Содержание к диссертации
Введение
ГЛАВА 1. Задача поддержки принятия управленческих решений при выборе вариантов систем информа ционной безопасности коммерческих структур 13
1.1. Основные цели разработки систем информационной безопасности в экономических информационных системах 13
1.2. Текущие подходы оценки безопасности информационных систем, их достоинства и недостатки 19
1.3. Системы поддержки принятия решений 34
ГЛАВА 2. Разработка концепции и инструментального средства для выбора вариантов систем информацион ной безопасности коммерческих структур путем согла сования несовпадающих интересов лиц, принимающих решения 40
2.1. Формализация альтернативных вариантов систем информационной безопасности с требуемыми структурными свойствами 40
2.2. Формирование лексикографически упорядоченных морфологических вариантов систем информационной безопасности
2.3. Критерии оценки безопасности информационных технологий 64
2.4. Концептуальная модель инструментального средства по выработке компромиссных решений при выборе вариантов систем информационной безопасности коммерческих структур 70
2.5. Компьютерная поддержка принятия компромиссного решения при выборе вариантов системы информационной безопасности
ГЛАВА 3. Прикладные аспекты использования инстру ментального средства для выбора вариантов систем информационной безопасности путем согласования несовпадающих интересов лиц, принимающих решения 91
3.1. Методики выбора компромиссных вариантов систем информационной безопасности коммерческих структур 91
3.2. Пример реализации методики «1» 98
3.3. Рекомендации по использованию СППР
3.3.1. Определение эффективного способа выбора подрядчика 112
3.3.2. Система управления информацией 114
Заключение 117
Библиографический список использованной
Литературы
- Текущие подходы оценки безопасности информационных систем, их достоинства и недостатки
- Системы поддержки принятия решений
- Формирование лексикографически упорядоченных морфологических вариантов систем информационной безопасности
- Пример реализации методики «1»
Введение к работе
Актуальность исследования. В современных условиях на динамично
развивающихся предприятиях стремительно растет объем
конфиденциальных баз данных и количество пользователей, подключаемых к корпоративной локальной вычислительной сети (ЛВС) и ее базам данных, что делает проблему защиты информационных ресурсов еще более актуальной, особенно, при организации корпоративной ЛВС с использованием Интернет.
При выборе варианта системы информационной безопасности (СИБ) лица, принимающие решения (ЛПР), вынуждены учитывать множество противоречивых критериев (безопасности, экономических, социальных) в условиях ограниченности ресурсов, удовлетворить которым одновременно невозможно. Поскольку в большинстве случаев разные люди, влияющие на принятие решения, по-разному оценивают возможность и необходимость учета различных факторов и их веса, сформировать единую целевую функцию для оценки принимаемых решений принципиально невозможно. Поэтому классические оптимизационные методы, чаще всего применявшиеся при оценке вариантов СИБ, в современных экономических условиях не работают. На их место постепенно приходят многокритериальные методы оценки. При переходе к многокритериальному оцениванию встает проблема согласования решений - проведения переговоров между заинтересованными лицами, интересы которых в большинстве случаев не совпадают, по выбору компромиссного решения. Как показал предварительный анализ, в области обеспечения информационной безопасности для ряда отраслей народного хозяйства данные проблемы стоят достаточно остро. Поэтому задача выбора варианта СИБ путем согласования несовпадающих интересов является важной народнохозяйственной задачей, и возникает необходимость в выработке концепции и методики ее решения.
Цели и задачи исследования. Целью диссертационной работы является разработка концепции и методики выбора варианта СИБ корпоративной сети путем согласования несовпадающих экономических интересов в системе поддержки принятия решений и разработанной в виде инструментального средства.
Цель диссертационной работы предопределила постановку и решение следующих задач:
анализ основных направлений развития СИБ корпоративных сетей, методов их оценки, экономического обоснования и выбора управленческих решений по их использованию на современном этапе;
анализ основных критериев выбора вариантов СИБ;
разработка концепции выбора вариантов СИБ путем согласования несовпадающих интересов (технических, экономических, технологических);
реализация разработанной концепции в виде автоматизированной подсистемы в системе поддержки принятия решений;
разработка методики выбора вариантов СИБ путем согласования несовпадающих интересов;
апробация разработанной концепции и методики на ряде конкретных задач;
анализ эффективности предложенных процедур выбора вариантов СИБ путем согласования несовпадающих интересов.
