- •Модели риск-анализа социотехнических систем
- •1. Исследование и разработка вербальных и логико-лингвистических моделей социотехнических систем
- •1.1. Определение понятий «информационное пространство» и «социотехническая система»
- •1.2. Анализ взаимосвязи социотехнической системы и информационного пространства
- •1.3. Техническая и социальная подсистемы социотехнической системы
- •1.4. Информационные операции и атаки
- •1.5. Обоснование необходимости управления региональной информационной безопасностью
- •1.6. Опасности социотехнических систем
- •1.6.1. Аксиомы о потенциальной опасности социотехнических систем
- •1.6.2. Опасности в информационно-психологическом пространстве
- •1.6.3. Опасности в информационно-кибернетическом пространстве
- •1.6.4. «Опасности» регионального информационного пространства
- •1.6.5. Способы реализации информационных операций и атак
- •1.6.6. Основные задачи обеспечения противодействия информационным операциям и атакам на уровне региона
- •1.6.7. Основные направления деятельности по обеспечению информационной безопасности в регионе
- •1.6.8. Классификация опасностей в социотехнической системе
- •1.6.8.1. Квантификация опасностей
- •1.6.8.2. Обобщенная модель опасности социотехнической системы
- •1.6.9. Ранжирование степени опасности источников угроз безопасности социотехнической системы
- •1.7. Безопасность социотехнических систем
- •1.8. Информационные конфликты в социотехнических системах
- •1.9. Информационная защищенность социотехнической системы
- •1.9.1. Информационная защищенность технической подсистемы социотехнической системы
- •1.9.2. Информационная защищенность социальной подсистемы социотехнической системы
- •1.10. Классификация угроз
- •1.11. Оценка вероятностей реализации угроз безопасности информации в социотехнических системах на основе лингвистических переменных
- •1.12. Ущерб в в социотехнической системе при реализации информационных операций и атак
- •1.12.1. Совокупный ущерб
- •1.12.2. Классификация ущерба
- •1.12.3. Обобщенная модель ущерба
- •1.13. Риск в в социотехнической системе при реализации информационных операций и атак
- •1.13.1. Развитие риска
- •1.13.2. Классификация риска
- •1.13.3. Моделирование риска
- •2. Методическое обеспечение риск-анализа региональных социотехнических систем
- •2.1. Понятийный аппарат
- •2.2. Ущербы и риски систем
- •2.3. Качественный подход к оценке рисков в социотехнической системе
- •2.4. Оценка рисков в в социотехнической системе экспертными методами оценки субъективной вероятности
- •2.5. Подходы к определению мер риска для различных распределений вероятности ущерба
- •2.6. Методика оценки риска и защищенности для непрерывного и дискретного видов распределения вероятности ущерба
- •2.7. Применение аппарата теории нечетких множеств при оценке риска и защищенности для множества угроз
- •2.8. Статистические методы оценки закона распределения ущерба от реализации угрозы безопасности информации
- •2.8.1. Оценка рисков безопасности систем сотовой связи
- •2.8.2. Оценка рисков безопасности компьютерных систем
- •2.9. Риск – анализ поражения компьютерных систем
- •2.10. Оценка рисков и защищенности систем сотовой связи с позиции доступности информации
- •2.10.1. Анализ статистических данных функционирования системы сотовой связи и выявление функции распределения случайной величины значения ущерба
- •2.10.2. Расчет интегральных и усредненных значений рисков на соответствующих интервалах и защищенности системы
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
2.2. Ущербы и риски систем
Пусть Х – множество входных и внутренних переменных состояния (данных) системы, Y – множество ее выходных переменных состояния. Пусть система описывается функцией F: X→Y [1]. Поскольку данные подвергаются информационным операциям и атакам (ИОА), то вместо хХ возможно использование данных . Для оценки введем функцию ρ(y, ) при уY, , которая показывает величину ущерба, понесенного из-за принятия решения вместо y. В качестве ρ можно использовать метрику в Y. Ущерб, вызванный искажением входных данных, есть ρ (F(x), F( )).
Пример: Рассмотрим мошенническую операцию, когда злоумышленник пытается реализовать несанкционированный перевод денег на свой счет. В этом случае обычно пытаются изменить оператор F (скажем, его адресную составляющую). Тогда ущерб будет равен разности остатков на счету до и после операции
u= ρ[F(x), (x)]=Y- . (2.15)
Возможно также изменение входных данных , ведущее к аналогичному результату.
Метрикой в некотором множестве Y называется функция ρ: Y Y →R1, такая, что при любых x,y,zY a) ρ(x,y)≥0; б) ρ(x,y)=0 тогда и только тогда, когда x=y; в) ρ(x,y)= ρ(y,x); г) ρ(x,y)+ ρ(y,z) ≥ ρ(х,z).
