CC BY
49
УДК 004.056.5 Б. ». ЕФИМОВ
Омский государственный технический университет
ВОЗМОЖНОСТЬ
ПРИМЕНЕНИЯ СУЩЕСТВУЮЩИХ СРЕДСТВ АНАЛИЗА РИСКОВ В СИСТЕМАХ ПРИНЯТИЯ РЕШЕНИЙ С ПРИВЛЕЧЕНИЕМ ЭКСПЕРТОВ________________________________
Сформулированы основные требования к обеспечению информационной безопасности систем принятия решений с привлечением экспертов. Предложена классификация и описаны основные методы оценки рисков. Проведен анализ возможности использования инструментальных средств анализа рисков в системах принятия решений с привлечением экспертов.
Ключевые слова: анализ рисков, угрозы, информационная безопасность, системы принятия решений, эксперты, распределенные системы.
Анализ требований по обеспечению безопасности информационных систем
Сегодня не вызывает сомнений необходимость капитальных вложений в обеспечение информационной безопасности современных информационных систем. Одним из основных вопросов при этом является оценка необходимого уровня затрат на информационную безопасность, а также выбор оптимального по эффективности варианта защиты.
При рассмотрении вопроса защиты информационных систем для определения необходимого уровня информационной безопасности учитываются как формализованные требования, заданные соответствующими нормативными документами в области информационной безопасности, так и дополнительные требования, зависящие от текущей статистики угроз и гипотетически возможных угроз для конкретного защищаемого объекта.
Формализованные требования описаны в ряде национальных и ведомственных стандартах, таких, как Британский стандарт ББ7799, фактически ставший международным стандартом КОЛЕС 17799, «Руководство по политике безопасности для автоматизированных систем» США, Германский стандарт ББ1, ряд РД Гостехкомиссии России. Данные требования определяют базовый уровень информационной безопасности, при этом рассматривается стандартный набор наиболее распространенных угроз безопасности и применяется типовой набор контрмер.
В ряде случаев базовый уровень требований является недостаточным. При наличии дополнительных требований должен быть проведен полный вариант анализа рисков информационной системы, который включает в себя [1]: определение ценности ресурсов, определение списка угроз, актуальных для исследуемой системы, оценку вероятности угроз, определение уязвимости ресурсов, выбор адекватных контрмер и оценку их эффективности.
Требования к обеспечению информационной безопасности систем принятия решений с привлечением экспертов
Рассмотрим, какие требования должны предъявляться к обеспечению информационной безопасности систем принятия решений с привлечением экспертов и, соответственно, какие инструментальные средства анализа и управления рисками можно применять.
Для различных информационных систем задачи обеспечения информационной безопасности бывают различными и варьируются в широких пределах. Соответственно, различны и постановки задач для проведения анализа рисков.
В системах принятия решения с привлечением экспертов для лица, принимающего решение (ЛПР), значимым является конечный результат — выбор экспертами одной из предложенных альтернатив.
Система защиты информации при этом должна быть построена таким образом, чтобы выполнялась единственная задача — решение, принимаемое при условии реализации возможных угроз должно быть таким же, что и решение, которое было бы принято системой при полном отсутствии угроз информационной безопасности [2].
А б ° А ,
выбр идеал'
где, Авыбр — альтернатива, которая выбрана в реальных условиях, т.е. при воздействии угроз информационной безопасности;
А — альтернатива, которая была бы выбрана
идеал 1 ' 1 1
экспертами в «идеальном» случае, т.е. при полном отсутствии угроз информационной безопасности.
При этом угрозы являются существенными только в том случае, если они приводят к изменению выбранной экспертами альтернативы.
Будем считать, что для ЛПР требование, чтобы при возможных угрозах безопасности выбиралась та же альтернатива, что и в случае отсутствия угроз, является как необходимым, так и достаточным, т.е. значе-
ОМСКИЙ НАУЧНЫЙ ВЕСТНИК №3 (103) 2011 ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ОМСКИЙ НАУЧНЫЙ ВЕСТНИК №3 (103) 2011
ние «перевеса», с которым побеждает одна альтернатива над другой и процентное распределение голосов экспертов между альтернативами не имеют никакого значения.
Виды воздействий на объекты сети могут быть как преднамеренными, так и случайными. Принимается допущение, что преднамеренные угрозы, т.е. осуществляемые злоумышленником, направлены, на принятие «нужного» для злоумышленника решения, а отказы оборудования носят случайный, непредсказуемый характер и могут повлиять на принятие решения в пользу любой из существующих альтернатив.
