Содержание к диссертации
Введение
ГЛАВА 1. Анализ процесса оценки и управления качеством сложных систем обработки данных 12
1.1 Назначение, состав и структура сложных систем обработки данных 12
1.2 Введение термина «Качество сложной системы обработки данных» на основе ГОСТ ISO 9000 18
1.3 Особенности процессов оценки и управления качеством сложных систем обработки данных 27
1.4 Анализ существующих подходов к оценке и управлению уровнем защищенности информации в сложных системах обработки данных 33
1.5 Постановка цели и задачи исследования 36
1.6 Выводы по первой главе 37
ГЛАВА 2. Разработка алгоритма оценки «событийно прогнозного» уровня качества сложных систем обработки данных 39
2.1 Процедура агрегирования исходных данных о требуемом уровне качества сложных систем обработки данных 39
2.2 Алгоритм управления качеством сложной системы обработки данных, интегрированный в их жизненный цикл 55
2.3 Оценка «событийно-прогнозного» уровня качества сложной системы обработки данных 63
2.3.1 Нечеткая когнитивная модель оценки «событийно-прогнозного» уровня качества сложных систем обработки данных 63
2.3.2 Алгоритм оценки «событийно-прогнозного» уровня сложных систем обработки данных 74
2.4 Принятие решения о повышении «событийно-прогнозного» уровня качества сложных систем обработки данных 80
2.5 Выводы по второй главе 82
ГЛАВА 3. Разработка алгоритма оценки текущего уровня качества сложных систем обработки данных 84
3.1 Оценка текущего уровня качества сложных систем обработки данных
3.1.1 Нечеткая когнитивная модель оценки текущего уровня качества сложных систем обработки данных 84
3.1.2 Алгоритм оценки текущего уровня качества сложных систем обработки данных
3.2 Методика оценки текущего уровня информационной безопасности сложных систем обработки данных 87
3.3 Оценка текущего уровня показателей безопасности эксплуатации сложной системы обработки данных 97
3.4 Принятие решения о повышении текущего уровня качества сложных систем обработки данных 102
3.5 Выводы по третьей главе 103
ГЛАВА 4. Программный комплекс для оценки качества сложных систем обработки данных. апробация результатов 105
4.1 Общее описание программного комплекса 105
4.2 Программный модуль «Оценка и управление уровнем качества сложной системы обработки данных» 107
4.3 Программный модуль «Оценка текущих уровней концептов модели» 111
4.4 Внедрение результатов исследования в ООО «Лютан-Стройсервис». 113
4.4.1 Описание организации и ее информационной инфраструктуры 113
4.4.2 Сбор данных для оценки множества концептов нечеткой когнитивной модели и связей между ними 116
4.4.3 Оценка качества сложной системы обработки данных ООО «Лютан-Стройсервис» 120
4.5 Внедрение результатов исследования в МБУ «Архитектура» 131
4.5.1 Описание организации и информационной инфраструктуры 131
4.5.2 Сбор данных для оценки множества концептов нечеткой когнитивной модели и связей между ними 135
4.5.3 Оценка уровня качества сложной системы обработки данных МБУ г.Астрахани «Архитектура» 136
4.6 Выводы по четвертой главе 146
Заключение 147
Список сокращений и условных обозначений 149
Список литературы 150
- Анализ существующих подходов к оценке и управлению уровнем защищенности информации в сложных системах обработки данных
- Алгоритм управления качеством сложной системы обработки данных, интегрированный в их жизненный цикл
- Методика оценки текущего уровня информационной безопасности сложных систем обработки данных
- Программный модуль «Оценка и управление уровнем качества сложной системы обработки данных»
Введение к работе
Актуальность исследования. Развитие информационных технологий сопровождается усложнением систем обработки данных (СОД). Системный анализ предметной области показывает, что современные СОД представляют собой системы, включающие в себя следующие элементы: технические средства обработки информации (ЭВМ и их части, сетевое оборудование, носители данных и пр.); программное обеспечение (операционные системы ЭВМ и сетевого оборудования, прикладные программы ЭВМ, предназначенные для решения класса задач в определенной области и пр.); персонал, эксплуатирующий СОД; методы обработки данных (методы поиска, сбора, хранения, непосредственной обработки, предоставления, распространения информации). При этом СОД не являются неделимыми объектами, они состоят из подсистем (в том числе территориально распределенных), выполняющих различные функции, которые зависят от отраслевой принадлежности организации, ее размера и структуры. Например, торговое предприятие может иметь СОД, включающую: подсистему управления персоналом и оплаты труда; подсистему складского учета; подсистему контроля розничной и оптовой торговли и пр. Однако, несмотря на то, что каждая подсистема выполняет конкретную частную функцию, налаженное информационное взаимодействие между ними позволяет СОД выполнять задачи, являющиеся общими для организации в целом (например, бухгалтерский учет, управление персоналом и пр.).
