Содержание к диссертации
Введение
1 Анализ типовых процессов и методов контроля безопасности почтовой корреспонденции. постановка научной задачи 9
1.1 Анализ угроз безопасности со стороны почтовых отправлений, замаскированных под обычные, для предприятия-адресата 9
1.2 Сравнительный анализ существующих методов неразрушающего контроля и обеспечения информационной безопасности в различных областях приложения 13
1.3 Характеристика основных процессов возникновения и развития кризисных ситуаций, анализа информации, контроля и мониторинга безопасности и осуществления мер противодействия угрозам 30
1.4 Определение показателей рисков для системы неразрушающего контроля безопасности почтовой корреспонденции 34
1.5 Постановка научной задачи рационального управления рисками при создании (сопровождении) и эксплуатации системы неразрушающего контроля безопасности почтовой корреспонденции 37
Выводы по разделу 1 40
2 Разработка методики управления рисками в системе неразрушающего контроля безопасности почтовой корреспонденции 43
2.1 Выбор существующих математических моделей и инструментариев для анализа типовых процессов возникновения и развития кризисных ситуаций, анализа информации, контроля и мониторинга безопасности и осуществления мер противодействия угрозам 43
2.2 Разработка методики управления рисками для этапов создания (сопровождения) системы контроля почтовой корреспонденции 47
2.3 Разработка методики управления рисками для этапа эксплуатации системы контроля почтовой корреспонденции 51
2.4 Обоснование адекватности методики 54
Выводы по разделу 2 59
3 Демонстрация возможностей предложенной методики для обоснования мер противодействия множеству угроз со стороны опасных почтовых отправлений, замаскированных под обычные 61
3.1 Формирование исходных данных для применения методики 11
3.2 Обоснование рационального набора функциональных средств и соответствующих затрат на создание и эксплуатацию системы контроля безопасности почтовой корреспонденции 55
3.3 Ранжирование сценариев угроз по степени опасности 106
3.4 Оценка ожидаемых рисков с учетом ограничений на затраты при создании и эксплуатации системы контроля безопасности почтовой корреспонденции 108
3.5 Сравнение достижимых рисков в системе контроля безопасности почтовой корреспонденции с оценками неразрушающего контроля в других областях приложений 111
Выводы по разделу 3 125
Заключение 127
Список использованных источников 132
- Сравнительный анализ существующих методов неразрушающего контроля и обеспечения информационной безопасности в различных областях приложения
- Разработка методики управления рисками для этапов создания (сопровождения) системы контроля почтовой корреспонденции
- Разработка методики управления рисками для этапа эксплуатации системы контроля почтовой корреспонденции
- Обоснование рационального набора функциональных средств и соответствующих затрат на создание и эксплуатацию системы контроля безопасности почтовой корреспонденции
Введение к работе
Актуальность работы. В последние годы реальную угрозу для предприятий начинают представлять собой целенаправленные воздействия с использованием опасной почтовой корреспонденции, инициируемой террористическими группировками, недобросовестными конкурентами и просто неадекватными людьми. Почтовая корреспонденция по сути представляет собой особый род информационных ресурсов. Действительно, с точки зрения обеспечения безопасности она может рассматриваться как специфическая форма скрытых информационных ресурсов, т.к. при проверке методами неразрушающего контроля почтовые отправления (в т.ч. материальные бандероли) выступают в качестве источников информации, по которой принимается решение об опасности их содержимого. Угрозы проявляются в применении взрывчатых веществ, в том числе с использованием последних достижений в области микроминиатюризации взрывателей, токсических химических веществ, саморазмножающихся биопрепаратов типа бактериологического оружия, радиоактивных веществ, в том числе совместно с взрывчатыми веществами и др.. Специфика подобного рода угроз в том, что почтовые отправления оформляются по почтовым стандартам (т.е. опасные почтовые отправления замаскированы под обычные), подлежат вскрытию лишь адресатом (т.е. для них возможно применение только методов неразрушающего контроля), кроме того, они должны быть вручены адресату достаточно оперативно (т.е. имеет место лимит времени на контроль их безопасности). Тем самым для любых почтовых отправлений дополнительно появились процессы возникновения и развития критичных ситуаций, анализа информации относительно безопасности почтовых отправлений, контроля и мониторинга безопасности и осуществления мер противодействия угрозам, порождающие различные риски. При этом должны быть соблюдены требования качества доставки почтовой корреспонденции адресату.
