Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение Г
(справочное)
Методические указания
по прогнозированию рисков для процесса управления информацией системы
Г.1 Общие положения
Г.1.1 Настоящие методические указания охватывают типовые действия при прогнозировании основных количественных показателей рисков:
- риска нарушения надежности реализации процесса управления информацией системы без учета требований по защите информации;
- риска нарушения требований по защите информации в процессе управления информацией системы;
- интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации.
При этом риски характеризуют прогнозными вероятностными значениями в сопоставлении с возможными оценками ущербов.
Примечание - Для разработки самостоятельной методики по оценке ущербов согласно приложению Е учитывают специфику систем (см., например, ГОСТ Р 22.10.01, ГОСТ Р 54145).
Г.1.2 Прогнозирование рисков осуществляют с использованием формализованного представления реальной системы в виде моделируемой системы.
Г.1.3 Для прогнозирования рисков определению подлежат:
- состав выходных результатов и выполняемых действий процесса управления информацией системы и используемых при этом активов;
- перечень потенциальных угроз и возможные сценарии возникновения и развития угроз для выходных результатов, выполняемых действий процесса управления информацией системы и используемых при этом активов;
- технологии противодействия угрозам, используемые в процессе управления информацией системы в заданной среде ее применения;
- формализованные требования к качеству информации, используемой в системе (включая требования к надежности и своевременности представления запрашиваемой и выдаваемой принудительно информации, полноте, достоверности и безопасности используемой информации).
Примечание - Для более детального понимания специфики системы при прогнозировании рисков см., например, ГОСТ Р 58494, где в приложении к системе дистанционного контроля промышленной безопасности в опасном производстве указаны примеры объектов, выходных результатов, выполняемых действий, перечень потенциальных угроз.
Г.1.4 В качестве мер противодействия угрозам, способных при их применении снизить расчетные риски, могут выступать более частая (по сравнению со временем развития угроз) системная диагностика или контроль с восстановлением нормального функционирования моделируемой системы.
Г.1.5 Обоснованное определение сбалансированных системных мер, предупреждающих возникновение ущербов при ограничениях на ресурсы и допустимые риски, а также оценка и обоснование эффективных кратко-, средне- и долгосрочных планов по обеспечению безопасности осуществляют путем решения самостоятельных оптимизационных задач, использующих расчетные значения прогнозируемых рисков (см. рекомендуемый перечень методик в приложении Е).
Примечание - Рекомендации по задачам системного анализа приведены в ГОСТ Р 59349.
Г.1.6 По мере решения на практике задач анализа и оптимизации для различных объектов и логических структур моделируемой системы создают базы знаний, содержащие варианты решения типовых задач сбалансированного управления рисками.
Примечание - Примерами практического применения общих методических положений к системам дистанционного контроля в опасном производстве могут служить положения ГОСТ Р 58494-2019 (приложения А-Е).
Г.2 Цель прогнозирования рисков
Основной целью прогнозирования рисков является установление степени вероятного нарушения требований по защите информации и/или нарушения надежности реализации исследуемого процесса управления информацией системы с учетом требований по защите информации за заданный период прогноза. Прогнозирование рисков осуществляется в интересах решения определенных задач системного анализа (см. раздел 7). Конкретные практические цели прогнозирования рисков устанавливают заказчик системного анализа и/или аналитик моделируемой системы при выполнении работ системной инженерии.
Г.3 Положения по формализации
Г.3.1 Для решения задач системного анализа в качестве моделируемой системы могут выступать: множество выходных результатов, множество действий рассматриваемого процесса или иные сущности, объединенные целевым назначением при моделировании.
Г.3.2 Для каждого из элементов моделируемой системы в зависимости от поставленных целей могут решаться свои задачи системного анализа (см. раздел 7). В общем случае моделируемую систему представляют либо в виде "черного ящика" (см. В.2.2 и В.2.3, В.3.1 - В.3.9), либо в виде сложной системы, элементы которой объединяются последовательно или параллельно (см. В.2.4, В.3.10). При этом целостность моделируемой системы (системного элемента) в течение задаваемого периода прогноза означает такое состояние этой системы (системного элемента), которое в течение этого периода прогноза отвечает ее целевому назначению. Примеры декомпозиции сложной системы до составных элементов представлены на рисунках Г.1, Г.2. Для каждого элемента могут оказаться характерными свои разнородные угрозы и применяемые технологии контроля и восстановления нарушаемой целостности.
Рисунок Г.1 - Пример моделируемой системы, представляющей собой множество выходных результатов. Системный элемент - конкретный выходной результат (всего I элементов)
Рисунок Г.2 - Пример моделируемой системы, представляющей собой множество действий процесса. Системный элемент - конкретное действие (последнее K-е действие задублировано)
Г.3.3 Для каждого из составляющих элементов и для моделируемой системы в целом вводится пространство элементарных событий (состояний) с учетом логических взаимосвязей элементов условиями "И", "ИЛИ".
Например, в приложении к прогнозированию риска нарушения требований по защите информации пространство элементарных событий на временной оси может быть формально определено двумя основными состояниями:
- "Выполнение требований по защите информации в процессе управления информацией системы обеспечено", если в течение всего периода прогноза обеспечено выполнение определенных требований по защите информации, т.е. с точки зрения математического моделирования их невыполнение способно привести к недопустимому ущербу;
- "Выполнение требований по защите информации в процессе управления информацией системы нарушено" - в противном случае.
В приложении к прогнозированию интегрального риска нарушения реализации процесса с учетом требований по защите информации пространство элементарных событий на временной оси может быть формально определено другими двумя основными состояниями:
- "Надежность реализации процесса управления информацией системы "И" выполнение требований по защите информации в системе обеспечены", если в течение всего периода прогноза обеспечены надежность выполнения определенных действий процесса для получения выходных результатов "И" выполнение определенных требований по защите информации;
- "Надежность реализации процесса управления информацией системы "И"/"ИЛИ" выполнение требований по защите информации в системе нарушено" - в противном случае.
Г.3.4 В общем случае с применением 1-го способа по В.2.4 возможно расширение или переименование самих элементарных событий (состояний), главное, чтобы они формировали полное множество аналогично множествам, приведенным в настоящем подразделе в качестве примеров.
В Г.7 приведены демонстрационные примеры прогнозирования рисков и решения некоторых вопросов системного анализа с использованием получаемых результатов прогнозирования.
Г.4 Показатели, исходные данные и расчетные соотношения
Применительно к моделируемой системе, которая может быть представлена в виде "черного ящика" (см. В.2.2, В.2.3, В.3) или сложной логической структуры (см. В.2.4, В.3), расчетными показателями являются:
R надежн(Т зад) - Риск нарушения надежности реализации процесса управления информацией системы в течение задаваемого периода прогноза Т зад без учета требований по защите информации;
R наруш(Т зад) - Риск нарушения требований по защите информации в процессе управления информацией системы в течение задаваемого периода прогноза Т зад;
R интегр(Т зад) - интегральный риск нарушения реализации процесса управления информацией системы в течение задаваемого периода прогноза Т зад с учетом требований по защите информации.
Применительно к моделируемой системе исходными данными являются данные, необходимые для проведения расчетов по моделям и рекомендациям В.2, В.3.
Г.5 Порядок прогнозирования рисков
Для прогнозирования рисков осуществляют следующие шаги.
Шаг 1. Устанавливают анализируемые объекты и определяют рассматриваемую и моделируемые системы для прогнозирования рисков. Действия осуществляют согласно Г.1.
Шаг 2. Устанавливают конкретные цели прогнозирования. Действия осуществляют согласно Г.2.