Таким образом, можно сделать вывод о том, что современные СОД являются сложными системами. При этом они должны отвечать различным, в общем случае противоречивым, требованиям: быть надежными, обеспечивать защиту обрабатываемой информации, быть недорогими в эксплуатации и т.д. Данные требования в соответствии с ГОСТ ISO 9000-2011 характеризуют качество сложных систем обработки данных (ССОД) в целом. Использование в организациях ССОД несоответствующего, «низкого» качества, приводит к существенному снижению эффективности управления, ухудшению социально-экономических показателей деятельности, снижению лояльности персонала организации и пр. Таким образом, возникает необходимость обеспечения сбалансированного уровня показателей, характеризующих качество ССОД на каждой стадии их жизненного цикла. Важным этапом данного процесса является оценка качества системы. Данная задача обладает специфическими особенностями: неполнота и неопределенность исходной информации о состоянии отдельных компонентов ССОД и факторах, влияющих на ее функционирование; невозможность количественного измерения большинства концептов предметной области (данные показатели описываются экспертами вербально в виде лингвистических оценок на основании наблюдений); необходимость учета большого числа частных показателей. Кроме того, оценка должна включать в себя определение как текущего, так и «событийно-прогнозного» (в результате реализации возможных негативных воздействий на ССОД) уровней качества; реализовываться на всех стадиях жизненного цикла системы и т.д. Таким образом, оценка качества ССОД является слабо структурированной и плохо формализуемой задачей.
Степень разработанности темы. Исследованиям в области оценки и управления качеством посвящено большое количество отечественных и зарубежных
работ. Разработаны общие принципы и методы оценки и управления качеством для отдельных видов систем (Л.В. Глухова; А.С. Сигов; В.И. Лобейко; В.В. Сидоров и др.). Имеются работы, посвященные разработке универсальных методик оценки качества (Г.Н. Исаев, Н.Ф. Гусарова, Carlo Batini, Barbara Pemici, Gurvirender Tejay, Gurpreet Dhillon и др.). Также существуют работы, посвященные отдельным составляющим показателя «Качество ССОД»: информационной безопасности (Д. Деннинг, К. Лендвер, А.А. Шелупанов, А.А. Садердинов, Reijo Savola, Jean-Noel Ezingeard, David Birchall, Viet Pham и др.); надежности (М.В. Мальков, В.Н. Матуско, Н.С. Лебедев, Ю.Ю. Громов и т.д.); социально-экономическому эффекту (Е.Э. Никитская, Г.Г. Гаранина, Е. В. Бунова, О. С. Буслаева и др.).
Однако существующие подходы не в полной мере учитывают слабую формализуемость процесса оценки. Также их существенным недостатком является несоответствие мировой тенденции к стандартизации и сертификации в области управления качеством в целом, связанной с принятием стандартов серии ISO 9000, в которых не только приведено общее определение термина «Качество объекта», но и описаны классы показателей, влияющих на него. Вводимые упомянутыми авторами составляющие качества либо полностью не соответствуют данным классам, либо не охватывают особо значимые из них (например, связанные с функциональными характеристиками и безопасностью эксплуатации системы). Таким образом, задача разработки информационной технологии оценки качества ССОД является весьма актуальной.
Исходя из этого, были выбраны объект и предмет исследования, а также сформулированы цель и задачи диссертации.
Объект исследования – сложные системы обработки данных.
Предмет исследования – модели, методы и алгоритмы оценки качества сложных систем обработки данных.