Вопросам изучения возможностей методов неразрушающего контроля в
интересах информационной безопасности важных объектов были посвящены труды таких ученых, как Аксененко Ю.И., Андреев А.И., Балыгин К. А., Белов М.Л., Бронников А.Г., Броцкий Е.С., Бухин СВ., Ваврив Д. М., Вандышев Б.А., Глушаков В.Г., Горелик Д.О., Ермолов И. К, Забродский В.А., Иванчихин А.Ф., Карасек Ф., Каретников М. Д., Киселев А. В., Клемент Р., Климов А. И., Клюев В. В., Кобяков Г.М., Козинцев В.И., Козлов А.И., Королев СВ., Ксендзов В.М., Львин И.М., Мураев СВ., Одинцов Э.Г., Панченко Е.М., Сахаров Б.Б., Смирнов В.К., Сучков Г. М., Туробов Б.В., Хмельницкий Р.А., Чижов Е.П., Яшин Я. И. и др. Анализ исследований и нормативных документов, методов проведения специальных проверок, специального обследования помещений и предметов, в процессе которых используются методы неразрушающего контроля для обеспечения информационной безопасности свидетельствует о том, что главным научным вопросом оставался вопрос «Как выявить те или иные закладки или иные дефекты, приводящие к нарушению информационной безопасности?», прогнозные вопросы «Насколько эффективны те или иные меры противодействия множеству целенаправленных угроз? (в т.ч. в сравнении с различными областями приложения неразрушающего контроля по единой шкале измерения)» до настоящего времени не находят должного ответа. Многочисленные существующие средства контроля безопасности почтовой корреспонденции являются узконаправленными и остаются весьма дорогостоящими для предприятий-адресатов. В итоге в условиях реально появившихся угроз возникает противоречие между насущными потребностями в почтовых пересылках и технико-экономическими возможностями рационально противостоять возникающим угрозам вследствие уязвимости процессов доведения корреспонденции до адресата. Необходимость системного разрешения данного противоречия, а также отсутствие научных проработок в области управления рисками для неразрушающего контроля безопасности почтовой корреспонденции обусловливают актуальность выбранной тематики диссертационных
исследований.
Настоящая работа посвящена решению научной задачи рационального управления рисками при создании (сопровождении) и эксплуатации системы неразрушающего контроля безопасности почтовой корреспонденции на предприятии-адресате.
Объектом исследований являются системные процессы возникновения угроз, неразрушающего контроля и обеспечения безопасности почтовой корреспонденции, а предметом исследований - показатели рисков при создании и эксплуатации системы неразрушающего контроля безопасности почтовой корреспонденции на предприятии-адресате в зависимости от характеристик возможных угроз, организационно-технических мер и управляющих воздействий.
Целью исследований является разработка научно обоснованной методики управления рисками в системе неразрушающего контроля безопасности почтовой корреспонденции на предприятии-адресате.
Основными результатами, выносимыми на защиту, являются:
постановка научной задачи рационального управления рисками при создании и эксплуатации системы неразрушающего контроля безопасности почтовой корреспонденции;
методика управления рисками при создании и эксплуатации системы контроля почтовой корреспонденции;
рекомендации по рациональному управлению рисками, включая обоснование рационального набора средств контроля с учетом затрат на создание и эксплуатацию системы контроля безопасности почтовой корреспонденции, ранжирование сценариев угроз по степени опасности, оценку ожидаемых рисков при ограничениях на затраты;
результаты количественного сравнения достижимых рисков в системе контроля безопасности почтовой корреспонденции с оценками неразрушающего контроля в других областях приложений.