Шаг 3. Формируют перечень существенных угроз, критичных с точки зрения недопустимого потенциального ущерба (см. также ГОСТ Р 59346, ГОСТ Р 59349). Принимают решение о представлении моделируемой системы в виде "черного ящика" или в виде сложной структуры, декомпозируемой до составных элементов. Формируют пространство элементарных состояний для каждого элемента и моделируемой системы в целом. Действия осуществляют согласно Г.3.
Шаг 4. Выбирают расчетные показатели (см. Г.4). Выбирают подходящие математические модели и методы повышения их адекватности из В.2, В.3. Разрабатывают необходимые методики системного анализа, обеспечивающие более детальный учет особенностей процесса управления информацией системы (см. приложение Е). Осуществляют расчет выбранных показателей с использованием соответствующих соотношений (В.1) - (В.33) и иных рекомендаций приложения В.
Шаг 5. Результаты расчетов применяют для достижения поставленных целей (см. Г.2).
Г.6 Обработка и использование результатов прогнозирования рисков
Результаты прогнозирования рисков должны быть удобны для обработки заказчиком системного анализа и/или аналитиком моделируемой системы. Результаты расчетов представляются в виде гистограмм, графиков и/или таблиц и/или в ином виде, позволяющем анализировать зависимости рисков от изменения значений исходных данных при решении задач системного анализа.
Результаты расчетов подлежат использованию для решения задач системного анализа - см. раздел 7, Г.2, приложение Е и ГОСТ Р 59349.
Г.7 Примеры
Г.7.1 Приведенные примеры демонстрируют отдельные аналитические возможности методических указаний. Пусть руководство некоторой угольной шахты, предпринимая меры по управлению информацией для совершенствования бизнеса, повышения уровня промышленной и информационной безопасности производства (см. [1] - [3], [9] - [12], [15] - [17]) приняло решение о создании СДК. Именно СДК далее будет позиционироваться как моделируемая система в рамках процесса управления информацией. В общем случае применение СДК нацелено на оперативное выявление и оповещение ответственных лиц о предпосылках возникновения либо о возникновении опасных ситуаций на производственных объектах, удаленную информационно-аналитическую поддержку в интересах обеспечения нормальных условий функционирования производственных объектов и реализации на предприятиях риск-ориентированного подхода. Такие сущности, как охваченные дистанционным контролем объекты и непосредственно процессы функционирования СДК (обеспечивающие качество используемой информации) характеризуют моделируемые в примерах системы.
С учетом возможных ущербов цели прогнозирования рисков сформулированы руководством шахты следующим образом:
- количественно определить критичные условия в процессе управления информацией СДК;
- выработать рекомендации по обеспечению нормальных условий функционирования опасных производственных объектов на основе рационального применения СДК;
Тем самым выполнены шаги 1, 2 настоящих методических указаний.
Нижеследующие примеры посвящены оценке свойств процесса управления информацией системы, характеризующих способность выполнить процесс в заданных условиях реализации с обеспечением надежности и своевременности предоставления, полноты, достоверности и безопасности используемой информации и соблюдением требований по защите информации в СДК.
Шаги 3, 4 и 5 настоящей методики выполняются далее в рамках каждого из примеров.
Учитывая, что риск нарушения требований по защите информации является составной частью интегрального риска, демонстрация примеров проведена в последовательности, соответствующей последовательности расчетных показателей, приведенных в моделях В.3. В примерах 1-10 (см Г.7.2 - Г.7.11) продемонстрированы подходы к оценке:
- вероятности надежного предоставления информации в системе в течение заданного периода прогноза Р над предст(Т зад), определяемой по модели В.3.2;
- относительной доли своевременно обработанных запросов тех типов, для которых выполняются требования по своевременности С своевр, определяемой по модели В.3.3;
- вероятности того, что в системе полностью отражены состояния всех реально существующих критичных объектов и явлений Р полн, определяемой по модели В.3.4;
- вероятности сохранения актуальности информации на момент ее использования Р акт, определяемой по модели В.3.5;
- вероятности отсутствия ошибок в информации после ее контроля Р безош, определяемой по модели В.3.6;
- вероятности получения корректных результатов обработки информации Р корр, определяемой по модели В.3.7;
- вероятности безошибочных действий пользователей и персонала системы в течение заданного периода прогноза Р чел(Т зад), определяемой по модели В.3.8;
- вероятности отсутствия опасного программно-технического воздействия на систему в течение заданного периода прогноза Р возд(Т зад), определяемой по модели В.3.9.2;
- вероятности обеспечения защищенности активов системы от НСД Р НСД, определяемой по модели В.3.9.3;
- вероятности сохранения конфиденциальности используемой информации в течение периода объективной конфиденциальности Р конф(Т конф), определяемой по модели В.3.9.4.
В последнем примере (пример 11, см. Г.7.12) эти результаты используются для расчета интегрального риска нарушения реализации процесса управления информацией с учетом требований по защите информации по формулам из В.3.10.
Г.7.2 Пример 1 демонстрирует подход к оценке вероятности надежного предоставления информации в СДК в течение заданного периода прогноза Р над предст(Т зад).
Объектами анализа являются комплекс главных вентиляторных установок, комплекс модульных дегазационных установок и газоотсасывающая установка шахты, охваченные функциональными возможностями СДК и являющиеся источниками информации для последующей обработки и использования по назначению (см. структуру сложной моделируемой системы на рисунке Г.3). Возможные ущербы при отказах оборудования в моделируемой системе связаны:
- с опасностью аварии из-за возгорания метана и возможного пожара на шахте;
- с простоями производства, что ведет к недополучению дохода предприятия из-за вынужденных простоев шахты.
Надежность предоставления используемой информации на шахте определяется надежностью функционирования средств СДК совместно с контролируемым оборудованием. Это означает, что надежность предоставления информации в СДК должна быть выше, чем надежность функционирования контролируемого оборудования.
Рисунок Г.3 - Моделируемая система, логически структурированная до составных объектов анализа, охваченных функциональными возможностями СДК
Логическая интерпретация событий для моделируемой системы следующая: надежность функционирования моделируемой системы обеспечена, когда обеспечена надежность функционирования объектов, охваченных функциональными возможностями СДК:
- "И" ГВУ (в том числе ГВУ 1 "И" ГВУ 2), имеющих различное местоположение в комплексе ГВУ и отличающихся характеристиками по безотказности;
- "И" МДУ (в том числе "И" МДУ 1, "И" МДУ 2, "И" МДУ 3), также имеющих различное местоположение в комплексе МДУ и отличающихся характеристиками по безотказности;
- "И" газоотсасывающей установки,
В свою очередь каждая из ГВУ (т.е. ГВУ 1 и ГВУ 2) находится в работоспособном состоянии (т.е. признается функционирующей надежно), если "ИЛИ" вентилятор 1, "ИЛИ" вентилятор 2 находится в работоспособном состоянии (это достигается резервированием вентиляторов). Каждая из МДУ (т.е. МДУ 1 и МДУ 2) находится в работоспособном состоянии (т.е. признается функционирующей надежно), если "ИЛИ" насос 1, "ИЛИ" насос 2 в их составе находится в работоспособном состоянии (это достигается резервированием насосов). В МДУ 3 резервный насос отсутствует (см. рисунок Г.3).
Исходные данные для моделирования отражены в таблице Г.1.
