авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 | 2 || 4 |

«РОССИЙСКАЯ АКАДЕМИЯ НАУК Институт проблем управления им. В.А. Трапезникова А.О. КАЛАШНИКОВ ОРГАНИЗАЦИОННЫЕ МЕХАНИЗМЫ УПРАВЛЕНИЯ ...»

-- [ Страница 3 ] --

yi Ai Таким образом, можно говорить о функции полезности агента (в игре с со общением информации функции полезности агентов иногда называют функ циями предпочтения): i ( xi, ri ) = max f i ( xi, y i, ri ).

y A i i Целевая функция центра может быть определена как ( x, r ) = ( x, y ( x, r )), где y ( x, r ) = ( y1 ( x1, r1 ),..., y n ( x n, rn )). Тогда можно опре делить эффективность механизма с сообщением информации:

K () = min ( ( s (r )), r ).

r Очевидно, в механизмах с сообщением информации агенты будут руково дствоваться своей собственной полезностью и необязательно будут сообщать достоверную информацию. Явление сообщения агентами недостоверной ин формации называется манипулированием информацией, а механизмы, в кото рых выгодно (является равновесием) сообщение достоверной информации на зываются неманипулируемыми. Для прямых механизмов неманипулируемым называется механизм, в котором при любых типах агентов сообщение досто верной информации является равновесием в доминантных стратегиях.

В теории активных систем при исследовании механизмов функционирова ния ОС с сообщением информации акцент делается на двух аспектах – изуче нии эффективности и манипулируемости тех или иных механизмов.

Отметим, что существенной является взаимная информированность участ ников системы, а также то, насколько «сложным» может быть множество воз можных сообщений каждого агента. Поясним этот тезис.

Относительно взаимной информиованности агентов предполагается, что их типы являются для них общим знанием [93, 146]: каждый агент знает типы всех агентов, все они знают, что типы всем известны, всем известно, что это всем известно и т.д. до бесконечности.

Относительно множеств возможных сообщений агентов обычно предпола гается, что каждый агент сообщает информацию либо только о своем типе (традиция теории активных систем [18, 21, 90]), либо может сообщать любую информацию, в том числе – свои оценки типов всех агентов (традиция теории реализуемости и mechanism design [90, 144, 146-147]). Рассмотрим последова тельно две этих ситуации.

Механизмы планирования. В теории активных систем задача исследова ния неманипулируемости механизмов планирования была сформулирована в 1969 году В.Н. Бурковым и А.Я. Лернером. Для ее решения, в предположении, что каждый агент сообщает центру информацию только о своем типе, был предложен принцип открытого управления [137], в соответствии с которым центр назначал агентам планы, являющиеся для них наиболее выгодными, если бы их сообщения были достоверными (см. корректное современное изложение, например в [90]).

Механизм открытого управления оказывается оптимальным (для любого механизма планирования существует эквивалентный прямой механизм, являю щийся механизмом открытого управления) в одноэлементных системах (один центр – один агент);

в многоэлементных же системах он оптимален только в ряде частных случаев, к которым принадлежат: механизмы распределения ре сурса (см. [17, 21, 90] и ниже), механизмы активной экспертизы [21, 87], меха низмы внутренних цен [88, 135] и ряд других (см. обзоры в [23, 95]).

Случай, когда агенты могут делать любые сообщения (не только о своем типе), рассматривался в теории реализуемости. Общий результат был получен Р. Маейрсоном в 1979 г. [147] – им показано, что при произвольных множест вах сообщений для любого механизма планирования существует эквивалент ный прямой механизм.

Задача теории реализуемости была сформулирована Э. Маскиным в году и получила первое свое решение в 1979 году [138]. Опишем, следуя, в ос новном, [90] основные идеи.

Теория реализуемости. Пусть в качестве решения центр должен выбрать некоторое множество альтернатив X из заранее определенного множества воз можных альтернатив A. Предпочтения агентов на множестве A задаются би нарными отношениями предпочтения. Агент характеризуется отношением предпочтения Ri. Множество возможных предпочтений i-го агента обозначим i. Набор отношений предпочтения всех агентов R = {Ri }i =1 называется профи n лем предпочтений. Множество всех возможных профилей предпочтений обо значим через, = i. Будем считать, что все возможные отношения для i iN го агента параметризованы переменной ri i и записывать Ri (ri ). Под сло вами «задан профиль предпочтений агентов» подразумевается, что известны типы {ri} всех агентов i N, то есть, задан вектор r =.

i iN Решение X A, принимаемое центром, должно зависеть от предпочтений агентов X = f (R). Соответствие f (R), f : 2 A называется соответствием группового выбора (СГВ).

Поскольку профиль предпочтений неизвестен центру, он запрашивает от агентов информацию, и те посылают в центр сообщения si S i. Получив сооб щения, центр по процедуре планирования : S A выбирает единственную альтернативу ( s) A, которая считается решением. Совокупность множества возможных сообщений S и заданной на нем процедуры () составляют меха низм планирования = ( S, ).

Допустим, что задан профиль предпочтений агентов r и механизм ( S, ). Вектор сообщений s называется равновесием Нэша при данном r, если для любого агента i N и любого его сообщения si S i выполняется ( s ) Ri (ri ) ( si, s i ).

Сообщение агента si называется доминантной стратегией для агента i N при данном ri i, если si S i и s i S i выполняется ( si, s i ) Ri (ri ) ( si, s i ), то есть сообщение si является для i-го агента при данном Ri оптимальным, не зависимо от того, что сообщают остальные агенты. Вектор сообщений s назы вается равновесием в доминантных стратегиях (РДС) при данном r, если у каждого агента существует доминантная стратегия.

Пусть задан механизм = ( S, ) и множество возможных профилей пред почтений. Для r множество равновесных векторов сообщений обозна чим E (r ) (при использовании конкретного равновесия).

Говорят, что механизм (полностью) реализует СГВ f (в соответствую щих равновесиях – Нэша, РДС, Байеса и т.д.), если для всех r :

1) E (r ) не пусто;

2) ( E (r )) (=) f (r ).

Другими словами, при всех r равновесие существует и в любом из возможных при данном r равновесий s (r ) E (r ) принимаемое решение ( s (r )) лежит в f (r ) (совпадает с f (r ) ).

В теории реализуемости [138, 144] задача ставится следующим образом:

задано множество агентов N и множество всех возможных типов агентов, дано соответствие группового выбора f (r ), которое определяет оптимальное решение при каждом возможном профиле предпочтений r. Необходимо построить механизм = ( S, ), реализующий СГВ f (r ) при выбранном опре делении равновесия, то есть построить такой механизм с сообщением инфор мации, что при любом профиле предпочтений по равновесному при данном профиле r сообщению центр может принять «оптимальное» решение, оп ределяемое f (r ).

Рассмотрим некоторые свойства соответствий группового выбора, необхо димые для исследования реализуемости СГВ [138].

Монотонность по Маскину (ММ). СГВ f : A удовлетворяет свойству ММ, если {r, r }, a A : a f (r ) и i N, b A, aRi (ri )b aRi (ri)b, то выполняется a f (r ).

СГВ удовлетворяет свойству отсутствия права вето (ОПВ), если a A, i I, r : j i b A aR (r )b, то выполнено a f (r ). То jj есть, если имеется альтернатива a, наилучшая с точки зрения всех агентов, кроме i-го агента, то a f (r ).

Приведем без доказательства ряд известных результатов.

Теорема 1[138]:

если СГВ f : A реализуема по Нэшу, то она удовлетворяет ММ.

Для получения достаточных условий реализуемости используют следую щий подход. Для исследуемого СГВ определяют в явном виде механизм и дока зывают, что он реализует данную СГВ, поэтому одни и те же условия фигури руют в различных теоремах, доказывающих реализуемость различными меха низмами.

Опишем механизм, реализующий СГВ, удовлетворяющий условиям ММ и ОПВ. Пусть N – множество агентов, типы которых принадлежат множеству, и задано СГВ f : A. Каждый агент сообщает в центр профиль предпочте ний всех агентов из, альтернативу из множества A и некоторое натураль ное число. Таким образом, для каждого агента имеет место: S i = A N и множество возможных сообщений S = S i. Назовем множеством согласо iN ванных сообщений множество S a = {s S j N, r, a f (r ) : i j si = (a, r, 0)}.

Множество несогласованных сообщений S d определим как дополнение к множеству S a, то есть S d = S \ S a. Определенные таким образом множества S a и S d являются разбиением S.

Процедура принятия решения : S A определяется следующими двумя правилами.

Правило 1:

если s S a, то по определению существуют j N, r, a f (r ) такие, что i j, si = (a, r, 0). Пусть j-ый агент сообщает альтернативу aj. В этом слу чае выбирается альтернатива a, при a j Pj (r j )a ;

(s) = a j, при a R j (r j )a j.

Правило 2:

если s S d, то реализуется лотерея: ( s) = a k ( s ), где k ( s ) = max{i N zi z j, j N }.