Объектом исследования являются процессы принятия управленческих решений по выбору вариантов системы информационной безопасности локальных вычислительных сетей коммерческих структур.
Предметом исследования являются процессы согласования несовпадающих интересов по выбору вариантов системы информационной безопасности локальных вычислительных сетей коммерческих структур.
Теоретической и методологической базой исследования явились работы ведущих отечественных и зарубежных специалистов в области анализа СИБ корпоративных вычислительных сетей, поддержки принятия управленческих решений в условиях многокритериальности. Научно-методический инструментарий диссертационного исследования включает системный подход, методы многокритериальной оптимизации с учетом экономических критериев, методы компьютерной визуализации данных и проведения многовариантных расчетов.
Научная новизна диссертации заключается в следующем:
разработана концепция выбора вариантов СИБ корпоративных вычислительных сетей путем согласования несовпадающих экономических интересов в случае наличия многих критериев оценки;
предложен инструментарий по упорядочению и сокращению вариантов систем информационной безопасности с определенными структурными свойствами на базе методов морфологического анализа сложных систем.
разработана информационная модель согласования несовпадающих интересов в случае наличия многих критериев оценки, включая экономические критерии;
разработаны методики выбора вариантов СИБ путем согласования несовпадающих и/или антагонистических интересов ЛПР;
разработаны процедуры, обеспечивающие на каждом шаге
согласования фиксацию границы варьирования экономических критериев
в пространстве решений.
Практическая значимость результатов диссертационного
исследования заключается в их направленности на решение конкретных задач по согласованию несовпадающих интересов, возникающих при выборе вариантов СИБ корпоративных вычислительных сетей. Разработанная в ходе исследования подсистема в системе поддержки принятия решений (СППР) для согласования несовпадающих интересов и методики ее применения использованы в практике управления Открытого Акционерного общества
«Центральный телеграф», г. Москва. Применение указанной подсистемы позволило повысить качество и обоснованность принятых решений, а также значительно сократить время и затраты на принятие решения. Материалы диссертации используются также в учебном процессе на факультете экономики, менеджмента и информационных технологий Московского государственного индустриального университета при подготовке студентов по специальности «Организация и технология защиты информации». Данная диссертационная работа выполнялась в рамках аналитической ведомственной целевой программы: «Развитие научного потенциала высшей школы (2006-2008)».
Апробация работы. Идеи и результаты выполненного исследования докладывались и обсуждались на Шестом всероссийском симпозиуме «Стратегическое планирование и развитие предприятий» (Москва, 12-13 апреля 2005г.), на Международной научной конференции «Проблемы регионального и муниципального управления (Москва, 5 мая 2005 г.) и на семинаре научного симпозиума «Неделя горняка 2010» (МГГУ 26-29 января 2010 г.). Имеются акты о внедрении результатов диссертационного исследования в ОАО «Центральный телеграф» (АКТ от 15 мая 2007 г. ОАО «Центральный телеграф») и о внедрении в учебный процесс в Московском государственном индустриальном университете (Акт от 05.03.10г.). Получены авторское свидетельство о регистрации электронного ресурса, отвечающего требованиям новизны и приоритетности: «Выбор компромиссного варианта системы информационной безопасности локальных вычислительных сетей» (свидетельство № 15568 от 05.04.2010 г. ИНИМ РАО ОФЭРНиО, инв. номер ВНТИЦ № 50201000500) и свидетельство о государственной регистрации программ для ЭВМ № 2010614156 от 25.06.2010 г. «Удаленный электронный научно-образовательный комплекс по направлению «Информационная безопасность». Публикации. Основное содержание диссертации отражено в одиннадцати публикациях общим объемом 7,3 п.л. (в том числе без
соавторов — 4,9 п.л.). В их числе две публикации в материалах российской и международной научных конференций и три публикации в ведущих рецензируемых научных журналах и изданиях, рекомендуемых ВАК.