Цель диссертационного исследования – повышение эффективности оценки качества сложных систем обработки данных путем разработки моделей, методик и алгоритмов, учитывающих слабую формализуемость рассматриваемого объекта.
Для достижения поставленной цели были решены следующие задачи:
-
Выявлены специфические особенности процесса оценки качества ССОД, связанные, в том числе, с необходимостью учета требований стандартов ISO 9000; обоснована необходимость применения различных алгоритмов оценки качества ССОД на разных стадиях их жизненного цикла.
-
Разработан комплексный критерий оценки качества ССОД, соответствующий требованиям стандартов ISO 9000.
-
Разработан интегрированный в жизненный цикл ССОД алгоритм оценки и управления ее качеством, учитывающий специфические особенности данного процесса.
-
Разработаны модели, методики и алгоритмы, позволяющие проводить оценку качества ССОД на различных этапах жизненного цикла и на основе полученных данных вырабатывать управляющие решения по повышению их качества.
-
Спроектировано и реализовано программное обеспечение, соответствующее разработанным моделям, методикам и алгоритмам. Результаты
апробированы и внедрены в практику работы организаций различного профиля.
Методы исследования: системный анализ, теория принятия решений, теория нечетких множеств и нечеткое когнитивное моделирование, объектно-ориентированное программирование.
Научная новизна диссертационного исследования заключается в создании информационной технологии, направленной на повышение эффективности оценки качества сложных систем обработки данных. В рамках решения данной задачи:
-
Предложен комплексный критерий оценки качества сложной системы обработки данных, отличающийся тем, что он совокупно включает в себя функциональные, экономические, эргономические, общесистемные показатели, а также показатели надежности, что позволяет гармонизировать процесс оценки качества с положениями стандартов серии ISO 9000.
-
Впервые предложен интегрированный в жизненный цикл сложной системы обработки данных алгоритм оценки ее качества, включающий: на этапе проектирования – процедуру оценки «событийно-прогнозного» уровня качества; на этапе эксплуатации – процедуры оценки текущего и «событийно-прогнозного» уровня качества системы.
-
Разработаны модели, алгоритмы оценки качества сложных систем обработки данных, отличающиеся тем, что они учитывают наличие субъективной неопределенности в экспертной информации путем применения аппарата нечеткого когнитивного моделирования и теории нечетки множеств.
Работа выполнена в рамках пунктов 3, 11, 13 специальности 05.13.01 «Системный анализ, управление и обработка информации (информационные технологии)».
Степень достоверности научных положений и выводов определяется корректным применением методов исследований, подтверждается вычислительными экспериментами, успешным внедрением результатов работы в различных организациях, что отражено в соответствующих актах.
Теоретическая значимость работы заключается в создании информационной технологии оценки качества ССОД, а именно:
-
Предложен комплексный критерий оценки качества ССОД.
-
Разработан алгоритм управления качеством ССОД, который может применяться для ССОД на различных этапах их жизненного цикла.
-
Разработаны модели и алгоритмы, позволяющие решить класс задач в области оценки качества ССОД.
Практическая значимость работы заключается в повышении эффективности оценки качества ССОД на основе предложенных моделей, алгоритмов и методик. Созданы и зарегистрированы в «Реестре программ для ЭВМ» программные продукты: «Оценка текущего уровня обеспеченности свойств информации», «Нечеткое когнитивное моделирование системы комплексного обеспечения информационной безопасности», реализующие предложенные методики и алгоритмы в части оценки уровня защищенности ССОД; «Нечеткая когнитивная модель оценки качества информационной системы», реализующая предложенные методики и алгоритмы в части комплексной оценки уровня качества ССОД. Данные программные продукты использованы в практической деятельности организаций различного профиля при принятии решений по повышению уровня качества ССОД: в МБУ г. Астрахани «Архитектура», в ООО «Лютан-Стройсервис», ФГБОУ ВО «РГЭУ (РИНХ)». Также они были приняты в эксплуатацию компанией, занимающейся ИТ- аутсорсингом,
для оценки качества ССОД клиентов. Результаты диссертации используются в Астраханском государственном университете и Астраханском государственном техническом университете при подготовке инженерных и научных кадров.
