Ключевым моментом в отнесении информации к категории ограниченного доступа является оценка величины ущерба, наносимого предприятию в результате преждевременного раскрытия информации.
В рассматриваемой проблеме мы сталкиваемся со случаем, когда не существует элементарных измеримых свойств ущерба безопасности предприятия и возможности его нанесения в случае раскрытия или утечки информации. Отсутствие статистических данных и трудность оценки ущерба безопасности предприятия в результате раскрытия информации определяют выбор метода экспертных оценок для его измерения.
Для сопоставления различных сведений, определяющих необходимость их закрытия или ограничения доступа к ним, а также для определения соответствующей этим сведениям степени конфиденциальности, можно сравнивать рассматриваемые сведения по степени проявления всей совокупности возможных угроз в случае несанкционированного распространения сведений, составляющих тайну.
В этом случае возникает задача ранжирования, или определения «веса» (важности) каждой угрозы с тем, чтобы получить единую меру или показатель, характеризующий угрозу безопасности предприятия в целом. Важность угроз безопасности предприятия можно оценивать по величине возможного ущерба, который может быть нанесен при их реализации.
|
|
Для распределении угроз безопасности предприятия по различным рангам важности оценивается их числовое значение исходя из парных сравнений важности угроз. При этом используется избыточная информация, поскольку каждая угроза последова-
тельно сравнивается со всеми остальными. Методологической основой проведения этой работы целесообразно выбрать метод, разработанный Т.Л.Саати.
При оценке угроз и связанной с ними важности «ущербов» необходимо прежде всего разрешить проблему измерения величины возможного ущерба, который может проявиться в результате раскрытия (утечки) информации.
Чтобы представить результат сравнения двух «ущербов» в виде разумных цифр, требуется глубокое понимание сравниваемых «ущербов» и в особенности того, в какой степени их свойства влияют на интересы предприятия. Предполагается, что источником суждений является опрос экспертов, осведомленных в данной области.
Группе экспертов предлагается оценить степень важности ущербов по их влиянию на интересы предприятия методом парного сравнения и заполнить матрицу парных сравнений А = (а,у). Каждый эксперт, пользуясь вербально-числовой шкалой, заполняет матрицу парных сравнений:
A = /aiJ/,i=\, Q,
где а у — результат сравнения относительной важности /-го иу-го «ущерба».
|
|
Параметры а0 назначаются в соответствии с вербально-числовой шкалой, приведенной в табл. 20.3.
Основная цель применения вербальной числовой шкалы состоит в том, чтобы облегчить задачу привлекаемым к экспертизе специалистам и обеспечить единое толкование оценок отдельными экспертами.
Важности ущербов определяются на основе вычисления множества собственных векторов для каждой матрицы. Вычисление собственных векторов — не очень сложная задача, однако может потребовать довольно много времени. К счастью, имеются несложные пути получения хорошего приближения к приоритетам. Одним из наилучших путей является геометрическое среднее. Это можно сделать, перемножая элементы в каждой строчке и извлекая корни и-й степени, где п — число элементов. Полученный таким образом столбец чисел нормализуется делением каждого числа на сумму всех чисел.
Пример парного сравнения важности ущербов представлен в табл. 20.4.
Все оценки парных сравнений подвержены погрешностям, которые могут привести к несогласованным выводам. Степень согласованности суждений экспертов оценивается индексом согласованности (ИС).