Научная новизна работы состоит:
в предложении универсальных вероятностных показателей рисков нарушения комплексной безопасности системы неразрушающего контроля почтовой корреспонденции;
в выработке методического подхода к обоснованию рациональных значений параметров мер противодействия множеству целенаправленных угроз предприятию-адресату со стороны опасных почтовых отправлений, замаскированных под обычные, применимого при создании (сопровождении) и эксплуатации систем контроля безопасности почтовой корреспонденции.
Практическая значимость работы состоит:
в практическом использовании предложенной методики для систем контроля безопасности почтовой корреспонденции (проиллюстрировано на примерах обоснования рационального набора средств контроля и соответствующих затрат на создание и эксплуатацию системы контроля безопасности почтовой корреспонденции, ранжирования угроз по степени опасности, оценки ожидаемых рисков с учетом ограничений на затраты, подтверждено актом реализации ЦБИ «МАСКОМ»);
в создании способов повышения эффективности неразрушающего контроля, подтвержденного авторскими патентами и применимого в различных областях приложений как для входящего контроля сувениров, подарков (в ряде случаев без вскрытия упаковки), так и при обследовании помещений в целях обеспечения информационной безопасности, создании и совершенствовании стенда неразрушающего контроля в системе паспортно-визовой документации, что подтверждено актами реализации в/ч 43753, МГТУ МИРЭА.
Достоверность и обоснованность полученных результатов, выводов и рекомендаций обусловлена корректностью использования в разработанной методике стандартизованных математических моделей, развитых автором с применением основ теории вероятностей и методов системного анализа, а также совпадением полученных результатов моделирования с результатами
статистических экспериментов для пункта контроля безопасности почтовой корреспонденции.
Результаты работы реализованы:
в эскизно-техническом проекте по созданию специализированного пункта контроля безопасности почтовой корреспонденции,
в отчетах о НИР, связанных с неразрушающим контролем и обеспечением безопасности сложных систем (по заказам силовых ведомств, ЦБИ «МАСКОМ» в интересах ОАО «Газпром» и др.);
в системных материалах по обеспечению информационной безопасности, за которые автор в 1990 г. был удостоен почетного звания «Лауреат Государственной премии СССР» (по спецтематике в составе авторского коллектива, решение № 22487).
Апробация работы осуществлялась на образцах сложных систем различного назначения и подтверждена актами реализации ЦБИ «МАСКОМ», в/ч 43753, МГТУ МИРЭА.
Публикации . Основные положения диссертационного исследования отражены в 7 публикациях общим объемом 2.3 печатных листа, из них 1.8 авторских, в т.ч. в изданиях, рекомендованных ВАК (журнал «Системы высокой доступности») - 2 публикации общим объемом 1.2 печатных листа , из них 0.9 авторских. Результаты работы докладывались на международных научно-практических конференциях, имеется 3 авторских свидетельства на изобретения.
Объем и структура диссертационной работы. Работа состоит из введения, 3-х разделов и заключения. Основное содержание работы изложено на 145 листах, в т.ч. содержит 1 таблицу и 108 рисунков. Список используемых источников насчитывает 147 наименований.
Сравнительный анализ существующих методов неразрушающего контроля и обеспечения информационной безопасности в различных областях приложения
Прежде, чем более подробно рассмотреть методы неразрущающего контроля в промышленности, остановимся на таких общих аспектах в процессах, используемых средствах, технологиях, которые могут и должны быть использованы для управления рисками и повышения безопасности. Рассмотрены практические способы решения проблем промышленной, пожарной, радиационной, ядерной, химической, биологической, транспортной, экологической и информационной безопасности, безопасности зданий и сооружений, в т.ч. в условиях террористических угроз. Проанализированы следующие документы: законы РФ "О безопасности", «О промышленной безопасности опасных производственных объектов» (а также проект более общего Закона РФ о промышленной безопасности), «О пожарной безопасности», «Об использовании атомной энергии», «О радиационной безопасности населения», «О транспортной безопасности». Воздушный кодекс Российской Федерации (в части авиационной безопасности), «О связи» (в части защиты и управления), «О противодействии терроризму», «Концепция безопасности Москвы», «О государственной тайне», «О коммерческой тайне», «Об информации, информационных технологиях и защите информации» и ряд основных нормативно-методических документов, регламентирующих вопросы безопасности в России и на международном уровне, включая «Концепцию безопасности Москвы» и Доктрину информационной безопасности.