В классической теории дифференциальных уравнений с каждой точкой хХ можно связать область допустимых значений G(x), в которую входят все те , которые могут рассматриваться вместо х без существенного нарушения безопасности анализируемой системы. Тогда максимально допустимый ущерб есть точная верхняя грань:
U[x,G(x)]= , (2.16)
Число α называется точной верхней гранью некоторого числового множества Х( ), если: а) α не меньше любого хХ и б) для любого β< α существует по крайней мере одно х(β) Х, такое, что х(β)> β.
Пусть τ – метрика в Х и в качестве G(x) можно рассматривать шар { :τ(x, )≤r} некоторого радиуса r безопасности с центром в х. Чем радиус шара r меньше, тем входные данные ближе к штатному их значению.
Представляется естественным изучить поведение модели при различных радиусах безопасности и особенно при r→0. Несколько обобщая, будем считать, что с каждой точкой хХ связано семейство областей допустимых ущербов Gr(x), где r – произвольное положительное число. Наряду с максимально возможным ущербом U[x, G(x)], определенным выше, рассмотрим:
U(x) = . (2.17)
Если X и Y– совокупности действительных чисел, то ρ(y, )= |y- |, τ(x, )=|x- |. В этом случае U(x)=0 тогда и только тогда, когда функция F непрерывна в точке x. Таким образом, понятие непрерывности есть частный случай обсуждаемого понятия безопасности.
Систему будем считать безопасной в точке х, если U(x)=0. Ее функция F называется ε-безопасной, если U(x)≤ ε в допуске ε (пороге безопасности).
Таким образом, имеются два основных элемента – функция F и область допустимых значений G. Простейшая задача – изучение опасности данной F при данной G в двух вариантах: при заданной G найти все безопасные F и, наоборот, по заданной F описать все G, при которых F является безопасной.
Пример: Допустим, что проводится вирусная атака. В этом случае злоумышленник подмешивает во входные данные некую фьючерно - активную составляющую
=хγх(t,A), (2.18)
зависящую от времени t и неких управляющих установок А. «Пожирающий» память вирус будет уничтожать Y
→ , | |<|y|. (2.19)
Теоретически х и у могут быть ликвидированы. Фактически γх модифицирует F, параллельно (под внешним управлением А или самозапуском) выполняя операции стирания либо другие дезорганизующие (повышающие энтропию атакуемой системы) операции.
В стохастических моделях при реализации ИОА вместо детерминированных входных и промежуточных данных х приходится иметь дело со случайными величинами = (ω), приводящими к случайным потерям ρ [F(x), F( (ω))]. Чтобы характеризовать потери одним числом, рассматривают либо математическое ожидание М ущерба ρ
uср=Mρ[F(x), F( )], (2.20)
либо его квантиль u0, определяемую из условия равенства вероятности P заданной величине α
P{ ρ [F(x), F( )]≤u0}= α. (2.21)
Величины, задаваемые данными формулами, являются некоторыми аналогами ущерба. Очевидно, интерес представляют и другие оценки (моды, медианы и т.п.), однако принципиальную важность имеет такая характеристика, как риск. Именно он характеризует шансы системы с точки зрения ее безопасности, поэтому фундаментальные исследования в данном направлении составляют особый научный интерес.
Кроме того, принципиально возможны три трактовки ущерба:
- параметрический, когда u=ρ[F(x),F( )];
- алгоритмический, когда u= ρ[F(x), (x)];
- гибридный, когда u= ρ[F(x), ( )].
Научно-практический интерес представляют материальные оценки метрики ρ для различных социально-экономических и организационно-правовых проявлений ИОА.
Пример: При мошеннических операциях с банковскими картами задача злоумышленника сводится к введению верного кода клиента и нужной суммы, не вызывающих подозрений у банка. Т.е. вводятся верные исходные данные х. Успех злоумышленника в данном случае будет равен ущербу банка
u=ρ[F(x),]=Y. (2.22)
Отклонения выходных данных, также как и входных, здесь отсутствуют = =, ибо эквивалентны запрошенной и полученной злоумышленником денежной сумме.
Вместе с тем, исходные данные для выполнения функции F кроме кода клиента могут быть охарактеризованы рядом других параметров: х[личность запрашивающего, время запроса, место запроса, сумма запроса,…], которые в своей совокупности способны стать признаками мошеннической операции и основанием для невыполнения запроса .
Многообразие сценариев, стратегий и тактик ИОА открывает творческий простор для формализации в данном направлении.