Файл: лекции по ксзи.pdf

тельно  сравнивается  со  всеми  остальными.  Методологической 
основой  проведения  этой  работы  целесообразно  выбрать  метод, 
разработанный  Т.Л.Саати.

При  оценке  угроз  и  связанной  с  ними  важности  «ущербов» 

необходимо  прежде  всего  разрешить  проблему  измерения  вели­
чины возможного ущерба,  который может проявиться в результа­

те  раскрытия  (утечки)  информации.

Чтобы представить результат сравнения двух «ущербов»  в виде 

разумных  цифр,  требуется  глубокое  понимание  сравниваемых 

«ущербов»  и  в  особенности  того,  в  какой  степени  их  свойства 

влияют  на  интересы  предприятия.  Предполагается,  что  источни­
ком  суждений  является  опрос  экспертов,  осведомленных  в  дан­
ной области.

Группе экспертов предлагается оценить степень важности ущер­

бов  по  их  влиянию  на  интересы  предприятия  методом  парного 
сравнения и заполнить матрицу парных сравнений 

А = (а0).

  Каж­

дый  эксперт,  пользуясь  вербально-числовой  шкалой,  заполняет 
матрицу  парных сравнений:

А = /ay/,  і=

  1, 

Q,

где 

ai}

 — результат сравнения  относительной важности  /-го  и у-го 

«ущерба».

Параметры  ^  назначаются  в  соответствии  с  вербально-число­

вой шкалой,  приведенной  в табл.  20.3.

Основная  цель  применения  вербальной  числовой  шкалы  со­

стоит в  том,  чтобы  облегчить  задачу привлекаемым  к  экспертизе 

специалистам  и обеспечить единое толкование  оценок отдельны­
ми  экспертами.

Важности  ущербов  определяются  на  основе  вычисления  мно­

жества  собственных  векторов  для  каждой  матрицы.  Вычисление 
собственных  векторов  —  не  очень  сложная  задача,  однако  может 

потребовать  довольно  много  времени.  К  счастью,  имеются  не­
сложные  пути  получения  хорошего  приближения к приоритетам. 
Одним из наилучших путей является геометрическое среднее. Это 

можно сделать,  перемножая элементы  в каждой строчке  и  извле­

кая  корни 

п

-й  степени,  где 

п

  —  число  элементов.  Полученный 

таким  образом  столбец  чисел  нормализуется  делением  каждого 
числа на  сумму всех чисел.

Пример  парного  сравнения  важности  ущербов  представлен  в 

табл.  20.4.

Все оценки парных сравнений подвержены погрешностям,  ко­

торые  могут  привести  к  несогласованным  выводам.  Степень  со­

гласованности  суждений  экспертов  оценивается индексом  согла­
сованности  (ИС).

В  каждой  матрице  ИС  может  быть  приближенно  вычислен 

следующим образом.  Сначала суммируется каждый столбец суж-

Т а б л и ц а   20.3.  Шкала  сравнительной  оценки  важности  угроз

(ущербов)

Величина

относительной

важности

Определение

Объяснение

1

Равная  важность

Равное  влияние двух 
видов ущерба на безопас­
ность предприятия

3

Умеренное  превосходство 
одного над другим

Опыт и  суждения  позво­

ляют сделать вывод о не­

много  большем  воздей­
ствии одного ущерба 
по сравнению  с другим

5

Существенное или сильное 
превосходство

Опыт и суждения  позво­

ляют вывод о сильном 

воздействии одного ущер­
ба по сравнению с другим

7

Значительное
превосходство

Одному виду ущерба 

дается  настолько сильное 

превосходство,  что он 
становится  практически 
значительным

9

Очень сильное 
превосходство

Очевидность превосход­
ства одного  вида ущерба 
над другим  подтвержда­
ется наиболее  сильно

2 , 4 , 6 , 8

Промежуточные  решения 
между двумя  соседними

Применяются  в  компро­
миссном случае

Величины,

обратные
приведенным
выше

Если при сравнении одного 

вида ущерба с другим  полу­

чено  одно  из вышеуказан­

ных чисел  (например,  ве­

личины  5), то  при  сравне­

нии  второго  вида ущерба 

с  первым  получаем обрат­
ную  величину(например, 
1/5)

дений,  затем  сумма  первого  столбца  умножается  на  величину 
первой  компоненты  нормализованного  вектора  приоритетов, 
сумма  второго  столбца  —  на  вторую  компоненту  и  т.д.  Затем 
полученные  числа  суммируются.  Таким  образом  можно  полу­
чить  величину,  обозначенную 

X.

