Информационное письмо
Образец оформления статьи
Анкета автора
13.12.2015

Выбор и обоснование комплексного решения ИБ на основе метода анализа иерархий

Проснеков Станислав Анатольевич
Аспирант кафедры вычислительных систем и программирования Санкт-Петербургский государственный экономический университет г. Санкт-Петербург, Российская Федерация
Аннотация: в статье изложено описание предлагаемой методики выбора и обоснования комплексных решений в области информационной безопасности на основе метода анализа иерархий. Рассмотрены предпосылки для создания такой методики, ее достоинства и недостатки.
Ключевые слова: информационная безопасность, метод анализа иерархий, комплексные решения информационной безопасности
Электронная версия
Скачать (467.2 Kb)

С каждым годом зависимость производства и предпринимательской деятельности от информационных становится все сильнее. Если еще недавно, можно было представить организацию, не использующую в своей деятельности каких-либо составляющих информационных технологий, то сейчас это невозможно[2]. Соответственно, внедрение в бизнес-процессы новой составляющей приносит и новые проблемы, в частности вопросы обеспечения информационной безопасности. Для разумной и правильной организации ИБ на предприятии необходимо подходить к этому вопросу с практической точки зрения, т.е. необходимо знать, что защищать, как защищать и насколько существующая или планируемая защита будет эффективна в рамках своих задач, для этого используются процедуры оценки.

Во время оценки эффективности и необходимости вложений в информационную безопасность всегда остро встает вопрос выбора и обоснования средств и методов защиты от угроз и снижения рисков. Т.к. информационная безопасность одна из тех сфер, в которой существует множество решений одной проблемы (организационные, методические и технические средства и методы защиты) соответственно крайне важен вопрос правильного выбора средств, которые смогут обеспечить приемлемый уровень рисков при приемлемых затратах. Концепция приемлемых рисков получила широкое распространение в сфере ИБ, т.к. фактически невозможно построить абсолютно надежную систему защиты, а тем более невозможно это сделать в рамках разумного бюджета.

При этом тема анализа рисков информационной безопасности, как составной части комплексного подхода к обеспечению информационной безопасности, достаточно широко освещена в целом ряде нормативных и методических документов, а также международных стандартов. При этом основное внимание уделяется организационным вопросам проведения процедуры. Применение результатов описанных процедур затруднительно в задачах управления деятельностью предприятия, так как они имеют качественный характер и не позволяют оценить реальные ожидаемые потери организации в результате инцидентов, связанных с информационной безопасностью.

Т.е. в результате процедуры аудита, организация не получает никакого конкретного плана действий, не говоря уж о средствах и методах закрытия уязвимостей. Эти решения остаются на совести аудитора (команды аудиторов) и требует их высокой квалификации для принятия правильных решений. Зачастую эти решения не обоснованы ничем кроме как личным мнением специалиста, и никак не обоснованы для представителей организации.

Соответственно для облегчения выбора и обоснования необходима прозрачная и понятная процедура, которая позволит однозначно определить решение или комплекс решений, подходящих для каждой конкретной ситуации.

Метод анализа иерархий хорошо подходит для решения неформализованных задач такого плана с неравными альтернативами [3]. МАИ хорошо показывает себя в случаях, когда надо выбрать одну альтернативу из множества, но метод не учитывает возможности создания комплексного решения из комбинации альтернатив для достижения максимального эффекта и/или экономии средств [1]. Из-за этого складывается ситуация, когда при большом выборе альтернатив, часто отсеиваются альтернативы имеющие лучшие характеристики по некоторым критериям ввиду того, что общий коэффициент превосходства такой альтернативы может быть меньше чем у решения с более низкими, но более равными коэффициентами превосходства по всем критериям.

В случае, когда альтернатив немного, лицо принимающее решение (ЛПР) может самостоятельно вручную, проанализировать различные комбинации альтернатив и в случае наличия более эффективной и/или менее затратной комбинации отдать предпочтение ей. Но что делать в случае если альтернатив много, например, для 10 альтернатив количество уникальных сочетаний из 2 элементов равно 10, из 3 элементов 120, а из 4 – 210. При таких объемах вручную анализировать каждую комбинацию становится слишком дорого. Это ограничивает гибкость и применимость данного метода, особенного учитывая тот факт, что в ИБ как нигде ценится комплексность решений.

