Формализация оценки информационных угроз, выбор критерия и целевой функции моделирования (математическая модель)

Моделирование угроз безопасности информации предусматривает анализ способов ее хищения, изменения или уничтожения с целью оценки наносимого этими действиями ущерба. Представление информации, раскрывается через понятие формализации, результатом которой является информационная модель. В общем случае формализация означает умение выделять главное и отбрасывать второстепенное. В процессе формализации можно не учесть важных моментов и, напротив, можно сосредоточить свое внимание на второстепенных вещах в ущерб главному. В этом случае полученная информационная модель может оказаться неадекватной исходному информационному процессу (разумеется, под углом зрения конкретных целей формализации).

Формализация является одной из основных задач при исследовании информационных технологий. В ее решении информатике отводится особая роль, поскольку формализация является основой автоматизации, вершинной точкой которой являются информационные технологии. Способы формализации информационного процесса могут быть самые разнообразные. С точки зрения информатики наиболее важной является формализация информационного процесса, которая приводит к алгоритму. Понятие алгоритма - одно из основных понятий, алгоритм является одним из видов информационных моделей.

Алгоритм в информатике - это формализованная запись действий, в то время как в математике - это сами формализованные действия (например, машина Тьюринга). Таким образом, для адекватного отображения алгоритмом информационного процесса, формализованная запись должна быть дополнена понятием формализованного исполнителя, на которого и ориентирована формализация. В этом случае от формализации информационного процесса необходимо потребовать точности и понятности. Важно подчеркнуть еще один существенный момент. Алгоритм, формализованная запись - информационная модель осуществляет управление формальным исполнителем: ведет его от начального к конечному информационному объекту. Этот момент особенно важен при рассмотрении вопросов автоматизации информационного процесса. Таким образом, понятие алгоритма в информатике раскрывается через понятия формализованной записи (информационной модели) и формализованного исполнителя, при этом данная информационная модель по отношению к формальному исполнителю играет роль управляющей системы.

Формализация предусматривает структурную модель исследуемого процесса на основании рекомендованного картежа принятий решений в области информационной безопасности. На первом этапе исследования процесс представляется в виде «черного ящика», который имеет входные, выходные, управляемые параметры и ограничения.

Упр авляющие параметры

Ограничения

Рис.1 Исследуемый процесс, представленный в виде «черного ящика»

Целью формализации является совокупность функций, а также совокупность задач, необходимых для оценки информационных угроз.

Табл.1 Формализация модели реализации угроз

Выбор критерия. В классическом понимании, критерий – правило, базирующееся на главном показателя в интересах обоснования принятия решения. В нашем случае, в качестве критерия возьмем степень опасности угроз, под которой понимается ожидаемый ущерб от реализации угроз. По степени опасности угрозы бывают: угрозы с высокой, значительной, средней и низкой тяжестью последствий. Высокая опасность означает, что эти угрозы могут привести к резкому ухудшению всех финансово-экономических показателей деятельности субъекта предпринимательства, что вызывает немедленное прекращение его деятельности либо наносят такой непоправимый вред, который приведет к этим же последствиям позднее. В этом случае происходит ликвидация фирмы. Значительная степень тяжести последствий реализации угроз предполагает возможность нанесения фирме таких финансовых потерь, которые окажут негативное воздействие на основные финансово-экономические показатели фирмы, на ее деятельность в будущем и преодолеваются в течение длительных сроков времени. Средняя степень тяжести означает, что преодоление последствий осуществления этих угроз требует затрат (наносит потери), сопоставимые с текущими затратами фирмы и не требует значительного времени. Последствия реализации угроз с низкой степенью последствий не оказывают какого-либо существенного воздействия ни на стратегические позиции фирмы, ни даже на ее текущую деятельность.