Апробация результатов. Основные положения и отдельные результаты диссертации докладывались и обсуждались на международных и всероссийских конференциях: XXVII международной научной конференции «Математические методы в технике и технологиях» (Саратов, 2014г.); заочной международной научно-практической конференции «Наука и образование в XXI веке» (Тамбов, 2014г.); международной научно-практической конференции «Комплексные проблемы техносферной безопасности» (Воронеж, 2014г.); II международной научно-практической конференции «Актуальные проблемы технических наук в России и за рубежом» (Новосибирск, 2015г.), XXVIII Международной научной конференции «Математические методы в технике и технологиях» (Ярославль, 2015г.); XXIX Международной научной конференции «Математические методы в технике и технологиях» (Санкт-Петербург, 2016г.); международном симпозиуме «Надежность и качество» (Пенза, 2016г.); V Всероссийской конференции «Проблемы информационной безопасности» (Ростов-на-Дону, 2016г.); II Всероссийской научно-технической конференции молодых ученых, аспирантов и студентов «Фундаментальные и прикладные аспекты компьютерных технологий и информационной безопасности» (Таганрог, 2016г.).
Публикации. Основные результаты диссертационного исследования опубликованы в 16 печатных работах, из них: 7 статей в журналах из списка, рекомендованного ВАК РФ, 9 в материалах и трудах конференций; получены 3 свидетельства о государственной регистрации программ для ЭВМ.
Личный вклад автора в опубликованные в соавторстве работы и спроектированные программы для ЭВМ: проведен анализ подходов к оценке качества и защищенности ССОД; разработана онтологическая модель оценки и управления качеством ССОД; сформулирован комплексный критерий оценки качества ССОД; предложены схема, нечеткие когнитивные модели и алгоритмы оценки качества ССОД; проведены концептуальное проектирование, разработка пользовательского интерфейса, кодирование, тестирование программ для ЭВМ, реализующих разработанные модели, методики и алгоритмы.
Положения, выносимые на защиту:
-
комплексный критерий оценки качества сложных систем обработки данных;
-
алгоритм оценки и управления качеством сложных систем обработки данных, интегрированный в их жизненный цикл;
-
нечеткие когнитивные модели, методики и алгоритмы оценки качества сложных систем обработки данных.
Структура и объем работы: Работа состоит из введения, 4 глав, заключения, списка литературы из 130 наименований, и 5 приложений. Основная часть работы изложена на 149 страницах машинописного текста, содержит 9 таблиц и 29 рисунков.
Анализ существующих подходов к оценке и управлению уровнем защищенности информации в сложных системах обработки данных
Система обработки данных (СОД) - совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, обеспечивающая выполнение автоматизированной обработки информации. [1]. При этом под техническими средствами обработки данных понимается любое оборудование, включая носители данных (физическое тело, используемое при записи для сохранения в нем или на его поверхности сигналов информации [2]), предназначенное для автоматизированной обработки информации. В соответствии с законодательством РФ процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов образуют информационную технологию.
Непосредственную обработку информации осуществляет программное обеспечение, которое включает [3- 6]: системные программы, предназначенные для поддержания работоспособности системы обработки информации или повышения эффективности ее использования в процессе выполнения прикладных программ; прикладные программы, предназначенные для решения задачи или класса задач в определенной области применения системы обработки информации.
Также среди программного обеспечения выделяют [3]: управляющие программы, реализующие набор функций управления, в который включают управление ресурсами и взаимодействие с внешней средой системы обработки информации, восстановление работы системы после проявления неисправностей в технических средствах [7]; супервизоры - части управляющих программ, координирующие распределение ресурсов системы обработки информации; программы обслуживания, предназначенные для оказания услуг общего характера пользователям и обслуживающему персоналу системы обработки информации; абсолютные программы - программы на машинном языке, выполнение которых зависит от их местоположения в оперативной памяти; переместимые программы - программы на машинном языке, выполнение которых не зависит от ее местоположения в оперативной памяти; реентабельные программы - программы, один и тот же экземпляр которых в оперативной памяти способен выполняться многократно, причем так, что каждое выполнение может начинаться в любой момент по отношению к другому выполнению; мобильные программы - программы, которые написаны для ЭВМ одной архитектуры, но могут исполняться в системах обработки информации с другими архитектурами без доработки или при условии их доработки, трудоемкость которой незначительна по сравнению с разработкой новой программы; драйверы - программы, предназначенные для управления работой периферийных устройств, обычно в мини - и микро ЭВМ и пр.
