2.2.2 Формирование функций принадлежности
Задание функций принадлежности [66] является самым "узким" местом теории (и практики) нечетких множеств. Существует несколько подходов к построению функции μ(x)[55]:
Метод опроса, в котором интерпретацией функции принадлежности служит частотная вероятность использования объекта x как представителя класса А.
Числовой метод, по сути являющийся методом опроса с усреднением значений по данным всех экспертов;
Метод количественного парного сравнения, в котором функция принадлежности строится при помощи нахождения собственного вектора матрицы парных сравнений;
Метод прямого и обратного оценивания, где функция принадлежности определяется каждым субъектом в отдельности с помощью многоразового оценивания данных и последующего усреднения ответов;
Метод назначения параметров, позволяющий формировать треугольные и трапециевидные функции принадлежности;
Интервальное определение типа задания пессимистической и оптимистической границ для функции μ(x).
Подробнее описание этих и других методов изложено в [55].
На практике определение этих функций принадлежности связано с существенными сложностями. В ряде случаев от экспертов значительно проще получить информацию о характере размытости границ между соседними термами.
В связи с этим, в данном учебном пособии предлагается метод построения функций принадлежности, связанный с определением экспертом размытости границ между термами и последующим построением гауссовой функции принадлежности.
Функции принадлежности термов лингвистической переменной задаются функциями:
;
;
…
,
где
- функция принадлежности i-го терма
лингвистической переменной;
- номер терма лингвистической переменной,
термы нумеруются слева направо;
ai - доминирующий элемент нечеткого множества i-го терма;
,
где
- значение
,
при котором функции принадлежности
соседних термов имеют одинаковые
значения;
- номер значения
,
нумеруются слева направо;
- степень принадлежности
нечетким множествам соседних термов
(степень разделения [110]).
Таким образом, для построения термов лингвистической переменной эксперт должен задать n значений ai, n-1 значений и .
Данный метод построения упрощает процедуру построения функций принадлежности. Кроме того, эксперт достаточно быстро может изменить функции принадлежности, область определения лингвистической переменной. Достоинством является также то, что функция принадлежности определятся на непрерывном носителе, что позволяет вычислить ее значение при любых значениях переменной.
2.2.3 Пример оценки
Приведем пример оценки уровня риска, связанного с угрозой несанкционированного копирования (нарушения конфиденциальности ПДн) информации о наличии и характере судимости у сотрудников организации нарушителем, являющим внутренним по отношению к организации – оператору ПДн. Будем рассматривать ИСПДн, для которых утечка ПДн может привести к незначительному, малому ущербу субъекту ПДн.
В соответствии с положениями разделов 2.1.2 и 2.1.3 от эксперта требуется предварительно сформировать функции принадлежности для всех термов лингвистических переменных "ВЕРОЯТНОСТЬ РЕАЛИЗАЦИИ УГРОЗЫ" и "ВОЗМОЖНЫЙ УЩЕРБ ОТ РЕАЛИЗАЦИИ УГРОЗЫ". Для этого требуется определить доминирующие элементы каждого из термов, а также точки, в которых функции принадлежности соседних термов имеют одинаковые значения, и значения, принимаемые функциями принадлежности в этих точках.
Пусть экспертом в качестве доминирующих элементов термов лингвистической переменной "ВЕРОЯТНОСТЬ РЕАЛИЗАЦИИ УГРОЗЫ" указаны значения:
терм "маловероятно" – a1=0;
терм "низкая вероятность" – a2=0,2;
терм "средняя вероятность" – a3=0,6;
терм "высокая вероятность" – a4=1.
В качестве доминирующих элементов термов лингвистической переменной "ВОЗМОЖНЫЙ УЩЕРБ ОТ РЕАЛИЗАЦИИ УГРОЗЫ" указаны значения:
терм "незначительный" – b1=0,1;
терм "низкий" – b2=2;
терм "средний" – b3=5;
терм "высокий" – b4=8.
терм "очень высокий" – b5=10.
В качестве точек, относящихся в равной мере к двум соседним термам для лингвистической переменной "ВЕРОЯТНОСТЬ РЕАЛИЗАЦИИ УГРОЗЫ" указаны значения:
X11=0,1;
X12=0,4;
X13=0,7.
