Задача выбора (принятия решения)

Ввиду особой важности задачи выбора (принятия решения) ее следует рассмотреть отдельно, вследствие того, что, по сути, вся методологическая направленность системного анализа представляет собой поддержку принятия решения.

Задачу выбора (принятия решения) наиболее целесообразно рассмотреть на примере создания некоторой системы информационной безопасности (СИБ) гипотетического предприятия распределенного типа.

Первоначально сформируем систему исходных данных. Формирование системы исходных данных необходимо для всестороннего анализа и учета взаимосвязей наиболее вероятных угроз информационной безопасности и объектов предприятия, распределенных в некотором пространстве.

Информационная ситуация при ранжировании объектов предприятия по приоритетности защиты в общем виде укладывается в следующую схему. Имеется т объектов (филиалов, подразделений) предприятия, представляющих собой сложную организационно-техническую систему. При этом вся совокупность объектов сама может рассматриваться как система, на которую воздействует некоторое множество негативных факторов (возможных угроз). С позиции учета одного фактора его влияние на защищенность может быть оценено рангом (порядковым номером, который получает каждый объект при расстановке их в порядке опасности данного фактора). В целом при таком анализе не может быть надежных способов контроля полноты учета всех угроз, определяющих «вес» или приоритетность защиты объектов предприятия. Однако если ввести в рассмотрение все наиболее значимые угрозы, то достаточно надежными статистическими методами можно отделить закономерную составляющую, определяющую приоритетность того или иного объекта с точки зрения защиты, от случайной, обусловленной неполнотой учета всех возможных угроз и ошибками эвристических методов формирования ранговых последовательностей.

Пусть таких ранговых последовательностей, соответствующих числу возможных угроз, будет п. Тогда морфологическое пространство может быть представлено в виде матрицы (табл. 1.2).

Вес j-й характеристики (ранговой последовательности, характеризующей определенную угрозу) в общем случае неизвестен. Действительно, в зависимости от конкретных условий, в которых работает подразделение предприятия, наличия информации того или иного уровня конфиденциальности, степени возможности реализации того или иного вида угроз значимость этих угроз может меняться. В условиях объективно существующей неопределенности необходимо провести ранжирование (установить кортеж предпочтения) введенных в рассмотрение объектов предприятия. Очевидно, что решение этой задачи предшествует решению задач оценки эффективности и оптимизации системы информационной безопасности.

Таблица 1.2

Морфологическое пространство

Ранжирование объектов представляется целесообразным проводить на базе обобщенного показателя (оценочного функционала), основанного на критерии Байеса:

где Pj — вес j-й ранговой последовательности.

Используя показатель (1.5), можно установить порядок приоритетности защиты всех объектов предприятия. Не нарушая общности рассуждений, символически это можно записать в следующем виде:

При этом очевидно.

Для корректного сравнения объектов предприятия, основанного на критерии Байеса, необходимо рассмотреть возможные модели расчета весовых коэффициентов, которые в данном случае позволяют приписать «вес» тому или иному объекту.

Если имеется п ранговых последовательностей (j = 1,2, …, п), то для них может быть введена в рассмотрение одна из мер «детализации» учета соответствующих угроз по всей системе объектов P_ci (/ = 1, 2,…, т):

Если в качестве рангов принять целые числа в интервале [1, 10], то.

Если для рассматриваемой меры справедливо

то этим неравенствам можно поставить в соответствие простое отношение порядка предпочтения:

Известно, что количественную оценку степени предпочтения (1.8) дают оценки Фишборна:

Очевидно, что эти оценки можно использовать в качестве весовых коэффициентов. Следовательно, ранжировав ранговые последовательности с помощью меры (1.7), можно определить весовые коэффициенты, рассчитать показатель (1.5) и упорядочить объекты предприятия по приоритетности защиты.

Однако следует заметить, что оценки Фишборна предполагают строгое упорядочение ранговых последовательностей вида (1.8). В реальной же ситуации некоторые угрозы могут иметь одинаковую важность для нескольких объектов. Поэтому представляется целесообразным ввести в рассмотрение модифицированные оценки, аналогичные оценкам Фишборна, при ограничениях, допускающих равенство мер Д, для некоторых ранговых последовательностей. Тогда можно записать.

где k — степень кратности ранговых последовательностей при их упорядоченности по мере Aj

В этом случае совокупности мер Д_; можно поставить в соответствие упорядоченную по степени предпочтения систему ранговых последовательностей.

