автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.10, диссертация на тему:Методическое и алгоритмическое обеспечение организационно-технического управления комплексной безопасностью высшего учебного заведения

На правах рукописи

ИВАНОВА Татьяна Александровна

МЕТОДИЧЕСКОЕ И АЛГОРИТМИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКОГО УПРАВЛЕНИЯ КОМПЛЕКСНОЙ БЕЗОПАСНОСТЬЮ ВЫСШЕГО УЧЕБНОГО ЗАВЕДЕНИЯ

Специальность 05.13.10 Управление в социальных и экономических системах

- 8 ОКТ ?ппд

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технически* наук

Уфа 2009

003479032

Работа выполнена на кафедре вычислительной техники и защиты информации ГОУ ВПО «Уфимский государственный авиационный технический университет»

Научный руководитель

д-р техн. наук, проф. Васильев Владимир Иванович

Официальные оппоненты

д-р техн. наук, проф. Черняховская Лилия Рапштовна

канд. техн. наук, доц. Дуленко Вячеслав Алексеевич

Ведущая организация

Башкирский государственный университет

Защита диссертации состоится 3(Р в_часов

на заседании диссертационного совет^Д-212.288.03 при Уфимском государственном авиационном техническом университете по адресу: 450000, г. Уфа, ул. К. Маркса, 12

С диссертацией можно ознакомиться в библиотеке университета

Автореферат разослан <2<9 сентября 2009 г.

Ученый секретарь диссертационного совета д-р техн. наук, проф.

/3

В.В. Миронов

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы

В стенах высших учебных заведений трудится и обучается большое количество высококвалифицированных педагогов, научных сотрудников и молодежи, составляющей интеллектуальный и трудовой потенциал нашей страны. В связи с чем задача обеспечения безопасности высших учебных заведений имеет огромное значение в современных условиях. Повышенная опасность пожаров, проведения диверсионно-террористических акций, совершения краж также обостряет проблему обеспечения безопасности материальных, финансовых и людских ресурсов вузов.

Следует отметить, что в области обеспечения и управления безопасностью вузов существует целый ряд проблем: недостаточная оснащенность техническими средствами обеспечения безопасности образовательных учреждений различного уровня; значительный физический и моральный износ существующего оборудования обеспечения безопасности; отсутствие специализированной подготовки у лиц, ответственных за безопасность вуза, позволяющей грамотно и оптимально распределить выделяемое на обеспечение безопасности целевое финансирование.

Существующие подходы к организационно-техническому управлению безопасностью позволяют разрабатывать комплексы технических средств безопасности (КТСБ) в основном для коммерческих предприятий или режимных объектов. Однако образовательные учреждения обладают собственной спецификой, обусловливающей и особенность организационно-технического управления их безопасностью. Проектировщики КТСБ вузов сталкиваются со следующими трудностями: отсутствие специализированных методик оценки текущего состояния обеспечения безопасности вуза; неопределенность и специфичность дестабилизирующих факторов, воздействующих на защищаемые ресурсы вуза; отсутствие отработанных методов, методик и алгоритмов разработки и оценки эффективности КТСБ образовательных учреждений.

Таким образом, тема данной диссертационной работы, посвященная разработке методического и алгоритмического обеспечения организационно-технического управления комплексной безопасностью вуза, является актуальной.

Объект исследования - система организационно-технического управления (СОТУ) комплексной безопасностью высшего учебного заведения.

Предмет исследования — методическое и алгоритмическое обеспечение

СОТУ.

Цель и задачи исследования

Целью исследования является повышение эффективности организационно-технического управления комплексной безопасностью вуза путем разработки соответствующего методического и алгоритмического обеспечения. Для выполнения поставленной цели сформулированы следующие задачи:

1. Разработать комплекс системных моделей бизнес-процессов по созданию подсистемы организационно-технического управления безопасностью вуза и методику оценки текущего состояния данной подсистемы.

2. Разработать структурную модель вуза как объекта управления безопасностью, а также алгоритм и модель анализа риска (потенциального ущерба) для ресурсов вуза.

3. Разработать критерии оценки эффективности подсистемы организационно-технического управления безопасностью вуза и алгоритм, используемый в рамках данной подсистемы для оптимизации состава комплекса технических средств безопасности (КТСБ), основанный на применении генетических алгоритмов.

4. Провести апробацию разработанных моделей, методик и алгоритмов с использованием исследовательского прототипа системы поддержки принятия решений (СППР) по организационно-техническому управлению безопасностью вуза.

Методы исследования

При работе над диссертацией использовались методы системного анализа, теории множеств, теории вероятности, теории управления и принятия решений, методы оптимизации. Для оценки эффективности предлагаемых решений использовались методы математического и имитационного моделирования.

Результаты, выносимые на защиту

1. Комплекс системных моделей бизнес-процессов по созданию подсистемы организационно-технического управления безопасностью вуза и методика оценки текущего состояния данной подсистемы.

2. Модель анализа риска для ресурсов вуза, основанная на модели системы с полным перекрытием каналов воздействия угроз и использовании марковских моделей.

3. Алгорихм оптимизации состава КТСБ, являющегося составной частью подсистемы организационно-технического управления безопасностью вуза, основанный на максимизации комплексного показателя эффективности с помощью генетического алгоритма.

4. Исследовательский прототип СППР по организационно-техническому управлению безопасностью вуза.

Научная новизна результатов

Научная новизна работы заключается в следующем:

1. Предложен комплекс системных моделей бизнес-процессов по созданию подсистемы организационно-технического управления безопасностью вуза, разработанных с использованием ЗАОТ-методологаи, а также методика оценки текущего состояния данной подсистемы, основанная на построении модели жизненного цикла указанной подсистемы, позволяющие, в отличие от существующих моделей и методик, оценить как фактическое состояние подсистемы организационно-технического управления безопасностью вуза, так и тенденции его изменения.