При создании СОД в организации могут быть использованы программные решения как разных фирм-производителей - смешанные решения, так и одного производителя - платформенно-базированные решения.
Чаще всего используются на практике смешанные решения [8-12]. Однако использование программного обеспечения от различных производителей может привести к значительному усложнению архитектуры системы из-за разнородности инструментальных решений. Это усложнение объясняется необходимостью интегрирования не связанных друг с другом инструментальных решений. Также, смешанное решение приводит к усложнению процесса администрирования системы.
Важной задачей СОД является организация данных - представление данных (характеристика, выражающая правила кодирования элементов и образования конструкций данных на конкретном уровне рассмотрения в вычислительной системе) и управление данными (совокупность функций обеспечения требуемого представления данных, их накопления и хранения, обновления, удаления, поиска по заданному критерию и выдачи данных) в соответствии с определенными соглашениями. [13]
Существует 2 вида организации данных: логическая и физическая. Логическая организация данных - организация данных, учитывающая лишь те конструкции данных и операции над ними, которые находятся в распоряжении программы, использующей данные. Физическая организация данных организация данных, учитывающая размещение и связь данных в среде хранения [13].
Управление данными предполагает выполнение функций хранения, обработки, преставления, передачи информации. При этом в зависимости от решаемых задач данные функции имеют индивидуальную детализацию для соответствующих систем.
Алгоритм управления качеством сложной системы обработки данных, интегрированный в их жизненный цикл
До решения поставленной в первой главе задачи необходимо создать процедуру агрегирования исходных данных о требуемом уровне качества ССОД.
Анализ предметной области показал, что на качество ССОД влияют показатели, большая часть которых не может быть оценена численно (четко). Их уровень обычно определяется экспертами на основании сбора и анализа данных о функционировании ССОД и формулируется вербально в виде качественных оценок. В то же время некоторые показатели могут быть оценены численно. Таким образом, для создания процедуры агрегирования исходных данных о требуемом уровне качества ССОД необходимо использовать математический аппарат, позволяющий совместно использовать количественную и качественную информацию, характеризующую состояние отдельных концептов предметной области.
Одним из наиболее эффективных подходов при решении слабоформализуемых задач является использование нечеткого когнитивного моделирования, неоспоримыми достоинствами которого является возможность формализации численно неизмеримых факторов, использования неполной, нечеткой и даже противоречивой информации [100-102].
На сегодняшний день когнитивное моделирование является новым развивающимся направлением для решения слабоформализуемых задач. Когнитивные карты и модели на их основе применяются для структуризации знаний эксперта, построения согласованного мнения группы экспертов или анализа различий в таких мнениях, анализа развития слабоструктурированных (проблемных) ситуаций на основе имитационного моделирования, подготовки управленческих решений (в виде стратегий) на основе решения обратных задач и структурно-целевого анализа, и в других областях.
Одной из первых когнитивных карт был знаковый граф. Знаковый граф -это граф, ребра которого имеют веса +1 или -1, обозначаемые знаками «+» и «-». Знак «+» обозначает положительную связь между вершинами (концептами), знак «-» обозначает отрицательную связь. Вес пути равен произведению весов его ребер, т.е. положителен, если число отрицательных ребер в нем четно, и отрицателен, если это число нечетно. При положительной связи рост фактора-причины приводит к росту фактора-следствия, а при отрицательной связи рост фактора-причины приводит к уменьшению фактора-следствия. Если же от вершины i к вершине j ведут как положительные, так и отрицательные пути, то вопрос о характере влияния фактора i на фактор j остается неопределенным.
Нечеткие когнитивные карты (НКК) были предложены Б. Коско [103] в 1986 году и используются для моделирования причинных взаимосвязей, выявленных между концептами некоторой области. В общем случае нечеткая когнитивная карта - это взвешенный ориентированный граф, в котором, как и в знаковом графе, вершины представляют концепты, а ребра - связи между ними, которые интерпретируются как причинно-следственные (каузальные) связи. Веса ребер - это либо числа из отрезка [-1, 1], либо значения из некоторой лингвистической шкалы типа {низкий, средний, выше среднего, высокий}, которые характеризуют силу влияния соответствующей связи либо (в некоторых интерпретациях) степень уверенности в наличии этой связи. Методы анализа нечетких когнитивных карт используют операции нечеткой математики.
