CC BY
34Система подготовки и принятия решений в интеллектуальной системе управления информационной безопасностью
Фисун Владимир Владимирович,
кандидат технических наук, доцент кафедры «Защищенных информационных технологий», Краснодарское высшее военное училище имени генерала армии С.М. Штеменко, wfisun@gmail.com
При исследовании эффективности разработанной методологии для интеллектуальной системы управления информационной безопасностью (ИСУИБ) в качестве концепции выработки решений, лежащей в основе организации рационального поведения системы, установлена концепция адаптивизации, при оптимизации управляющих решений на оперативно-техническом уровне объекта КИИ. В подтверждение рациональности и соответствия реальности концептуального выбора для ИСУИБ рассмотрена технология подготовки сценариев управляющих решений, разработанной ФИЦ ИУ РАН для нужд Института космических исследований. На основе этого выбора среди прочих показателей эффективности избрана оперативно-техническая эффективность для ИСУИБ, как наиболее целеполагающая и интегральная. Используя данную технологию в ИСУИБ, объекты КИИ получают возможность повысить устойчивость функционирования ИТКС к воздействию КА. Наиболее выраженным является эффект сокращения времени, отводимого на принятие и исполнение управляющего решения. Все предложения служат основанием реализации государственной интеллектуальной системы управления ИБ объектов критической информационной инфраструктуры, обнаружения и предупреждения Ка.
Ключевые слова: компьютерная атака, классификация, база знаний, экспертная система, сценарий управляющих решений, эффективность управления, интеллектуальная система, управление информационной безопасностью.
Введение
Издание «Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА)», Федерального Закона «О безопасности критической информационной инфраструктуры (КИИ)» и последующих от государственных регуляторов ФСТЭК и ФСБ РФ в области информационной безопасности 17 подзаконных актов существенно активизировали научно-исследовательскую деятельность в направлении систем управления процессами информационной безопасности (ИБ) и актуализировали подходы и методы разработки кибернетических систем и систем искусственного интеллекта.
По своей сути изданные нормативно-правовые документы рассматривают в качестве основной функциональности для реализации возможностей аппаратно-программных комплексов (АПК) и должностных лиц органов практически всех звеньев управления, в том числе и объектовых, функцию управления событиями-инцидентами информационной безопасности. Процессы управления ИБ регулируются государственными документами ГОСТ Р 531113.1-2008 и ГОСТ Р ИСО/МЭК ТО 18044-2007, а также ведомственными документами.
Органами непосредственного исполнения и решения указанных концептуально задач и соответственно их должностными лицами принимающими решения (ДЛПР), являются государственные, ведомственные и корпоративные ситуационные центры, а также замыкающиеся на центры объекты информационной инфраструктуры, т.е. собственно центры обработки данных (ЦОД), автоматизированные системы управления (АСУ, АСУВН), информационные системы (ИС) и информационно-телекоммуникационные системы (ИТКС), которые Федеральным Законом «О безопасности критической информационной инфраструктуры (КИИ)» рассматриваются как объекты КИИ.
Предложение
Из предлагаемых системным анализом на концептуальном уровне исследования эффективности принципов поведения управляемой системы (в данном случае ИСУИБ), как наиболее соответствующих рациональным, определим принципы:
- выбора решений;
- рефлексии.
В качестве концепции выработки решений, лежащей в основе организации рационального поведения системы, т.е. в основе управления ИСУИБ, установим концепцию адаптивизации, при оптимизации управляющих решений на оперативно-техническом уровне объекта КИИ.
В подтверждение рациональности и соответствия реальности концептуального выбора для ИСУИБ рассмотрим технологию подготовки сценариев управляющих решений [4,5], разработанной ФИЦ ИУ РАН для нужд Института космических исследований.
X X
о
го А с.