Таблица Г.1 - Исходные данные для оценки вероятности надежного предоставления информации в СДК в течение заданного периода прогноза
Исходные данные |
Значения и комментарии |
|||||
Комплекс ГВУ |
Комплекс МДУ |
Газоотсасывающая установка |
||||
ГВУ 1 (для каждого вентилятора) |
ГВУ 2 (для каждого вентилятора) |
МДУ 1 (для каждого насоса) |
МДУ 2 (для каждого насоса) |
МДУ 3 |
||
- частота возникновения источников угроз (например, выхода значений контролируемых параметров за границы рабочего диапазона) |
1 раз в месяц |
1 раз в 2 месяца (т.е. безотказность каждого вентилятора в 2 раза выше по сравнению с ГВУ 1) |
1 раз в 3 месяца (т.е. безотказность каждого насоса в 3 раза выше по сравнению с ГВУ 1) |
1 раз в 6 месяцев (т.е. безотказность каждого насоса в 2 раза выше по сравнению с МДУ 1) |
1 раз в год (т.е. в 4 раза выше по сравнению с МДУ 1) |
1 раз в 2 года (т.е. в 24 раза выше по сравнению с ГВУ 1 и в 8 раз выше по сравнению с МДУ 1) |
- среднее время развития угроз с момента возникновения источников угроз до нарушения (например, выхода значений контролируемых параметров за границы нормативного диапазона) |
30 минут (оценка среднего времени до возгорания метана после отказа ГВУ, МДУ или газоотсасывающей установки) |
|||||
Т меж - среднее время между окончанием предыдущей и началом очередной диагностики |
5 минут (с учетом переключения внимания диспетчера на выполнение разных функций) |
|||||
Т диаг - среднее время диагностики |
1 минута (включая необходимую отдачу распоряжений) |
|||||
Т восст - среднее время восстановления после выявления нарушений |
20 минут (оценка среднего времени реакции ответственного лица на сигналы СДК о предпосылках возникновения опасных ситуаций) |
|||||
Т зад - задаваемая длительность периода прогноза |
1 месяц (период времени, в течение которого возможно принятие упреждающих мер, направленных на поддержание рисков в допустимых пределах) |
Моделирование осуществлено с использованием модели В.3.2.
Системный анализ результатов расчетов показал, что при ориентации на надежность функционирования всех составных элементов моделируемой системы (ГВУ 1, 2, МДУ 1, 2, 3 и газоотсасывающей установки) нижняя оценка вероятности надежного предоставления информации в СДК в течение месяца за все оборудование равна Р над предст(Т зад) = 0,786 (см. рисунок Г.4).
Рисунок Г.4 - Оценки для вероятности надежного предоставления информации в СДК в течение месяца за все оборудование и поэлементно: за ГВУ 1, 2, МДУ 1, 2, 3 и газоотсасывающую установку |
Рисунок Г.5 - Зависимость вероятности надежного предоставления информации в СДК (за все оборудование) от периода прогноза длительностью от 0,5 месяца до 2 месяцев |
Узким местом является надежность функционирования главной вентиляторной установки ГВУ 1. Это объясняется тем, что при прочих равных условиях наработка вентиляторов ГВУ 1 на отказ составляет 1 месяц, что в разы меньше аналогичной наработки на отказ для вентиляторов ГВУ 2, насосов модульных дегазационных установок МДУ 1, 2, 3 и газоотсасывающей установки.
В свою очередь анализ зависимости вероятности надежного предоставления информации в СДК от периода прогноза (см. рисунок Г.5) позволяет обосновать рекомендацию: сроки планирования и реализации мер, связанных с поддержанием надежности функционирования средств СДК не должны превышать двух недель, при этом среднее время диагностики с использованием СДК должно быть не более 1 мин, а среднее время реакции ответственного лица на сигналы СДК о предпосылках возникновения опасных ситуаций не должно превышать 20 мин. В этом случае вероятность надежного предоставления информации превысит 0,88, что более, чем в 7 раз превысит вероятностное значение риска нарушения надежности [0,88/(1 - 0,88) 7,3].
Для расчета интегрального риска в примере 11 при ограничениях на вероятность надежного предоставления информации в СДК не ниже 0,95 коэффициент надежности предоставления информации Z над предст(Т зад) также будет равен Р над предст(Т зад) = 0,786, т.е. Z над предст(Т зад) = 0,786.
Г.7.3 Пример 2 поясняет логику подхода к оценке относительной доли своевременно обработанных запросов лишь тех типов, для которых выполняются требования по своевременности С своевр.
Объектами анализа являются информационные запросы и их временные задержки при обработке в СДК для предоставления необходимой информации пользователям в режиме реального времени функционирования шахты.
На этапе проектирования СДК осуществляется поиск эффективных путей реализации функциональных возможностей по сбору данных о состоянии промышленной безопасности, выработке решений и планированию мер противодействия угрозам, контролю и оповещению. Требования к своевременности предоставления выходной информации с использованием СДК диктуются состоянием промышленной безопасности, а также требованиями функционирования СДК в режиме реального времени.
При этом должна быть обеспечена своевременность ввода информации в БД и своевременное предоставление выходной информации для ее последующего использования по назначению. Для обеспечения возможности оценки своевременности предоставления используемой информации согласно модели В.3.3 требования для 10 типов информации (i = 1, ..., 10) сформулированы следующим образом:
- i = 1 - время автоматического ввода в БД поступившей исходной оперативной информации от источников, а также время выдачи контрольной технологической информации о состоянии контролируемого оборудования и самой СДК с вероятностью не ниже 0,95 не должно превышать 10 с, т.е. для i = 1 Р св 1 ( 10 с) 0,95;
- i = 2 - время отображения на экране мониторов пользователей команд, приказов и срочных сигналов, поступивших в СДК, с вероятностью не ниже 0,9 не должно превышать 10 с, т.е. для i = 2 Р св 2 ( 10 с) 0,9;
- i = 3 - время ввода в БД другой оперативной исходной информации от источников с вероятностью не ниже 0,8 не должно превышать 30 с, т.е. для i = 3 Р св 3 ( 30 с) 0,8;
- i = 4 - время начала предоставления результатов с момента запроса на решение информационно-аналитических задач с вероятностью не ниже 0,8 не должно превышать 1 мин 20 с, т.е. для i = 4 Р св 4 ( 1 мин 20 с) 0,8;
- i = 5 - время начала предоставления подробных справок с момента запроса при работе с электронно-пространственными модели на шахте с вероятностью не ниже 0,7 не должно превышать 1 мин 40 с, т.е. для i = 5 Р св 5 ( 1 мин 40 с) 0,7;
- i = 6 - время обработки запросов при выполнении общесистемных функций СДК с момента задания аналитических расчетов до начала выдачи результатов с вероятностью не ниже 0,7 не должно превышать 2 мин 30 с т.е. для i = 6 Р св 6 ( 2 мин 30 с) 0,7;
- i = 7 - время прогнозных расчетов при планировании мер противодействия угрозам в работе оборудования шахты с вероятностью не ниже 0,7 не должно превышать 4 мин, т.е. для i = 7 Р св 7 ( 4 мин) 0,7;
- i = 8 - время оперативных статистических отчетов СДК с момента задания до начала выдачи результатов не должно превышать в среднем 2,5 мин, т.е. для i = 8 Т полн 8 2,5 мин;
- i = 9 - время ввода в БД информации по контролю и управлению функционированием СДК не должно превышать в среднем 3 мин, т.е. для i = 9 Т полн 9 3 мин;
- i = 10 - время решения задач и подготовки отчетов по обеспечению информационной безопасности СДК с момента задания до начала выдачи результатов не должно превышать в среднем 3 мин, т.е. для i = 10 Т полн 10 3 мин.
Для оценки предъявленных требований по своевременности обработки указанных типов информации СДК проводят измерения согласно модели В.3.3. При этом для расчета вероятностно-временных показателей могут быть использованы другие математические модели систем массового обслуживания. Учитывают временные задержки для типовой загрузки (или при необходимости - для наивысшей загрузки) вычислительных средств и средств связи СДК. Определяют среднее время и среднеквадратичное отклонение времени реакции системы при обработке указанных типов информации. Вероятность своевременной обработки оценивают по формуле (В.11), а относительную долю своевременно обработанных в системе запросов лишь тех типов, для которых выполнены требования заказчика по установленным критериям своевременности обработки, оценивают по формуле (В.12). Значения возможных результатов измерений Т i и оценки Р св i(Т зад i) приведены соответственно на рисунках Г.6 и Г.7.
