ДЕРЕВЬЯ УЩЕРБОВ КАК МОДЕЛЬ ОЦЕНКИ РИСКОВ ПОТЕРЬ ДОСТУПНОСТИ ПОСЛЕ ПРОВЕДЕНИЯ ИЗМЕНЕНИЙ В ФИНАНСОВЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
С.А. Арустамов, М.Г. Генин
8 МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
УДК 004.056.53
ДЕРЕВЬЯ УЩЕРБОВ КАК МОДЕЛЬ ОЦЕНКИ РИСКОВ ПОТЕРЬ ДОСТУПНОСТИ ПОСЛЕ ПРОВЕДЕНИЯ ИЗМЕНЕНИЙ В ФИНАНСОВЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
С.А. Арустамов, М.Г. Генин
Рассматривается метод прогнозирования и анализа рисков потерь доступности критических информационных систем с помощью построения деревьев ущербов. Приводится описание метода построения дерева ущербов для каждого из возможных событий, которые могут привести к потере доступности. Приводится пример, иллюстрирующий использование метода, на основании которого можно выбрать наиболее рациональную стратегию тестирования программного обеспечения. Ключевые слова: информационные системы, оценки, анализ, доступность, риск потери доступности, ущерб, дерево ущербов, стратегия тестирования ПО.
Введение
В работе рассматриваются риски потери доступности программного обеспечения (ПО) при прове-
дении обновлений финансовых информационных систем [1, 2]. Как правило, финансовые информацион-
ные системы имеют жесткие требования по доступности. Под доступностью в работе будем понимать
возможность системы выполнять заявленные функции их легальными пользователями.
Обычно риск потери доступности [3] определяют как пару, состоящую из вероятности наступле-
ния того или иного события, приведшего к потере доступности после проведения обновления, и ущерба
от наступления этого события. В настоящей работе предлагается ввести расширенное понятие ущерба в
предположении, что он носит вероятностный характер. Например, утрата части клиентской базы и свя-
занная с этим потеря доли рынка в результате сбоя ПО может и не произойти. Все зависит от множества
объективных и субъективных факторов, таких как продолжительность неработоспособности системы в
результате сбоя, время сбоя, наличие клиентов, которые в момент сбоя работали с системой, и т.д. Исхо-
дя из этого, можно говорить как о величине ущерба, так и о вероятности наступления ущерба при усло-
вии, что сбой произошел. Основываясь на этих предположениях, определим риск потери доступности
следующим образом:
Ri={Pi, Li(PLi)},
(1)
где Ri – риск наступления i-го события; Pi – вероятность наступления i-го события; Li(PLi) – величина
ущерба от i-го события, наступающая с вероятностью PLi, при этом ущерб будем рассматривать как дис-
кретную случайную величину (ДСВ).
Будем считать, что на момент начала исследования текущая версия системы до обновления не со-
держит ошибок, т.е. риски потери доступности для нее отсутствуют. Предметом исследования является
обнаружение и предотвращение в максимально короткие сроки проблем, которые могут возникнуть в
результате обновления системы. Для решения данной задачи предлагается следующий подход. Для каж-
дого из выявленных возможных негативных событий (сбоев), которые могут иметь место в результате
обновления1, проводится оценка риска потери доступности на основе анализа возможных ущербов от
этого события. События с более высоким риском признаются более опасными. На основе этого строится
стратегия тестирования обновления, по которой приоритет отдается тестированию компонентов ПО с
высокими рисками. Для количественной оценки риска потери доступности в работе предлагается метод
построения дерева ущерба для каждого из выявленных негативных событий. Вопросы технологии тести-
рования ПО не являются предметом данной работы.
Построение дерева ущербов для i-го события
Продолжим дальше развивать понятие ущерба. Обратим внимание на то, что ущерб Li , возникший в результате события i, может быть, вообще говоря, составным, т.е. может быть разложен на несколько независимых составляющих:
Li={Lij}, j={1, 2 ,…, N},
1 Выявление проведенных обновлений автоматически отслеживается программными агентами, установленными на критических узлах системы. Сведения о проведенных изменениях передаются на централизованный сервер.
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
129
ДЕРЕВЬЯ УЩЕРБОВ КАК МОДЕЛЬ ОЦЕНКИ РИСКОВ …
где Lij – j-я составляющая ущерба Li, возникшего в результате i-го события. В самом деле, в результате сбоя системы могут иметь место одновременно и независимо друг от друга несколько негативных по-
следствий. Например, в результате неполадок новой версии СУБД перестали быть доступными незави-
симые друг от друга функции (такие, например, как ввод документов и подготовка отчетности). Как
следствие, возникает несколько независимых друг от друга ущербов. Продолжая цепочку рассуждений
дальше, по аналогии с (1), можно заметить, что у каждой j-й составляющей ущерба Lij может быть своя вероятность возникновения PLji, которая не зависит от других составляющих. Отталкиваясь от приведенного выше примера, можно предположить, что ущерб в результате невозможности ввода документов
никак не связан с ущербом из-за проблем модуля подготовки отчетности. Вероятность возникновения
первого связана с возможным недовольством клиентов или руководителей, а вторая – с возможными
штрафными санкциями со стороны надзорных органов. В результате получаем следующее выражение
для риска потери доступности:
Ri={Pi, {Li1(PLi1), Li2(PLi2), Li3(PLi3), …, LiN(PLiN)}}, где N – количество независимых составляющих ущерба от i-го события.
(2)
Рассмотрим теперь ситуацию, когда составляющие ущерба являются зависимыми друг от друга,
т.е. когда одна составляющая ущерба является следствием другой. Это возможно в случае, когда в ре-
зультате неполадок в работе системы часть клиентов переходит к другому поставщику услуг, в результа-
те чего уменьшается доля контролируемого рынка, и т.д. Возникает ситуация, когда один ущерб может
вызвать другой, и т.д., т.е. возникает цепочка вложенных ущербов. Каждый из ущербов в цепочке имеет
свою собственную вероятность возникновения, но при условии, что реализовались все предыдущие
ущербы из цепочки. В данном примере уменьшение доли рынка возможно только при переходе части
клиентов к другому поставщику, а переход на другую платформу возможен, в свою очередь, только как
следствие неполадок в работе системы. В этом случае риск потери доступности для зависимых случай-
ных величин можно определить следующим образом:
Ri={Pi, {Li1(PLi1)}, Li2(PLi2|Li1), …, LiN(PLiN|LiN–1…Li3Li2Li1)}}, где N – количество зависимых ущербов от i-го события в данной цепочке.
(3)
Возможно существование ситуаций, когда цепочка зависимых ущербов завершается несколькими
независимыми друг от друга ущербами, каждый из которых, в свою очередь, может быть началом новой
цепочки зависимых ущербов, т.е. присутствует комбинация зависимых и независимых ДСВ.
