Разработка подхода по оценке функциональной безопасности критической социотехнической системы

В статье рассматривается подход по описанию функциональной безопасности критической социо-технической системы и примерные показатели, по которым оценивается состояние системы по выполнению основных функций и задач системы.

В результате повсеместной информатизации органов государственной власти функции управления передаются под контроль автоматизированных информационных систем (АИС). Этот процесс порождает проблему обеспечения функциональной безопасности сложных эргодических систем, использующих гибридные человекомашинные технологии обработки информации. Особенно актуальной проблема функциональной безопасности(ФБ)являетсядляАИС,обеспечива-ющих функционирование критичных систем управления органов государственного управления. Большинство систем этого класса характеризуются критичностью решаемых задач, территориальной и информационной распределенностью, концентрацией информации ограниченного доступа, семантической доступностью для информационного воздействия, временными ограничениями цикла управления. Таким образом, к АИС, обеспечивающим функционирование критичных систем управления органов государственного управления, необходимо предъявлять повышенные требования по ФБ из-за опасности последствий нарушения их функционирования [1].

Однако вопрос обеспечения ФБ в настоящее время получил развитие только для программных средств и технических комплексов. АИС представляют собой сложные социотехнические системы, которые должны учитывать внутренние угрозы и дестабилизирующие факторы, возникающие при участии человека-оператора [2].

Неспособность полноценного противодейс-твиявнутреннимугрозамнапрактике,помимоне-полноты исходной информации о действиях злоумышленника, некорректного формулирования задач и целей системы, завышения требований к подчиненным информационно-вычислительным системам (ИВС) объясняется неадекватностью обеспечения уровня информационной безопас- ности (ИБ) только на основе моделей разграничения доступа при дальнейшей работе систем в масштабе реального времени. Поэтому необходимо введение категории цели функционирования системы при формировании понятия ФБ АИС.

Цель системы может быть задана как в неявном, так и в явном виде. Внимание должно акцентироваться на том, для выполнения каких функций и задач предназначена система, с каким допустимым качеством она должна их выполнять и каковы относительные важности выполняемых системой задач.

Анализ проблемы ФБ показывает, что, с одной стороны, необходимо учитывать тип взаимодействия системы со средой и проводить исследование на определенном множестве воздействий внутренней среды на систему, а с другой стороны – учитывать требования к выполнению набора задач, потери от невыполнения каждой из задач, возможности перераспределения задач между элементами системы, тип управления в системе [3].

Показатели оценки ФБ сетей связи характеризуют в основном влияние структуры сети на ее живучесть, поэтому их следует отнести к показателям структурной живучести. Оценка ИВС по показателям структурной живучести адекватна в том случае, если есть уверенность, что система выполнит свои функции при наличии связности в условиях отказов и повреждений.

При таком подходе к оценке ФБ не всегда возможно оценить способность системы выполнять свои функции, так как в условиях отказов и разрушений в системе она может оставаться связной, но не сможет решить все возложенные на нее задачи. Однако нарушение связности не всегда приводит к полному отказу всех функций системы, так как в ряде случаев возможно решение некоторой части задач.

В отличие от показателей структурной живучести в показателях ФБ учитывается в явном виде качество выполнения функций, для которых предназначена система.

Под ФБ в данной работе понимается способность системы выполнять заданные функции (на- боры задач) в условиях возможного воздействия внутренних дестабилизирующих факторов в интервале времени ее функционирования.

Разработка подходов по оценке ФБ АИС, функционирующей в реальном масштабе времени при воздействии дестабилизирующих факторов, представляет собой значительную трудность в связи со сложностью выявления функциональной или статистической зависимости между безопасностью системы и выделенным множеством параметров.

Территориально разнесенные функционально распределенные ИВС АИС специализированы и ориентированы на решение ограниченного круга задач. Далее в работе рассматривается ИВС детерминированной АИС.

АИС как сложная многофункциональная сис те ма, характеризуется структурой S , поведением S , целью функционирования S , типом управления в системе 0 , которое может быть централизованным, децентрализованным или смешанным.

Комплекс задач A = { a 1 , a ₂ , k , a n } должен выполняться с требуемым качеством, поэтому необходимо задание вектора допустимого качества решения этих задач Q gon = { q goni , q gon2 , к , q gonn } . Каждая составляющая этого вектора характеризует необходимое качество выполнения соответствующей задачи. Качество выполнения характеризуется точностью, достоверностью и временем решения.

Территориально распределенные и функционально распределенные ИВС принадлежат к классу открытых систем, поэтому среди параметров модели должны быть рассмотрены параметры, характеризующие взаимодействие системы с внешней средой (система S_B ). Множество параметров U , характеризующих это взаимодействие, состоит из подмножеств, характеризующих тип (степень конфликтности), топологию и динамику взаимодействия системы с внешней средой (система S_В ).

Сюда жеотносится подмножествопараметров, характеризующее вид осведомленности системы о стратегии поведения системы S_В (отсутствие информации о характере воздействий внешней среды, наличие полной или неполной информации), предположения об информированности системы о структуре и алгоритмах функционирования системы, функциональная безопасность которой изучается.

К числу параметров, характеризующих возможность выполнения задач в системе, относятся временная избыточность и параметры, характеризующие элементы и подсистемы АИС.