X
го т
о
м о м о
о см о см
о ш т
X
<
т О X X
Заявленная технология подготовки сценариев управляющих решений обеспечивает решение проблемы путём автоматизированного выполнения следующих этапов:
- формирование и хранение данных о нормированных показателях объектов, влияющих на состояние ИБ, о критериях эффективности, о прогнозируемых сценариях решений в условиях предотвращения и действия угроз, в нормальных условиях;
- сбор фактических данных об объектах и о состоянии ИБ объектов КИИ;
- анализ эффективности СЗИ ИТКС на основе установленных критериев путём сравнения фактических и нормированных данных;
- выбор из существующих, или разработка нового сценария решения, применительно к сложившейся ситуации в отношении ИБ объекта КИИ;
- предоставление лицам, ответственным за принятие решений, данных об обстановке и о подготовленном сценарии решения.
Инновационность технологии подготовки сценариев управляющих решений заключается в создании, расширении и применении базы знаний сценариев управленческих решений на основе:
- априорного метода - путём обработки и анализа ретроспективной информации о всех сущностях, оказавших влияние на состояние ИБ объекта кИи и на уровень его защищенности в предшествующие интервалы времени;
- опытного добавления знаний путём обработки вновь созданного сценария и уже применённого к конкретной ситуации ИБ на объекте КИИ и анализа всех обстоятельств, относящихся к этой ситуации;
- проверки актуальности компонентов выбранного из базы знаний сценария решения непосредственно до предоставления его лицу, принимающему решение, и, при необходимости, модернизации этого сценария.
На рисунке 1 приведена модель формирования сценариев управляющих решений на основе применения априорной логики в системе обнаружения деструктивных воздействий компьютерных атак (СОДВКА) [3] и на основе обработки ретроспективной информации об уже происшедших событиях во внутренней и внешней среде ИСУИБ в интеллектуальной системе анализа устойчивости (ИСАУ) с использованием нейросетевого инструментария и нечеткой логики [6]. Положительный эффект от применения данной технологии для ИСУИБ заключается в повышении устойчивости функционирования ИТКС объектов КИИ; для органов управления различных видов деятельности - в повышении устойчивости управления.
Технология подготовки сценариев управляющих решений разработана с учётом современных направлений (трендов) развития информационных технологий, проявляющихся в том числе при [4,5]:
- создании организационно-технических комплексов - ситуационных и аналитических центров, центров технической поддержки, автоматизированных систем поддержки деятельности и других в различных областях деятельности (технологические тренды);
- разработке для этих комплексов новых или применении известных аппаратно-программных платформ и прикладных программных комплексов, обеспечивающих автоматизацию процессов сбора и анализа информации о состоянии технологических процессов, подготовки и
предоставлении сценариев решений лицам, принимающим решения в отношении управления.
Рисунок 1 - Модель формирования сценариев управляющих решений в ИСУИБ
Целью мероприятий по внедрению таких технологий в практику деятельности организационных систем является сокращение времени на предоставление актуальной информации лицам, принимающим решения по предотвращению угроз, а в случаях их реализации — по быстрейшей ликвидации и минимизации потерь. Следствие этого - недопущение проявления угроз и минимизация потерь от уже проявившихся угроз. Применительно к ИСУИБ и к операционной деятельности, осуществляемой на объектах КИИ, а также с использованием получаемых ими результатов для выполнения технологии подготовки сценариев управляющих решений потребуется выполнить следующие шаги:
Шаг 1. Формирование, сохранение и предоставление данных о нормированных, определенных нормативными документами государственных регуляторов, показателях объектов наблюдения, которые оказывают влияние на состояние ИБ объекта КИИ; состоянии каждого элемента СЗИ ИТКС объекта КИИ; состоянии деятельности в целом (по всей группировке объектов КИИ ведомственного ситуационного центра).