Структура работы. Диссертация состоит из введения, трех глав
основного текста, заключения, библиографического списка (111
наименований) и шести приложений. Основной текст диссертации содержит 127 машинописных страниц, 41 рисунок и 4 таблицы.
Текущие подходы оценки безопасности информационных систем, их достоинства и недостатки
В 1989 году Институт Инженеров Электриков и Электронщиков (IEEE) определил ЛВС как систему передачи данных, обеспечивающую некоторому числу независимых устройств возможность прямого взаимодействия в ограниченном географическом пространстве посредством физического канала взаимодействия ограниченной производительности [76]. В связи с интенсивным и широкомасштабным развитием информационных технологий и телекоммуникационных систем и средств связи за последние годы, данное определение следует относить к маломощным ЛВС, управляемым в рамках одного предприятия. В зависимости от территориального расположения абонентских систем вычислительные сети разделяются на три основных класса:
Производительность и пропускная способность ЛВС определяется рядом факторов [63]: выбором серверов и рабочих станций, сетевого оборудования, операционных систем рабочих станций, серверов и их конфигураций, распределением: файлов базы данных по серверам сети, организацией вычислительного процесса, защиты, поддержания и восстановления работоспособности в ситуациях сбоев и отказов и т.п. Максимальные возможности корпоративной ЛВС для конкретных приложений (банковская, офисная, про-ектно-конструкторская, управленческая деятельность и др.) могут быть достигнуты только на основе комплексного подхода к оптимизации ЛВС на всех этапах жизненного цикла (от технико-экономического обоснования и технического задания на разработку до эксплуатации и модернизации). В процессе проектирования ЛВС с использованием современной методологии проектирования и технических комплексов САПР применяются экспериментальные методы исследования, аналитическое и имитационное моделирование [32].
Преимущества использования ЛВС сопряжены с дополнительными рисками нарушения статуса информации в системе в основном из-за несанкционированного доступа (НСД) к ЛВС, т.к. защита информации от ее утечки по техническим каналам; за счет побочных электромагнитных излучений и наво 15 док осуществляется соответствующими методами и средствами пассивной и активной защиты средств ЭВТ. Состояние информационной безопасности ЛВС непосредственно зависит от реализации угроз безопасности информации через различные виды воздействий, к которым относят [ 6, 7,13]:
Для сокращения риска, связанного с угрозой безопасности ЛВС, разработана, постоянно совершенствуется и реализуется целая совокупность механизмов, процедур и других управляющих воздействий, называемых службами и механизмами защиты информации ЛВС, к которым относятся: - идентификация и установление подлинности (аутентификация) - служ ба безопасности, которая помогает гарантировать, что в ЛВС работают только авторизованные лица. В большинстве ЛВС используется меха низм идентификации и аутентификации на основе схемы идентифика тор пользователя - пароль. В работах Национальной Лаборатории Компьютерных систем США (NCSL) [73] констатируется, что пароль ные системы могут быть эффективными, если управляются должным образом в соответствии с федеральным стандартом FEPS 112 [82], что по ряду причин на практике выполняется довольно редко. Дополнительные рекомендации, которые также могут быть учтены при управлении паролями, разработаны Национальным Центром Компьютерной Безопасности (NCSC) [79,80] . Для организаций, решивших связать свои ЛВС с внешними сетями, особенно с INTERNET, также руководящим документом должны стать рекомендации NCSC [ 73]; управление доступом - служба безопасности, которая помогает гарантировать, что ресурсы ЛВС используются разрешенным способом. Согласно [ 80] управление доступом может быть достигнуто при использовании дискреционного управления доступом или мандатного управления совместно с дискреционным. При этом необходимо руководствоваться концепцией минимальных привилегий, которая в соответствии с [84] определяет принцип, согласно которому каждому субъекту в системе предоставляется наиболее ограниченное множество привилегий, которые необходимы для выполнения задачи, которую должен решить пользователь;
Системы поддержки принятия решений
Упростить процесс анализа совокупности морфологических вариантов СИБ можно за счет исследования локальных областей морфологического пространства, которые содержат варианты, обладающие определенным структурным свойством. Для этого вводится метризация морфологического пространства [67].
