характеризующейся своевременностью обеспечения ее конфиденциальности, целостности и доступности в соответствии с заданной эксплуатационной стоимостью технологии защиты информации.
ЛИТЕРАТУРА
1. Оценка защищенности информационных процессов в территориальных ОВД: модели исследования: монография / В.С. Зарубин [и др.]. — Воронеж: Воронежский институт МВД России, 2009. — 216 с.
2. Зарубин В.С., Петрушков С.В., Фамильнов А.Р. Задачи моделирования и оптимизации информационных процессов в интегрированных системах безопасности // Информация и безопасность. — Воронеж: ВГТУ, 2009. — Вып. 2. — С. 315—316.
3. Холстед М.Х. Начала науки о программах: пер. с англ. — М.: Финансы и статистика, 1981. — 128 с.
4. Дружинин Г. В., Конторов Д.С. Системотехника. — М.: Радио и связь, 1985.
— 200 с.
