УДК 681 - Высшая школа экономики
advertisement
УДК 681. 3. 093
В.А. Михеев, В. Г. Семин
Разработка формальной структуры системы управления рисками
информационной
и
многофункциональных
функциональной
информационных
безопасности
систем
при
электромагнитных воздействиях
В настоящее время
проблема управления рисками информационной и
функциональной безопасности (ИФБ) представляет собой синтезированную
научную дисциплину, которая изучает влияние на различные сферы деятельности
человека случайных событий, наносящих физический и материальный ущерб.
Одной из основных составляющих проблемы ИФБ является обеспечение
электромагнитной
изоляции
от
проявлений
угроз
электромагнитного
терроризма. применения технических дистанционных средств деструктивного
электромагнитного воздействия, способных
поражению
практически
любой
к скрытному и внезапному
информационно-телекоммуникационной
инфраструктуры управления многофункциональной ИС(МИС). Поэтому одним из
важнейших условий обеспечения «безопасности» любой организации, с точки
минимизации возможного ущерба
рисками.
является разработка системы управления её
Данная работа ставит целью обоснование подхода к построению
системы управлению рисками информационной и функциональной безопасности
на основе
принципа гарантированного результата. В статье приведены
результаты разработки концептуальной структуры системы управления рисками
информационной и функциональной безопасности.
риск, безопасность функциональная, полнота безопасности, управление,
уязвимость принцип гарантированного результата.
Введение
Известно, что действующий стандарт [1] ГОСТ Р МЭК61508-2007,
устанавливает общий подход к вопросам обеспечения безопасности для всего
жизненного цикла систем, состоящих из электрических и/или электронных,
и/или
программируемых
электронных
компонентов
[электрических/
электронных/ программируемых электронных систем (E/E/PES)], которые
используются для выполнения функций безопасности. В каждом конкретном
применении
необходимые
меры
безопасности
будут
зависеть
от
многочисленных факторов, которые являются специфичными для этого
применения.
В стандарте под функциональной безопасностью (functional safety)
определяется часть
общей безопасности, которая относится к EUC
(оборудование, машины, аппараты или установки, используемые для
производства,
обработки,
транспортировки
и
в
иных
процессах).
Управляемому оборудованию и системам управления EUC и зависит от
правильности
функционирования
безопасностью,
систем
E/E/PES
обеспечения.
Полное
систем,
устранение
связанных
с
негативных
воздействий и дефектов, отражающихся на безопасности и качестве
функционирования
сложных
E/E/PES,
принципиально
невозможно.
Проблема состоит в выявлении факторов, в том числе ЭМС, от которых они
зависят, в создании методов и средств уменьшения их влияния на
функциональную
пригодность
E/E/PES,
а
также
в
эффективном
распределении ограниченных ресурсов для обеспечения необходимого
качества функционирования комплекса программ, равнопрочного при всех
реальных негативных воздействий.
Постановка задачи синтеза структуры системы управления рисками ИФБ.
В соответствии с концептуальной моделью [1[ определим основные
элементы структуры в виде следующих множеств:
1.
G = { G i }, (i = 1,…,I) - множество угроз ЭМС:
2.
R = { E j , Q j }, (j = 1,…,J) - множество рисков ИФБ;
3.
U = { U d }, (d = 1,…,D) - множество уязвимостей EUC ;
4.
S = { S k }, (k = 1,…,K) - множество источников угроз;
5.
O = { O b }, (b = 1,…,B) - множество объектов воздействия;
6.
Z
=
{ Fn , C n },
=
(n
1,…,N)
-
множество
способов
противодействия,
где E j - событие риска, Q j - величина ущерба, Fn - реализуемая
функция, Cn - стоимость реализации.
По определению задача синтеза структуры сводится к заданию
множества отношений
на множестве элементов системы. Обозначим
множество возможных принципов построения системы управления рисками
ИФБ и её элементов через P. Каждому набору принципов построения
соответствует некоторое множество выполняемых функций F ( ) ,
которого
необходимо
из
выбрать такое подмножество Z = { Fn , C n },
необходимое и достаточное для реализации,
контрмер противодействия
угрозам ИФБ.
По определению множество O={ O b }, является подмножеством
элементов EUC
, с каждым из которых может
быть ассоциировано
некоторое множество угроз G = { G i } ,а также множества уязвимостей U =
{ U d }.
При этом в модель угроз, полагая, что соподчиненность элементов
множества задается в виде некоторого графа
Gэ { j , j }
, где
j
- множество
элементов, подчиненных элементу j. Тогда с учетом введенных обозначений
можно сформулировать
общую формальную постановку задачи синтеза
оптимальной структуры процесса управления рисками, которая будет
заключаться
в
определении
оператора
А,
реализующего
операцию
отображения F ( ) на O. Оптимальное отображение должно обеспечивать
экстремум
некоторой
ограничений.
