О.М. Булгаков,
доктор технических наук, профессор
В.В. Стукалов,
кандидат технических наук,
Воронежский институт правительственной связи
Е.А. Кучмасов,
ФКУ «Главный центр связи и защиты информации МВД России»
МЕТОД ДИАГНОСТИКИ ДЕГРАДАЦИИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ НА ОСНОВЕ МОДЕЛИРОВАНИЯ УПРАВЛЯЮЩИХ ВОЗДЕЙСТВИЙ
METHOD OF DIAGNOSTICS OF THE DEGRADATION OF THE INFORMATION PROTECTION SYSTEM OF THE OBJECT OF INFORMATION ON THE BASIS OF MODELLING CORRECTIVE ACTIONS
Предложена классификация корректирующих воздействий на систему защиты информации. Показана вероятность отказа компонентов системы при наличии управляющих воздействий. Предложены критерии необходимости модернизации системы в зависимости от скорости ее деградации.
Classification of corrective influences on the system of information protection is proposed. The probability of failure of system components in the presence of the control actions is shown. Criteria of necessity of the system modernization depending on the speed of its degradation are suggested.
Временные диаграммы показателей надежности систем защиты информации (СЗИ), например зависимости от времени вероятности отказа СЗИ [1], строятся без учета частных управляющих воздействий на подсистемы. В лучшем случае коэффициент готовности отражает информацию о времени замены отдельных элементов технических подсистем или добавление в их структуру новых компонентов, обеспечивающих резервирование [2].
В то же время в таких многокомпонентных и разнородных структурах, как СЗИ объектов информатизации, основным способом модернизации является проведение корректирующих воздействий на работу уже существующих компонентов со стороны управляющей подсистемы. Примером воздействия на их компоненты могут служить: инсталляция новых версий ранее установленных программных продуктов, изменение паролей и алгоритмов формирования отчетов в программно-аппаратных комплексах систем контроля и управления доступом (СКУД), модернизация действующих систем видеонаблюдения, организационно-штатные изменения в режимных подразделениях, прием на работу и увольнение сотрудников подразделений безопасности и защиты информации и т.д. Данное обстоятельство учтено нами в математических моделях надежности [3, 4], однако более глубокое изучение проблемы показало необходимость уточнения динамических моделей корректирующих воздействий с учетом особенностей подсистем СЗИ и их взаимного влияния.
Мы полагаем, что корректирующие воздействия на систему со сложной структурой и большим количеством взаимосвязанных компонентов условно можно разделить на четыре уровня по величине и глубине модернизации.
Первый уровень — формальные корректирующие воздействия. Их результатом является минимальное «последействие», на работу структурных компонентов системы они
значительно не влияют. Примерами такой модернизации является изменение названия организации, переименование её подразделений без изменения функций и полномочий, смена учетных данных отдельных сотрудников, обновление паролей в СКУД. Несмотря на малый положительный эффект такие воздействия вынужденного или планового характера необходимы, так как их неисполнение приводит к накоплению ошибок и последующим частичным отказам отдельных подсистем или их компонентов.
Второй уровень — корректирующие воздействия, приводящие к изменению функционирования отдельных компонентов, но без глубоких вторичных изменений в других компонентах системы. Например, это может быть кадровое перемещение сотрудников внутри подразделения, изменение должностных регламентов отдельных сотрудников, частичная передислокация отдельных подразделений внутри территории системы, замена вышедшего из строя или морально устаревшего оборудования.
К третьему уровню относятся воздействия, которые, будучи приложенными к одним компонентам системы, приводят к изменению в других, смежных или взаимосвязанных, компонентах. Например, установка нового программного обеспечения на автоматизированных рабочих местах или внедрение биометрических СКУД требует соответствующего обучения персонала.
Корректирующими воздействиями четвертого уровня являются комплексные изменения в системе, которые, как правило, затрагивают все её компоненты. Например, комплексное внедрение в организации технических средств охраны (ТСО) позволит значительно сократить количество сотрудников, обеспечивающих охрану объектов, однако потребуется повысить квалификацию оставшихся, а также обеспечить квалифицированное обслуживание ТСО в процессе эксплуатации. Для этого необходимо ввести в штат организации дополнительный технический персонал или перераспределить должностные обязанности уже работающего.