Событие i
(P,L)[i,1]
(P,L)[i,2]
(P,L)[i,3]
(P,L)[i,2,1]
... (P,L)[i,Ni]
(P,L)[i,2,1,1] (P,L)[i,2,1,2] (P,L)[i,2,1,3]
(P,L)[i,2,1,3,1]
(P,L)[i,2,1,3,1,1]
Рис. 1. Графическое изображение дерева ущербов, порождаемого i-м событием
В общем случае можно сказать, что в результате события i может иметь место набор независимых ущербов, некоторые из которых могут, в свою очередь, породить цепочку зависимых. Каждая из порожденных цепочек зависимых ущербов может, в свою очередь, заканчиваться несколькими независимыми ущербами, которые тоже могут порождать свои цепочки, и т.д. Формально это можно описать различными вложенными комбинациями формул (2) и (3), однако представить общий случай в виде одной формулы сложно, так как выражение будет слишком громоздким. Вместо этого предлагается вариант графического представления совокупности ущербов в виде дерева.
Перед тем, как начать построение дерева, перейдем к более удобному, на наш взгляд, способу обозначения пары «вероятность–ущерб». Вместо нижних индексов будем использовать индексы, заключенные в квадратные скобки. Такие обозначения используются, например, для описания многомерных массивов. Индексы в скобках будем указывать сразу для пары (P, L), а не для каждой из составляющих, так
130
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
С.А. Арустамов, М.Г. Генин
как индексы для P и для L из одной пары всегда совпадают. Например, запись Li1(PIi1) преобразуется в (P, L)[i, 1]. Тогда запись (3) для независимых ущербов будет выглядеть следующим образом:
Ri={Pi, {(P, L)[i, 1], (P, L)[i, 2], (P, L)[i, 3], …, (P, L)[i, Ni]}}, где Ni – количество независимых составляющих ущерба от i-го события.
Для обозначения ущерба, подчиненного предыдущему, мы будем использовать индекс следующего уровня. Например, ущерб, который подчинен ущербу (P, L)[i, 2], мы будем обозначать как (P, L)[i, 2, 1], следующий за ним в цепочке ущерб будет уже (P, L)[i, 2, 1, 1], и т.д. Запись (3) для зависимых ущербов в новой форме будет такой:
Ri={Pi, {(P, L)[i, 1], (P, L)[i, 1, 1], (P, L)[i, 1, 1, 1] ,…, (P, L)[i, 1,…,1]}}. Например, если у узла (P, L)[i, 1, 1] будет не один подчиненный ему ущерб, а Ni подчиненных ущербов, независимых друг от друга, то будем обозначать их как (P, L)[i,1,1,1], (P, L)[i, 1, 1, 2], (P, L)[i, 1, 1, 3], …, (P, L)[i, 1, 1, Ni]. Используя данный подход к обозначению ущербов разных уровней (узлов дерева), мы можем для наглядности перейти к модели ущербов в виде дерева (рис. 1).
Свертка дерева ущерба для i-го события. Ожидаемое значение ущерба
Выше было рассмотрено разложение ущерба из формулы (1) на составляющие с помощью построения дерева ущербов. Тем не менее, общий возможный ущерб, указанный в формуле (1), наряду с его составными частями, также имеет смысл как отдельная числовая величина, а разложение его на составляющие в виде дерева ущерба – это лишь вариант представления общего ущерба. Следовательно, должен существовать способ преобразования данных из дерева ущербов в величину общего возможного ущерба из формулы (1). Назовем эту величину ожидаемым значением ущерба Liest.
Для ее вычисления будем применять подход, основанный на расчете математического ожидания случайной величины. Вначале отдельно рассмотрим варианты расчета математического ожидания для независимых и зависимых ущербов, а затем их комбинацию для расчета ожидаемого значения ущерба для всего дерева.
Для независимых событий (горизонтальный уровень дерева) средневзвешенное значение ДСВ (математическое ожидание) вычисляется как сумма произведений вероятности и величины каждой из возможных комбинаций ущербов, разделенная на сумму вероятностей комбинаций этих ущербов. Так как перечисляются все возможные комбинации независимых ущербов одного горизонтального уровня, то их совокупность можно считать полной группой событий, поэтому сумма вероятностей всех возможных комбинаций, т.е. знаменатель формулы, будет равен единице.
Рассмотрим дерево k при гипотезе, что число его независимых ущербов горизонтального уровня равно 2. Для простоты записи обозначим вероятность j-ого ущерба Pkj, а его величину Lkj (j = 1,2). Тогда ожидаемое значение ущерба для дерева k будет следующим:
Lest k
P1k
(1 P2k ) L1k + P2k (1 P1k ) Lk2 P1k P2k (L1k P1k (1 P2k ) + P2k (1 P1k ) P1k P2k
Lk2 ) (1 P1k ) (1 P2k ) Lk (0) (1 P1k ) (1 P2k )
,
(4)
где Lk(0) = 0 – нулевая величина ущерба, соответствующая исходу, при котором он отсутствует.
Так как Lk(0) = 0, а знаменатель, образуя сумму вероятностей полной группы событий (ущербов),
равен единице, то формула (4) примет следующий вид:
Lest k
P1k
(1 P2k ) L1k
+ P2k
(1 P1k ) Lk2
P1k
P2k
(L1k
Lk2 ) .
(5)
После аналогичных рассуждений и преобразований для дерева m c гипотезой о трех независимых
ущербах формула расчета ожидаемого ущерба примет вид
Lest m
P1m
(1 P2m ) (1 P3m ) L1m
+ P2m (1 P1m ) (1 P3m ) Lm2
+ P3m
(1 P1m ) (1 P2m ) Lm3
P1m P2m (1 P3m ) (L1m Lm2 ) + P2m P3m (1 P1m ) (Lm2 Lm3 ) + P1m P3m (1 P2m ) (L1m Lm3 )
(6)
+ P1m P2m P3m (L1m Lm2 Lm3 ).
В общем случае с N > 3 независимыми составляющими ущерба от i-го события формула для вычисления Liest будет очень громоздкой, поэтому в работе она не приведена. Кроме того, на практике крайне редко удается выделить более трех независимых существенных ущербов, порождаемых одним узлом дерева.
При суммировании зависимых ущербов одной ветви дерева будем использовать тот же подход, что и для (5)–(6), перебирая все возможные комбинации ущербов для ветви дерева, но учитывая при этом, что реализация каждого следующего ущерба из данной ветви возможна при условии, что все предыдущие ущербы реализовались. В отличие от независимых ущербов одного горизонтального уровня, совокупность зависимых ущербов вертикальной ветви не образует полную группу событий, так как не все возможные комбинации реализуются. Ущерб d не может реализоваться в случае, если не реализовались ущербы 1, 2, …, (d–1).
