УПРАВЛЕНИЕ КОМПЛЕКСНОЙ БЕЗОПАСНОСТЬЮ КВО НА ОСНОВЕ ОЦЕНКИ РИСКОВ ВОЗНИКНОВЕНИЯ ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ

Аннотация.

Предлагается методика определения эффективности системы обеспечения безопасности КВО как оценки рисков возникновения чрезвычайных ситуаций. Особенностью методики является последовательное вычисление эффективности защиты каждой уязвимости объекта от каждой угрозы и агрегация полученных результатов на объект в целом. Приводится варианты расчетов выбора средств противодействия для повышения эффективности системы    обеспечения    безопасности.    Методика    реализуется    программно-аппаратным    комплексом «РискМенеджер» и отработана на реальных объектах.

Annotation.

A method of determining the effectiveness of the security management system of QUO as risk assessment of emergencies. Feature of the technique is the consistent evaluation of the effectiveness of the protection of each object from each threat vulnerability and aggregation of results to the object as a whole. Payment options is provided to choose the means of combat in order to enhance the effectiveness of the security management system. The technique is a hardware-software complex «RiskMenedžer» and tested on real objects.

Ключевые слова. Безопасность КВО, система обеспечения безопасности, эффективность, методика расчета, риски, чрезвычайные ситуации, варианты повышения эффективности.

Keywords. Quo safety, security system, effectiveness, methods of calculating ,risks, emergencies, ways to improve efficiency.

В настоящее время проблема обеспечения безопасности критически важных объектов (КВО), входящих в состав критических инфраструктур страны – управления, производства, транспорта, финансов и т.д. – приобретает все большее значение для общей безопасности государства. Эта проблема имеет общий характер практически для всего мирового сообщества и ее решением занимаются во многих странах. Накопленный опыт показывает, что решение проблемы простыми, традиционными методами, разработанными в 90-х, 2000-х годах осложняется наличием ряда внешних и внутренних факторов, препятствующих их эффективному применению [8].

К таким факторам относятся:

-    большое количество, многообразие и постоянное усложнение систем и процессов функционирования КВО различных сфер деятельности;

-     расширение использования информационно-телекоммуникационных технологий (ИТТ) и открытых систем связи (ОСС), включая Интернет в информационных, управленческих и производственных системах КВО и, соответственно, увеличение числа и разнообразия его уязвимостей, в том числе и в результате отрицательного воздействия человеческого фактора;

-    постоянный рост видов, состава и объемов обрабатываемой и необходимой для деятельности объектов информации, часто характеризующейся неполнотой, недостоверностью, несвоевременностью, высокой сложностью и трудоемкостью еѐ сбора и обработки;

-     тенденция к расширению видов, способов реализации и общего количества угроз нарушения безопасности КВО, включая новый вид угроз – киберугрозы;

-   появление новых, все более сложных средств и мер противодействия угрозам.

Все перечисленные выше факторы значительно повышают неопределенности, требующие разрешения при создании и модернизации систем обеспечения безопасности КВО и практически не позволяют получить удовлетворительного решения по защите объекта простыми методами.

Следовательно, необходимо конкретизировать в общем виде проблему и сформулировать новый подход к ее решению с учетом выявленных выше факторов нежелательного воздействия, что требует создания надежной, эффективно функционирующей, экономически, технически и организационно реализуемой системы обеспечения комплексной, т.е. от любых видов угроз безопасности (СОБ), в особенности, для существующих КВО.

Проблема может быть сформулирована в виде:

Создание условий, при которых действие внешних и внутренних воздействий – угроз не приводит к ухудшению параметров состояния КВО или к невозможности его функционирования и развития за счет управления эффективностью системы обеспечения комплексной безопасности (СОБ) объекта, рассчитываемой для всех критических элементов структуры объекта и КВО в целом.

В определении проблемы использован ряд терминов, требующих объяснения.

Под комплексностью  безопасности понимается  способность СОБ обеспечивать противодействие всем видам угроз – террористическим, технико-технологическим, информационным и т.д. Другими словами, СОБ должна строится не по виду угрозы (как это принято сегодня), а по общим требованиям по защите объекта.

