ции (предприятия), то на цену этой информации косвенно влия ет должностной (научный) статус сотрудника-—автора отходов. Цена информации в черновике диктуемого руководителем доку мента в общем случае выше, чем черновик рядового исполнителя. Так как основные меры защиты информации от утечки по вещест венному каналу относятся к организационным, то значения пока зателей этого канала зависят от пунктуальности выполнения мер защиты. Нарушения режима работы организации или технологии производства новой продукции, содержащей защищаемую инфор мацию, увеличивают риск утечки информации по этому каналу.
Определить в общем случае количественные значения риска утечки на основе инструментальных измерений в вещественном канале невозможно. Однако можно качественно оценить потенци альную угрозу в результате анализа реальности возможных нару шений режима и технологии. В качестве таких нарушений, напри мер, могут рассматриваться факты, отмеченные в актах предыду щих проверок уровня безопасности информации. Кроме того, в лю бой системе существуют слабые места, уровень защиты которых трудно поддается контролю. Например, требования о необходи мости записи по вопросам закрытой информации только в учтен ных тетрадях или на учтенных листах сотрудниками организации далеко не всегда выполняются неукоснительно, а обеспечить не прерывный контроль за всеми сотрудниками невозможно. Поэтому существует, хотя и малый, риск утечки информации за счет нару шений этих требований.
27.4.Методические рекомендации по оценке значений показателей моделирования
Одной из наиболее трудных задач, возникающих в процессе моделирования, является определение значений показателей: цены информации, уровня угрозы и вероятности ее реализации, затрат на предотвращение угроз. Такая проблема возникает при решении любых слабоформализуемых задач. Поэтому ей уделяется посто янное внимание, хотя до ее решения еще далеко. Отсутствие одно значной зависимости результата решения слабоформализуемой за дачи от исходных данных, их неопределенность и недостоверность существенно затрудняют использование традиционного математи
ческого аппарата. Более того, часто этого не следует делать, так как при недостоверных исходных данных можно получить результат, далекий от реального.
Так как люди в повседневной жизни решают слабоформализу емые задачи чаще, чем точные, то в процессе эволюции создан ме ханизм их решения с приемлемой для выживания homo sapies точ ностью. Алгоритм их решения на бессознательном уровне пока не известен, но получены полезные эвристические рекомендации.
Так как решение слабоформализуемых задач производит чело век, в дальнейшем — лицо, принимающее решение (ЛПР), то ис пользуемые методы объективно должны основываться на способ ностях и возможностях ЛПР по решению таких задач. Они учиты вают следующие эмпирические положения:
•точность решения ЛПР слабоформализуемых задач обратно пропорциональна их сложности, причем ЛПР может в среднем оперировать одновременно с 5-9 понятиями;
•объективность оценок ЛПР показателей процедур решения сла боформализуемых задач в условиях недостаточной и недосто верной информации выше при использования им качественных шкал, чем количественных;
•при ограниченности ресурса его целесообразно использовать, прежде всего, для предотвращения угроз с максимальным ущер бом;
•эффективность использования ресурса выше при его комплек сном применении, когда одни и те же меры предотвращают не
сколько угроз.
Из этих достаточно общих положений следует, что для повы шения точности и объективности ЛПР выбора, целесообразно:
•детализировать алгоритм решения слабоформализуемой зада чи, разбивая его на этапы и процедуры, при определении пока зателя которых возникает меньше ошибок;
•при оценке показателей отдельных этапов и процедур использо вать качественные шкалы с числом градаций (значений) в пре делах 5-9;
•проранжировать угрозы безопасности информации по потенци альному ущербу и расходование ресурса на предотвращение уг
роз производить последовательно, начиная с мер предотвраще ния угрозы с максимальным ущербом;
• при разработке мер защиты учитывать влияние предыдущих мер на снижение ущерба рассматриваемой угрозы. Действительно, если человек не знает точного количественно
го значения какого-либо показателя, он заменяет его качественной мерой: высокий человек, большая цена, длинный путь, малая веро ятность и др. При этом его качественные оценки могут весьма точ ными и однозначными.