Механизм, определяемый правилами 1 и 2, называется механизмом Э. Маскина. Первое правило определяет действие механизма в случае, когда все агенты, кроме, быть может, одного, сообщают одинаковые профили предпочте ния r, одинаковые альтернативы a f (r ) и не желают принять участие в ло терее, то есть i j, z i = 0. В этом случае считается, что все, кроме j-го аген та, сообщают достоверный профиль предпочтений r, соответствующий дейст вительному профилю предпочтений всех агентов, и большинство «голосует» за альтернативу a. Второе правило определяет лотерею – если сообщения аген тов несогласованны, то любой агент выбором соответствующего натурального числа может добиться выбора наилучшей для себя альтернативы. Имеет место следующий результат.

Теорема 2[138]:

если N 3 и СГВ f : A удовлетворяет ММ и ОПВ, то механизм Э. Маскина реализует это СГВ по Нэшу.

Таким образом, если каждый агент может сообщать центру информацию не только о своем типе, но и о типах других агентов, то существует эквивалент ный прямой механизм и СГВ, удовлетворяющие ММ и ОПВ, реализуемы. Дан ный результат может быть использован при разработке механизмов распреде ления ресурса при управлении информационными рисками корпораций.

Однако далеко не всегда агенты могут сообщать столь исчерпывающую информацию (причин может быть несколько: отсутствие у них такой информа ции, сложность ее переработки, этические ограничения и т.д.). Попытки сузить множество допустимых сообщений, оставляя в силе результат о реализуемости проводились неоднократно (см. [143, 149]), однако информация о типе оппо нента (хотя бы одного определенного) должна входить в сообщение каждого агента. Поэтому все-таки необходимо рассматривать механизмы планирования, в которых каждый агент сообщает информацию только о себе. Проанализируем полученные в этом направлении в теории активных систем результаты изуче ния механизмов распределения ресурса.

Базовая модель распределения ресурса. Рассмотрим, следуя терминоло гии и обозначениям теории активных систем, множество N = {1, 2, …, n} аген тов, имеющих целевые функции fi(xi, ri), где xi 0 – количество выделяемого i му агенту ресурса, ri 0 – его тип – оптимальное для него количество ресурса, то есть будем считать, что fi(xi, ) – однопиковая функция с точкой пика ri, i N.

Предположим, что каждый агент достоверно знает свою точку пика (свой тип), тогда как центр не имеет о них никакой информации.

Задачей центра является распределение ресурса R на основании заявок si [0;

R], i N, агентов (то есть действиями агентов в рассматриваемой моде ли являются выбираемые ими сообщения центру). Принцип принятия решений центром: xi = i(s), i N, где s = (s1, s2, …, sn) называется механизмом (процеду рой) планирования.

Относительно свойств процедуры планирования, следуя [88], предполо жим:

1) i(s) непрерывна и строго монотонно возрастает по si, i N;

2) i(0, s-i) = 0 s-i [0;

R]n-1, i N;

3) механизм распределения ресурса анонимен, то есть произвольная пере становка номеров агентов приводит к соответствующей перестановке коли честв получаемых ими ресурсов.

В [21] доказано, что в случае, когда типы агентов являются общим знани ем, во-первых, ситуация равновесия Нэша s*(r) игры агентов имеет (для меха низмов, удовлетворяющих свойствам 1 и 2) следующую структуру: i N, r n + xi* ri si* (r) = R, si* (r) R xi* = ri.

В [89] доказано, что все механизмы распределения ресурса, удовлетво ряющие свойствам 1 – 3, эквивалентны (то есть приводят к тем же равновеси ям) механизму пропорционального распределения: агенты получают ресурс в количестве n если s j R si, i(s) = j = (12) min s, R s / s, если s R n n i j i j j =1 j = Последнее утверждение позволяет сконцентрировать внимание на меха низме (12) и косвенно обосновывает углубленное рассмотрение пропорцио нальных решений в разделе 3.4.

В [88] изложен алгоритм поиска равновесия Нэша игры агентов, основы вающийся на процедуре последовательного распределения ресурса [17, 87, 145]. Ее идея заключается в следующем:

0. Агенты упорядочиваются по возрастанию точек пика. Множество дикта торов (диктатором называется агент, получающий абсолютно оптимальный для себя план) считаем пустым.

1. Весь ресурс распределяется между агентами поровну.

2. Если r1 R / n, то первый агент включается во множество диктаторов, и всем агентам выделяется ресурс в количестве r1 (если r1 R / n, то множество диктаторов пусто, и все агенты в равновесии сообщают одинаковые заявки и получают одинаковое количество ресурса, на этом алгоритм останавливается).

3. Положив ri: = ri – r1, i: = i – 1, R: = R – n r1, повторяем шаг 2 (число по вторений второго шага, очевидно, не превосходит числа агентов).

В результате применения процедуры последовательного распределения ре сурса определяется множество D(r) N диктаторов, получающих ресурс в оп тимальном для себя объеме (определяемом точками пика). Остальные агенты (не диктаторы) получают в силу анонимности механизма распределения ресур са одинаковое его количество:

r ) / (n – |D(r)|).

x0(r) = (R – j jD(r) Отметим, во-первых, что процедура последовательного распределения ре сурса является прямым механизмом [88] – использует непосредственно инфор мацию о точках пика агентов. Во-вторых, данная процедура является немани пулируемой, то есть, каждому агенту выгодно сообщать центру достоверную информацию о своей точке пика при условии, что центр обязуется использовать процедуру последовательного распределения.

Завершив описание известных результатов теории активных систем по ис следованию механизмов распределения ресурса, изучим зависимость равнове сий и свойств механизма от количества распределяемого ресурса. Содержа тельным обоснованием необходимости такого рассмотрения является то, что на практике оптимальное с точки зрения агентов количество ресурса, выделяемое на мероприятия по повышению уровня ИБ в том или ином подразделении, мо жет зависеть от того суммарного количества ресурса, которое подлежит рас пределению.

Обозначим ri(R) – зависимость точки пика i-го агента от количества рас пределяемого ресурса (эта зависиомсть может быть, например, получена в ре зультате решения параметрической задачи оптимального распределения ресур са в условиях полной информированности – см. главу 2), i N, и введем сле дующие предположения:

4) i(s, R) непрерывна и строго монотонно возрастает по R, i N;

5) ri() – непрерывная монотонно возрастающая вогнутая функция;

6) упорядочение агентов по точкам пика не зависит от количества распре деляемого ресурса.

В рамках предположений 1) – 5) результат о неманипулируемости меха низма (12) остается в силе при любом количестве распределяемого ресурса.

В рамках предположений 1) – 6) справедливо следующее соотношение:

R1, R2: R2 R1 D(r(R1)) D(r(R2)), то есть, множество диктаторов не сужается с увеличением количества распре деляемого ресурса.

Упорядочим (перенумеровав) агентов в порядке возрастания требуемого им количества ресурса. В силу предположения 6 имеет место R 0: r1 (R) r2(R)... rn(R).

Решение обратной задачи (поиска Rk – минимального количества ресурса, при котором первые k агентов являются диктаторами) дается следующим ут верждением.

Утверждение 11:

пусть выполнены предположения 1 – 6. Тогда Rk определяется как решение следующего уравнения:

k r (R ) + rk(Rk) (n – k), k N (13) Rk = i k i = причем это решение существует и единственно.

Доказательство.

Справедливость данного утверждения следует: выражение (13) – из проце дуры последовательного распределения ресурса, свойств равновесия игры аген тов;

существование и единственность – из анализа выражения (13) с учетом предположений (5) и (6).

Доказательство закончено.

Особенно просто решение обратной задачи выглядит для постоянных то чек пика агентов:

k r + rk (n – k), k N (14).

Rk = i i = Из (14) следует, что для постоянных точек пика агентов имеет место:

Rk Rk+1, k = 1, n 1, то есть, с расширением множества диктаторов соответствующее минимальное суммарное количество ресурса также растет.

Отметим существенность предположения 6. Если отказаться от него (или от монотонности в предположении 5), допустив, что упорядочение агентов по точкам пика зависит от количества распределяемого ресурса, то множество диктаторов будет уже «немонотонно» по ресурсу, а решение обратной задачи существенно усложнится. Детальное ее изучение (в котором, наверное, целесо образно использовать подходы, предложенные в [52, 58]) выходит за рамки на стоящей работы.

Механизмы согласия. В [25, 75] предложен класс механизмов распреде ления ресурса, получивших название «механизмов согласия». Рассмотрим ме ханизм экспертного оценивания, в котором результатом коллективного реше ния является распределение финансирования между агентами. Решение прини мается коллегиально экспертным советом, члены которого – представители агентов – выступают в качестве экспертов для оценки обоснования объемов финансирования (в качестве экспертов могут привлекаться и независимые экс перты, а не только представители агентов). Очевидно, что каждый эксперт име ет собственное представление о распределении имеющегося (ограниченного) объема финансирования, и мнения различных экспертов редко совпадают.