Под эффективностью СОБ понимается ее способность к защите каждой критической точки (уязвимости) КВО и всех входящих в его структуру элементов при воздействии на них комплекса угроз. Предполагается, что оценка эффективности СОБ может быть рассчитана как значение вероятности (риска) реализации угрозы в какой либо уязвимости, при заданном составе средств противодействия [1].

Для решения поставленной проблемы предлагается методика расчета рисков нарушения нормального режима функционирования КВО при возможной реализации угроз и программно-аппаратного комплекса выполнения предлагаемой методологии.

При создании методики использованы материалы, изложенные в [7], а также положения директивных материалов, включая зарубежные [2], [3], [4], [5], [10].

Величины рисков нарушения безопасности КВО (оценки уязвимости) определяются возможностями средств и методов противодействия потенциальным угрозам, т.е. эффективностью системы обеспечения безопасности (СОБ КВО).

КВО как объект защиты рассматривается как совокупность образующих его структуру критических элементов, участвующих в обеспечении нормального функционирования объекта.

При этом КВО рассматривается как многоуровневая иерархическая структура, первым (нижним) уровнем которой являются уязвимости всех критических элементов, далее – каждый критический элемент и высшим – КВО в целом. На Рисунке 1 приведена блок-схема объекта и его взаимодействия с СОБ.

Предлагаемая методика требует выполнения последовательности достаточно простых операций, обеспечивающих определение эффективность СОБ. Эффективность СОБ – величина рисков нарушения безопасности, определяется путем последовательности выполнения двух основных операций. Первая операция – расчет эффективности обеспечения безопасности каждой уязвимости каждого критического элемента при воздействии на нее каждого способа реализации каждой угрозы при использовании одного средства противодействия или их набора.

Вторая операция – агрегация всех значений эффективностей по каждой уязвимости, каждому критическому элементу и по объекту в целом. Полученная таким расчетом величина определяется   как

«эффективность СОБ всеми потенциально возможными способами противодействия воздействию всех угроз». Также предусмотрена возможность, при получении низкого значения эффективности СОБ для какой либо уязвимости, определения комплекса средств противодействия, обеспечивающего повышение значения эффективности.

Поскольку возможность реализации угрозы имеет вероятностный характер, т.е. она может быть реализована в течении определенного срока, например, год, то, соответственно, оценка эффективности используемых в СОБ средств противодействия также носит вероятностный характер, что позволяет применить для ее расчета методы теории вероятности.

В предлагаемой методике оценка риска Rijk рассматривается как индикатор того, что с вероятностью Rijk на уязвимости l элемента w при использовании средства противодействия i будет реализован j способ угрозы k .

Индикатор определяет чувствительность СОБ к изменению как способа реализации угрозы, так и средств противодействия.

Необходимо сделать некоторые замечания относительно точности определения значения оценки риска реализации угрозы. В том случае, если уязвимость является каким либо техническим комплексом, например, технологическим процессом, то его защищенность оценивается значением контролируемого параметра в заданном диапазоне. Например, состояние уязвимости гидросооружения – плотины, контролируется оценкой подъема верхнего бьефа платины. Если уровень зеркала водохранилища находится в заданном диапазоне, то уязвимость защищена техническим средством противодействия (клапаны водостоков плотины). Намного сложнее вопрос о точности значения индикатора, если уязвимостью является, например, программный интерфейс информационных систем (сетей), защита которой также обеспечивается программными средствами. В этой ситуации иметь точные оценки защищаемого параметра и средства противодействия невозможно. Соответственно, в этом случае значение величины индикатора именно индицирует и приблизительно оценивает опасность. Еще сложнее ситуация, когда уязвимость и\или средство противодействия связана с человеком или это организационная мера. В этом случае имеем именно индикатор опасности, не более того.

