Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 771
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
ектной эффективностью. При снижении эффективности вслед
ствие возрастания осведомленности соперника и принятия им контрмер считается, что определенная доля затрат на создание объекта, пропорциональная снижению эффективности, затрачена впустую и отражает величину ущерба. В этом случае величина экономического ущерба ориентировочно рассчитывается по фор
муле
ствие возрастания осведомленности соперника и принятия им контрмер считается, что определенная доля затрат на создание объекта, пропорциональная снижению эффективности, затрачена впустую и отражает величину ущерба. В этом случае величина экономического ущерба ориентировочно рассчитывается по фор
муле
1 ... 33 34 35 36 37 38 39 40 41
U =
^серСсерЗЖ,
(20.9)
где bW = A W /W — относительное снижение эффективности объек
та вследствие возрастания осведомленности соперника о его ха
рактеристиках; W — проектная эффективность объекта;
А І Ѵ — ожидаемое снижение эффективности объекта вследствие возрас
тания осведомленности и принятия соперником контрмер.
2 0 .3 .2 . Определение размеров ущерба
с использованием экспертных оценок
Ключевым моментом в отнесении информации к категории ограниченного доступа является оценка величины ущерба, нано
симого предприятию в результате преждевременного раскрытия информации.
В рассматриваемой проблеме мы сталкиваемся со случаем, когда не существует элементарных измеримых свойств ущерба безопас
ности предприятия и возможности его нанесения в случае рас
крытия или утечки информации. Отсутствие статистических дан
ных и трудность оценки ущерба безопасности предприятия в ре
зультате раскрытия информации определяют выбор метода экс
пертных оценок для его измерения.
Для сопоставления различных сведений, определяющих необ
ходимость их закрытия или ограничения доступа к ним, а также для определения соответствующей этим сведениям степени кон
фиденциальности, можно сравнивать рассматриваемые сведения по степени проявления всей совокупности возможных угроз в слу
чае несанкционированного распространения сведений, составля
ющих тайну.
В этом случае возникает задача ранжирования, или определе
ния «веса» (важности) каждой угрозы с тем, чтобы получить еди
ную меру или показатель, характеризующий угрозу безопасности предприятия в целом. Важность угроз безопасности предприятия можно оценивать по величине возможного ущерба, который мо
жет быть нанесен при их реализации.
Для распределения угроз безопасности предприятия по раз
личным рангам важности оценивается их числовое значение ис
ходя из парных сравнений важности угроз. При этом использует
ся избыточная информация, поскольку каждая угроза последова
тельно сравнивается со всеми остальными. Методологической основой проведения этой работы целесообразно выбрать метод, разработанный Т.Л.Саати.
При оценке угроз и связанной с ними важности «ущербов» необходимо прежде всего разрешить проблему измерения вели
чины возможного ущерба, который может проявиться в результа
те раскрытия (утечки) информации.
Чтобы представить результат сравнения двух «ущербов» в виде разумных цифр, требуется глубокое понимание сравниваемых
«ущербов» и в особенности того, в какой степени их свойства влияют на интересы предприятия. Предполагается, что источни
ком суждений является опрос экспертов, осведомленных в дан
ной области.
Группе экспертов предлагается оценить степень важности ущер
бов по их влиянию на интересы предприятия методом парного сравнения и заполнить матрицу парных сравнений А = (а0). Каж
дый эксперт, пользуясь вербально-числовой шкалой, заполняет матрицу парных сравнений:
А = /ay/, і= 1, Q,
где ai} — результат сравнения относительной важности /-го и у-го
«ущерба».
Параметры ^ назначаются в соответствии с вербально-число
вой шкалой, приведенной в табл. 20.3.
Основная цель применения вербальной числовой шкалы со
стоит в том, чтобы облегчить задачу привлекаемым к экспертизе специалистам и обеспечить единое толкование оценок отдельны
ми экспертами.
Важности ущербов определяются на основе вычисления мно
жества собственных векторов для каждой матрицы. Вычисление собственных векторов — не очень сложная задача, однако может потребовать довольно много времени. К счастью, имеются не
сложные пути получения хорошего приближения к приоритетам.
Одним из наилучших путей является геометрическое среднее. Это можно сделать, перемножая элементы в каждой строчке и извле
кая корни п-й степени, где п — число элементов. Полученный таким образом столбец чисел нормализуется делением каждого числа на сумму всех чисел.
Пример парного сравнения важности ущербов представлен в табл. 20.4.
Все оценки парных сравнений подвержены погрешностям, ко
торые могут привести к несогласованным выводам. Степень со
гласованности суждений экспертов оценивается индексом согла
сованности (ИС).
В каждой матрице ИС может быть приближенно вычислен следующим образом. Сначала суммируется каждый столбец суж-
При оценке угроз и связанной с ними важности «ущербов» необходимо прежде всего разрешить проблему измерения вели
чины возможного ущерба, который может проявиться в результа
те раскрытия (утечки) информации.
Чтобы представить результат сравнения двух «ущербов» в виде разумных цифр, требуется глубокое понимание сравниваемых
«ущербов» и в особенности того, в какой степени их свойства влияют на интересы предприятия. Предполагается, что источни
ком суждений является опрос экспертов, осведомленных в дан
ной области.