В качестве точек, относящихся в равной мере к двум соседним термам для лингвистической переменной "ВОЗМОЖНЫЙ УЩЕРБ ОТ РЕАЛИЗАЦИИ УГРОЗЫ" указаны значения:
X21=1;
X22=4;
X23=6,8.
X24=8,7.
Экспертом определены следующие значения, принимаемые в данных точках функциями принадлежности:
11=0,15;
12=0,3;
13=0,35;
21=0,2;
22=0,28;
23=0,4;
24=0,42.
На основе указанных экспертом значений строятся функции принадлежности всех термов указанных лингвистических переменных. Для построения графиков данных функций предлагается воспользоваться пакетом Fuzzy Logic Toolbox системы MATLAB.
Для построения функций принадлежности
вычисляются значения
.
В рассматриваемом примере для
лингвистической переменной "ВЕРОЯТНОСТЬ
РЕАЛИЗАЦИИ УГРОЗЫ" значения
равны:
=0,051338;
=0,051338;
=0,128886;
=0,128886;
=0,069012;
=0,207037.
В рассматриваемом примере для лингвистической переменной "ВОЗМОЖНЫЙ УЩЕРБ ОТ РЕАЛИЗАЦИИ УГРОЗЫ" значения равны:
=0,501638;
=0,557376;
=1,253449;
=0,626724;
=1,329661;
=0,886441;
=0,531433;
=0,986946.
Функции принадлежности термов лингвистической переменной "ВЕРОЯТНОСТЬ РЕАЛИЗАЦИИ УГРОЗЫ" представлены в таблице 2.5.
Таблица 2.5 – Функции принадлежности термов лингвистической переменной "ВЕРОЯТНОСТЬ РЕАЛИЗАЦИИ УГРОЗЫ"
Название терма |
Функция принадлежности |
"Маловероятно" |
|
"Низкая вероятность" |
|
"Средняя вероятность" |
|
"Высокая вероятность" |
|
На рисунке 2.2 представлены функции принадлежности, определенные на шкале "Вероятности".
Рисунок 2.2 – Гауссовские функции принадлежности термов лингвистической переменной "ВЕРОЯТНОСТЬ РЕАЛИЗАЦИИ УГРОЗЫ"
Функции принадлежности термов лингвистической переменной "ВОЗМОЖНЫЙ УЩЕРБ ОТ РЕАЛИЗАЦИИ УГРОЗЫ" представлены в таблице 2.6.
Таблица 2.6 – Функции принадлежности термов лингвистической переменной "ВОЗМОЖНЫЙ УЩЕРБ ОТ РЕАЛИЗАЦИИ УГРОЗЫ"
Название терма |
Функция принадлежности |
"Незначительный" |
|
"Низкий" |
|
Продолжение таблицы 2.6
Название терма |
Функция принадлежности |
"Средний" |
|
"Высокий" |
|
"Очень высокий" |
|
На рисунке 2.3 представлены функции принадлежности, определенные на шкале "Ущерба".
Рисунок 2.3 – Гауссовские функции принадлежности термов лингвистической переменной "ВОЗМОЖНЫЙ УЩЕРБ ОТ РЕАЛИЗАЦИИ УГРОЗЫ"
Пусть в данной системе нечеткого вывода эксперт использует набор правил, определенных в соответствие с таблицей 2.6. На рисунке 2.4 показано задание данного набора правил в Fuzzy Logic Toolbox системы MATLAB.
Рисунок 2.4 – Задание системы правил нечеткого вывода в Fuzzy Logic Toolbox системы MATLAB
На следующем этапе от эксперта требуется задание входных значений для системы нечеткого вывода, то есть определение значений вероятности реализации угрозы несанкционированного копирования (нарушения конфиденциальности ПДн) записей базы персональных данных, а также возможного ущерба в виде вещественных чисел.
Значения вероятности реализации угрозы могут формироваться на основе ответов эксперта на вопросы сформированных для каждой угрозы опросных листов.
В рассматриваемом примере эксперту предлагалось ответить на 20 вопросов, связанных с возникновением угрозы несанкционированного копирования (нарушения конфиденциальности ПДн) записей базы персональных данных нарушителем, являющим внутренним по отношению к организации – оператору ПДн. В итоге были получены результаты, представленные в таблице 2.7.