2. Предложены структурная модель вуза и основанные на данной модели алгоритм и модель анализа риска, отличающиеся от известных моделей тем, что данные модели позволяют выявить взаимосвязи защищаемых ресурсов вуза, провести оценку вероягаостей угроз (проникновения злоумышленников) с помощью марковских моделей, оценить потенциальный ущерб от воздействия данных угроз, а также обоснованно предъявил, требования к стругауре и составу КТСБ.

3. Разработан алгоритм оптимизации состава технических средств безопасности, основанный на использовании генетического алгоритма, позволяющего, по сравнению с традиционными методами мношпараметрической ошимизации, снизил, вычислительные затраты и время поиска ошимальноло решения на множестве большого числа альтернатив.

4. Разработан прототип СППР, позволяющий на основе единой информационной системы объединил, предложенные методики, модели и алгоритмы организационно-технического управления безопасностью вуза.

Практнческая значимость н внедрение результатов

Практическая ценность результатов, полученных в диссертации, заключается в разработке:

- комплекса системных моделей бизнес-процессов по созданию подсистемы организационно-технического управления безопасностью вуза и методики оценки текущего состояния данной подсистемы, основанной на построении модели жизненного цикла подсистемы организационно-технического управления безопасностью вуза;

- модели анализа риска, основанной на модели системы с полным перекрытием каналов воздействия угроз и использовании марковских моделей;

- алгоритма оптимизации состава технических, средств безопасности, основанного на применении генетических алгоритмов;

- прототипа СППР по организационно-техническому управлению безопасностью вуза.

Предложенные методики, модели и алгоритмы позволяют повысить эффективность организационно-технического управления безопасностью вуза, снизить временные затраты на процесс разработки СОТУ, снизить потенциальный ущерб для ресурсов вуза и суммарную стоимость технических средств безопасности при внедрении оптимизированного варианта КТСБ.

Основные результаты диссертационной работы внедрены в Уфимском государственном авиационном техническом университете.

Апробация работы

Основные научные и практические результаты диссертационной работы докладывались и обсуждались на следующих конференциях:

VI Международной научно-технической конференции «Проблемы техники и технологии телекоммуникации», Уфа, 2005;

- 7-й и 8-й Международных научно-практических конференциях «Информационная безопасность», Таганрог, 2005,2006;

7-й, 8-й и 9-й Международных научных конференциях «Компью-

терные науки и информационные технологии» (CSIT), Уфа, 2005, 2007, Карлсруэ, Германия, 2006;

XXXII Международной.молодёжной научной конференции «Гага-ринские чтения», Москва, 2006;

- Российской научно-технической конференции «Мавлютовские чтения», Уфа, 2006;

- 2, 3 и 4-й Всероссийских зимних школах-семинарах аспирантов и молодых ученых (с международным участием) «Актуальные проблемы науки и техники», Уфа, 2007,2008,2009.

Публикации

Список публикаций по теме диссертационной работы содержит 12 работ, в том числе 11 материалов докладов международных и российских конференций и 1 статья в рецензируемом журнале из перечня ВАК.

Структура работы

Диссертационная работа состоит из введения, четырех глав, заключения, приложений и библиографического списка. Работа содержит 193 страницы машинописного текста, включая 56 рисунков и 18 таблиц. Библиографический список включает 107 наименований.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы исследования, сформулированы цель и задачи исследования, определены научная новизна и практическая значимость работы, сформулированы основные результаты, выносимые на защиту.

В первой главе проанализировано состояние проблемы управления безопасностью вуза. Рассмотрены особенности вуза как объекта обеспечения безопасности, проведена классификация вуза по различным признакам. Проведенный анализ показал, что в настоящее время проблема управления безопасностью вузов стоит довольно остро, вследствие того, что данной тематике практически не уделено внимания в теории обеспечения безопасности. Однако вузы, в силу многих особенностей, являются весьма специфичными объектами, управление безопасностью которых требует особых подходов. Отмечается, что управление безопасностью вуза имеет две взаимосвязанные составляющие: организационную и техническую. То есть целенаправленные воздействия, которым подвергается вуз, могут иметь вид организационных мер (различные инструкции, регламенты и пр.) или же управление безопасностью может осуществляться путем применения специальных технических средств безопасности. В связи с этим, систему управления безопасностью вуза предложено рассматривать как систему организационно-технического управления (СОТУ). При этом, если в области организационной составляющей системы организационно-технического управления безопасностью накоплен обширный опыт практической работы (разработаны и применяются большое число различных инструк-

ций, регламентов и т.д.), то ситуация, сложившаяся с технической частью данной подсистемы, характеризуется рядом нерешенных проблем.

Основной целью организационно-технического управления комплексной безопасностью вуза является планирование и реализация комплекса технических средств безопасности (КТСБ), применение которого могло бы обеспечить заданный уровень безопасности. В главе рассмотрены текущее состояние и тенденции развития подсистем безопасности, входящих в состав КТСБ.

Проведен подробный анализ нормативных документов в области обеспечения безопасности. Выявлено, что категорирование объектов, а также проектирование составляющих КТСБ регламентированы довольно полно. Однако отсутствуют стандарты, содержащие подходы к разработке систем управления безопасностью различных объектов, в том числе вузов. Отмечается возможность использования для этой цели подходов, предлагаемых стандартами КОЛЕС 9001-2001, КОЛЕС 27001.

Рассмотрены существующие подходы к оценке эффективности систем безопасности, в том числе различные методики оценки риска. Показаны недостатки применения данных подходов, обоснована необходимость разработки модели оценки риска как показателя эффективности обеспечения безопасности. Проведен анализ методов оптимизации состава КТСБ.

По результатам проведенного анализа сформулированы цель и задачи исследования.

Во второй главе проводится разработка методического обеспечения СОТУ безопасностью вуза. Система организационно-технического управления безопасностью вуза рассматривается как часть общей системы управления вузом, направленная на создание, обеспечение, управление, мониторинг, контроль, поддержание и улучшение комплексной безопасности вуза.

