.
 

© Михаил Стюгин

Оценка безопасности системы информационного управления Российской Федерации

««« К началу

4. Эмпирический анализ

Несмотря на неразрешимость проблем начала и окончания информационной войны, факт поражения в ней характеризуется рядом признаков, присущих поражению в обычной войне. К ним относятся [56 ]:

  1. Включение части структуры пораженной системы в структуру системы победителя (эмиграция из побежденной страны и в первую очередь вывоз наиболее ценного человеческого материала, наукоемкого производства, полезных ископаемых);
  2. Полное разрушение той части структуры, которая отвечает за безопасность системы от внешних угроз (разрушение армии побежденной страны);
  3. Полное разрушение той части структуры, которая ответственна за восстановление элементов и структур подсистемы безопасности/разрушение производства, в первую очередь, наукоемкого производства, а также научных центров и всей системы образования; прекращение и запрещение разработок и производств наиболее перспективных видов вооружения);
  4. Разрушение и уничтожение той части структуры, которая не может быть использована победителем в собственных целях;
  5. Сокращение функциональных возможностей побежденной системы за счет сокращения ее информационной емкости (в случае страны: отделение части территории, уничтожение части населения).

После поражения СССР в информационной войне в 1991 году, многие информационные потоки РФ управляющим устройством не контролируются. Частично затрудняет ведение собственной информационной политики преобладание западной гегемонии.

Цель данной главы — провести эмпирический анализ информационного пространства РФ, на предмет существования в ней «вредных» информационных потоков, не контролируемых УУ.

Из-за большого объема материала этой главы и отсутствия необходимого времени на ее написание, приведем сразу конечные данные (с точностью до десятков процентов), без описания процесса анализа источников:

ИсточникКонтролируемая информацияНеконтролируемая (вредная) информацияНеполезная контролируемая информация (как результат преобладания западной гегемонии)
Центральное телевидение ОРТ, РТР, ТНТ, Ren-TV)40%10%50%
Местное телевидение20%50%30%
Всероссийские печатные СМИ.30%30%40%
Местные печатные СМИ10%60%30%
Книжная продукция10%80%10%
Internet0%80%20%
Учебная литература (история, политология)40%0%60%

5. Оценка защищенности системы

5.1 Оценка рисков реализации угроз безопасности

Значение риска будем рассматривать как совокупность потенциальной вероятности реализации угрозы и тяжести возможных последствий [100]. Все формулы данного подраздела выведены без построения необходимого аксиоматического базиса и поэтому не претендуют на абсолютную объективность, т.к. руководствоваться здесь придется скорее здравым смыслом, а не строгой логикой.

В каждом конкретном случае риск можно определить по совокупность нескольких факторов:

1. Человеческий фактор.

Человеческий фактор нарушает состояние защищенности системы в связи с «неадекватной» деятельностью персонала, которая является результатом:

  • невозможности выполнения человеком, возложенный на него объем работ;
  • преднамеренные действия сотрудника, нарушающие установленные правила функционирования системы, которые являются результатом адаптации человека к условиям среды (экономический показатель) или его убеждений (социально-политический показатель) (взято из классификации социолога Т. Парсонса [101] ).
  • некомпетентность сотрудника.

Если один сотрудник в среднем выполняет некоторый объем работы x , то N сотрудников выполнят объем работы xN . Если для полного выполнения работы необходимо N0 человек, то объем невыполненной работы будет пропорционален (N0N ). В результате риск по этому и остальным двум показателям можно выразить следующей формулой:

(13)

Здесь

k — коэффициент важности рассматриваемой организационной структуры;

N0 — минимально необходимое количество людей необходимых для реализации организацией своих функций;

N — количество сотрудников;

vn — важность занимаемой человеком должности, по возможности влияния на процессы в организации, а так же уровень его информированности о процессах организации;

pn — вероятность «неадекватного» поведения сотрудника. Она характеризуется качеством подбора персонала, морально-этической работой и организационно-правовыми мерами. Теоретическая оценка этого показателя при приеме людей на работу трудоемка. Подробная методика оценки этого показателя дается, например, в монографии [102]. Величину pn , кроме теоретического метода, можно оценить и эмпирическим путем по количеству инцидентов.

В правительственном аппарате, pn крайне мала, однако важность структуры и должности столь огромна, что риск в результате достаточно велик. Во времена холодной войны в США появилась наука кремленология, которая изучала сетевую структуру власти в СССР и возможность внедрения «своих» кадров на руководящие посты. Из истории конца XX века видно, что эта работа была не безрезультатна.

2. Технический (программно-аппаратный) фактор

(14)

k — как и в предыдущем случае, коэффициент важности рассматриваемой организационной структуры,

N — общее количество АС,

vj — важность АС в общей организационной структуре по количеству обрабатываемой информации и ее значимости,

pj — вероятность реализации НСД к АС. Эту величину можно определить в результате сопоставления определенной вероятности реализации угроз классам защищенности АС от НСД руководящих документов ГТК или по другим аналогичным документам.

Найти pj можно на основе следующих показателей:

  • прочность многоуровневой защиты
  • прочность многозвенной защиты
  • вероятность отказа оборудования.

Прочность многозвенной защиты оценивается по формуле [51]:

где P СЗИ — прочность i -й преграды; Pобх — вероятность обхода преграды по k-му пути.