Возможность применения существующих средств и методов управления рисками
Существующие в настоящее время инструментальные средства анализа и управления рисками в зависимости от выполняемых задач также можно разделить на две группы [ 1]:
— средства базового уровня;
— средства полного анализа рисков.
Возможность применения средств базового уровня
Информационную систему принятия решений с привлечением экспертов нельзя назвать «типовой» информационной системой. Несмотря на то, что по топологии рассматриваемые системы можно рассматривать как стандартные распределенные системы, задачи по обеспечению информационной безопасности в данных системах сильно отличаются от «типовых» задач распределенных информационных систем. К основным задачам обеспечения информационной безопасности относят обеспечение конфиденциальности, доступности и целостности информации. Как уже было сказано выше, в системах принятия решения главной задачей системы в целом является недопущение изменения решения экспертов (А , ^А ),
J ± ir \ выбр идеал''
при этом приведенные «типовые» требования могут быть в определенной степени нарушены.
Для систем принятия решений не разработан стандартный типовой набор защитных механизмов, реализующих базовый уровень информационной безопасности. Следовательно, применение инструментальных средств анализа и управления рисками, основанных на требованиях стандартов в области информационной безопасности, в том числе и международного стандарта ISO 17799, невозможно. Кроме того, указанные методы анализа рисков не рассматривают ценность ресурсов, потери при нарушении информационной безопасности (при неверно принятом решении).
Возможность применения средств полного анализа рисков
Существует ряд программных продуктов, которые можно отнести к инструментарию для обеспечения повышенного уровня безопасности. К данной группе относятся ПО компании MethodWare (Risk Builder и Risk Advisor), Risk Watch, Buddy System, ПО Авангард, Гриф, частично RA Software Tool, и т.д.
Возможность использования указанного инструментария для анализа систем принятия решений в данной статье будет определена не для каждого отдельного программного средства, а относительно принятых в них методов и подходов к оценке рисков информационной безопасности.
Приведенная ниже классификация методов оценки рисков не является универсальной и разработана автором статьи для определения возможности использования данных методов для анализа угроз информационной безопасности систем принятия решений с привлечением экспертов.
Методы оценки рисков с использованием качественных показателей
В ряде инструментальных средств (ex. — Risk Advisor,) стоимость ресурсов и эффективность контрмер оцениваются по качественной шкале, описание связи между рисками и угрозами также делается на качественном уровне [1]. Некоторые методы (CRAMM) используют комплексный подход к оценке рисков, при этом ряд параметров (например, стоимость ресурсов) задается по количественной шкале, а все остальные — по качественной.
Для анализа информационной безопасности систем принятия решений с использованием экспертов подобный подход, т.е. использование качественных оценок, использовать нельзя, т.к. определить, изменилась ли выбранная экспертами альтернатива под воздействием угроз или нет, невозможно. Даже для типовых информационных систем при указанном подходе разделить риски на приемлемые и неприемлемые можно лишь достаточно условно, т.к. они также оцениваются по качественной (дискретной) шкале.
Методы, оценивающие величину ущерба как стоимость восстановления ресурса
Во многих методах (ex. — Risk Watch, CRAMM) количественные показатели существующих физических ресурсов компании оцениваются с точки зрения стоимости их замены или восстановления работоспособности ресурса. Программные ресурсы оцениваются так же, как и физические (ex. — Risk Watch), т.е. с помощью определения затрат на их приобретение или восстановление. В качестве критериев для оценки и управления рисками используются предсказание годовых потерь и оценка возврата от инвестиций. Т.е. величина риска рассчитывается как математическое ожидание потерь за год по формуле:
R = X(Pi * Vi), где i
P. — частота возникновения угрозы на i-м элементе системы в течение года;
V. — стоимость замены или восстановления i-го 1
ресурса, который подвергается угрозе.
Очевидно, что полученные математические ожидания потерь, когда учитывается только стоимость самого ресурса, не полностью раскрывают понятие риска. При указанном подходе не учитываются ни стоимость информации, ни возможные потери организации при ее изменении или неправильном функционировании системы.
Применительно к системам принятия решений риск необходимо рассматривать прежде всего как величину потерь от неправильно принятого решения под воздействием угроз информационной безопасности.
Методы, оценивающие риск как математическое ожидание среднегодовых потерь
В некоторых инструментальных средствах анализа и управления рисками (ПО «Авангард», и т.д.) суммарный риск определяется [3] как математическое
ожидание среднегодовых потерь (ущерба), т.е. как сумма произведений вероятностей реализации каждой из угроз на величину потерь от них:
R = X (Pi * Li), где i
Pi — частота возникновения i-й угрозы в течение года;
Lj — величина потерь от реализации i-й угрозы.
