Выбор показателей эффективности и критериев оптимальности ксзи

Эффективность – это способность КСЗИ выполнять возложенные на нее функции защиты информации в КС при заданных условиях функционирования. Она является мерой целесообразности применения КСЗИ, связанной с ее назначением, наиболее общим показателем ее способности обеспечить защиту обрабатываемой информации на надлежащем уровне. Эффективность проявляется в конкретных заданных условиях эксплуатации системы, т.е. если условия функционирования меняются радикально (например, появление новых угроз, которые не были учтены при создании КСЗИ), то система либо перестает выполнять свои функции (эффективность становится нулевой), либо выполняет их с весьма низким качеством (эффективность становится ниже заданной нормы).

Эффективность системы определяется с помощью показателей эффективности (качества), под которыми понимают некоторые числовые величины, позволяющие дать оценку качества решения конкретной системой возлагаемых на нее задач.

При выборе показателей эффективности КСЗИ следует иметь в виду, что понятие эффективности всегда связано с получением от системы некоторого полезного результата (выигрыша G), достигаемого ценой аппаратно-программных, информационных, энергетических, денежных и прочих затрат, которые обеспечивают функционирование системы (платы за выигрыш С) в конкретных условиях. При этом плату С не следует смешивать с первоначальными затратами на создание КСЗИ. В конечном итоге она расходуется во внешней среде, с которой взаимодействует система, а источником ресурса для восстановления расходов и служит выигрыш G.

Выбор показателей эффективности является внесистемной задачей, которую следует решать на основании цели системы более высокого порядка, чем рассматриваемая. Так, КСЗИ является подсистемой КС, в которой она обеспечивает техническую защиту информации. Поэтому эффективность КСЗИ должна определять тот вклад, который она вносит в общую эффективность системы автоматизированной обработки информации.

Основными требованиями, предъявляемыми к показателю эффективности при его выборе, являются следующие:

• соответствие (адекватность) показателя цели оцениваемой системы, отображаемой необходимым результатом, который требуется достичь (Э_тр), – адекватный показатель позволяет оценить эффективность системы по степени достижимости ее основной (а не второстепенной) цели;

• представительность – показатель должен отражать эффективность той системы, в состав которой входит оцениваемая подсистема;

• полнота (содержательность) – содержательный показатель позволяет исследовать эффективность системы без привлечения дополнительных характеристик;

• чувствительность – показатель должен быть чувствительным к изменениям основных характеристик внешней среды и самой системы, которые влияют на эффективность последней;

• измеримость – показатель должен позволять количественно оценивать эффект использования системы (он может быть размерным или безразмерным);

• форма показателя должна быть по возможности простой, а содержание показателя должно соответствовать здравому смыслу (быть легко интерпретируемым).

В общем виде показатель эффективности системы можно выразить по-разному, например:

• разностью Э = G – C, если выигрыш и плата измеряются в одинаковых единицах;

• отношением Э = G/C, если выигрыш и плата измеряются в разных единицах;

• выигрышем при ограниченной плате Э = G|_CС*, где С^* – предельно допустимая плата.

Так как функционирование КСЗИ осуществляется в условиях воздействия случайных факторов, то показатели эффективности можно разделить на два класса:

1. показатели типа вероятности достижения цели, стоящей перед системой, например, вероятность того, что нарушитель не сможет преодолеть созданную систему защиты информации в КС Р_СЗИ;

2. показатели типа среднего результата, например, средний ожидаемый ущерб, наносимый защищаемой информации при реализации угроз безопасности R_ущ; средний предотвращенный КСЗИ ущерб защищаемой информации R_пр; среднее время взлома шифра _взл, характеризующее криптостойкость применяемого метода шифрования и т.п.

Показатели эффективность КСЗИ определяются ее параметрами, а также внешними условиями, в которых осуществляется функционирование. Если через обозначить множество количественных и качественных параметров системы, характеризующих как свойства ее элементов, так и связей между ними, а через множество параметров внешней среды (для КСЗИ – это характеристики угроз, каналов утечки, нарушителя, КС и т.д.), то показатель эффективности формально представляется в виде Э = Э(Х,Y). Очевидно, практическую ценность представляют только те системы, эффективность которых превосходит некоторый пороговый уровень Э_*, т.е. Э  Э_*. Поэтому разработка КСЗИ заключается в том, чтобы путем выбора множества Х обеспечить выполнение этого условия, если элементы множества Y изменяются случайно в некоторых заданных диапазонах.

Основная трудность проектирования системы с большим числом элементов и со сложными функциональными связями между ними состоит в необходимости учета в одном показателе эффективности очень большого числа учитываемых параметров N и факторов М. Для преодоления этой трудности, как правило, вводится система некоторых промежуточных показателей, называемых показателями качества системы, которые характеризуют отдельные свойства проектируемой КСЗИ и вычисляются значительно проще, чем обобщенный показатель эффективности:

, (8)

где К – количество введенных показателей качества КСЗИ, причем значение К должно быть значительно меньше NМ.