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
131
ДЕРЕВЬЯ УЩЕРБОВ КАК МОДЕЛЬ ОЦЕНКИ РИСКОВ …
Рассмотрим дерево q при гипотезе, что оно состоит из одной ветви, содержащей три последовательных ущерба (d = 3). В этом случае ожидаемое значение ущерба примет вид
L est q
(1
P1q ) Lq (0)
P1q (1 P2q ) (1 P3q ) L1q + P1q P2q (1 P1q ) P1q (1 P2q ) (1 P3q )
(1 P3q ) (L1q Lq2 ) + P1q P1q P2q (1 P3q ) + P1q P2q
P2q P3q P3q
(L1q
Lq2
Lq3 )
,
(7)
где Lq(0) – нулевой ущерб. Так как Lq(0) = 0, то формула (7) примет следующий вид:
L est q
P1q
(1 P2q ) (1 P3q ) L1q + P1q P2q (1 P3q ) (L1q (1 P1q ) P1q (1 P2q ) (1 P3q ) P1q P2q
Lq2 ) + P1q P2q P3q (L1q (1 P3q ) + P1q P2q P3q
Lq2
Lq3 )
.
(8)
Поскольку совокупность зависимых ущербов вертикальной ветви не образует полную группу со-
бытий, знаменатель формулы (7) будет всегда меньше единицы, поэтому его придется учитывать при
расчете ожидаемого значения ущерба для зависимых событий ветви дерева.
С использованием этой методики можно рассчитать ожидаемое значение ущерба для всего дерева.
Вначале, используя (8), будем проводить свертку от концов самых нижних ветвей до нижних горизонталь-
ных уровней. Затем, в соответствии с (5)–(6), будем проводить свертку самих этих горизонтальных уров-
ней. Повторяя эти две операции, мы постепенно свернем все дерево, двигаясь снизу вверх от самых длин-
ных ветвей к вершине. На рис. 2 показан пример процесса поэтапной свертки дерева ущербов.
Событие i
(P1,L1)
Шаг 3.
(P2,L2)
(P3,L3) Шаг 4. (P4,L4)
(P5,L5)
(P6,L6) Шаг 2.
(P7,L7)
(P8,L8)
(P9,L9)
Шаг 1.
Рис. 2. Пример пошагового алгоритма свертки для дерева ущербов
Ниже приведена последовательность действий по расчету ожидаемого значения ущерба для дан-
ного дерева в соответствии с шагами, показанными на рис. 2.
Шаг 1.
L est1
L7
P8 (1 P9 ) L8 + P8 (1 P8 ) P8 (1
P9 P9 )
(L8 + P8
L9 ) P9
.
Так как узел {(P7, L7)} является не только источником зависимых ущербов {(P8, L8)} и {(P9, L9)}, но также принадлежит горизонтальному уровню с независимыми ущербами {(P5, L5)} и {(P6, L6)}, его
вероятность P7 будет учтена на следующем шаге. Аналогичным образом будем действовать ниже для
узлов {(P4, L4)} и {(P2, L2)}.
Шаг 2.
Lest2 L4 P5 (1 P6 ) (1 P7 ) L5 (1 P5 ) (1 P7 ) P6 L6 (1 P5 ) (1 P6 ) P7 Lest1
+P5 P6 (1 P7 ) (L5 L6 ) + P5 P7 (1 P6 ) (L5 Lest1) + P6 P7 (1 P5 ) (L6 Lest1 ) +
P7 P8 P9 (L5 L6 Lest1 ).
Шаг 3.
Lest 3
L2
P4 Lest 2 (1 P4 ) P4
.
132
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
С.А. Арустамов, М.Г. Генин
Шаг 4.
Lest P1 (1 P2 ) (1 P3 ) L1 (1 P1 ) P2 (1 P3 ) Lest3 (1 P1 ) (1 P2 ) P3 L
+ P1 P2 (1 P3 ) ( L1 Lest3 ) + P1 P3 (1 P2 ) ( L1 L3 ) + P2 P3 (1 P1 ) ( Lest3 L3 ) +
P1 P2 P3 ( L1 Lest 3 L3 ).
Использование ожидаемого значения ущерба для того или иного события после свертки всего де-
рева ущербов позволяет получить некоторую обобщенную оценку величины возможного ущерба от дан-
ного события. Эту оценку можно будет использовать в дальнейшем при анализе риска потери доступно-
сти при возникновении данного события. Кроме того, для любого события r, связанного с потерей дос-
тупности ПО, наряду с ожидаемым значением ния ущерба Lrmax, которое рассчитывается при
ущерба Lrest логично ввести понятие максимального условии, что вероятность любого из составляющих
значеущер-
бов события r равна единице.
Градации ущербов и вероятностей
Для выполнения операций сложения и сравнения величин дискретных вероятностных ущербов необходимо, чтобы их величины были одной размерности. В то же время природа ущерба может быть самой разной (финансовой, имиджевой, временной и т.д.), поэтому свести имиджевые, временные потери или санкции надзорных органов (отбор лицензии, запрет на выполнение определенных видов деятельности и т.д.) к некоторой заранее рассчитанной денежной величине может быть крайне затруднительно. При невозможности расчета абсолютных величин ущербов в денежном выражении предлагается перейти от абсолютных значений величин ущерба к некоторым условным значениям, тем самым упростив данную модель.
Представим ущерб в некоторых условных единицах, соответствующих степени его существенности для нас, например, очень низкий, низкий, средний, высокий и очень высокий. Для того чтобы с величинами ущербов можно было выполнять операции сложения и умножения, поставим в соответствие величинам ущербов числовой ряд {1, 2, 3, 4, 5} так, что числу 5 соответствует максимальный ущерб (табл. 1).
Очень низкий (ОН)
1
Низкий (Н) 2
Средний (С) 3
Высокий (В) 4
Очень высокий (ОВ)
5
Таблица 1. Градации величин ущербов
Перейдем ко второй компоненте ущерба – вероятности. Поступим так же, как поступали при оценке величины ущерба: введем градации вероятности. Будем использовать три уровня вероятности ущерба: низкую (Н), среднюю (С), высокую (В), поставив им в соответствие числовой ряд {0,3; 0,6; 0,9}2 (табл. 2).
Низкий (Н) 0,3
Средний (С) 0,6
Высокий (В) 0,9
Таблица 2. Градации вероятностей ущербов
После введения градаций величин ущербов и их вероятностей можно перейти к оценке ущерба в целом как пары «вероятность–величина», используя механизм расчета расчетного значения ущерба, описанный в предыдущем разделе.
Ущерб и продолжительность потери доступности
При построении дерева ущербов представляется целесообразным учитывать возможное изменение вероятности возникновения или величины того или иного ущерба от продолжительности потери доступности системы. Приведем некоторые примеры в подтверждение этого. 1. Вероятность вынесения штрафных санкций за задержку при сдаче отчетности равна единице вне за-
висимости от времени задержки. Величина штрафа зависит от длительности задержки: к основной сумме добавляются пени. В данном случае от времени зависит только величина ущерба. 2. Вероятность перехода того или иного клиента на другую систему зависит от времени неработоспособности. Величина ущерба при уходе одного клиента не зависит от времени и является фиксированной величиной.