Итак, пусть х = (xi..., х ) - морфологический вариант, х є Л, R(x,y) - расстояние между вариантами х и у.
Локальный подход к решению задачи формализации сводится к формированию и исследованию только тех вариантов системы, которые находятся в некоторой окрестности заданной точки морфологического пространства. Выбор этой «базовой» точки, как правило, определяется содержательной постановкой задачи. В качестве базовой точки может выступать, например, уже существующий вариант СИБ или же некоторый гипотетический вариант, обладающий достаточно высокими оценками по критериям, но недопустимый из-за по парной несовместимости его элементов. В последнем случае выбор окрестности, должен осуществляться таким образом, чтобы была обеспечена ее не пустота. Особый интерес представляет задача формирования варианта СИБ, совмещающего в себя свойства нескольких базовых точек. Число таких вариантов совпадает с числом точек морфологического пространства, содержащихся в пересечении нескольких шаровых окрестностей произвольного радиуса.
Множество- Парето-оптимальных вариантов СИБ или некоторое его подмножество формируются в окрестности некоторого базового варианта. Если таких вариантов несколько, то рассматривается пересечение их окрестностей. Однако в последнем случае возможен и иной подход.
Здесь имеет смысл говорить о выделении-таких точек морфологического пространства, суммарное расстояние от которых до всех базовых вариантов минимально. В любой морфологической таблице, построенной при решении прикладной задачи анализа системы информационной безопасности, содержатся все ранее реализованные варианты, относительно которых известны их достоинства и недостатки, а также затраты, связанные с их анализом и реализацией.
Таким образом, если задача формирования вариантов СИБ решается при наличии ограниченных ресурсов, а относительно возможностей реализации вариантов, сильно отличающихся от известных, имеется исходная неопределенность, то имеет смысл ограничиться первоочередным анализом таких новых вариантов, которые наиболее близки к совокупности известных. Иными словами, встает задача определения вариантов СИБ, в среднем наиболее близких ко множеству базовых (в данном случае - ранее реализованных) вариантов. При этом предполагается, что реализовать такие промежуточные варианты будет проще, поскольку в значительной степени можно будет использовать опыт, полученный при разработке и применении базовых вариантов СИБ.
Для решения указанной задачи предлагается использовать алгоритм [105], основанный на понятии медианы множества точек метризованного морфологического пространства, а именно: медианой множества точек У метризованного морфологического пространства У\ называется любая точка X є Л, суммарное расстояние от которой до всех точек множества У минимально.
В практике выбора сложных экономических систем широко распространены задачи, когда исходная информация о разрабатываемом объекте включает в себя, помимо данных о структуре системы и описании элементов, также и информацию о целях, для достижения которых создается система, и требованиях, предъявляемых к ней. Такую информацию в процессе проектирования чаще всего удобно использовать в виде критериев, по которым производится оценка степени достижения поставленных целей.
Исходная информация о системе информационной безопасности должна включать в себя также и зависимости между оценками системы и оценками элементов, входящих в ее состав, по каждому из критериев. Рассмотрим задачу формирования предпочтительных морфологических вариантов СИБ, призванной обеспечить достижение ряда строго упорядоченных частных целей. В такой формулировке задача ставится тогда, когда достижение глобальной цели разрабатываемой системы осуществляется в результате последовательного достижения частных целей. К сходной постановке мы приходим и тогда, когда проектируемая система содержит подсистемы, относящиеся к разным уровням иерархии. При этом каждая подсистема обеспечивает достижение одной из частных целей. Тогда достижение глобальной цели системы может быть обеспечено в результате последовательного достижения целей подсистем, начиная с подсистем нижнего уровня иерархии.