Показатель степени защищенности Uijk это характеристика  эффективности средства противодействия, которая показывает,  с какой вероятностью i-е средство противодействия защитит объект от j-го способа реализации к-ой угрозы. Если необходимо оперировать с понятиями «риска реализации угрозы», то значение вероятности риска определяется как Rijk = 1 - Uijk

Также в качестве одного  из параметров описания i-го СП  может  быть его стоимостная оценка Cijk , включающая стоимость его производства и эксплуатации.

w ∈ 𝑊- номер критического элемента объекта;

l ∈ 𝐿 - номер уязвимости w- го критического элемента;

𝑘 ∈ 𝐾 - номер потенциальной угрозы;

j ∈ 𝐽 - номер способа реализации k –ой угрозы;

𝑌𝑜 - величина контролируемого параметра объекта;

i∈ 𝐼 - номер средства противодействия;

𝐶𝑖𝑗𝑘 - стоимостная оценка i-го СП, включающая стоимость его производства и эксплуатации;

𝑌𝑖 - нормативная функция i-го средства противодействия (значение параметра объекта, которое может

защищать i-е СП);

𝐻𝑖𝑗𝑘 –эффективность i-го СП, т.е. степень эффективности выполнения i-м СП своих нормативных

функций 𝑌𝑖 по противодействию j-му способу реализации k-ой угрозы;

n ∈ 𝑁 -число однородныхi-х СП, которые могут быть использованы для повышения эффективности

защитыот j-ой уязвимости ;

𝑁𝑖𝑗𝑘 - композиция разного рода i-х СП, которые могут быть применены совместно для защиты l от j-ого

способа реализации k-ой угрозы;

d– количество различных i-х СП, образующих композицию 𝑁𝑖𝑗𝑘 ;

Uijk = f ( Hijk ) - показатель степени защищенности элемента (объекта) от j-го способа реализации k-ой

угрозы;

ijk R = 1 - ijk U - величина риска нарушения безопасности критического элемента.

Прежде чем перейти к детальному рассмотрению конкретного содержания предлагаемой методики необходимо отметить ее ориентацию на решение трех практических задач [6]:

Первая – оценка эффективности существующей, на момент проведения анализа, СОБ на исследуемом КВО.

Полученная количественная оценка риска нарушения безопасности является объективным основанием для принятия решений по мерам усиления защиты объекта.

В результате выявляются наиболее слабые критические точки объекта (уязвимости) и необходимые меры по их ликвидации.

Вторая – определить состав и структуру СОБ, обеспечивающей  min ее стоимости при заданном уровне безопасности КВО.

Решение этой задачи направлено на формирование оптимальной по стоимости      СОБ объекта при фиксированном уровне риска нарушения его безопасности.

Третья - определить состав и структуру СОБ, обеспечивающей  max   безопасности КВО при заданной величине стоимости защиты.

Решение этой задачи направлено на формирование оптимальной по эффективности      системы защиты объекта при фиксированной стоимости его СОБ.

Результаты решения второй и третьей задачи позволяют сделать рекомендации по выбору средств противодействия, обеспечивающих увеличение низких значений эффективности безопасности.

Соответственно, описание алгоритма реализации предлагаемой методики предусматривает наличие двух взаимосвязанных «ветвей»: первая – решение первой задачи; вторая – решение второй и третьей задачи.

Для проведения расчетов показателя степени защищенности выполняется следующая последовательность операций расчета эффективности существующей СОБ:

Операция  1.  В  процессе  выполнения  этой  операции,  с  использованием        сформированных  на подготовительном этапе баз данных, определяются:

-   модель угроз для каждого элемента объекта;

-      все L уязвимости всех W критических элементов и способы j-ой реализации каждой k-ой угрозы для каждой уязвимости;

-   профили защиты для l-ой уязвимости, т.е. состав требований по обеспечению парирования данного j-го способа реализации угрозы k;

- структура и состав существующей СОБ объекта, включая характеристики всех используемых I-х средств противодействия с их распределением по определенным ранее L уязвимостям;

Операция 2. Определяется величина показателя степени защищенности Uijk  для каждой l-ой уязвимости от каждого j-го способа реализации k-ой угрозы при использовании i-го средства противодействия (СП).

2.1. Определяется величина показателя степени защищенности Uijk   при использовании n средств

противодействия i-го вида по каждому j-му способу реализации k-ой угрозы;

2.2             Проводится оценка эффективности существующей композиции всех СП, используемых против определенного способа реализации угрозы.