Механизм принятия согласованных решений при наличии несовпадающих точек зрения получил название механизма согласия. Основная идея заключает ся в декомпозиции процедуры экспертизы, то есть создаются экспертные сове ты по смежным проблемам, одна из которых является базовой. Рассмотрим пример, в котором в корпорации имеются три подразделения и выделены три критерия – «уровень риска в первом подразделении корпорации» (К1), «уровень риска во втором подразделении корпорации» (К2), «уровень риска в третьем подразделении корпорации» (К3). Выберем в качестве базового, например, уро вень риска в третьем подразделении корпорации (предположим, что технология взаимодействия подразделений такова, что снижение уровня риска именно в третьем подразделении наиболее существенно затрагивает интересы всех трех подразделений). В этом случае создаются два экспертных совета – каждый для пары критериев. Первый экспертный совет занимается оценкой направлений (критериев) К1 и К3, а второй – К2 и К3. Каждый экспертный совет вырабатывает решение об относительных размерах финансирования каждого из направлений.

А именно, во сколько раз финансирование по направлению К1 (соответственно, К2) должно быть больше (или меньше), чем финансирование по базовому на правлению К3. Обозначим соответствующие оценки 1 и 2. Величина 1 (2) свидетельствует о том, что финансирование x1 (x2) по направлению К1 (К2) должно быть в 1 (2) раз больше, чем финансирование по направлению К3, то есть 1 = x1 / x3 (2 = x2 / x3). Очевидно, что i 0, i =1, 2. На основе этой инфор мации определяется вариант финансирования направлений:

i, i = 1, 3, xi = 1+ где = 1 + 2, 3 1. Отметим, что xi – доля от имеющегося общего объема финансирования. То есть, если между направлениями К1, К2 и К3 необходимо распределить R единиц ресурса, то i-ое направление получит xi R.

Такой механизм (механизм согласия) обладает рядом достоинств. Во первых, учитывается мнение самих агентов, входящих в экспертные советы.

Во-вторых, выделение базового направления позволяет произвести обмен опы том между агентами. И, наконец, в-третьих, что наиболее важно, предложен ный механизм согласия защищен от манипулирования (в предположении, что целевой функцией агента является максимальное по всем агентам из отноше ний того количества ресурса, которое получил тот или иной агент к тому коли честву, которое он должен был получить с точки зрения рассматриваемого агента). Рекомендации по обобщению полученного результата на случай произ вольного числа агентов (направлений) приведены в [75].

«Многомерные механизмы». Обобщения результатов о неманипулируе мости (полученные для механизмов пропорционального распределения и меха низмов согласия) приведены в [56, 82, 91].

Рассмотрим следующую модель, модифицировав для задачи распределе ния ресурса модель активной экспертизы, предложенную в [115]. Пусть пред почтения агентов несепарабельны, то есть, каждый из них заинтересован в вы делении определенного количества ресурса каждому из своих коллег (оппонен тов). Возьмем произвольный номер агента (например, n) – назовем его базовым – и будем рассматривать механизм: (s): ( +1 )n +1, отображающий множе n n ство сообщений агентов: s ( +1 )n, s = ||sij||, sij 0, i N, j N \ {n}, о том, на n сколько с точки зрения i-го агента более важным является выделение ресурса j му агенту, по сравнению с n-ым (см. также описание механизмов согласия вы ше).

Истинные предпочтения i-го агента – идеальная точка – его субъективные представления об относительной важности выделения ресурса оппонентам (его тип) – обозначим ri = (ri1, ri2, …, rin-1, 1), rij 0, j, i N.

Центр принимает решения на основании процедуры планирования (меха низма принятия решений, механизма агрегирования мнений агентов, механизма распределения ресурса) – вектор-функции (), такой, что j(s) является относи тельным приоритетом j-го агента, j N \ {n}.

Относительно механизма () будем предполагать, что вектор-функция ():

1) непрерывна по всем переменным;

2) удовлетворяет условию единогласия: если для некоторого j N для всех i N выполнено sij = aj, то j(s) = aj. Другими словами, если все агенты сооб щают одну и ту же оценку приоритета некоторого агента, то итоговый приори тет этого агента должен равняться данной оценке.

3) анонимна, то есть, симметрична относительно перестановок агентов.

4) сепарабельна, то есть j(s) = j(s1j, s2j, …, snj), j N;

5) монотонна по всем переменным, то есть j(s1j, s2j, …, snj) не убывает по sij, i, j N.

Будем считать, что каждый агент заинтересован в том, чтобы итоговое значение приоритетов критериев было как можно ближе к его субъективному мнению. Тогда предпочтения агентов можно описать однопиковыми [90] дей ствительнозначными функциями fi((s), ri), возрастающими по мере приближе ния j(s) к rij, j K, i, j N.

() Обозначим соответствующий механизму прямой механизм h(r): ( +1 )n +1, то есть h(r) = (s*(r)).

n n Охарактеризуем равновесие s*(r) в механизме (). Обозначим qj = Arg max {rij}, j N.

iN В [82] доказано следующее утверждение: в механизме h() равновесие имеет следующий вид:

i qj 0,, j N \ {n} (15) sij (r ) = * sq j j (r ), i = q j где sq j j (r) таково, что j(0, 0,..., 0, sq j j ) = rq j j, j N \ {n}. При этом j(s*(r)) = rq j j, j N \ {n}.

Содержательно это утверждение означает, что приоритет каждого агента определяется мнением агента, считающего выделение ресурса данному агенту наиболее важным. Этого агента, следуя традиции [95], назовем «диктатором».

То есть диктатором для j-го агента является агент с номером qj, j N \ {n}, а выражение (15) характеризует результаты стратегического манипулирования со стороны агентов.

Предположим теперь, что типы агентов зависят от распределяемого коли чества ресурса: rij = rij(R), i, j N. Получаем следующее утверждение.

Утверждение 12:

для того чтобы распределение диктаторов не зависело от суммарного ко личества распределяемого ресурса и механизм h(r) был неманипулируем, дос таточно, чтобы R 0 : qj = Arg max {rij(R)}, j N.

iN Подводя итоги рассмотрения модели «средний центр – средние агенты»

можно сказать следующее:

- если каждый из агентов имеет информацию о типах оппонентов и может сообщать ее центру, то использование механизмов типа механизма Э.Маскина (см. выше) обеспечивает неманипулируемость и реализуемость любого меха низма распределения ресурса, удовлетворяющего условиям монотонности и от сутствия права вето;

- если каждый агент сообщает центру информацию только о своем типе, то в классе механизмов, удовлетворяющих свойствам 1 – 3, приведенным выше, достаточно ограничиться классом пропорциональных механизмов распределе ния ресурса вида (12), для которых существуют эквивалентные прямые меха низмы (механизмы последовательного распределения);

- если каждый агент заинтересован в выделении своим оппонентам ресур сов в той или иной пропорции, то возможно использование механизмов согла сия или многомерных механизмов, которые являются в ряде случаев (отражен ных выше) неманипулируемыми.

4.2. Модель «слабый центр – сильные агенты»

Задачи распределения ресурсов рассматривались во многих работах (см.

раздел 4.1 и обзор в [88]). Настоящий раздел посвящен обобщению полученных в [60] результатов на случай распределения корпоративных ресурсов в ситуа ции, когда подразделения корпорации имеют иерархию взаимных представле ний о том, кому из них какое количество ресурса необходимо, а управляющий орган – корпоративный центр – имеет возможность влиять на эти взаимные представления, осуществляя тем самым рефлексивное управление [92-93].

Откажемся от введенного в разделе 4.1 предположения о том, что типы агентов являются общим знанием, и опишем информационные равновесия и их стабильность [92].

Обозначим – произвольную последовательность индексов из N, – множество всевозможных таких последовательностей, ri – представления агента о том количестве ресурса, которое необходимо i-му агенту. Например, если = j k, то ri = rjki – представления j-го агента о том, что k-ый агент думает о количестве ресурса, которое необходимо i-му агенту.

Будем считать, что функцией наблюдения каждого агента является вектор ресурсов, получаемых всеми агентами, но агенты не наблюдают заявок оппо нентов. Итак, наблюдаемым является вектор x*. Спрашивается, при каких вза имных представлениях агентов вектор s*, такой, что x* = (s*), является равно весным (заявки s* образуют стабильное информационное равновесие)?

Утверждение 13:

если наблюдаемыми являются количества ресурса, то стабильными явля ются следующие представления агентов о типах оппонентов:

* rij x j,, i j, j N (16) Справедливость этого утверждения следует из второго свойства процедуры планирования. Приведем пример.

Пример 1:

пусть n = 3, R = 1, r1 = 0.2, r2 = 0.4, r3 = 0.6. Тогда s1* = 1/2, s2 = 1, s 3 = 1, * * s 4 = 1, x1 = r1 = 0.2, x2 = r2 = 0.4, x 3 = 0.4. Рассмотрим, что «видит» первый * * * * агент. Он точно знает свой тип r1 и наблюдает вектор x1* = r1 = 0.2, x2 = 0.4, * x 3 = 0.4. На основании этого он может сделать вывод, что r2 x2, r3 x 3. При * * * этом он понимает, что второй агент может сделать вывод: r1 x1*, r3 x 3, а тре * тий – r1 x1*, r2 x2 и т.д. до бесконечности, но никакой более конкретной ин * формации, ни один из агентов из своих наблюдений и рефлексивных размыш лений извлечь не может.