Различные интерпретации вершин, рбер и весов на рбрах, а также различные функции, определяющие влияние связей на факторы, приводят к различным модификациям когнитивных карт и средствам их исследования. При этом интерпретации могут различаться как в содержательном плане, так и в математическом. Благодаря наличию множества модификаций когнитивных карт можно говорить о различных типах моделей, основу которых составляют эти карты.
Различают пять видов когнитивных карт по типу используемых отношений [104]: оценивающих фокусирование внимания, ассоциации и важность понятий (концептов); показывающих размерность категорий и когнитивных таксономий; представляющих влияние, причинность и системную динамику (каузальные когнитивные карты); отражающих структуру аргументов и заключений; иллюстрирующих фреймы и коды восприятия. Практика показывает, что для решения слабоформализуемых задач наиболее целесообразно применение каузальных когнитивных карт [105].
Существенным обобщением когнитивной карты является модель когнитивной карты, в основе которой лежат нечеткие продукционные правила. Нечеткие продукционные правила имеют форму предложений вида «ЕСЛИ-ТО», условная часть которых представляет собой выражение нечеткой логики над лингвистическими значениями факторов и отношениями между ними, например:
ЕСЛИ (Хг ЕСТЬ Ах) И (Х2 ЕСТЬ А2 ) ТО (Y ЕСТЬ В) где Х\ и Х2 - входные переменные, Y - выходная переменная, Ах, А2, В - нечеткие (лингвистические) значения. Левая часть правила (посылка) описывает условия его применимости, а правая часть правила (вывод) определяет функции принадлежности лингвистических значений выходных переменных. Ребра графа соответствуют отношениям влияния, выраженным условными частями правил; каждому фактору сопоставляется база правил, состоящая из всех продукционных правил, имеющих в заключении данный фактор.
Активное использование нечетких когнитивных карт в качестве средства моделирования систем обусловлено возможностью наглядного представления анализируемой системы и легкостью интерпретации причинно-следственных связей между концептами. Однако когнитивная карта отображает лишь наличие влияний факторов друг на друга. В ней не отражается ни детальный характер этих влияний, ни динамика изменения влияний в зависимости от изменения ситуации, ни временные изменения самих факторов. Учет всех этих обстоятельств требует перехода на следующий уровень структуризации информации, отображенной в когнитивной карте - к когнитивной модели.
На этом уровне каждая связь между факторами когнитивной карты раскрывается до соответствующего уравнения, которое может содержать как количественные (измеряемые) переменные, так и качественные (не измеряемые) переменные.
При этом количественные переменные входят естественным образом в виде их численных значений. Каждой же качественной переменной ставится в соответствие совокупность лингвистических значений, отображающих различные состояния этой качественной переменной (например, вероятности реализации атак на информационные ресурсы могут быть «слабыми», «умеренными», «высокими» и т.п.), а каждому лингвистическому значению ставится в соответствие определенный числовой эквивалент на отрезке [0,1].
По мере накопления знаний о процессах, происходящих в исследуемой ситуации, становится возможным более детально раскрывать характер связей между факторами.
Формально, когнитивная модель ситуации может, как и когнитивная карта, быть представлена графом, однако каждая дуга в этом графе представляет уже некую функциональную зависимость между соответствующими базисными факторами, т.е. когнитивная модель ситуации представляется функциональным графом.
Методика оценки текущего уровня информационной безопасности сложных систем обработки данных
Текущие уровни долговечности, безотказности, ремонтопригодности ССОД по каждой функции в целом рассчитывается как аддитивная свертка критериев, определяющих данные показатели, перечень которых был приведен ранее при описании алгоритма формирования требуемого уровня качества ССОД. Текущие значения данных показателей определяются по результатам обработки статистического материала, полученного в ходе эксплуатации или экспериментов.
