Создание интегрированной системы менеджмента для обеспечения безопасности сложных промышленных объектов

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Создание интегрированной системы менеджмента для обеспечения безопасности сложных промышленных объектов

И.И. Лившиц, А.В. Неклюдов, В.В. Маликов

Белорусский государственный университет

информатики и радиоэлектроники, г. Минск

При создании современных систем управления (СУ) представляется важным обеспечение заданных технологических режимов сложных промышленных объектов (СлПО) и гарантирование безопасного функционирования информационных систем (ИС) в составе конкретных СлПО. Применительно к специфике функционирования СлПО, особое актуальное значение приобретает обеспечение информационной безопасности (ИБ). Расширение термина ИБ (не только «классическая триада»: конфиденциальность, целостность и доступность (см. ISO/IEC 27001), нашло свое практическое применение и в иных документах (IEC 61508, IEC 61511). Обеспечение ИБ (security) предлагается трактовать как компонент более общей задачи - обеспечение функциональной безопасности (ФБ, safety) для СлПО (IEC 61508, п. 3.1.11).

Обзор существующих методик

При изучении проблемы принятия решения при формировании СУ для СлПО применяются различные методики, в том числе: исследование модели проблемной ситуации и учет различных компонент (внутренних и внешних подсистем). Эти методики описаны в работах [1 -4]. В работе [1] отмечается «хаотическая динамика» и междисциплинарная природа сложных технических систем (ТС). В работе [2] отмечается, что «мониторинг, прогнозирование и управление СлО на практике автоматизировано лишь частично». В работе [5] представлен тезис, что «в процессе объединения отдельных наук актуальны вопросы создания критериев комплексной оценки при проявлении кризисов различного рода (катаклизмов)», и есть основание выбрать одну из основных целей создания современных СУ как раз противодействие таким «кризисам».

Применимые требования

В данной работе применяется расширенный «классический» термин ИБ для свойств обеспечения безопасного функционирования СлПО. Для решения проблемы обеспечения ИБ в СУ для СлПО, как проблемы выбора лиц, принимающих решения (ЛПР), необходимо представить ее в виде ряда задач и сформировать модель проблемной ситуации (в нотации, представленной в [12]). В IEC 61508 отмечается: «компьютерные системы… требуют рассмотрения злонамеренных и непредусмотренных действий во время анализа отказов и рисков» (IEC 61508 п. 1.2 k). В стандарте IEC 61511 отмечено, что «в большинстве ситуаций безопасность лучше всего может быть достигнута с помощью проектирования безопасного в своей основе процесса. При необходимости он может быть дополнен системами защиты или системами, с помощью которых достигается любой установленный остаточный риск» (IEC 61511, п. 1.2. e).

Под открытой системой понимается СУ СлПО, в состав которой входят ИС, для которых необходимо обеспечение ИБ, в том числе, обеспечение ФБ (в терминах [5, 6]). В справочнике по эффективности ТС показано, что ТС со слабо предсказуемым поведением относят к сложным, и именно данный тип ТС обладает важным признаком - способностью принимать решения, что особо актуально для области ИТ. Также отмечается, что для достижения поставленной цели следует применять классическое значение операции, точнее, вовлечение средств (систем), непосредственно взаимодействующих с «активными средствами». К таким «активным средствам» операции относят как ТС, так и ресурсы, в том числе и информационные. Эти средства могут объединяться в подсистемы, образуя новые управляющие контура обратной связи, в частности - аудит ИБ. В эту гипотезу хорошо укладывается и предложение включать в состав таких управляющих подсистем «распорядительные центры» (в нотации [12, стр. 12]).

Постановка задачи

Для выбора объектов, подлежащих дальнейшему рассмотрению, из множества имеющихся, ЛПР руководствуется своей системой предпочтений, которая базируется на измерениях (формальных контрольных процедурах). Обозначим (в нотации [12]):

U - множество стратегий ЛПР;

A - множество значений определенных и неопределенных факторов;

G - множество исходов операции;

Y - вектор характеристик исхода g G (числовое выражение результаты операции);

W - показатель эффективности;

Ш - оператор соответствия «результат - показатель»;

К - критерий эффективности;

Н - модель соответствия множеств: H: U Ч A > Y (G)

? - модель предпочтений ЛПР на элементах множества: D = {U, A, G, Y, W, K},

и - общая информация о проблемной ситуации.

