Учебное пособие по ТСиСА
.pdf
Таблица 2.1
Морфологическое пространство
|
Рс1 |
|
… |
|
Рсi |
… |
Рсm |
Рj |
R1 |
R11 |
|
… |
|
R i1 |
… |
R m1 |
P1 |
… |
… |
… |
|
… |
… |
… |
… |
|
Rj |
R1j |
|
… |
|
R ij |
… |
R mj |
Pj |
… |
… |
… |
|
… |
… |
… |
… |
|
Rn |
R1n |
|
… |
|
R in |
… |
R mn |
Pn |
Вес j-той характеристики (ранговой последовательности, характеризующий определенную угрозу) в общем случае неизвестен. Действительно, в зависимости от конкретных условий, в которых работает подразделение предприятия, наличия информации того или иного уровня конфиденциальности, степени возможности реализации того или иного вида угроз, значимость этих угроз может меняться. В условиях объективно существующей неопределенности необходимо провести ранжирование (установить кортеж предпочтения) введенных в рассмотрение объектов предприятия. Очевидно, что решение этой задачи предшествует решению задач оценки эффективности и оптимизации системы информационной безопасности.
Ранжирование объектов представляется целесообразным проводить на основе обобщенного показателя (оценочного функционала), основанного на критерии Байеса:
n |
(2.1) |
Wi = ∑ P j Rij , i = 1,m, |
j=1
где P j - вес j-той ранговой последовательности.
Используя показатель (2.1), можно установить порядок приоритетности защиты всех объектов предприятия. Не нарушая общности рассуждений, символически это можно записать в следующем виде:
Pck F Pct F ... F Pci F ... F Pcm . |
(2.2) |
При этом очевидно |
|
Wk ≥Wt≥ … ≥Wi≥ … ≥Wm. |
|
Для корректного сравнения объектов предприятия, основан- |
|
ного на критерии Байеса, необходимо рассмотреть возможные модели расчета весовых коэффициентов, которые в данном случае позволяют приписать «вес» тому или иному объекту.
Если имеется n ранговых последовательностей Rij (j=1, 2, …, n), то для них может быть введена в рассмотрение одна из мер «детализации» учета соответствующих угроз по всей системе
объектов Pсi(i=1, 2, …, m) ,
j |
= max Rij |
− min Rij . |
(2.3) |
|
i |
i |
|
Если в качестве рангов принять целые числа в интервале |
|||
[1, 10], то |
|
|
|
|
|
j = max Rij |
− 1. |
|
|
i |
|
Если для рассматриваемой меры справедливо |
|||
|
1 ³ |
2 ³ ... ³ j |
³ ... ³ n , |
то этим неравенствам можно поставить в соответствие простое отношение порядка предпочтения
Pc1 F Pc2 F ... F Pci F ... F Pcm . |
(2.4) |
||||
Известно, что количественную оценку степени предпочте- |
|||||
ния (2.4) дают оценки Фишборна |
|
||||
|
|
|
|
||
P j = |
2( n − j + 1 ) |
, j = |
1,n. |
|
(2.5) |
|
|||||
|
n( n + 1 ) |
|
|||
Очевидно, что эти оценки можно использовать в качестве весовых коэффициентов. Следовательно, ранжировав ранговые последовательности с помощью меры (2.3), можно определить весовые коэффициенты, рассчитать показатель (2.1) и упорядочить объекты предприятия по приоритетности защиты.
Однако следует заметить, что оценки Фишборна предполагают строгое упорядочение ранговых последовательностей вида (2.4). В реальной же ситуации некоторые угрозы могут иметь одинаковую важность для нескольких объектов. Поэтому представляется целесообразным ввести в рассмотрение модифицированные оценки, аналогичные оценкам Фишборна, при ограниче-
ниях, допускающих равенство мер j для некоторых ранговых последовательностей. Тогда можно записать
... j-1 ≤ j = j+1 = ... = j+k ≤ j +k +1 ..., |
(2.6) |
где k – степень кратности ранговых последовательностей при их
упорядоченности по мере j.
