Методические рекомендации по оценке значений показателей моделирования

Одной из наиболее трудных задач, возникающих в процессе моделирования, является определение значений показателей: цены информации, уровня угрозы и вероятности ее реализации, затрат на предотвращение угроз. Такая проблема возникает при решении любых слабоформализуемых задач. Поэтому ей уделяется посто­янное внимание, хотя до ее решения еще далеко. Отсутствие одно­значной зависимости результата решения слабоформализуемой за­дачи от исходных данных, их неопределенность и недостоверность существенно затрудняют использование традиционного математического аппарата. Более того, часто этого не следует делать, так как при недостоверных исходных данных можно получить результат, далекий от реального.

Так как люди в повседневной жизни решают слабоформализу­емые задачи чаще, чем точные, то в процессе эволюции создан ме­ханизм их решения с приемлемой для выживания homo sapies точ­ностью. Алгоритм их решения на бессознательном уровне пока не известен, но получены полезные эвристические рекомендации.

Так как решение слабоформализуемых задач производит чело­век, в дальнейшем — лицо, принимающее решение (ЛПР), то ис­пользуемые методы объективно должны основываться на способ­ностях и возможностях ЛПР по решению таких задач. Они учиты­вают следующие эмпирические положения:

• точность решения ЛПР слабоформализуемых задач обратно пропорциональна их сложности, причем ЛПР может в среднем оперировать одновременно с 5-9 понятиями;

• объективность оценок ЛПР показателей процедур решения сла­боформализуемых задач в условиях недостаточной и недосто­верной информации выше при использования им качественных шкал, чем количественных;

• при ограниченности ресурса его целесообразно использовать, прежде всего, для предотвращения угроз с максимальным ущер­бом;

• эффективность использования ресурса выше при его комплек­сном применении, когда одни и те же меры предотвращают не­сколько угроз.

Из этих достаточно общих положений следует, что для повы­шения точности и объективности ЛПР выбора, целесообразно:

•детализировать алгоритм решения слабоформализуемой зада­чи, разбивая его на этапы и процедуры, при определении пока­зателя которых возникает меньше ошибок;

•при оценке показателей отдельных этапов и процедур использо­вать качественные шкалы с числом градаций (значений) в пре­делах 5-9;

•проранжировать угрозы безопасности информации по потенци­альному ущербу и расходование ресурса на предотвращение угроз производить последовательно, начиная с мер предотвраще­ния угрозы с максимальным ущербом;

• при разработке мер защиты учитывать влияние предыдущих мер на снижение ущерба рассматриваемой угрозы.

Действительно, если человек не знает точного количественно­го значения какого-либо показателя, он заменяет его качественной мерой: высокий человек, большая цена, длинный путь, малая веро­ятность и др. При этом его качественные оценки могут весьма точ­ными и однозначными.

В настоящее время предпринимаются многочисленные попыт­ки использовать для обработки нечетко определенной информации аппарат нечетких множеств Заде [5]. Суть подхода Заде состоит в замене качественных понятий, например, таких как «цена инфор­мации, «угроза безопасности информации» и др., названных линг­вистическими переменными, на количественные аналоги и после­дующей обработке числовой информации с помощью предложен­ного Заде математического аппарата. С этой целью вводятся фун­кции принадлежности или совместимости количественных значе­ний лингвистической переменной. На рис. 27.9 в графической фор­ме представлены функции принадлежности U_B(h) лингвистических переменных «высокая женщина» и «высокий мужчина».

Рис. 27.9. Графическое представление функции принадлежности

На этом рисунке по оси абсцисс указаны значения роста чело­века в см, а по оси ординат— числа в интервале [0-1], соответс-. твующие степени принадлежности значения роста женщины или мужчины лингвистической переменной «высокий(ая)».

Функции принадлежности могут быть определены в графи­ческой или табличной форме, а также в виде алгебраической сум­мы значений ц_в(Ь). Например, функция принадлежности лингвис­тической переменной «высокий мужчина», графическое представ­ление которой приведено на рис. 27.9, имеет вид:

U_nM = 0/140 + 0,1 /150 + 0,3/160 + 0,53/170 + 0,75/190 + 0,95/200.

Каждое слагаемое этой функции соответствует значению фун­кции принадлежности для определенного значения роста челове­ка.

Предложенный в теории нечетких множеств математический аппарат в виде операций сложения, объединения, умножения поз­воляет производить обработку цифрового массива функций при­надлежности. Несмотря на привлекательность аппарата нечетких множеств при его применении возникают проблемы, прежде всего, психологического плана, которые сдерживают его внедрение. Суть этих проблем состоит в том, что в ходе обработки функций прина­длежности получаются результаты в виде числовых матриц, труд­но поддающиеся осмысленному обратному преобразованию в зна­чения лингвистических переменных.