  Для  индекса  согласованности 

имеем  ИС =  (Я. -  

п)/(п

 -   1),  где 

п

  —  число сравниваемых элемен­

тов.  Для  обратно  симметричной  матрицы  всегда 

X >  п.

Т а б л и ц а   20.4. 

Матрица  парных  сравнений

Ущерб

и2

Оценка компонент 

собственного вектора

Нормализованный 

результат оценки

Ѵ\

1

6

8

3,63

0,74

U:

1/6

1

4

0,87

0,18

1/8

1/4

1

0,31

0,07

Сравним  эту  величину  с  той,  которая  получилась  бы  при 

случайном  выборе  количественных  суждений  из  шкалы  1/9,  1/8, 

1/7,...,  1,  2,..., 9,  но при образовании обратно симметричной мат­

рицы.  Ниже  даны  средние  согласованности  для  случайных  мат­

риц разного  порядка:

Размер  матрицы............   1

2

3

4

5

6

7

8 9

Случайная  согласо­
ванность..........................   0  0,58  0,9  1,12  1,24  1,32  1,41  1,45  1,49

Если  разделить  ИС  на  число,  соответствующее  случайной  со­

гласованности матрицы того же порядка,  получим отношение со­
гласованности (ОС).  Величина ОС должна быть порядка  10 %  или 
менее,  чтобы быть приемлемой.  В некоторых случаях можно допу­
стить  20%,  но  не  более.  Если  ОС  выходит  из  этих  пределов,  то 

участникам  нужно исследовать задачу и проверить свои  суждения.

Для  рассматриваемого  примера имеем:

X

 = (1 +  1/6 +  1/8) • 0,75 + (6 +  1 +  1/4)  0,18 + (8 + 4+  1)- 0,07 = 3,19; 

ИС =  (3,19  -   3)/(3  -   1)  =  0,095;

ОС = 0,095/0,58  =  0,16  (16%).

Полученная  величина  ОС  меньше  20%,  следовательно,  согла­

сованность  экспертов достаточная.

Полезным  способом  исследования  большого  числа  угроз,  по­

зволяющим  существенно  сократить  объем  вычислений,  является 
группирование их в классы.  После анализа классов угроз безопас­
ности  предприятия  их  элементы  попарно  сравниваются  между 

собой  по  величине  ущерба  по  относительной  важности  в  этом 
классе.

В общем случае  величина ущерба от реализации  отдельной уг­

розы  безопасности  предприятия  зависит  от  внешних  и  внутрен­
них условий развития  предприятия.  Вследствие этого сопоставле­
ние угроз должно проводиться для возможных сценариев,  причем 

для  каждого  формируется  свой  ряд  «весов»  угроз  с  тем,  чтобы  в 
дальнейшем  при  определении  совокупного  ущерба  от  распро­

странения  оцениваемого  сведения для  определения  степени  кон­
фиденциальности  выбрать  максимальный  ущерб  из  множества 
совокупных  ущербов,  соответствующих  различным  рассмотрен­

ным  сценариям  развития  предприятия.

Предполагается,  что  для  оценки  каждого  подмножества  угроз 

выбирается  группа экспертов,  знакомых со сравниваемыми  угро­
зами  и  их  влиянием  на  безопасность  предприятия.

После определения векторов приоритетов всех уровней иерархии 

угроз рассчитывается  вектор приоритетов угроз нижнего уровня.

Расчет  величин  возможных  ущербов  в  результате  проявления 

отдельных  угроз  безопасности  предприятия  может  быть  получен 
также  с  использованием  имеющихся  математических  моделей, 
например  рассмотренной  в  разд.  20.3.1.  Если  в  обоих  случаях  (с 

помощью экспертов и на моделях)  не были допущены грубые про­
счеты, то полученные оценки нельзя отнести  к категории взаимо­
исключающих результатов.  Наоборот, оба подхода, дополняя друг 

друга  на  независимой  основе,  должны  обеспечить  более  объек­
тивную  выработку требуемых  рекомендаций.

Не  все  из  оцененных  по  величине  ущерба  угроз  безопасности 

предприятия  могут  проявляться  при  раскрытии  того  или  иного 
сведения.  Оценка возможности возникновения угроз в результате 
раскрытия  или утечки тех  или  иных сведений  может быть  прове­

дена  с  помощью  экспертов,  хорошо  понимающих  ценность  этой 

информации и связь таких сведений с угрозами безопасности пред­
приятия.  Для  однозначного  представления  оценок  используется 
специальная  вербально-числовая  шкала.