В этом случае совокупности мер j можно поставить в соответствие упорядоченную по степени предпочтения систему ранговых последовательностей
... (…, Рсj-1) Pcj (Pcj+1, …, Pc j+k) Pcj+k+1(Pcj+k+2) … . |
(2.7) |
Такая символическая запись означает, что j, j+1, …, j+k угрозы при ранжировании объектов предприятия имеют одинаковый ранг важности и больший, чем j+k+1 и т.д., и меньший, чем j-1 и т.д. Количественная оценка предпочтения (2.7) имеет вид:
|
|
|
− j |
+ 1 |
|
|
|
|
|
P j = |
n |
, |
(2.8) |
||
|
|
|
S |
|
|||
|
|
|
|
|
|
|
|
|
l |
|
n |
|
− 1). |
|
|
где |
S = ∑ k j ( n − j + 1 ); |
l = n − ∑ (k j |
|
||||
|
j=1 |
|
j=1 |
|
|
|
|
Нетрудно заметить, что зависимость (2.8) является обобщением (модификацией) зависимости (2.5) и вырождается в нее при kj=1 (j=1, 2, …, n) .
В силу того, что для весовых коэффициентов допустима вероятностная интерпретация, в соответствии с принципом потенциального распределения можно постулировать существование оценок «весов» вида:
|
|
. |
(2.9) |
|
P j = n |
j |
|||
|
|
|
|
|
∑ j
j=1
Более того, если потребовать постоянства дисперсии весовых коэффициентов (что несомненно усилит сходимость результатов), т.е.
n |
|
1 |
n |
2 |
|
|
|
|
|
|
|
∑ |
|
|
|
|
j − |
Pj |
= const , |
||||
∑ |
j |
||||||
j=1 |
|
|
n |
j=1 |
|
|
|
то решая экстремальную задачу |
|
|
|
||||
|
n |
|
|
|
|
|
n |
H = -∑ Pj ln Pj → max; |
∑ Pj = 1, |
||||||
|
j=1 |
|
|
|
|
|
j=1 |
можно получить зависимость для расчета весовых коэффициентов (потенциальное распределение) в виде дискретного аналога гауссова распределения:
|
|
|
|
|
|
|
|
|
|
|
|
|
− |
( j −m )2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
Pj |
= ce |
2σ 2 |
, |
(2.10) |
|||
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
1 |
n |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
где m |
= |
∑ j |
- оценка математического ожидания меры |
j; |
|||||||||||||
n |
|||||||||||||||||
|
|
j=1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
σ 2 |
- оценка дисперсии меры |
; |
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
j |
|
|
|
n |
|
( |
- m ) |
2 |
|
|
- нормирующий коэффициент. |
|
||||||||
|
|
|
|
- |
|
|
2 |
|
|
|
|||||||
c = ∑exp |
|
2σ |
|
|
|
||||||||||||
|
j=1 |
|
|
|
|
|
|
|
|
|
|
|
|||||
Пусть предприятие имеет 19 филиалов, включая централь- |
|||||||||||||||||
ный офис – |
Ai |
(i=1, 2, …, 19) . На основе анализа их функциональ- |
|||||||||||||||
ной структуры и условий функционирования, территориальной расположенности и других факторов определены 10 наиболее вероятных угроз информационной безопасности – Bj (j=1, 2, …, 10) . Экспертами определена важность (значимость) каждой угрозы для каждого филиала. Численные значения рангов Rij приведены в табл.2.2. В данном случае ранг определяет в порядке возрастания наибольшую значимость одной из 10 угроз.
Из табл.2.2 определяются:
1=8; 2=6; 3=8; 4=4; 5=7; 6=1; 7=7; 8=6; 9=8; 10=4.
Следовательно, упорядочение ранговых последовательностей имеет следующий вид:
B1(B3, B9) F B5(B7) F B2(B8) F B4(B10) F B6,
а сумма S составит 84.