2 Предложенное авторами разбиение представляется удобным с точки зрения программной реализации. Можно ис-
пользовать и другую шкалу градаций величин ущербов и вероятностей, которую можно настраивать в зависимости от сложности эксплуатируемой инфраструктуры.
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
133
ДЕРЕВЬЯ УЩЕРБОВ КАК МОДЕЛЬ ОЦЕНКИ РИСКОВ …
Перейдем теперь к описанию этих ситуаций в модели дерева ущербов. С точки зрения вероятности целесообразно рассмотреть две ситуации: 1. сохранение во времени вероятности, указанной на момент, когда ущерб может возникнуть (В–В–…–В); 2. рост вероятности ущерба при простое системы (Н–...–Н–С–…–С–В–…–В).
С точки зрения оценки эволюции величины ущерба во времени ситуация аналогична: величина ущерба либо такая же, как была указана на начальный момент времени существования данного ущерба, либо возрастает по мере простоя системы3.
Для некоторых типов ущербов, таких как пени за просрочку штрафа, зависимость вероятности и величины ущерба от времени можно точно указать, зная величину штрафа и пени за просрочку. Для оценки других видов ущербов придется выдвигать предположения на основе экспертных оценок.
Таким образом, анализируя возможный рост вероятности и величины ущерба для каждого из ущербов в построенном дереве, можно перейти от статического изображения дерева ущербов к его динамическому изображению, указав возможную эволюцию во времени каждого из ущербов дерева. Стоит отметить, что как ожидаемое значение ущерба Liest, так и максимальный ущерб Limax тоже будут зависеть от продолжительности простоя системы.
Описание тестов предложенной методики
Для исследования эффективности предложенной методики использовалась тестовая ИТинфраструктура финансового-кредитного учреждения, на которой была установлена обновленная система дистанционного банковского обслуживания и проведены изменения инфраструктуры, необходимые для ее функционирования. Предметом исследования были выявление и предотвращение в максимально короткие сроки возможных проблем, которые могли возникнуть в результате изменений компонентов финансовой информационной системы.
Обновление затрагивало следующие компоненты системы: административный модуль (АМ), модуль рублевых платежей (РП), а также модуль обмена с внешними подсистемами (ОВП).
На основе анализа возможных проблем при обновлении каждого из указанных компонентов был получен список возможных негативных событий (уязвимостей), связанный с обновлениями этих компонентов (табл. 3).
Модуль АМ АМ РП РП ОВП ОВП
Уязвимость Некорректная обработка прав существующих пользователей Ошибки при заведении новых пользователей/изменении прав существующих пользователей Ошибки при заведении клиентом платежей нового формата ускоренной доставки Ошибки при заведении клиентом платежей старых форматов Ошибки при обработке платежей нового формата ускоренной доставки на стороне банка Ошибки при обработке платежей старых форматов на стороне банка
Таблица 3. Список возможных уязвимостей
При построении дерева ущербов для каждого из выявленных событий использовались условные, а
не абсолютные значения ущербов. В результате анализа деревьев ущербов, построенных для случая воз-
можной неработоспособности каждого из перечисленных компонентов, были получены значения ожи-
даемых Liest и максимальных Limax ущербов (табл. 4).
и
Limax
На основе полученных однозначно указывают
данных были сделаны следующие выводы. Значения обоих параметров Liest на события с максимальными возможными ущербами, на предотвращение
которых надо обратить особое внимание при тестировании: (1), (6), (4) (см. табл. 4). Вместе с тем, для
событий с меньшими возможными бытия) дает более точную оценку
ущербами параметр Li и позволяет различать
(свертка всех ущербов для дерева данного сособытия с одинаковыми параметрами Limax –
простая сумма всех ущербов для дерева (2), (3) (см. табл. 4). Несмотря на то, что эти различия незначи-
тельны, тестировать систему с целью предотвращения обоих событий нужно практически с одним и тем
же приоритетом.
В целом на основании проведенного анализа можно сделать вывод о том, что в данном случае
расчета параметра Limax (простой суммы ущербов по каждому из событий) вполне достаточно для проведения сравнительной оценки рискованности выявленных событий и выбора стратегии тестирования. Тем
не менее, в связи с многообразием ситуаций, связанных с расчетом ущербов, порождаемых негативными
3 Ситуации, при которых вероятность или величина ущерба снижаются по мере простоя системы, авторами не рас-
сматриваются, так как не имеют практического смысла.
134
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
С.А. Арустамов, М.Г. Генин
событиями, целесообразно анализировать как общую сумму ущербов Limax , так и свертку величин ущербов по вероятности Liest, так как учет вероятностей ущербов дает дополнительную информацию для выбора стратегии тестирования.
Модуль
АМ АМ
РП РП ОВП
ОВП
Уязвимость
Некорректная обработка прав существующих пользователей (1) Ошибки при заведении новых пользователей/ изменении прав существующих пользователей (2) Ошибки при заведении клиентом платежей нового формата ускоренной доставки (3) Ошибки при заведении клиентом платежей старых форматов (4) Ошибки при обработке платежей нового формата ускоренной доставки на стороне банка (5) Ошибки при обработке платежей старых форматов на стороне банка (6)
Возможное время неработоспособности
1 час
4 часа
8 часов
Liest
Limax
Liest
Limax
Liest
Limax
3,51 6 8,79 12 18,49 29
0,3 1 0,78 2 7,53 10
0,3 1 3,32 6
0,63 2 6,26 8,78 12 12,2
10 15
0,3 1 0,78 2 3,51
6
6,41 12 10,98 15 18,43 25
Таблица 4. Оценка ожидаемых и максимальных ущербов для выявленных уязвимостей
Заключение
В работе был рассмотрен метод прогнозирования риска потери доступности финансовых информационных систем на основе построения деревьев ущербов для выявленных возможных негативных событий. На основе полученных данных созданы предпосылки для выбора рациональной стратегии тестирования программного обеспечения за счет детального учета информации, необходимой для принятия обоснованных решений. Проведены эксперименты, результаты которых подтверждают эффективность предложенной методики.
Литература
1. Арустамов С.А., Генин М.Г. Минимизация рисков потери доступности программного обеспечения после установки обновлений или изменения функциональности // Научно-технический вестник СПбГУ ИТМО. – 2011. – № 3 (73). – С. 111–116.
2. Генин М.Г. Методика проведения обновлений, снижающая риски доступности информационных ресурсов. Информатика, моделирование, автоматизация проектирования // Сборник научных трудов под ред. Н.Н. Войта. – Ульяновск: УлГТУ, 2011. – С. 125–137.
3. Арустамов С.А., Генин М.Г. Методы снижения рисков потерь доступности программного обеспечения критических информационных систем // Научно-технический вестник информационных технологий, механики и оптики. – 2012. – № 4 (80). – С. 131–136.