Для разработки архитектуры СОТУ (рисунок 1) использован подход, описанный в стандарте ИСО 27001.

-Иодуяь:планирован1№ ! : кетенениго УБ; : I

Командная Щ информация по архитектуре КТСБ Я

Командная информация || Организационные мероприятия п0 уставу КТСБ

Мзду» оценки ь

__\ -эффективности и -

^«¿ЦЗ оптимизации состава

Рисунок 3 - Архитектура СОТУ

В соответствии с данным подходом, процесс обеспечения и управления комплексной безопасностью вуза должен осуществляться в рамках 4-хфазной модели жизненного цикла РОСА (Ркп-Во-СЬеск-Ай): планируй (создание СО-ТУ); выполняй (внедрение и функционирование СОТУ); проверяй (мониторинг и проверка СОТУ); действуй (поддержание и улучшение СОТУ).

Функциональная модель процесса организационно-технического управления безопасностью вуза, построенная с применением ГОЕТ-технологии, представлена на рисунке 2.

Рисунок 2 - Функциональная модель процесса организационно-технического управления безопасностью вуза

Первым шагом при оценке текущего состояния СОТУ безопасностью вуза является определение категории вуза. От категории вуза зависит целевой рейтинг (уровень) безопасности УБцел, который должна обеспечить разрабатываемая СОТУ.

Категорию обеспечения безопасности вуза в целом предлагается определять с использованием кортежа параметров:

ХС = &Т,8,Р), (1)

где *2 - численность контингента вуза (персонал, преподаватели, обучающиеся); Т- территориальная распределенность вуза; 5 - тип вуза по предоставляемым обществу образовательных и научных продуктов (дистанционный, классический, исследовательский); Р - процентное соотношение количества поме-

щений первой и второй категорий и количества помещений третьей и четвертой категорий.

Предлагаемое количество категорий вуза составляет четыре: низкая1 средняя, высокая, очень высокая категории. Так как диапазон приведенных параметров может иметь довольно размытые границы (нельзя конкретно сказать, когда, к примеру, численность контингента является средней или высокой), то для определения категории защиты вуза предложено воспользоваться аппаратом нечетких множеств.

Чем выше категория вуза, тем более высокий рейтинг он должен иметь, то есть

где УБЦШ - целевой уровень обеспечения безопасности вуза; К-категория вуза.

В простейшем случае функция f имеет вид простого отображения множества категорий на множество возможных уровней безопасности.

По аналогии с отраслевым стандартом Банка России СТО БР ИББС-1.0-2006, уровень безопасности вуза предлагается определять с помощью методики экспертной оценки текущего состояния СОТУ безопасностью вуза. Количество уровней обеспечения безопасности определяется количеством категорий вуза и ограничено пятью - с нулевого по четвертый. Нулевой уровень характеризует полное отсутствие каких-либо процессов управления безопасностью в рамках деятельности вуза. Четвертый уровень присваивается при наличии разработанной и эффективно функционирующей СОТУ безопасностью вуза.

Для оценки уровня обеспечения безопасности используются групповые и частные показатели безопасности. Частные показатели безопасности объединены в совокупности, соответствующие групповым показателям безопасности, которые отражают области обеспечения безопасности вуза, процессы управления безопасностью и принципы безопасного функционирования вуза. Оценки EVM. групповых показателей формируются в виде совокупности оценок EVM

частных показателей, входящих в состав группового показателя Mj. Отвечая на вопросы частных показателей разработанных анкет, эксперты формируют оценки групповых показателей Mj (рисунок 3). Оценка EVI определяет текущий уровень обеспечения безопасности вуза и вычисляется следующим образом:

Подобным же образом формируется оценка EV2, определяющая состояние процессов управления безопасностью вуза (групповые показатели с 10 по 19). Итоговая оценка УБтек определяет уровень обеспечения безопасности вуза, а также состояние СОТУ, и вычисляется на основе оценок EVI и EV2 (отображены на рисунке 3 прямоугольниками).

Горизонтальные линии соответствуют целевым (заданным) уровням безопасности.

УБца=1(К),

(2)

(3)

Рисунок 3 - Диаграмма отображения оценок соответствия уровня обеспечения безопасности вуза и итоговой оценки рейтинга

После качественного определения текущего состояния СОТУ безопасностью вуза необходимо количественно оценить риск, которому подвергаются ресурсы вуза: материальные, информационные, людские. Для того чтобы учесть отношения между ресурсами, а также различные свойства отдельных ресурсов, была построена концептуальная (общесистемная) модель вуза М в виде онтологии, которая включает в себя классы ресурсов, отношения между ними (классификации, принадлежности), свойства индивидов. Возможность задания отношений между классами онтологии позволила добавить в нее также классы угроз и типов злоумышленника.

Предлагаемый подход к оценке риска основан на модели системы «с полным перекрытием», только рассматриваются совокупности нескольких видов ресурсов - составные ресурсы-помещения.

При анализе риска ресурсам вуза рассматриваются различные модели злоумышленника: террорист, опытный вор, случайный посетитель, студент, сотрудник. Обозначим множество типов злоумышленника как Вероятность столкновения с определенным типом злоумышленника определяется распределением вероятностей Р{йк)-{ ра }. Злоумышленник определенного типа

при воздействии на ресурсы может реализовывать одну из угроз множества 0.ГВероятность выбора злоумышленником той или иной угрозы определяется распределением вероятностей Риск от воздействия г-й угрозы, характерной для злоумышленника ¿4, на определенный ресурс-помещение Ц будет рассчитываться следующим образом:

где р* - вероятность реализации к-и типом злоумышленника угрозы qc, Р^ -вероятность его проникновения ву'-е помещение; Сь - суммарная стоимость

ресурсов помещения

Риск от совокупности угроз, реализуемых к-м типом злоумышленника в отношении у-го помещения, рассчитывается по формуле

г

Для нахождения вероятности проникновения в помещение использован аппарат марковских цепей. Строится модель проникновения злоумышленника в элемента охраняемого пространства (помещения), представляющая собой орграф (70(Л,С). Преобразуя матрицу смежности графа С0(А,С) в матрицу переходных вероятностей, соответствующих вероятностям событий перехода злоумышленника, получим модель его поведения в дискретном времени.

