УДК 004.02
ПРОГРАММНАЯ РЕАЛИЗАЦИЯ АЛГОРИТМА ОЦЕНКИ ПОКАЗАТЕЛЕЙ
ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В ЗАДАЧЕ ОЦЕНКИ НАДЕЖНОСТИ ТЕХНИЧЕСКИХ
СИСТЕМ
А.В.Струков1, Н.А. Хоферихтер2
1АО "Специализированная инжиниринговая компания севзапмонтажавтоматика"
(СПИК СЗМА),
199106, г. Санкт-Петербург, 26-я линия В.О., д. 15, корп. 2, лит. А, Бизнес центр «Биржа»;
2Международный банковский институт (МБИ), Санкт-Петербург,
191023, Санкт-Петербург, Невский пр., 60
В статье рассматриваются подходы к оценке надежности автоматизированных систем управления (АСУ) с учетом надежности средств защиты информации (СЗИ). Подход учитывает надежность аппаратных средств как самой АСУ, так и СЗИ. В качестве показателя надежности средств защиты с точки зрения реализации их основных функций рассматриваются показатели функциональной безопасности.
Ключевые слова: надежность, вероятность отказа на запрос, схема функциональной целостности
SOFTWARE IMPLEMENTATION OF ALGORITHM FOR PERFORMANCE ASSESSMENT OF FUNCTIONAL SAFETY MEANS PROTECTION OF INFORMATION IN ASSESSING THE
RELIABILITY OF TECHNICAL SYSTEMS
A.V. Strukov, N. A. Hoferichter JSC "Specialized engineering company SZMA, 199106, St. Petersburg, 26th line V. O., 15, korp. 2, lit. A, business center "Exchange»; International banking Institute (IBI), Saint Petersburg, 191023, St. Petersburg, Nevsky prospect, 60 The article discusses approaches to assessing the reliability of automated control systems (ACS), taking into account the reliability of information security. The approach takes into account the reliability of the hardware as the ACS and szi. Functional safety indicators are considered as an indicator of safety equipment reliability from the point of view of realisation of their main functions.
Keywords: reliability, probability of failure on demand, scheme of functional integrity
Рассмотрим некоторую сложную техническую систему (СТС), важность выполнения задач которой позволяет отнести этот объект к объектам критической информационной инфраструктуры (КИИ). Согласно Федеральному закону №187-ФЗ [1] к таким объектам относятся информационные системы, информационно-телекоммутационные системы, автоматизированные системы управления, функционирующие в одной из следующих сфер: здравоохранение, наука, транспорт, связь, банковская сфера и иные сферы финансового рынка, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленности, топливно-энергетический комплекс, в том числе атомная энергетика.
Реализация мероприятий по обеспечению информационной безопасности объектов КИИ, в
частности АСУ, предполагает, в том числе, и использование программно-аппаратурных средств защиты информации. При этом следует говорить о комплексе средств, способных не только контролировать информацию, выявлять атаки и вредоносные программы, но и контролировать работу и целостность всех средств системы. Например, компания InfoWatch [2] предлагает к внедрению комплекс СЗИ, состоящий из 6 базовых модулей - четырех основных и двух вспомогательных. Среди них - модуль межсетевого экранирования и модуль обнаружения и предупреждения вторжений, которые предполагает подключение вразрез.
СЗИ имеют различные типовые схемы применения, которые выбираются по требованию заказчика с учетом особенностей конкретного объекта.
1 А.В.Струков - кандидат технических наук, доцент, ведущий специалист исследовательского отдела АО «СПИК СЗМА», тел.: +79214021905. е-mail: [email protected];
2Н.А. Хоферихтер - кандидат экономических наук, доцент кафедры межународной экономики и менеджмента МБИ, тел.: +79112509723, е-mail: [email protected]
Программная реализация алгоритма оценки показателей функциональной безопасности
В общем случае по аналогии с анализом надежности средств противоаварийной защиты (ПАЗ) будем рассматривать влияние средств защиты на надежность объекта защиты (объекта управления - ОУ) в двух его проявлениях:
- физическое, связанное с безотказностью СЗИ, которые могут иметь подключение вразрез;
- функциональное, связанное с выполнением функций безопасности, которое будем называть функциональной безопасностью.