Для сравнения существующих методов неразрушающего контроля остановимся на вопросах производственной безопасности. Под производственной безопасностью понимается объективно существующая возможность негативного воздействия на объект или процесс, в результате которого может быть причинен какой-либо ущерб, вред, ухудшающий состояние, придающий развитию нежелательные динамику или параметры (характер, темпы, формы и т.д.) [135-136].
Наиболее важным для промышленности является Федеральный закон РФ "О промышленной безопасности опасных производственных объектов". Закон определяет правовые, экономические и социальные основы обеспечения безопасной эксплуатации опасных производственных объектов и направлен на предупреждение аварий и обеспечение готовности организаций, эксплуатирующих опасные производственные объекты, к локализации и ликвидации последствий указанных аварий.
Соблюдение требований и правил промышленной безопасности направлено на предупреждение аварий, случаев производственного травматизма, и готовности организаций, эксплуатирующих опасные производственные объекты, к локализации и ликвидации последствий возможных аварий. По сути - это отработанные на практике, нередко - ценой жизни людей, превентивные меры по управлению рисками.
Из практики известно, что различного рода металлоконструкции с большой вероятностью изначально имеют дефекты и трещины. Без контроля их качества и отбраковки дефективных изделий риски чрезвычайно велики. Но какие методы контроля применять - радиационную интроскопию, радиометрию, электрорентгенографию, рентгеновскую томографию, метод акустической эмиссии, ультразвуковой метод, электромагнитный или какую-либо разумную их комбинацию? Каковы при этом дополнительные расходы и эффективность? Для анализа эффективности требуется математическое моделирование и рациональное управление рисками по итогам такого моделирования.
Как вывод по результатам анализа требований к промышленной безопасности и способов их удовлетворения на практике целесообразно подчеркнуть следующее. Для заданных условий потенциально опасных производственных факторов эффективное управление рисками для обеспечения промышленной безопасности применительно к выбранному объекту или системе при штатных начальных состояниях возможно и целесообразно на основе: - использования исходных материалов, различного рода ресурсов и защитных технологий с более лучшими характеристиками с точки зрения безопасности; -рационального применения адекватной системы ситуационного анализа потенциально опасных событий, эффективных способов контроля и мониторинга состояний и оперативного восстановления целостности компонентов, объектов и системы; -рационалъного применения мер противодействия рискам (включая избегание рисковых ситуаций). Для обеспечения информационной безопасности методами неразрушающего контроля традиционно аттестуются отдельные здания и сооружения (см., например, требования ГОСТ Р 51583, 51624 и др.).
В приложении к техническим объектам вопросы эффективности методов неразрушающего контроля остро актуальны. К таковым объектам могут быть отнесены монолитные стены зданий и сооружений, контролируемые на наличие пустот, радиационных участков или «жучков» для прослушивания, подарки и оргтехника поступающие в категорированные помещения, авиапассажиры, багаж или грузы на таможенных постах, проверяемые без вскрытия и др.
Разработка методики управления рисками для этапов создания (сопровождения) системы контроля почтовой корреспонденции
Изложение всех предыдущих материалов диссертации доказало, что для решения поставленной научной задачи необходим анализ и оптимизация различного рода процессов. Процесс - это множество взаимосвязанных действий, преобразующих входные элементы в выходные результаты. Реализуемые процессы определяют суть «процессного подхода», направленного в конечном итоге на обеспечение удовлетворенности заказчика, и сами по себе подлежат детальному изучению для извлечения эффектов. Научной основой подобного рода изучения является системный анализ, который получил наиболее широкое распространение среди специалистов в различных отраслях науки.