Любое вмешательство в существующую систему изменяет эффективность и надежность ее функционирования в лучшую или в худшую сторону. Поэтому очень важно получить заблаговременно хотя бы качественный прогноз результатов модернизации.
Рассмотрим типовую структурную схему средств защиты информации объекта информатизации (рис.1).
Рис. 1. Схема надежности системы защиты информации объекта
Под организационными методами защиты информации объекта информатизации понимается регламентация деятельности и взаимоотношений исполнителей на нормативно- правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Под инженерно-техническими средствами защиты понимается совокупность специальных органов, технических средств и мероприятий по их использованию в целях защиты информации.
Под программными средствами защиты информации будем понимать средства защиты данных, функционирующие в составе программного обеспечения системы защиты .
К физическим (эргатическим) средствам защиты относятся физическая охрана объекта информатизации, наличие администраторов и пользователей системы защиты, обслуживающий персонал и др.
Для дальнейшего анализа показателей надежности СЗИ сделаем допущение: все управляющие воздействия СЗИ объекта информатизации или её подсистемы приводят к уменьшению вероятности их отказа.
Вероятность отказа каждого отдельного компонента системы на графике описывается «корытообразной» несимметричной функцией (рис. 2) [5], которую можно условно разделить на три участка: ввод компонента в эксплуатацию (ниспадающий участок кривой), стабильная работа компонента в составе системы (центральная часть кривой ниже уровня Р^р) и деградация компонента системы (возрастающий участок кривой). На графике показаны корректирующие воздействия на отдельный компонент системы, не влекущие за собой изменение функционирования других компонентов (первый и второй уровени корректирующих воздействий).
Р*р — это критическое значение вероятности отказа компонента системы, при превышении которого работоспособность системы не гарантируется с заданным уровнем надежности. Величина Р^ может определяться требованиями руководящих документов, характеристиками технических средств защиты информации, экспертными оценками и др. Для того чтобы вероятность отказа компонента не превышала Ркр в течение допустимого промежутка времени Д1 , необходимо производить профилактические воздействия на систему ДР (обновление антивирусных программ, сброс программно-аппаратных ошибок СКУД, контроль и корректировка эксплуатационных параметров генераторов шума и т.д.).
Рис. 2. Вероятность отказа компонента системы при наличии корректирующих воздействий
На графике Т1 и т2 — моменты времени профилактических воздействий; дТ1 — промежуток времени между профилактическими воздействиями ДР.
Величина воздействия ДР зависит от времени работы системы с начала ее ввода или предыдущего профилактического воздействия х, величины привлекаемых ресурсов
для профилактического воздействия г, риска возникновения критического события Я, которое может привести к отказу системы. Таким образом,
Риск является вероятностной величиной. Один из наиболее распространенных методов количественной оценки риска — применение показателя ожидаемого ущерба:
П = Нп Р, (2)
где ип — величина потерь (мера риска); Р — вероятность реализации рисковой ситуации — наступления рискового события. В нашем случае р = Р*р. Тогда
- /■ Г\ . (2а)
Величина 5Р определяет момент времени для корректирующего воздействия на систему. Эта величина вводится с целью создания упреждающего интервала воздействия такого, что
&Р = Гкр - ЛР (3)
Введение 5Р позволяет иметь запас надежности системы на случай ухудшения её характеристик во время пуско-наладочных, организационных и других мероприятий при воздействии на отдельный компонент.
С учетом (2а), (3)
Вероятность отказа отдельного компонента системы математически можно описать выражением ^ ^
где (Т1) — вероятность отказа в момент времени а— коэффициент, характеризующий эффективность принимаемых профилактических мер; ЛР — величина профилактического воздействия.
Для того чтобы производить корректирующие воздействия на компоненты системы своевременно, необходимо прогнозировать изменение времени Лтн, в течение которого Гот*(т£) < Лф. При устаревании системы время при неизменных значениях
АР; будет монотонно уменьшаться. Это может проявляться в знаке первой производной Лг(Г) и её значениях в точках
*1 И.;- гт). (6)
Скорость уменьшения Лт; зависит от величины профилактического воздействия
на компоненты системы ЛР.^ эффективности принятых профилактических мер а* и мо-
мента времени воздействия I, т.е.