Операция 3. Определяется величина показателя степени защищенности Uwk всех уязвимостей  w-го элемента от всех способов реализации k-ой угрозы при использовании всех возможных комбинаций СП, т.е. определяется показатель степени защищенности w-го элемента структуры КВО от k-ой угрозы

Операция 4. Определяется величина показателя степени защищенности UwK всех уязвимостей w-го элемента от всех способов реализации всех K-ых угроз при использовании всех возможных комбинаций СП, т.е. определяется показатель степени защищенности w-го элемента структуры КВО от K угроз.

Операция 5. Определяется величина показателя защищенности UWK КВО в целом путем агрегации значений Uwk  для всех W элементов структуры объекта.

Конкретное содержание описанной методики подробно изложено в [7]. Следует отметить, что все базовые положения предлагаемой методики, разработанной в ИСА РАН и впервые примененной в ЦБ РФ еще в начале 2000-х, практически повторены в Приказе Президента США от 12.02.2013г. «ExecutiveOrder13636» [11].

Алгоритм решения поставленных задач

Очевидно, что общий алгоритм представляет собой совокупность двух – решения I задачи и решения II и III задач. «Ветви» алгоритма взаимосвязаны и, в целом, определяют полный набор операций, реализующих предлагаемую методику.

Центральным    понятием     и  исходным     параметром,    позволяющим     построить  нормативную  базу количественных оценок эффективности функционирования  СОБ является величина Hijk -      эффективности средства   противодействия       конкретному   способу реализации  угрозы, т.е.   эффективность  i-го   средства противодействия (СП) реализации j-го способа k-ой угрозы на l-ой уязвимости. Величина Hijk может быть интерпретирована как вероятность того, что данный способ реализации угрозы будет предотвращен.

Для элементарной ситуации, когда используется одно СП для одного способа реализации угрозы по одной уязвимости, оценка эффективности вычисляется по формуле

Uijk = Hijk (1)

Агрегация всех оценок для множества элементарных ситуаций

Алгоритм расчета эффективности существующей СОБ объекта Алгоритм образуют следующие операции:

Первая операция является подготовительной к расчету, выбирает и уточняет имеющуюся в базе данных информацию по составу:

-   входящих в функциональную структуру КВО критических элементов;

-   уязвимостей каждого элемента;

-   потенциальных угроз и способов их реализации для каждой уязвимости;

-   профиля защиты, т.е. набора требований по защите каждой уязвимости от каждого средства реализации угрозы;

-     средств противодействия (СП) и всех их характеристик (эффективность, стоимость, нормативная функция), используемых существующей СОБ для защиты каждой уязвимости от каждого способа реализации угрозы; обязательно уточняется наличие дублирования и/или комбинации СП на данной уязвимости.

Результаты операции представляются в виде таблицы 1 по каждому критическому элементу.

Таблица 1 

Критический элемент W

Вторая операция является базовой для расчета и обеспечивает определение величины оценки эффективности i-го СП при защите l-ой уязвимости от j-го способа реализации угрозы для w-го элемента. В простом случае (одно СП) расчет проводится по формуле (2). 

Если в СОБ используется n одинаковых i-ых СП (дублирование СП), то расчет проводится по формуле (3)

где  U1      – эффективность одного i-го СП,      n – количество i-ых СП.

В том случае, когда в СОБ используется комбинация Nijk  различных СП для защиты l-ой уязвимости от j-го способа реализации k-ой угрозы, то расчет проводится по формуле (3), а каждая эффективность Ulijk  =Hijk .

Полученные значения эффективности  проверяются  на их соответствие заданным в профиле      защиты требованиям. Например, если требования определяют величину защиты 0.98, а значение эффективности – 0.85, то применяемые СП являются не достаточными и требуют либо дублирования, либо применения новой комбинации. Во всех ситуациях такого рода данная уязвимость определяется как «слабое место» и необходимо принятие новых мер обеспечения еѐ безопасности.