целевой
функции
при
выполнении
заданных
Следовательно, общая постановку задачи синтеза искомой структуры
будет заключаться в определении:
Φ Z { Fn , Cn } F A U U d ò O {Ob } extr
(5.8)
P ;
(5.9)
Z Fn , Cn F
(5.10), (5.11)
U U d O
В
разработанной концептуальной
модели необходимо выделить
четыре проблемные задачи установления отношений между элементами
системы управления рисками. Первая из них (φ1) связана с установлением
соответствия между существующими объектами и теми информационными
и функциональными рисками, которые определены для EUC. В рамках этой
задачи описывается степень влияния объекта, его значимость с точки зрения
рисков, которые присущи EUC . Фактически здесь специфицируется связь
между служебной информацией, обрабатываемой в
EUC, и теми
последствиями, к которым может привести нарушение характеристик
качества обработки этой служебной информации в части ее доступности,
целостности и конфиденциальности.
Вторая подобласть (φ2) связана со степенью значимости угроз для
конкретных объектов EUC. В рамках этой подобласти описывается степень
влияния тех или иных угроз (потенциальных воздействий) на конкретные
информационные объекты. Фактически здесь специфицируется уровень
критичности тех или иных воздействий на качество служебной информации,
обрабатываемой в EUC. Например, отказ в доступе к информации, задержка
загрузки информации в базу данных в одном случае не является значимой
угрозой (регламент ее обработки допускает это), а в другом случае – это
может негативно сказаться на своевременность представления информации
ЛПР.
Третья подобласть (φ3) связана со значимостью реализации угроз
посредством использования конкретных уязвимостей в EUC с точки зрения
определенных
рисков ИФБ. В рамках этой подобласти описывается
критичность использования той или иной уязвимости EUC при реализации
конкретной угрозы для конкретного информационного риска. Фактически
здесь
специфицируется
возможность
материализации
события риска за счет использования слабых мест
определенного
EUC при реализации
конкретного воздействия на обрабатываемую служебную информацию.
И, наконец, четвертая подобласть (φ4) связана с эффективностью
различных механизмов противодействия угрозам. В рамках этой подобласти
описывается эффективность мер, направленных на снижение объективных,
субъективных и случайных. Эти механизмы могут быть связаны с
информационным, программным, техническим, инженерно-физическим,
кадровым и организационно-нормативным обеспечением функционирования.
В соответствии с проблемными подобластями концептуальной модели
определим для этих множеств следующие отображения:
1
О R
А , где А – множество чисел от 0 до 1, определяющих
степень обусловленности рисков существующим множеством объектов;
2
S G О
V , где V – множество чисел от 0 до 1, определяющих
степень критичности угроз множеству объектов;
3
G U R
P , где P – множество пар чисел [ P(E), P(Q)]
,определяющих потенциал рисков при наличии множества угроз и множества
уязвимостей, таких, что 0 ≤ P(E) ≤ 1, P(Q) ≥ 0;
4
Z U
М , где М – множество чисел от 0 до 1, определяющих
степень доступности уязвимостей в условиях применения множества
способов противодействия.
С точки зрения задачи снижения
рисков необходимо осуществить
оптимизацию использования средств противодействия в части минимизации
уязвимостей EUC. Значимость конкретных процессов обработки информации
определяет необходимость принятия тех или иных мер по снижению рисков.
Эти меры должны реализовываться через придание этим процессам
обработки информации определенных свойств и включением в них
соответствующих средств противодействия уязвимостям. Применяемые
меры и реализуемые средства должны быть адекватными возможным
угрозам и реализовывать предписания регламента обработки информации,
устанавливаемые нормативно- правовыми документами. Недостаточность
мер может повлечь за собой высокий уровень остаточного информационного
риска. Излишние меры, в свою очередь, связаны с избыточными затратами
финансовых, материальных и людских ресурсов, могут привести к
ухудшению
функциональных
характеристик
системы
обработки
информации.
Реализация функций по снижению
рисков ИФБ
предполагает
декомпозицию этих функций на группы (возможно с дублированием),
обеспечением которых должны заниматься соответствующие средства,
реализованные в виде взаимосвязанной (многоконтурной и многоуровневой)
подсистемы элементов различной природы в рамках корпоративной системы
обработки
информации.