Стоит отметить, что при рассмотрении информационных систем в общем случае правильнее говорить не о частоте возникновения угрозы, а о частоте возникновения события риска в результате реализации определенной угрозы (или ряда угроз). Для систем принятия решений с привлечением экспертов это требование является обязательным, при этом событие риска может произойти в результате реализации как одной, так и одновременно нескольких угроз. При этом априори невозможно однозначно определить все угрозы и, особенно, все возможные сочетания угроз, которые должны произойти одновременно, чтобы событие риска (изменение выбранной альтернативы) имело место.
Методы, рассматривающие информацию в качестве основного объекта защиты
Некоторые инструментальные средства анализа и управления рисками (ГРИФ) используют иной подход, основанный на том, что основным элементом защиты в информационной системе, а следовательно, и конечным элементом оценки ущерба является информация. Указанный подход, т.е. когда алгоритм анализа рисков отталкивается не от определения ущербов от отдельных частных угроз, а от ущерба, наносимого информации, более других подходит к оценке рисков таких информационных систем, как систем принятия решений с привлечением экспертов.
Данная система (ПО ГРИФ из состава Digital Security Office) предоставляет возможность проводить анализ рисков информационной системы при помощи двух различных моделей: модели информационных потоков и модели угроз и уязвимостей.
Модель информационных потоков
При использовании модели информационных потоков управление рисками системы основано на анализе влияния прав доступа пользователей к информации. Указанные права могут предоставляться пользователям как легально (санкционировано), так и возникать под воздействием различных угроз (при этом возникает т.н. несанкционируемый доступ к информации). В последнем случае учитываются также взаимосвязь ресурсов между собой, применяемые средства защиты ресурсов и организационные меры. Вероятности реализации угроз и рекомендуемые средства защиты определяются исходя из видов доступа пользователей к информации.
Риск в указанной модели оценивается отдельно по каждой связке «группа пользователей — информация», итоговая вероятность реализации угрозы вычисляется в зависимости от вероятностей реализации угрозы по каждой группе пользователей, имеющих доступ к информации [4]:
P = 1 -П(1 - Pi), где i
Pj — вероятность реализации угрозы по i группе пользователей.
Однако модель информационных потоков в приведенном виде не может применяться для анализа систем принятия решений с привлечением экспертов, в связи с тем, что:
— невозможно по описанию прав доступа определить, как та или иная угроза, направленная на отдельные компоненты системы, влияет на принятие окончательного решения ЛПР;
— все эксперты в системе принятия решений по отношению к серверу являются легальными пользователями, следовательно, теряется ценность самого подхода, использованного в модели (анализ влияния прав доступа пользователей к информации с учетом применяемых средств защиты).
Необходимо отметить, что, несмотря на вышеприведенный вывод о невозможности использования модели информационных потоков для анализа систем принятия решений с привлечением экспертов, ряд подходов указанной модели (описание взаимосвязи сетевых ресурсов, средств защиты каждого ресурса и т.д.) могут быть полезны для разработки алгоритма анализа угроз информационной безопасности указанных систем.
Модель анализа угроз и уязвимостей
При использовании модели анализа угроз и уязвимостей защищенность каждого ресурса определяется при помощи анализа угроз, действующих на конкретный ресурс, и уязвимостей, через которые данные угрозы могут быть реализованы [4].
Под ресурсом понимается любой контейнер, предназначенный для хранения информации. Одним из свойств ресурса является его критичность, т.е. степень значимости ресурса для информационной системы (как сильно реализация угроз информационной безопасности на ресурс повлияет на работу информационной системы).
В целом, в модели анализа угроз и уязвимостей используется подход, применимый для анализа рисков систем принятия решений с привлечением экспертов. Реализующая данную модель система Гриф содержит обширные встроенные каталоги угроз и уязвимостей. Однако в указанной модели критичность задается в уровнях или в стоимостном выражении, что неприменимо в системах принятия решения с привлечением экспертов. Значение критичности ресурса в указанных системах должно принимать одно из двух значений — в зависимости от того, приводит реализация угроз на данный ресурс к изменению выбранной экспертами альтернативы или нет. И в случае, если угрозы приводят к принятию другого решения, отличного от «идеального», необходимо оценивать стоимостный ущерб.
В общем случае необходимо также учитывать, что событие риска может произойти как при реализации угроз в отношении одного ресурса, так и одновременно нескольких ресурсов.