Для оценки показателей предлагается аппарат, который луч­ше согласуется с логикой человека, оперирующий качественными понятиями. Он основывается как на понятиях аппарата нечетких множеств, так и психологических основах обработки информации человеком. Принципы его иллюстрируются рис. 27.10. Суть предложений состоит в следующем. 1. Человек принимает решения путем сравнительного анализа небольшого количества альтернативных вариантов, в среднем око­ло 7. Альтернативы оцениваются качественными значениями по­рядковой или ранговой шкалы, или в терминологии Заде — терма­ми лингвистической переменной. Учитывая способность человека одновременно оперировать в среднем 5-9 словами и числами, ко­личество градаций лингвистической шкалы следует выбирать та­кого же порядка.

Рис. 27.10. Шкалы для оценки показателей в области информационной безопасности

Обозначения: ООМ — очень, очень малый(ая); MOM — менее чем очень малый; ОМ — очень малый; М — малый; С — средний; Б — боль­шой; ОБ — очень большой; БОБ — более чем очень большой; ООБ -— очень, очень большой.

2.Значения лингвистических переменных «цена информации», «риск угрозы», «ущерб от реализации угрозы»: очень очень боль­шая, очень большая, большая, средняя, малая, очень малая, очень очень малая лингвистических переменных образуют качествен­ную шкалу с 7 градациями. Для других лингвистических перемен­ных градации шкалы будут характеризоваться другими понятия­ми. Но общими для них являются базовые значения «болыиой(ая)»,
«малый(ая)» и модификаторы «очень».

3.Над качественной шкалой располагается количественная шкала, значения которой соответствуют значениям показателя ка­чественной шкалы. Значения «большой» или «малый» идентич­ны этим значения в первой степени, т. е. большой = большой¹, а ма­лый = малый¹.

4.Учитывая способность человека к дихотомии (разбиению линейного размера пополам), точка отсчета (условный нуль) со­ответствует значению «средний (средняя)» лингвистической ne^j
ременной качественной шкалы или 0 количественной шкалы.
Значение «средний» можно интерпретировать как «не большой и не малый», «не высокий и не низкий». Примем, что средний соответствует большому или малому в нулевой степени, т. е. сред­ний = большой⁰ = малый⁰.

5.Справа от нуля располагается подмножество больших значе­ний лингвистических переменных с базовым значением «большой»(«высокий»). Другие большие значения образуются с помощью мо­дификаторов «очень»: очень большой, очень, очень большой (чрез­мерно большой) и т. д. Психологически модификатор «очень» соот­ветствует концентрации значения лингвистической переменной пу­тем возведения ее в степень 2. Следовательно, очень большой = боль­
шой²; очень, очень большой '= (очень большой)² = большой⁴.

6.Слева от нуля находится область подмножества малых значе­ний лингвистической переменной или отрицательных чисел коли­чественной шкалы. Значения лингвистической переменной, мень­
шие «среднего», соответствуют «малый», «очень малый» и т. д. Или «низкий», «очень низкий» и т. д. Учитывая, что психологически про­изведение «большой» на «малый» воспринимается как «средний»,
то малый = средний / большой» = болшой⁰ / большой¹ = большой"¹, очень малый = большой ~² и т. д.

Следовательно, все значения лингвистической переменной можно выразить через одно базовое значение «большой», «малый», «высокий», «низкий» в соответствующей степени.

С учетом введенных обозначений любая лингвистическая пе­ременная может быть записана в виде алгебраического выражения: ух", где у — наименование лингвистической переменной (цена, ве­роятность, риск, ущерб и др.), х— базовое значение лингвисти­ческой переменной, п — положительные или отрицательные на­туральные числа. Например, показатель «очень большая цена информации» = х²у, где х — большая, у — цена информации.

Для повышения объективности оценки показателей необходи­мо выявить факторы, влияющие на их величину, и установить свя­зи между значениями этих факторов и показателей. Основные из этих факторов указаны в табл. 27.11.

Таблица 27.11

№ п/п	Лингвистическая пе­ременная (показатель процедур оптимизации)	Условные обозначения показателя	Факторы, учитываемые при оценке показателя
1	2	3	4
	Цена информации i-ro источника	CHi	Гриф секретности
	Вероятность k-й угро­зы информации i-ro ис­точника	ру.	Р = р(пу). р(->У). р(»У) yki yki yki yki
	Ущерб от k-й угрозы информации 1-го источ­ника		Г = Г • Р Ski Sii ryki
	Затраты на предотвра­щение k-й угрозы ин­формации i-ro источ­ника	c3ki	Затраты на проектирова- ' ние, закупку, установку и эксплуатацию техничес­ких средств и реализацию организационных мер
	Эффективность меры на предотвращение k-й угрозы информации i-ro источника	wki	W = Г /Г W3ki Ski ' Чы

Примечание. Р^(пу) _и, Р^(эу) _ki, Р^(ву) _k. — вероятности выполнения пространс­твенного, энергетического и временного условий разведы­вательного контакта.