Тогда модель проблемной ситуации описывается в нотации [12] как:

U, A, Н, G, Y, , W, K, , (1)

Для решения проблемы принятия решения ЛПР требуется определить состав общей информации о проблемной ситуации (и), как важнейший элемент формирования оперативных и эффективных управленческих решений, основанных на объективных достоверных данных. В качестве ограничений рассматриваются сроки ожидания ЛПР, допустимые затраты.

Оценка общей информации о проблемной ситуации

Современный этап развития теории управления и, соответственно, синтез СУ, включает в себя не только моделирование физических аспектов функционирования систем обеспечения ИБ (насколько это необходимо для создания адекватной модели), но и учет экономических факторов. Вторая (экономическая) часть СУ необходима для учета внешних аспектов любой открытой системы («issues» - в терминах ISO/IEC 27001, ISO 19011) и разнородной структуры требований. Влияние указанных аспектов позволяет осуществить учет разнородной структуры требований безопасности, на базе которых формируется новая информация о проблемной ситуации и_N. Обладая актуальной и_N, ЛПР последовательно формирует компоненты (1).

Общая модель объекта

Рассмотрим общую модель более сложной системы, которая включает СлПО (как объект управления) и СУ, реализованную на базе ИСМ для СлПО (см. рисунок 1). Для обеспечения ИБ СлПО важно определить размерность пространства состояний модели ИСМ для корректного описания аспектов моделирования СлПО. Предлагается ввести в практику оценки новые параметры на основе указанных выше принципов (например, IEC 615011):

границы оценки ФБ;

ресурсы, необходимые для оценки безопасности;

уровень его сложности;

уровень полноты безопасности;

последствия в случае отказа;

уровень стандартизации проектных решений;

нормативные требования безопасности.

Рисунок 1 - Общая модель ИСМ для обеспечения безопасности СлПО

интегрированный безопасность промышленный объект

Отдельно следует принять во внимание «специализацию» СлПО по отраслям и наличие особых требований IEC 61511, например, «мешающий» (ложный) отказ (п. 3.2.65), участие человека как части системы (п. 3.2.92). Дополнительно отметим непосредственное влияние отраслевых аспектов ФБ на частную задачу, например, защиту ключей или паролей (п. 11.7.1.3), защиту конфигурации логических устройств и обеспечение целостности (п. 11.5.5.5). Некоторые аспекты оценки результативности программ аудитов ИБ для конкретного СлПО описаны в работах [7-9]. Предложенная общая модель ИСМ для обеспечения безопасности СлПО (см. рисунок 1) может выступать в качестве новой основной модели, обеспечивая поиск конкретных альтернатив за счет гибких обратных связей (аудитов ИБ). Процесс аудита может предоставлять численные оценки и поддерживать эффективное решение задачи обеспечения безопасности СлПО. В дополнение к определению роли нового блока аудита в составе ИСМ отметим, помимо «классических» требований ИБ, также и требования ФБ (IEC 61508), в частности:

определение требований к периодическому аудиту ФБ, включая частоту проведения аудита, уровень независимости стороны и программу выполнения аудита (п. 6.2.7);

анализ опасностей и рисков, формирование области распространения (п. 7.1.2.2).

С учетом применения риск-ориентированных стандартов в ИСМ важным представляется гарантирование «замыкания» цикла PDCA при управлении ИБ СлПО и формирование контекста для управления СлПО как «открытой системы» в терминах И. Пригожина [11].

Эффективность операций в СлПО

В каждый момент времени система может находиться только в одном определенном состоянии, и это состояние называется «ситуацией» (в нотации [12]). Это хорошо коррелирует с практикой аудитов СлПО, при которой оценивается не ежегодное статическое положение системы, а постоянные системные улучшения [9]. Следующий вопрос касается формирования непосредственно оценки эффективности операции (в предложенной идее - как процесса аудита ИБ для СлПО) через оценивание совокупности факторов, существенно влияющих на изменение обстановки («условия обстановки» в нотации [12, стр. 13]). К таким факторам предлагается отнести, например, следствия активного противодействия (в нотации ISO/IEC 27001), а именно - возможности, характер, способы противодействия и виды атакуемых ресурсов (технические, финансовые, временные и пр.). Эти факторы образуют уточненное пространство временных, технических, ресурсных, технологических и иных ограничений, которые должны быть учтены при решении поставленной задачи.