Оценка эффективности КСЗИ проводится с целью принятия конкретных решений по построению системы, выбору конкретных средств защиты, улучшению характеристик, сравнению с аналогичными системами и т.п. Механизмом принятия таких решений выступает критерий эффективности – правило, позволяющее сравнивать между собой системы, характеризуемые различной эффективностью, и осуществлять целенаправленный выбор стратегий построения (совершенствования, эксплуатации и т.д.) КСЗИ из множества допустимых альтернативных вариантов. Критерий эффективности, как правило, основывается на некотором показателе эффективности, т.е. представляет собой некоторое численное значение показателя, по которому оценивается система при ее разработке или исследовании в процессе эксплуатации.

Основой выбора критерия эффективности является принятая концепция выработки решений.

1. Концепция пригодности – рациональным является любое решение uU_доп (здесь U_доп – множество допустимых решений (например, вариантов построения КСЗИ)), при котором выбранный показатель эффективности Э(u) не ниже некоторого заданного уровня (нормы) Э_*, т.е.

Э(u)  Э_*, uU_доп. (9)

В рамках этой концепции выбор решения осуществляется в соответствии с критерием пригодности, например,

• по критерию принятого среднего результата: выбираются такие варианты построения КСЗИ u^*U_доп, для которых средний предотвращенный ущерб от потенциальных угроз R_пр выше заданного уровня R_*: R_пр(u^*)  R_*;

• по критерию допустимой гарантии: выбираются такие варианты построения КСЗИ u^**U_доп, для которых вероятность того, что стойкость защиты Р_СЗИ превышает заданное значение Р^*, не ниже гарантированного уровня Р_тр: Р[Р_СЗИ(u^**)  Р^*]  Р_тр.

Концепция пригодности не является гибкой, так как выполнение неравенства (9) возможно для нескольких допустимых вариантов построения КСЗИ, которые считаются равноэффективными, что противоречит реальности.

2. Концепция оптимизации – выбираются решения u^*U_доп, максимизирующие (или минимизирующие) выбранный показатель эффективности Э(u) при фиксированных ограничениях, которые формально задаются в виде системы неравенств G(u)G₀, т.е.

(10)

где extr{} означает определение максимума (или минимума) функции, стоящей в фигурных скобках.

Примерами критериев оптимальности являются критерии максимального (минимального) среднего результата и критерий максимальной гарантии.

В частности, к задаче оптимизации сводится задача проектирования КСЗИ, которая должна быть создана к заданному сроку. Реализуемость системы определяется потребными для ее создания затратами. Если эти затраты или сроки реализации не превышают некоторого установленного предела W^*, то систему можно считать реализуемой. В соответствии с этим возможны две формулировки задачи проектирования КСЗИ:

• максимизировать эффективность системы Э(Х,Y) при затратах W(Х), не превышающих допустимого значения W^*, т.е. определить

; (11)

• минимизировать затраты на создание системы W(Х,Y) при условии, что обеспечена эффективность системы не ниже некоторого минимально допустимого значения Э_*, т.е. найти

. (12)

Применение концепции оптимизации оправданно в тех случаях, когда условия функционирования проектируемой КСЗИ строго фиксированы, а показатель эффективности не изменяется во времени. Эта концепция приводит к целенаправленной, но не гибкой системе решений, т.е. не учитывается текущая информация относительно изменений, происходящих в системе и во внешней среде при реализации решений u^*.

3. Концепция адаптивности предусматривает возможность оперативного реагирования КСЗИ на поступающую текущую информацию об изменении условий функционирования защищаемой КС и самой КСЗИ. Суть концепции заключается в изменении параметров, структуры и алгоритмов функционирования КСЗИ на основе априорной, текущей и прогнозируемой информации с целью достижения или сохранения определенной эффективности системы при изменяемых условиях функционирования последней. Концепция предусматривает возможность пересмотра ранее принятого решения или его корректировки на основе текущей и прогнозируемой информации.

Рациональным считается решение u^*(t) из множества U_доп(t), которое, обеспечивает выполнение условия

(13)

где t - время;  - интервал прогноза. Запись Э_t(*) означает, что на разных этапах процесса функционирования системы могут использоваться разные показатели эффективности.

Анализ рассмотренных критериев эффективности показывает, что они основаны на использовании единственного скалярного показателя эффективности. А как поступать в случае, когда используется несколько показателей качества (типа системы (8))? Здесь речь идет уже о многокритериальной задаче. К сожалению, современной наукой не предложено общего метода решения подобных задач, хотя существует ряд частных подходов. Рассмотрим некоторые из них.

1. Метод главного показателя. Из множества заданных показателей качества выбирается один, который отражает наиболее существенные свойства КСЗИ. Он и будет выступать в дальнейшем в качестве показателя эффективности. Остальные же показатели должны удовлетворять системе ограничений, заданных в виде неравенств. Например, оптимальной может считаться система, удовлетворяющая следующему критерию эффективности:

при С ≤ С_доп., Т ≤ Т_доп., (14)

где Р_СЗИ – вероятность непреодоления нарушителем системы защиты за определенное время, С и Т – стоимостные и временные показатели КСЗИ соответственно, которые не должны превышать допустимых значений.