Третья операция позволяет определить степень защищенности Uwk угрозы w-го элемента структуры КВО от k-ой

Для этого по формуле (3) проводится агрегация всех ранее вычисленных ранее Uijk и определяется Uwk критического элемента от k-ой угрозы.

Четвертая операция позволяет определить полную защищенность U w потенциальных угроз критического элемента       от всех

Расчет проводится по формуле (3) с использованием всех полученных ранее значений Uwk .

Пятая операция– это полный расчет степени защищенности КВО от возможного воздействия на него всей составляющих принятой ранее модели угроз.

Используется та же формула (3) с включением в нее всех значений U w .

Последняя операция – расчет риска возникновения на объекте критической ситуации при наличии существующей СОБ и воздействии на него принятой модели угроз.

Расчет риска (оценки уязвимости КВО) проводится по формуле

  Rmax  = 1-Ulk min (4)

Таким образом, первая задача – оценка уязвимости КВО или эффективности существующей на объекте СОБ, решена.

Алгоритм решения задач по совершенствованию существующей СОБ объекта Алгоритм образуют следующие операции:

Операция I. Полностью соответствует Первой операции ранее рассмотренного алгоритма и может использоваться для уточнения полученных при ее выполнении данных.

Операция II. Расчет количество n однотипных средств противодействия i для повышения эффективности защиты l-ой уязвимости w-го критического элемента от j- го способа реализации k-ой угрозы.

Количество n однотипных i-х СП определяется как

Также определяется риск возникновения на объекте критической ситуации при наличии модернизированной, за счет выполнения рассмотренных выше операций, СОБ и воздействии на него принятой модели угроз.

Расчет риска (оценки уязвимости КВО) проводится по формуле Rmax  = 1-Ulk min (5)

Выполнение последовательности перечисленных выше операций обеспечивает решение задач обеспечения безопасности как КВО в целом, так и образующих его структуру критических элементов.

Как показывает полученный опыт эксплуатации предлагаемой методики наиболее наглядно представлять результаты расчетов удобно представлять в виде цветной диаграммы Ганта для каждой выполненной операции (такая опция в ПАК «РискМенеджер» имеется). При изображении целесообразно введение нескольких областей оценки результатов. Например, области значений эффективности 0 – 0,25 (красная зона); 0.26 – 0.5 (розовая зона); 0,56 – 0,75 (голубая зона) и 0,76 и выше (зеленая зона). Соответственно, к первой области значений оценки относятся наиболее  опасные уязвимости и слабые СП,  далее – более защищенные и т.д. Такая индикация позволяет ЛПР наглядно представлять себе всю ситуацию в целом и обратить внимание на наиболее «узкие места» в обеспечении безопасности [9].

На Рисунке 2 представлена блок-схема алгоритма реализации этапа расчетов показателя степени защищенности объекта. В схеме выделены две ветви:

– алгоритм оценки текущей эффективности СОБ объекта (левая ветвь);

-    алгоритм выработки предложений по повышению эффективности СОБ (правая ветвь).

Применение предлагаемого метода расчета эффективности обеспечения комплексной безопасности КВО при воздействия различного типа внешних и внутренних угроз требует использования большого объема заранее подготовленной информации. Для этого необходимо проведение достаточно трудоемких работ по еѐ сбору и организации, что требует выполнения набора операций в рамках подготовительного этапа.

Исходной информацией является:

-       проектные, технико-технологические, географические, кадровые и экономические данные по функциональной структуре КВО и входящих в его структуру элементов;

-     полная функциональная структура КВО со всеми входящими в ее состав производственными и организационными элементами и их взаимосвязями;

-     структура и  конструктивные особенности элементов  (производственных  и  организационных служб) объекта, параметры (критерии) оценки выполнения ими своих функций;

-           модель угроз всех видов (террористические, технико-технологические, экологические, инфраструктурные, кибернетические и т.д.) потенциальных внешних и внутренних угроз со всеми способами их возможной реализации;

-   потенциальные точки возможной реализации угроз в структуре элементов КВО (уязвимости элементов), выделены способы реализации угроз в данной точке и параметры, на основании которых должна определяться реализация угрозы.