Риск для ресурсов /-го помещения от столкновения с различными типами злоумышленников будет равен:

= (6) *=1

Вероятность столкновения с к-м типом злоумышленника рЛк задается

экспертах Для того чтобы найти суммарный риск от действий злоумышленников всех типов (Дзя), используется формула

м

где т - общее количество защищаемых помещений. В работе приведен пример расчета исходного риска для ресурсов нескольких помещений вуза.

В третьей главе рассматривается процесс планирования организациион-но-технического управления безопасностью, приводится его функциональная модель. Результатами оценки текущего состояния СОТУ безопасностью вуза являются значения групповых показателей М1,...,М19. При отклонении значения текущего уровня безопасности УБга от желаемого значения УБдал необходимо для каждой из групп показателей разработать соответствующие мероприятия, повышающие значение соответствующего группового показателя и УБ в целом. Предлагается алгоритм определения состава мероприятий по совершенствованию СОТУ, которые должны документально закрепляться в «Концепции обеспечения безопасности вуза».

В соответствии с определенной ранее категорией вуза предлагается применять соответствующую архитектуру (состав подсистем) КТСБ. Формирование структуры КТСБ (мест установки средств безопасности) предлагается проводить исходя из обеспечения устанавливаемого ограничения для значения риска.

Одной из главных целей разработки СОТУ безопасностью вуза является планирование архитектуры и состава КТСБ вуза. Следовательно, эффективность СОТУ, как степень соответствия системы своему целевому назначению, определяется эффективностью разработанной КТСБ. В качестве количественной меры соответствия КТСБ своему предназначению (обеспечение безопасности ресурсов вуза) предложено использовать значение относительного риска Л, который отражает меру снижения потенциального ущерба ресурсам вуза при использовании средств КТСБ по отношению к исходному значению риска.

Помимо злоумышленных действий, существует такая угроза, как пожар. Ущерб для ресурсов у-го помещения от возникновения пожара оценивается по формуле:

пож _ пож П га\

„пож

где Р] - вероятность возникновения пожара ву-м помещении.

Потенциальный ущерб от пожара и исходный риск для ресурсов вуза рассчитываются следующим образом:

& пож = ' Кох • (9)

м

При анализе риска с учетом установленных средств безопасности рассматривается последовательность преодоления рубежей, представленных на рисунке 4. Вероятность реализации угрозы зависит от того как три периметральных рубежа осуществляют задержку распространения угрозы с вероятностью задержки (Рзвд), а на открытых пространствах между периметральными рубежами реализуется вероятность обнаружения (Ров»)-

Тогда в общем случае (при возникновении угрозы за пределами объекта) вероятность успешной реализации угрозы в отношений у-го помещения будет равна

(Ю)

где Р0'6т - вероятность обнаружения угрозы в у-м объеме; Р3[д2 - вероятность

задержки распространения угрозы г-м периметральным рубежом.

Следует отметить, что для внутреннего нарушителя имеет смысл рассматривать только задержку на периметре помещения (Р3адз) и обнаружение во внутреннем объеме (Р0бнз)-Для определения вероятности реализации внешним нарушителем угрозы строятся Рисунок4-Последовательностьпреодоления С1ру1аурно-надежностные схе-

рубежей мы, как показано на рисунке 5.

Для схемы, представленной на рисунке 5, функция обнаружения будет выполняться с вероятностью

Прилегающая территория

Р обнЗ

- направление проникновения внешнего нарушителя

Периметр территории вуза

Периметр здания

Периметр помещения

Рисунок 5 - Структурно-надежностные схемы выполнения функций КТСБ: СТН - система телевизионного наблюдения, СРО - служба режима и охраны, ОС - охранная сигнализация

«Эффект резервирования» функций безопасности позволяет повысить вероятность того, что угроза будет в итоге парирована.

Значение потенциального ущерба от злоумышленных действий, при наличии средств обнаружения и задержки, определяется следующим образом:

я«-2//.

7=1

(12)

где г'

' — pJ

1 реал ']

■ значение риска для/'-го помещения с учетом наличия средств

обнаружения и задержки, т} - исходное значение риска для/-го помещения. Потенциальный ущерб от пожара с учетом технических средств равен

«т=Ьт. 03)

м

где г'У" = (1 - Р^) ■ г"аж - ущерб для ресурсов /-го помещения от возникновения пожара, при наличии пожарной сигнализации, Р^ - вероятность обнаружения пожара в/'-м помещении.

Тогда общий риск для ресурсов вуза, с учетом наличия средств безопасности, будет равен

= (14)

В качестве показателя эффективности применения КТСБ используется показатель относительного риска, рассчитываемый по формуле:

_ /?'

р _ общ

пиас общ

(15)

Па современном рынке средств безопасности в настоящее время сотни фирм предлагают свою продукцию покупателю. Выбор конкретных средств безопасности, устанавливаемых на объекте, в условиях подобного разнообразия затруднен. Необходимо учесть весь спектр технических характеристик каждого элемента каждой подсистемы КТСБ, а также сравнить средства по характеристикам и цене. Все подсистемы КТСБ в принципе имеют одинаковую структуру, оценить которую можно, используя показатель технического качества, который зависит от совокупности технических характеристик элементов годсис-

тем. Поскольку эти структуры похожи, то и алгоритм подсчета данного показателя будет универсален для всех подсистем. В главе рассмотрено нахождение подобного показателя на примере системы охранно-пожарной сигнализации (ОПС). Показатель технического качества 1-го элемента представлен в виде функции от технических и надежностных характеристик устройства: = ..,«?„'), где Л] -у'-ая нормированная характеристика г'-го устройст-

ва системы, ] = 1, п. В качестве функции / может быть использована линейная «свертка» характеристик ^ вида

м

где Wj - вес у'-й характеристики, показывающий ее важность (значимость) для итогового значения показателя технического качества.