На цену защищаемой информации влияют собственные затра­ты организации при ее получении, ожидаемая прибыль от приме­нения информации, ущерб при попадании этой информации к зло­умышленнику. В первом приближении цена защищаемой инфор­мации пропорциональна грифу ее секретности. Но значения гри­фа секретности образуют порядковую шкалу. У каждого челове­ка формируется собственное опорное представление о количест­венной мере качественного значения лингвистической перемен­ной. Например, для одного человека цена одного и того же това­ра очень малая, для другого — очень большая. Учитывая, что за­дача оптимизации системы защиты решается в конкретной орга­низации для уменьшения субъективизма, в качестве опорной меры целесообразно использовать экспертную оценку в организации ко­личественной меры базового значения «большая» цена или «боль­шие» расходы.

Попадание к противнику информации, составляющей тай­ну организации, может нанести ей ущерб, который в общем слу­чае оценивается в зависимости от мощности организации как средний или большой. Например, если грифу «секретно» можно сопос­тавить значение (х) цены информации как большая — х¹, то «со­вершенно секретно» •— чрезвычайно (очень, очень) большая — х², «особой важности» — (очень, очень большая)² -— х⁴.

Еще большая неопределенность возникает при определении значений вероятности угрозы. Единственная возможность повы­сит достоверность оценки — расчленение этого показателя на со­ставляющие и определение значений этих составляющих, что сде­лать обычно проще, чем оценить значение интегрального показа­теля. Для получения информации злоумышленником необходимо выполнить ряд этапов и процессов, которые можно свести к трем условиям разведывательного контакта злоумышленника с источ­ником информации:

- поиск и обнаружение источника информации; — размещение технического средства добывания на удалении от источника, при котором обеспечивается приемлемое отношение сигнал/шум на входе средства;

— совпадение времени и проявления демаскирующих признаков объекта защиты или передачи семантической информации и ра­боты средства добывания.

Угроза реализуется при одновременном выполнении этих ус­ловий, а вероятность ее равна произведению соответствующих ве­роятностей.

С учетом рассмотренных предложений значения показателей алгоритма проектирования системы защиты информации указаны в табл. 27.12.

Таблица 27.12

№ п/п	Лингвистические переменные	Значения: показа­телей	Алгебраические выра­жения для вычисления значений показателей
1	2	3	4
	Цена информации	х"у J И
1	Вероятность выполнения про­странственного условия	хру Jay
	Вероятность выполнения энер­гетического условия	хгу •'эу
	Вероятность выполнения вре­менного условия	*%
	Вероятность угрозы	хгаУу	my =xp + r+g/ у V) Л Jy Л \.3 ъуЗ -у} уу)
	Ущерб от угрозы	ХХ	xsy = хп + т(у у) J yy ^»в* у*
	Затраты на меру защиты	Х'У,
	Эффективность меры по защите	Аэ	xhy =xs j(y /у) уз уу J v

Примечание. 1. В выражениях табл. 27.12 опущены для упрощения запи­си индексы i и k обозначения i-ro источника и k-й угрозы;

Пример. 1. Исходные данные:

•цена информации — очень большая (х²у_и);

•вероятность выполнения пространственного условия —ма­лая (х-'у_пу);

•вероятность выполнения энергетического условия — ма­лая (х^чу_эу);

•вероятность выполнения временного условия— средняязатраты на меру защиты — малые (х~'у_з).

2. Производные показатели:

•вероятность угрозы — х~^м+0у = х~²у — очень малая угроза;

•ущерб от угрозы —- х²~~²у_уу = х°у_уу — средний;

•эффективность меры защиты — х°⁺¹у_э — высокая.

Для цены информации «большая» при тех же остальных ис­ходных данных:

•ущерб от угрозы — х'~²у = х~'у — малый;

•эффективность меры защиты — х~^|+1у_э = х°у_э — средняя.

Таким образом, рассмотренный аппарат позволяет произво­дить простейшие операции непосредственно со значениями лин­гвистических переменных без промежуточного перевода их в чис­ловые значения. Для одинакового восприятия значений лингвисти­ческих переменных разными людьми необходимо базовое значе­ние прокомментировать соответствующим по мнению лица, про­изводящего оптимизацию, числовым значением.

Рассмотренный аппарат может найти применение не только для решения задач защиты информации, но и любых других слабо­формализуемых задач, при решении которых применяются качес­твенные шкалы.

Вопросы для самопроверки

1.Этапы алгоритма проектирования (модернизации) системы защиты информации.

2.Условия завершения оптимизации и функции обратной связи в алгоритме проектирования (модернизации) системы защиты информации.

3.Виды моделей, применяемые при проектировании системы за­щиты информации.

4.Основные процессы, выполняемые при моделировании объек­тов защиты.

5.Основные процессы моделирования угроз информации.

6.Типы злоумышленников, проникающих в организацию.

7.Математический аппарат, применяемый для моделирования ка­налов несанкционированного доступа к информации.

8.Основные процедуры и показатели моделирования каналов утечки информации.

9.Рекомендации по оценке риска утечки информации по оптичес­кому каналу утечки.

10.Рекомендации по оценке риска утечки информации по акусти­ческому каналу.

11.Рекомендации по оценке риска утечки информации по радио­ электронному каналу.

12.Основные положения математического аппарата, рекомендуе­мого для оценки показателей моделирования системы инженер­но-технической защиты информации.