Таким
образом,
мотивацией
использования
определенных средств и требуемой от них функциональности является, вопервых, необходимая полнота всего множества функций и, во-вторых,
наиболее эффективная реализация групп функций конкретными средствами в
рамках указанной подсистемы, с точки зрения характеристик качества
информации
Таким образом, имеем оптимизационную задачу следующего вида:
min max P
Z
G
где P
- консолидированный риск по оцениваемому множеству
информационных объектов EUC. При этом должны учитываться требования
к потенциальной возможности наступления определенных событий риска,
максимально допустимый ущерб и прагматически приемлемая стоимость
методов противодействия. Ущерб от наступления событий риска может
выражаться в денежном выражении, в трудоемкости процессов по
ликвидации
их
последствий,
некоторых
условных
единицах,
характеризующих степень негативных последствий. Стоимость методов
противодействия может выражаться в денежном выражении, в трудоемкости
поддержания процессов по снижению информационных рисков, в объемновременных затратах средств противодействия в системе.
но, в качестве критерия качества управления определяется
выражение (5.12). Введем следующие обозначения:
P P E , PQ - консолидированный риск с учётом рисков,
возникающих во всех направлениях деятельности АС;
PΣ
E
max Pj степень реализуемости рискового события АС;
j
E
PQ - консолидированный ущерб.
С точки зрения задачи минимизации последствий рисковых событий
необходимо
осуществить
оптимизацию
мероприятий
и
средств
противодействия рискам ИФБ.
Недостаточность мер может повлечь за собой высокий уровень
остаточного риска, а излишние меры, в свою очередь, связаны с
дополнительными
затратами
финансовых,
материальных
и
людских
ресурсов,
Реализация набора функций по снижению
рисков предполагает
декомпозицию этих функций на группы, образующих взаимосвязанную
подсистему в рамках EUC .
Пусть
степень
реализуемости
рискового
события
в
системе
определяется как максимальная степень реализуемости рискового события
среди всех возможных рисковых событий:
PΣ
где: Pj
E
E
max Pj ,
j
E
(5.13)
– степень реализуемости j-события риска.
Консолидированный ущерб EUC определяется как совокупная сумма
величин j-ых ущербов соответствующих рисков по всем индексам j:
Рассмотрим
1.
ГОСТ P МЭК 61508-1-2007. Функциональная безопасность систем
электрических,
электронных,
программируемых
электронных,
связанных с безопасностью. Часть 1. Общие требования. - М.:
Стандартинформ., 2008. - 50 с.
2.
Семин
В.Г.
Обобщенный
алгоритм
управления
рисками
автоматизированных систем.//Динамика сложных систем .№4,т.6.
2012.С-96 -100.
3.
Давыдов Э.Г. Исследование операций-М.: Высшая школа., 1990.383 с.
4.
Михеев
В.А.
Методология
автоматизированных
систем
разработки
в
защищенном
и
аттестации
исполнении.//
Материалы международной научно-практической конференции
«Информационная безопасность» - Таганрог: Изд-во ТРТУ,2007.С.86-89.
ОАО «Инженерно-маркетинговый центр Концерна « Вега»
Московский институт электроники и математики Национального
исследовательского университета «Высшая школа экономики» (МИЭМ
НИУ ВШЭ)
Статья поступила
Mikheev V.A., Semin V.G
Development of the conceptual structure of the risk management system of
informational and functional safety of multifunctional information systems,
electromagnetic influences
At present the problem of risk management information and functional
safety (IFB) is a synthesized scientific discipline, which studies the effect on
various spheres of human activity random events that cause physical and
material damage.
One of the main components of problems IFB is
electromagnetic isolation from the manifestations of threats electromagnetic
terrorism, the application of technical means of remote destructive
electromagnetic influence, capable secretive and sudden defeat almost any
information and telecommunication infrastructure of IP management.
Therefore, one of the most important conditions for ensuring the «security» of
any organization, from the point limit the damage is to develop a system to
manage its risks. This study aims at rationale for the approach to build a
system risk management information and functional safety on the basis of the
principle of guaranteed result. In the article the results of the development of
the conceptual framework of the system of risk management information and
functional safety.
risk, functional safety, completeness security, management, vulnerability principle
guaranteed result
JSC «Engineering-marketing center of the Concern « VEGA»
Moscow Institute of electronics and mathematics of the National research
University «Higher school of Economics» (MIEM NIU HSE)
Решение задачи синтеза обобщенного алгоритма управления рисками
ИФБ. Для решения поставленной задачи необходимо разработать структуру
системы управления рисками, которая отражала бы взаимосвязи
между её
элементами, угрозами, рисками и уязвимостями .
В соответствии с концептуальной моделью определим основные элементы
структуры в виде следующих множеств:
7.