Степень связи «сведение — угроза» характеризует «вероятность» 

проявления  оцениваемой  угрозы  безопасности  предприятия  при 

раскрытии  (утечке)  соответствующего  сведения.  Оценку  степени 
связи  «сведение—угроза»  необходимо  проводить  для  различных 

моментов времени. Указание момента времени и периода прогно­
за  оценки  степени  связи  «сведение —угроза»  является  важным 

пунктом  при  проведении  экспертизы,  так  как  возможность  про­

явления  угроз  при  раскрытии  того  или  иного  сведения  является 

случайной  величиной  и  зависит от многих факторов,  в том числе 
от складывающейся в стране и  мире политической и экономичес­

кой  ситуации.

Оценки  степени  или  возможности  нанесения  ущерба безопас­

ности предприятия в результате утечки отдельных сведений субъек­
тивны  в том смысле, что два человека могут приписать различные 
числа  одному  и  тому  же  возможному  исходу.  Однако  поскольку 
эти  оценки  базируются  на  информации,  опыте  и  анализе  объек­
тивной  действительности,  предполагается,  что  при  прочих  рав­

ных  условиях  различие  между  ними  не  столь  существенно  и  для 

подготовки  решений  использовать  их  нельзя.

В  результате  проведенных  оценок  и  обработки  полученных 

данных формируется  матрица  «сведения—угрозы»,  элементы  ко­
торой  характеризуют  возможность  проявления  угроз  безопасно­

сти  предприятия  в  результате  преждевременного  раскрытия  ин­
формации.

Результатами  проведенных оценок являются вектор  приорите­

тов  важности угроз  безопасности  предприятия и результирующая 
матрица суждений экспертов о  степени их проявления  при преж­

девременном  раскрытии  оцениваемых  сведений.

Перед нами  стоит  задача  агрегирования  полученных оценок в 

единую  целевую  функцию,  в  результате  которого  каждому сведе­
нию может быть присвоен рейтинг, определяющий не только ранг 
сведения,  но  и  «расстояние»  между  ними.

Расчет первичного рейтинга каждого сведения может быть про­

веден  различными  способами.  Рассмотрим  один,  наиболее  про­
стой способ,  который иллюстрирует идею метода количественной 

обработки  данных,  полученных  на  предыдущем  этапе.  По  этому 

способу  полученные  оценки для  отдельного  сведения  (категории 

сведений)  определяются  по  формуле

м

rim(Ti) =  ^ k im(TJ)Wm,

(20.10)

ш=1

где 

kjm(Tj)

  —  медианное  значение  степени  связи 

S,

  сведения  с

угрозой 

ут\  Wm —

 значение  степени  важности  угрозы 

у т;  г,(

 7})  — 

рейтинг сведения 

Sh

 рассчитанный количественным способом для 

момента  времени  пересмотра  степени  конфиденциальности  7}; 

М

 —  количество угроз  безопасности  предприятия.

Таким образом,  каждому сведению присваивается его рейтинг, 

соответствующий  расчету ценности данного сведения  по  величи­
не  интегрированного  ущерба.

Рейтинг  сведения  является  относительной  характеристикой 

ценности  сведения  и  показывает степень различия  одного  сведе­
ния  относительно  других  по  величине  ущерба,  который  может 
быть нанесен в результате раскрытия сведения.  По величине рей­

тинга сведения может быть установлена степень его конфиденци­
альности.  Для  этого  множество  всех  рассматриваемых  сведений 
отображается  на  соответствующей  шкале  конфиденциальности, 
представляющей  ранжированное  множество  значений  рейтингов 
сведений, разбитых на интервалы категорий конфиденциальности.

В  конечном  итоге  наша  цель  заключается  в  нахождении  гло­

бального упорядочения сведений по величине их первичного рей­
тинга,  характеризующего  величину  возможного  ущерба  при  рас­
крытии  оцениваемого  сведения.

Определение границ  перехода  категорий  конфиденциальности 

осуществляется  на основе рейтингов сведений,  определенных для 

данной степени конфиденциальности как «эталонные». Для этого 

каждый  эксперт  на  основе  качественных  характеристик  катего­

рий конфиденциальности и имеющегося опыта работы указывает 

из списка оцениваемых им сведений те, в степени конфиденциаль­

ности  которых у него  нет сомнений.