Если N0 — ограничение на требуемое число предпочтительных вариантов СИБ, то в общем случае задача сводится к формированию первых N0 предпочтительных морфологических вариантов системы, лексикографически упорядоченных на основе оценок (р ( Л ). Таким образом, задача строго формулируется следующим образом: задана вектор-функция р(Л), определенная в морфологическом пространстве Л= ]П[сг(/) со значения-ми в пространстве векторных оценок R". Требуется сформировать No lex элементное подмножество М L такое, что для Я є Ми Я є L/M ЯУЯ ІСХ и ни для одного Я є Мне найдется Я є L/M такого, что Я у./ Рассматриваемый ниже метод решения этой задачи основан на морфологическом принципе формирования в сочетании с лексикографическим принципом включения элементов в вариант системы. Морфологический принцип приводит к тому, что формируются варианты, содержащие ровно по одному элементу-представителю от морфологического класса. Лексикографический принцип означает, что очередной элемент, включаемый в состав варианта СИБ, обеспечивает наибольший вклад в векторную оценку варианта с учетом строгой упорядоченности критериев.
Перейдем к описанию алгоритмов. Основными параметрами, которые должны учитываться при разработке алгоритмов решения задачи, служат: L -число морфологических классов, т - число исходных элементов, N - число всевозможных морфологических вариантов, п — число критериев, N0 — ограничение на число формируемых вариантов. Кроме того, существенна информация о том, как распределены значения оценок элементов по критериям. Алгоритм «1».
Этот алгоритм целесообразно применять в тех случаях, когда число формируемых вариантов No близко к числу всевозможных морфологических ва L риантов N = П&/, которое в свою очередь находится в разумных пределах ы (N 10 ). В алгоритме «1» генерируются все морфологические варианты системы, формируется множество их векторных оценок Ф, а затем на нем решается стандартная задача лексикографической максимизации. В результате формируется TVo-элементное множество МсЛ лексикографически предпочтительных вариантов системы. Блок-схема алгоритма «1» приведена на рис. 2.1.
Через arg lex max здесь обозначено множество решений задачи лексикографической максимизации. Заметим, что эта часть алгоритма может быть реализована разными способами, например с использованием характеристической функции, широко применяемой в машинном программировании при упорядочении массивов данных в позиционных системах счисления.
При применении алгоритма 1 в процессе формирования вариантов СИБ практически не используется специфика рассматриваемого морфологического пространства. Оказывается, что такая информация позволяет строить алгоритмы, радикально сокращающие перебор элементов морфологического пространства.
Формирование лексикографически упорядоченных морфологических вариантов систем информационной безопасности
Основное отличие методики «3» от методики «2» заключается в том, что вместо многомерного отображения рассматривается ряд двумерных отображений с одним фиксированным критерием в качестве оси X. Делается это для того, чтобы, во-первых, проанализировать структуру расположения вариантов в критериальном пространстве и зависимости между критериями, а во-вторых, отбросив варианты, не устраивающие ЛПР, выделить из всего множества вариантов небольшое подмножество, достаточное для непосредственного рассмотрения в табличном виде и выбора из него компромиссного варианта. Достоинство данной методики состоит в том, что для ЛПР графическая реализация двумерного отображения выглядит гораздо понятнее и нагляднее, чем многомерного, и позволяет проще ориентироваться в ситуации. Недостаток данной методики состоит в том, что, рассматривая двумерное отображение, ЛПР не видят значения остальных критериев, поэтому возможна ситуация, когда ЛПР выбирают на двумерном пространстве кластер с устраивающими их вариантами, но при этом значения остальных критериев могут быть неприемлемыми.
Необходимо отметить, что система «ВКР-СИБ ЛВС» лишь обеспечивает поддержку процедуры переговоров, по выбору компромиссного решения: представляет удобный интерфейс и средства для исследования предложенных вариантов решений, отражения позиций каждого из ЛПР и нахождения компромисса. Процедура переговоров с использованием системы «ВКР-СИБ ЛВС» принципиально является человеко-машинной. Выбор решения и ответственность за его принятие всегда остается прерогативой управленца, и в этом процессе,.кроме компьютерного анализа, большую роль играют опыт и искусство ЛПР находить компромиссные решения.
Эффективность предложенных процедур согласования носит многосторонний характер и сводится к следующему: экономия ресурсов, возможность рассмотрения большого количества вариантов, экономия времени ЛІТР, затраченного на принятие решения, улучшение понимания ЛПР проблемы, протоколирование процесса переговоров.