Арустамов Сергей Аркадьевич – Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, доктор технических наук, про-
фессор, sergey.arustamov@gmail.com
Генин Михаил Геннадьевич – Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, аспирант, gmg@rambler.ru
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
135
8 МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
УДК 004.056.53
ДЕРЕВЬЯ УЩЕРБОВ КАК МОДЕЛЬ ОЦЕНКИ РИСКОВ ПОТЕРЬ ДОСТУПНОСТИ ПОСЛЕ ПРОВЕДЕНИЯ ИЗМЕНЕНИЙ В ФИНАНСОВЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
С.А. Арустамов, М.Г. Генин
Рассматривается метод прогнозирования и анализа рисков потерь доступности критических информационных систем с помощью построения деревьев ущербов. Приводится описание метода построения дерева ущербов для каждого из возможных событий, которые могут привести к потере доступности. Приводится пример, иллюстрирующий использование метода, на основании которого можно выбрать наиболее рациональную стратегию тестирования программного обеспечения. Ключевые слова: информационные системы, оценки, анализ, доступность, риск потери доступности, ущерб, дерево ущербов, стратегия тестирования ПО.
Введение
В работе рассматриваются риски потери доступности программного обеспечения (ПО) при прове-
дении обновлений финансовых информационных систем [1, 2]. Как правило, финансовые информацион-
ные системы имеют жесткие требования по доступности. Под доступностью в работе будем понимать
возможность системы выполнять заявленные функции их легальными пользователями.
Обычно риск потери доступности [3] определяют как пару, состоящую из вероятности наступле-
ния того или иного события, приведшего к потере доступности после проведения обновления, и ущерба
от наступления этого события. В настоящей работе предлагается ввести расширенное понятие ущерба в
предположении, что он носит вероятностный характер. Например, утрата части клиентской базы и свя-
занная с этим потеря доли рынка в результате сбоя ПО может и не произойти. Все зависит от множества
объективных и субъективных факторов, таких как продолжительность неработоспособности системы в
результате сбоя, время сбоя, наличие клиентов, которые в момент сбоя работали с системой, и т.д. Исхо-
дя из этого, можно говорить как о величине ущерба, так и о вероятности наступления ущерба при усло-
вии, что сбой произошел. Основываясь на этих предположениях, определим риск потери доступности
следующим образом:
Ri={Pi, Li(PLi)},
(1)
где Ri – риск наступления i-го события; Pi – вероятность наступления i-го события; Li(PLi) – величина
ущерба от i-го события, наступающая с вероятностью PLi, при этом ущерб будем рассматривать как дис-
кретную случайную величину (ДСВ).
Будем считать, что на момент начала исследования текущая версия системы до обновления не со-
держит ошибок, т.е. риски потери доступности для нее отсутствуют. Предметом исследования является
обнаружение и предотвращение в максимально короткие сроки проблем, которые могут возникнуть в
результате обновления системы. Для решения данной задачи предлагается следующий подход. Для каж-
дого из выявленных возможных негативных событий (сбоев), которые могут иметь место в результате
обновления1, проводится оценка риска потери доступности на основе анализа возможных ущербов от
этого события. События с более высоким риском признаются более опасными. На основе этого строится
стратегия тестирования обновления, по которой приоритет отдается тестированию компонентов ПО с
высокими рисками. Для количественной оценки риска потери доступности в работе предлагается метод
построения дерева ущерба для каждого из выявленных негативных событий. Вопросы технологии тести-
рования ПО не являются предметом данной работы.
Построение дерева ущербов для i-го события
Продолжим дальше развивать понятие ущерба. Обратим внимание на то, что ущерб Li , возникший в результате события i, может быть, вообще говоря, составным, т.е. может быть разложен на несколько независимых составляющих:
Li={Lij}, j={1, 2 ,…, N},
1 Выявление проведенных обновлений автоматически отслеживается программными агентами, установленными на критических узлах системы. Сведения о проведенных изменениях передаются на централизованный сервер.
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
129
ДЕРЕВЬЯ УЩЕРБОВ КАК МОДЕЛЬ ОЦЕНКИ РИСКОВ …
где Lij – j-я составляющая ущерба Li, возникшего в результате i-го события. В самом деле, в результате сбоя системы могут иметь место одновременно и независимо друг от друга несколько негативных по-
следствий. Например, в результате неполадок новой версии СУБД перестали быть доступными незави-
симые друг от друга функции (такие, например, как ввод документов и подготовка отчетности). Как
следствие, возникает несколько независимых друг от друга ущербов. Продолжая цепочку рассуждений
дальше, по аналогии с (1), можно заметить, что у каждой j-й составляющей ущерба Lij может быть своя вероятность возникновения PLji, которая не зависит от других составляющих. Отталкиваясь от приведенного выше примера, можно предположить, что ущерб в результате невозможности ввода документов
никак не связан с ущербом из-за проблем модуля подготовки отчетности. Вероятность возникновения
первого связана с возможным недовольством клиентов или руководителей, а вторая – с возможными
штрафными санкциями со стороны надзорных органов. В результате получаем следующее выражение
для риска потери доступности:
Ri={Pi, {Li1(PLi1), Li2(PLi2), Li3(PLi3), …, LiN(PLiN)}}, где N – количество независимых составляющих ущерба от i-го события.
(2)
Рассмотрим теперь ситуацию, когда составляющие ущерба являются зависимыми друг от друга,
т.е. когда одна составляющая ущерба является следствием другой. Это возможно в случае, когда в ре-
зультате неполадок в работе системы часть клиентов переходит к другому поставщику услуг, в результа-
те чего уменьшается доля контролируемого рынка, и т.д. Возникает ситуация, когда один ущерб может
вызвать другой, и т.д., т.е. возникает цепочка вложенных ущербов. Каждый из ущербов в цепочке имеет
свою собственную вероятность возникновения, но при условии, что реализовались все предыдущие
ущербы из цепочки. В данном примере уменьшение доли рынка возможно только при переходе части
клиентов к другому поставщику, а переход на другую платформу возможен, в свою очередь, только как
следствие неполадок в работе системы. В этом случае риск потери доступности для зависимых случай-
ных величин можно определить следующим образом:
Ri={Pi, {Li1(PLi1)}, Li2(PLi2|Li1), …, LiN(PLiN|LiN–1…Li3Li2Li1)}}, где N – количество зависимых ущербов от i-го события в данной цепочке.
(3)
Возможно существование ситуаций, когда цепочка зависимых ущербов завершается несколькими
независимыми друг от друга ущербами, каждый из которых, в свою очередь, может быть началом новой
цепочки зависимых ущербов, т.е. присутствует комбинация зависимых и независимых ДСВ.