Эффективное управление осуществляется в рамках формальных постановок оптимизационных задач путем целенаправленного использования моделей и выбранных критериев рациональности при ограничениях на ресурсы и варианты реализации процессов. Ниже для обоснования параметров какого-либо анализируемого процесса предлагаются типовые формальные постановки оптимизационных задач: а) на этапах концепции и ТЗ, проектирования и разработки, производства и сопровождения системы; б) в процессе эксплуатации системы. Тем самым накрывается весь жизненный цикл системы неразрушающего контроля безопасности почтовой корреспонденции. Для расчетов показателей рисков предлагаются математические модели, стандартизованные на уровне ГОСТ РВ 51987 и положительно зарекомендовавшие себя на практике.
Предлагаемая ниже постановка научной задачи служит классическим ориентиром на пути целенаправленного решения задач системной инженерии. Решение задачи заключается в моделировании различного рода процессов. Фокусирование внимания именно на процессах позволяет использовать для их описания лишь характеристики времени (например, среднее время выполнения или частота наступления события), безразмерные (количество чего-либо, например, объектов, событий и пр.) или стоимостные характеристики, свойственные для систем различных приложений. С точки зрения моделирования специфика этих процессов в том, что все учитываемые параметры характеризуются их состоянием во времени. Тем самым основными исходными характеристиками конкурирующих на временной оси процессов являются времена их выполнения (в общем случае эти времена - случайные величины). Различные соотношения этих времен приводят к различным выходным результатам (например, «выполнение безопасно и в срок», «выполнение безопасно, но не в срок», «выполнение с нарушением безопасности, хотя и в срок», «выполнение с нарушением безопасности и не в срок»).
Безопасность рассматривается как одно из составных свойств качества системы. Повышение безопасности системы достигается путем обоснования и практического достижения рациональных значений управляемых параметров анализируемого процесса. Варьируемыми для повышения безопасности по-прежнему являются управляемые параметры процесса, т.е. анализируемых сценариев и реализуемых мер упреждения и реакции [139] см. рис. 1.5.1. Оптимизационные задачи для управления рисками в «процессном» подходе Вариант реализации процесса ОіЛк /) )характеризуется параметрами: сценарием критичных изменений среды реализации процесса и/или ресурсов и/или достигаемой безопасности на заданном множестве потенциальных угроз (А - множество параметров сценария); осуществляемыми мерами упреждения и реакции с учетом их стоимости для обеспечения целостности процесса (М - множество параметров, характеризующих эти меры,) Управляемые параметры процесса Q(A.M) признаются наиболее рациональными для заданного периода эксплуатации Тзад , если на них достигается минимум затрат на создание системы гсоэд. при ограничениях на приемлемый уровень риска Идол и допустимый уровень затрат при эксплуатации Сдоп. ZOOM, (Qpan.) = (ПІП Zco3A. (Q) при ограничениях R s кдог». и Сакопл. Сдоп. и, возможно, ограничениях на допустимые значения других показателей, отнесенных к критичным , признаются наиболее рациональными для заданного \ периода эксплуатации Таад,. если на них достигается минимум рисха нарушения безопасности функционирования системы R R(Qpa ) = mm R(Q) zzzz при ограничениях Сэкспл. 5 Сдоп. и. возможно ограничениях на допустимые значения других показатепей, отнесенных к критичным Рис. 1.5.1 Постановки задач для управления рисками в жизненном цикле систем
В любом случае окончательный выбор интегрального показателя и ограничений и, соответственно, моделей для их расчетов отводится на откуп исследователю с учетом специфики создаваемой или эксплуатируемой системы.
Таким образом, поставлена научная задача рационального управления рисками при создании и эксплуатации системы неразрушающего контроля безопасности почтовой корреспонденции. Оптимизацию на этапе создания и сопровождения системы предлагается осуществлять по критерию минимума затрат при ограничениях на уровень допустимого риска, а в процессе эксплуатации - по критерию минимума риска при ограничениях на затраты.
Главным условием практического применения оптимизационных задач является наличие доступных математических моделей и инструментариев для оценки качества и рисков (в качестве таковых могут быть выбраны существующие [139, 140-143] др.).
