1.5 Реализация выбора оптимального по эффективности проекта системы защиты
При разработке комплексных проектов защиты информации необходимо помимо эффективности предлагаемых мероприятий рассмотреть эффективность проекта в целом.
Смысл всех мероприятий в сфере анализа рисков в конечном итоге заключается в том, чтобы предоставить исходные данные для выбора оптимальной стратегии защиты компьютерной системы предприятия. На этапе проектирования это может быть, например, выбор одного из нескольких альтернативных проектов системы защиты.
Подобное решение может быть принято и обосновано или с помощью формальных методик, или методик, базирующихся на использовании знаний и профессиональной интуиции специалистов-экспертов. Первый подход позволяет строго обосновать сделанный выбор, но, как правило, требует большого количества точных исходных данных. Второй подход, соответственно, менее требователен к формализации задачи, но более зависим от "человеческого фактора".
В качестве примера формального подхода рассмотрим использование классических критериев теории принятия решений. Пусть необходимо выбрать один из нескольких возможных проектов защиты компьютерной системы. В системе был проведен анализ рисков, позволивший выявить обобщенные угрозы безопасности (под обобщенной угрозой будем понимать подмножество угроз информационной безопасности, сходных по оказываемому на систему воздействию и мерам противодействия этим угрозам) и оценить потери от их реализации. Полученные в результате данные сведены в таблицу следующего вида:
|
Угроза 1 |
… |
Угроза M |
Проект 1 |
|
|
|
… |
|
|
|
Проект N |
|
|
|
Ячейки таблицы отражают исход каждой ситуации. Тот способ, которым получается эта оценка, должен быть определен в самом начале исследования системы.
Примечание. В этой связи, очень показательно разделение на этапы, предусмотренное моделью Lyfecyle Securit. Определение метрики, которую буем использовать для оценки системы защиты, производится на первом этапе построения системы защиты и поставлено в один ряд с разработкой политики безопасности.
В нашем примере в качестве подобной оценки будем использовать сумму стоимости проекта и оценки последствий реализации угрозы. Для каждой ситуации, описываемой парой "проект-угроза", подобную оценку можно интерпретировать следующим образом: "Было затрачено N руб. на защиту системы, но ее все равно преодолели и нанесли потери на M руб., соответственно общие потери равны N+M".
Для примера рассмотрим следующую ситуацию. Есть два проекта стоимостью 200 и 250 единиц, соответственно.
И выделено три обобщенных угрозы. Кроме того, для полноты картины введем тривиальный проект защиты (никаких действий по усилению защищенности ИС он не предусматривает, т.е. полное принятие рисков) и аналогичную "тривиальную" угрозу (бездействие нарушителя). По результатам анализа рисков была составлена следующая таблица (т.к. для владельцев защищаемой компьютерной системы это все потери, то приводимые значения взяты со знаком минус):
Таблица 1.9
Результаты анализа рисков по трем обобщенным угрозам
|
Угроза 1 |
Угроза 2 |
Угроза 3 |
Бездействие |
Проект 1 |
-200-200=-400 |
-200-150=-350 |
-200-70=-270 |
-200-0=-200 |
Проект 2 |
-250-50=-300 |
-250-70=-320 |
-250-30=-280 |
-250-0=-250 |
Бездействие |
-0-500=-500 |
-0-400=-400 |
-0-400=-400 |
-0-0=-0 |
Теперь надо выбрать наилучшую стратегию поведения: внедрить проект 1, проект 2 или вообще воздержаться от действий по защите информации. Но возникает вопрос - наилучшую в каком смысле, по какому критерию. Ниже рассмотрены 4 классических критерия принятия решений и даны их интерпретации.
Пусть задача принятия решения задана в виде матрицы Hmґn (Подобную матрицу в литературе называют матрицей решений или матрицей системных оценок) и надо выбрать строку, которая соответствует оптимальной стратегии. В нашем примере, эта матрица выглядит так:
|
-400 |
-350 |
-270 |
-200 |
Н3х4 = |
-300 |
-320 |
-280 |
-250 |
|
-500 |
-400 |
-400 |
0 |
Применение каждого из рассмотренных критериев позволяет сопоставить строке матрицы решений одно значение. В нашей задаче в итоге надо выбрать ту строку, которой будет соответствовать максимальное значение критерия.