Для вычисления показателя качества функционирования системы необходимо:

1) произвести свертку технических и надежностных характеристик элементов в одну функцию - показатель качества К[т для выбранного типа датчиков (формула (16));

2) произвести свертку показателей качества К[т в одну функцию -обобщенный (агрегированный) показатель качества Ккач системы ОПС

кшч = {[К1т ми Кт = . (17)

м и

Оптимизация заключается в достижении наивыгоднейшего (максимального) значения критерия эффективности (показателя качества). При этом следует учитывать не только показатели технического качества совокупности технических средств, но и стоимость проектного решения. А это два показателя, находящихся в обратной зависимости друг к другу. Чем выше качество предлагаемого решения, тем больше будет и его стоимость. Возможны две постановки задачи оптимального выбора оборудования КТСБ:

1. Максимизация показателя качества системы безопасности (К), при ограниченном объеме выделенных для этой цели финансовых средств (Сдоп):

при ХС^С^. *

2. Минимизация объема выделенных на создание системы безопасности финансовых средств, при достижении заданного уровня качества системы

безопасности (Каоп): £ -> шш, при К > Кдоп. *

Значения Сдоп и Кт, задаются экспертно специалистами по безопасности.

Для нахождения оптимального варианта возможно применение различных методов математического программирования (например, градиентных методов), а также методов стохастического поиска. В работе предложено использование для поставленной цели генетических алгоритмов (ГА). По своей сути,

ГА представляют собой метод параллельного поиска глобального экстремума, основанный на использовании в процессе поиска сразу нескольких, закодированных в хромосомы точек (кандидатов на решения), которые образуют развивающуюся по определенным случайным законам популяцию.

С использованием ГА разработан алгоритм оптимизации проектных решений и проведена его проверка на примере выбора комплекса технических средств для ОПС стандартного учебного кабинета университета. Система ОПС кабинета университета включает в себя 5 типов датчиков. Оптимизация заключается в выборе необходимого состава датчиков таким образом, чтобы выполнялось условие первой постановки задачи оптимизации.

Для начала технические характеристики датчиков приводятся к нормированному виду. Далее находится значение функции К'кач для ¿-го датчика ОПС, которое вычисляется по формуле (16). Для получения значения общего качества функционирования системы применяется формула (17). В качестве функции пригодности для ГА используется целевая функция Р(х)~Ккт. Для программной реализации генетического алгоритма был использован набор инструментов GAOT (Genetic Algorithm Optimization Toolbox) пакета Matlab 7.0.

Генетический алгоритм из множества вариантов комплектации системы (на каждое установочное место претендовали 5-6 датчиков различных производителей) нашел оптимальный состав при ограничении средств Сд(ш=2500 руб.

В четвертой главе рассматривается разработанный исследовательский прототип СППР СОТУ безопасностью вуза. С использованием программно реализованного модуля «Методика оценки текущего состояния СОТУ безопасностью вуза» в качестве примера была проведена оценка УБтек для УГАТУ. Целевой уровень безопасности в соответствии с категорией вуза был определен как высокий. По результатам оценки предложены мероприятия по повышению уровня безопасности, ставшие основой для принятия «Концепции обеспечения безопасности УГАТУ». Время, затрачиваемое на анализ и предоставление полного отчета по СОТУ безопасностью вуза, при этом, снижается (по результатам экспертного оценивания) в 4-6 раз.

Для оценки применимости предложенного подхода к анализу риска был реализован программный прототип, который позволил применить предложенные для анализа риска при наличии средств безопасности формулы, а также показал, что предлагаемый показатель относительного риска может быть использован в качестве показателя эффективности функционирования СОТУ безопасности вуза.

Для программной реализации примера оптимизации комплекта ОПС для учебного кабинета университета был разработан программный прототип, позволивший сравнить два метода оптимизации - метод ветвей и границ (МВГ) и ГА. При программной реализации примера, МВГ показал превосходство по временным затратам над генетическим алгоритмом. Это связано с тем, что оптимизация состояла всего из 7776 переборов, а такого количества тестов для применения генетических алгоритмов недостаточно. Для ГА выигрыш в скоро-

сти оптимизации достигается за счёт отсеивания заведомо убыточных комбинаций параметров, а при малом количестве вариантов генетические алгоритмы не могут определить, какие «родители» дадут плохое «потомство». При увеличении же количества элементов, входящих в комплект (п), а также числа рассматриваемых альтернатив для каждого типа элемента (т), рост количества перебираемых вариантов значителен, т.к. имеет вид степенной зависимости т", что обусловливает резкий рост времени полного перебора вариантов с использованием МВГ и генетические алгоритмы показывают свои преимущества (рисунок 6).

7776 (6'5| 262144 (8*6)

Количество вариантов

10000000 (107)

Количество элементов наборе

Кошгтесгво альтернатив —

Рисунок 6 - Рост временных затрат для МВГ и ГА с ростом размерности задачи ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

Проведенный в работе анализ состояния проблемы управления безопасностью вуза показал практически полное отсутствие методических разработок в данной области. Однако то, что вузы относятся к объектам социальной значимости и являются специфичными по многим признакам объектами, определило необходимость разработки методического и алгоритмического обеспечения управления их безопасностью. Таким образом, основными результатами диссертационной работы являются:

1. На основе принципов интегрированного описания процессов IDEF0, с учетом требований стандарта ISO 27001, построены модели бизнес-процессов по созданию СОТУ безопасностью вуза, разработана ее структура. Текущее состояние СОТУ безопасностью вуза предложено оценивать с использованием разработанной «Методики оценки текущего состояния СОТУ безопасностью вуза». Данная методика позволяет оценивать как текущий уровень обеспечения безопасности вуза, так и состояние управления безопасностью вуза.