Текущий уровень безотказности ССОД в целом вычисляется по формуле 2.13 с заменой требуемых показателей на текущие. Аналогично вычисляются текущие уровни ремонтопригодности и долговечности ССОД. Текущий уровень надежности вычисляется по формуле 2.14. В данной формуле также необходимо произвести замену требуемые значения показателей на текущие. Текущий уровень валидности ССОД по каждой функции задается ЛПР вербально. Уровень валидности системы в целом рассчитывается по формуле 2.16 с заменой требуемых значений на текущие.
Формулы для расчета социально-экономического эффекта от эксплуатации ССОД (Effect); уровня затрат на владение ССОД (Cost), включая эксплуатационные затраты – Using; затраты на восстановление/ремонт – Rehab; затраты на модификацию– Changing; показателей эксплуатации ССОД ({Markj}) аналогичны соответствующим формулам приведенным для формирования требуемого уровня качества ССОД и вычисления уровня качества ССОД в случае реализации угроз.
Для оценки текущего уровня информационной безопасности необходимо воспользоваться методикой, изложенной в пункте 3.2.
Для оценки уровня негативного влияния текущих повреждений ССОД на здоровье персонала, эксплуатирующего ССОД, необходимо воспользоваться методикой, изложенной в пункте 3.3.
Для расчета текущего уровня безопасности ССОД для персонала необходимо использовать формулу 2.32, приведенную ранее. Однако при проведении расчетов необходимо использовать текущие уровни советующих показателей вместо требуемых. Текущее значение показателя «Качество ССОД» рассчитывается по формуле 2.7. Однако при проведении расчетов необходимо использовать текущие уровни советующих показателей полученных на предыдущих этапах алгоритма.
При описании предметной области было отмечено, что текущий уровень информационной безопасности ССОД зависит от интенсивности повреждений информационных активов (ИА) и средств защиты информации. Уровень данных повреждений обычно определяется лицом, принимающим решение, на основании наблюдений и формулируется им вербально в виде лингвистических оценок.
Для формализации оценки повреждений информационных активов и средств защиты информации будет использоваться введенная ранее лингвистическая переменная «Уровень фактора» и терм-множество ее значений QL (положительная правая часть).
Для формализации экспертных суждений, отражающих влияние наблюдаемых повреждений информационных активов и средств защиты информации на уровень сервисов безопасности, будем использовать набор нечетких продукционных правил вида (3.1), которые образуют базу знаний (БЗ) [127]: ([ \) ([( )( )]), (3.1) где: QL - лингвистические оценки уровней повреждения ИА и СЗИ и оценки состояния сервисов безопасности, соответственно; символ «=» используется в качестве оператора сравнения; условия - определяют уровень z-го повреждения ИА или СЗИ; выводы (следствия) определяют состояние 7-го сервисов безопасности; отражает степень уверенности эксперта в выводе, и согласно шкале Харрингтона имеет следующие вербальные интерпретации: 0,00-0,20 - невозможно; 0,20-0,37 - маловероятно; 0,37-0,63 - возможно; 0,63-0,80 - весьма возможно; 0,80-1,0 - точно. На этапе формирования базы знаний часто возникает ситуация, когда при высоком уровне одних повреждений невозможно определить уровень других (например, при высоком уровне аппаратных повреждений компьютера невозможно определить уровень повреждений операционной системы, установленной на данном компьютере).
Программный модуль «Оценка и управление уровнем качества сложной системы обработки данных»
Локально-вычислительная сеть содержит следующие компоненты: 1. Сервер, на котором расположены базы данных системы «1С:Предприятие». Часть баз работает в файловом режиме. В этом варианте все данные информационной базы (конфигурация, база данных, административная информация) располагаются в одном файле - файловой базе данных. Работу с такими базами осуществляет файловая СУБД, разработанная фирмой «1С» и являющаяся частью платформы. Для некоторых баз используется клиент серверный вариант работы. Клиент-серверная архитектура разделяет всю работающую систему на три различные части, определенным образом взаимодействующие между собой: клиентское приложение, кластер серверов «1С:Предприятия», сервер базы данных. Программа, работающая у пользователя, (клиентское приложение) взаимодействует с кластером серверов «1С:Предприятия 8», а кластер, при необходимости, обращается к серверу баз данных. Используя установленные на сервере «КриптоПро CSP» и сервис «1С:Отчетность» пользователи могут сдавать регламентированную отчетность через Интернет. Для сервера выделен «белый» IP-адрес, потому сотрудники организации могут входить в систему под своими учетными записями через RDP-подключение в любое время суток. Защита сервера от вредоносного программного обеспечения осуществляется путем использования ESET Endpoint Security.