Шаг 2. Формирование, сохранение и предоставление оперативных на текущий интервал времени данных о фактических показателях ИБ объектов КИИ; абсолютных значениях отклонения данных о фактических показателях объектов КИИ от нормированных показателей;
Шаг 3. Формирование, сохранение и предоставление информации об эффективности применения сценариев управляющих решений - исполнении решений на объекте КИИ.
Шаг 4. Формирование, сохранение и предоставление информации субъектам управления ЛПР ИСУИБ объектов КИИ, ситуационного центра по ИБ ведомства в целом о критических, предупреждающих и плановых сценариях, предназначенных для поддержки принятия решения соответственно: по ликвидации существующей
проблемы (угрозы), по недопущению проявления «скрытой» проблемы (угрозы), по повышению эффективности применения ИСУИБ, в зависимости от показателей эффективности.
В качестве примера ниже на рисунке 2 отображено правило выбора сценария решения в отношении п-ого (п=1, 2, ...) объекта КИИ, в зоне ответственности ведомственного ситуационного центра ГосСОПКА:
критический сценарий Wn-крит. выбирается при условии, если фактический показатель ДDn* эффективности объекта КИИ в диапазоне 0-ДDn-крит.;
предупреждающий сценарий Wn-пред. выбирается при условии, если фактический показатель ДDn* эффективности п-ого объекта КИИ находится в диапазоне ДDn-крит. -ДDn-доп.;
плановый сценарий Wn-план. выбирается при условии, если фактический показатель ДDn* эффективности объекта КИИ находится в диапазоне ДDn-доп.-1, где ДDn-крит. и ДDn-доп. - соответственно критический и допустимый показатели эффективности.
оценки контекста ситуации и прогнозирования развития. Время перевода систем в установленные степени готовности.
- Оперативность действия: способность системы обеспечивать действия по осуществлению принятого решения в необходимые сроки. Время результативного применения систем СОДВКА по поставленным задачам.
- Интегральная оперативность - Обобщенный показатель эффективности по оперативности: показатель надежности упреждения или вероятность надежности упреждения [2], продолжительность общего цикла управления.
Рисунок 2. Иллюстрация правила выбора сценария управляющего решения ЛПР ведомственного ситуационного центра ГосСопка в отношении объекта КИИ
Аналогично правилам выбора сценария управляющего решения ЛПР ведомственного ситуационного центра ГосСОПКА в отношении объекта КИИ определены правила выбора сценария управляющего решения ЛПР объектового органа управления ИБ в отношении решений по событиям, угрозам и атакам на СЗИ ИТКС объекта КИИ.
По принятому к исполнению сценарию управляющих решений соответствующему идентифицированной в СОДВКА, входящей в ИСАУ ИТКС объекта КИИ, КА на объекте КИИ выполняются действия:
- по записанному в его базе знаний сценарию управляющего решения, предназначенного для управления ликвидацией угрозы;
- по предупреждающему сценарию, предназначенному для управления предотвращением угрозы;
- по плановым сценариям, предназначенным для управления плановой деятельностью, относящейся к деятельности ИСУИБ в целом.
Используя данную технологию в ИСУИБ, объекты КИИ получают возможность повысить устойчивость функционирования ИТКС к воздействию Ка. Наиболее выраженным является эффект сокращения времени, отводимого на принятие и исполнение управляющего решения, что иллюстрируется на рисунке 3.
Наиболее подходящим по смыслу и назначению функциональности ИСУИб из всего перечня предлагаемых концептуальным исследованием эффективности [2] следует считать:
• Показатели эффективности по оперативности:
- Оперативность решения: способность системы обеспечивать генерацию и коррекцию возможных решений по текущей и накопленной информации, принятие решения и его доведение в необходимые сроки. Время
Рисунок 3 - Иллюстрация оперативно-технической эффективности
• Показатели эффективности по устойчивости:
- Уровень целесообразности и реалистичности принимаемых решений с учетом факторов неопределенности в условиях информационного противодействия. Допустимый уровень потерь и нарушений в системе управления.