Рисунок Г.6 - Среднее время реакции по 10 типам информации |
Рисунок Г.7 - Вероятность своевременной обработки 10 типов информации |
Если для простоты понимания в рамках примера 2 частота поступления на обработку запросов каждого из 10 типов одинакова, то, учитывая, что все требования к своевременности выполнены (для типов i = 1, ..., 7 - по вероятностному критерию, для типов i = 8, 9, 10 - по среднему времени реакции), относительная доля своевременно обработанных запросов С своевр составляет по формуле (В.12) десятую часть от суммы вероятностей своевременной обработки всех 10 типов информации (т.к. все = ), т.е.
.
Примечание - Значения слагаемых взяты из рисунка Г.7.
Вместе с тем, при расчете интегрального риска в примере 11 используется значение коэффициента своевременности обработки информации, рассчитываемого по формуле (В.13) - именно потому, что все требования к своевременности обработки запросов выполнены, этот коэффициент Z своевр = 1.
Г.7.4 Пример 3 демонстрирует подход к оценке вероятности того, что в системе полностью отражены состояния всех реально существующих критичных объектов и явлений Р полн.
Объектами анализа являются информационные сообщения, впервые поступающие в БД, и технологии сбора таких данных от источников в режиме реального времени функционирования СДК.
При проектировании СДК необходимо обосновать варианты построения и функционирования системы сбора информации, обеспечивающей полноту оперативного отражения в системе новых объектов учета и явлений. Требования заказчика сформулированы следующим образом: должна быть обеспечена полнота отражения информации в СДК обо всех реальных событиях и явлениях, в частности, вероятность того, что в СДК полностью отражены состояния всех реально существующих критичных объектов и явлений:
- для чрезвычайных происшествий, угрожающих безопасности людей и среды их обитания, должна быть не ниже 0,98;
- для оперативной информации об обстановке (в т.ч. по условиям функционирования шахты) - не ниже 0,95;
- для статистической информации при управлении СДК - не ниже 0,9;
- для команд и приказов с условиями их выполнения - не ниже 0,95.
Согласно выданным главному конструктору СДК постановкам функциональных задач и принятым неблагоприятным сценариям возникновения и развития возможных аварийных ситуаций установлена ожидаемая частота появления новых объектов учета:
- для информации о чрезвычайных происшествиях - до трех раз в сутки (расчетные варианты i = 1, 2, 3);
- для оперативной информации об обстановке - в среднем до одного раза в час (i = 4, 5, 6);
- для статистической информации при управлении СДК - 2 раза в неделю (i = 7, 8, 9);
- для единожды вводимой информации (команд и приказов с условиями их выполнения) - 6 раз в сутки (i = 10).
Для проведения требуемых оценок технические решения главного конструктора в части сбора информации описаны следующими исходными данными, позволяющими охарактеризовать существенные различия в среднем времени подготовки, передачи и ввода новых объектов учета в БД СДК (именно для анализа этих различий анализируемые варианты снабжены индексом i = 1, ..., 10).
Для информации о чрезвычайных происшествиях предусмотрена ее подготовка человеком. При этом для детальной информации и ее визуального контроля подготовка занимает в среднем 20 мин (i = 1), для детальной информации с программным контролем - 10 мин (i = 2), для укрупненной информации - до 5 мин (i = 3).
Для оперативной информации об обстановке возможна подготовка ее человеком с визуальным контролем в среднем около 20 мин (i = 4) либо с программным контролем до 10 мин (i = 5), а для некоторых видов информации, формируемой с помощью автоматических датчиков, в среднем за 30 с (i = 6). Т.е. результаты для i = 4 характеризуют существующую систему ручного контроля на местах, а результаты для i = 5, 6 характеризуют СДК.
Для статистической информации возможна подготовка информации человеком в течение 20 мин (i = 7), для детальной информации с программным контролем - до 10 мин (i = 8), для укрупненной информации с программным контролем - до 5 мин (i = 9).
Для команд и приказов информация готовится человеком в среднем в течение 5 мин (i = 10).
Согласно предложенным техническим решениям предусмотрены:
- передача информации от источников по телефону за среднее время до 10 мин (i = 1, 4, 7) или автоматизировано с использованием СДК - до 1 мин (i = 2, 3, 5, 6, 8, 9, 10);
- ввод поступившей информации в БД за среднее время человеком от 1 мин (i = 4) до 10 мин (i = 1, 2, 5, 7, 8) или автоматически в СДК за 20 с (i = 3, 6, 9, 10).
С использованием модели В.3.4 осуществлена количественная оценка полноты оперативного отражения в СДК состояния всех реально существующих критичных объектов и явлений. Результаты расчетов для сравнения описанных вариантов приведены на рисунке Г.8.
Рисунок Г.8 - Сравнительные оценки вариантов по вероятности того, что в СДК полностью отражены состояния всех реально существующих критичных объектов и явлений
Анализ результатов расчетов показывает (см. рисунок Г.8):
- для информации о новых чрезвычайных происшествиях требованиям заказчика удовлетворяет лишь вариант оперативного обнаружения и подготовки укрупненной информации у источника с программным контролем, передачей через СДК с автоматическим вводом в БД (i = 3);
- для оперативной информации об обстановке требованиям заказчика отвечает лишь вариант с автоматическими датчиками СДК (i = 6). При этом другие варианты обнаружения и подготовки информации в течение 10-20 мин и длительного ввода ее в БД при передаче сколь угодно быстро не позволят обеспечить требуемую полноту оперативного отражения информации;
- для статистической информации при управлении СДК (i = 7, 8, 9) любой способ обнаружения и подготовки информации человеком, передачи любым из выбранных способов обеспечит полноту оперативного отражения в БД информации о реальных объектах учета и явлениях. Это объясняется относительной редкостью появления новой статистической информации;
- требуемая полнота оперативного отражения в системе реальных команд и приказов, поступающих через средства связи СДК (i = 10), будет обеспечена, что гарантируется быстротой передачи.
По результатам системного анализа сделан вывод: из множества сравниваемых технических решений лишь варианты 3, 6 - 10 отвечают задаваемым требованиям. Их реализация позволит обеспечить выполнение изначальных требований заказчика к полноте оперативного отражения в СДК новых объектов учета и явлений. Вместе с тем, заказчик, осознавая привычность работы в условиях неполноты информации на шахте, а также дороговизну технических изменений в проекте, согласился на снижение изначальных требований к полноте оперируемой информации до такого уровня, что предъявляемые условия (см. В.3.4) по результатам моделирования выполняются. С учетом этого при расчете интегрального риска в примере 11 использован вероятностный коэффициент полноты оперативного отражения в системе новых объектов и явлений Z полн = 1.
Нижеследующие примеры 4 - 6 позволяют продемонстрировать подход к оценке достоверности используемой информации в СДК с помощью детальных оценок вероятности сохранения актуальности информации на момент ее использования, определяемой по модели В.3.5, вероятности отсутствия ошибок в информации после ее контроля, определяемой по модели В.3.6 и вероятности получения корректных результатов обработки информации, определяемой по модели В.3.7.
Г.7.5 Пример 4 демонстрирует подход к оценке вероятности сохранения актуальности информации на момент ее использования в системе Р акт.
Объектами анализа являются информационные ресурсы, обновляющие БД СДК, и технологии синхронизации информационных процессов, обеспечивающих полезность данных СДК в режиме реального времени функционирования шахты.