-       данные о всех имевших место на подобных КВО случаях возникновения критических ситуаций как следствии реализации угроз;

-     директивные документы (Федеральные Законы, Указы Президента, Постановления Правительства, ведомственные регламенты, внутри объектные и международные положения и т.д.), связанные с проблемами обеспечения безопасности КВО и приведенные в них требуемые критерии и параметры защиты;

-      структура, состав, организация и регламенты функционирования имеющейся на КВО системы обеспечения комплексной безопасности;

-   данные (технические и экономические характеристики) по всем используемым в СПО объекта средств противодействия угрозам, входящим в состав модели угроз.

Также для каждой уязвимости разрабатывается профиль ее защиты, связывающий «угрозы - способы их реализации - уязвимости элемента–требования (критерии) по обеспечению безопасности».

Вся исходная информация организована в соответствующие базы данных, имеющих необходимый интерфейс с СОБ объекта.

Очевидно, что трудоемкая работа по подготовке необходимой информации должна быть проведена до начала реализации методики.

Подробно содержание описанной методики,       реализующего еѐ программно-аппаратного комплекса «РискМенеджер» и примеры конкретного применения методики изложены в [7].

Следует отметить, что разработанная методика и ПАК «РискМенеджер» практически реализованы в ЦБ РФ, в системах обеспечения безопасности Международного аэропорта Шереметьево, в системах контроля состояния безопасности объектов Ространснадзора РФ и МЧС РФ [8].

Как курьез можно отметить то, что все базовые положения предлагаемой методики, разработанной в ИСА РАН  еще  в  начале  2000-х,  практически  повторены  в  Приказе  Президента  США  от  12.02.2013г. «ExecutiveOrder13636» [11].

В качестве заключения можно отметить, что предлагаемая методика и ее программная реализация позволяют существенно повысить эффективность существующих СОБ и соответствует требованиям к обеспечению безопасности КВО, установленным в проекте Федерального Закона «О безопасности критической информационной инфраструктуры Российской Федерации» [3].

Статья подготовлена на основе результатов работ, проводимых при поддержке РФФИ (грант № 15-07- 01796)

Список литературы

1.     Калашников А.О., Е.В. Ермилов Е.В., Чопоров О.Н., Разинкин К.А., Баранников Н.И. Атаки на информационно-технологическую инфраструктуру критически важных объектов: оценка и регулирование рисков, М. «Научная книга». 2013. 160 с.

2.     О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Указ Президента Российской Федерации от 15 января 2013 г. № 31с.

3.     Проект Федерального Закона «О безопасности критической информационной инфраструктуры Российской Федерации».

4.     РД. «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры».Утвержден ФСТЭК России от 18.05.2007 г. (гриф «ДСП»).

5.     РД. «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры». Утвержден ФСТЭК России от 18.05.2007 г. (гриф «ДСП»);

6.     Цыгичко В. Н. Оценка эффективности систем обеспечения информационной безопасности объектов национальной инфраструктуры // Современные проблемы и задачи обеспечения информационной безопасности / Труды Всероссийской научно-практической конференции «СИБ-2014». – М.: МФЮА, 2014. – С. 80–89.

7.     В.Н.Цыгичко, Д.С.Черешкин. Безопасность критически важных объектов транспортного комплекса. – LAP LAMBERT Academic Publishing, Saarbrucken Deutschland, 2014. Стр.216

8.     Цыгичко В. Н., Черешкин Д. С. Некоторые методологические проблемы создания автоматизированных систем обеспечения безопасности критически важных объектов транспортной инфраструктуры / Труды ИСА РАН. – 2013. –Спецвып.– С. 5–21.

9.     Черешкин Д.С. Аппаратно-программный комплекс обеспечения антитеррористической безопасности (на примере транспортного комплекса) // Труды СПИИРАН. СПб, ООО «Политехника-сервис», 2010, т.1.

10. The President Executive  Order 13010 – Critical Infrastructure  Protection. // Federal Register / Presidential Documents / V. 61, № 138 / Wednesday, July 17, 1996.

11. «ExecutivePresident’s Order13636 » 12.02.2013.