- Устойчивость действия: способность системы обеспечивать требуемую последовательность и достаточный уровень усилий по осуществлению принятого решения в условиях физического противодействия. Вероятность выполнения мероприятий цикла управления в заданное время.
• Показатели эффективности функционирования:
- Техническая эффективность функционирования: время регламентных работ обслуживания, показатели безотказности, долговечности, ремонтопригодности и сохраняемости. Показатели безопасности функционирования. Показатели производительности. Эргономические показатели.
Но оперативно-техническая эффективность будет для ИСУИБ наиболее целеполагающей и интегральной (Рисунок 3).
Для показателя «Оперативно-техническая эффективность» вполне адекватной будет модель представления ИСУИБ как системы массового обслуживания:
- поток заявок на обслуживание (параметры события ИБ от СЗИ ИТКС объекта КИИ) как число инцидентов ИБ за период - месяц (по статистике из БДУ ФСТЭК);
- система обслуживания - выдача к исполнению ЛПР соответствующего идентифицированной в базе знаний
X X
о
го А с.
X
го т
о
м о м о
о
CS
о
CS
о ш m
X
<
m О X X
КА готового сценария принятия решений (параметры: время Тпир - принятия и исполнения управляющего решения на объекте КИИ; Wпр - число готовых сценариев решения по обнаружению, предупреждению КА, и ликвидации их последствий).
Тогда по условиям применения к описанию законов распределения случайных дискретных величин (вероятность наступления единичного события ИБ р<0.1 и число заявок по событиям ИБ в период n>100) приемлемым будет закон распределения Пуассона:
Тпир = Wпр х eA(-t), (график на рисунке 3)
где: t - текущее время выбранного периода;
Wпр = In t - как параметр распределения Пуассона определяется значениями статистики по угрозам из базы данных угроз (БДУ) ФСТЭК, в том числе со схемами реализации угроз, дополненными сценариями принятия управляющих решений по нейтрализации угроз.
Наиболее выраженным является эффект сокращения времени, отводимого на принятие и исполнение управляющего решения, что графически иллюстрирует оперативно-техническую эффективность ИСУИБ на рисунке 3.
Целеполагание эффективности ИСУИБ обозначено на графике параметром Wпр max , значение которого будет при числе готовых сценариев решений соответствующим числу идентифицируемых по классификации КА, это делает решение этой задачи, без оптимизации решения, NP-сложной, что будет означать по графику сокращение времени принятия решения до Тпир min или технологически решение на обнаружение и предупреждение КА будет автоматическим в режиме реального времени, что возможно лишь при достижении (применении) в ИСУИБ сильного искусственного интеллекта (ИИ) [1,7].
Заключение
Для системы ситуационного управления ИБ на объектах КИИ, в развитие технологии управления по сценарию управляющих решений ДЛ, соответствующих ситуации ИБ, разработаны методики синтеза управляющих воздействий, в частности, методика формирования базы знаний КА, как многоагентной экспертной системы поддержки и принятия решений должностными лицами объектов КИИ и ситуационных ведомственных центров ГосСОПКА на основе методики формирования сценариев управляющих решений по ситуации ИБ.
Используя данную технологию в ИСУИБ, объекты КИИ получают возможность повысить устойчивость функционирования ИТКС к воздействию КА. Наиболее выраженным является эффект сокращения времени, отводимого на принятие и исполнение управляющего решения.
Литература
1. Справочник по искусственному интеллекту в 3-х т., 1990 // Под ред. Э. В. Попова и Д. А. Поспелова. М.: Радио и связь.
2. Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасаность открытых систем: Учебник для вузов в 2-х томах. Том 1 - Угрозы, уязвимости, атаки и подходы к защите. - М.: Горячая линия - Телеком, 2006. - 536 с.
3. Фисун В.В. Применимость методов исследования динамических систем при разработке базы знаний ГосСОПКА. М.: ИКСИ, 22 межведомственная конференция, 2018.-5с.