Событие i
(P,L)[i,1]
(P,L)[i,2]
(P,L)[i,3]
(P,L)[i,2,1]
... (P,L)[i,Ni]
(P,L)[i,2,1,1] (P,L)[i,2,1,2] (P,L)[i,2,1,3]
(P,L)[i,2,1,3,1]
(P,L)[i,2,1,3,1,1]
Рис. 1. Графическое изображение дерева ущербов, порождаемого i-м событием
В общем случае можно сказать, что в результате события i может иметь место набор независимых ущербов, некоторые из которых могут, в свою очередь, породить цепочку зависимых. Каждая из порожденных цепочек зависимых ущербов может, в свою очередь, заканчиваться несколькими независимыми ущербами, которые тоже могут порождать свои цепочки, и т.д. Формально это можно описать различными вложенными комбинациями формул (2) и (3), однако представить общий случай в виде одной формулы сложно, так как выражение будет слишком громоздким. Вместо этого предлагается вариант графического представления совокупности ущербов в виде дерева.
Перед тем, как начать построение дерева, перейдем к более удобному, на наш взгляд, способу обозначения пары «вероятность–ущерб». Вместо нижних индексов будем использовать индексы, заключенные в квадратные скобки. Такие обозначения используются, например, для описания многомерных массивов. Индексы в скобках будем указывать сразу для пары (P, L), а не для каждой из составляющих, так
130
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
С.А. Арустамов, М.Г. Генин
как индексы для P и для L из одной пары всегда совпадают. Например, запись Li1(PIi1) преобразуется в (P, L)[i, 1]. Тогда запись (3) для независимых ущербов будет выглядеть следующим образом:
Ri={Pi, {(P, L)[i, 1], (P, L)[i, 2], (P, L)[i, 3], …, (P, L)[i, Ni]}}, где Ni – количество независимых составляющих ущерба от i-го события.
Для обозначения ущерба, подчиненного предыдущему, мы будем использовать индекс следующего уровня. Например, ущерб, который подчинен ущербу (P, L)[i, 2], мы будем обозначать как (P, L)[i, 2, 1], следующий за ним в цепочке ущерб будет уже (P, L)[i, 2, 1, 1], и т.д. Запись (3) для зависимых ущербов в новой форме будет такой:
Ri={Pi, {(P, L)[i, 1], (P, L)[i, 1, 1], (P, L)[i, 1, 1, 1] ,…, (P, L)[i, 1,…,1]}}. Например, если у узла (P, L)[i, 1, 1] будет не один подчиненный ему ущерб, а Ni подчиненных ущербов, независимых друг от друга, то будем обозначать их как (P, L)[i,1,1,1], (P, L)[i, 1, 1, 2], (P, L)[i, 1, 1, 3], …, (P, L)[i, 1, 1, Ni]. Используя данный подход к обозначению ущербов разных уровней (узлов дерева), мы можем для наглядности перейти к модели ущербов в виде дерева (рис. 1).
Свертка дерева ущерба для i-го события. Ожидаемое значение ущерба
Выше было рассмотрено разложение ущерба из формулы (1) на составляющие с помощью построения дерева ущербов. Тем не менее, общий возможный ущерб, указанный в формуле (1), наряду с его составными частями, также имеет смысл как отдельная числовая величина, а разложение его на составляющие в виде дерева ущерба – это лишь вариант представления общего ущерба. Следовательно, должен существовать способ преобразования данных из дерева ущербов в величину общего возможного ущерба из формулы (1). Назовем эту величину ожидаемым значением ущерба Liest.
Для ее вычисления будем применять подход, основанный на расчете математического ожидания случайной величины. Вначале отдельно рассмотрим варианты расчета математического ожидания для независимых и зависимых ущербов, а затем их комбинацию для расчета ожидаемого значения ущерба для всего дерева.
Для независимых событий (горизонтальный уровень дерева) средневзвешенное значение ДСВ (математическое ожидание) вычисляется как сумма произведений вероятности и величины каждой из возможных комбинаций ущербов, разделенная на сумму вероятностей комбинаций этих ущербов. Так как перечисляются все возможные комбинации независимых ущербов одного горизонтального уровня, то их совокупность можно считать полной группой событий, поэтому сумма вероятностей всех возможных комбинаций, т.е. знаменатель формулы, будет равен единице.
Рассмотрим дерево k при гипотезе, что число его независимых ущербов горизонтального уровня равно 2. Для простоты записи обозначим вероятность j-ого ущерба Pkj, а его величину Lkj (j = 1,2). Тогда ожидаемое значение ущерба для дерева k будет следующим:
Lest k
P1k
(1 P2k ) L1k + P2k (1 P1k ) Lk2 P1k P2k (L1k P1k (1 P2k ) + P2k (1 P1k ) P1k P2k
Lk2 ) (1 P1k ) (1 P2k ) Lk (0) (1 P1k ) (1 P2k )
,
(4)
где Lk(0) = 0 – нулевая величина ущерба, соответствующая исходу, при котором он отсутствует.
Так как Lk(0) = 0, а знаменатель, образуя сумму вероятностей полной группы событий (ущербов),
равен единице, то формула (4) примет следующий вид:
Lest k
P1k
(1 P2k ) L1k
+ P2k
(1 P1k ) Lk2
P1k
P2k
(L1k
Lk2 ) .
(5)
После аналогичных рассуждений и преобразований для дерева m c гипотезой о трех независимых
ущербах формула расчета ожидаемого ущерба примет вид
Lest m
P1m
(1 P2m ) (1 P3m ) L1m
+ P2m (1 P1m ) (1 P3m ) Lm2
+ P3m
(1 P1m ) (1 P2m ) Lm3
P1m P2m (1 P3m ) (L1m Lm2 ) + P2m P3m (1 P1m ) (Lm2 Lm3 ) + P1m P3m (1 P2m ) (L1m Lm3 )
(6)
+ P1m P2m P3m (L1m Lm2 Lm3 ).
В общем случае с N > 3 независимыми составляющими ущерба от i-го события формула для вычисления Liest будет очень громоздкой, поэтому в работе она не приведена. Кроме того, на практике крайне редко удается выделить более трех независимых существенных ущербов, порождаемых одним узлом дерева.
При суммировании зависимых ущербов одной ветви дерева будем использовать тот же подход, что и для (5)–(6), перебирая все возможные комбинации ущербов для ветви дерева, но учитывая при этом, что реализация каждого следующего ущерба из данной ветви возможна при условии, что все предыдущие ущербы реализовались. В отличие от независимых ущербов одного горизонтального уровня, совокупность зависимых ущербов вертикальной ветви не образует полную группу событий, так как не все возможные комбинации реализуются. Ущерб d не может реализоваться в случае, если не реализовались ущербы 1, 2, …, (d–1).
