CC BY
75
С.В. Скрыль,
доктор технических наук, профессор
В.У. Хатуаев,
доктор юридических наук, доцент
СТРУКТУРНЫЙ АНАЛИЗ КАК МЕТОДОЛОГИЧЕСКАЯ ОСНОВА КРИМИНАЛИСТИЧЕСКОГО ОПИСАНИЯ ПРОТИВОПРАВНЫХ ДЕЙСТВИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
В соответствии с принципами системного анализа и существующими взглядами на проблему криминалистического исследования противоправных действий в информационной сфере, такого рода исследование проводится с использованием сценарных описаний, отражающих различные аспекты этих действий как объекта идентификации [1].
Любое сценарное описание, как инструмент исследования, должно отражать декларативные или процедурные знания об исследуемом объекте. При этом декларативные знания об объекте содержат сведения о некоторых понятиях, их признаках, свойствах, характеристиках, об отношениях между понятиями, а процедурные знания представляют совокупность процедур над объектом и позволяют использовать те или иные декларативные знания с целью получения новых знаний об объекте.
Несмотря на множество определений общенаучного понятия описания, в каждом из них присутствует семантический аспект, заключающийся в формировании законченных и непротиворечивых знаний о сущности описываемого объекта. В контексте исследования речь идет о построении некоторого образа действий, в той или иной степени подобного противоправным действиям в отношении информации компьютерных систем.
Исходя из сложившейся практики представления описаний в графическом либо в знаковом виде, достаточно очевидно, что для исследования такой специфичной деятельности, как противоправные действия в информационной сфере, наиболее предпочтительно графическое представление описаний. При этом, как показывает опыт ряда исследований в области обоснования требований к организационно-правовому обеспечению защиты информации, выполненных на основе методологии системного анализа, весьма результативным способом представления описаний противоправных действий в информационной сфере является их структурирование.
Отмеченные выше трудности описания противоправных действий в отношении информации компьютерных систем можно преодолеть, ограничившись изучением общей картины информационной деятельности и исследованием содержания внутренних связей во внешней по отношению к компьютерной системе среде. В этих целях возможно использование известных структурных методологий [2, 3].
Структурным анализом принято называть метод исследования системы, который начинается с ее общего обзора и затем детализируется, приобретая иерархическую структуру со все большим числом уровней. В настоящее время преобладают структурные методологии, основанные на системном анализе объекта исследования. Структурирование по отношению к формальным методам описания архитектуры сложных систем и процессов их функционирования является методологией, которая позволяет понизить сложность описания.
Как инструмент описания исследуемого объекта структурирование может быть выполнено на основе:
дедуктивного подхода (переход от общего к частному), осуществляемого путем расчленения и группировки частей описываемого объекта, начиная с рассмотрения его как единого целого;
индуктивного подхода (переход от частного к общему), осуществляемого путем сбора элементов описываемого объекта и композиции в соответствии с их взаимоотношениями в древовидную структуру, которая заканчивается целостным описанием объекта.
Учитывая то обстоятельство, что индуктивный подход не исключает пропуска отдельных элементов или связей, а также неадекватной их оценки не с системных позиций, представляется целесообразным в качестве инструмента для исследования противоправных действий в сфере компьютерной информации использовать дедуктивный подход.
Вместе с тем методы декомпозиции, которые уже достаточно хорошо разработаны для формализованных структур, для таких трудно формализуемых процессов, как противоправные действия в отношении информационных ресурсов защищенных информационных систем, могут иметь эвристическую форму [4].
Принимая во внимание целевую направленность противоправных действий информации компьютерных систем при их исследовании методами структурного анализа декомпозиции подлежит предметная целевая функция [5]. Это приводит к необходимости в процессе декомпозиции выделять функционально специализированные элементы. При этом специфицируемые в результате декомпозиции функции и логические связи исследуемой системы формируют описание ее функциональной
структуры, что, в свою очередь, является функциональным представлением объекта исследования.
Структура объекта исследования, представленная в терминах такого описания, является его структурным базисом.
Структурированное описание противоправных действий в сфере компьютерной информации в интересах их выявления должно обеспечивать: полноту отображения всех существенных элементов и атрибутов таких действий и их взаимосвязей;
возможность воспроизведения всех значимых характеристик противоправных действий;
унифицированность описания структуры и взаимосвязей между элементами на любом уровне ее детализации;
гибкость, позволяющую объединять элементы в структуры и заменять эти элементы и их совокупности.
Несмотря на то, что структурным методологиям свойственен ряд недостатков, накладывающих определенные ограничения на их применение: сложность понимания, большая трудоемкость в использовании, трудности внесения изменений в уже разработанные спецификации, — они все же дают возможность предоставить достаточный инструментарий для описания процессов такого уровня сложности, как противоправные действия в отношении информации компьютерных систем.
В соответствии с общим представлением о структуре знаний предметной области (процедурное и декларативное) описание может основываться либо на функциях системы, либо на ее сущностях. При этом описание, соответствующее процедурному представлению знаний, принято называть функциональным, а описание, соответствующее их декларативному представлению, принято называть информационным. Функциональное описание представляет с нужной степенью подробности систему предметных функций, выполняемых компьютерной системой (процедурное знание), которые, в свою очередь, отражают свои взаимоотношения через сущности системы. Информационные описания (декларативное знание) дуальны к функциональным и представляют собой подробное описание сущностей объекта исследования, связанных соответствующими функциями. Точное описание объекта осуществляется при использовании описаний обоих типов. Однако в настоящее время наиболее широкое применение нашли функциональные описания.