Теперь будем считать, что функцией наблюдения каждого агента является вектор действий оппонентов (заявок, сообщенных агентами в корпоративный центр) и агенты наблюдают количества ресурса, получаемые оппонентами. От метим, что достаточно наблюдаемости только заявок, по которым в соответст вии с известным агентам механизмом (12) распределения ресурса каждый из них может вычислить, сколько ресурса кто получит.

Итак, наблюдаемыми являются вектора s* и x*. Спрашивается, при каких взаимных представлениях агентов данные вектора являются равновесными (за явки образуют стабильное информационное равновесие)?

Введем множество P(s*) = {i N | si R} – множество тех агентов, кото * рые точно являются диктаторами (множество диктаторов может быть и шире, то есть включать агентов, которые, сообщая максимальную заявку, получают оптимальное для себя количество ресурса).

Утверждение 14:

если наблюдаемыми являются заявки агентов, то стабильными являются следующие представления агентов о типах оппонентов:

rij = x *j,, j P(s*) \ {i}, i N (17) rij x *j,, j N \ (P(s*) {i}), i N (18) Доказательство.

Справедливость этого утверждения следует из второго свойства процедуры планирования и свойств равновесия игры агентов (см. раздел 4.1).

Доказательство закончено.

Приведем пример.

Пример 2:

пусть n = 4, R = 1, r1 = 0.1, r2 = 0.2, r3 = 0.4, r4 = 0.5. Тогда s1* = 2/7, s2 = 4/7, s 3 = 1, s 4 = 1, x1 = r1 = 0.1, x2 = r2 = 0.2, x 3 = 0.35, x 4 = 0.35. То есть * * * * * * * P(s*) = {1, 2}. Из (17) и (18) получаем, что имеет место: r1 = r1, r2 = r2, r3 x 3, r3 x 4.

* * Обозначим i – априори существующий и известный центру диапазон представлений -агента об идеальной точке i-го агента,, i N. Пусть x0(R) – n-мерный вектор неотрицательных количеств ресурса, выделяемых агентам, сумма компонент этого вектора равна R.

Будем считать, что целью центра является распределение ресурса, миними зирующее отклонение от x0(R), то есть, если s*(I) – информационное равновесие (I – структура информированности агентов – совокупность r, ), тогда за дача рефлексивного управления имеет вид:

| x ( R) i ( s * ( I )) | min.

i I : r i i iN Итак, центру необходимо сформировать у агентов структуру информиро ванности, не противоречащую их исходным представлениям { i}, при кото рой распределение ресурса в соответствии с заявками, образующими информа ционное равновесие игры агентов, является наиболее эффективным с его точки зрения.

Введем предположение о том, что вектор типов агентов (их идеальных то чек, оптимальных для них количеств ресурса) достоверно известен центру.

Кроме того, предположим, что n 2 и ri R, i N. Ограничимся структурами информированности глубины два.

Рассмотрим i-го агента (агентов в анализируемом случае можно описывать независимо). Его идеальная точка ri в соответствии с введенными предположе ниями известна центру. Если i = [0;

R],, i N, то есть, агенту ничего не известно о типах оппонентов, то центр может сформировать у него любую структуру информированности глубины два. Достаточно ограничиться такими структурами информированности, в которых агент считает, что существует об щее знание на нижнем (третьем) уровне, при этом, в частности, rijk = rik, i, j, k i N.

Двумя «крайностями» является то, что рассматриваемый агент считает, что его оппоненты считают (и этот факт является субъективным общим знанием), что всем необходимо либо минимально возможное (нулевое), либо максималь но возможное количество ресурса (весь имеющийся ресурс). В силу непрерыв ности механизма распределения ресурса, любой промежуточный случай также может быть реализован.

В первом случае все агенты, с точки зрения i-го, должны сообщить нуле вые заявки, тогда ему следует сообщать достоверную информацию.

Во втором случае агенту следует сообщать (n 1)ri ;

1}, i N (19) si+ (R, ri) = R min { R ri Получаем, что справедливо следующее утверждение.

Утверждение 15:

если i = [0;

R],, i N, то задача рефлексивного управления имеет вид:

si R | x min ( R) |.

sj i s i [ ri ;

s i+ ( R, ri )], i N iN jN Пример 3:

пусть мы находимся в условиях примера 1 (n = 3, R = 1, r1 = 0.2, r2 = 0.4, r3 = 0.6) и центр хочет, чтобы третий агент получил как можно наиболее вы годное для него количество ресурса. Тогда s1+ = 1/2, s2 = s3+ = 1. Получаем зада + чу рефлексивного управления:

s | min, s1 [1/5;

1/2], s2 [0.4;

1];

s3 [0.6;

1].

|0.6 – s1 + s 2 + s Данная задача имеет неединственное решение, обращающее в ноль целе вую функцию. Например, центр должен сформировать у агентов такую струк туру информированности, чтобы они сообщили следующие заявки: s1 = 4/15, s2 = 0.4, s3 = 1. При этом третий агент получит оптимальное для себя количест во ресурса.

Таким образом, в настоящем разделе исследованы эффекты рефлексии в корпоративных механизмах распределения ресурса, рассмотрена задача реф лексивного управления – какие представления о типах оппонентов следует цен тру сформировать у агентов, чтобы агенты сообщили такие заявки (являющиеся стабильным информационным равновесием их игры), которые привели бы к требуемому центру распределению ресурса.

5. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ ОРГАНИЗАЦИОННЫХ МЕХАНИЗМОВ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ В пятой главе рассматриваются вопросы построения эффективных систем ИБ (раздел 5.1) и определения значений базовых параметров управления ин формационными рисками, введенных в главе 2 (раздел 5.2) с использованием методов стохастического имитационного моделирования, а так же разработан ная на основании результатов исследований представленных в главах 2, 3 и «Методика организации проектных работ в области информационной безопас ности и оценки информационных рисков» (раздел 5.3).

5.1. Алгоритм выбора эффективного проекта системы инфор мационной безопасности Как уже говорилось в разделе 1.2.2, вопросам построения эффективных КСОИБ, в настоящее время, посвящено достаточное количество работ [8, 10, 16, 36, 84, 94, 97, 99-102, 109, 123], в которых с разных сторон рассматривается данная проблема. Тем не менее, в большинстве работ мало учитывается тот факт, что реальная КСОИБ функционирует в условиях случайного воздействия различных факторов, к числу которых относятся и угрозы ИБ. И, если наличие или отсутствие уязвимости в системе обеспечения ИБ является фактором управляемым, то возникновение угрозы и ее реализация представляют собой события вероятностные. Таким образом, при построении эффективной КСОИБ и оценке эффективности защиты должны в равной степени учитывать как де терминированные, так и вероятностные факторы [14-15]. Одним из возможных подходов к решению данной задачи является использование процедур имита ционного моделирования на основе полученных на этапе анализа рисков веро ятностных характеристик. Примером подобного подхода могут служить работы [42, 65, 68].

В настоящее время при проектировании КСОИБ, по-видимому, наиболее трудной и ответственной является задача выбора инфраструктурного решения данной системы. Под инфраструктурным решением здесь понимается структу ра и состав программно-технических средств защиты, реализующие определен ный набор контрмер направленных на противодействие выявленным угрозам.

Конкретный вариант инфраструктурного решения КСОИБ в дальнейшем будем называть «проектом».

Задача выбора инфраструктурного решения КСОИБ (проекта) решается в рамках выделенного объема ресурсов на основе результатов полученных на других этапах организационного управления информационными рисками (см.

разделы 1.2.2 и 1.2.3): определения уровня допустимого риска (первый этап), аудита и анализа текущих информационных рисков (второй этап) и выбора контрмер для снижения уровня текущего риска до уровня допустимого риска (третий этап). Положим, что на предыдущих этапах организационного управ ления информационными рисками были определены: набор угроз U = {U1, …, UM}, соответствующий им набор контрмер K = {K1, …, KN}, возможные про граммно-технические средства защиты, реализующие указанные контрмеры T(Ki) = {Ti1, …, TiN(Ki)}, где i = 1, …, N, уровень допустимого риска W* и объем выделенного ресурса *. Предположим, далее, что на основе различных вариан тов программно-технических средств защиты T (Ki) было подготовлено не сколько проектов P = {P1, …, PL}, реализующих набор контрмер K и удовле творяющих ограничению на объем выделенного ресурса *. Тогда задача выбо ра КСОИБ может быть сформулирована следующим образом: из множества до пустимых проектов P выбрать тот, который наиболее эффективно противостоит угрозам из множества U.

Критерии эффективности могу быть различными, однако, учитывая, что основной целью ИБ является максимальное снижение текущего уровня инфор мационного риска, представляется целесообразным рассматривать в качестве критерия разность между расчетным уровнем текущего риска конкретного про екта W (Pi) и заданным уровнем допустимого риска W*: H(Pi) = W (Pi) – W*. При этом естественно считать, что один проект лучше другого, если соответствую щее значение H меньше (здесь, учитывая дефицит выделяемого ресурса полага ем, для простоты, что W(Pi) W*). Значение W(Pi) зависит не только от выбран ного проекта, но и от того, как часто возникают те или иные угрозы и насколь ко успешно они реализуются. Поскольку процесс возникновения и реализации угроз носит исключительно вероятностный характер, то указанные параметры можно рассматривать как реализацию некоторой многомерной случайной вели чины (с.в.), параметры распределения которой оцениваются на этапе анализа текущих информационных рисков.