Функциональная безопасность - это часть общей безопасности, обусловленная применением объекта управления (ОУ) и АСУ ОУ, зависящая от правильности функционирования средств защиты и других средств по снижению риска [3]. ОУ - оборудование, машины, аппараты или установки, используемые для производства, обработки, транспортирования, в медицине или в других процессах. Для ОУ безопасное состояние - это состояние, в котором достигается безопасность именно ОУ.
Система, связанная с безопасностью, реализует функции безопасности, требующиеся для достижения и поддержки безопасного состояния ОУ, и предназначена для достижения своими средствами или в сочетании с другими средствами снижения риска необходимого уровня безопасности для требуемых функций безопасности.
Функция безопасности реализуется в СЗИ и предназначается для достижения или поддержания безопасного состояния ОУ по отношению к конкретному опасному событию:
В общем случае инструментальные аппаратно-программные СЗИ, как приборные системы безопасности, состоят из трех подсистем:
- подсистемы обнаружения опасности (сенсорные подсистемы или подсистемы датчиков);
- подсистемы принятия решения на основе анализа сигналов, полученных от датчиков и сенсоров, и формирования запроса к подсистеме исполнительного управляющего воздействия для нейтрализации опасности;
- подсистема исполнительных (конечных) элементов, которые реализуют сигналы управляющего воздействия.
Каждая подсистема может обладать избыточностью (структурной, временной, функциональной и т.д.). Например, подсистема принятия решения может иметь мажоритарную структуры (структуру голосования) для корректной обработки информации в условиях неопределенности.
Зачастую СЗИ работают как пассивные системы наблюдения, ожидая запроса на некоторый сигнал опасности - угрозы. Учитывая конечную надежность инструментальных (приборных) средств, необходимо осуществлять контроль их состояния.
Особое внимание уделяется опасным отказам, то есть таким отказам, которые могут перевести СЗИ в опасное для объекта защиты состояние.
Отказ СЗИ может быть обнаружен либо средствами самодиагностики без прерывания функций безопасности, либо в режиме контрольной проверки с прерыванием выполнения функций безопасности СЗИ.
При диагностических проверках могут быть найдены опасные обнаруженные отказы (DD). Если такой отказ обнаружен, то СЗИ переходит в режим восстановления, и на это время применяются дополнительные меры по обеспечению безопасности.
Этот процесс характеризуется двумя основными показателями - интенсивностью опасных обнаруженных отказов Абб, и средним временем восстановления МТТК.
Опасные отказы, обнаруженные при контрольных проверках, называются опасными необнаруженными отказами фи). Можно предположить, что при проведении контрольной проверки обнаруживаются и устраняются все скрытые отказы СЗИ.
Этот процесс характеризуется тремя основными показателями - интенсивностью опасных необнаруженных отказов Аби, средним временем ремонта MRT и интервалом между контрольными проверками Т.
Рассмотрим три типичных вида функционирования СЗИ.
1. В межконтрольном периоде не было опасных отказов, запросы на формирование функций безопасности не было, СЗИ работоспособны (Х^)=1), контрольная проверка проведена на интервале {Т1, Т1 +МЯТ}, СХИ после проверки возобновили работу. Условный график состояний СЗИ для этого режима представлен на рис.1.
2. В межконтрольном периоде произошел опасный обнаруженный отказ (DD), СЗИ переходят в состояния Х(0=О и не способны выполнять функции безопасности (рис.2). После проведения восстановительных работ длительностью МТТК СЗИ переходит в работоспособное состояние до наступления времени контрольной проверки Т.
А.В.Струков, Н.А. Хоферихтер
Рисунок 1 - График состояний СЗИ при отсутствии запросов
Рисунок 4 - График изменения вероятности отказа на запрос (PFD)
В этом случае среднее значение PFD(t) можно посчитать на первом интервале (0,7;):
1 t
PFDavg = — j PFD (t)dt.
T1 о
(1)
Графическая иллюстрация соотношения
значений PFD(t) и PFDavg приведена на рис.5.
Рисунок 2 - График состояний СЗИ при наличии обнаруженного отказа
3. В межконтрольном периоде произошел опасный необнаруженный отказ фЦ). СЗИ находятся в состоянии скрытого отказа и в случае прихода запроса не могут выполнять функции безопасности в течение интервала времени D1 (рис.3).