В данной статье будет рассмотрено, предложенное автором решение по выбору и обоснованию комбинаций альтернатив на основе МАИ. Для это рассмотрим предложенный метод на примере:

Имеется иерархия из 7 критериев и 5 альтернатив:

1.png

Для определения приоритета всех элементов, элементы сравниваются попарно с помощью матриц сравнения, начиная с матрицы весов критериев. Каждая матрица может быть получена не от одного эксперта, а от нескольких в таком случае значения матриц усредняются.

Матрица попарных сравнений размерности n x n:

2.png

Процесс свертки происходит поэтапно, аналогично вычислению весовых коэффициентов критериев. Заполняются матрицы сравнения по каждому из критериев. Для каждой из матриц сравнения вычисляется собственный вектор. Затем полученные по каждому из критериев значения превосходства нормируются на максимум, умножаются на весовые коэффициенты критериев и получают финальную таблицу с коэффициентами превосходства по каждому критерию.

После проведения всех этапов МАИ, итоговая таблица коэффициентов превосходства выглядит так:


Критерий 1 Критерий 2 Критерий 3 Критерий 4 Критерий 5 Критерий 6 Критерий 7 Приоритет
Альтернатива 1 0.059 0.003 0.006 0.098 0.014 0.008 0.013 0.204
Альтернатива 2 0.031 0.016 0.002 0.098 0.007 0.004 0.004 0.165
Альтернатива 3 0.061 0.007 0.003 0.098 0.01 0.004 0.008 0.196
Альтернатива 4 0.035 0.038 0.011 0.027 0.028 0.024 0.024 0.189
Альтернатива 5 0.146 0.007 0.002 0.015 0.06 0.005 0.006 0.244

Из таблицы видно, что решение с наибольшим общим приоритетом (суммой локальных приоритетов) является лучшим только по двум критериям из 7. А остальные варианты фактически отбрасываются, несмотря на то что, например, комбинация максимальных значений локальных приоритетов «альтернативы 1» и «альтернативы 4» суммарно больше чем глобальный приоритет «альтернативы 5» в целом.

Но напрямую суммировать все локальные коэффициенты превосходства по двум альтернативам нельзя т.к. не для всех критериев возможно улучшение показателей путем суммирования альтернатив. Для таких критериев необходимо учитывать только максимальное значение коэффициента превосходства среди всех альтернатив проверяемой комбинации. Т.е. в рассматриваемом примере для комбинации «альтернативы 1» и «альтернативы 4» это будет выглядеть так (см. табл. 2).


Критерий 1

Критерий 2

Критерий 3

Критерий 4

Критерий 5

Критерий 6

Критерий 7

суммарный приоритет

Альтернатива 1

0,059

0,003

0,006

0,098

0,014

0,008

0,013

0,282

Альтернатива 4

0,035

0,038

0,011

0,027

0,028

0,024

0,024

Нельзя не учитывать тот факт, что возможно существование критериев, для которых будет допустимо суммирование локальных приоритетов по отдельным критериям, в этом случае суммарный приоритет может быть еще больше и превосходство его над приоритетом отдельной альтернативы еще существеннее. Отсюда можно сделать вывод, что необходимо до начала процедуры оценки приоритетов комбинированного решений, заранее определить для всех критериев допустимо или не допустимо суммирование локальных приоритетов при оценке комбинаций альтернатив.

Также важно понимать, что, комбинируя альтернативы для получения лучших результатов, мы переносим в комбинированное решение, не только плюсы каждой отдельной альтернативы, но и минусы, которые при применении МАИ обычно явно не указываются.

Вопрос применимости такого подхода и адекватности выдаваемых им результатов так или иначе остается в зоне ответственности специалиста, проводящего оценку, в данном случае специалиста по информационной безопасности. Важно понимать, что специалист должен обладать необходимой квалификацией для применения методики (даже в случае классического метода анализа иерархии) и четко понимать вопросы проведения оценки.

Список литературы:

1. Минаков В.Ф. Метод анализа многомерных иерархий // Nauka-rastudent.ru. – 2015. – № 7 (19). – С. 31. / [Электронный ресурс] – Режим доступа. – URL: http://nauka-rastudent.ru/19/2803/.

2. Путькина Л. В. Эволюция концепций применения ИТ в управлении бизнес-процессами//Международный научно-исследовательский журнал. 2014. №12-2 (31). С.31-32.

3. Саати Т. Принятие решений. Метод анализа иерархий. М.: Радио и связь, 1993.