Такая символическая запись означает, что j, j + 1, …, j + k угрозы при ранжировании объектов предприятия имеют одинаковый ранг важности, и больший, чем j + k + 1 и т. д., и меньший, чем j — 1 и т. д. Количественная оценка предпочтения (1.11) имеет вид.

где

Нетрудно заметить, что зависимость (1.12) является обобщением (модификацией) зависимости (1.9) и вырождается в нее при kj— 1 (j = 1,2,…, п).

В силу того, что для весовых коэффициентов допустима вероятностная интерпретация, в соответствии с принципом потенциального распределения можно постулировать существование оценок «весов» вида.

Более того, если потребовать постоянства дисперсии весовых коэффициентов (что, несомненно, усилит сходимость результатов), т. е.

то, решая экстремальную задачу.

можно получить зависимость для расчета весовых коэффициентов (потенциальное распределение) в виде дискретного аналога гауссова распределения:

где  — оценка математического ожидания меры Д,-; — оценка дисперсии меры Дf 1— нормирующий коэффициент.

Пусть предприятие имеет 19 филиалов, включая центральный офис — Л₍ (г = 1, 2, …, 19). На основе анализа их функциональной структуры и условий функционирования, территориальной расположенности и других факторов определены 10 наиболее вероятных угроз информационной безопасности — Bj (j = 1, 2, …, 10). Экспертами определена важность (значимость) каждой угрозы для каждого филиала. Процедура организации экспертного оценивания описана в гл. 2. Числовые значения рангов Rjj приведены в табл. 1.3. В данном случае ранг определяет в порядке возрастания наибольшую значимость одной из 10 угроз.

Таблица 1.3

Результаты анализа значимости угроз.

Из табл. 1.3 определяются: А_{ = 8; Д₂ = 6; Д₃ = 8; Д₄ = 4; Д₅ = 7; Д₆ = 1; Д₇ = ⁼ 7; Ag = 6; Ад = 8; А₍д = 4.

Следовательно, упорядочение ранговых последовательностей имеет следующий вид:

а сумма 5 составит 84.

По формуле (1.12) определяются весовые коэффициенты ранговых последовательностей:

Используя модели расчета весовых коэффициентов (1.13) и (1.14), можно получить аналогичные данные, которые сведены в табл. 1.4.

Таблица 1.4

Весовые коэффициенты угроз.

Сопоставление результатов расчетов указывает на несущественное различие числовых значений весовых коэффициентов. Это обстоятельство подтверждает статистическую устойчивость результатов, полученных по различным моделям расчетов. Однако в силу некорректности исходной информации такими различиями не следует пренебрегать. Кроме того, если оказывается, что существует множество распределений Pj, эквивалентных исходной информации, то возникает естественный вопрос: какой именно модели расчета весовых коэффициентов отдать предпочтение? Для решения этой задачи наиболее целесообразно воспользоваться принципами стохастического доминирования.

Стохастическим доминированием называется процедура введения частичной упорядоченности в множество одномерных функций распределения. Очевидно, что такое введение можно осуществлять в зависимости от содержательного смысла решаемой задачи. В рассматриваемой задаче при выборе модели расчета весовых коэффициентов предпочтение должно быть отдано тому закону, который обладает большей неопределенностью и не приносит дополнительной (субъективной) информации. Достаточным основанием для такого выбора является следующее.

Приписывая случайной величине некоторые распределения, имеющие ряд свойств, совпадающих со свойствами действительного (неизвестного) распределения, по необходимости совершается некоторый произвол: выбор одного из рассматриваемых распределений однозначно определяет и те характеристики, которые по условию неизвестны, а также независимую переменную функции распределения (меру). Очевидно, что предпочтение следует отдать тому из рассматриваемых распределений, которое добавляет минимум информации к уже имеющейся. Следовательно, используя концепцию принципа максимума неопределенности и энтропию Шеннона в качестве ее меры для сравнения и выбора соответствующих законов, можно ввести частичную упорядоченность в множество моделей расчета весовых коэффициентов по энтропии.

Отметим, что глобальный максимум энтропии Я для рассматриваемой задачи достигается при равномерном распределении и равен.

Для модели (1.12) Я = 2,28 924, (1.13) — Я=2,21 751, (1.14) — Я = 2,29 514.

Следовательно, если упорядочить рассматриваемые модели расчета весовых коэффициентов в порядке возрастания энтропии, то получится следующая схема доминирования:

Анализ результатов показывает, что упорядочение ранговых последовательностей с помощью мер и использование оценок (1.12) является, очевидно, в силу потери информации, неэффективным по сравнению с оценками вида (1.13).