В каждой матрице ИС может быть приближенно вычислен следующим образом. Сначала суммируется каждый столбец суж-
Таблица 20.3. Шкала сравнительной оценки важности угроз
(ущербов)
Величина относительной | ||
Определение | Объяснение | |
важности | ||
Равная важность | Равное влияние двух | |
видов ущерба на безопас- | ||
ность предприятия | ||
» | Опыт и суждения позво- | |
j | умеренное превосходство | |
одного над другим | ляют сделать вывод о немного большем воздействии одного ущерба по сравнению с другим | |
Существенное или сильное | Опыт и суждения позво- | |
превосходство | ляют вывод о сильном воздействии одного ущерба по сравнению с другим | |
Значительное | Одному виду ущерба | |
превосходство | дается настолько сильное превосходство, что он становится практически значительным | |
Очень сильное | Очевидность превосход- | |
превосходство | ства одного вида ущерба над другим подтверждается наиболее сильно | |
2,4,6,8 | Промежуточные решения | Применяются в компро- |
между двумя соседними | миссном случае | |
Величины, | Если при сравнении одного | |
обратные | вида ущерба с другим полу- | |
приведенным | чено одно из вышеуказан- | |
выше | ных чисел (например, величины 5), то при сравнении второго вида ущерба с первым получаем обратную величину(например, 1/5) |
дений, затем сумма первого столбца умножается на величину первой компоненты нормализованного вектора приоритетов, сумма второго столбца — на вторую компоненту и т.д. Затем полученные числа суммируются. Таким образом можно получить величину, обозначенную X. Для индекса согласованности имеем ИС = (X - п)/(п ~ 1), где п — число сравниваемых элементов. Для обратно симметричной матрицы всегда X > п.
Таблица 20.4. Матрица парных сравнений
Ущерб | и, | щ | (h | Оценка компонент собственного вектора | Нормализованный результат оценки |
и, | 3,63 | 0,74 | |||
Щ | 1/6 | 0,87 | 0,18 | ||
щ | 1/8 | 1/4 | 0,31 | 0,07 | |
Сравним эту величину с той, которая получилась бы при случайном выборе количественных суждений из шкалы 1/9, 1/8, 1/7,..., 1, 2,..., 9, но при образовании обратно симметричной матрицы. Ниже даны средние согласованности для случайных матриц разного порядка:
Размер матрицы............123456789
Случайная согласованность.........................0 0,58 0,9 1,12 1,24 1,32 1,41 1,45 1,49
Если разделить ИС на число, соответствующее случайной согласованности матрицы того же порядка, получим отношение согласованности (ОС). Величина ОС должна быть порядка 10 % или менее, чтобы быть приемлемой. В некоторых случаях можно допустить 20%, но не более. Если ОС выходит из этих пределов, то участникам нужно исследовать задачу и проверить свои суждения.
|
|
Для рассматриваемого примера имеем: X = (1 + 1/6 + 1/8) • 0,75 + (6 + 1 + 1/4) • 0,18 + (8 + 4 + 1) • 0,07 = 3,19; ИС = (3,19-3)/(3- 1) = 0,095; ОС = 0,095/0,58 = 0,16 (16%).
Полученная величина ОС меньше 20%, следовательно, согласованность экспертов достаточная.
Полезным способом исследования большого числа угроз, позволяющим существенно сократить объем вычислений, является группирование их в классы. После анализа классов угроз безопасности предприятия их элементы попарно сравниваются между собой по величине ущерба по относительной важности в этом классе.
В общем случае величина ущерба от реализации отдельной угрозы безопасности предприятия зависит от внешних и внутренних условий развития предприятия. Вследствие этого сопоставление угроз должно проводиться для возможных сценариев, причем для каждого формируется свой ряд «весов» угроз с тем, чтобы в дальнейшем при определении совокупного ущерба от распространения оцениваемого сведения для определения степени конфиденциальности выбрать максимальный ущерб из множества совокупных ущербов, соответствующих различным рассмотренным сценариям развития предприятия.
Предполагается, что для оценки каждого подмножества угроз выбирается группа экспертов, знакомых со сравниваемыми угрозами и их влиянием на безопасность предприятия.
После определения векторов приоритетов всех уровней иерархии угроз рассчитывается вектор приоритетов угроз нижнего уровня.