Для новой предложенной оценки предлагается применять аппарат аудитов ИБ, который позволяет предоставлять численные метрики конкретного СлПО («системной оболочки») и, в частности, оценки степени обеспечения ИБ для СМИБ (как отдельной системы) или ИСМ (как подсистемы). Именно для СлПО удобно расширить термин «качество ТС» (в нотации [12]) на устойчивость, управляемость и пр., что хорошо коррелирует с требованиями стандартов в области ФБ. Отметим также новый стандарт ISO 22316 версии 2017 «Security and Resilience - Organizational Resilience - Principles and Attributes», который затрагивает вопрос «киберустойчивости».

В общей практике аудитов ИБ удобно расширить оценку результативности (как степени достижения цели) на гомеостазис, как способность ТС возвращаться в равновесное состояние после возмущающих воздействий [12, стр. 18]. Рассмотрим виды факторов, которые ЛПР следует принять во внимание при планировании аудитов ИБ в ИСМ: определенные (которые известные с требуемой точностью) и неопределенные (случайные). Наибольшей неопределенностью обладают факторы с неизвестной функцией принадлежности, т.е. диапазонами изменения переменных. К ним применяют процедуры только экспертного оценивания диапазонов изменений их значений [12, стр. 22]. Определим показатель эффективности (в нотации [12]) как W(u), т.е. меру степени соответствия результата операции (по факту) требуемому ЛПР (план). Также дополнительно примем во внимание 3 концепции рационального поведения ТС для выработки решений (в нотации [12]): пригодности, оптимизации и адаптивизации. Для целей конкретного применения модели аудитов ИБ в ИСМ для СлПО более подробно рассмотрим именно адаптивизацию. Это решение объективно обосновывается фактом, что именно для целей аудита ИБ указанная выше концепция предполагает возможность оперативного реагирования в ходе операции на поступающую текущую информацию об изменении возмущающих воздействий [10]. Тогда с учетом модели проблемной ситуации (1) формирования новой информации и_N определим новый показатель эффективности:

(2)

где:

Y (u) - результат операции при некоторой стратегии,

Y^R - результат противодействия ожидаемому выполнению операции при некоторой стратегии (Y^R ? 0),

Y^RR - результат адаптивизации ТС при конкретном применении операции при известном противодействии Y^R при некоторой стратегии,

Y^ТР - требуемый результат операции при условии, что Y (u), Y^R, Y^RR и Y^ТР неслучайные величины.

Отметим, что допускается введение в выражение (2) дополнительной оценочной функции, показывающей склонность ЛПР к риску и формирования специальной «субъективной» (в нотации [12]) оценочной функции. В дальнейшем будем применять только «объективные» показатели эффективности операций. Рассмотрим критерий эффективности К, который вводится на основе предположения рационального поведения ЛПР (что хорошо коррелирует с «разумным поведением» ЛПР в нотации Р. Кини и Х. Райфа) и позволяет сопоставить различные стратегии достижения цели. Соответственно, в данном конкретном случае для СлПО должна применяться новая концепция адаптивизации, заключающаяся в изменении стратегии управления на основе информации, получаемой посредством подсистемы аудитов ИБ (см. рисунок 1). Более того, накапливая такую объективную информацию (Y^R и Y^RR), ЛПР может оперативно строить «прогнозные» стратегии и, при необходимости, обоснованно менять цели. Таким образом:

где:

t - время;

- прогнозное упреждение.

Запись W_t означает динамическую природу изменения показателя эффективности, что может быть увязано c ранее предложенной концепцией «мгновенных аудитов» [10].

Новая модель проблемной ситуации

В соответствии с нотацией [12] определим новую модель проблемной ситуации. На основании имеющейся информации _N и результатов «контрольного» оценивания (аудита) ИБ СлПО необходимо определить модель предпочтений ЛПР - [12, стр. 59], приведенную в (1). Отметим, что наличие А в (1) означает, что часть значений неопределенных факторов будет установлена (например, правила проведения аудитов ИБ заданы регуляторами), либо будет решаться как самостоятельная задача (например, перечень средств обеспечения ИБ, рекомендованных ЛПР к внедрению). Как показано в работе [12], во многих практических случаях априорное значение коэффициента эффективности К приводит к формированию множества «нехудших альтернатив». Это означает, что по результатам аудитов ИБ могут быть сформированы несколько альтернатив, а мера выбора определяется ЛПР посредством модели предпочтения . Общая постановка задачи моделирования предпочтений может быть представлена в виде:

D, _N; _D (3)

где:

D = {U, A, G, Y, W, K}

_N - иная информация о проблемной ситуации.