Критерий Вальда
(принцип максимина) использует в качестве
оценки для строки минимальное значение
элемента. Если через
обозначить
значение критерия для
-й
строки, то
(1)
а оптимальное решение обеспечит выбор r-й строки, которая удовлетворяет условию:
(2)
где
-
элемент матрицы решений. Данный критерий
соответствует наиболее пессимистичной
стратегии выбора, т.к. в расчет принимается
только наиболее неблагоприятная
ситуация. С другой стороны, при
использовании данного критерия в
наибольшей степени исключается риск -
ведь выбирается стратегия, которая даст
наилучший результат при наихудшем
развитии событий.
Критерий Лапласа (критерий недостаточного основания). Значение данного критерия рассчитывается по следующей формуле:
(3)
Оптимальная стратегия выбирается также как и в предыдущем случае - по максимальному значению критерия. Здесь наиболее предпочтительной станет та стратегия (тот проект), которая даст наилучший средний результат, т.е. при выборе проекта защиты мы исходим из предположения, что все угрозы равновероятны.
В тех случаях, когда можно оценить вероятность, с которой появляется каждая ситуация (вероятность возникновения j-й угрозы), вместо критерия недостаточного основания используется критерий Байса-Лапаласа, который определяется следующей формулой:
(4)
где
-
вероятность возникновения j-й угрозы.
Если сравнивать с максиминным критерием, то критерий Лапласа соответствует менее пессимистичному настрою лица принимающего решения.
Критерий Гурвица
(критерий пессимизма-оптимизма). При
использовании данного критерия
определяется число α
(0≤α≤1), характеризующее
степень оптимизма - ожидания получить
.
Тогда (1-α)
рассматривается
как степень пессимизма, т.е. ожидания
получить
.
Значение оценки рассчитывается по
формуле:
(5)
При нулевом оптимизме критерий Гурвица превращается в критерий Вальда.
Критерий Сэвиджа (критерий максиминного сожаления). В данном случае, исходная матрица выигрышей H заменяется матрицей сожалений R, элементы которой формируются следующим образом:
(4.7)
где rij - значение, меньшее или равное нулю, показывающее величину потерь игрока при выборе стратегии i вместо той стратегии, которая оптимальна для j-й ситуации. К сформированной таким образом новой матрице применяется принцип максимина.
С точки зрения задачи обеспечения информационной безопасности легче всего интерпретируются результаты применения критериев Вальда и Лапласа. В первом случае, речь идет о выборе проекта подсистемы защиты, который обеспечит наименьший показатель "затраты на проект плюс потери" при реализации нарушителем самой опасной угрозы (т.е. минимум значения "затраты на проект плюс наибольшие потери"). Это соответствует наиболее осторожному подходу, когда проект выбирается, исходя из самых неблагоприятных ожиданий. В то же время, выбор, сделанный в соответствии с данным критерием, может обеспечить хороший результат в самом неблагоприятном случае, но весьма посредственный - в любом другом.
Применение критерия Лапласа можно интерпретировать как выбор проекта, обеспечивающего наилучший показатель суммы затраты на проект и среднего значения ожидаемых потерь.
Для рассмотренного ранее примера как по критерию Вальда, так и по критерию Лапласа оптимальным будет выбор второго проекта:
Таблица 1.10
Расчет критериев Вальда и Лапласа
|
Угроза 1 |
Угроза 2 |
Угроза 3 |
Бездействие |
Критерий Вальда |
Критерий Лапласа |
Проект 1 |
-400 |
-350 |
-270 |
-200 |
-400 |
-305 |
Проект 2 |
-300 |
-320 |
-280 |
-250 |
-320 |
-287,5 |
Бездействие |
-500 |
-400 |
-400 |
-0 |
-500 |
-325 |