Подставив значения Р-_г рассчитанные по модели (1.13), в выражение (1.5), определяем следующие показатели:

Следовательно, кортеж приоритетности филиалов предприятия с точки зрения их защиты можно записать в следующем виде: А_{ > А₂ > > Л₇ >

> Л, 6 > ^Л3 >¹⁵ > ^Л5 >⁸ >¹⁰ >¹² > ^А4 >¹¹ >⁹ > &U >¹⁹ > ^Л18 >

>л₁₃>л₁₇.

Таким образом, формирование системы исходных данных для оценки и оптимизации системы информационной безопасности включает следующие этапы:

• 1) выявление и анализ наиболее вероятных угроз информационной безопасности;
• 2) построение морфологической матрицы, содержащей оценки (ранги) значимости каждой угрозы для каждого филиала (подразделения) предприятия;
• 3) расчет весовых коэффициентов ранговых последовательностей;
• 4) определение оценочного функционала для каждого филиала предприятия;
• 5) ранжирование филиалов по приоритетности защиты.

После ранжирования филиалов по приоритетности защиты необходимо исследовать эффективность СИБ для использования ее показателя для решения задачи выбора.

Любая система, в том числе и СИБ, создается для достижения цели (целей) своего функционирования. С этой точки зрения в процессе создания СИБ, ориентированном на реализацию ее целеполагания, в данную систему «закладывается» потенциальная возможность достижения цели функционирования. Существенно, что закладываемые возможности должны соотноситься с конечным результатом, г. е. с характеристикой успешности достижения цели. Поэтому оценка эффективности как соответствие достигаемого результата желаемому (требуемому) с учетом всех затрат занимает центральное место в процессе создания и развития СИБ. Сама же эффективность является при этом свойством системы информационной безопасности. В связи с этим необходимо строго определить само понятие «свойство системы».

Пусть Е — множество. Любое свойство, которым может обладать элемент х g Е, задает в Е подмножество А с Е всех элементов, обладающих этим свойством. Пусть также задано некоторое отношение /?, в котором могут находиться элементы х и у множества Е. Для точного определения свойства полезно рассмотреть подмножество R с=? х Е всех пар, для которых xRy. Задание этого подмножества является, по сути, заданием отношения. Если теперь ввести понятие многоместного отношения, то свойство оказывается одноместным (унарным) отношением. Это доказывает то, что свойство есть частный случай отношения.

Однако наиболее важно проследить содержательную связь свойства и отношения. Во-первых, любое свойство, даже если его понимать как потенциальную способность обладать определенным качеством, выявляется в процессе взаимодействия объекта (СИБ) с другими объектами (прежде всего, окружающей среды), т. е. в результате установления некоторого отношения. Во-вторых, делая дальнейшее обобщение, можно говорить о том, что свойство — это не атрибут объекта, а лишь определенная абстракция отношения, экономящая мышление. Другими словами, свойство — это «свернутое» отношение, его некоторая модель.

Следовательно, эффективность СИБ обусловливается характером взаимоотношений системы с окружающей средой, а также процессов, протекающих в ней самой. С этой точки зрения распределенные филиалы предприятия будут определять эффективность СИБ и влиять на нее.

Коэффициент защищенности отдельного филиала (подразделения) предприятия К_ь может определяться из следующего выражения:

где N_b — количество наиболее вероятных информационных угроз; r_ib — коэффициент защищенности b-го филиала от /-й угрозы; P_ih — весовой коэффициент /-й угрозы.

При этом вероятность защиты информационного актива от /-й угрозы г_х определяется выражением.

где G_:ii — количество отраженных атак /-го вида угроз; G_x — количество всех атак г-го вида угроз.

Можно допустить, что r_ib ~ 1) для / е N_h.

Оценка математического ожидания количества атак па филиал /-го вида угроз может быть получена из выражения.

где X_ib — интенсивность потока атак /-го вида угроз на b-и филиал (/ е N_b), для Zg N_h — X_ib =0; t_b — время использования защищаемых информационных активов в Ь-м филиале.

Количество пропущенных атак определяется выражениями.

где G_nib — количество пропущенных атак /-го вида угроз на Ь-й филиал; G_ub — количество пропущенных атак всех видов угроз на Ь-й филиал; G_n — количество пропущенных атак всех видов угроз, но всем филиалам предприятия; В — количество филиалов предприятия; р_ь — вероятность нахождения (получения) защищаемых информационных активов в b-м филиале.

Для оценки параметра р_ь целесообразно воспользоваться следующими положениями.