Группе экспертов предлагается оценить степень важности ущер
бов по их влиянию на интересы предприятия методом парного сравнения и заполнить матрицу парных сравнений А = (а0). Каж
дый эксперт, пользуясь вербально-числовой шкалой, заполняет матрицу парных сравнений:
А = /ay/, і= 1, Q,
где ai} — результат сравнения относительной важности /-го и у-го
«ущерба».
Параметры ^ назначаются в соответствии с вербально-число
вой шкалой, приведенной в табл. 20.3.
Основная цель применения вербальной числовой шкалы со
стоит в том, чтобы облегчить задачу привлекаемым к экспертизе специалистам и обеспечить единое толкование оценок отдельны
ми экспертами.
Важности ущербов определяются на основе вычисления мно
жества собственных векторов для каждой матрицы. Вычисление собственных векторов — не очень сложная задача, однако может потребовать довольно много времени. К счастью, имеются не
сложные пути получения хорошего приближения к приоритетам.
Одним из наилучших путей является геометрическое среднее. Это можно сделать, перемножая элементы в каждой строчке и извле
кая корни п-й степени, где п — число элементов. Полученный таким образом столбец чисел нормализуется делением каждого числа на сумму всех чисел.
Пример парного сравнения важности ущербов представлен в табл. 20.4.
Все оценки парных сравнений подвержены погрешностям, ко
торые могут привести к несогласованным выводам. Степень со
гласованности суждений экспертов оценивается индексом согла
сованности (ИС).
В каждой матрице ИС может быть приближенно вычислен следующим образом. Сначала суммируется каждый столбец суж-
Т а б л и ц а 20.3. Шкала сравнительной оценки важности угроз
(ущербов)
Величина относительной важности
Определение
Объяснение
1
Равная важность
Равное влияние двух видов ущерба на безопас
ность предприятия
3
Умеренное превосходство одного над другим
Опыт и суждения позво
ляют сделать вывод о не
много большем воздей
ствии одного ущерба по сравнению с другим
5
Существенное или сильное превосходство
Опыт и суждения позво
ляют вывод о сильном воздействии одного ущер
ба по сравнению с другим
7
Значительное превосходство
Одному виду ущерба дается настолько сильное превосходство, что он становится практически значительным
9
Очень сильное превосходство
Очевидность превосход
ства одного вида ущерба над другим подтвержда
ется наиболее сильно
2 , 4 , 6 , 8
Промежуточные решения между двумя соседними
Применяются в компро
миссном случае
Величины,
обратные приведенным выше
Если при сравнении одного вида ущерба с другим полу
чено одно из вышеуказан
ных чисел (например, ве
личины 5), то при сравне
нии второго вида ущерба с первым получаем обрат
ную величину(например,
1/5)
дений, затем сумма первого столбца умножается на величину первой компоненты нормализованного вектора приоритетов, сумма второго столбца — на вторую компоненту и т.д. Затем полученные числа суммируются. Таким образом можно полу
чить величину, обозначенную X. Для индекса согласованности имеем ИС = (Я. - п)/(п - 1), где п — число сравниваемых элемен
тов. Для обратно симметричной матрицы всегда X > п.
Т а б л и ц а 20.4. Матрица парных сравнений
Ущерб
и2
Оценка компонент собственного вектора
Нормализованный результат оценки
Ѵ\
1 6
8 3,63 0,74
U:
1/6 1
4 0,87 0,18 1/8 1/4 1
0,31 0,07
Сравним эту величину с той, которая получилась бы при случайном выборе количественных суждений из шкалы 1/9, 1/8,
1/7,..., 1, 2,..., 9, но при образовании обратно симметричной мат
рицы. Ниже даны средние согласованности для случайных мат
риц разного порядка:
Размер матрицы............ 1 2
3 4
5 6
7 8 9
Случайная согласо
ванность.......................... 0 0,58 0,9 1,12 1,24 1,32 1,41 1,45 1,49
Если разделить ИС на число, соответствующее случайной со
гласованности матрицы того же порядка, получим отношение со
гласованности (ОС). Величина ОС должна быть порядка 10 % или менее, чтобы быть приемлемой. В некоторых случаях можно допу
стить 20%, но не более. Если ОС выходит из этих пределов, то участникам нужно исследовать задачу и проверить свои суждения.
Для рассматриваемого примера имеем:
X = (1 + 1/6 + 1/8) • 0,75 + (6 + 1 + 1/4) 0,18 + (8 + 4+ 1)- 0,07 = 3,19;
ИС = (3,19 - 3)/(3 - 1) = 0,095;
ОС = 0,095/0,58 = 0,16 (16%).
Полученная величина ОС меньше 20%, следовательно, согла
сованность экспертов достаточная.
Полезным способом исследования большого числа угроз, по
зволяющим существенно сократить объем вычислений, является группирование их в классы. После анализа классов угроз безопас
ности предприятия их элементы попарно сравниваются между собой по величине ущерба по относительной важности в этом классе.