В настоящее время предпринимаются многочисленные попыт ки использовать для обработки нечетко определенной информации аппарат нечетких множеств Заде [5]. Суть подхода Заде состоит в замене качественных понятий, например, таких как «цена инфор мации, «угроза безопасности информации» и др., названных линг вистическими переменными, на количественные аналоги и после дующей обработке числовой информации с помощью предложен ного Заде математического аппарата. С этой целью вводятся фун кции принадлежности или совместимости количественных значе ний лингвистической переменной. На рис. 27.9 в графической фор ме представлены функции принадлежности цв(Ъ) лингвистических переменных «высокая женщина» и «высокий мужчина».
Ш(Ь)
Рис. 27.9. Графическое представление функции принадлежности
На этом рисунке по оси абсцисс указаны значения роста чело века в см, а по оси ординат— числа в интервале [0-1], соответс твующие степени принадлежности значения роста женщины или мужчины лингвистической переменной «высокий(ая)».
Функции принадлежности могут быть определены в графи ческой или табличной форме, а также в виде алгебраической сум мы значений цв(Ъ). Например, функция принадлежности лингвис тической переменной «высокий мужчина», графическое представ ление которой приведено на рис. 27.9, имеет вид:
Li |
= 0 /140 + 0,1 /150 + 0,3 /160 + 0,53 /170 + 0,75 /190 + 0,95 / 200. |
Г в м |
5 |
’ |
5 |
’ |
> |
Каждое слагаемое этой функции соответствует значению фун кции принадлежности для определенного значения роста челове ка.
Предложенный в теории нечетких множеств математический аппарат в виде операций сложения, объединения, умножения поз воляет производить обработку цифрового массива функций при надлежности. Несмотря на привлекательность аппарата нечетких множеств при его применении возникают проблемы, прежде всего, психологического плана, которые сдерживают его внедрение. Суть этих проблем состоит в том, что в ходе обработки функций прина длежности получаются результаты в виде числовых матриц, труд но поддающиеся осмысленному обратному преобразованию в зна чения лингвистических переменных.
Для оценки показателей предлагается аппарат, который луч ше согласуется с логикой человека, оперирующий качественными понятиями. Он основывается как на понятиях аппарата нечетких множеств, так и психологических основах обработки информации человеком. Принципы его иллюстрируются рис. 27.10.
Суть предложений состоит в следующем.
1. Человек принимает решения путем сравнительного анализа небольшого количества альтернативных вариантов, в среднем око ло 7. Альтернативы оцениваются качественными значениями по рядковой или ранговой шкалы, или в терминологии Заде — терма ми лингвистической переменной. Учитывая способность человека одновременно оперировать в среднем 5-9 словами и числами, ко личество градаций лингвистической шкалы следует выбирать та кого же порядка.
Качественная порядковая шкала |
|
|
|
ООМ МОМ ОМ |
М |
С |
Б |
ОБ БОБ ООБ Качественные |
значения X
Рис. 27.10. Шкалы для оценки показателей в области информационной безопасности
Обозначения: ООМ — очень, очень малый(ая); МОМ — менее чем очень малый; ОМ — очень малый; М — малый; С — средний; Б — боль шой; ОБ — очень большой; БОБ — более чем очень большой; ООБ — очень, очень большой.
2.Значения лингвистических переменных «цена информации», «риск угрозы», «ущерб от реализации угрозы»: очень очень боль шая, очень большая, большая, средняя, малая, очень малая, очень очень малая лингвистических переменных образуют качествен ную шкалу с 7 градациями. Для других лингвистических перемен ных градации шкалы будут характеризоваться другими понятия ми. Но общими для них являются базовые значения «болыиой(ая)», «малый(ая)» и модификаторы «очень».
3.Над качественной шкалой располагается количественная шкала, значения которой соответствуют значениям показателя ка чественной шкалы. Значения «большой» или «малый» идентич ны этим значения в первой степени, т. е. большой = большой1, а ма лый = малый1.
4.Учитывая способность человека к дихотомии (разбиению линейного размера пополам), точка отсчета (условный нуль) со ответствует значению «средний (средняя)» лингвистической пе ременной качественной шкалы или 0 количественной шкалы. Значение «средний» можно интерпретировать как «не большой и не малый», «не высокий и не низкий». Примем, что средний со ответствует большому или малому в нулевой степени, т. е. сред ний = большой0 = малый0.
5.Справа от нуля располагается подмножество больших значе ний лингвистических переменных с базовым значением «большой» («высокий»). Другие большие значения образуются с помощью мо дификаторов «очень»: очень большой, очень, очень большой (чрез мерно большой) и т. д. Психологически модификатор «очень» соот ветствует концентрации значения лингвистической переменной пу тем возведения ее в степень 2. Следовательно, очень большой = боль шой2; очень, очень большой = (очень большой)2 = большой4.