Рисунок 3 - График состояний СЗИ при наличии необнаруженного отказа
Основной характеристикой СЗИ является вероятность неготовности к выполнению функции безопасности - PFD.
При периодических контрольных проверках PFD как функция времени имеет вид, показанный на рис.4.
Рисунок 5 - График изменения функции PFD(t) и значения PFDavg
В общем случае эта задача решается на основе анализа марковских процессов. При некоторых допущениях возможно использование более простых формул [4].
Обычно рассматривают два основных режима работы СЗИ - с низкой частотой запросов к исполнительным элементам (не чаще одного раза в год) и с высокой (непрерывной) - чаще одного раза в год вплоть до режима работы с непрерывным запросом. В первом случае корректно говорить о средней вероятности отказа на запрос PFD, во втором - о средней частоте отказов на запрос PFH, физический смысл при этом остается одним - оценка вероятности несрабатывания СЗИ при возникновении запроса (угрозы). Рассмотрим случай низкой частоты возникновения угроз.
Для структуры СЗИ 1oo1 («1oo1 - структура один из одного» - нерезервированный набор элементов) при экспоненциальном законе распределения времени до отказа вероятность безотказной работы R(t) рассчитывается по известной формуле
R(t) = expi-ÄDut). (2)
Тогда при малых значениях интенсивности
опасных необнаруженных отказов ÀDU можно
пренебречь влиянием времени восстановления MTTR и ремонта MRT (несколько часов) по сравнению с межконтрольным периодом Tt (несколько месяцев или даже лет). В этом случае с учетом (1) и (2) приближенные формулы для расчета средней вероятности отказа на запрос PFD и средней частоте отказов на запрос PFH имеют вид [4]
PFD
KuTi 2
(3)
(4)
Программная реализация алгоритма оценки показателей функциональной безопасности ...
РОИ *лои.
Подсистемы датчиков, исполнительных механизмов и логики могут иметь сложные резервированные структуры, например, дублированные структуры 1оо2 (для работы СЗИ достаточно одного средства из двух), мажоритарные структуры Ко/Ы (для работы СЗИ достаточно К средств из общего числа Ы), а также их комбинации. В этом случае можно использовать программные средства, позволяющие строить деревья неисправностей и структурные схемы надежности [5].
В качестве примера рассмотрим решение задачи с использованием аттестованного в Рос-технадзоре РФ программного комплекса АРБИТР [6].
Структурные методы анализа надежности в ПК АРБИТР реализованы с помощью универсального графического инструмента - схем функциональной целостности (СФЦ). Универсальность СФЦ выражается в том, что одни и те же графические элементы могут быть использованы для построения структурных схем надежности (ССН), деревьев неисправностей (ДН) и деревьев событий (ДС). Математической основой ПК АРБИТР является общий логико-вероятностный метод.
На рис.6 показан фрагмент интерфейса решения задачи моделирования показателей функциональной безопасности СЗИ.
Рисунок 6 - Экранный интерфейс моделирования показателей функциональной безопасности СЗИ
СЗИ не выполнят свои функции безопасности в том случае, если не выполнят свои функции все подсистемы. Поэтому системный показатель (вершина у4) есть логическая сумма всех событий отказов подсистем.
На рис.6 треугольниками обозначены подсистемы СЗИ, которые имеют собственную внутреннюю структуру. Например, подсистема датчиков имеет структуру 2оо3. СФЦ подсистемы датчиков показана на рис.7.
Исходными данными для моделирования вероятности отказа на запрос подсистемы датчиков являются вероятности отказа на запрос датчиков. На СФЦ эти вероятности являются элементами 1, 2 и 3 дерева неисправностей. Системным критерием является вершина 4, реализация которой возможна при реализации любых двух инициирующих событий - отказов датчиков. Численные значения вероятностей отказов могут быть легко рассчитаны по формулам (3) или (4).
Рисунок 7 - СФЦ подсистемы датчиков
Согласно рекомендациям международных стандартов [3], анализ резервированных структур производится с учетом моделей отказов по общей причине (ООП). На рис.7 в нижнем правом углу показаны параметры Бета-модели учета ООП. Результатом моделирования является вероятность реализации критерия у4, который по физическому смыслу в данной задаче является вероятностью отказа на запрос подсистемы датчиков.