Таблица 2.2
Результаты анализа значимости угроз
|
|
|
|
|
|
|
|
|
|
|
Ai |
|
|
|
|
|
|
|
|
Bj |
A |
A |
A |
A |
A |
A |
A |
A |
A |
A1 |
A1 |
A1 |
A1 |
A1 |
A1 |
A1 |
A1 |
A1 |
A1 |
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
B1 |
1 |
1 |
1 |
2 |
2 |
6 |
6 |
8 |
6 |
7 |
5 |
5 |
5 |
5 |
4 |
3 |
5 |
5 |
9 |
B2 |
3 |
4 |
6 |
6 |
6 |
1 |
2 |
6 |
6 |
6 |
6 |
5 |
7 |
6 |
6 |
5 |
7 |
6 |
6 |
B3 |
2 |
2 |
8 |
7 |
6 |
1 |
1 |
3 |
6 |
4 |
5 |
3 |
9 |
4 |
1 |
1 |
9 |
7 |
5 |
B4 |
1 |
4 |
2 |
3 |
1 |
4 |
4 |
2 |
3 |
1 |
1 |
3 |
5 |
5 |
1 |
3 |
5 |
5 |
3 |
B5 |
8 |
8 |
7 |
6 |
7 |
8 |
8 |
7 |
6 |
7 |
1 |
2 |
3 |
3 |
1 |
2 |
3 |
3 |
4 |
B6 |
2 |
2 |
2 |
2 |
2 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
2 |
2 |
2 |
2 |
1 |
B7 |
2 |
1 |
3 |
4 |
4 |
2 |
1 |
3 |
4 |
4 |
7 |
6 |
8 |
8 |
7 |
6 |
8 |
8 |
5 |
B8 |
4 |
4 |
2 |
3 |
4 |
4 |
4 |
2 |
3 |
4 |
5 |
6 |
7 |
7 |
5 |
6 |
7 |
7 |
1 |
B9 |
4 |
4 |
1 |
4 |
4 |
3 |
3 |
1 |
4 |
2 |
7 |
5 |
8 |
6 |
7 |
5 |
8 |
6 |
9 |
B1 |
5 |
4 |
2 |
3 |
1 |
5 |
4 |
2 |
3 |
1 |
1 |
3 |
5 |
4 |
1 |
3 |
5 |
4 |
3 |
0 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
По формуле (2.8) определяются весовые коэффициенты ранговых последовательностей:
P1=P3=P9=0,11905;
P5=P7=0,10714;
P2=P8=0,09524;
P4=P10=0,08333;
P6=0,07433.
Используя модели расчета весовых коэффициентов (2.9) и (2.10) можно получить аналогичные данные, которые сведены в табл.2.3.
Таблица 2.3
Весовые коэффициенты угроз
Мо- |
P1 |
P2 |
P3 |
P4 |
P5 |
P6 |
P7 |
P8 |
P9 |
P10 |
дель |
|
|
|
|
|
|
|
|
|
|
расче- |
|
|
|
|
|
|
|
|
|
|
та |
|
|
|
|
|
|
|
|
|
|
(2.8) |
0,1190 |
0,0952 |
0,1190 |
0,0833 |
0,1071 |
0,1071 |
0,1071 |
0,0952 |
0,1190 |
0,0833 |
(2.9) |
0,1355 |
0,1016 |
0,1355 |
0,0678 |
0,1186 |
0,0169 |
0,1186 |
0,1016 |
0,1355 |
0,0678 |
(2.10) |
0,1078 |
0,1039 |
0,1078 |
0,0931 |
0,1068 |
0,0688 |
0,1068 |
0,1039 |
0,1078 |
0,0931 |
Сопоставление результатов расчетов указывает на несущественное различие численных значений весовых коэффициентов. Это обстоятельство подтверждает статистическую устойчивость результатов, полученных по различным моделям расчетов. Однако в силу некорректности исходной информации такими различиями не следует пренебрегать. Кроме того, если оказывается,
что существует множество распределений P j , эквивалентных ис-
ходной информации, то возникает естественный вопрос, какой именно модели расчета весовых коэффициентов отдать предпочтение. Для решения этой задачи наиболее целесообразно воспользоваться принципами стохастического доминирования.
Стохастическим доминированием называется процедура введения частичной упорядоченности в множество одномерных функций распределения. Очевидно, что такое введение можно осуществлять в зависимости от содержательного смысла решаемой задачи. В рассматриваемой задаче при выборе модели расчета весовых коэффициентов предпочтение должно быть отдано тому закону, который обладает большей неопределенностью и не приносит дополнительной (субъективной) информации. Достаточным основанием для такого выбора является следующее.
Приписывая случайной величине некоторые распределения, имеющие ряд свойств, совпадающих со свойствами действительного (неизвестного) распределения, по необходимости совершается некоторый произвол: выбор одного из рассматривае-
мых распределений однозначно определяет и те характеристики, которые по условию неизвестны, а также независимую переменную функции распределения (меру). Очевидно, что предпочтение следует отдать тому из рассматриваемых распределений, которое добавляет минимум информации к уже имеющейся. Следовательно, используя концепцию принципа максимума неопределенности и энтропию Шеннона в качестве ее меры для сравнения и выбора соответствующих законов, можно ввести частичную упорядоченность в множество моделей расчета весовых коэффициентов по энтропии.
Отметим, что глобальный максимум энтропии H для рассматриваемой задачи достигается при равномерном распределе-
нии Pj |
= |
1 |
|
и равен |
|
|
|
|
|
|
|
|
|
||||
|
|
n |
|
|
|
|
|
|
|
|
|
|
10 |
1 |
|
1 |
|
|
|
|
|
H max = −∑ |
ln |
= 2,30259. |
||
|
|
|
|
10 |
10 |
|||
|
|
|
|
j=1 |
|
|
||
Для модели (2.8) H=2,28924, (2.9) – H=2,21751, (2.10) –
H=2,29514.
Следовательно, если упорядочить рассматриваемые модели расчета весовых коэффициентов в порядке возрастания энтропии, то получится следующая схема доминирования:
(2.9) F (2.8) F (2.10).
Анализ результатов показывает, что упорядочение ранговых последовательностей с помощью мер и использование оценок (2.8) является, очевидно, в силу потери информации, неэффективным по сравнению с оценками вида (2.9).
Подставив значения Pj, рассчитанные по модели (2.9), в (2.1) определяются следующие показатели:
W1=3,2881; W2=3,3268; W3=3,7797; W4=4,4237; W5=3,8983;
W6=4,0339; W7=3,5932; W8=4,0339; W9=4,8136; W10=4,1186;
W11=4,5254; W12=4,2542; W13=6,4068; W14=5,2881; W15=3,8644;
W16=3,7288; W17=6,4237; W18=5,7119; W19=5,3220.
Следовательно, кортеж приоритетности филиалов предприятия с точки зрения их защиты можно записать в следующем виде:
А1 F А2 F А6 F А7 F А16 F А3 F А15 F А5 F А8 F А10 F А12 F А4 F А11 F А9 F А14 F А19 F
А18 F А13 F А17.
Таким образом, формирование системы исходных данных для оценки и оптимизации системы информационной безопасности включает следующие этапы:
∙выявление и анализ наиболее вероятных угроз информационной безопасности;
∙построение морфологической матрицы, содержащей оценки (ранги) значимости каждой угрозы для каждого филиала (подразделения) предприятия;
∙расчет весовых коэффициентов ранговых последовательностей;
∙определение оценочного функционала для каждого филиала предприятия;
∙ранжирование филиалов по приоритетности защиты.
После ранжирования филиалов по приоритетности защиты необходимо исследовать эффективность СИБ для использования ее показателя для решения задачи выбора.
Любая система, в том числе и система информационной безопасности, создается для достижения цели (целей) своего функционирования. С этой точки зрения в процессе создания СИБ, ориентированном на реализацию ее целеполагания, в данную систему «закладывается» потенциальная возможность достижения цели функционирования. Существенно, что закладываемые возможности должны соотносится с конечным результатом, т.е. с характеристикой успешности достижения цели. Поэтому оценка эффективности, как соответствие достигаемого результата желаемому (требуемому) с учетом всех затрат, занимает центральное место в процессе создания и развития СИБ. Сама же эффективность является при этом свойством системы информационной безопасности. В этой связи необходимо строго определить само понятие «свойство системы».
Пусть Е – множество. Любое свойство, которым может об-
ладать элемент x Е, задает в Е подмножество А Е всех элемен-
тов, обладающих этим свойством. Пусть также задано некоторое отношение R, в котором могут находиться элементы x и y множества Е. Для точного определения свойства полезно рассмотреть подмножество R Е×Е всех пар, для которых xRy. Задание этого подмножества является, по сути, заданием отношения. Если теперь ввести понятие многоместного отношения, то свойство ока-