2. Методы ранжирования показателей по важности. При сравнении систем одноименные показатели эффективности сопоставляются в порядке убывания их важности по определенным алгоритмам. К таким методам относятся:

• лексикографический метод, заключающийся в том, системы первоначально сравниваются по наиболее важному показателю. Оптимальной считается та, у которой этот показатель наилучший. При равенстве самых важных показателей сравниваются показатели, занимающие по рангу вторую позицию. При равенстве и этих показателей сравнение продолжается до получения предпочтения в i-м показателе.

• метод последовательных уступок, также предполагающий оптимизацию системы по наиболее важному показателю F₁. При этом определяется допустимая величина изменения показателя F₁, которая называется уступкой. Измененная величина показателя: F’₁ = F₁ ± ₁ (₁ - величина уступки) фиксируется. Определяется оптимальная величина показателя F₂ при фиксированном значении F’₁, выбирается уступка ₂ и процесс повторяется до получения F_K1.

Мультипликативные и аддитивные методы свертки частных показателей качества. Для перехода от многокритериальной задачи оценки эффективности к однокритериальной частные показатели качества объединяются с помощью операций умножения или сложения в единственный обобщенный показатель. При этом может учитываться важность различных показателей, задаваемая весовыми коэффициентами , причем . Весовые коэффициенты определяются методами экспертных оценок.

В общем виде эти методы позволяют представить критерий эффективности следующим образом:

. (15)

Если в произведение (сумму) включается часть показателей, то остальные частные показатели включаются в ограничения.

4. Метод Эджворта-Парето. Предположим, что существует ограниченное число допустимых вариантов (альтернатив) U_доп построения КСЗИ, каждый из которых оценивается совокупностью K частных показателей качества , отображаемых соответствующей точкой в K-мерном пространстве.

Назовем альтернативу А доминирующей по отношению к альтернативе В, если по всем показателям оценки альтернативы А не хуже, чем альтернативы В, а хотя бы по одному показателю оценка А лучше. Тогда на множестве допустимых альтернатив U_доп в K-мерном пространстве можно выделить подмножество парето-оптимальных альтернатив, в которых каждая из альтернатив превосходит любую другую по какому-то из показателей. Другими словами, в этом подмножестве располагаются несравнимые альтернативы, для которых улучшение какого-либо показателя невозможно без ухудшения других показателей качества. Выбор наилучшего решения из числа парето-оптимальных альтернатив может быть осуществлен только при наличии дополнительной информации (например, предпочтений лица, принимающего окончательное решение о выборе варианта построения КСЗИ).

Рис. 5 иллюстрирует использование данного метода при оценке вариантов построения системы на основе критериев «стоимость-эффективность». Каждый из 8 допустимых вариантов построения КСЗИ независимо оценивается по двум показателям – эффективности (например, обеспечиваемой стойкости защиты) и стоимости реализации. Полученные значения для каждого из вариантов наносятся на координатную плоскость в виде точки. К несравнимым между собой вариантам относятся u₄, u₇, u₈, среди которых и следует выбирать оптимальный вариант, но при этом следует воспользоваться какой-либо дополнительной информацией.

Завершающим этапом формализации задачи разработки КСЗИ является построение математической модели. На этом этапе уже должны быть известны:

• О = {о₁, о₂, ..., о_J} – перечень объектов защиты, их характеристики и связи;

• У = {у₁, у₂, ..., у_S} – набор реальных и потенциальных угроз, их характеристики;

• Ф = {f₁, f₂, ..., f_N} – перечень функций, которые должна реализовывать КСЗИ;

• M = {m₁, m₂, ..., m_R} – возможные механизмы защиты, их характеристики;

• U = {u₁, u₂, ..., u_P} - способы управления КСЗИ;

• F = {F₁, F₂, ..., F_K} - показатели качества КСЗИ, обобщенный показатель эффективности Э и критерий эффективности.

Показатели качества зависят от защищаемых объектов, реальных и потенциальных угроз, выполняемых функций, механизмов защиты и способов управления КСЗИ: F=W(О,У,Ф,М,U).

Критерий эффективности определяется набором используемых показателей качества F и заданными нормативами F_доп: Э = Е(F, F_доп).

В этом случае формальная постановка задачи разработки КСЗИ может быть представлена в следующем виде: найти , при М^*М, U^*U, которым соответствуют F^*F_доп.

Физическая интерпретация этой задачи заключается в том, что требуется создать или выбрать такие механизмы защиты информации и способы управления системой защиты, при которых обеспечивается выполнение всего множества заданных функций и достигается максимум или минимум выбранного критерия, а также выполняются ограничения на некоторые частные показатели качества.

Приведенная постановка задачи и представления модели проектируемой КСЗИ применимы не только для решения общей, но и частных задач оценки эффективности системы, распределения функций защиты по различным уровням и звеньям, выбора и обоснования механизмов (средств) защиты, их тактико-технических характеристик и т.п.