В общем случае величина ущерба от реализации отдельной уг
розы безопасности предприятия зависит от внешних и внутрен
них условий развития предприятия. Вследствие этого сопоставле
ние угроз должно проводиться для возможных сценариев, причем для каждого формируется свой ряд «весов» угроз с тем, чтобы в дальнейшем при определении совокупного ущерба от распро
странения оцениваемого сведения для определения степени кон
фиденциальности выбрать максимальный ущерб из множества совокупных ущербов, соответствующих различным рассмотрен
ным сценариям развития предприятия.
Предполагается, что для оценки каждого подмножества угроз выбирается группа экспертов, знакомых со сравниваемыми угро
зами и их влиянием на безопасность предприятия.
После определения векторов приоритетов всех уровней иерархии угроз рассчитывается вектор приоритетов угроз нижнего уровня.
Расчет величин возможных ущербов в результате проявления отдельных угроз безопасности предприятия может быть получен также с использованием имеющихся математических моделей, например рассмотренной в разд. 20.3.1. Если в обоих случаях (с помощью экспертов и на моделях) не были допущены грубые про
счеты, то полученные оценки нельзя отнести к категории взаимо
исключающих результатов. Наоборот, оба подхода, дополняя друг друга на независимой основе, должны обеспечить более объек
тивную выработку требуемых рекомендаций.
Не все из оцененных по величине ущерба угроз безопасности предприятия могут проявляться при раскрытии того или иного сведения. Оценка возможности возникновения угроз в результате раскрытия или утечки тех или иных сведений может быть прове
дена с помощью экспертов, хорошо понимающих ценность этой информации и связь таких сведений с угрозами безопасности пред
приятия. Для однозначного представления оценок используется специальная вербально-числовая шкала.
Степень связи «сведение — угроза» характеризует «вероятность» проявления оцениваемой угрозы безопасности предприятия при раскрытии (утечке) соответствующего сведения. Оценку степени связи «сведение—угроза» необходимо проводить для различных моментов времени. Указание момента времени и периода прогно
за оценки степени связи «сведение —угроза» является важным пунктом при проведении экспертизы, так как возможность про
явления угроз при раскрытии того или иного сведения является случайной величиной и зависит от многих факторов, в том числе от складывающейся в стране и мире политической и экономичес
кой ситуации.
Оценки степени или возможности нанесения ущерба безопас
ности предприятия в результате утечки отдельных сведений субъек
тивны в том смысле, что два человека могут приписать различные числа одному и тому же возможному исходу. Однако поскольку эти оценки базируются на информации, опыте и анализе объек
тивной действительности, предполагается, что при прочих рав
ных условиях различие между ними не столь существенно и для подготовки решений использовать их нельзя.
В результате проведенных оценок и обработки полученных данных формируется матрица «сведения—угрозы», элементы ко
торой характеризуют возможность проявления угроз безопасно
сти предприятия в результате преждевременного раскрытия ин
формации.
Результатами проведенных оценок являются вектор приорите
тов важности угроз безопасности предприятия и результирующая матрица суждений экспертов о степени их проявления при преж
девременном раскрытии оцениваемых сведений.
Перед нами стоит задача агрегирования полученных оценок в единую целевую функцию, в результате которого каждому сведе
нию может быть присвоен рейтинг, определяющий не только ранг сведения, но и «расстояние» между ними.
Расчет первичного рейтинга каждого сведения может быть про
веден различными способами. Рассмотрим один, наиболее про
стой способ, который иллюстрирует идею метода количественной обработки данных, полученных на предыдущем этапе. По этому способу полученные оценки для отдельного сведения (категории сведений) определяются по формуле
м
rim(Ti) = ^ k im(TJ)Wm,
(20.10)
ш=1
где kjm(Tj) — медианное значение степени связи S, сведения с угрозой ут\ Wm — значение степени важности угрозы у т; г,( 7}) — рейтинг сведения Sh рассчитанный количественным способом для момента времени пересмотра степени конфиденциальности 7};
М — количество угроз безопасности предприятия.
Таким образом, каждому сведению присваивается его рейтинг, соответствующий расчету ценности данного сведения по величи
не интегрированного ущерба.
Рейтинг сведения является относительной характеристикой ценности сведения и показывает степень различия одного сведе
ния относительно других по величине ущерба, который может быть нанесен в результате раскрытия сведения. По величине рей
тинга сведения может быть установлена степень его конфиденци
альности. Для этого множество всех рассматриваемых сведений отображается на соответствующей шкале конфиденциальности, представляющей ранжированное множество значений рейтингов сведений, разбитых на интервалы категорий конфиденциальности.
В конечном итоге наша цель заключается в нахождении гло
бального упорядочения сведений по величине их первичного рей
тинга, характеризующего величину возможного ущерба при рас
крытии оцениваемого сведения.
Определение границ перехода категорий конфиденциальности осуществляется на основе рейтингов сведений, определенных для данной степени конфиденциальности как «эталонные». Для этого каждый эксперт на основе качественных характеристик катего
рий конфиденциальности и имеющегося опыта работы указывает из списка оцениваемых им сведений те, в степени конфиденциаль
ности которых у него нет сомнений.