В соответствии с теорией информационной безопасности для систем, в которых не предусмотрено никаких мер по обеспечению информационной безопасности, вероятность реализации угрозы считается равной единице [7].
Учитывая такой подход, предлагается следующая методология анализа надежности АСУ с учетом надежности СЗИ.
В качестве логических условий работоспособности АСУ следует рассматривать следующие:
- условие безотказности аппаратных средства АСУ;
- условие безотказности аппаратных средств защиты информации;
А.В.Струков, Н.А. Хоферихтер
- условие отсутствия отказов на запрос реализации функции безопасности в случае возникновения угрозы.
В этом случае логико-вероятностная модель в виде СФЦ может быть представлена как немонотонная схема, объединяющая структурные схемы надежности АСУ и СЗИ, а также дерево неисправностей для функции безопасности (рис.8).
В данном примере вероятность безотказной работы аппаратной части АСУ принята 0.95, аппаратной части СЗИ - 0.99, вероятность отказа на запрос СЗИ равна 5.27Е-07 (рис.7).
Рисунок 8- СФЦ для моделирования надежности АСУ
Результат моделирования с использованием СФЦ, показанной на рис.8, является формирование логической функции. Фрагмент отчета результатов моделирования приведен на рис.9.
Yc=y7 Логическая функция содержит 1 конъюнкций
№ кон. Ркон. Знач.кон по F_V
1 0.940С5549 1 Датчики* Логика" ИМ' СЗИ АСУ
Рисунок 9 - Фрагмент отчета результатов моделирования
Логическая функция на рис.9 выражает условия для безотказности АСУ - отсутствие отказов в подсистеме датчиков (логическая переменная <Датчики">), в логической подсистеме (логическая переменная <Логика">), в подсистеме исполнительных механизмов (логическая переменная <ИМ">), а также безотказность аппаратных средства защиты информации (логическая переменная <СЗИ>) и безотказность аппаратных
средств АСУ (логическая переменная <АСУ>). Знак <"> означает признак инверсного состояния логической переменной.
Как видно из рис.9, применение СЗИ снижает такой показатель надежности, как вероятность безотказной работы (с 0.95 до 0.94005549). И в то же время отсутствие СЗИ может, в случае кибератаки, привести к полной остановке АСУ. Заключение
В промышленной безопасности, теории надежности и функциональной безопасности средств противоаварийной защиты накоплен значительный опыт решения риск ориентированных задач, который может быть использован для разработки методик оценки надежности различных объектов с учетом показателей информационной безопасности.
Литература
1. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года №187-ФЗ.
2. Специализированный программно-аппаратный комплекс InfoWatch ASAP [Электронный ресурс]. Режим доступа: https://www.infowatch.ru/products/asap (дата обращения 22.03.2018).
3. ГОСТ Р МЭК 61508. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1-7. 2012.
4. Rausand M. Reliability of Safety-Critical Systems: Theory and Applications. Willey. 2014. 448 p.
5. Можаева И.А., Нозик А.А., Струков А.В. Программная реализация методов количественного анализа риска аварий опасных производственных объектов на основе логико-вероятностного и логико-детерминированного подходов // Наука и безопасность. 2016. №2/20. С.26-36.
6. Можаев А.С. Аннотация программного средства «АРБИТР» (ПК АСМ СЗМА) // Вопросы атомной науки и техники. Серия «Физика ядерных реакторов». Раздел «Аннотации программных средств, аттестованных Ростехнадзором РФ»: науч.-техн. сб.- М. : РНЦ «Курчатовский институт», 2008. - Вып. 2/2008. -С. 105-116.
7. Рябинин И.А. Надежность и безопасность структурно-сложных систем. - СПб.: Изд-во С.-Петерб. унта, 2007. - 276с.
8. Корниенко А.А., Нозик А.А., Струков А.В. Моделирование и автоматизированный расчет надежности информационных систем и средств защиты информации. Учебное пособие. - СПб.: ПГУПС, 2014, 33с.
9. Беззатеев С.В., Волошина Н.В., Санкин П.С. Методика расчета надежности сложных систем, учитывающая угрозы информационной безопасности // Информационно-управляющие системы -2014. -№ 3(70). - С.78-83.