6.Слева от нуля находится область подмножества малых значе ний лингвистической переменной или отрицательных чисел коли чественной шкалы. Значения лингвистической переменной, мень шие «среднего», соответствуют «малый», «очень малый» и т. д. или «низкий», «очень низкий» и т. д. Учитывая, что психологически про изведение «большой» на «малый» воспринимается как «средний», то малый = средний / большой» = болшой0 / большой1= большой4 , очень малый = большой 2 и т. д.
Следовательно, все значения лингвистической переменной можно выразить через одно базовое значение «большой», «малый», «высокий», «низкий» в соответствующей степени.
Сучетом введенных обозначений любая лингвистическая пе ременная может быть записана в виде алгебраического выражения: ух", где у — наименование лингвистической переменной (цена, ве роятность, риск, ущерб и др.), х — базовое значение лингвисти ческой переменной, п — положительные или отрицательные на туральные числа. Например, показатель «очень большая цена информации» = х2у, где х — большая, у — цена информации.
Для повышения объективности оценки показателей необходи мо выявить факторы, влияющие на их величину, и установить свя зи между значениями этих факторов и показателей. Основные из этих факторов указаны в табл. 27.11.
|
№ |
Лингвистическая пе |
Условные |
|
ременная (показатель |
обозначения |
|
п/п |
|
|
процедур оптимизации) |
показателя |
|
1 |
2 |
3 |
|
1 |
Цена информации i-ro |
С . |
|
|
источника |
И1 |
|
|
|
Таблица 27.11
Факторы, учитываемые при оценке показателя
4
Гриф секретности
1 |
2 |
3 |
2 |
Вероятность k-й угро |
Рук1 |
|
зы информации i-ro ис |
|
|
точника |
|
3 |
Ущерб от k-й угрозы |
с t |
|
информации i-ro источ |
yki |
|
|
|
ника |
|
4 |
Затраты на предотвра |
С , |
|
щение k-й угрозы ин |
зк» |
|
|
|
формации i-ro источ |
|
|
ника |
|
5 |
Эффективность меры |
W , |
зк)
на предотвращение к-й угрозы информации i-ro источника
4
Р |
= р<пу) |
. р(оу) |
yki |
. р(ву) |
yki |
yki |
|
yki |
С = С . ■p ..
yki m yki
Затраты на проектирова ние, закупку, установку и эксплуатацию техничес ких средств и реализацию организационных мер
Примечание. Р'пу)ук|, P(’y)yki, P<By>yki — вероятности выполнения пространс твенного, энергетического и временного условий разведы вательного контакта.
На цену защищаемой информации влияют собственные затра ты организации при ее получении, ожидаемая прибыль от приме нения информации, ущерб при попадании этой информации к зло умышленнику. В первом приближении цена защищаемой инфор мации пропорциональна грифу ее секретности. Но значения гри фа секретности образуют порядковую шкалу. У каждого челове ка формируется собственное опорное представление о количест венной мере качественного значения лингвистической перемен ной. Например, для одного человека цена одного и того же това ра очень малая, для другого — очень большая. Учитывая, что за дача оптимизации системы защиты решается в конкретной орга низации для уменьшения субъективизма, в качестве опорной меры целесообразно использовать экспертную оценку в организации ко личественной меры базового значения «большая» цена или «боль шие» расходы.
Попадание к противнику информации, составляющей тай ну организации, может нанести ей ущерб, который в общем слу чае оценивается в зависимости от мощности организации как сред-
ний или большой. Например, если грифу «секретно» можно сопос тавить значение (х) цены информации как большая — х1, то «со вершенно секретно» — чрезвычайно (очень, очень) большая — х2, «особой важности» — (очень, очень большая)2 — х4.
Еще большая неопределенность возникает при определении значений вероятности угрозы. Единственная возможность повы сит достоверность оценки — расчленение этого показателя на со ставляющие и определение значений этих составляющих, что сде лать обычно проще, чем оценить значение интегрального показа теля. Для получения информации злоумышленником необходимо выполнить ряд этапов и процессов, которые можно свести к трем условиям разведывательного контакта злоумышленника с источ ником информации:
—поиск и обнаружение источника информации;
—размещение технического средства добывания на удалении от источника, при котором обеспечивается приемлемое отношение сигнал/шум на входе средства;
—совпадение времени и проявления демаскирующих признаков объекта защиты или передачи семантической информации и ра боты средства добывания.