Вероятность отказа оборудования:

где — интенсивность отказов группы технических средств; t — рассматриваемый интервал времени.

Прочность многоуровневой защиты находится как произведения вероятностей обхода защиты каждого из уровней. В результате получаем следующую формулу для pj:

где n — количество уровней защиты.

3. Фактор среды

(15)

Данный риск характеризует возможность реализации угрозы (II .1), а так же эффективности проведения всех остальных угроз, как преобладание экономического показателя () и объема информационной инфраструктуры () субъекта-агрессора над управляющим устройством. Произведение в числителе и знаменателе взято по следующим соображениям:

  • если один из показателей ( или ) равен нулю, то в результате эффективность информационного противоборства субъекта равна нулю
  • сложение показателей не имеет смысла, из-за разных размерностей.

Однако в сложных системах, состоящих из большого числа элементов (аттракторов) линейные законы, как правило не имеют место [83]. Т.е. если   увеличивается в два раза, то RC увеличится более чем в два раза. Наиболее часто здесь наблюдаются показательные законы:

(16)

где s — находится эмпирическим путем ().

Конечный результат реализации какой-либо угрозы это генерация информационного потока. Риск генерации вредного потока можно определить как:

(17)

Здесь

N — количество коммуникаторов,

pi — вероятность генерации субъектом-агрессором информационного потока в данном коммуникационном устройстве. Эта величина образуется совокупностью предыдущих трех факторов (RЧ , R Т, RС), а так же законодательных и организационных мер:

Эта формула получена исходя из того, что риски RЧ, RТ, RС  и RЗ определяют интенсивность успешных атак на систему. q — эмпирически определяемый коэффициент.

Di — степень доверия к источнику, которая учитывает, как «осознанное» доверие, так и психологический аспект воздействия, описанный в подразделе (3.3). Линейная зависимость от этого показателя обосновывается во многих работах по психологии массового поведения [84].

Oi — объем аудитории (количество людей), воспринимающие данный коммуникативный поток.

Экспоненциальная форма данного закона (17) определяет скорость распространения возмущений в хаотических фрактальных системах, изучаемых в синергетике. Она применима к человеческому обществу и используется в методах политического консалтинга ([85], [86]). Экспоненциальная зависимость сохраняется только до тех пор, пока степень достаточно мала. Чем больше становится степень, тем более линейной становится зависимость. Это отражает «асимметричность», как основной принцип информационного противоборства, указанный в подразделе (3.3). Классическим примером здесь является материалы распространяемые «Самиздатом» в СССР, которые печатались малым тиражом и увеличивали степень доверия к себе распространением «запрещенных» материалов. В результате эффект оказался больше, чем если бы эти материалы распространялись свободно по всем СМИ и МК [2].

Все эти формулы не дают точных показателей, а только показывают зависимость величин, поэтому вместо равенства везде стоит знак пропорциональности.

Оценка реально существующей в РФ системы информационного управления по этим показателем является неосуществимой задачей, в связи с отсутствием исходных данных (описания информационных систем, кадрового состава, сетевой структуры власти и т.д.). Можно лишь количественно оценить некоторые риски.

По данным МВФ на 2003 год, Россия отстает от США по всем экономическим показателям в среднем в 5 раз. По данным также 2003 года, объем вычислительных ресурсов в России в 4 раза меньше, чем в США. В результате получаем риск реализации всех информационных операций субъектом-агрессором, по формуле (16):

Можно оценить человеческий фактор по угрозе ( I.1), как работу разведывательных и аналитических служб. Если брать необходимое число сотрудников N 0 по количеству соответствующих работников в СССР, как достаточное (избыточным его считать не приходится), то величина N будет на порядок меньше. В результате даже если считать , то

Аналогичный показатель риска дает оценка человеческого фактора угроз (I .2), (I .3), (I .4), (II .3), (II .4), (II .5). Риски, полученные по этим формулам, являются безразмерными, а их значения для оценки безопасности системы управления качественными, но не количественными. Безразмерные величины приобретают смысл только при сравнении их друг с другом. Сравнивая показатели этих рисков в разные моменты времени, можно оценить какое состояние системы более безопасно. Изменение состояние безопасности можно оценить по скорости изменения этих рисков и тем самым определить эффективность применяемой политики безопасности:

(18)

Для того чтобы предать значениям риска количественный смысл, исходя из определения безопасности, данном в подразделе (3.1), необходимо посчитать соответствующие риски у субъекта-агрессора (в данном случае — США). Количественный показатель получаем в результате их отношений:

(19)

Введем здесь следующие критерии:

 — состояние системы безопасно;

 — состояние системы потенциально небезопасно;

 — состояние системы небезопасно;

По тем же условиям получаем:

По полученным количественным критериям можно придти к выводу, что с данными показателями рисков говорить о безопасности системы информационного управления РФ практически бессмысленно. Без понижения этих показателей любые меры направленные на обеспечения информационной безопасности будут безрезультатны.

««« Назад  К началу  

 
.
   

Контакты | Реклама на сайте | Статистика | Вход для авторов
Политика публикации | Пользовательское соглашение

© 2001–2021 Psyfactor.org. 16+
© Полное или частичное использование материалов сайта допускается при наличии активной ссылки на Psyfactor.org.
 Посещая сайт, вы даете согласие на использование файлов cookie на вашем устройстве.
 Размещенная на сайте информация не заменяет консультации специалистов.