Таблица 2.7 – Результаты опроса эксперта
№ |
Вопрос |
Оценка |
Коэффициент значимости вопроса |
Вычисленное значение вопроса |
1 |
Определены ли роли персонала организации – оператора ПДн? |
0,5 |
0,06 |
0,03 |
2 |
Персонифицированы ли роли в организации? |
1 |
0,06 |
0,06 |
3 |
Установлена ли ответственность за исполнение ролей, зафиксированная в должностных инструкциях персонала? |
0,5 |
0,06 |
0,03 |
4 |
Отсутствуют ли в организации роли, концентрирующие в себе все или большинство наиболее важных функций, необходимых для реализации одной из целей организации? |
1 |
0,06 |
0,06 |
5 |
Отсутствует ли совмещение в одном лице ролей исполнителя и администратора, администратора и контролера, исполнителя и контролера и подобное? |
1 |
0,06 |
0,06 |
6 |
Все ли роли в организации обеспечены ресурсами, необходимыми и достаточными для их выполнения? |
0,5 |
0,06 |
0,03 |
7 |
Возложена ли на руководство обязанность по координации своевременности и качества выполнения сотрудниками своих ролей? |
0,5 |
0,05 |
0,025 |
Продолжение таблицы 2.7
№ |
Вопрос |
Оценка |
Коэффициент значимости вопроса |
Вычисленное значение вопроса |
8 |
Существуют ли в организации выделенные роли для контроля за качеством выполнения требований ИБ? |
0,25 |
0,05 |
0,0125 |
9 |
Выполняются ли при приеме на работу проверки идентичности личности, точности и полноты биографических фактов и заявляемой квалификации? |
0,25 |
0,04 |
0,01 |
10 |
Проводятся ли проверки профессиональных навыков и оценка профессиональной пригодности кандидатов при приеме на работу, связанную с защищаемыми данными? |
0,75 |
0,04 |
0,03 |
11 |
Имеются ли письменные обязательства сотрудников о соблюдении конфиденциальности всей защищаемой информации, доверенной или ставшей им известной в процессе выполнения служебных обязанностей? |
0,25 |
0,04 |
0,01 |
12 |
Обеспечивается ли компетентность персонала в области ИБ с помощью процессов обучения, осведомленности персонала, а также периодической проверки его компетентности в области ИБ? |
0,5 |
0,03 |
0,015 |
13 |
Определены ли в трудовых контрактах всех сотрудников обязанности по выполнению требований ИБ? |
0,5 |
0,03 |
0,015 |
Продолжение таблицы 2.7
№ |
Вопрос |
Оценка |
Коэффициент значимости вопроса |
Вычисленное значение вопроса |
14 |
Применяются ли в составе ИСПДн встроенные механизмы защиты информации и/или сертифицированные (или разрешенные к применению) средства защиты информации от НСД? |
0,75 |
0,06 |
0,045 |
15 |
Применяется ли парольная защита или другие средства аутентификации для всех ЭВМ и ЛВС, задействованных в технологических процессах? |
0,75 |
0,06 |
0,045 |
16 |
Проводится ли назначение/лишение полномочий по доступу сотрудников к ресурсам ЭВМ и/или ЛВС только с санкции руководителя функционального подразделения организации? |
0,5 |
0,05 |
0,025 |
17 |
Выполняется ли контроль доступа пользователей к ресурсам всех ЭВМ и/или ЛВС, задействованных в технологических процессах? |
0,5 |
0,05 |
0,025 |
18 |
Формируются ли уникальные идентификаторы для всех пользователей, задействованных в технологических процессах? |
0,5 |
0,05 |
0,025 |
19 |
Регистрируются ли действия сотрудников и пользователей, влияющие на ИБ, в специальном электронном журнале либо регистрация обеспечивается организационными и/или административными мерами? |
0,75 |
0,05 |
0,0375 |
Продолжение таблицы 2.7
№ |
Вопрос |
Оценка |
Коэффициент значимости вопроса |
Вычисленное значение вопроса |
20 |
Предоставлен ли доступ к электронному журналу регистрации действий пользователей и сотрудников только администратору ИБ и отсутствует ли возможность редактирования записей данного электронного журнала? |
0,5 |
0,04 |
0,02 |
Итоговая оценка |
0,61 |
|||
Таким образом, вероятность реализации угрозы оценена значением 0,61 балла, что в большей степени соответствует терму "средняя вероятность". Аналогичным образом экспертом проводится оценка возможного ущерба от реализации угрозы.