Угроза реализуется при одновременном выполнении этих ус ловий, а вероятность ее равна произведению соответствующих ве роятностей.
С учетом рассмотренных предложений значения показателей алгоритма проектирования системы защиты информации указаны, в табл. 27.12.
|
|
|
|
|
Таблица 27.12 |
|
№ |
|
Значения |
Алгебраические выра |
|
Лингвистические переменные |
показа |
жения для вычисления |
|
п/п |
|
|
телей |
значений показателей |
|
|
|
|
1 |
2 |
3 |
|
4 |
|
1 |
Цена информации |
х"у |
|
|
|
|
j |
и |
|
|
2 |
Вероятность выполнения про |
хру |
пу |
|
|
|
странственного условия |
J |
|
|
|
|
|
|
|
3 |
Вероятность выполнения энер |
хгуJ 0у |
|
|
|
гетического условия |
|
|
|
|
2 |
3 |
4 |
4 |
Вероятность выполнения вре |
х8у |
|
|
менного условия |
J ву |
|
|
|
|
5 |
Вероятность угрозы |
ХШУУ |
ХтуJ у =хр +г+ 8(у\ J п у Jуэу Jув у)/ |
6 |
Ущерб от угрозы |
xsy |
х5Ууу = Х" +т(УиУу) |
|
|
J у у |
7 |
Затраты на меру защиты |
Х'У3 |
|
8 |
Эффективность меры по защите |
|
xhy3 = Xs Чууу/ У3) |
Примечание. 1. |
В выражениях табл. 27.12 опущены для упрощения запи |
си индексы i и к обозначения i-ro источника и k-й угрозы; |
2. |
Jуп у -уJ э у -у^ в у —>у^ у у ’; у' и • у' у —>у^ у у ’; у^ у у / у^ 3т —>у.J э |
Пример. 1. Исходные данные:
•цена информации — очень большая (х2уи);
•вероятность выполнения пространственного условия — ма
|
лая (х-'упу); |
|
|
• |
вероятность |
выполнения |
энергетического условия — ма |
|
лая (х-'уэу); |
|
|
• |
вероятность |
выполнения |
временного условия — средняя |
(А вУ);
•затраты на меру защиты — малые (х ’уз).
2.Производные показатели:
•вероятность угрозы — х~'~|+0у = х_2у — очень малая угроза;
•ущерб от угрозы — х2 2Ууу = х°Ууу — средний;
•эффективность меры защиты — х0+|уэ — высокая.
Для цены информации «большая» при тех же остальных ис ходных данных:
•ущерб от угрозы — х‘"2Ууу = х 'Ууу — малый;
•эффективность меры защиты — х~1+|уэ = х°уэ — средняя.
Таким образом, рассмотренный аппарат позволяет произво дить простейшие операции непосредственно со значениями лин гвистических переменных без промежуточного перевода их в чис ловые значения. Для одинакового восприятия значений лингвисти ческих переменных разными людьми необходимо базовое значе ние прокомментировать соответствующим по мнению лица, про изводящего оптимизацию, числовым значением.
Рассмотренный аппарат может найти применение не только для решения задач защиты информации, но и любых других слабо формализуемых задач, при решении которых применяются качес твенные шкалы.
Вопросы для самопроверки
1.Этапы алгоритма проектирования (модернизации) системы за щиты информации.
2.Условия завершения оптимизации и функции обратной связи в алгоритме проектирования (модернизации) системы защиты информации.
3.Виды моделей, применяемые при проектировании системы за щиты информации.
4.Основные процессы, выполняемые при моделировании объек тов защиты.
5.Основные процессы моделирования угроз информации.
6.Типы злоумышленников, проникающих в организацию.
7.Математический аппарат, применяемый для моделирования ка налов несанкционированного доступа к информации.
8.Основные процедуры и показатели моделирования каналов утечки информации.
9.Рекомендации по оценке риска утечки информации по оптичес кому каналу утечки.
10.Рекомендации по оценке риска утечки информации по акусти ческому каналу.
11.Рекомендации по оценке риска утечки информации по радио электронному каналу.
12.Основные положения математического аппарата, рекомендуе мого для оценки показателей моделирования системы инженер но-технической защиты информации.