2. Предложена модель анализа риска, основанная на модели системы с полным перекрытием каналов воздействия угроз и использовании марковских моделей. Данная модель учитывает возможность столкновения с различными типами злоумышленников, а также различные распределения вероятности выбора данными злоумышленниками угроз. При оценке риска с учетом влияния средств обеспечения безопасности предложено рассматривать рубежи задержки распространения и обнаружения угроз с соответствующими характеристиками.

В качестве количественной меры эффективности функционирования СОТУ безопасностью вуза предложено использовать значение относительного риска R, отражающего меру снижения потенциального ущерба ресурсам вуза при использовании средств КТСБ по отношению к исходному значению риска. Разработан подход к оценке данного показателя и его компонент.

3. Предложен подход к оптимизации состава комплекса технических средств безопасности, основанный на оптимизации показателя технического качества системы с использованием генетического алгоритма. Рассмотрен пример применения ГА для поиска оптимального состава средств ОПС учебного кабинета вуза. Проведено сравнение ГА с методом ветвей и границ. При программной реализации примера, метод ветвей и 1раниц показал превосходство по временным затратам над генетическим алгоритмом. Однако было показано, что генетические алгоритмы позволяют получить значительный выигрыш по времени при росте количества рассматриваемых вариантов, числа рассматриваемых альтернатив и мест их установки.

4. Разработанный исследовательский прототип СППР по организационно-техническому управлению безопасностью вуза объединяет модули «Оценки текущего состояния СОТУ безопасностью вуза», «Оценки риска ресурсам», «Оптимизации состава КТСБ», реализованные по отдельности и доступные через единый интерфейс СППР СОТУ. Прототип подтвердил применимость предложенных методик и подходов, в частности, с помощью модуля «Оценки текущего состояния СОТУ безопасностью вуза» была проведена оценка текущего уровня безопасности УГАТУ. По результатам оценки сформирован комплекс мероприятий, ставший основой «Концепции обеспечения безопасности УГАТУ». Применение указанного модуля позволяет снизить временные затраты на данные работы в 4-6 раз.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

В рецензируемых журналах из списка ВАК

1. Разработка методологических основ создания и внедрения комплексной системы безопасности вуза / В. И. Васильев, Т. А. Иванова // Вестник УГАТУ: научн. журн. Уфимск. гос. авиац. техн. ун-та. 2006. № 2 (18). С. 40-42.

В других изданиях

2. Алгоритм проектирования оптимальной структуры комплексной системы безопасности на основе анализа риска / В.И. Васильев, ТА. Иванова // Информационная безопасность : матер. 7-й Междунар, науч.-пракг. конф. Таганрог : Изд-во ТРТУ, 2005. С. 270-274.

3. Проектирование комплексных систем защиты информации на основе анализа риска / В.И. Васильев, Т.А. Иванова // Компьютерные науки и информационные технологии : тр. 7-й Междунар. конф. (CSIT'2005). Уфа : Изд-во УГАТУ, 2005. Т. 2. С. 200-206 (На англ. яз.).

4. Концепция обеспечения комплексной безопасности высшего учебного заведения / В.И. Васильев, С.Н. Зарипов, Т.А. Иванова, Т.З. Хисамутдинов Н Проблемы техники и технологии телекоммуникаций : матер. VI Междунар. на-уч.-техн. конф. Уфа: Изд-во УГАТУ, 2005. С.189-192.

5. Методологические проблемы проектирования комплексной системы безопасности вуза / М.Б. Гузаиров, В.И. Васильев, С.Н. Зарипов, Т.А, Иванова // Мавлютовские чтения : рос. науч.-техн. конф.: сб. тр. Уфа : УГАТУ, 2006. Т. 1. С. 70-76.

6. К вопросу о выборе критериев эффективности комплексных систем безопасности / В.И. Васильев, Т.А. Иванова, A.A. Бакиров // Информационная безопасность : матер. 8-й Междунар. науч.-практ. конф. Таганрог : Изд-во ТРТУ, 2006. Ч. 1. С. 76-79.

7. Проектирование комплексных систем безопасности высших учебных заведений (основные принципы) / Т.А. Иванова // Компьютерные науки и информационные технологии : тр. 8-й Междунар. конф. (CSIT'2006). Карлсруэ, Германия, 2006. Т. 2. С. 177-179 (На англ. яз.).

8. Особенности проектирования комплексной системы безопасности вуза / Т.А. Иванова // XXXII Гагаринские чтения : науч. тр. Междунар. молодёжи. науч. конф. М.: МАТИ, 2006. Т. 8. С. 16-18.

9. Применение генетических алгоритмов для оптимизации состава технических средств безопасности / Ю.Г. Строкина, Т.А. Иванова, JLM. Исхакова // Компьютерные науки и информационные технологии : тр. 9-й Междунар. конф. (CSIT'2007). Уфа-Красноусольск, 2007. С. 168-172 (На англ. яз.).

10. Комплексная система безопасности вуза, оценка эффективности ее функционирования / Т.А. Иванова // Интеллектуальные системы обработки информации и управления. Т. 1. Информатика, управление и компьютерные науки: сб. ст. 2-й per. зимн. шк.-сем. аспирантов и молодых ученых. Уфа : Технология, 2007. С. 178-183.

11. Организационное и техническое обеспечение комплексной системы безопасности высшего учебного заведения / Т.А. Иванова // Актуальные проблемы в науке и технике. Т. 1. Информатика, управление и компьютерные науки : сб. ст. 3-й Всерос. зимп. шк.-сем. аспирантов и молодых ученых. Уфа : Диалог, 2008. С. 308-314.