Управление на предприятиях распределенного типа организовано, как правило, иерархически, т. е. организационную структуру управления можно представить в виде графа, показанного на рис. 1.12. Тогда очевидно, что при распределенной обработке информации наиболее важные, а следовательно, и наиболее защищаемые информационные активы будут располагаться на верхних уровнях иерархии. Иными словами, важности того или иного элемента в структуре можно поставить в соответствие вероятность нахождения в нем защищаемых информационных активов.

Для определения числа типов элементов t и количества элементов каждого типа rij требуется определить ранг каждой вершины графа. Данная характеристика позволяет распределить вершины в порядке их значимости, которая определяется здесь только числом ребер, связывающих какуюлибо вершину с другими вершинами.

Рис. 1.12. Иерархическая структура управления.

В общем виде наиболее точно ранг вершины, в данной постановке, определяется функцией вида.

где d (0 (k) — количество цепей в графе длины k, идущих от элемента i, которые являются элементами матрицы смежности, возведенную в степень i = 1 …п.

Вычисление ранга по зависимости (1.22) позволяет получить достаточно точное значение, что совсем необязательно для определения типа элемента. Поэтому представляется целесообразным воспользоваться приближенной формулой для нахождения ранга вершины:

где — элемент матрицы смежности, возведенной в степень 3…4.

Вершины с равными рангами и будут составлять определенный тин. Величину ранга в данном случае можно ассоциировать с искомой вероятностью.

Если количество всей совокупности атак на предприятие описать формулой

то коэффициент защищенности предприятия К может быть найден из следующего выражения:

Потери от незащищенности предприятия определяются из формул.

где М — множество наиболее значимых, критичных с точки зрения потерь, филиалов предприятия; L_m — потери от незащищенности т-то филиала; v_m — частота использования защищаемых информационных активов в т-м филиале за период; 1_т — разовые потери от незащищенности т-го филиала; К_т — коэффициент защищенности т-то филиала.

Формирование множества М возможно на основе системы исходных данных. Используя экстремальные оценки вида (1.12), можно разбить кортеж приоритетности филиалов на три группы: 15% от общего числа будут составлять наиболее значимые филиалы, 35% — средние филиалы и 50% — менее критичные с точки зрения потерь филиалы.

Для рассматриваемого примера в множество М войдут филиалы А_{, А₂, Л₆. Тогда показатель эффективности системы информационной безопасности (Q) определится из выражения.

где L_z — совокупные затраты на создание и эксплуатацию системы информационной безопасности.

Для обоснования конкретного варианта системы информационной безопасности необходимо использовать соответствующие алгоритмы оптимизации, учитывающие показатель экономической эффективности Q.

В качестве научного инструмента, созданного для выработки рациональных решений в условиях риска, выступают методы, объединенные общим названием «исследование операций». Теорию решений, опирающуюся на эти методы, иногда называют теорией рациональных решений. Вместе с тем для анализа вариантов решений, связанных с риском, одних рациональных методов может оказаться недостаточно.

Наряду с расчетными моментами на принимаемое решение оказывают влияние и обстоятельства, не поддающиеся строгому математическому анализу, например отношение того, кто принимает решение, к своему выбору.

Расчетами решений, связанных с риском, занимается один из методов исследования операция — теория статистических решений. Эта теория служит для выработки рекомендаций по рациональному образу действий в условиях неопределенности, вызванной объективными причинами: неосведомленностью об условиях предстоящих действий, случайным характером этих условий, которые принято именовать «природа».

Применительно к системе информационной безопасности, постановка задачи теории статистических решений имеет следующий вид:

• • имеется р возможных вариантов реализации системы информационной безопасности 5), б₂,…, 5_М;
• • условия обстановки (состояние «природы») точно не известны,

но о них можно сделать г| предположений О, 0₂…О_п.

Тогда результат, так называемый выигрыш, при каждой паре стратегий может быть задан таблицей эффективности (табл. 1.5).

Таблица 1.5

Таблица эффективности.

Выигрыши, указанные в табл. 1.5, являются показателями эффективности конкретной системы информационной безопасности.

Для корректного применения методов теории статистических решений значения показателей эффективности необходимо привести к интервалу [О, 1] по формуле.

Тогда таблица эффективности примет вид табл. 1.6.

Необходимо найти такой вариант системы информационной безопасности, который по сравнению с другими является наиболее предпочтительным.

Таблица 1.6

Таблица нормированной эффективности.