Привыполнениикомплексазадач А = { a 1 ,a ₂ , к ,a n } в АИС каждая задача характеризуется коэффициентом важности ro i , а весь комплекс задач - вектором ( го 1 , ю ₂ , к ,w n ) , при этом n

Е ®i =1 ■ i=1

Коэффициенты важности задач определяются на основе относительных потерь, которые несет система в случае невыполнения той или иной задачи. В силу того что АИС рассматривается как специализированная система и множество задач известно заранее, то предполагается, что известны и соответствующие потери. Если задачи независимы, то

ΔΠ ωi= n i

∑ΔΠi i=1

где ΔΠ _i – потери, которые несет система в случае невыполнения i -ой задачи.

Если задачивзаимосвязаны,при оценкепотерь в системе эти взаимосвязи следует учитывать. Выделяют два вида связей: сильные и слабые. К сильным связям относятся такие, при которых выполнение одной задачи в системе зависит от того, выполняются ли другие (другая). При слабых связях любая задача может выполняться независимо от других, но эффективность ее при этом изменяется в зависимости от выполнения других задач. Описание сильных связей удобно формализовать с помощью функции xi =⎨

⎧1, при i ∈ A;

⎩0 - в противном случае, где A - множество типов задач, выполняемых системой.

Сильные связи разделяются на следующие виды: разделения, следования и объединения.

Связь разделения имеет место в том случае, когда из данной группы задач в состав системы может быть включена только одна. Такая связь имеет место, например, в случае, если задачи яв- ляются различными вариантами реализации од- ной задачи. Эту связь записывают как

Е X i ^ 1 ■

i ∈ n

Связь следования от i-ой к j-ой задаче имеет место в том случае, если в системе j-ая задача может быть выполнена лишь при условии выполнения i-ой задачи. Такая связь будет, например, если j-ая задача использует информацию, получаемую в процессе решения i-ой задачи. Эту связь записывают так: xj ≤ xi.

Возможен случай, когда все n задач некоторой группы могут быть включены в систему только одновременно. Например, n _i -ая из этой группы задач пользуется информацией от ( n 1 - 1 ) -ой, a ( n 1 - 1 ) -ая - от ( n 1 - 2 ) -ой и т.д. В таких случаях имеет место связь объединения, n ₁

представленная так: ^ x i = n 1 . Слабые взаимо- i =1

связи задач можно описать с помощью матрицы, где n – общее число рассматриваемых задач.

Диагональные элементы Эij представляют собой собственно эффективность от выполнения i-ой задачи. Элементы матрицы Э j при i ^ j представляют собой прирост эффективности при выполнении i-ой задачи от выполнения j-ой задачи. Если задачи не зависят друг от друга, то Эij = 0 при i ^ j, и матрица превращается в диагональ-n ную. Сумма элементов по строке ∑ Эij = Эi i=1               , представляет собой действительную эффективность i-ой задачи при условии выполнения всех остальных задач. Сумма элементов по столбцу n

∑ Э _ij = Э j представляет собой сумму добавоч- j=1

ных эффективностей по всем задачам, получаемую при выполнении j -ой задачи (плюс собственная эффективность задачи Э _ij ).

Для выполнения каждой задачи a _i требуется взаимодействие определенной совокупности средств, находящихся, в общем случае, в различных узлах, при этом решение задачи a _i осуществимо в системе, находящейся в состоянии ξ, если вероятность связности совокупности узлов, принимающих участие в ее решении, не ниже допустимой P i доп .

Каждая γ-ая ИВС АИС характеризуется допустимой загрузкой Z _Ygon . Предполагается, что значение загрузки a _i -ой задачей γ-ой ИВС известны. Кроме того, каждая задача a _i характеризуется допустимой задержкой в ее решении T i _gon . Существуют подходы, в которых при недопущении увеличения времени задержки больше заданного вводится динамический приоритет, когда время ожидания приближается к допустимому, приоритет задачи повышается.

В АИС задачи либо жестко закрепляются за конкретными ИВС, либо может быть предусмотрено перераспределение задач (плавающее закрепление функций в ИВС). Жесткое закрепление описывается с помощью матрицы распределения комплекса задач - R ( а ) = ||8 i у||.

В данном подходе для АИС, функционирующих при воздействии дестабилизирующих факторов в реальном масштабе времени, вводится понятие матрицы осуществимости выполнения задач (функций), находящейся в экстремальном состоянии: B = ||Ь,^||.

При работе системы в одном из экстремальных состояний в зависимости от характера задач к системе могут предъявляться различные требования, которые можно представить, как цели функционирования:

• S1    - от системы требуется выполнение всего комплекса задач A = { a 1 , a ₂ , к , a n } в произвольном состоянии ξ;

• S2    - от системы требуется обязательное исполнение некоторого множества задач А 1 е A , а остальные выполняются в случае возможности их выполнения в произвольном состоянии ξ;

• S3    - от системы требуется обязательное выполнение хотя бы одной задачи или любой их совокупности в соответствии с важностью в произвольном состоянии ξ.

Введенные цели функционирования в экстремальных условиях соответствуют различной связности задач. Случаю, когда все задачи информационно связаны между собой, соответствует цель функционирования S1, цели S2 - связность некоторого подмножества задач А 1 , цели S3 - информационная независимость между задачами.

Когда одна задача использует информацию, полученную при решении другой, связи имеют не только информационный характер. Возможен случай, когда невыполнение одной задачи не позволяет системе достичь выполнения функции системы.

Данный подход позволит описать и формализовать критическую социотехническую систему. На основе этого возможно определить влияние внутренних дестабилизирующих факторов и роли человека на обеспечение ФБ АИС.