12. Методика расчета экономической эффективности проекта создания КСБ вуза / Т.А. Иванова, С.Н. Зарипов, В.Ю. Васильев // Актуальные проблемы в науке и технике. Т. 1. Информатика, управление и компьютерные науки : сб. ст. 4-й Всерос. зимн. шк.-сем. аспирантов и молодых ученых. Уфа : Диалог, 2009. С. 227-231.

Диссертант 4WLüj г Т.А. Иванова

ИВАНОВА Татьяна Александровна

МЕТОДИЧЕСКОЕ И АЛГОРИТМИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКОГО УПРАВЛЕНИЯ КОМПЛЕКСНОЙ БЕЗОПАСНОСТЬЮ ВЫСШЕГО УЧЕБНОГО ЗАВЕДЕНИЯ

Специальность 05.13.10 -Управление в социальных и экономических системах

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Подписано к печати 28.09.2009. Формат 60x84 1/16. Бумага офсетная. Печать плоская. Гарнитура Тайме. Усл. печ. л. 1,0. Усл. кр. - отг. 1,0. Уч. - изд. л. 0,9. Тираж 100 экз. Заказ № 467

ГОУ ВПО Уфимский государственный авиационный технический университет Центр оперативной полиграфии 450000, Уфа-центр, ул. К.Маркса, 12.

ВВЕДЕНИЕ.

ГЛАВА 1. АНАЛИЗ СОСТОЯНИЯ ПРОБЛЕМЫ ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКОГО УПРАВЛЕНИЯ КОМПЛЕКСНОЙ БЕЗОПАСНОСТЬЮ ВУЗОВ.

1.1 Исследование особенностей вуза как объекта обеспечения безопасности.

1.2 Современное состояние управления безопасностью вуза.

1.3 Текущее состояние и тенденции развития комплексных систем безопасности.

1.4 Концепция обеспечения безопасности вуза.

1.5 Нормативная база управления безопасностью.

1.5.1 Требования международных стандартов.

1.5.2 Государственные стандарты и технические регламенты.

1.5.3 Нормативные документы по категорированию объектов.

1.6 Анализ подходов к оценке риска.

1.7 Оценка эффективности функционирования КТСБ и оптимизация его состава.

Выводы по первой главе. Цели и задачи исследования.

ГЛАВА 2. АНАЛИЗ ТЕКУЩЕГО СОСТОЯНИЯ СИСТЕМЫ ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКОГО УПРАВЛЕНИЯ КОМПЛЕКСНОЙ БЕЗОПАСНОСТЬЮ ВУЗА.

2.1 Архитектура и основы функционирования системы ОТУ вуза.

2.2 Категорирование вуза с точки зрения обеспечения безопасности.

2.3 Методика оценки текущего состояния системы ОТУ безопасностью вуза.

2.3.1 Основное содержание методики.

2.3.2 Определение текущего состояния обеспечения безопасности вуза.

2.3.3 Определение состояния СОТУ безопасностью вуза.

2.3.4 Формирование текущего уровня обеспечения безопасности вуза.

2.4 Модель анализа риска для ресурсов вуза.

2.4.1 Модель вуза как объекта обеспечения безопасности.

2.4.2 Алгоритм анализа риска.

Выводы по второй главе.

ГЛАВА 3. ПЛАНИРОВАНИЕ ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКОГО УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ ВУЗА.

3.1 Планирование мероприятий по изменению уровня безопасности вуза.

3.2 Определение требований к составу подсистем СОКБ.

3.3 Разработка организационного обеспечения СОКБ.

3.4 Риск как показатель эффективности функционирования СОТУ.

3.5 Оптимизация состава КТСБ.

3.5.1 Показатель технического качества подсистем КТСБ.

3.5.2 Предлагаемый подход к оптимизации состава КТСБ на примере системы ОПС.

3.5.3 Сравнение предлагаемого метода с методом ветвей и границ.

3.6 Обоснование экономической эффективности КТСБ с использованием показателя риска.

Выводы по третьей главе.

ГЛАВА 4. РАЗРАБОТКА ИССЛЕДОВАТЕЛЬСКОГО ПРОТОТИПА СППР ПО ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКОМУ УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ ВУЗА.„.

4.1 Интерфейс прототипа СППР ОТУ.

4.2 Применение СППР ОТУ на примере УГАТУ.

4.2.1 Текущее состояние обеспечения безопасности УГАТУ.

4.2.2 Концепция обеспечения безопасности УГАТУ.

4.3 Пример реализации алгоритма анализа риска.

4.4 Программный прототип модуля оптимизации состава КТСБ.

4.5 Модуль мониторинга функционирования КТСБ вуза.

4.6 Перспективы развития КСБ вузов.

Выводы по четвертой главе.

В целом, по Российской Федерации и, в частности, в Республике Башкортостан назрела настоятельная необходимость в повышенном внимании к обеспечению безопасности в местах размещения материальных ценностей, финансовых активов и большого скопления людей. Огромное значение приобретает задача обеспечения безопасности высших учебных заведений, в стенах которых трудится и обучается большое количество высококвалифицированных педагогов, научных сотрудников и молодежи, составляющей интеллектуальный и трудовой потенциал нашей страны. Повышенная опасность пожаров, проведения диверсионно-террористических акций, совершения краж также обостряет проблему обеспечения безопасности материальных, финансовых, а также людских ресурсов вузов.

