CC BY
10
СТАТЬИ ПО МАТЕРИАЛАМ ДОКЛАДОВ
DOI: 10.37614/2307-5252.2020.8.11.009
УДК 005
В.П. Авдотьин1, А.А. Кононов1, А.К. Поликарпов12, К.В. Черныш2
1 Москва, РУДН
2 Москва, ФИЦ ИУ ИСА
РАНКРИТЕРИАЛЬНЫЕ МОДЕЛИ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ
МЕЖСИСТЕМНЫХ ВЗАИМОДЕЙСТВИЙ КРИТИЧЕСКИХ ИНФРАСТРУКТУР НА
УРБАНИЗИРОВАННЫХ ТЕРРИТОРИЯХ *
Аннотация
В работе рассматриваются особенности использования критериальных моделей в управлении безопасностью межсистемных взаимодействий критических инфраструктур. Критериальное моделирование и основывающаяся на нем оценка критериальных рисков обеспечивают предупреждение когнитивных искажений и заблуждений в оценке состояния безопасности и наличии возможных уязвимостей критических инфраструктур на урбанизированных территориях. В рамках представленного подхода предполагается комбинированное использование аппарата теории множеств и разработанного специального аппарата критериального моделирования. Приведены примеры решения практических задач контроля безопасности с использованием постоянно развиваемых и совершенствуемых, по ходу проводимых исследований, программных комплексов автоматизации применения критериального моделирования для управления безопасностью на урбанизированных территориях.
Ключевые слова:
критические инфраструктуры, критическая информационная инфраструктура, критериальное моделирование, критериальные риски, управление безопасностью, когнитивные заблуждения, уязвимости
V.P. Avdotin, A.A. Kononov, A.K. Polikarpov, K.V. Chernysh
1 Moscow, RUDN University
2 Moscow, Institute for Systems Analysis, RAS
CRITERIA MODELS FOR SECURITY MANAGEMENT OF INTERSYSTEM
INTERACTIONS OF CRITICAL INFRASTRUCTURES IN URBANIZED
TERRITORIES
Abstract
The paper considers the features of using criteria models in security management of intersystem interactions of critical infrastructures. Criteria-based modeling and evaluation of criteria-based risks prevent cognitive distortions, biases and errors in the assessment of the state of security and the presence of possible vulnerabilities in critical infrastructures of urbanized areas. Within the framework of the presented approach, the combined use of apparatus of the set theory and the developed special apparatus of criteria-based modeling is proposed. Examples of solving practical problems of security control with the use of constantly developing and improving, in
* Работа поддержана Российским фондом фундаментальных исследований (проект 20-010-00812 А).
the course of research, software systems for automating the application of criteria modeling for security management in urban areas are given.
Keywords:
critical infrastructure, critical information infrastructure, criteria-based modeling, criteria-based risks, security management, cognitive biases, vulnerabilities.
Настоящий этап развития общества, экономики, производственных сил и производственных отношений можно характеризовать как время интенсивной цифровизации. С этим связана та особая значимость таких двух важнейших направлений, обеспечения безопасности, как безопасность критических информационных инфраструктур и безопасность персональных данных. Это находит свое выражение, в частности, в развитии законодательной и нормативно -правовой базы.
Что касается безопасности критических инфраструктур, то принятый в июле 2017 г. Федеральный закон № 187 «О безопасности критической информационной инфраструктуры Российской Федерации», который вступил в силу с 1 января 2018 года, определил, что под критической информационной инфраструктурой (далее - КИИ) понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия. Субъектами КИИ являются предприятия и организации, работающие в стратегически важных для государства областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность, а также организации, обеспечивающие взаимодействие систем или сетей КИИ. Таким образом, фактически определены основные области межсистемных взаимодействий критической информационной инфраструктуры и критически важных инфраструктур деятельности общества и государства.
В то же время, когда речь заходит о расположении такого рода критических инфраструктур, о которых говорится в 187-ФЗ, то фактически всегда речь идет об урбанизированных территориях, и безопасность функционирования на этих территориях зависит и от уровня обеспечения безопасности персональных данных, поскольку нарушение их безопасности может приводить к неограниченным возможностям нарушителей по разрушению критических инфраструктур путем использования незаконно полученных персональных данных. В частности и поэтому столь высокую значимость приобретает исполнение законодательства по персональным данным, зафиксированное в Федеральный законе РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» и в подзаконной нормативно-правовой базе этого закону.
Общее количество требований, которые необходимо выполнить, чтобы соответствовать нормам законодательства, определенным в 187-ФЗ, 152-ФЗ и в их подзаконных актах, чтобы тем самым обеспечить безопасность критических инфраструктур, с учетом того, что эти требования должны быть разнесены и привязаны к тысячам структурных составляющих критических инфраструктур, может достигать значений в десятки и сотни тысяч.
Решение этой задачи облегчается, если использовать аппарат критериального моделирования и автоматизирующее его применение программное обеспечение.
В парадигме критериального моделирования любое требование рассматривается в качестве критерия. Значимость каждого критерия, а также степень его выполнения оцениваются по 100-балльным шкалам. Оценки значимости и степени выполнения могут формироваться как в автоматическом режиме на основе обработки собираемых с датчиков, или иных источников, данных, в том числе больших данных, либо экспертным путем. Критериальные риски 1 -го вида выявляются по результатам периодически проводимого контроля полноты критериальных моделей, если эти модели оказываются не полны. На основе оценок выполнения критериев рассчитываются оценки критериальных рисков 2-го вида. Разработан обширный аппарат получения агрегированных оценок критериальных рисков, с учетом иерархичности и территориальной распределенности критических инфраструктур, а также аналитических результатов, позволяющих обеспечить высокую эффективность управления и предупредить возникновение когнитивных заблуждений и искажений в оценке уровня безопасности и наличия уязвимостей в критических инфраструктурах и в их межсистемных взаимодействиях [1-5]. Методики получения и алгоритмы расчета такого рода оценок неоднократно приводились во множестве научных публикаций по критериальному моделированию [6-9].