В рамках предложенной модели нарушителя сформулированы следующие основные цели опасного воздействия против предприятия-адресата; запугивание; шантаж; ликвидация адресата; дискредитация организации путем загрязнение помещения радиоактивными, химическими, бактериологическими веществами; организация взрывов и пожаров в помещении; вывод из строя системы контроля; паника населения как достижение заранее спланированного социально-психологического результата. Для достижения целей опасного воздействия под видом почтовых отправлений, замаскированных под обычные, могут быть применены; - взрывчатые вещества, в том числе с использованием последних достижений в области микроминиатюризации взрывателей; - токсические химические вещества (сильнодействующих ядовитых, едких, обжигающих, наркотических, нервнопаралитических, кожно-нарывных, психотропных веществ); -саморазмножающиеся биопрепараты типа бактериологического оружия; - радиоактивные вещества, в том числе совместно с взрывчатыми веществами;
Разработка методики управления рисками для этапа эксплуатации системы контроля почтовой корреспонденции
С учетом высокой степени неопределенности возможных сценариев поступления и характера воздействия небезопасной корреспонденции для применения предлагаемых аналитических моделей и программных инструментариев в дополнение к принятым при построении математических моделей принимаются следующие предположения и допущения.
Полагается, что используемые в комплексе контроля различные технические средства в основном не перекрывают области назначения друг друга. Вместе с тем из всего множества небезопасных ПО не более 0.1% (т.е. 1 из 1000) не имеют однозначной идентификации как опасные с помощью применяемых технических средств (могут быть какие-то подозрения и сомнения, в итоге возможны ошибки контроля).
Примечание. Небезопасная корреспонденция, не идентифицируемая без подозрений и сомнений, окажется пропущенной. Такого рода ошибки называются ошибками контроля 2-го рода. Они, а также ошибки контроля 1-го рода, когда безопасная корреспонденция признается опасной, образуют остаточные риски.
Предположение 2. Стойкость технического средства (компонента) обеспечения безопасности в условиях реализации угроз (определяемая как среднее время до первого момента ошибки в штатном функционировании) определяется типом угроз. Полагается, что средство не срабатывает однозначно по назначению в случае, когда ПО не распознаваемо по причине уникальности или новизны. В этом случае стойкость технического средства (компонента) полагается равным величине, обратной частоте возможного появления такого уникального ПО, т.е. соизмеримо с периодом его появления во входной корреспонденции (именно на таких ПО возможны ошибки контроля).
Оценки и обоснования проводятся для наиболее неблагоприятных условий функционирования комплекса контроля потока входящей корреспонденции.
Базовый вариант для моделирования сформирован на основе функциональной схемы комплекса контроля потока входящей корреспонденции (см. рис. 3.1).
Этот вариант не претендует на полноту всех существующих методов анализа (что учтено введением в схему элемента «дополнительные средства углубленной обработки»), но он позволяет рассмотреть базовые подходы к решению этой практической задачи.
Моделируемая структура комплекса контроля потока входящей корреспонденции Интерпретация нарушения безопасности для моделируемой структуры такова - безопасность функционирования системы из обозначенных трех подсистем будет нарушена, когда нарушится безопасность или в 1-й, или во 2-й, или в 3-й подсистеме. Причем безопасность функционирования 1-й системы будет полностью нарушена лишь тогда, когда нарушится безопасность функционирования всех составных компонентов.
Сбор статистики для уточнения моделей угроз, нарушителя и параметров комплексных методик (в т.ч. стоимости применяемых мер наработки на ошибку при мониторинге, времени контроля периода между системными контролями)
После прохождения ПО через необходимые технологические процедуры с применением компонентов приведенных трех подсистем возможно следующее пространство элементарных событий: - наступило нарушение комплексной безопасности, если небезопасное ПО без необходимой нейтрализации преодолело все три подсистемы и было направлено в организацию. Тем самым возможно достижение запланированных целей опасного воздействия на организацию; -обеспечена безопасность при работе с почтовой корреспонденцией, если обеспечено доведение ПО (если оно изначально было безопасным или если оно содержало элементы потенциально опасного воздействия, но было нейтрализовано) или установлена опасность ПО и невозможность его нейтрализации, в результате чего ПО помещено в изолирующий контейнер и приняты меры по его утилизации в установленном порядке.