Сгенерируем для каждого Pi множество i = {1, …, Ni}, реализаций с.в., рассчитаем значения H(Pi) для каждой реализации и обозначим полученные значения ij, где i = 1, …, L, j = 1, …, Ni. Можно считать, что значения ij явля ются реализацией некоторой с.в. Таким образом, по результатам экспериментов (стохастического имитационного моделирования) каждому варианту проекта Pi сопоставляется выборка из некоторой генеральной совокупности i = {i1, …, iNi}. Предлагаемый подход состоит в том, что бы использовать полученный статистический материал для выбора эффективного проекта.

Рассмотрим множество P и множество соответствующих выборок = {i, где i = 1, …, L}. Процесс выбора эффективного проекта может иметь следую щий вид:

1. Введем понятие «меньше» ( p ) для с.в. и на установим частичный по рядок. При этом будем предполагать, что если m «меньше» l (m l), то соот ветственно Pm лучше Pl.

2. Во множестве определим минимальный элемент mmin, такой, что mmin p l (для l m). Если такого элемента не существует, то будем рассмат ривать «нижний класс» множества : min = {i, где i I {1, …, L}, причем для i I и j {1, …, L}\ I: i p j}.

3. В качестве эффективного проекта будем рассматривать Pm или подмно жество {Pi, где i I}. В последнем случае необходимо проведение дальнейших исследований.

Существуют различные способы введения понятия «меньше» для с.в., на пример, с помощью функционала F(F) определенного на классе функций рас пределения (ф.р.) с.в. F. При этом можно считать [68], что 1 p 2, если F(F1) F(F2). В работе [42] рассмотрены следующие способы упорядочивания с.в.:

p : F 1 (x) F 2 (x), для - по стохастическому росту: 1 x;

- по нижней грани носителя распределения: 1 2: a1 a2, где ai – p существенная нижняя грань множества Ai, являющегося носителем распреде ления с.в. i, где i = 1, 2.

В обоих случаях упорядочение с.в. основывается на соотношении их ф.р.

1 Отношения p, можно применять по отдельности или вместе, в послед p нем случае имеет место двухкритериальный выбор.

Для сравнения с.в. на основании их выборок из генеральной совокупности по отношению можно использовать ранговый критерий Вилкоксона [32, 57], p или, например, критерий серий [57, 126], для которых имеются статистические таблицы [57, 73]. Как отмечено в [42], реализация на ЭВМ критерия серий бо лее эффективна, поскольку требует значительно меньшего числа операций и объема ресурсов, чем для критерия Вилкоксона.

Для сравнения с.в. по отношению необходимо получить оценку нижней p грани носителя распределения. В [42] предлагается рассматривать в качестве такой оценки минимальный корень уравнения f*(x) =, 0, где f*(x) – некоторая сглаженная (например, ядерная) оценка плотности f (x) с.в., а – разумно выбранное малое число.

Теперь алгоритм выбора эффективного проекта может иметь следующий вид:

Алгоритм 1:

1. Сопоставим каждому элементу множеств P и его порядковый номер:

N(Pm) = m и N(m) = m.

2. Положим m = 1, l = 2.

3. Проверим выполнение соотношения p для элементов стоящих на m и l местах во множестве, при этом: если m p l, то переходим к шагу 4, в против ном случае меняем местами элементы m и l, и соответствующие им Pm и Pl, полагая, что теперь N(Pm) = N(m) = l и N(Pl) = N(l) = m.

4. Если l L – 1, то положим l = l + 1 и переходим к шагу 3, в противном случае переходим к шагу 5.

5. Положим m = 1, l = 2, k = 1.

6. Проверим выполнение соотношения p для элементов стоящих на m и l местах во множестве, при этом: если m p l, то переходим к шагу 8, в против ном случае полагаем k = k + 1и переходим к шагу 7.

7. Если l L – 1, то полагаем l = l + 1 и переходим к шагу 6, в противном случае переходим к шагу 8.

8. Выберем в качестве множества min первые k элементов множества и будем полагать их оптимальными в смысле отношения p. В качестве эффек тивных проектов выберем первые k элементов множества P.

Рассмотренный подход, как уже говорилось выше, не является единствен но возможным [100, 109, 123], но, в тоже время, обладает определенными пре имуществами. К ним, в первую очередь, можно отнести то, что практически во всех указанных работах построение эффективной КСОИБ осуществляется ис ходя из предположения о наличии некоторой детерминированной оценки воз можного ущерба. Однако независимо от воли и предвидения разработчиков возникают и иные, заранее неизвестные при проектировании КСОИБ обстоя тельства, способные снизить эффективность защиты или полностью скомпро метировать предусмотренные проектом меры ИБ. Рассмотренный в выше под ход с использованием процедур стохастического имитационного моделирова ния на основе полученных на этапе анализа рисков вероятностных характери стик как раз и позволяет учесть данное обстоятельство.

5.2. Алгоритмы определения значений базовых параметров управления информационными рисками Вернемся еще раз к представленному в разделе 2.1.2 жизненному циклу основных организационных мер по управлению информационными рисками корпорации. В сокращенной форме он имеет вид последовательности, состоя щей из следующих шагов:

Шаг 1. Центр устанавливает для каждого агента уровень допустимого рис ка.

Шаг 2. Агентами или центром проводится аудит и анализ информацион ных рисков, по результатам которого для каждого из них, определяются уровни текущих информационных рисков.

Шаг 3. Для агентов, уровни текущих информационных рисков которых больше установленных для них уровней допустимого риска, определяется необходимый набор контрмер направленных на снижение информацион ных рисков до уровня допустимого риска. На основании полученного на бора контрмер определяется объем необходимых для его реализации ре сурсов (прежде всего – финансовых).

Шаг 4. На основании полученной от агентов информации об объемах не обходимых им ресурсов и имеющихся у центра реальных возможностей по финансированию работ в сфере обеспечения ИБ определяется:

общий объем выделяемых на работы в сфере ИБ финансовых ре сурсов (бюджет ИБ);

эффективное, в каком-то смысле, распределение бюджета ИБ между агентами.

Шаг 5. Получив выделенный им объем ресурса, агенты наиболее эффек тивным образом реализуют необходимый набор контрмер, стремясь до биться максимально возможного в заданных условиях снижения уровня текущего риска.

Затем цикл организационных мер по управлению информационными рис ками повторяется.

Один из подходов к построению эффективной КСОИБ в условиях фикси рованного объема ресурсов (шаг 5) рассмотрен выше в этой главе (раздел 5.1).

Механизмы формирования бюджета и его эффективного распределения между агентами на основании полученных от них заявок (шаг 4) подробно рас смотрены в главах 2, 3 и 4. При этом, необходимо отметить, что ключевым па раметром для указанных механизмов является заявка агента, которая предпола галась заданной. Однако никаких методов определения ее значения предложено не было. Ниже будет изложен один из возможных подходов к решению указан ной проблемы.

Напомним, что под заявкой понимался некоторый объем финансовых ре сурсов необходимый агенту для реализации контрмер, которые позволяют сни зить уровень текущего риска до уровня допустимого риска. Предположим, что уровень допустимого риска W* и уровень текущего риска W0 тем или иным спо собом определены, и воспользуемся для определения заявки агента подходом, предложенным в разделе 5.1.

Обозначим max и min, соответственно максимально-возможный и мини мально-возможный объем ресурсов, которые может выделить центр данному агенту на текущем цикле организационного управления. Тогда процесс опреде ления заявки агента может иметь следующий вид:

Алгоритм 2:

1. Выберем на отрезке [min, max] несколько значений возможного объема ресурса i, i = 1, …, S (для простоты будем считать, что min 1 … S max).

2. Для каждого значения i, i = 1, …, S рассмотрим набор проектов Pi = {Pi1, …, PiLi}, реализующих набор контрмер K и удовлетворяющих ограничению на объем выделенного ресурса i.

3. Из каждого набора проектов Pi выберем единственный эффективный проект Piэф, используя алгоритм выбора эффективного проекта, представлен ный в разделе 5.1. В рамках рассматриваемого подхода, каждому проекту со i поставлялась с.в. эф, представляющая собой оценку разности между вычис ленным значением текущего уровня риска для рассматриваемого проекта и зна чением допустимого риска и представленная некоторым набором (выборкой из i i i i некоторой генеральной совокупности) …, где эф= { эф1, эф Ni}, – вы эфj численное значение H(Piэф) = W (Piэф) – W*. Таким образом, эффективному про екту Piэф соответствует некоторая «минимальная» (в смысле отношения порядка ( p ) определенного выше) с.в. iэф. Обозначим эф = { iэф, где i = 1, …, S} 4. Разобьем множество эф на два непересекающихся подмножества -эф = { iэф, где i I- {1, …, S}, причем для i I- iэф p 0}и +эф = { iэф, где i I+ {1, …, S}\ I-, причем для i I+ 0 p iэф}. Здесь 0– с.в. «равная» нулю (в простейшем случае 0= 0). Иными словами, множество I- включает проекты, для которых значение текущего уровня риска меньше, чем значение допустимого риска, а множество I+, соответственно, проекты, для которых значение текуще го уровня риска больше, чем значение допустимого риска.