Лт, = Лт^ЛР,«*,*). (7)
Качественное изменение системы (ее деградация) характеризует вторая производная Лт"(£) Величина второй производной позволяет оценить скорость уменьшения времени между профилактическими воздействиями ЛГ;, достаточную для того, чтобы
не успело превысить Ркр:
Дт-Гс
0, и Е- {г^; ... Тт) (8)
Если принять Дг"(0 = а = corlst, то необходимо поддерживать значение параметра а на уровне а > акрктич При соблюдении этого условия профилактическое воздействие на систему ЛР = ґопеґ, т.е. величина воздействия может быть практически
неизменна и повторяться через равные промежутки времени. Это возможно лишь тогда, когда г и Я не меняются на длительном интервале времени.
Если Я возрастает или г убывает, то для уменьшения ^сткС7":) до приемлемых значений следует увеличить АР.
Кроме того, АР зависит от параметра а (эффективность принимаемых профилактических мер), который определяет «крутизну» восходящего участка кривой на рис. 2. На графике показан пример для случая а2> щ.
Если управляющие воздействия (модернизация, коррекция) направлены одновременно на несколько компонентов системы, вероятность отказа каждого из д компонентов описывается выражениями
= Р.
ОТКР
- Рпц
- Р'
.0 + ^отк21
, (9)
(10)
е'4 • (11)
Выражение (10) моделирует приработку нововведений, (11) — устаревание результата воздействия. Таким образом,
РпМО = Роч е-а«х+Рч (12)
При параллельном включении элементов на схеме надежности многокомпо-
нентной системы вероятность отказа системы [6]
(13)
будет меньше, чем вероятность отказа самого надежного компонента. То есть, вероятность отказа системы в этом случае лимитируется вероятностью отказа самого надежного компонента, и для проведения приближенных оценок показателей надежности СЗИ достаточно рассмотреть её самую надёжную подсистему. Такой выбор даже при недостатке априорных данных может быть корректно выполнен методами экспертных оценок.
Как правило, отдельные подсистемы СЗИ объекта информатизации функционируют достаточно независимо одна от другой, поэтому можно полагать, что управляющие воздействия на элементы подсистем формируются и реализуются в подсистемах некоррелированно, если речь не идёт о централизованном системном воздействии. График для некоррелированных управляющих воздействий на подсистемы представлен на рис. 3.
Рис. 3. Вероятность отказа системы при вводе нескольких новых компонентов
Для каждого ]-го компонента, если рассматривать отдельную подсистему, или ]-й подсистемы, если рассматривать СЗИ в целом, значение параметра Дт (времени ме-
жду модернизациями компонента (подсистемы)) будет отлично от других. Для ]го компонента значения Дт] , ДР] а можно вычислить в любой произвольной точке оси времени, и значения величин, вычисленных в разные моменты времени 11 и ^>1^, будут связаны функциональной зависимостью вида
А*;(г].);¿/у(д);«д; ^р! ДР )
Однако при рассмотрении элементов, принадлежащих различным подсистемам, значения Дт] , ДР] а в моменты времени 1 и 12 будут связаны между собой случайным образом.
Из графика рис.3 для ]-го компонента:
ДР*(1) = Ркритич. - Р](1). (14)
Очевидно, что если ДТ] и ДР] уменьшаются, то система устаревает.
Введём показатель ^
где ЛГпил —количество минимумов функции { Р0тк*} на интервале ДТ.
Тогда критерием необходимости модернизации системы для случая, представленного на рис. 3, можно принять:
( др;сдт1)>др^(дтг)
Ь/^СДТ,) < ;Ут1Г1 (ДТ?)’
Для любого ти п таких, что гт< т„, где г;— начало временного интервала,
( дг;(дтт) > ДР^(ДТ„)
Для вычисления величин, которыми оперирует критерий устаревания системы, можно воспользоваться методом экспертных оценок. Особенно востребованы мнения экспертов при анализе надежности организационной подсистемы СЗИ [7], ее нормативно- правового компонента и организации работы с персоналом, эргатических компонентов технической подсистемы и др.