Рассмотрение большого числа вариантов особенно важно при переговорах между ЛПР, имеющих несовпадающие интересы, так как при этом повышается вероятность нахождения компромисса. Система «ВКР-СИБ ЛВС» дает возможность рассмотреть большое число вариантов, что по сути означает увеличение ценности информации, представляемой ЛПР. Денежная оценка выигрыша от применения предложенных процедур согласования в общем случае затруднена, так как часть используемых критериев являются неэкономическими и выражаются в натуральных показателях. Сведение многих из этих критериев к денежным показателям в настоящее время затруднено из-за отсутствия соответствующей теоретико-методической базы. Применение подхода позволяет получить выигрыш именно в плане общей выгоды, так как при принятии решения учитываются интересы всех ЛПР. При этом происходит неявное сведение предпочтений ЛПР на множестве экономических и неэкономических критериев к экономическому результату - конкретному варианту СИБ ЛВС.
Рассмотрим подробнее реализацию методики «1» по сближению позиций ЛПР на основе разработанного интерфейса для решения ряда типичных практических задач.
Задана исходная база данных для принятия компромиссного решения, в которой содержится 50 различных вариантов систем защиты информации, предложенных восьмью специализированными организациями в области безопасности информационных технологий, представленной в виде табл. 3.1. Таблица 3.1.
В процедуре выбора компромиссного варианта СИБ принимают участие три ЛПР, которых можно условно охарактеризовать следующим образом: - ЛПР «1» - специалист, отвечающий на предприятии за информационную безопасность корпоративной сети, при этом денежные затраты на внедрение и эксплуатацию СИБ для него не являются первостепенными; - ЛПР «2» - исполнительный директор, который отвечает за успешное функционирование предприятия в целом; - ЛПР «3» - специалист планово-экономического отдела, который отвечает за рациональное распределение денежных средств с упором на экономию расходов (включая текущие). Каждое из ЛПР последовательно назначает в критериальном пространстве (рис.3.4.) свою целевую точку. ЛПР 1» назначает свою целевую точку ЦІ (рис.3.5.), координатами которой могут быть координаты одного из конкретных вариантов из табл.3.1 или любые иные координаты по его выбору. После задания целевой точки система автоматически рассчитывает три ближайшие точки из критериального пространства, соответствующие трем конкретным вариантам из табл. 3.1. Визуальное изображение указанных трех вариантов и их конкретные значения показаны на рис. 3.6 и 3.7.
Аналогичные процедуры выполняют ЛПР «2» и ЛПР «3», результаты которых приведены нарис. 3.8, 3.9 , ЗЛО и 3.11, 3.12, 3.13 соответственно.
Как видно из представленных рисунков среди отмеченных вариантов нет совпадающих. Поэтому ЛПР решают продолжить переговоры по выбору компромиссного решения. Для этого каждое из них назначает свой кластер.
Смысл назначения кластера заключается в следующем. Каждое ЛПР задает диапазон изменения значений каждого критерия относительно значений критериев своей целевой точки. После задания кластера система «ВКР СИБ ЛВС» автоматически проводит визуализацию в критериальном пространстве всех вариантов, попавших в кластер, а также выдает параметры данных вариантов.