5. Во множестве -эф найдем максимальный элемент mmax, такой, что l p mmax (для l m I-). Если такого элемента не существует, то будем рассмат ривать «верхний класс» множества -эф:

-эф = {i, где i Imax I-, причем max для i Imax и j I- \ Imax: j p i }.

6. В качестве заявки агента будем рассматривать m – стоимость проекта Pmэф, соответствующего максимальному элементу mmax, или минимальный эле мент множества {i, где i Imax}. Иными словами, заявка агента представляет собой минимальную стоимость проекта, который позволяет снизить значение текущего уровня риска до уровня допустимого риска или ниже.

Приведенный выше алгоритм нуждается в некоторых комментариях.

Во-первых, что делать в случае отсутствия информации о конкретных зна чениях одной, или даже обеих величин max и min?

Данное обстоятельство не является критическим. Действительно, в этом случае алгоритм определения заявки агента может иметь следующий вид:

Алгоритм 3:

1. Если уровень текущего риска меньше уровня допустимого риска, то за явка агента полагается равной нулю, в противном случае осуществляется пере ход к шагу 2.

2. Выбираем некоторое начальное значение заявки 1 0.

3. Для выбранного значения заявки, реализуя последовательно этапы 2 и 3, приведенного выше Алгоритма 2, определяем эффективный проект P1эф и со ответствующую с.в. 1эф.

4. Если 1эф p 0, то в качестве заявки выбираем значение 1. В противном случае выбираем следующее значение заявки 2 1 и переходим к шагу 2 и т.д.

Во-вторых, что делать в ситуации, когда множество -эф оказывается пус тым?

В этом случае возможны два варианта решения проблемы:

1) увеличиваем значение уровня допустимого риска;

2) во множестве эф (которое в этом случае совпадает с +эф) ищем мини мальный элемент mmin, такой, что mmin p l (для l m). Если такого элемента не существует, то рассматриваем «нижний класс» множества эф: эф = {i, где i Imin {1, …, S}, причем для i Imin и j {1, …, S}\ Imin: i p min j}. В качестве заявки агента будем рассматривать m – стоимость проекта Pmэф, соответствующего минимальному элементу mmin, или минимальный элемент множества {i, где i Imin}.

В-третьих, каким образом центру следует выбирать значение уровня до пустимого риска W*?

Одним из возможных подходов (не считая случая, когда уровень допусти мого риска устанавливается центром директивно, исходя из требований норма тивных правовых документов) может быть следующий.

Рассмотрим общие затраты на управление информационными рисками, ко торые складываются, во-первых, из затрат на принятие контрмер (создание КСОИБ) и, во-вторых, из потерь от реализации информационных рисков. Учи тывая свойства функции риска, изложенные в разделе 1.2.2 (типичный график функции риска представлен там же на рисунке 1.2.2.3) график зависимости об щих затрат на управление информационными рисками от затрат на принятие контрмер представляет собой вогнутую функцию с единственным минимумом в точке, где достигается равенство между затратами на принятие контрмер и потерями от реализации информационных рисков (точка равновесия). Пример подобного графика представлен на рисунке 5.2.1.


Рис. 5.2.1. Зависимость общих затрат на управление информационными рисками от затрат на контрмеры Из сказанного выше можно сделать вывод, что центру объективно невы годно устанавливать уровень допустимого риска ниже точки равновесия, по скольку в этом случае затраты на реализацию контрмер превысят потенциаль ный ущерб от реализации угроз, а общие затраты, в свою очередь, так же будут выше, чем в точке равновесия. Таким образом, выбор в качестве уровня допус тимого риска значения текущего уровня риска в точке равновесия представля ется достаточно разумным.

Для вычисления указанного значения уровня допустимого риска может быть использован модифицированный алгоритм определения заявки агента (Алгоритм 3), представленный выше:

Алгоритм 4:

1. Полагаем значение уровня допустимого риска W*= 0.

2. Выбираем некоторое начальное значение заявки 1 0.

3. Для выбранного значения заявки, реализуя последовательно этапы 2 и 3, приведенного выше Алгоритма 2, определяем эффективный проект P1эф и со ответствующую с.в. 1эф.

4. Если 1эф p (1), где (1) – с.в. «равная» 1 (в простейшем случае (1) = 1), то в качестве уровня допустимого риска выбираем значение 1. В противном случае выбираем следующее значение заявки 2 1 и переходим к шагу 2 и т.д.

Вообще говоря, если на некотором шаге n Алгоритма 4 неравенство nэф p (n) не выполнено, а на шаге n+1, соответственно, выполнено, то в качестве уровня допустимого риска можно рассматривать некоторую величину W* [n, n+1].

5.3. Методика организации проектных работ в области инфор мационной безопасности и оценки информационных рисков На основании результатов научных исследований, представленных в гла вах 2, 3 и 4, была разработана «Методика организации проектных работ в об ласти информационной безопасности и оценки информационных рисков» (да лее – Методика), которая в настоящее время принята в ООО «Information Business Systems» (IBS) в качестве корпоративного стандарта.

Необходимость создания КСОИБ. В соответствии с РД ФСТЭК России «Специальные требования и рекомендации по технической защите конфиден циальной информации» (СТР-К, п. 2.6) защита информации, обрабатываемой с использованием ТС, является составной частью работ по созданию и эксплуа тации объектов информатизации различного назначения и должна осуществ ляться в виде системы (подсистемы) защиты информации во взаимосвязи с дру гими мерами по защите информации.

Необходимость создания выделенной КСОИБ для существующей или планируемой к внедрению КИС может быть обоснована с помощью критериев, описанных в международном стандарте ISO/IEC TR 13335-3 Information technology – Guidelines for the management of IT Security – Part 3: Techniques for the management of IT Security, который выделяет следующие основные критерии необходимости обеспечения ИБ для КИС:

1. Бизнес-цели организации, которые достигаются при использовании КИС.

2. Степень зависимости бизнес-процессов от функционирования КИС (показатель критичности выполняемых КИС функций для эффективной и бесперебойной реализации бизнес-процессов).

3. Уровень инвестиций в КИС с учетом стоимости ее разработки, внедрения, эксплуатации и модернизации.

4. Ценность информационных ресурсов КИС (стоимость информации, обрабатываемой КИС).

Если КИС напрямую влияет на основные бизнес-цели организации, а также, если существует высокая зависимость функционирования основных бизнес-процессов от работы КИС, если ценность ресурсов и совокупная стоимость владения КИС высоки, то для такой системы требуется создание КСОИБ.

Для того чтобы оценить КИС с точки зрения критериев стандарта ISO/IEC TR 13335:1996-2001 необходимо ввести качественные характеристики (показатели) по каждому из критериев.

Вводятся следующие показатели значимости:

• 4 (высокий). КИС имеет высокий уровень значимости с точки зрения рассматриваемого критерия.

• 3 (средний). КИС имеет средний уровень значимости с точки зрения рассматриваемого критерия.

• 2 (низкий). КИС имеет низкий уровень значимости с точки зрения рассматриваемого критерия.

• 1 (незначительный). КИС является незначительной с точки зрения рассматриваемого критерия.

Взаимосвязь критериев и показателей представлена в таблице 5.3.1.

Критерии необходимости обеспечения ИБ КИС значимости Показатель Бизнес-цели, кото- Степень зависимо- Уровень инвести- Ценность ресурсов самой рые достигаются сти бизнес- ций в КИС с уче- КИС при использовании процессов от функ- том разработки, КИС ционирования КИС внедрения, экс плуатации и мо дернизации Функционирование Нарушения функцио- Совокупная стои- Стоимость ущерба от на КИС напрямую нирования КИС мо- рушения конфиденциаль мость владения КИС влияет на увеличение жет привести к оста- ности, целостности и дос существенно пре Высокий (4) прибыли организа- новке или сущест- тупности информации, об вышает совокупную ции венной деградации рабатываемой в КИС высо стоимость владения основных бизнес- ка других систем, вне процессов организа- дренных в организа ции ции Функционирование Нарушения функцио- Совокупная стои- Стоимость ущерба от на КИС позволяет со- рушения конфиденциаль нирования КИС мо- мость владения КИС Средний (3) кратить издержки за ности, целостности и дос жет привести к несу- сравнима с совокуп счет автоматизации тупности информации, об щественной деграда- ной стоимостью основных бизнес- рабатываемой в КИС сред ции основных бизнес- владения других процессов организа- няя процессов организа- систем, внедренных ции ции в организации Функционирование Нарушения функцио- Совокупная стои- Стоимость ущерба от на КИС не влияет на нирования КИС мо- мость владения КИС рушения конфиденциаль Низкий (2) основные бизнес- жет привести к де- ности, целостности и дос меньше совокупной процессы организа- градации вспомога- тупности информации, об стоимости владения ции тельных бизнес- рабатываемой в КИС низ других систем, вне процессов организа- кая дренных в организа ции ции КИС является вспо- Нарушения функцио- Размер совокупной Нарушения конфиденци Незначительный (1) могательной (обес- нирования КИС не стоимости владения альности, целостности и печивающей) влияют на бизнес- КИС несущественен доступности информации, процессы организа- обрабатываемой в КИС, не ции приводят к финансовому ущербу Табл. 5.3.1. Взаимосвязь критериев и показателей Если по результатам анализа КИС в соответствие с критериями стандарта ISO/IEC TR 13335-3 интегральный показатель по всем критериям будет (незначительная) или 2 (низкая), то выделенной КСОИБ для такой КИС не требуется.