Окончание табл. 1.6

В теории статистических решений вводится специальный показатель, называемый риском. Он демонстрирует, насколько выгодна применяемая стратегия в конкретной обстановке с учетом степени ее неопределенности. Риск рассчитывается как разность между ожидаемым результатом при наличии точных данных обстановки и результатом, который может быть достигнут, если эти данные точно известны. Например, если точно известно, что будет иметь место обстановка 0_{, то необходимо принять вариант системы, для которого показатель q будет максимальным. Поскольку точно не известно, какую обстановку ожидать, то может быть выбран и другой вариант. При этом, естественно, произойдет потеря выигрыша, определяемая как разность между максимальным значением в столбце и значением, соответствующем выбранному варианту. Таким образом, можно получить таблицу рисков (табл. 1.7).

Приведенная таблица рисков существенно дополняет таблицу эффективности. Так, основываясь только на показателях эффективности, нельзя определить, за счет чего ее можно повысить. Ведь результат зависит не только от выбранного варианта, но и от условий обстановки, которые точно не известны. Поэтому может оказаться, что при наиболее выгодном варианте, с позиций учета одной обстановки, эффективность будет ниже, чем при выборе невыгодного варианта. Таблица рисков дает возможность непосредственно оценить качество принятия решений по конкретным вариантам и установить, насколько полно реализуются в них существующие возможности достижения успеха при наличии риска.

Таблица 1.7

Риск выбора варианта системы информационной безопасности.

Вариант СИ Б.	Варианты обстановки.
	О,.	02
52

В связи с этим представляется целесообразным рассмотреть три критерия выбора варианта системы информационной безопасности при условии, когда вероятности возможных вариантов обстановки неизвестны, но существуют некоторые принципы подхода к оценке результатов выбора.

Во-первых, может потребоваться гарантия того, что выигрыш в любых условиях окажется не меньше, чем наибольший возможный в худших условиях. Это линия поведения по принципу «рассчитывай на худшее». Оптимальным решением в данном случае будет то, для которого выигрыш окажется максимальным из минимальных при различных вариантах обстановки (максиминный критерий Вальда), т. е.

где S* — оптимальный вариант системы информационной безопасности.

Во-вторых, может иметь место требование в любых условиях избежать большого риска. Здесь оптимальным решением будет то, для которого риск, максимальный при различных вариантах обстановки, окажется минимальным (минимаксный критерий Сэвиджа), т. е.

где Ру — величина риска.

В-третьих, может потребоваться остановиться между линией поведения «рассчитывай на худшее» и линией «рассчитывай па лучшее». В этом случае оптимальным решением будет то, для которого окажется максимальным показатель Г (критерий пессимизма-оптимизма Гурвица):

где k — коэффициент, выбираемый в интервале [0, 1 ] (при k = 0 — линия поведения в расчете на лучшее, при k = 1 — линия поведения в расчете на худшее).

Пусть рассматриваются четыре варианта системы информационной безопасности, для которых определены показатели эффективности, относительные значения которых представлены в табл. 1.8.

Таблица 1.8

Значения показателей эффективности.

Тогда значения рисков будут иметь вид, показанный в табл. 1.9.

По критерию (1.30) оптимальным решением является S_{, при котором максимальный из минимальных результатов равен 0,25.

По критерию (1.31) наилучшим вариантом будет 5₃, для которого минимальный из максимальных рисков равен 0,45.

Таблица 1.9

Значения рисков.

Оптимальные решения по критерию (1.32) для различных значений k сведены в табл. 1.10.

Таблица 1.10

Оптимальные варианты по критерию Гурвица.

Анализ критериев (1.30)—(1.32) показывает, что их использование необходимо проводить в соответствии с системой исходных данных. Иными словами, создавая (модернизируя) систему информационной безопасности конкретного филиала предприятия как составную часть общей системы, необходимо учитывать приоритетность защиты данного филиала, что отражено в системе исходных данных в виде кортежа приоритетности. Как было показано выше, весь кортеж можно разбить на три неравные группы: 15% от общего числа будут составлять наиболее значимые филиалы, 35% — средние филиалы и 50% — менее критичные с точки зрения потерь филиалы. Для первой группы наиболее целесообразно использовать критерий (1.30), для второй — (1.32), для третьей — (1.31).

Используя этот же подход, можно спрогнозировать три различных варианта обстановки, в которых будет функционировать система информационной безопасности. Так, в частности, 0_] — вариант обстановки, при котором наиболее значимыми оказываются первые 15% угроз, которые упорядочены по значениям своих весовых коэффициентов. Соответственно 0₂ и 0₃ — варианты, в которых в наибольшей степени действуют 35 и 50% угроз.

Следует отмстить, что неполнота и неопределенность информации и при формировании системы исходных данных, и при оценке эффективности СИБ обусловливают применение методов экспертного оценивания, о которых речь пойдет в гл. 2.