G = { G i }, (i = 1,…,I) - множество угроз ЭМС:
8.
R = { E j , Q j }, (j = 1,…,J) - множество рисков ИФБ;
9.
U = { U d }, (d = 1,…,D) - множество уязвимостей EUC ;
10.
S = { S k }, (k = 1,…,K) - множество источников угроз;
11.
O = { O b }, (b = 1,…,B) - множество объектов воздействия;
12.
Z
=
{ Fn , C n },
(n
=
1,…,N)
-
множество
способов
противодействия,
где E j - событие риска, Q j - величина ущерба, Fn - реализуемая
функция, Cn - стоимость реализации.
По определению задача синтеза структуры сводится к заданию
множества отношений
на множестве элементов системы. Обозначим
множество возможных принципов построения системы управления рисками
ИФБ и её элементов через P. Каждому набору принципов построения
соответствует некоторое множество выполняемых функций F ( ) ,
которого
необходимо
из
выбрать такое подмножество Z = { Fn , C n },
необходимое и достаточное для реализации,
контрмер противодействия
угрозам АС.
По определению множество O={ O b }, является подмножеством
элементов EUC
, с каждым из которых может
быть ассоциировано
некоторое множество угроз G = { G i } ,а также множества уязвимостей U =
{ U d }.
Таким
образом,
формируется
модель
угроз,
полагая,
что
соподчиненность элементов множества задается в виде некоторого графа
Gэ { j , j }
, где
j
- множество элементов, подчиненных элементу j. Тогда с
учетом введенных обозначений можно сформулировать общую формальную
постановку задачи синтеза оптимальной структуры процесса управления
рисками,
которая
будет
заключаться
в
определении
оператора
А,
реализующего операцию отображения F ( ) на O. Оптимальное отображение
должно
обеспечивать
экстремум
некоторой
целевой
функции
при
выполнении заданных ограничений.
Следовательно, общая постановку задачи синтеза искомой структуры
будет заключаться в определении:
Φ Z { Fn , Cn } F A U U d ò O {Ob } extr
(5.8)
P ;
(5.9)
Z Fn , Cn F
(5.10), (5.11)
U U d O
Таким образом, решение задачи синтеза структуры, с точки зрения
задачи снижения
рисков, приводит к необходимости оптимизации
использования средств противодействия в части минимизации уязвимостей
EUC. Значимость конкретных процессов обработки информации определяет
необходимость принятия тех или иных мер по снижению рисков. Эти меры
должны реализовываться через придание этим процессам обработки
информации определенных свойств и включением в них соответствующих
средств противодействия.
Таким образом, имеем оптимизационную задачу следующего вида:
min max P
Z
G
где: P
(5.12)
- консолидированный риск по оцениваемому множеству
O={ O b }, объектов. При этом должны учитываться требования к потенциальной возможности наступления определенных событий риска,
максимально допустимый ущерб и прагматически приемлемая стоимость
методов противодействия. Ущерб от наступления событий риска может
выражаться в денежном выражении, в трудоемкости процессов по
ликвидации
их
последствий,
некоторых
условных
единицах,
характеризующих степень негативных последствий. Стоимость методов
противодействия может выражаться в денежном выражении, в трудоемкости
поддержания процессов реализации эффективного алгоритма управления
рисками , т.е. оптимального выбора, на основе принципа гарантированного
результата,
искомого
множества
методов
минимизации
последствий
рисковых событий. Следовательно, в качестве критерия качества управления
определяется выражение (5.12). Введем следующие обозначения:
P P E , PQ - консолидированный риск с учётом рисков,
возникающих во всех направлениях деятельности АС;
PΣ
E
max Pj степень реализуемости рискового события АС;
j
PQ - консолидированный ущерб.
E
С точки зрения задачи минимизации последствий рисковых событий
необходимо
осуществить
оптимизацию
мероприятий
и
средств
противодействия рискам ИФБ.
Недостаточность мер может повлечь за собой высокий уровень
остаточного риска, а излишние меры, в свою очередь, связаны с
дополнительными
затратами
финансовых,
материальных
и
людских
ресурсов,
Реализация набора функций по снижению
рисков предполагает
декомпозицию этих функций на группы, образующих взаимосвязанную
подсистему в рамках EUC .
Пусть
степень
реализуемости
рискового
события
в
системе
определяется как максимальная степень реализуемости рискового события
среди всех возможных рисковых событий:
PΣ
где: Pj
E
E
max Pj ,
j
E
(5.13)
– степень реализуемости j-события риска.
Консолидированный ущерб EUC определяется как совокупная сумма
величин j-ых ущербов соответствующих рисков по всем индексам j: