Приложение Ж (справочное). Типовые модели для оценки качества функционирования. Национальный стандарт РФ ГОСТ Р 58494-2019 "Оборудование горно-шахтное. Многофункциональные системы безопасности угольных шахт. Система дистанционного контроля опасных производственных объектов" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 22.08.2019 N 522-ст)

Приложение Ж
(справочное)

Типовые модели для оценки качества функционирования

Моделирование процессов функционирования СДК ПБ ОПО применяется в целях обоснования требований заказчиков, проверки их выполнимости, рациональной реализации системных решений без излишних затрат ресурсов, оценки достигаемого качества, выявления недостатков, обоснования условий и параметров эффективного применения СДК. Моделирование используется на этапах создания и эксплуатации СДК ПБ ОПО.

Модели процессов функционирования СДК ПБ ОПО создаются (приобретаются) разработчиками и/или заказчиками с учетом целей создания, специфики и возможностей по проведению натурных испытаний. В настоящем приложении приведены некоторые из существующих моделей, прошедших опытную апробацию.

Ж.1 Модель для оценки надежности предоставления информации

Требуемая надежность предоставления информации в СДК ПБ ОПО в течение заданного времени обеспечивается на основе использования механизмов дублирования и резервирования и достижения рационального соотношения между временем наработки программно-технических комплексов (ПТК) на отказ и временем восстановления ПТК после отказа. Рассматривается функционирование отдельного ПТК в течение задаваемого периода прогноза Т_зад. При экспоненциальной аппроксимации распределений исходных характеристик и их независимости вероятность надежного предоставления информации Р_над (Т_зад) в течение заданного периода Т_зад вычисляют по формуле

,

(Ж.1)

где - среднее время наработки ПТК на отказ;

- среднее время восстановления ПТК после отказа;

- задаваемая длительность периода прогноза.

В частном случае, когда период прогноза стремится к нулю, т.е. Т_зад = 0, вероятность надежного предоставления информации обращается в коэффициент готовности ПТК.

Понятие отказа должно быть определено. Необходимые для моделирования границы исходных значений T_нар, Т_вос определяют в результате натурных испытаний, экспериментов, дополнительного моделирования и/или путем сравнения с аналогами.

Примечание - Для более детального моделирования может быть использована модель Е.2.3 с переопределением исходных данных и расчетных показателей под область приложения математических моделей к оценке надежности функционирования СДК (см. инженерные способы Е.2.4).

Ж.2 Модель для оценки своевременности предоставления информации

Требуемая своевременность обработки запросов обеспечивается на основе выбора производительных средств обработки, последовательности обработки запросов и рациональной настройки параметров СДК ПБ ОПО.

Для каждого из значимых типов информации (с привязкой к выполняемым функциональным задачам, источникам и получателям информации) требования к своевременности обработки запросов в СДК формулируют с использованием одного из двух критериев:

а) критерия своевременности по среднему времени реакции: среднее время реакции СДК при обработке запросов i-го типа T_{полн i} должно быть не более задаваемого Т_{зад i};

б) вероятностного критерия: вероятность своевременной обработки запросов i-го типа в СДК Р_{св i} (Т_{зад i}) за заданное время Т_{зад i} должна быть не ниже задаваемой Р_{св зад i}.

Среднее время реакции СДК и среднеквадратичное отклонение времени реакции при обработке запросов определяют с использованием натурных экспериментов или с использованием моделей теории массового обслуживания. Вероятность своевременной обработки запросов определяют с использованием табулируемой неполной гамма-функции

,

(Ж.2)

где - гамма-функция; , ;

, - рассчитываемые параметры неполной гамма-функции;

и - соответственно среднее время и среднеквадратичное отклонение времени реакции системы при обработке запросов i-го типа в системе (т.е. полного времени пребывания на обработке с учетом ожидания в очередях), Т_i2 - второй момент времени реакции.

Примечание - Для инженерных расчетов вероятности своевременной обработки запросов учитывают, что экспоненциальная аппроксимация распределения времени реакции позволяет получать пессимистические оценки (т.е. оценки сверху), при этом среднее время и среднеквадратичное отклонение времени реакции совпадают.

Для оценок эффективности по всему множеству запросов различных типов, сравнения различных вариантов последовательности обработки запросов и настройки параметров используют следующие показатели:

а) количество своевременно обработанных запросов всех типов S_св:

;

(Ж.3)

б) количество своевременно обработанных в системе запросов лишь тех типов, для которых выполнены требования заказчика по установленным критериям своевременности обработки С_св, вычисляемое по формуле

,

(Ж.4)

где - частота поступления на обработку запросов i-го типа;

- индикаторная функция,

,

- условие, когда для i-го типа запросов задан критерии своевременности по среднему времени реакции и Т_{полн i}  Т_{зад i};

- условие, когда для i-го типа запросов задан вероятностный критерий своевременности и Р_{св i} (Т_{зад i})  Р_{св зад i}.

Необходимые для моделирования границы исходных значений , Т_{зад i}, Р_{св зад i} задают в ТЗ или в постановках функциональных задач, а значения среднего времени и среднеквадратичного отклонения времени реакции системы при обработке запросов i-го типа устанавливают в результате натурных испытаний, экспериментов, дополнительного моделирования или сравнения с аналогами.

Ж.3 Модель для оценки полноты оперативного отражения в СДК ПБ ОПО новых объектов и явлений

До момента, пока новые объекты и явления, ранее не учтенные и появившиеся в динамике функционирования системы, не охвачены в функционирующей СДК ПБ ОПО, для пользователей формально отсутствует полнота оперативного отражения требуемых объектов учета. Требуемая полнота обеспечивается на основе реализации в СДК ПБ ОПО рациональных технологий обнаружения и сбора первоначальных данных, подлежащих в последующем обновлению.

Примечание - Неполнота может возникнуть, например, из-за неподключения (случайного или преднамеренного отключения) датчиков для контроля новых параметров оборудования, объектов ОПО или окружающей среды, которые впервые охвачены СДК ПБ ОПО, или из-за отказа датчиков на новом оборудовании.

В предположении пуассоновского потока новых объектов и явлений вероятность обеспечения полноты оперативного отражения в базе данных СДК ОПО Р_полн новых реально существующих объектов и явлений вычисляют по формуле

,

(Ж.5)

где - частота появления новых объектов и явлений в процессе функционирования СДК ПБ ОПО;

- среднее время подготовки, передачи и ввода новых объектов учета в базу данных СДК ПБ ОПО.

Необходимые для моделирования границы исходных значений задают в постановках функциональных задач, а значения устанавливают в результате натурных испытаний, экспериментов, дополнительного моделирования или сравнения с аналогами.

Ж.4 Модель для оценки актуальности обновляемой информации

После первоначального отражения в СДК ПБ ОПО данных о реально существующих объектах и явлениях эти данные естественным образом устаревают со временем, т.е. теряют свою актуальность для выполнения СДК своих функций. Требуемая актуальность обновляемых данных обеспечивается на основе своевременного выявления значимых изменений, реализации эффективных технологий обновления данных в СДК, а также за счет достаточно частого обновления данных.

При экспоненциальной аппроксимации распределений исходных характеристик и их независимости вероятность сохранения актуальности информации в СДК ПБ ОПО Р_акт на момент ее использования вычисляют по формулам:

- для дисциплины выдачи данных от источника сразу по происшествии значимого изменения состояния объектов учета и явлений

;

(Ж.6)

- для дисциплины обновления информации в СДК ПБ ОПО вне зависимости от наличия или отсутствия изменения текущего состояния объектов учета и явлений

.

(Ж.7)

В случае когда обновление информации в СДК ПБ ОПО осуществляется строго через постоянный интервал времени q, используют формулу

,

(Ж.8)

где - среднее время между значимыми изменениями реальной информации относительно информации, хранимой в СДК ПБ ОПО (т.е. - частота значимого изменения);

- среднее время подготовки, передачи и ввода в базу данных СДК ПБ ОПО данных от источников;

q - среднее время между соседними обновлениями данных (т.е. q^-1 - частота обновления данных) в СДК ПБ ОПО.

Необходимые для моделирования границы исходных значений задают в постановках функциональных задач, значения устанавливают в результате натурных испытаний, экспериментов, дополнительного моделирования или сравнения с аналогами, дисциплину обновления данных в СДК ПБ ОПО и значения q указывают в эксплуатационной документации.

Ж.5 Модель для оценки безошибочности информации после контроля

Требуемая безошибочность информации СДК ПБ ОПО после контроля обеспечивается на основе использования эффективных средств и способов выявления и исправления ошибок и рациональной регламентации работы контролера (в качестве контролера могут выступать программно-технические средства СДК ПБ ОПО, человек-контролер или их комбинация).

Для описания процессов контроля безошибочности информации приняты следующие обозначения: V - объем контролируемой информации; - доля первоначальных ошибок в контролируемой информации (до контроля); - средняя скорость контроля информации; n - частота ошибок контроля 1-го рода; Т_нар - среднее время наработки контролера на ошибку 2-го рода, после истечения которого первая же ошибка в контролируемом объеме информации оказывается пропущенной (для программно-технических средств это - время наработки на отказ); Т_непр - период непрерывной работы контролера; Т_зад - задаваемое время на контроль информации.

Возможны 4 варианта соотношений между временем реального контроля Т_реальн всего объема документа (Т_реальн = V/), задаваемым допустимым временем контроля Т_зад и непрерывным временем работы контролера Т_непр.

Вариант 1. Задаваемое допустимое время контроля не меньше, чем время реального контроля (т.е. Т_реальн  Т_зад), а объем контролируемой информации достаточно мал, что позволяет проверить его за один период непрерывной работы контролера (Т_реальн  Т_непр).

Для экспоненциальной аппроксимации распределений интервалов между ошибками в контролируемой информации, времени до свершения ошибки 1-го рода и времени наработки контролера на ошибку, а также при условии независимости исходных характеристик вероятность Р_{после(1)} (V, , , n, T_нар, Т_непр, Т_зад) отсутствия ошибок в информации после контроля для варианта 1 вычисляют по формуле

.

(Ж.9)

Вариант 2. Задаваемое допустимое время контроля не меньше, чем время реального контроля (т.е. Т_реальн  Т_зад), но объем контролируемой информации относительно большой (Т_реальн > Т_непр). Это требует нескольких N периодов непрерывной работы контролера, в общем случае N = V/(Т_непр). Внутри каждого периода проверяют часть всего объема, равную в среднем V_{части(2)} = V/N, а допустимое время контроля информации для этой части принимают равным Т_{зад части(2)} = Т_зад/N. Тем самым для каждой контролируемой части выполняются условия варианта 1. Вероятность Р_{после (2)} (V, , , n, T_нар, Т_непр, Т_зад) отсутствия ошибок в информации всего объема после контроля для варианта 2 вычисляют по формуле

.

(Ж.10)

Вариант 3. Задаваемое допустимое время контроля меньше, чем время реального контроля (Т_реальн > Т_зад), т.е. объективно может быть проверена лишь часть от всего объема информации, равная объему V_{части (3)} = Т_зад. В свою очередь, сам объем контролируемой информации относительно мал и может быть проверен за один период непрерывной работы контролера, т.е. Т_реальн > Т_непр и для проверяемого объема V_{части (3)} условия варианта 1. Вероятность Р_{после (3)} (V, , , n, T_нар, Т_непр, Т_зад) отсутствия ошибок в информации всего объема после контроля для варианта 3 вычисляют по формуле

,

(Ж.11)

где вероятность отсутствия ошибок в непроверенной части информации V - V_{части (3)} равна Р_{без контроля} = , а вероятность отсутствия ошибок в объеме проверенной информации равна P_{после (1)} (V_{части (3)}, , , n, T_нар, Т_непр, Т_зад).

Вариант 4. Задаваемое допустимое время контроля меньше, чем время реального контроля (Т_реальн > Т_зад), но объем контролируемой информации относительно большой (Т_реальн > Т_непр). Аналогично варианту 3 реально может быть проверена лишь часть от всего объема, равная \/_{части (4)} = Т_зад. Относительно этой части возможны два подварианта: подвариант 4.1: Т_зад  Т_непр, т.е. проверка будет завершена за один период непрерывной работы контролера; подвариант 4.2: Т_зад > Т_непр, т.е. потребуется несколько N периодов непрерывной работы контролера, N = V_{части (4)}/(Т_непр).

Для подварианта 4.1 вероятность Р_{после (4.1)} (V, , , n, T_нар, Т_непр, Т_зад) отсутствия ошибок в информации после контроля вычисляют по формуле

.

(Ж.12)

Для подварианта 4.2 внутри каждого периода проверяют новую часть, равную в среднем V_{части (4.2)} = V_{части (4)}/N, и допустимое время контроля для этой новой части принимают равным Т_{зад части (4.2)} = Т_зад/N. Вероятность Р_{после (4.2)} (V, , , n, T_нар, Т_непр, Т_зад) отсутствия ошибок в информации после контроля вычисляют по формуле

.

(Ж.13)

В итоге вероятность отсутствия ошибок в информации после контроля Р_после за заданное время Т_зад определяется аналитическими выражениями для Р_{после (1)}, Р_{после (2)}, Р_{после (3)}, Р_{после (4.1)}, Р_{после (4.2)} в зависимости от варианта соотношений между исходными данными.

Для всех четырех вариантов частота ошибок после контроля  = .

Понятие ошибки должно быть определено. Необходимые для моделирования границы исходных значений V, Т_зад задают в ТЗ или постановках функциональных задач, диапазон возможных значений , , n, T_нар устанавливают в результате натурных экспериментов, дополнительного моделирования или сравнения с аналогами, значение Т_непр указывают в эксплуатационной документации.

Ж.6 Модель для оценки корректности обработки информации

Требуемая корректность обработки информации программно-аналитическими средствами в СДК ПБ ОПО и выходной информации от СДК ПБ ОПО пользователями обеспечивается на основе применения эффективных способов анализа информации (как с использованием, так и без использования прикладного программного обеспечения), позволяющих учесть важную для принятия решения информацию и не допустить алгоритмических ошибок при анализе всего объема информации. Корректность в обработке информации является следствием приемлемого соотношения между объемом анализируемой информации, частью важной для принятия решения информации, подлежащей учету, скоростью анализа информации, частотой ошибок аналитика, длительностью его непрерывной работы и ограничениями на допустимое время обработки.

Формализация процессов обработки информации в СДК ПБ ОПО полностью аналогична формализации для модели Ж.5 с точностью до переопределений исходных данных согласно 1-му инженерному способу из Е.2.4 приложения Е: V - объем информации, подлежащий обработке (анализу); - часть важной для принятия решения информации, которая должна быть объективно использована при обработке (анализе); - скорость обработки (анализа); n - частота ошибок обработки (анализа) 1-го рода (когда неважная для принятия решения информация ошибочно воспринимается в качестве важной); T_нар - среднее время наработки на алгоритмическую ошибку (когда объективно важная для принятия решения информация игнорируется, это - аналог ошибки контроля 2-го рода); Т_непр - период непрерывной работы аналитика (в качестве аналитика могут выступать программно-аналитические средства или пользователь СДК ПБ ОПО); Т_зад - задаваемое время на обработку (анализ) информации. Вероятность P_корр (V, , , n, T_нар, Т_непр, Т_зад) получения корректных результатов обработки (анализа) информации равна:

,

где , , , , вычисляют по формулам (Ж.9)-(Ж.13).

Необходимые для моделирования границы исходных значений V, Т_зад задают в ТЗ или в постановках функциональных задач, диапазон возможных значений , , n, T_нар устанавливают в результате натурных экспериментов, дополнительного моделирования или сравнения с аналогами, значение Т_непр указывают в эксплуатационной документации.

Ж.7 Модель для оценки безошибочности действий ответственных лиц

Требуемая безошибочность действий ответственных лиц СДК в течение заданного времени обеспечивается на основе профессионального отбора, специальной подготовки пользователей и обслуживающего персонала СДК ПБ ОПО, реализации и использования эффективных средств программной поддержки. Безошибочность является следствием приемлемого соотношения между частотой возможных ошибок, временем их обнаружения и исправления.

С точностью до переопределений исходных данных (см. 1-й инженерный способ из Е.2.4, приложение Е) для расчета вероятности безошибочных действий ответственных лиц в течение заданного периода прогноза используют математическую модель по Е.2.3 или аналогичные ей.

Ж.8 Модель для оценки защищенности системы от опасных программно-технических воздействий (на основе профилактической диагностики целостности системы)

СДК ПБ ОПО считают защищенной от опасных программно-технических воздействий в течение заданного периода прогноза Т_зад, если к началу этого периода ее целостность обеспечена и в течение всего периода Т_зад либо источники опасности не проникают в систему, либо не происходит их активизации.

С точностью до переопределений исходных данных (см. 1-й инженерный способ из Е.4) для расчета вероятности отсутствия опасного воздействия на СДК ПБ ОПО в течение заданного периода прогноза используют математическую модель по Е.2.3 или аналогичную ей.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "Е.2.4"

Примечание - В модели уже сама СДК ПБ ОПО выступает в качестве объекта для воздействия.

Необходимые для моделирования границы исходных значений программно-технических угроз для СДК ПБ ОПО задаются в ТЗ или в постановках функциональных задач при указании сценариев возможного опасного воздействия, длительность диагностики устанавливают в результате натурных экспериментов, а значение периода между контролями указывают в эксплуатационной документации.

Ж.9 Модель для оценки защищенности ресурсов от несанкционированного доступа

Требуемую защищенность ресурсов СДК ПБ ОПО от НСД обеспечивают на основе реализации достаточного количества защитных преград потенциальному нарушителю, выбора относительно стойких к вскрытию средств и алгоритмов защиты и рациональной смены параметров защиты. Предполагают, что НСД к ресурсам состоялся, когда все преграды преодолены. Преграду считают преодоленной, если время, затраченное на ее преодоление, оказывается меньше времени между соседними изменениями защитных параметров преграды.

Вероятность сохранения защищенности ресурсов СДК ПБ ОПО от НСД вычисляют по формуле

,

(Ж.14)

где М - количество преград, которое необходимо преодолеть нарушителю, чтобы получить доступ к ресурсам системы;

- вероятность преодоления нарушителем m-й преграды.

Для экспоненциальной аппроксимации распределений исходных характеристик при их независимости вычисляют по формуле

,

(Ж.15)

где - среднее время между соседними изменениями параметров защиты m-й преграды;

- среднее время преодоления (вскрытия значений параметров защиты m-й преграды).

Необходимые для моделирования исходные количество преград М и границы значений u_m определяют в результате дополнительного моделирования, натурных экспериментов, учитывающих специфику системы защиты и возможные сценарии действий нарушителей, или сравнения с аналогами. Их указывают в конструкторской документации в приложении к возможным сценариям НСД, конкретизирующим требования ТЗ в части обеспечения информационной безопасности, а значения f_m - в эксплуатационной документации.

Примечание - С учетом специфики расчет Р_{преод m} для некоторых из преград может быть осуществлен с использованием модели Е.2.3, в этом случае Р_{преод m} = 1 - Р_возд, где вероятность отсутствия опасного воздействия в результате НСД Р_возд вычисляют по формулам (Е.29)-(Е.34).

Ж.10 Модель для оценки сохранения конфиденциальности информации

Требуемая конфиденциальность информации в СДК ПБ ОПО обеспечивается на основе реализации мероприятий, гарантирующих защищенность ресурсов от НСД (см. модель Ж.9) до истечения периода объективной конфиденциальности данной информации для ее использования.

Вероятность сохранения конфиденциальности информации вычисляют по формуле (Ж.14) с тем отличием, что М - это количество преград, которое необходимо преодолеть нарушителю, чтобы получить доступ к информации, а Р_{преод m} - вероятность преодоления нарушителем m-й преграды до истечения периода объективной конфиденциальности информации Т_конф. Для экспоненциальной аппроксимации распределений исходных характеристик при их независимости Р_{преод m} в этом случае вычисляют по формуле

,

(Ж.16)

где , - см. модель Ж.9.

Необходимые для моделирования исходные значения М, , , устанавливают так же, как и для модели Ж.9, диапазон возможных значений Т_конф указывают в ТЗ или в постановках функциональных задач.

Примечание - При больших значениях Т_конф модель Ж.10 вырождается в модель Ж.9.

Ж.11 Алгоритм расчета обобщенного показателя качества функционирования

Обобщенный показатель качества функционирования СДК ПБ ОПО используют для сравнения и решения оптимизационных задач в определении сбалансированных мер обеспечения ПБ при средне- и долгосрочном планировании на ОПО и обосновании предложений по совершенствованию и развитию МФСБ угольных шахт по результатам системного анализа. Для оценки обобщенного показателя используют вероятность того, что СДК ПБ ОПО обеспечивает надежное и своевременное предоставление содержательной, полной, достоверной и, если необходимо, конфиденциальной информации в течение заданного периода прогноза - Р_{кач СДК} (Т_зад). Алгоритм расчета включает в себя определение исходных данных и соответствующий расчет всех показателей, определяющих качество функционирования СДК ПБ ОПО:

,

(Ж.17)

где - вероятность надежного предоставления и/или доведения требуемой информации в СДК ПБ ОПО в течение заданного периода прогноза Т_зад, определяемая по модели Ж.1;

- относительная доля своевременно обработанных запросов лишь тех типов, для которых выполняются требования по своевременности, определяемая по модели Ж.2;

- вероятность того, что в СДК полностью отражены состояния всех реально существующих критичных объектов и явлений, определяемая по модели Ж.3;

- вероятность сохранения актуальности информации в СДК на момент ее использования, определяемая по модели Ж.4;

- вероятность отсутствия ошибок в информации после ее контроля в СДК, определяемая по модели Ж.5;

- вероятность получения корректных результатов обработки информации, определяемая по модели Ж.6;

- вероятность отсутствия опасного воздействия на СДК в течение заданного периода прогноза, определяемая по модели Ж.8;

- вероятность обеспечения безошибочных действий ответственных лиц в течение заданного периода прогноза, определяемая по модели Ж.7;

- вероятность обеспечения защищенности ресурсов СДК ПБ ОПО от НСД, определяемая по модели Ж.9;

- вероятность сохранения конфиденциальности информации в течение заданного периода прогноза, определяемая по модели Ж.10.

ГАРАНТ:

Нумерация приложений приводится в соответствии с источником