Основными компонентами такого описания являются:
совокупность методов, позволяющих получить знания о предметной области и на этой основе произвести анализ исследуемой системы;
графический язык и формальные правила, интерпретирующие сущность системы (знания о предметной области);
директивы, способствующие проведению анализа исследуемого объекта и управлению формированием его описания.
Структура подобного описания включает блок-схемы, диаграммы, потоки данных и нотации.
Функциональное описание противоправных действий в отношении информации компьютерных систем основывается на двух основных принципах.
1. Рассмотрение функций должно осуществляться сверху вниз.
2. Степень детализации функционального описания считается достаточной, если вариант функциональной декомпозиции дает однозначное соответствие между противоправным действием и его исполнителем.
В соответствии с первым принципом информация, получаемая об особенностях противоправных действий в отношении компьютерных систем, иерархически распределяется по уровням, постепенно детализируясь. Таким образом, обеспечивается представление информации и ее уточнение приемлемым объемом новых данных на каждой следующей диаграмме.
Основной характеристикой противоправных действий в сфере компьютерной информации является характеристика степени достижения злоумышленниками поставленных целей в результате выполнения некоторой целевой вредоносной функции. Это означает, что степень достижения целей в результате подобного рода противоправных действий допускает функциональное представление, а сами функции можно представить в виде вредоносных воздействий.
Очевидно, что целевая функция, реализуемая злоумышленниками, зависит от ряда внутренних и внешних по отношению к его действиям факторов, а также входных данных и выходных результатов. Допустимость функционального представления противоправных действий в сфере компьютерной информации, в свою очередь, предполагает представление их в виде множества вредоносных воздействий, последовательная реализация которых и составляет целевую функцию.
Представление целевой функции в виде упорядоченных последовательностей вредоносных воздействий составляет процесс ее декомпозиции. Естественно, что каждое вредоносное воздействие обеспечивается некоторым механизмом, связанным в общей функциональной реализации целевой функции с другими механизмами. Поэтому множества вредоносных воздействий и механизмов образуют декомпозиционный структурный базис описания противоправных действий в сфере компьютерной информации.
Для адекватного представления реальных вредоносных воздействий на информацию компьютерных систем процесс декомпозиции должен включать выявление и описание не только функциональных, но и информационных связей
между компонентами, составляющими декомпозиционный структурный базис описания противоправных действий в отношении информационных ресурсов таких систем.
Вместе с тем следует отметить некоторые трудности практического применения описанных подходов структуризации реальных процессов. Из изложенного следует, что при декомпозиции целевой функции противоправных действий в сфере компьютерной информации доминируют функциональные компоненты, а лежащие в их основе информационные механизмы имеют значение лишь в части реализации их возможностей.
Тем не менее, множественность функционального представления цели подобного рода противоправных действий определяет возможность получения не одной, а многих декомпозиционных структур даже на основе одного базиса. При этом количество вариантов структуризации целевой функции реально ограничивается необходимым уровнем ее декомпозиции [6].
В соответствии со вторым принципом устанавливается необходимая степень детализации функционального описания исследуемых противоправных действий.
В этой связи хотелось бы отметить, что уже имеющийся опыт функциональной декомпозиции противоправных действий в информационной сфере базируется лишь на интуитивном (экспертном) обосновании необходимого уровня детализации исследуемых процессов. Однако подобный подход не позволяет произвести исследования процессов такого уровня сложности, как противоправные действия в отношении информации компьютерных систем.
Вместе с тем, исследование механизмов вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации с позиций методологии системного анализа позволило обосновать необходимую степень детализации функционального описания, базируясь на эвристических правилах, в соответствии с которыми детализация описания считается достаточной, если вариант функциональной декомпозиции:
- определяет исполнителя подобного рода действий — непосредственно злоумышленник, вредоносная программа, специальное аппаратное средство;
- обеспечивает достоверное описание функциональных связей и логической структуры информации;
- формирует криминалистически значимый набор признаков.
На основании изложенного можно сделать вывод о том, что структурный анализ является эффективным методом исследования механизмов вредоносного воздействия на компьютерные системы в интересах выявления противоправных действий в сфере компьютерной информации. За
счет универсальности структурного анализа как метода исследования подобного рода противоправных действий обеспечивается решение ряда важных задач организационно-правового обеспечения защиты компьютерной информации.
ЛИТЕРАТУРА
1. Проектирование средств трассологической идентификации компьютерных преступлений: монография / С.В. Скрыль [и др.]. — Воронеж: Воронежский институт МВД России, 1999. — 136 с.
2. Калянов ГН. CASE: Структурный системный анализ (автоматизация и применение) / ГН.Калянов. — М.: Лори, 1996. — 242 с.
3. Карпычев В.Ю. Концептуальное проектирование информационных систем: учебное пособие / Ю.В.Карпычев. — М.: ГУ НПО «Спецтех-ника и связь» МВД России, 2002. — 132 с.
4. Мир управления проектами / под ред. Х. Решке, Х. Шелле. — М.: Альянс, 1994. — 303 с.
5. Скрыль С.В. Методологические принципы моделирования угроз информационному обеспечению органов внутренних дел / С.В. Скрыль, О.Б. Рощин // Современные проблемы борьбы с преступностью: материалы международной научно-практической конференции. — Воронеж: Воронежский институт МВД России, 2006. — С. 6 — 10.
6. Моделирование как методология криминалистического исследования в сфере компьютерной информации / С.В. Скрыль, В.А. Минаев, Р.Н. Тюнякин, Н.В. Филиппова // Безопасность информационных технологий. — М.: МИФИ, 2005. — № 1. — С. 57— 61.