Если по результатам анализа интегральный показатель по всем критериям будет 3 (средняя) или 4 (высокая), то необходимо создание и внедрение выделенной КСОИБ.

Цель и задачи КСОИБ. Целью создания КСОИБ является разработка и внедрение комплекса организационных мер и программно-технических средств защиты, обеспечивающих надежность и безопасность функционирования КИС организации.

Целью внедрения КСОИБ в разрезе производственно-хозяйственной деятельности организации является обеспечение заданных параметров неотказуемости для каждой из подсистем КИС. Для каждой из подсистем должен быть определен уровень критичности по отношению к производственно-хозяйственной деятельности организации. Уровень критичности может определяться уровнем возможного ущерба, максимального времени простоя и т.п. Отталкиваясь от значения этого параметра, определяется необходимый комплекс организационных мер и программно-технических средств защиты.

С точки зрения экономической эффективности целью внедрения КСОИБ является минимизация ущерба, выраженного в качественных и количественных характеристиках. Для реализации этой цели необходимо разработать перечень инцидентов в области ИБ, приводящих к ущербу для организации, и методику определения размера ущерба. Накопленная за определенный интервал статистика по инцидентам позволит оценить эффективность деятельности в области обеспечения ИБ и обоснованно вносить изменения в комплекс организационных мер и программно-технических средств защиты.

В рамках достижения указанных целей при создании и внедрении КСОИБ должны быть решены следующие основные задачи:

• проведен анализ рисков;

• разработаны требования к системе;

• определены процессы обеспечения ИБ;

• определена организационная структура системы, • выбраны ПТС защиты, • разработаны организационно-распорядительные и нормативно-техни ческие документы.

Построение КСОИБ и ее Принципы построения КСОИБ.

функционирование должны осуществляться в соответствии со следующими основными принципами.

Законность.

Предполагает осуществление защитных мероприятий и разработку КСОИБ в соответствии с действующим законодательством в области информации, информатизации и защиты информации, информационных технологий и защиты информации, других нормативных правовых актов по ИБ, утвержденных органами государственной власти в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией.

Системность.

Системный подход к построению КСОИБ предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения ИБ. При создании КСОИБ должны учитываться все слабые и наиболее уязвимые места КИС, возможности появления принципиально новых путей реализации угроз безопасности.

Комплексность.

Комплексное использование методов и средств защиты КИС предполагает согласованное применение разнородных средств при построении целостной КСОИБ, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

Защита должна строиться эшелонировано.

Непрерывность защиты.

Защита информации – непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла КИС организации, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.


Своевременность.

Предполагает упреждающий характер мер обеспечения ИБ, то есть постановку задач комплексной защиты КИС и реализацию мер обеспечения ИБ на ранних стадиях разработки КИС в целом и ее подсистемы защиты информации (КСОИБ), в частности. Разработка КСОИБ должна вестись параллельно с разработкой и развитием самой защищаемой системы.

Преемственность и совершенствование.

Предполагают постоянное совершенствование мер и средств ИБ на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования КИС и ее подсистемы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат).

Предполагает соответствие уровня затрат на обеспечение ИБ, ценности информационных ресурсов и величины возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы КИС, в которой эта информация циркулирует. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Персональная ответственность.

Предполагает возложение ответственности за обеспечение ИБ на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

Принцип минимизации полномочий.

Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, в каком это необходимо сотруднику для выполнения его должностных обязанностей.

Взаимодействие и сотрудничество.

Предполагает создание благоприятной атмосферы в коллективах подразделений организации. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделения ИБ.

Гибкость подсистемы защиты.

Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью.

Открытость алгоритмов и механизмов защиты.

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации КСОИБ и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это, однако, не означает, что информация о конкретной системе защиты должна быть общедоступна.

Простота применения средств защиты.

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей.

Научная обоснованность и техническая реализуемость.

Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня ИБ и должны соответствовать установленным нормам и требованиям по ИБ.

Специализация и профессионализм.

Предполагает привлечение к разработке средств и реализации мер ИБ специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению ИБ, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами организации, не исключено также обслуживание сложных подсистем специализированными фирмами.

Взаимодействие и координация.

Предполагают осуществление мер обеспечения ИБ на основе взаимодействия всех заинтересованных подразделений организации, её территориальных объектов, внешних предприятий и организаций, участвующих в разработке и функционировании КИС и ее подсистемы защиты информации.

Обязательность контроля.

Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения ИБ на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. Контроль деятельности любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

Состав и содержание работ. Общий состав и содержание работ по разработке, реализации и сопровождению КСОИБ приведен на рисунке 5.3.1.

Состав и содержание работ при разработке и внедрении конкретной КСОИБ уточняются на этапе разработки технического задания для каждой стадии работ. Ниже приведено описание основных начальных этапов создания КСОИБ.

Разработка и поддержка функционирования системы обеспечения информационной безопасности Концепция информационной 1.1 Определение общей функциональной архитектуры КСОИБ безопасности 1.2 Разработка плана внедрения мер и средств защиты 2.1 Выбор подхода к анализу риска планирование и организация 2.2 Оценка рисков Анализ риска 2.3 Определение стратегии управления рисками 2.4 Выбор мер и средств защиты Научно-исследовательские 3.1 Оценка применимости и реализуемости выбранных мер и средств защиты работы 3.2 Технико-экономическое обоснование Политика информационной 4.1 Разработка требований к проведению работ по защите информации в организации безопасности 4.2 Определение ролей и зон ответственности ТЗ на создание КСОИБ 5.1 Разработка и утверждение ТЗ на создание КСОИБ 6.1 Эскизное проектирование 6.2 Техническое проектирование 6.3 Рабочее проектирование комплектация и внедрение Проектирование КСОИБ 6.4 Доработка политики информационной безопасности 6.5 Разработка дополнительных организационно распорядительных и нормативно -технических документов 7.1 Поставка оборудования и материалов Ввод в действие КСОИБ 7.2 Проведение строительно-монтажных и пуско-наладочных работ 7.3 Проведение приемо -сдаточных испытаний Система осведомленности 8.1 Разработка программы осведомленности по вопросам ИБ и обучения 8.2 Разработка программы обучения вопросам ИБ 9.1 Контроль реализации организационных мер Обслуживание КСОИБ 9.2 Отслеживание изменений функционирование и обслуживание Мониторинг КСОИБ 10.1 Администрирование средств защиты 10.2 Повторный анализ риска 11.1 Фиксация инцидентов Обработка инцидентов 11.2 Расследование инцидентов 11.3 Накопление статистики по инцидентам Поддержка КСОИБ 12.1 Выполнение работ в соответствии с гарантийными обязательствами 12.2 Послегарантийное обслуживание миниторинг 13.1 Внутренний аудит КСОИБ Аудит КСОИБ 13.2 Внешний аудит КСОИБ Рис. 5.3.1. Жизненный цикл КСОИБ Ниже приведено описание основных начальных этапов создания КСОИБ.

Концепция информационной безопасности. Основная цель концепции – определить общий замысел создания КСОИБ и описать пути и этапы его реализации. Концепция ИБ – это долгосрочный документ и не предполагает частого внесения изменений. Концепция может разрабатываться как на этапе создания КСОИБ, так и на этапе функционирования и модернизации системы.

Приведенная ниже структура концепции носит рекомендательный харак тер и может быть изменена в зависимости от специфики проводимых работ.

Введение Раздел содержит краткое изложение содержания документа. Описыва ются общие принципы и подходы к разработке концепции.

1. Общие положения 1.1 Назначение и правовая основа документа Раздел содержит цели и задачи разработки концепции, целевую аудито рию, ссылки на основные нормативные документы. Определяется роль и ме сто концепции в общем процессе обеспечения информационной безопасности организации.

1.2 Термины и определения Раздел содержит основные понятия, термины и определения, используе мые в концепции.

1.3 Анализ результатов обследования Раздел содержит выводы по результатам обследования.

1.4 Особенности обеспечения информационной безопасности ИТ сис темы организации Раздел содержит временные, ресурсные ограничения, а также особенно сти объекта защиты, влияющие на создание КСОИБ.

2. Цели и задачи обеспечения информационной безопасности Раздел содержит цели и задачи, которые должны быть реализованы в ре зультате создания КСОИБ.

3. Объекты защиты 3.1 Категории защищаемых ресурсов Раздел содержит сформированный по результатам обследования класси фикатор защищаемых ресурсов с указанием категорий конфиденциальности и критичности каждого ресурса.

3.2 Основные источники угроз Раздел содержит сформированную по результатам обследования модель злоумышленника.