4. Зацаринный А.А., Козлов С.В., Шабанов А.П. Технология подготовки сценариев управляющих решений // Системы управления, связи и безопасности. - 2015. - № 3. - С. 90-98.
5. Зацаринный А.А., Козлов С.В., Шабанов А.П. Об информационной поддержке деятельности в системах управления критическими технологиями на основе ситуационных центров // Системы управления, связи и безопасности. - 2015. - № 4. - С. 98-113. [Электронный ресурс]. URL: http://sccs.intelgr.com/archive/2015-04/05Zatsarinnyy.pdf (дата обращения: 10.02.2017).
6. Фисун В.В., Петровский А.В. Синтез адаптивной многомодульной системы активного аудита на основе нечетких нейросетей. /Защита информации. Конфидент. 2003. №2.
7. Рассел Стюарт, Норвиг Питер, Р24 Искусственный интеллект: современный подход, 2_е изд..: Пер. с англ. М.: Издательский дом "Вильямс", 2007. 1408 с.: ил. Па-рал. тит. англ.
System for preparing and making decisions in an intelligent information
security management system Fisun V.V.
Krasnodar higher military school named after General of the army S. M. Shtemenko
When studying the effectiveness of the developed methodology for an intelligent information security management system (ISMS), the concept of adaptivization was established as the concept of decision-making that underlies the organization of rational behavior of the system, while optimizing control decisions at the operational and technical level of the CII object. In order to confirm the rationality and compliance with the reality of the conceptual choice for ISUIB, the technology for preparing control decision scenarios developed by the FITC IU RAS for the needs of the space research Institute is considered. Based on this choice, among other performance indicators, operational and technical efficiency was selected for ISAIB as the most goal-oriented and integrated. Using this technology in ISWIB, objects CUES have the potential to improve the operational stability of the ITKS to the effects of KA. The most pronounced effect is the reduction of the time allotted for making and executing a management decision. All proposals serve as the basis for the implementation of the state intellectual information security management system for critical information infrastructure objects, SC detection and warning. Keywords: computer attack, classification, knowledge base, expert system, control decision scenario, management efficiency, intelligent system, information security management. References
1. Handbook of artificial intelligence in 3 volumes, 1990 // Under the editorship
of E. V. Popova and D. A. Pospelov. M.: Radio and communication.
2. Zapechnikov S. V., Miloslavskaya N. G., Tolstoy A. I., Ushakov D. V.
Information security of open systems: Textbook for universities in 2 volumes. Volume 1-Threats, vulnerabilities, attacks and approaches to protection. - Moscow: Hotline-Telecom, 2006. - 536 p.
3. Fisun V. V. Applicability of research methods for dynamic systems in the
development of the knowledge base Gossopka. M.: ICSI, 22 interdepartmental conference, 2018. - 5s.
4. Zatsarinny A. A., Kozlov S. V., Shabanov A. P. Technology of preparation
of scenarios of managing decisions / / control Systems, communications and security. - 2015. - no. 3. - P. 90-98.
5. Zatsarinny A. A., Kozlov S. V., Shabanov A. P. on information support of
activities in critical technology management systems based on situational centers / / management Systems, communications and security. - 2015. - no. 4. - Pp. 98-113. [Electronic resource]. URL: http://sccs.intelgr.com/archive/2015-04/05Zatsarinnyy.pdf (accessed 10.02.2017).
6. Fisun V. V., Petrovsky A.V. Synthesis of adaptive multi-module active audit
system based on fuzzy neural networks. /Information protection. Confidential. 2003. no. 2.
7. Russell Stewart, Norvig Peter, P24 Artificial intelligence: a modern
approach, 2_e ed.: TRANS. from English. M.: publishing house 'Williams', 2007. 1408 p.: ill. Paral.tit. eng.