2. Компьютеры внутри организации (30 АРМ), подключенных к сети Интернет, с которых может быть осуществлен доступ к серверу. На них установлена операционная система Windows 10 и Microsoft Office 2016. Защита рабочих станций от вредоносного программного обеспечения осуществляется путем использования ESET Endpoint Security.
3. TL-ER6120 - гигабитный VPN маршрутизатор на базе технологии SafeStream TL-ER6120, в функции которого входит IPsec/PPTP/L2TP VPN, балансировка нагрузки, контроль доступа, блокировка приложений IM/P2P, защита от DoS-атак, контроль пропускной способности, лимит сессий, сервер PPPoE.
4. Коммутаторы D-Link DES-1008P, которые имеют 4 порта 10/100BaseX с поддержкой протокола РоЕ. На каждый порт PoE подается питание с мощностью до 15,4 Вт, в итоге коммутатор может подавать питание до 56Вт, что дает возможность пользователям подключить к DES-1008P устройства, совместимые с 802.3af. Это позволяет размещать устройства в труднодоступных местах (потолки, стены и т.д.) вне зависимости от расположения розеток питания и минимизировать прокладку кабеля.
Сбор данных для оценки множества концептов нечеткой когнитивной модели и связей между ними Для апробации моделей, методик и алгоритмов оценки качества ССОД была собрана экспертная комиссия. В качестве экспертов были привлечены сотрудники компании обслуживающей ИТ-инфраструктуру организации, а также руководители «Лютан-Стройсервис» (таб. 4.1). В задачи экспертов входило определение множества концептов НКМ и связей между ними, оценка текущих уровней показателей качества и пр. Сбор данных проводился путем проведения совещания. Обсуждение каждого вопроса длилось до принятия экспертами по нему согласованного решения.
Технический директор «Лютан-Стройсервис» 1 Навыки управления состоянием информационных систем Специалист службы поддержки аутсорсинговой компании 2 Навыки обеспечения надежности в сетях передачи данных.Компетенции в области применения организационно-правовых методов организации информационных систем Технический специалист аутсорсинговой компании 2 Навыки обеспечения надежности в сетях передачи данныхи внедрения программно-аппаратных средств автоматизации бизнеса
Генеральный Директор аутсорсинговой компании 1 Навыки внедрения программно-аппаратных средств автоматизации бизнеса в сфере строительства и торговли и организации электронного документооборота Технический директораутсорсинговойкомпании 1 Навыки внедрения программно-аппаратных средств автоматизации для малого бизнеса Руководитель отдела внедрения аутсорсинговой компании 1 Навыки внедрения программно-аппаратных средств автоматизации бизнеса в сфере строительства и торговли и организации электронного документооборота, управления сложными информационными системами
В результате проведения опроса эксперты сошлись на мнении о целесообразности использования множеств концептов НКМ, описанных в главе 2.
Для оценки связей между концептами НКМ экспертам предлагалось заполнить таблицы, отражающие влияние {Zi} на {UZj} и на {UGj}; таблицу, описывающую взаимодействие {UZi} и {UGj}; таблицы, отражающие влияние {Ai} на {DESj}, и т.д.
Структура анкеты, отражающей влияние {Zi} на {UZj} представлена в таблицах 4.2-4.3. Для оценки силы нечетких связей между концептами экспертам было предложено использовать модифицированный метод нестрогого ранжирования, в соответствии с которым производится нумерация критериев по возрастанию степени значимости их влияния. Причем допускается, что эксперту не удастся различить между собой некоторые критерии. В этом случае при ранжировании он помещает их рядом в произвольном порядке. Затем проранжированные критерии последовательно нумеруются. Оценка (ранг) критерия определяется его номером. Если на одном месте находятся несколько неразличимых между собой критериев, то за ранг каждого из них принимается номер всей группы как целого объекта в упорядочении.