Соответственно вероятность наступления первого элементарного события на виртуальный момент времени на временной оси интерпретируется как риск нарушения комплексной безопасности, дополнение значения этого риска до единицы характеризует вероятность второго элементарного события.
С точки зрения рациональных вариантов построения комплекса контроля время восстановления после выхода из строя какой-либо из подсистем 1-3 задается равным 1 дню (что предполагает отсутствие запасов в организации, возможность оперативных допоставок или принятия в течение суток временных мер восстановления, признаваемых как допустимые с точки зрения безопасности).
Длительность прогнозируемого периода функционирования комплекса контроля потока входящей корреспонденции задается равной 1, 3 и 5 годам для оценки устойчивости ожидаемой безопасности и сравнения с аналогичными оценками для других систем в условиях потенциальных угроз, а также двум неделям для анализа рисков применительно к отдельной интенсивной террористической атаке.
Частота возникновения угроз в виде появления небезопасного ПО во входящей корреспонденции задается 10 раз в сутки, 1 раз в сутки, 1 раз в неделю (характеризуют различные сценарии целенаправленной массированной террористической атаки на организацию с целью ликвидации кого-либо из адресатов, дискредитации организации, вывода из строя системы контроля и иных серьезных последствий) и не чаще 1 раз в месяц (характеризует умеренный сценарий, такая частота свойственна попыткам запугивания или шантажа).
Наряду с общими исходными данными по моделируемой системе задаются следующие исходные данные по каждому из компонентов структуры: - стойкость меры (компонента) в условиях реализации угроз; - наработка на ошибку средств мониторинга (если состояние компонента поддается на практике мониторингу, когда на каждое выявленное в процессе функционирования компонента отклонение следует адекватная реакция); - период между системными контролями целостности компонента, когда следует выявление и устранение всех недостатков и подтверждение работоспособности компонента в штатном режиме; - затраты на обеспечение функционирования компонента в течение года.
Исходные данные по 1) подсистеме (2-му компоненту системы) - ЛПР отражены на рис. 3.3. Здесь стойкость ЛПР в условиях реализации угроз (среднее время до совершения должностной ошибки) определена на уровне 10 лет, соизмеримом с максимальным сроком прогноза, понимая, что на эту должность назначается дисциплинированный специалист высшего уровня квалификации, освоивший все виды используемых технических средств и однозначно интерпретирующий результаты их щтатного применения. Каждый месяц ЛПР проходит плановый контроль работоспособности, а между этими контролями строго мониторирует самостоятельно и во взаимодействии с коллегами свое состояние к принятию верных решений.
Обоснование рационального набора функциональных средств и соответствующих затрат на создание и эксплуатацию системы контроля безопасности почтовой корреспонденции
Стойкость радиометра в условиях реализации угроз определена на уровне 100 суток (стойкость оценивается средним временем до первого момента ошибки при штатном функционировании). Здесь использовались следующие рассуждения. При частоте возникновения угроз в виде появления небезопасного ПО во входящей корреспонденции 10 раз в сутки с учетом Предположения 1 (предположения о том, что доля небезопасных ПО составляет лишь 0.1%) поступление небезопасных ПО, которые не идентифицируются однозначно как опасные, ожидается лишь с частотой 1 раз за 100 дней (т.е. это те самые уникальные ПО - 1 на 1000 небезопасных отправлений). Тогда по Предположению 2 стойкость для наиболее неблагоприятных условий соизмерима с периодом между соседними появлениями небезопасного ПО, не идентифицируемого однозначно применяемыми техническими средствами как опасное, и оценивается на уровне 100 дней.