3.3 Основные угрозы и риски Раздел содержит сформированный по результатам обследования пере чень существенных угроз и рисков нарушения информационной безопасности.

4. Основные требования к КСОИБ Раздел содержит основные функциональные требования и требования к архитектуре КСОИБ, сформированные по результатам обследования. Данные требования должны быть детализированы и включены в техническое задание на создание КСОИБ.

5. Техническая политика и принципы построения КСОИБ Раздел содержит принципы и критерии выбора организационных мер и программно-технических средств защиты. Определяются общие принципы взаимодействия КСОИБ с другими системами организации.

6. Облик КСОИБ 6.1 Меры и средства обеспечения информационной безопасности Раздел содержит меры и средства защиты по следующим категориям:

управление обеспечением информационной безопасности, защита данных, за щита приложений, защита телекоммуникаций, физическая безопасность.

6.2 Общая архитектура и состав КСОИБ Раздел содержит функциональную архитектуру КСОИБ с учетом вы бранных мер и средств защиты.

7. Этапы создания и основные меры по внедрению системы 7.1 Этапы выполнения работ Раздел содержит предложения по этапам построения системы исходя из потребностей организации и руководствуясь принципами преемственности с существующей КСОИБ (если таковая существует). При этом основное вни мание уделяется формированию на каждом из этапов законченных решений.

7.2 Обучение персонала Раздел содержит требования к обучению персонала, задействованного в создании и поддержке функционирования КСОИБ.

8. Эффективность развертывания системы Раздел содержит качественную оценку эффективности реализации на стоящей концепции и развертывания системы. Причем, последнее должно быть оценено исходя из конечного макроэффекта для организации в целом.

Выводы Раздел содержит основные выводы по концепции в целом. Выводы носят характер аннотации.

Приложение 1. Отчет по результатам обследования Приложение 2. Отчет по результатам анализа риска Приложение 3 (опциональное) Сравнительный анализ программно технических средств защиты для создания КСОИБ Анализ риска. Процесс анализа риска состоит из 6 последовательных эта пов:

1. Идентификация и классификация объектов защиты (ресурсов КИС, подлежащих защите).

2. Категорирование ресурсов.

3. Построение модели злоумышленника.

4. Идентификация, классификация и анализ угроз и уязвимостей.

5. Оценка риска.

6. Выбор организационных мер и технических средств защиты.

На этапе идентификации и классификации объектов защиты необходимо провести инвентаризацию ресурсов КИС по следующим направлениям:

• информационные ресурсы (конфиденциальная и критичная информа ция компании);

• программные ресурсы (ОС, СУБД, критичные приложения, например ERP);

• физические ресурсы (сервера, рабочие станции, сетевое и телекомму никационное оборудование);

• сервисные ресурсы (электронная почта, www и т.д.).

Категорирование заключается в определении уровня конфиденциальности и критичности ресурса. Под конфиденциальностью понимается уровень секретности сведений, которые хранятся, обрабатываются и передаются ресурсом. Под критичностью понимается степень влияния ресурса на эффективность функционирования КИС. Присвоив параметрам конфиденциальности и критичности определенные качественные значения, можно определить уровень значимости каждого ресурса, с точки зрения его участия в процессах ИС.

Для определения значимости ресурсов ИТ системы с точки зрения информационной безопасности можно использовать следующую таблицу 5.3.2:

критичный существенный незначительный 7 6 строго конфиденциальный 6 5 конфиденциальный 5 4 для внутреннего пользования 4 3 открытый Табл. 5.3.2. Взаимосвязь критериев и показателей Например, файлы с информацией об уровне зарплат сотрудников организации имеют значение “строго конфиденциально” (параметр конфиденциальности) и значение “незначительный” (параметр критичности).

Подставив эти значения в таблицу, можно получить интегральный показатель значимости данного ресурса.

Различные варианты методик категорирования приведены в международном стандарте ISO TR 13335.

Построение модели злоумышленника - это процесс классификации потенциальных нарушителей по следующим параметрам:

• тип злоумышленника (конкурент, клиент, разработчик, сотрудник ор ганизации и т.д.);

• положение злоумышленника по отношению к объектам защиты (внутренний, внешний);

• уровень знаний об объектах защиты и окружении (высокий, средний, низкий);

• уровень возможностей по доступу к объектам защиты (максимальные, средние, минимальные);

• время действия (постоянно, в определенные временные интервалы);

• место действия (предполагаемое месторасположение злоумышленни ка во время реализации атаки).

Присвоив перечисленным параметрам модели злоумышленника качественные значения можно определить потенциал злоумышленника (интегральную характеристику возможностей злоумышленника по реализации угроз).

Идентификация, классификация и анализ угроз и уязвимостей позволяют определить пути реализации атак на объекты защиты.

Уязвимости – это свойства ресурса или его окружения, используемые злоумышленником для реализации угроз.

Угрозы классифицируются по следующим признакам:

• наименование угрозы;

• тип злоумышленника;

• средства реализации;

• используемые уязвимости;

• совершаемые действия;

• частота реализации.

Основной параметр – частота реализации угрозы. Она зависит от значений параметров “потенциал злоумышленника” и “защищенность ресурса”. Значение параметра “защищенность ресурса” определяется путем экспертных оценок.

При определении значения параметра принимается во внимание субъективные параметры злоумышленника: мотивация для реализации угрозы и статистика от попыток реализации угроз данного типа (в случае ее наличия). Результатом этапа анализа угроз и уязвимостей является оценка параметра “частота реализации” по каждой из угроз.

На этапе оценки риска определяется потенциальный ущерб от угроз нарушения ИБ для каждого ресурса или группы ресурсов. Качественный показатель ущерба зависит от двух параметров:

• значимость ресурса;

• частота реализации угрозы на этот ресурс.

Исходя из полученных оценок ущерба, обоснованно выбираются адекватные организационные меры и ПТС защиты.

Политика информационной безопасности. Общая структура ПИБ приве дена на рисунке 5.3.2.

требования (policy) стандарты (standards) организационно-распорядительные и нормативно-технические документы (procedures) Рис. 5.3.2. Общая структура политики информационной безопасности ПИБ имеет трехуровневую иерархию:

• требования (policy), • стандарты (standards), • организационно-распорядительные и нормативно-технические доку менты (procedures).

Требования (policy) – это высокоуровневые положения, которые определяют принципы и направления выполнения действий. Пример требований: для критичных серверов КИС должно выполняться регулярное резервное копирование.

Стандарты (standards) – это детальные положения, которые определяют особенности выполнения действий. Пример стандарта: для серверов А, Б и С ежедневно должно выполняться инкрементальное резервное копирование и еженедельно – полное резервное копирование.

Организационно-распорядительные и нормативно-технические документы (procedures) – это инструкции, определяющие последовательность и содержание действий, необходимых для выполнения требований и стандартов.

Пример: Инструкция по резервному копированию.

Документ “Политика информационной безопасности” состоит из требований, стандартов и ссылок на организационно-распорядительные и нормативно-технические документы. Сами организационно-распорядительные и нормативно-технические документы не входят в состав политики и являются отдельными самостоятельными документами.

Каждому требованию политики ставится в соответствие категория персонала, для которой это требование актуально.

Вводятся следующие категории персонала (таблица 5.3.3):

категория условное обозначение Высшее руководство ВР Руководители бизнес-подразделений РБП Руководители ИТ-подразделений РИП ИТ-администраторы А пользователи П Табл. 5.3.3. Категории персонала В качестве примера, иллюстрирующего такой подход, можно привести следующий раздел политики информационной безопасности (таблица 5.3.4):

Для критичных серверов компании должно Требование N выполняться регулярное резервное копирование.

Для серверов А, Б и С ежедневно должно выполняться инкрементальное резервное Стандарт N копирование и еженедельно – полное резервное копирование.

Организационно-распорядительный и Инструкция по резервному копированию.

нормативно-технический документ РИП, А Актуально для Табл. 5.3.4. Пример раздела политики информационной безопасности В общем случае политика информационной безопасности организации может содержать разделы, приведенные ниже.

1. Общие положения 1.1 Термины и определения Раздел содержит понятия, термины и определения, используемые в политике информационной безопасности.

1.2 Цель и предмет политики Раздел содержит основные цели и предназначение документа “Политика информационной безопасности”.

1.3 Структура политики Раздел содержит описание структуры построения документа “Политика информационной безопасности”, определяет отношения между требованиями, стандартами, организационно-распорядительными и нормативно-техническими документами.

1.4 Целевая аудитория Раздел содержит категории персонала, на которые ориентированы требования политики информационной безопасности.

1.5 Правовая основа политики Раздел содержит перечень документов, на основе которых разрабатываются положения политики, а также статус документа “Политика информационной безопасности” в организации.

1.6 Порядок пересмотра политики Раздел содержит порядок пересмотра и внесения изменений в политику информационной безопасности.

2. Цели и приоритеты защиты (позиция Компании) Раздел содержит цели, задачи и приоритеты обеспечения информационной безопасности в организации.

3. Зоны ответственности 3.1 Высшее руководство Раздел содержит задачи и область ответственности высшего руководства в части обеспечения информационной безопасности организации.



Pages:     | 1 | 2 || 4 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.