Важной практической задачей при создании и организации эффективного функционирования СДК является определение научно обоснованного периода обновления данных о состоянии параметров контролируемого оборудования и среды эксплуатации (например, давления, температуры, напряжения, загазованности и др.). С одной стороны, обновление данных по мере значимого изменения состояния оборудования необходимо для обеспечения достоверности информации с последующим ее применением по назначению. С другой стороны, слишком частое обновление этих данных необоснованно перегружает каналы связи и компьютерную память, приводит к программным сбоям, создает недопустимые временные задержки, может рассинхронизировать информационные процессы в СДК, нарушая тем самым режим реального времени функционирования самой СДК и лишая необходимой информационно-аналитической поддержки должностных лиц в процессе управления информацией на шахте. Учитывая результаты примера 3 о достижимости полноты отражения оперативной информации об обстановке с вероятностью не ниже Р полн = 0,95, задача формализована главным конструктором следующим образом: определить такой рациональный период обновления информации в СДК, при котором актуальность используемой информации будет не ниже, чем 0,95.
Анализ совокупности обновляемой информации при круглосуточной загрузке оборудования позволил выявить два варианта условий:
- обычные условия загрузки оборудования, характеризуемые частотой значимого изменения состояния оборудования 36 раз в сутки;
- условия наивысшей загрузки, возникающие для некоторого оборудования случайным образом (например, для вентиляторных установок или МДУ при повышенных скоплениях на местах газа метана), продолжающиеся несколько часов в сутки и характеризуемые частотой значимого изменения состояния оборудования 3 раза в час.
Среднее время съема, передачи и ввода в БД СДК телеметрических данных от оборудования составляет в среднем 16 с. Еще несколько секунд уходит на аналитическую обработку и доведение результатов обработки до пользователей. Это означает, что обновление чаще 25 - 30 с нецелесообразно из-за перегрузки и вычислительной неспособности своевременно обработать такую часто обновляемую информацию от сотен источников.
Моделирование для определения искомого периода обновления информации в СДК осуществлено по этим исходным данным с использованием модели В.3.5. Сравнительные результаты расчетов приведены на рисунках Г.9 - Г.12.
Рисунок Г.9 - Вероятность сохранения актуальности информации для обычных условий загрузки оборудования |
Рисунок Г.10 - Вероятность сохранения актуальности информации для условий наивысшей загрузки оборудования |
Рисунок Г.11 - Зависимость вероятности сохранения актуальности информации для обычных условий загрузки оборудования от периода обновления (в минутах) |
Рисунок Г.12 - Зависимость вероятности сохранения актуальности информации для условий наивысшей загрузки оборудования от периода обновления (в секундах) |
Анализ результатов расчетов показывает, что для обеспечения актуальности информации в СДК с вероятностью не ниже 0,95 период обновления может быть выбран следующим образом:
- для обычных условий загрузки оборудования - до 3 мин 36 с;
- для условий наивысшей загрузки - до 90 с.
В результате системного анализа определено: из соображений недопущения вычислительной перегрузки СДК наиболее рациональным в условиях неопределенности функционирования шахты признан период обновления информации в СДК, равный 90 с.
Для определенности при расчете интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации в примере 11 использована достигаемая вероятность сохранения актуальности информации Р акт = 0,95.
По результатам системного анализа заказчик, осознавая незначительность ущербов и практическую приемлемость работы в условиях не всегда актуальной информации на шахте, согласился с тем, что предъявляемые условия (см. В.3.5) по результатам моделирования выполняются. С учетом этого при расчете интегрального риска в примере 11 использован вероятностный коэффициент актуальности информации в системе Z акт = 1.
Г.7.6 Пример 5 демонстрирует подход к оценке вероятности отсутствия ошибок в информации после ее контроля Р безош.
Объектами анализа являются информационные ресурсы, вводимые в СДК, и технологии контроля их безошибочности. При проектировании СДК необходимо обосновать технологию контроля информации, обеспечивающую безошибочность входной информации. Требования заказчика сформулированы следующим образом: используемые технологии контроля входной формализованной и неформализованной информации должны обеспечивать ее безошибочность, в частности, вероятность отсутствия ошибки во входном сообщении, вводимом в БД СДК, должна быть не ниже 0,95, при этом допустимое время контроля не должно превышать 10 мин для графических документов и входных обобщенных документов до 10000 знаков и 1 ч для детальных документов объемом до 50000 знаков.
Для проведения требуемых оценок технические решения главного конструктора в части контроля информации описаны следующими исходными данными, позволяющими охарактеризовать существенные различия в рассматриваемых вариантах технологий контроля (именно для анализа этих различий анализируемые варианты снабжены индексом i = 1, ..., 10). Согласно постановкам функциональных задач информация, подлежащая контролю, обладает следующими характеристиками: средний объем коротких документов составляет в среднем 20 контролируемых объектов для графической информации (расчетные варианты i = 1, 2), 10000 текстовых знаков для обобщенных документов (i = 3, 4, 7-10) и 50 000 знаков для детальных документов (i = 5, 6).
Для оценки безошибочности информации в СДК технические решения главного конструктора предусматривают осуществление лишь визуального контроля всей информации. С применением настоящей методики осуществляется количественная оценка ожидаемой безошибочности используемой информации и выявление необходимости создания вспомогательных средств программного контроля и обоснования системных требований к ним.
По результатам сравнения с аналогами установлено, что частота ошибок в документах может составлять одну ошибку на 100 графических объектов (i = 1, 2), одну ошибку на 100 знаков (i = 3, 5, 7, 8) или 200 знаков (i = 4, 6) неформализованной информации. В результате натурных экспериментов и сравнения с аналогами установлено, что технология контроля информации характеризуется следующими исходными данными:
- скорость контроля равна 20 объектам в минуту для графической информации (i = 1, 2), 2000 табличным знакам в минуту (i = 3-6) без программной поддержки и 6000 знакам в минуту (i = 7-10) с использованием средств программного контроля;
- частота ошибок контроля 1-го рода составляет одну ошибку на 100 мин работы для высококвалифицированного контролера (i = 1, 3, 5) и одну ошибку на 50 мин для контролера средней квалификации (i = 2, 4, 6). Кроме того, при поддержке программными средствами контроля частота ошибок 1-го рода может быть снижена на порядок, т.е. для высококвалифицированного контролера она составит одну ошибку на 16 ч (i = 7, 9), а для контролера средней квалификации - одну ошибку на 8 ч (i = 8, 10) работы;
- среднее время наработки на ошибку 2-го рода соответственно составляет 1 ч для высококвалифицированного контролера (i = 1, 3, 5, 7, 9) и 40 мин для среднеквалифицированного (i = 2, 4, 6, 8, 10) контролера;
- среднее непрерывное время работы человека-контролера составляет 45 мин (i = 1-10), после чего следует необходимое восстановление концентрации внимания (вплоть до смены контролера);
- на однократный контроль короткого и обобщенного документа отводится в среднем 10 мин (i = 1-4, 7-10), а на однократный контроль детального документа - 1 ч (i = 5, 6).
При моделировании предусмотрено использование повторного визуального контроля (i = 9, 10), причем в качестве исходной доли ошибок после первого контроля выступают результаты расчетов по настоящей методике соответственно для вариантов i = 7 и i = 8.
С использованием модели В.3.6 по этим исходным данным проведена количественная оценка безошибочности информации после контроля. Сравнительные результаты расчетов приведены на рисунке Г.13 и Г.14.
Рисунок Г.13 - Вероятность отсутствия ошибок в информации без контроля для 10 вариантов сравнения |
Рисунок Г.14 - Вероятность отсутствия ошибок в информации после контроля для 10 вариантов сравнения |
Анализ результатов расчетов показывает:
- для коротких графических документов вероятность отсутствия ошибок после контроля специалистом средней и высокой квалификации превышает 0,98, причем она по-прежнему будет удовлетворять требованиям при возможном увеличении среднего объема контролируемой информации до 40 объектов (i = 1, 2);
- для документов объемом 10 000-50 000 знаков (i = 3-6) ошибки без контроля неизбежны. При контроле без поддержки программными средствами вероятность отсутствия ошибок ниже требуемой (от 0,53 до 0,87) независимо от квалификации проверяющих;
- применение поддерживающих программных средств контроля (i = 7, 8) позволяет повысить вероятность отсутствия ошибок в документах объемом 10 000 знаков до уровня 0,96-0,97;
- применение повторного визуального контроля с использованием программных средств (i = 9, 10) оказывается избыточным как для высококвалифицированных, так и среднеквалифицированных контролеров по сравнению с вариантами i = 7, 8.