Очевидно, что обобщенным мнением группы экспертов может быть принято решение о необходимости модернизации СЗИ или её отдельных подсистем. Однако либо в этом случае будет велик риск ошибки, либо экспертиза столь проста, что решение может самостоятельно принять менеджер СЗИ. Поэтому, на наш взгляд, экспертиза должна относиться к определению численных значений параметров, характеризующих ход кривых РтцСО, таких, как Роч, Р*оч, о^, |3Ч (выражение (12)), и, впоследствии — к оценке величины (эффекта) управляющих воздействий вида АР].
ЛИТЕРАТУРА
1. Баранова А.В., Ямпурин Н.П. Основы надежности электронных средств. — М.: Академия, 2010. — 234 с.
2. ГОСТ Р 53480-2009 «Надежность в технике. Основные понятия. Термины и определения».
3. Булгаков О.М., Кучмасов Е.А., Удалов В. П. Принципы построения модели надежности системы защиты информации // Вестник Воронежского института МВД России. — 2012. — № 3. — С. 167—176.
4. Булгаков О.М., Стукалов В.В., Кучмасов Е.А. Принципы построения модели надежности организационного компонента системы защиты информации объекта информатизации // Вестник Воронежского института МВД России. — 2013. — № 2. —
С.145—155.
5. Булгаков О.М., Стукалов В.В., Кучмасов Е.А. Анализ модели надежности организационной компоненты системы защиты информации типового объекта информатизации методом декомпозиции // Международный научно-исследовательский журнал: сборник по результатам VIII заочной научной конференции Research Journal of International Studies. — Екатеринбург: МНИЖ — 2013. — № 10. — Часть 1. — С. 86—89.
6. Шеметов А.Н. Надежность электроснабжения: учебное пособие для студентов специальности 140211 «Электроснабжение». — Магнитогорск: ГОУ ВПО «МГТУ им. Г.И. Носова», 2006.
7. Евланов Л.Г., Кутузов В.А. Экспертные оценки в управлении. — М.: Экономика, 2006. — 231 с.
REFERENCES
1. Baranova A.V., Yampurin N.P. Osnovyi nadezhnosti elektronnyih sredstv. — M.: Akademiya, 2010. — 234 s.
2. GOST R 53480-2009 «Nadezhnost v tehnike. Osnovnyie ponyatiya. Terminyi i opredeleniya».
3. Bulgakov O.M., Kuchmasov E.A., Udalov V.P. Printsipyi postroeniya modeli nadezhnosti sistemyi zaschityi informatsii // Vestnik Voronezhskogo instituta MVD Rossii.
— 2012. — N 3. — S. 167—176.
4. Bulgakov O.M., Stukalov V.V., Kuchmasov E.A. Printsipyi postroeniya modeli nadezhnosti organizatsionnogo komponenta sistemyi zaschityi informatsii ob'ekta informatizatsii // Vestnik Voronezhskogo instituta MVD Rossii. — 2013. — N 2. — S.145—155.
5. Bulgakov O.M., Stukalov V.V., Kuchmasov E.A. Analiz modeli nadezhnosti or-ganizatsionnoy komponentyi sistemyi zaschityi informatsii tipovogo ob'ekta informatizatsii metodom dekompozitsii // Mezhdunarodnyiy nauchno-issledovatelskiy zhurnal: sbornik po rezultatam VIII zaochnoy nauchnoy konferentsii Research Journal of International Studies. — Ekaterinburg: MNIZh — 2013. — N 10. — Chast 1. — S. 86—89.
6. Shemetov A.N. Nadezhnost elektrosnabzheniya: uchebnoe posobie dlya studentov spetsialnosti 140211 «Elektrosnabzhenie». — Magnitogorsk: GOU VPO «MGTU im. G.I. Nosova», 2006.
7. Evlanov L.G., Kutuzov V.A. Ekspertnyie otsenki v upravlenii. — M.: Ekonomika, 2006. — 231 s.