Расчет величин возможных ущербов в результате проявления отдельных угроз безопасности предприятия может быть получен также с использованием имеющихся математических моделей, например рассмотренной в разд. 20.3.1. Если в обоих случаях (с помощью экспертов и на моделях) не были допущены грубые просчеты, то полученные оценки нельзя отнести к категории взаимоисключающих результатов. Наоборот, оба подхода, дополняя друг друга на независимой основе, должны обеспечить более объективную выработку требуемых рекомендаций.
|
|
Не все из оцененных по величине ущерба угроз безопасности предприятия могут проявляться при раскрытии того или иного сведения. Оценка возможности возникновения угроз в результате раскрытия или утечки тех или иных сведений может быть проведена с помощью экспертов, хорошо понимающих ценность этой информации и связь таких сведений с угрозами безопасности предприятия. Для однозначного представления оценок используется специальная вербально-числовая шкала.
Степень связи «сведение — угроза» характеризует «вероятность» проявления оцениваемой угрозы безопасности предприятия при раскрытии (утечке) соответствующего сведения. Оценку степени связи «сведение —угроза» необходимо проводить для различных моментов времени. Указание момента времени и периода прогноза оценки степени связи «сведение —угроза» является важным пунктом при проведении экспертизы, так как возможность проявления угроз при раскрытии того или иного сведения является случайной величиной и зависит от многих факторов, в том числе от складывающейся в стране и мире политической и экономической ситуации.
Оценки степени или возможности нанесения ущерба безопасности предприятия в результате утечки отдельных сведений субъективны в том смысле, что два человека могут приписать различные числа одному и тому же возможному исходу. Однако поскольку эти оценки базируются на информации, опыте и анализе объективной действительности, предполагается, что при прочих равных условиях различие между ними не столь существенно и для подготовки решений использовать их нельзя.
В результате проведенных оценок и обработки полученных данных формируется матрица «сведения —угрозы», элементы которой характеризуют возможность проявления угроз безопасности предприятия в результате преждевременного раскрытия информации.
Результатами проведенных оценок являются вектор приоритетов важности угроз безопасности предприятия и результирующая матрица суждений экспертов о степени их проявления при преждевременном раскрытии оцениваемых сведений.
Перед нами стоит задача агрегирования полученных оценок в единую целевую функцию, в результате которого каждому сведению может быть присвоен рейтинг, определяющий не только ранг сведения, но и «расстояние» между ними.
Расчет первичного рейтинга каждого сведения может быть проведен различными способами. Рассмотрим один, наиболее простой способ, который иллюстрирует идею метода количественной обработки данных, полученных на предыдущем этапе. По этому способу полученные оценки для отдельного сведения (категории сведений) определяются по формуле
м
rJTi)=1kim(TJ)lVm, (20.10)
m=l
где k^Tj) — медианное значение степени связи 5, сведения с
угрозой ут\ Wm — значение степени важности угрозы ут\ г,(7}) — рейтинг сведения Sh рассчитанный количественным способом для момента времени пересмотра степени конфиденциальности 7}; М — количество угроз безопасности предприятия.
Таким образом, каждому сведению присваивается его рейтинг, соответствующий расчету ценности данного сведения по величине интегрированного ущерба.
Рейтинг сведения является относительной характеристикой ценности сведения и показывает степень различия одного сведения относительно других по величине ущерба, который может быть нанесен в результате раскрытия сведения. По величине рейтинга сведения может быть установлена степень его конфиденциальности. Для этого множество всех рассматриваемых сведений отображается на соответствующей шкале конфиденциальности, представляющей ранжированное множество значений рейтингов сведений, разбитых на интервалы категорий конфиденциальности.
В конечном итоге наша цель заключается в нахождении глобального упорядочения сведений по величине их первичного рейтинга, характеризующего величину возможного ущерба при раскрытии оцениваемого сведения.
Определение границ перехода категорий конфиденциальности осуществляется на основе рейтингов сведений, определенных для данной степени конфиденциальности как «эталонные». Для этого каждый эксперт на основе качественных характеристик категорий конфиденциальности и имеющегося опыта работы указывает из списка оцениваемых им сведений те, в степени конфиденциальности которых у него нет сомнений.
Степень конфиденциальности информации определяется на основе попадания рейтинга сведения в тот или иной интервал шкалы конфиденциальности.