Для автоматизации критериального моделирования в управлении безопасностью на разработано и постоянно совершенствуется программное обеспечение «РискДетектор» (http://srisks.ru/), заложенные в нем теоретические и методологические решения, уже прошли апробацию на множестве критически важных объектов и критических инфраструктур, в частности, в Банке России на основе опыта их внедрения и использования были созданы стандарты СТО БР ИББС, с помощью которых сегодня обеспечивается информационная безопасность всей банковской системы России. Так же совершенствуется экспериментальный макет национальной веб-службы контроля рисков [10], с целью дать возможность представителям любых организаций и предприятий, оценить, какие преимущества они могут получить, начав контролировать основательность безопасности на своих объектах. Цель использования методологии критериального моделирования - парировать саму возможность крупных аварий, техногенных и антропогенных катастроф на предприятиях и в организациях, где она применяется.
Особенность использования методологии критериального моделирования для управления безопасностью межсистемных взаимодействий критических инфраструктур состоит в том, что необходимо помимо структурных моделей самих взаимодействующих критических инфраструктур выстраивать структурную модель связывающих их процессов и критериальную модель этих процессов. Это требует доработки математического аппарата и программного обеспечения, работа над которыми ведется в настоящее время.
Литература
1. Кононов А.А. Проблема когнитивных искажений в управлении безопасностью больших систем и пути ее решения // Проблемы управления безопасностью сложных систем. Труды XXV Международной научной конференции. Москва, 20 декабря 2017 г. - Москва: Российский государственный гуманитарный университет, 2017. - C. 248 - 251.
2. Кононов А.А., Авдотьин В.П. Проблема когнитивных искажений в оценке опасности угроз и рисков природных и техногенных катастроф // Глобальная
и национальные стратегии управления рисками катастроф и стихийных бедствий. Материалы международного конгресса. 7 июня 2017 года, Ногинск, Россия. М.: ФГБУ ВНИИ ГОЧС (ФЦ), 2017. С. 106-112.
3. Кононов А.А. Проблемы когнитивных искажений в оценке готовности муниципальных образований обеспечить устойчивость к чрезвычайным ситуациям // Проблемы анализа риска. - Том 15, 2018, № 1. - С. 48-52.
4. Кононов А.А. О необходимости признания задач предупреждения когнитивных искажений неотъемлемой составляющей обеспечения информационной безопасности критически важных объектов и критических инфраструктур // Информационная безопасность: вчера, сегодня, завтра. Международная научно-практическая конференция (г. Москва, 12 апреля 2018 г.) [Текст]: сборник статей / Российский государственный гуманитарный университет РГГУ. - М.: РГГУ, 2018. - С. 51-58.
5. Кононов А.А., Поликарпов А.К., Черныш К.В. Использование критериального моделирования для снижения когнитивных искажений в оценке рисков уязвимостей в больших системах критических инфраструктур // Седьмая Международная конференция «Системный анализ и информационные технологии» САИТ - 2017 (13 - 18 июня 2017 г., г. Светлогорск, Россия): Труды конференции. - М: ФИЦ ИУ РАН, 2017. - С. 405-411.
6. Черныш К.В., Кононов А.А. Индикативная оценка рисков на критериальных моделях критически важных объектов и критических инфраструктур // XI Всероссийская конференция "Методологические проблемы управления макросистемами" (Апатиты, 26 марта- 3 апреля 2016 года.). Материалы докладов. - Апатиты: КНЦ РАН, 2016. - С. 86-89
7. Кононов А.А., Поликарпов А.К. Методология критериального моделирования для системного анализа и оценки защищенности и уязвимости объектов, процессов и ресурсов на всех стадиях жизненного цикла больших систем // Сборник трудов VII Международной конференции «ИТ-Стандарт 2016» (г. Москва, 6-7 декабря 2016 г.) - Самара: TCDprint, 2016. - С. 126-133.
8. Кононов А.А., Кулаков П.И., Поликарпов А.К. О методологии критериального моделирования безопасности больших систем, критически важных объектов и критических инфраструктур // Проблемы управления безопасностью сложных систем. Труды XXIV Международной научной конференции. Москва, 21 декабря 2016 г. - Москва: Российский государственный гуманитарный университет, 2016. - C. 276-279.
9. Кононов А.А., Поликарпов А.К., Черныш К.В. Формальная схема динамики критериальных моделей и оценки рисков некорректности критериальной базы управления безопасностью больших региональных систем // VII-я Всероссийская научная конференция «Теория и практика системной динамики» (Апатиты, 27 марта - 2 апреля 2017 г.). Материалы докладов. -Апатиты, КНЦ РАН, 2017. - С. 43-47.
10. Кононов А.А. О возможностях прогнозирования чрезвычайных ситуаций и мониторинга защищенности населения и территорий от угроз природного и техногенного характера с использованием веб-службы контроля рисков // Проблемы прогнозирования чрезвычайных ситуаций. XVI Всероссийская научно-практическая конференция. - 27-28 сентября 2017 г. Сборник материалов. М.: ФКУ Центр «Антистихия» МЧС России. 2017, С. 54-55.