Выводы
Для оценки рисков систем принятия решений с привлечением экспертов в целом не подходит ни один из существующих методов анализа рисков.
Несмотря на все разнообразие указанных средств, все они исходят из предположения, что любые угрозы информационной безопасности, на какой бы элемент системы они не были направлены, приводят к тому или иному снижению безопасности информационной системы в целом. Следовательно, любое
ОМСКИЙ НАУЧНЫЙ ВЕСТНИК №3 (103) 2011 ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ОМСКИЙ НАУЧНЫЙ ВЕСТНИК №3 (103) 2011
вложение в защиту информации снижает риски.
Однако применительно к системам принятия решений с привлечением экспертов должен использоваться другой подход, определяющий, что существенными являются лишь те угрозы, которые приводят к изменению выбранной экспертами альтернативы. Соответственно, и система защиты информации должна строиться таким образом, чтобы обеспечить выполнение указанного требования.
Библиографический список
1. Симонов, С. В. Технологии и инструментарии для управления рисками / гл. ред. В. Ю. Дмитриев // 1е11пЮ, информационный бюллетень. — 2003. — № 2.
2. Ефимов, Б. И. Применение алгоритмов теории графов для решения задач, связанных с обеспечением информационной
безопасности в системах принятия решений / Б. И. Ефимов // Системы управления и информационные технологии. — 2009. — № 1.3 (35). - С. 342-346.
3. Управление рисками: Обзор употребительных подходов. Часть 2 / гл. ред. В. Ю. Дмитриев // 1е11пЮ, информационный бюллетень. — 2006. — № 12.
4. Куканова, Н. Методы и средства анализа рисков и управление ими в ИС / Н. Куканова// БУГЕ/Россия. — 2005. — № 12. — С. 69 — 73.
ЕФИМОВ Борис Игоревич, соискатель кафедры «Комплексная защита информации».
Адрес для переписки: e-mail: b_efimov@mail.ru
Статья поступила в редакцию 21.06.2011 г.
© Б. И. Ефимов
УДК 621.396.13+621.394.147.3+004.942 р. Д. КУЛЬБИДА
Омский государственный технический университет
СИСТЕМА ПЕРЕДАЧИ ДИСКРЕТНОЙ ИНФОРМАЦИИ С АДАПТИВНЫМ ПОМЕХОУСТОЙЧИВЫМ КОДИРОВАНИЕМ______________________________________________
В работе описывается спроектированная автором система передачи дискретной информации, построенная на основе запатентованного способа передачи дискретных сообщений с многопараметрической адаптацией. Также проведено исследование предложенного автором универсального непрерывного векторного кода для адаптации помехоустойчивого кодирования в спроектированной системе.
Ключевые слова: система передачи информации, помехоустойчивый код, кодирование, адаптация, универсальный код.
Введение
В системах передачи дискретной информации (далее — СПДИ) (рис. 1) наибольший интерес в области техники радиосвязи составляют вопросы, связанные с эффективностью использования канала, так как наиболее дорогой частью СПДИ является канал связи (далее — КС) [1, 2].
В свою очередь, эффективное использование КС напрямую зависит от увеличения скорости передачи полезной информации (информация, поступающая на вход кодера) при сохранении требуемой достоверности (надежности) обмена данными в любой момент времени. При этом увеличение скорости можно добиться различными способами, одним из которых является использование информации о состоянии КС. Автором был разработан [3, 4] и получен патент на изобретение способа передачи дискретных сообщений с многопараметрической адаптацией [5], где информация о состоянии КС используется для изменения корректирующей способности и избыточности помехоустойчивого кода, тем самым увеличивая скорость обмена данными. В свою очередь, для эффективного использования КС помехоустойчивый код должен обладать:
— гибкой (адаптивной) структурой, позволяющей легко менять параметры кодирования и избыточность кода в зависимости от состояния КС;
— простым и универсальным алгоритмом декодирования;
— требуемой достоверностью (надежностью).
С учетом выше сказанного, целью данной работы является проектирование и описание системы передачи дискретной информации с адаптивным помехоустойчивым кодированием, построенной с использованием запатентованного автором способом передачи дискретных сообщений с многопараметрической адаптацией [5]. Кроме того, для этой системы в работе будет кратко описан ранее предложенный автором универсальный непрерывный векторный код [6— 8] и проведено исследование помехоустойчивых свойств этого кода.
Система передачи дискретной информации с адаптивным помехоустойчивым кодированием
На основе запатентованного способа передачи дискретных сообщений с многопараметрической адаптацией [5], была построена СПДИ с адаптивным помехоустойчивым кодированием (рис. 2).