Предлагается расширить состав информации о проблемной ситуации _N за счет новых факторов и представить задачу формирования множества стратегий ЛПР в новом виде:

_A0, ₁, ₂, ₃, ₄, ₅, ₆, A_N, U_N (4)

где:

_А0 - информация о начальной (исходной) цели операции;

₁ - информация о результативности «мгновенных аудитов» ИБ;

₂ - информация о результативности аудитов всех типов;

₃ - информация об инцидентах ИБ (например, от Security Operation Center (SOC) и пр.);

₄ - информация о новом «контексте» СМИБ (ИСМ);

₅ - информация о новых предпочтениях ЛПР;

₆ - информация о важных изменениях (например, применимого законодательства).

Отметим, что переход от общей модели к модели «конкретной ситуации» является очень сложным, особенно когда речь идет об анализе ТС (в том числе - СлПО) [12, стр. 74]. В ряде случаев применяются только эвристики, т.к. многие компоненты явно не заданы [12, стр. 55]. Кроме того, новацией в развитии модели аудитов ИБ является постоянная оценка адекватности, конкретные механизмы которой (например, циклы оптимизации) рассмотрены ранее в [10].

Выводы

Для оценивания информации о проблемной ситуации, необходимой для формирования управляющих решений, могут быть применены новые критерии. Предложена модель ИСМ для обеспечения безопасности СлПО, которая учитывает новые параметры выполнения аудитов ИБ. Предложено при обеспечении безопасности СлПО дополнительно учитывать концепцию рационального поведения и, прежде всего, «адаптивизацию», что дополнительно учитывает оперативное реагирование на поступающую информацию об изменении возмущающих воздействий.

Список литературы

1. Агуреев И.Е., Тропина В.М. Динамика логистической системы в транспортных цепях поставок // ИзвестияТулГУ. Технические науки. 2011. Вып. 4. С. 158-167.

2. Охтилев М.Ю., Соколов Б.В Новые информационные технологии мониторинга и управления состояниями сложных технических объектов в реальном масштабе времени //Труды СПИИРАН. - 2005. - Вып. 2. - т. 2 - С. 249 - 265.

3. Алабян А.М., Зеленцов В.А., Крыленко И.Н., Потрясаев С.А., Соколов Б.В., Юсупов Р.М. Оперативное прогнозирование наводнений на основе комплексного упреждающего моделирования и интеграции разнородных данных // Труды СПИИРАН. - 2015. - Вып. 4. - С. 5 - 31.

4. Amirouche F. Fundamentals of Multibody Dynamics. Theory and Applications. Birkhauser, Springer, 2005. 684 p.

5. Игонин В.И. Технологические особенности энергообследования зданий, сооружений и инженерных сетей. // Курс лекций. - Вологда: ВоГТУ. 2012. 104 с.

6. Аюров В.Д. Круговорот товаров и физика денег. Неделя горняка - 2003. - ГИАБ, Изд-во МГГУ. 2003. Вып. 5. с. 90

7. Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. Вып. 1. С.22-34.

8. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов - аэропортовых комплексов // Труды СПИИРАН. 2014. Вып. 6. С.72-94.

9. Лившиц И.И. Методика выполнения комплексных аудитов промышленных объектов для обеспечения эффективного внедрения систем энергоменеджмента // Энергобезопасность и энергосбережение. 2015. Вып. 3. С. 10-15.

10. Лившиц И.И. Формирование концепции мгновенных аудитов информационной безопасности // Труды СПИИРАН. 2015. Вып. 6. С.272 - 300.

11. Пригожин И., Гленсдорф П. Термодинамическая теория структуры, устойчивости и флуктуаций. М.: МИР. 1973. 124 с.

12. Надежность и эффективность в технике: Справочник в 10 т./Ред. совет: В.С. Авдуевский, (пред.) и др. - М.: Машиностроение, 1988. - (в пер.) Т. 3. Эффективность технических систем/Под общ. ред. В.Ф. Уткина, Ю.В. Крючкова. - 328 ст.: ил.

Размещено на Allbest.ru