Вывод: для выполнения заданных требований выявлена объективная необходимость разработки специальных программных средств поддержки контроля информации в СДК. Рекомендации: основными требованиями к разработке этих программных средств, а в последующем - и для эксплуатационной документации должны быть:
- требования к скорости контроля - не ниже 20 графических объектов в минуту и 6000 текстовых знаков в минуту;
- требования к допустимой частоте ошибок первого рода - не чаще одной ошибки за 500 мин работы;
- требования к допустимой наработке до первого пропуска ошибки - в среднем не менее 40 мин;
- регламентация времени работы человека-контролера, в частности непрерывное время контроля не должно превышать 45 мин.
Учитывая выполнимость сделанных выше вывода и рекомендаций, при расчете интегрального риска в примере 11 использован вероятностный коэффициент безошибочности информации в системе после контроля Z безош = 1 (см. В.3.6).
Г.7.7 Пример 6 демонстрирует подход к оценке вероятности получения корректных результатов обработки информации Р корр.
Объектами анализа являются информационные активы СДК и технологии их обработки по назначению. При проектировании СДК главный конструктор оценивает целесообразность разработки вспомогательных экспертных систем для обработки информации. Заказчик использует настоящую методику для количественной оценки ожидаемой корректности обработки информации в режиме реального времени функционирования СДК, а главный конструктор - для дальнейшего выявления рациональных технических способов удовлетворения требований технического задания. Согласно постановкам функциональных задач ЛПР и операторы (аналитики) анализируют те же объемы информации, что и в примере 5 (см. Г.7.6), но уже с целями подготовки и принятия прагматических решений по обеспечению промышленной безопасности на предприятии. Для проведения требуемых оценок с учетом существенных различий в рассматриваемых вариантах технологий обработки информации анализируемые варианты по-прежнему снабжены индексом i = 1, ..., 10. То есть обобщенная информация характеризуется объемом до 20 объектов (i = 1, 2), а детальная информация - объемом до 10 000 знаков (i = 3, 4, 7-10) и до 50 000 знаков (i = 5, 6). При анализе информации осуществляется не контроль, а семантическая обработка аналитиком. Примером малого объема анализируемой информации может служить обобщенное состояние контролируемых объектов на электронной карте с использованием мнемосхем.
Примером большего объема анализируемой информации может служить детальная информация о контролируемых объектах, например, за комплекс ГВУ, МДУ и иное оборудование шахты. Таковых объектов учета для СДК, охватывающих несколько шахт, могут быть тысячи и десятки тысяч.
Пусть в обобщенной информации малого объема (i = расчетные варианты 1, 2) вся информация является принципиальной, в детальной (для i = 3-10) процент принципиальной информации не превышает 50 %. В обязанности ЛПР и оператора входят корректные выделение и осмысление этой информации в режиме реального времени для последующего использования ее по назначению. Требуемый уровень корректности обработки информации по выбранному вероятностному показателю - не ниже 0,95.
В результате натурных экспериментов и сравнения с аналогами установлено, что технология обработки информации характеризуется следующими исходными данными. Скорость обработки информации составляет 20 объектов в минуту для ЛПР как высокого (i = 1, 3, 5, 7, 9), так и среднего уровня квалификации (i = 2, 4, 6, 8, 10) и 2000 знаков в минуту для оператора-аналитика (i = 3-5). Использование специальной экспертной системы автоматической обработки данных (целесообразность создания которой оценивается Главным конструктором, i = 6-10) позволяет повысить скорость обработки детальной информации аналитиком до 6000 знаков в минуту. Частота ошибок анализа 1-го рода, среднее время наработки на алгоритмическую ошибку и непрерывное время работы человека (ЛПР и оператора) сохраняются теми же, что и в примере 5 для контроля информации. Допустимое время оперативной обработки информации объемом 10 000 знаков составляет 10 мин для i = 1-4, 7, 8, при детальной аналитической обработке документов объемом 50 000 знаков - до одного часа (i = 5, 6).
Моделирование осуществлено по этим исходным данным с использованием рекомендаций В.3.7.
Анализ обобщенных результатов расчетов, приведенных на рисунках Г.15 и Г.16, показывает:
- вероятность получения корректных результатов обработки обобщенной информации составляет 0,96 - 0,97 для ЛПР как среднего, так и высокого уровня квалификации (i = 1, 2) из-за сравнительно небольшого объема анализируемой информации. Часть неучтенной информации не превысит 5 %;
- для документов объемом 10000 знаков за счет применения специальной экспертной системы (i = 7, 8) корректность обработки информации оператором как среднего, так и высокого уровня квалификации составит 0,96-0,97 (i = 7, 8) против 0,80 - 0,88 (для i = 3, 4), характерных для варианта обработки информации без ее использования. При этом часть неучтенной информации составит для i =7, 8 лишь 1,5 % - 2,2 % против 6,2 % - 10,1 % для i = 3, 4;
- для документов объемом 50000 знаков применение оператором экспертной системы (i = 6) позволит повысить вероятность корректной обработки до уровня 0,81 против 0,66 без ее использования (i = 5), но для корректности обработки информации этого явно недостаточно;
- использование в автоматическом режиме специальной экспертной системы обеспечит корректность обработки лишь на уровне 0,58-0,59 (i = 9, 10), что объясняется слабой производительностью применяемых программно-технических средств, не позволяющих за одну минуту автоматически обработать весь объем принципиальной информации. Часть неучтенной информации превысит 20 %.
Рисунок Г.15 - Вероятность получения корректных результатов обработки информации для 10 вариантов сравнения |
Рисунок Г.16 - Часть принципиальной информации, не учтенная в процессе обработки для 10 вариантов сравнения |
Учитывая потенциальные возможности специальной экспертной системы поддержки принятия решений и ее осуществимость, при расчете интегрального риска в примере 11 использован вероятностный коэффициент корректности обработки информации в системе Z корр = 1 (см. В.3.7).
Г.7.8 Пример 7 демонстрирует подход к оценке вероятности безошибочных действий пользователей и персонала в течение заданного периода прогноза Р чел(Т зад).
Объектами анализа являются мастера шахты, осуществляющие мониторинг функционирования комплекса ГВУ, комплекса МДУ и газоотсасывающей установки, охваченных функциональными возможностями СДК. Структура моделируемой системы представлена на рисунке Г.17, она полностью аналогична структуре, представленной на рисунке Г.3. Отличие лишь в том, что элементами моделируемой системы являются мастера, а резервирование означает, что для ГВУ 1, ГВУ 2, МДУ 1, МДУ 2 мониторинг осуществляют 2 мастера, взаимно контролирующие друг друга. Возможные ущербы при ошибках пользователей и персонала и логическая интерпретация состояний моделируемой системы полностью аналогичны тем, что изложены в примере 1.
Рисунок Г.17 - Моделируемая система для оценки безошибочных действий мастеров
Исходные данные для оценки вероятности безошибочных действий мастеров представлены в таблице Г.2. Остальные исходные данные - те же, что и в таблице Г.1, с теми же комментариями:
- среднее время развития угроз с момента возникновения источников угроз до нарушения = 30 мин;
- среднее время диагностики Т диаг = 1 мин;
- среднее время восстановления после выявления нарушений Т восст = 20 мин;
- задаваемая длительность периода прогноза Т зад = 1 мес.
Моделирование осуществлено по этим исходным данным с использованием рекомендаций В.3.8.
Системный анализ результатов расчетов показывает, что вероятность безошибочных действий пользователей и персонала будет выше 0,96 (см. рисунок Г.18). По показателю безошибочности действия всех мастеров в моделируемых условиях приблизительно равнопрочны.
В свою очередь анализ зависимости вероятности безошибочных действий мастеров от периода прогноза (см. рисунок Г.19) позволил установить: в условиях примера безошибочные действия всех мастеров будут обеспечены в течение периода до 42 дней с вероятностью не ниже 0,95.
Таблица Г.2 - Исходные данные для оценки вероятности безошибочных действий мастеров
Исходные данные |
Значения и комментарии |
|||||
Комплекс главных вентиляторных установок |
Комплекс модульных дегазационных установок |
Газоотсасывающая установка |
||||
ГВУ 1 (для каждого вентилятора) |
ГВУ 2 (для каждого вентилятора) |
МДУ 1 (для каждого насоса) |
МДУ 2 (для каждого насоса) |
МДУ 3 |
||
- частота возникновения источников угроз |
1 раз в год (соизмеримо с возникновением предпосылок к ошибкам, свойственным мастеру средней квалификации) |
1 раз в 5 лет (соизмеримо с возникновением предпосылок к ошибкам, свойственным мастерам высокой квалификации) |
||||
Т меж - среднее время между окончанием предыдущей и началом очередной диагностики |
10 минут (мониторинг осуществляют два мастера, взаимно контролирующие друг друга) |
1 час (мониторинг осуществляет один мастер, контроль - со стороны начальника) |
Рисунок Г.18 - Оценки вероятности безошибочных действий мастеров в течение месяца |
Рисунок Г.19 - Зависимость вероятности безошибочных действий всех мастеров от периода прогноза длительностью от 0,5 месяца до 2 месяцев |
Ориентируясь на приемлемый уровень вероятности безошибочных действий мастеров за месяц не ниже 0,95, при расчете интегрального риска в примере 11 использован коэффициент безошибочных действий пользователей и персонала системы в течение месяца Z чел(Т зад) = 1 (см. В.3.8).
Нижеследующие примеры 8-10 (см. Г.7.9 - Г.7.11) позволяют продемонстрировать подход к оценке вероятности приемлемого выполнения требований по защите информации в течение заданного периода прогноза с помощью детальных оценок вероятности отсутствия опасного программно-технического воздействия на СДК по модели В.3.9.2, вероятности обеспечения защищенности активов шахты от НСД по модели В.3.9.3, вероятности сохранения конфиденциальности используемой информации по модели В.3.9.4.
Г.7.9 Пример 8 демонстрирует подход к оценке вероятности отсутствия опасного программно-технического воздействия на СДК в течение заданного периода прогноза Р возд(Т зад).
Объектами анализа являются программное обеспечение и информационные массивы СДК, используемые при мониторинге функционирования комплекса ГВУ, комплекса МДУ и газоотсасывающей установки. Структура моделируемой системы для оценки защищенности СДК от опасного программно-технического воздействия представлена на рисунке Г.20. Она логически связана со структурами, представленными на рисунках Г.3 и Г.17, однако все аспекты резервирования рассматриваются на уровне элементов, представимых как "черные ящики".
Рисунок Г.20 - Моделируемая система для оценки защищенности СДК от опасного программно-технического воздействия
Исходные данные для оценки вероятности отсутствия опасного программно-технического воздействия на СДК представлены в таблице Г.3. Согласно модели угроз безопасности информации, принятой руководством шахты, для СДК моделируемый сценарий предполагает маскировку опасных программно-технических воздействий под обычные отказы оборудования. С учетом предполагаемой маскировки частота возникновения источников угроз (например, внедрения программных закладок или заражение неизвестным компьютерным вирусом) сохранена в настоящем примере такой же, как и для примера 1.
Остальные исходные данные аналогичны данным из таблицы Г.1:
- среднее время между окончанием предыдущей и началом очередной диагностики = 5 мин с учетом переключения внимания диспетчера на выполнение разных функций;
- среднее время диагностики Т диаг = 1 мин, включая необходимую отдачу распоряжений;
- среднее время восстановления после выявления нарушений Т восст = 20 мин (это среднее время переинсталляции программного обеспечения и восстановления информационных массивов);
- задаваемая длительность периода прогноза Т зад = 1 мес.
Моделирование осуществлено по этим исходным данным с использованием рекомендаций В.3.9.2.
Системный анализ результатов расчетов показал, что при ориентации на противодействие составных элементов моделируемой системы опасным компьютерным воздействиям оцениваемая вероятность отсутствия опасного программно-технического воздействия на каждый из активов в течение месяца будет не ниже 0,998 (см. рисунок Г.21). По этому показателю все активы СДК в моделируемых условиях приблизительно равнопрочны.
Таблица Г.3 - Исходные данные для оценки вероятности отсутствия опасного программно-технического воздействия на СДК в течение заданного периода прогноза
Исходные данные |
Значения и комментарии |
|||||
Программное обеспечение и информационные массивы СДК, используемые при мониторинге функционирования шахты | ||||||
Комплекс ГВУ |
Комплекс МДУ |
Активы газоотсасывающей установки |
||||
Активы ГВУ 1 |
Активы ГВУ 2 |
Активы МДУ 1 |
Активы МДУ 2 |
Активы МДУ 3 |
||
- частота возникновения источников угроз |
1 раз в месяц |
1 раз в 2 месяца (т.е. в 2 раза выше по сравнению с угрозами для активов ГВУ 1) |
1 раз в 3 месяца (т.е. в 3 раза выше по сравнению с угрозами для активов ГВУ 1) |
1 раз в 6 месяцев (т.е. в 2 раза выше по сравнению с угрозами для активов МДУ 1) |
1 раз в год (т.е. в 4 раза выше по сравнению с угрозами для активов МДУ 1) |
1 раз в 2 года (т.е. в 24 раза выше по сравнению с угрозами для активов ГВУ 1 и в 8 раз выше по сравнению с МДУ 1) |
- среднее время развития угроз с момента возникновения источников угроз до нарушения |
1 сутки (предполагается, что из-за маскировки источники угроз активизируются не сразу, а с некоторой задержкой, не менее суток) |
В свою очередь, анализ зависимости вероятности отсутствия опасного программно-технического воздействия от периода прогноза (см. рисунок Г.22) позволил установить: в условиях примера защищенность программного обеспечения и информационных массивов СДК будет обеспечена в течение периода до 2 мес с вероятностью не ниже 0,992.
Рисунок Г.21 - Оценки вероятности отсутствия опасного программно-технического воздействия в течение месяца |
Рисунок Г.22 - Зависимость вероятности отсутствия опасного программно-технического воздействия на все активы от периода прогноза длительностью от 0,5 месяца до 2 месяцев |
Для определенности при расчете интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации в примере 11 использована достигаемая вероятность отсутствия опасного программно-технического воздействия на СДК в течение месяца Р возд(Т зад) = 0.996.
Г.7.10 Пример 9 демонстрирует подход к оценке вероятности обеспечения защищенности активов СДК от несанкционированного доступа Р НСД.
Объектами анализа являются информационные и программные ресурсы СДК для построения на шахте эффективной защиты от НСД.
Защита от НСД строится на практике как последовательность преград, после успешного преодоления которых злоумышленник получает доступ к информационным и/или программным ресурсам СДК. Анализируются возможности и целесообразность создания 10 преград для защиты от НСД. На основании модели угроз в таблице Г.4 отражены предполагаемые характеристики сценария угроз НСД и системы защиты информации.
Моделирование осуществлено по этим исходным данным с использованием рекомендаций В.3.9.3. Результаты расчетов отражены на рисунке Г.23.
Таблица Г.4 - Характеристики сценария угроз НСД и системы защиты
Преграда |
Частота смены значения параметра преграды |
Среднее время преодоления преграды нарушителем |
Возможный способ преодоления преграды |
1. Охраняемая территория со сменой охраны |
через 2 ч |
30 мин |
Скрытое проникновение на территорию |
2. Пропускная система на объект СДК (в т.ч. доступ к рабочим местам пользователей со сменой службы контроля) |
через 1 сут |
10 мин |
Подделка документов, сговор, обман |
3. Электронный ключ для включения компьютера |
через 5 лет (наработка до замены) |
1 нед |
Кража, принудительное изымание ключа, сговор |
4. Пароль для входа в систему |
через 1 мес |
1 мес |
Подсматривание, принудительное выпытывание, сговор, подбор пароля |
5. Пароль для доступа к программным устройствам |
через 1 мес |
10 сут |
Подсматривание, принудительное выпытывание, сговор, подбор пароля |
6. Пароль для доступа к требуемой информации |
через 1 мес |
10 сут |
Подсматривание, принудительное выпытывание, сговор, подбор пароля |
7. Зарегистрированный внешний носитель информации для записи |
через 1 год |
1 сут |
Кража, принудительная регистрация, сговор |
8. Подтверждение подлинности пользователя в процессе сеанса |
через 1 мес |
1 сут |
Подсматривание, принудительное выпытывание, сговор |
9. Телемониторинг |
через 5 лет (наработка до замены) |
2 сут |
Имитация неисправности, ложные ролики, маскировка под персонал, сговор |
10. Шифрование информации со сменой ключей |
через 1 мес |
2 года |
Расшифровка, сговор |
Рисунок Г.23 - Рост вероятности обеспечения защищенности активов СДК от НСД с увеличением количества и качества преград, m = 1, ..., М
Анализ полученных результатов расчета показывает следующее.
Первые 3 преграды преодолеваются с вероятностью около 0,745. Использование сменяемых паролей один раз в месяц для 4, 5 и 6 преград позволяет в три раза поднять защищенность с 0,255 до 0,872. Однако, общая защищенность системы после введения первых шести преград остается слабой (0,872).
Введение 7, 8, 9 преград практически бесполезно, т.к. не обеспечивает заметного повышения защищенности системы для заданных значений исходных данных (0,877 по сравнению с 0,872).
Использование криптографических средств защиты (10-я преграда) позволяет более существенно повысить защищенность информационных ресурсов от НСД - до уровня 0,9975.
Примечание - Модель В.3.9.4 при прочих равных условиях позволяет в сравнении с примененной моделью В.3.9.3 дополнительно учесть длительность периода объективной конфиденциальности информации, который может быть рассмотрен как задаваемый период прогноза (см. пример 10 в Г.7.11).
Для определенности при расчете интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации в примере 11 использована достигаемая вероятность обеспечения защищенности активов СДК от НСД Р НСД = 0,9975.
Г.7.11 Пример 10 демонстрирует подход к оценке вероятности сохранения конфиденциальности используемой информации в течение периода объективной конфиденциальности Р конф(Т конф).
Объектами анализа являются те же информационные и программные ресурсы СДК при тех же используемых преград системы защиты от НСД. Дополнительно учтена длительность периода объективной конфиденциальности информации. С учетом того, что большинство примеров ориентированы на период прогноза 1 мес, в примере роль периода объективной конфиденциальности информации играет именно этот период прогноза (см. примечание к модели В.3.9.4). Характеристики десяти преград те же, что и в примере 9 (см. таблицу Г.4).
Моделирование осуществлено по исходным данным таблицы Г.4 с заданием Т конф = 1 мес и использованием рекомендаций В.3.9.4. Результаты расчетов отражены на рисунке Г.24.
Рисунок Г.24 - Рост вероятности сохранения конфиденциальности используемой информации с увеличением количества и качества преград, m = 1, ..., М
Системный анализ полученных результатов расчета показывает следующее.
Использование первых 6 преград (охрана, пропускной режим, электронный ключ и различные системы паролей) обеспечит конфиденциальность информации с вероятностью не выше 0,945.
Использование всех 10 преград обеспечит требуемую конфиденциальность информации в системе: 0,9993, что более, чем в 1400 раз превышает вероятностный риск нарушения конфиденциальности информации [0,9993/(1 - 0,9993)]. В условиях примера это может рассматриваться как обоснованное значение показателя эффективности защиты информации.
Для определенности при расчете интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации в примере 11 использована достигаемая вероятность сохранения конфиденциальности используемой информации в течение месяца Р конф(N конф) = 0,9993.
Г.7.12 Пример 11 демонстрирует подход к прогнозированию интегрального риска нарушения реализации процесса управления информацией системы с учетом требований по защите информации R интегр(Т зад).
Используя результаты примеров 1 - 10 (см. Г.1.2 - Г.7.11) и модель В.3.10, по формулам (В.31) - (В.33) получаются следующие окончательные результаты примеров для периода прогноза Т зад = 1 мес:
- по формуле (В.32) вероятность нарушения надежности реализации процесса управления информацией системы в течение периода прогноза без учета требований по защите информации
;
- по формуле (В.33) вероятность нарушения требований по защите информации в системе для процесса управления информацией в течение периода прогноза (с детализацией защищенности от опасных программно-технических воздействий, от НСД, сохранения конфиденциальности информации)
;
- по формуле (В.31) с учетом возможного ущерба интегральный риск нарушения реализации процесса управления информацией системы с учетом требований по защите информации
.
Вывод: уровень риска нарушения требований по защите информации в процессе управления информацией системы в течение одного месяца (0,0072) в 30 раз меньше по сравнению с интегральным риском (0,220). Качество используемой информации в СДК на приемлемом уровне. Главное узкое место - неудовлетворительная надежность оборудования шахты, выявленная при системном анализе надежности предоставления информации в СДК.
Тем самым в рамках примеров продемонстрированы способы достижения целей прогнозирования рисков с использованием настоящих методических указаний.
Примечание - Другие примеры прогнозирования рисков и способы решения различных задач системного анализа приведены в ГОСТ Р ИСО 11231, ГОСТ Р 58494, ГОСТ Р 59331, ГОСТ Р 59333, ГОСТ Р 59335, ГОСТ Р 59338, ГОСТ Р 59345, ГОСТ Р 59346, ГОСТ Р 59347, ГОСТ Р 59356.
Г.8 Материально-техническое обеспечение
В состав материально-технического обеспечения для прогнозирования рисков входят (в части, свойственной процессу управления информацией системы):
- результаты обследования, концепция создания, технический облик и/или ТЗ на разработку для создаваемой системы, конструкторская и эксплуатационная документация для существующей системы (используют для формирования исходных данных при моделировании);
- модель угроз безопасности информации (используют для формирования необходимых исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);
- записи из системного журнала учета предпосылок, инцидентов и аварий при функционировании системы, связанных с нарушением требований по защите информации (используют для формирования исходных данных при моделировании);
- планы ликвидации нарушений, инцидентов и аварий, связанных с нарушением требований по защите информации, и восстановления целостности системы (используют для формирования исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);
- обязанности должностных лиц и инструкции по защите информации при выполнении процесса (используют для формирования исходных данных при моделировании и обоснования усовершенствований в результате решения задач системного анализа);
- программные комплексы, поддерживающие применение математических моделей и методов по настоящим методическим указаниям (используют для проведения расчетов и поддержки процедур системного анализа и принимаемых решений).
Г.9 Отчетность
По результатам прогнозирования рисков составляется протокол или отчет по ГОСТ 7.32 или по форме, устанавливаемой в организации.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.