Пусть в данном случае ущерб оценен значением 3,8 балла, что в большей степени соответствует терму "низкий" и в меньшей степени – терму "средний".
Далее эксперту следует определить вещественные значения, наиболее соответствующие термам лингвистической переменной "УРОВЕНЬ РИСКА".
В рассматриваемом примере определены следующие значения:
- терм "Незначительный" – С1=0;
- терм "Низкий" – С2=0,2;
- терм "Ниже среднего" – С3=0,4;
- терм "Средний" – С4=0,5;
- терм "Выше среднего" – С5=0,6;
- терм "Высокий" – С6=0,8;
- терм "Очень высокий" – С7=0,9;
- терм "Чрезвычайно высокий" – С8=1.
Далее следует этап фаззификации оценок входных переменных.
Значения функций принадлежности для входных оценок x0=0,61 и y0=3,8 равны:
=0;
=0,0063;
=0,9896;
=0,1696;
=0;
=0,3566;
=0,1599;
=0;
=0.
Соответственно для каждого из 20 определенных в системе нечеткого вывода правил значения Ai(x0), Bi(y0) и Ci представлены в таблице 2.8.
Таблица 2.8 - Степени принадлежности для предпосылок каждого правила
Правило № |
Ai(x0) |
Bi(y0) |
Ci=zi |
1 |
0 |
0 |
0 |
2 |
0 |
0,3566 |
0 |
3 |
0 |
0,1599 |
0,2 |
4 |
0 |
0 |
0,4 |
5 |
0 |
0 |
0,5 |
6 |
0,0063 |
0 |
0 |
7 |
0,0063 |
0,3566 |
0,2 |
8 |
0,0063 |
0,1599 |
0,4 |
9 |
0,0063 |
0 |
0,5 |
10 |
0,0063 |
0 |
0,6 |
11 |
0,9896 |
0 |
0,2 |
Продолжение таблицы 2.8
Правило № |
Ai(x0) |
Bi(y0) |
Ci=zi |
12 |
0,9896 |
0,3566 |
0,4 |
13 |
0,9896 |
0,1599 |
0,5 |
14 |
0,9896 |
0 |
0,8 |
15 |
0,9896 |
0 |
0,9 |
16 |
0,1696 |
0 |
0,2 |
17 |
0,1696 |
0,3566 |
0,5 |
18 |
0,1696 |
0,1599 |
0,8 |
19 |
0,1696 |
0 |
0,9 |
20 |
0,1696 |
0 |
1 |
На следующем шаге находятся уровни "отсечения" для предпосылок каждого из правил (этап агрегирования):
;
;
;
;
;
;
;
;
;
;
;
;
;
;
;
;
;
;
;
;
На завершающем этапе проводится дефаззификация:
=0,454.
Таким образом, итоговая оценка риска равна 0,454 балла, что может соответствовать термам "Ниже среднего" и "Средний".
На рисунке 2.5 показана графическая интерпретация алгоритма нечеткого вывода Сугено в Fuzzy Logic Toolbox системы MATLAB.
Рисунок 2.5 – Графическое изображение механизма нечеткого вывода в Fuzzy Logic Toolbox системы MATLAB
Графический интерфейс Fuzzy Logic Toolbox позволяет получить график зависимости выходной величины от входных переменных. Таким образом, он обеспечивает возможность контролировать качество механизма вывода. Гладкий и монотонный график зависимости кривой вывода свидетельствует о достаточности и непротиворечивости используемых правил вывода.
График кривой вывода – зависимости величины риска от вероятности угрозы и возможного ущерба от ее реализации, построенный с помощью Fuzzy Logic Toolbox, представлен на рисунке 2.6.
Рисунок 2.6 - График зависимости величины риска от вероятности угрозы и возможного ущерба от ее реализации
В приложении Б приводятся результаты оценки риска для наиболее опасных угроз безопасности ПДн, обрабатываемых в ИСПДн.