На данном этапе ЛПР «1» не согласилось ослабить свои требования по сравнению с ранее вычисленными тремя ближайшими вариантами к своей целевой точке и не стало задавать кластер. ЛПР «3» согласилось на дальнейшие компромиссы и задало свой кластер. Параметры кластера ЛПР «3» приведены на рис.3.14. Отображение в критериальном пространстве вариантов. попавших в кластер приведено на рис. 3.15, а их номера представлены на рис.3.16. После этого система автоматически определяет общие точки из заданного кластера с тремя ближайшими точками, вычисленными ранее для каждой целевой точки каждого ЛПР. Эта информация отображена на рис.3.17. Из этого рисунка видно, что не существует ни одного варианта, который бы устраивал одновременно всех ЛПР. Поэтому ЛПР «2» пошел на дальнейший компромисс и задал свой кластер , по которому система вычислила попавшие в него варианты. Параметры-кластера ЛПР «2» и номера попавших в него вариантов приведены на рис. 3.18. Затем система «ВКР СИБ ЛВС» автоматически вычисляет все точки, попавшие в пересечение кластеров ЛПР «3» и ЛПР «2», и совпадающие с тремя ближайшими к целевой точке ЛПР «1». Информация об этих точках представлена на рис. 3.19. и 3.20. Мы видим, что существует единственный вариант с номером 19, который удовлетворил всех ЛПР с учетом принятых ими компромиссов. Это вариант программно-аппаратного средства системы защиты информации (межсетевого экрана Cisco PIX с пропускной способностью от 10000 Кбит/сек третьего класса защищенности с комплектом защиты ЛВС от вирусов Kaspersky Corporate Suite в составе: «Защита рабочих станций», «Защита почтовых систем» и «Защита файловых серверов») корпоративной вы
Пример реализации методики «1»
Вернемся теперь к последним двум этапам морфологического анализа по Ф.Цвики (п.2.1): определение эффективности вариантов СИБ, выбор и принятие к реализации наиболее предпочтительного варианта СИБ.
В случае, когда заказчиком является государственное предприятие, то процедуры определения эффективности и выбора вариантов СИБ формализованы соответствующими нормативными документами Российской Федерации. Что касается коммерческих предприятий, то вся ответственность за возможные результаты деятельности предприятия, отражающейся в конечном счете на его прибыли, лежит на собственнике и менеджменте предприятия. При этом использование методик официальных нормативных документов совершенно не гарантирует ожидаемой прибыли коммерческому предприятию по следующим основным причинам: - официальные методики предусматривают существенное сокращение ин формационного взаимодействия с окружающим миром, что в большинстве случаев не соответствует уставу коммерческого-предприятия; - точное выполнение требований нормативных документов может привести к таким затратам, которые не выгодны коммерческому предприятию. Указанные обстоятельства на первый план выдвигают задачу нетрадиционного решения указанных этапов морфологического анализа.
Создание системы информационной безопасности в вычислительных сетях коммерческих структур можно трактовать в самом широком смысле слова как длительный и трудный процесс принятия разнообразных решений на различных этапах. Для принятия решений необходимы определенные инструменты, которые, с одной стороны, содержат некоторые научные обоснования правильности выбора, а с другой стороны, облегчают данную процедуру. Такие инструменты принято называть системами поддержки принятия решений . В 60-е годы прошлого века были предложены методы поддержки принятия решений, в которых решение выбирается компьютером, а человеку остается лишь реализовать это решение. Поскольку в реальной жизни решение принимается некоторым лицом или группой лиц , которые несут ответственность за его последствия и которые необязательно являются специалистами в этой области, такие методы не нашли широкого применения. В настоящее время наиболее распространены компьютерные системы, которые лишь информируют людей об изучаемой ситуации. В тех же компьютерных системах, в которых возможные варианты решения сравниваются между собой, обычно ограничиваются анализом их небольшого числа. При этом привлекаются эксперты или разрабатываются математические модели. В последнем случае готовится исходная информация- и проводятся вычисления, позволяющие оценить последствия рассматриваемых вариантов, т.е. используется метод вариантных расчетов; отвечающий на вопрос «что будет, если...». Результаты таких расчетов представляются человеку в виде таблиц и диаграмм. Вариантный подход пригоден, если число допустимых вариантов мало. Если же число допустимых вариантов велико или бесконечно, все варианты просмотреть не удается. Поэтому в таких случаях вариантный метод является, по существу, непригодным.
Другим распространенным подходом является оптимизационный подход. От человека требуют задать так называемую свертку критериев (единый критерий качества), т.е. целевую функцию, с помощью которой можно сравнивать сочетания значений критериев - чем больше (меньше) значение целевой функции, тем лучше сочетание значений. Далее компьютер находит допустимое решение, которое приводит к достижимой точке в пространстве критериев с наибольшим (наименьшим) значением целевой функции среди всех достижимых точек. Недостатком оптимизационного подхода является то, что во многих случаях очень сложно, а иногда и просто невозможно сформулировать единый критерий качества. Типичным примером оптимизационного подхода является метод приведенных затрат, где в качестве такого единого критерия предлагаются приведенные затраты по каждому варианту. Однако, реализация этого метода сопряжена с рядом трудностей вычислительного и идеологического характера.