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
131
ДЕРЕВЬЯ УЩЕРБОВ КАК МОДЕЛЬ ОЦЕНКИ РИСКОВ …
Рассмотрим дерево q при гипотезе, что оно состоит из одной ветви, содержащей три последовательных ущерба (d = 3). В этом случае ожидаемое значение ущерба примет вид
L est q
(1
P1q ) Lq (0)
P1q (1 P2q ) (1 P3q ) L1q + P1q P2q (1 P1q ) P1q (1 P2q ) (1 P3q )
(1 P3q ) (L1q Lq2 ) + P1q P1q P2q (1 P3q ) + P1q P2q
P2q P3q P3q
(L1q
Lq2
Lq3 )
,
(7)
где Lq(0) – нулевой ущерб. Так как Lq(0) = 0, то формула (7) примет следующий вид:
L est q
P1q
(1 P2q ) (1 P3q ) L1q + P1q P2q (1 P3q ) (L1q (1 P1q ) P1q (1 P2q ) (1 P3q ) P1q P2q
Lq2 ) + P1q P2q P3q (L1q (1 P3q ) + P1q P2q P3q
Lq2
Lq3 )
.
(8)
Поскольку совокупность зависимых ущербов вертикальной ветви не образует полную группу со-
бытий, знаменатель формулы (7) будет всегда меньше единицы, поэтому его придется учитывать при
расчете ожидаемого значения ущерба для зависимых событий ветви дерева.
С использованием этой методики можно рассчитать ожидаемое значение ущерба для всего дерева.
Вначале, используя (8), будем проводить свертку от концов самых нижних ветвей до нижних горизонталь-
ных уровней. Затем, в соответствии с (5)–(6), будем проводить свертку самих этих горизонтальных уров-
ней. Повторяя эти две операции, мы постепенно свернем все дерево, двигаясь снизу вверх от самых длин-
ных ветвей к вершине. На рис. 2 показан пример процесса поэтапной свертки дерева ущербов.
Событие i
(P1,L1)
Шаг 3.
(P2,L2)
(P3,L3) Шаг 4. (P4,L4)
(P5,L5)
(P6,L6) Шаг 2.
(P7,L7)
(P8,L8)
(P9,L9)
Шаг 1.
Рис. 2. Пример пошагового алгоритма свертки для дерева ущербов
Ниже приведена последовательность действий по расчету ожидаемого значения ущерба для дан-
ного дерева в соответствии с шагами, показанными на рис. 2.
Шаг 1.
L est1
L7
P8 (1 P9 ) L8 + P8 (1 P8 ) P8 (1
P9 P9 )
(L8 + P8
L9 ) P9
.
Так как узел {(P7, L7)} является не только источником зависимых ущербов {(P8, L8)} и {(P9, L9)}, но также принадлежит горизонтальному уровню с независимыми ущербами {(P5, L5)} и {(P6, L6)}, его
вероятность P7 будет учтена на следующем шаге. Аналогичным образом будем действовать ниже для
узлов {(P4, L4)} и {(P2, L2)}.
Шаг 2.
Lest2 L4 P5 (1 P6 ) (1 P7 ) L5 (1 P5 ) (1 P7 ) P6 L6 (1 P5 ) (1 P6 ) P7 Lest1
+P5 P6 (1 P7 ) (L5 L6 ) + P5 P7 (1 P6 ) (L5 Lest1) + P6 P7 (1 P5 ) (L6 Lest1 ) +
P7 P8 P9 (L5 L6 Lest1 ).
Шаг 3.
Lest 3
L2
P4 Lest 2 (1 P4 ) P4
.
132
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
С.А. Арустамов, М.Г. Генин
Шаг 4.
Lest P1 (1 P2 ) (1 P3 ) L1 (1 P1 ) P2 (1 P3 ) Lest3 (1 P1 ) (1 P2 ) P3 L
+ P1 P2 (1 P3 ) ( L1 Lest3 ) + P1 P3 (1 P2 ) ( L1 L3 ) + P2 P3 (1 P1 ) ( Lest3 L3 ) +
P1 P2 P3 ( L1 Lest 3 L3 ).
Использование ожидаемого значения ущерба для того или иного события после свертки всего де-
рева ущербов позволяет получить некоторую обобщенную оценку величины возможного ущерба от дан-
ного события. Эту оценку можно будет использовать в дальнейшем при анализе риска потери доступно-
сти при возникновении данного события. Кроме того, для любого события r, связанного с потерей дос-
тупности ПО, наряду с ожидаемым значением ния ущерба Lrmax, которое рассчитывается при
ущерба Lrest логично ввести понятие максимального условии, что вероятность любого из составляющих
значеущер-
бов события r равна единице.
Градации ущербов и вероятностей
Для выполнения операций сложения и сравнения величин дискретных вероятностных ущербов необходимо, чтобы их величины были одной размерности. В то же время природа ущерба может быть самой разной (финансовой, имиджевой, временной и т.д.), поэтому свести имиджевые, временные потери или санкции надзорных органов (отбор лицензии, запрет на выполнение определенных видов деятельности и т.д.) к некоторой заранее рассчитанной денежной величине может быть крайне затруднительно. При невозможности расчета абсолютных величин ущербов в денежном выражении предлагается перейти от абсолютных значений величин ущерба к некоторым условным значениям, тем самым упростив данную модель.
Представим ущерб в некоторых условных единицах, соответствующих степени его существенности для нас, например, очень низкий, низкий, средний, высокий и очень высокий. Для того чтобы с величинами ущербов можно было выполнять операции сложения и умножения, поставим в соответствие величинам ущербов числовой ряд {1, 2, 3, 4, 5} так, что числу 5 соответствует максимальный ущерб (табл. 1).
Очень низкий (ОН)
1
Низкий (Н) 2
Средний (С) 3
Высокий (В) 4
Очень высокий (ОВ)
5
Таблица 1. Градации величин ущербов
Перейдем ко второй компоненте ущерба – вероятности. Поступим так же, как поступали при оценке величины ущерба: введем градации вероятности. Будем использовать три уровня вероятности ущерба: низкую (Н), среднюю (С), высокую (В), поставив им в соответствие числовой ряд {0,3; 0,6; 0,9}2 (табл. 2).
Низкий (Н) 0,3
Средний (С) 0,6
Высокий (В) 0,9
Таблица 2. Градации вероятностей ущербов
После введения градаций величин ущербов и их вероятностей можно перейти к оценке ущерба в целом как пары «вероятность–величина», используя механизм расчета расчетного значения ущерба, описанный в предыдущем разделе.
Ущерб и продолжительность потери доступности
При построении дерева ущербов представляется целесообразным учитывать возможное изменение вероятности возникновения или величины того или иного ущерба от продолжительности потери доступности системы. Приведем некоторые примеры в подтверждение этого. 1. Вероятность вынесения штрафных санкций за задержку при сдаче отчетности равна единице вне за-
висимости от времени задержки. Величина штрафа зависит от длительности задержки: к основной сумме добавляются пени. В данном случае от времени зависит только величина ущерба. 2. Вероятность перехода того или иного клиента на другую систему зависит от времени неработоспособности. Величина ущерба при уходе одного клиента не зависит от времени и является фиксированной величиной.
2 Предложенное авторами разбиение представляется удобным с точки зрения программной реализации. Можно ис-
пользовать и другую шкалу градаций величин ущербов и вероятностей, которую можно настраивать в зависимости от сложности эксплуатируемой инфраструктуры.