Наработка на ошибку средств мониторинга связана не только с возможностями технических средств, но и с уровнем квалификации персонала. Она задается на уровне 1000 часов, что обосновывается с использованием модели «Риск ошибочных аналитических выводов». Суть в следующем. Наработка на ошибку средств мониторинга Тмон истолковывается как среднее время с момента очередного контроля состояния средства до момента первого ошибочного действия ответственного должностного лица в комплексе с данным средством контроля. Это среднее время зависит не только от психофизических способностей контролера, но и от риска К ошибочных аналитических выводов в комплексировании с применяемым техническим средством. Если частоту возможных психофизических ошибок контролера (к), свойственную ему как человеку без технических средств контроля, умножить на риск К ошибочных аналитических выводов с применением технических средств, получится просеянная частота ошибок должностного лица, оснащенного техническим средством контроля. Обратная величина даст оценку среднего времени с момента очередного контроля состояния средства до момента первого ошибочного действия для оцениваемого компонента комплекса контроля, т.е. TM0„.= 1/(XR).
Таким образом, необходимо вычислить риск К ошибочных аналитических выводов с применением технических средств. Для этого используем модель «Риск ошибочных аналитических выводов» (см. раздел 2 настоящего отчета).
Привяжемся к дневному объему корреспонденции порядка 300 единиц ПО. При неблагоприятных условиях в этом объеме возможно до 10 небезопасных ПО (максималъное количество, принятое для исследований). Тем самым доля потенциально опасных событий составляет около 3.3%. Скорость интерпретации есть ничто иное, как обратная величина от времени обработки одного ПО соответствующими средствами контроля. Для того, чтобы успеть обработать поток корреспонденции в течение 8-12 часов, на одно ПО потребуется в среднем около 2-х минут. Поскольку работа монотонна, небезопасна и связана со сложными техническими средствами, для частоты психофизических возможных ощибок (X) можно воспользоваться опытом диспетчерской службы энергетического комплекса. Частота возможных ошибок диспетчеров средней квалификации составляет приблизительно 1 ошибку на 100 часов работы,
Наконец, полагается, что за год затраты на амортизацию и поддержание работоспособности компонента 1.1 (радиометра) оцениваются в среднем 100 у.е. (здесь и далее для других технических компонентов 2-й и 3-й подсистем за исключением компонента 1.6 - дееятую часть от их ориентировочной начальной стоимости, т.е. срок амортизации принят 10 лет).
Здесь стойкость компонента 1.6 в условиях реализации угроз определена на уровне 100 дней, такой же полагается наработка на ошибку, т.к. все определяется психо-физическими возможностями человека (обоснование см. выше). Каждый месяц должностные лица, выполняющие распознавание по органолептическим признакам, должны проходить плановый контроль работоспособности, а между этими контролями строго они мониторируют самостоятельно и во взаимодействии с коллегами свое состояние. Полагается, что ежегодные затраты на содержание этих должностных лиц, выполняющих распознавание по органолептическим признакам, составляют 120000 у.е. Исходные данные по компоненту 1.7 - высокочувствительному детектору паров и следов ВВ -отражены на рис 3.12. ]Стойкость меры (компонента) в условиях реализации угроз 11 200 ъ,( , . __. Характеристики контроля и обеспечения целостности k-й меры (компонента)
Поскольку компонент 1.7 осуществляет углубленный контроль, то по сравнению с техническими компонентами 1.1-1.5 первичного контроля стойкость и наработка на ошибку средств мониторинга увеличены вдвое. Это объясняется тем, что за счет дополнительных функциональных возможностей поступление небезопасных ПО, которые не идентифицируются однозначно как опасные, ожидается для этих средств вдвое реже - лишь с частотой 1 раз за 200 дней (т.е. доля небезопасных ПО для этих средств углубленного контроля полагается уже не 0.1%, как для средств первичного контроля, а 0.05%). С учетом этого стойкость, по-прежнему соизмеримая с периодом между соседними появлениями небезопасного ПО, не идентифицируемого однозначно применяемыми техническими средствами как опасное, оценивается на уровне 200 суток.
Для наработки на отказ при мониторинге логика аналогичная. При углубленном контроле привлекаются специалисты высшей квалификации, для них частота возможных ошибок полагалась равной 1 ошибке на 200 часов работы (а не на 100 часов, как для специалистов средней квалификации, которых можно использовать при первичном контроле). В итоге при том же расчетном риске К, что и для компонента 1.1, наработка на ошибку средств мониторинга составит уже 2000 часов.