Первые следуют из особенностей методов назначения целевой функции. Особенностью целевых функций, используемых в задачах оптимизации систем информационной безопасности, является то, что значения некоторых переменных принадлежат конечным множествам. Эти переменные называются дискретными или целочисленными. В качестве таких переменных можно назвать количество уровней доверия к СИБ, величины остаточных рисков информационной безопасности, количество переключений с одной технологии защиты на другую, количество и типы однородных средств защиты, составляющих рассматриваемый вариант СИБ и т.д.
Непосредственным применением стандартных методов оптимизации к задаче с дискретными переменными ее, как правило, не решить. Здесь используются специфические методы. Наиболее развит аппарат решения целочисленных задач, целевые функции и функции ограничений которых линейны. Однако, в нашем случае капитальные и главным образом текущие затраты не являются линейными функциями от многих своих аргументов и следовательно такой аппарат здесь не применим. Поэтому приходится прибегать либо к трудоемким комбинаторным методам, либо к недостаточно обоснованным эвристическим процедурам. Трудности идеологического характера подробно описаны в работах [22, 28]. Здесь только можно отметить отсутствие методов обоснованного прогнозирования на приемлемые сроки таких существенных аргументов целевой функции как вероятность реализации угрозы безопасности информации через возможные уязвимости системы защиты и др. Кроме того, довольно часто встречаются следующие ситуации. Оптимальный по методу приведенных затрат вариант требует таких единовременных затрат, которые на сегодняшний день отсутствуют, и следовательно не реализуем. Очевидно, что в этом и некоторых других случаях данный подход не работает. Единственным выходом из этих затруднений является метод многокритериальной или векторной оптимизации. В этом случае каждый вариант СИБ описывается не одним, а многими критериями, каждый из которых определяет отдельную важную характеристику варианта ( капитальные затраты, приведенные затраты, остаточные риски безопасности целостности, конфиденциальности и доступности информации и т.д.). Векторная оптимизация является значительно более трудоемкой процедурой по сравнению с обычной оптимизацией. Существуют различные методы ее реализации.
Распространенным вариантом многокритериального оптимизационного подхода является целевой метод. Человеку предлагается задать некоторое целевое сочетание значений критериев. Затем компьютер рассчитывает вариант, результаты использования которого наиболее близки (в каком-то смысле) к выбранной цели. Недостатком целевого подхода является то, что цель задается "вслепую", без знания реальных возможностей. Поэтому достижимые значения показателей, даже наиболее близкие к заданной цели, зачастую оказываются очень далекими от нее (часто бывает много противоречивых критериев т.е. таких, удовлетворить которым нельзя).
Метод достижимых целей (МДЦ) [19, 29, 56], направлен на преодоление недостатка целевого подхода в многокритериальной оптимизации. В рамках МДЦ совокупность достижимых целей (т.е. достижимых сочетаний значений критериев) представляется лицам, участвующим в принятии решения в наглядном графическом виде. Среди достижимых целей они могут выбрать некоторую наиболее предпочтительную или компромиссную цель. Далее компьютер находит решение, приводящее к выбранной компромиссной цели. Таким образом, МДЦ позволяет решить важнейшую задачу выделения решений из исходной совокупности. Заметим ,что среди всех достижимых целей можно выделить совокупность так называемых не улучшаемых целей, т.е. таких, что невозможно улучшить значение одного из критериев, не ухудшив значение другого. Совокупность не улучшаемых целей, называемая недоминируемым множеством, геометрически представляется частью границы множества достижимых целей. Она наглядно характеризует совокупность компромиссов, разумных с точки зрения рассматриваемых интересов. МДЦ позволяет получить информацию о разумных компромиссах не только между двумя критериями (что используется довольно давно, например, в методе "затраты - результат" [56]), но и между тремя, четырьмя и большим числом критериев.