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
133
ДЕРЕВЬЯ УЩЕРБОВ КАК МОДЕЛЬ ОЦЕНКИ РИСКОВ …
Перейдем теперь к описанию этих ситуаций в модели дерева ущербов. С точки зрения вероятности целесообразно рассмотреть две ситуации: 1. сохранение во времени вероятности, указанной на момент, когда ущерб может возникнуть (В–В–…–В); 2. рост вероятности ущерба при простое системы (Н–...–Н–С–…–С–В–…–В).
С точки зрения оценки эволюции величины ущерба во времени ситуация аналогична: величина ущерба либо такая же, как была указана на начальный момент времени существования данного ущерба, либо возрастает по мере простоя системы3.
Для некоторых типов ущербов, таких как пени за просрочку штрафа, зависимость вероятности и величины ущерба от времени можно точно указать, зная величину штрафа и пени за просрочку. Для оценки других видов ущербов придется выдвигать предположения на основе экспертных оценок.
Таким образом, анализируя возможный рост вероятности и величины ущерба для каждого из ущербов в построенном дереве, можно перейти от статического изображения дерева ущербов к его динамическому изображению, указав возможную эволюцию во времени каждого из ущербов дерева. Стоит отметить, что как ожидаемое значение ущерба Liest, так и максимальный ущерб Limax тоже будут зависеть от продолжительности простоя системы.
Описание тестов предложенной методики
Для исследования эффективности предложенной методики использовалась тестовая ИТинфраструктура финансового-кредитного учреждения, на которой была установлена обновленная система дистанционного банковского обслуживания и проведены изменения инфраструктуры, необходимые для ее функционирования. Предметом исследования были выявление и предотвращение в максимально короткие сроки возможных проблем, которые могли возникнуть в результате изменений компонентов финансовой информационной системы.
Обновление затрагивало следующие компоненты системы: административный модуль (АМ), модуль рублевых платежей (РП), а также модуль обмена с внешними подсистемами (ОВП).
На основе анализа возможных проблем при обновлении каждого из указанных компонентов был получен список возможных негативных событий (уязвимостей), связанный с обновлениями этих компонентов (табл. 3).
Модуль АМ АМ РП РП ОВП ОВП
Уязвимость Некорректная обработка прав существующих пользователей Ошибки при заведении новых пользователей/изменении прав существующих пользователей Ошибки при заведении клиентом платежей нового формата ускоренной доставки Ошибки при заведении клиентом платежей старых форматов Ошибки при обработке платежей нового формата ускоренной доставки на стороне банка Ошибки при обработке платежей старых форматов на стороне банка
Таблица 3. Список возможных уязвимостей
При построении дерева ущербов для каждого из выявленных событий использовались условные, а
не абсолютные значения ущербов. В результате анализа деревьев ущербов, построенных для случая воз-
можной неработоспособности каждого из перечисленных компонентов, были получены значения ожи-
даемых Liest и максимальных Limax ущербов (табл. 4).
и
Limax
На основе полученных однозначно указывают
данных были сделаны следующие выводы. Значения обоих параметров Liest на события с максимальными возможными ущербами, на предотвращение
которых надо обратить особое внимание при тестировании: (1), (6), (4) (см. табл. 4). Вместе с тем, для
событий с меньшими возможными бытия) дает более точную оценку
ущербами параметр Li и позволяет различать
(свертка всех ущербов для дерева данного сособытия с одинаковыми параметрами Limax –
простая сумма всех ущербов для дерева (2), (3) (см. табл. 4). Несмотря на то, что эти различия незначи-
тельны, тестировать систему с целью предотвращения обоих событий нужно практически с одним и тем
же приоритетом.
В целом на основании проведенного анализа можно сделать вывод о том, что в данном случае
расчета параметра Limax (простой суммы ущербов по каждому из событий) вполне достаточно для проведения сравнительной оценки рискованности выявленных событий и выбора стратегии тестирования. Тем
не менее, в связи с многообразием ситуаций, связанных с расчетом ущербов, порождаемых негативными
3 Ситуации, при которых вероятность или величина ущерба снижаются по мере простоя системы, авторами не рас-
сматриваются, так как не имеют практического смысла.
134
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
С.А. Арустамов, М.Г. Генин
событиями, целесообразно анализировать как общую сумму ущербов Limax , так и свертку величин ущербов по вероятности Liest, так как учет вероятностей ущербов дает дополнительную информацию для выбора стратегии тестирования.
Модуль
АМ АМ
РП РП ОВП
ОВП
Уязвимость
Некорректная обработка прав существующих пользователей (1) Ошибки при заведении новых пользователей/ изменении прав существующих пользователей (2) Ошибки при заведении клиентом платежей нового формата ускоренной доставки (3) Ошибки при заведении клиентом платежей старых форматов (4) Ошибки при обработке платежей нового формата ускоренной доставки на стороне банка (5) Ошибки при обработке платежей старых форматов на стороне банка (6)
Возможное время неработоспособности
1 час
4 часа
8 часов
Liest
Limax
Liest
Limax
Liest
Limax
3,51 6 8,79 12 18,49 29
0,3 1 0,78 2 7,53 10
0,3 1 3,32 6
0,63 2 6,26 8,78 12 12,2
10 15
0,3 1 0,78 2 3,51
6
6,41 12 10,98 15 18,43 25
Таблица 4. Оценка ожидаемых и максимальных ущербов для выявленных уязвимостей
Заключение
В работе был рассмотрен метод прогнозирования риска потери доступности финансовых информационных систем на основе построения деревьев ущербов для выявленных возможных негативных событий. На основе полученных данных созданы предпосылки для выбора рациональной стратегии тестирования программного обеспечения за счет детального учета информации, необходимой для принятия обоснованных решений. Проведены эксперименты, результаты которых подтверждают эффективность предложенной методики.
Литература
1. Арустамов С.А., Генин М.Г. Минимизация рисков потери доступности программного обеспечения после установки обновлений или изменения функциональности // Научно-технический вестник СПбГУ ИТМО. – 2011. – № 3 (73). – С. 111–116.
2. Генин М.Г. Методика проведения обновлений, снижающая риски доступности информационных ресурсов. Информатика, моделирование, автоматизация проектирования // Сборник научных трудов под ред. Н.Н. Войта. – Ульяновск: УлГТУ, 2011. – С. 125–137.
3. Арустамов С.А., Генин М.Г. Методы снижения рисков потерь доступности программного обеспечения критических информационных систем // Научно-технический вестник информационных технологий, механики и оптики. – 2012. – № 4 (80). – С. 131–136.
Арустамов Сергей Аркадьевич – Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, доктор технических наук, про-
фессор, sergey.arustamov@gmail.com
Генин Михаил Геннадьевич – Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, аспирант, gmg@rambler.ru
Научно-технический вестник информационных технологий, механики и оптики, 2013, № 2 (84)
135