Актуальность создания систем безопасности вузов отмечена и в межвузовской отраслевой программе на 2004-2007 гг. «Безопасность образовательного учреждения», утвержденной приказом №31 Минобразования России от 12.01.2004 г. В программе отмечено, что «существующее положение с материально-техническим оснащением образовательных учреждений характеризуется высокой степенью изношенности основных фондов (зданий, сооружений, оборудования и инженерных коммуникаций), недостаточным финансированием мероприятий, направленных на повышение инженерной безопасности образовательных учреждений, нарушением правил их эксплуатации, ослаблением контроля со стороны руководителей и специалистов за поддержанием их в исправном состоянии». Следует отметить, что если в области организационной составляющей подсистемы организационно-технического управления безопасностью накоплен обширный опыт практической работы (разработаны и применяются большой объем различного рода инструкций, регламентов и т.д.), то ситуация, сложившаяся с технической частью данной подсистемы, характеризуется рядом проблем:

- недостаточная оснащенность техническими средствами обеспечения безопасности образовательных учреждений различного уровня;

- значительный физический и моральный износ существующего оборудования обеспечения безопасности;

- отсутствие специализированной подготовки у лиц, ответственных за безопасность вуза, позволяющей грамотно и оптимально распределить выделяемое на обеспечение безопасности целевое финансирование.

Существующие подходы к организационно-техническому управлению безопасностью позволяют разрабатывать комплексы технических средств безопасности (КТСБ) в основном для коммерческих предприятий или режимных объектов. Однако образовательные учреждения обладают собственной спецификой, обусловливающей и особенность организационно-технического управления их безопасностью. Проектировщики КТСБ вузов сталкиваются со следующими трудностями:

- отсутствие методики оценки текущего состояния технической составляющей обеспечения безопасности вуза;

- неопределенность и специфичность дестабилизирующих факторов, воздействующих на защищаемые ресурсы вуза;

- отсутствие отработанных методов, методик и алгоритмов создания и оценки эффективности КТСБ образовательных учреждений.

Таким образом, тема данной диссертационной работы является актуальной и ее цель и задачи могут быть сформулированы в следующем виде.

Целью исследования является повышение эффективности организационно-технического управления комплексной безопасностью вуза путем разработки соответствующего методического и алгоритмического обеспечения. Для выполнения поставленной цели, сформулированы следующие задачи:

1. Разработать комплекс системных моделей бизнес-процессов по созданию подсистемы организационно-технического управления безопасностью вуза и методику оценки текущего состояния данной подсистемы.

2. Разработать структурную модель вуза как объекта управления безопасностью, а также алгоритм и модель анализа риска (потенциального ущерба) для ресурсов вуза.

3. Разработать критерии оценки эффективности подсистемы организационно-технического управления безопасностью вуза и алгоритм, используемый в рамках данной подсистемы для оптимизации состава комплекса технических средств безопасности (КТСБ), основанный на применении генетических алгоритмов.

4. Провести апробацию разработанных моделей, методик и алгоритмов с использованием исследовательского прототипа системы поддержки принятия решений (СППР) по организационно-техническому управлению безопасностью вуза.

Методы исследования

При работе над диссертацией использовались методы системного анализа, теории множеств, теории вероятности, теории принятия решений, методы оптимизации. Для оценки эффективности предлагаемых решений использовались методы математического и имитационного моделирования.

Основные научные результаты, полученные лично автором и выносимые на защиту

1. Комплекс системных моделей бизнес-процессов по созданию подсистемы организационно-технического управления безопасностью вуза и методика оценки текущего состояния данной подсистемы;

2. Модель анализа риска для ресурсов вуза, основанная на модели системы с полным перекрытием каналов воздействия угроз и использовании марковских моделей.

3. Алгоритм оптимизации состава КТСБ, являющийся составной частью подсистемы организационно-технического управления безопасностью вуза, основанный на максимизации комплексного показателя эффективности с помощью генетического алгоритма.

4. Исследовательский прототип СППР по организационно-техническому управлению безопасностью вуза.

Обоснованность и достоверность результатов диссертации

Выводы и рекомендации, полученные в работе, являются обоснованными, достоверными и проверенными экспериментально. Обоснованность обусловлена адекватностью предпосылок и результатами проведенного системного анализа предметной области. Достоверность основных положений работы подтверждена результатами моделирования и внедрением предложенных решений в Уфимском государственном авиационном техническом университете.

Научная новизна результатов

Научная новизна работы заключается в следующем:

1. Предложен комплекс системных моделей бизнес-процессов по созданию подсистемы организационно-технического управления безопасностью вуза, разработанных с использованием SADT-методологии, а также методика оценки текущего состояния данной подсистемы, основанная на построении модели жизненного цикла указанной подсистемы, позволяющие, в отличие от существующих моделей и методик, оценить как фактическое состояние подсистемы организационно-технического управления безопасностью вуза, так и тенденции его изменения.

2. Предложены структурная модель вуза и основанные на данной модели алгоритм и модель анализа риска, отличающиеся от известных моделей тем, что данные модели позволяют выявить взаимосвязи защищаемых ресурсов вуза, провести оценку вероятностей угроз (проникновения злоумышленников) с помощью марковских моделей, оценить потенциальный ущерб от воздействия данных угроз, а также обоснованно предъявить требования к структуре и составу КТСБ.

3. Разработан алгоритм оптимизации состава технических средств безопасности, основанный на использовании генетического алгоритма, позволяющего, по сравнению с традиционными методами многопараметрической оптимизации, снизить вычислительные затраты и время поиска оптимального решения на множестве большого числа альтернатив.

4. Разработан прототип СППР, позволяющий на основе единой информационной системы объединить предложенные методики, модели и алгоритмы организационно-технического управления безопасностью вуза.

Практическая значимость и внедрение результатов

Практическая ценность результатов, полученных в диссертации, заключается в разработке:

- комплекса системных моделей бизнес-процессов по созданию подсистемы организационно-технического управления безопасностью вуза, методики оценки текущего состояния данной подсистемы, основанной на построении модели жизненного цикла подсистемы организационно-технического управления безопасностью вуза;

- модели анализа риска, основанной на модели системы с полным перекрытием каналов воздействия угроз и использовании марковских моделей;

- алгоритма оптимизации состава технических средств безопасности, основанного на применении генетических алгоритмов;

- прототипа СППР по организационно-техническому управлению безопасностью вуза.

Предложенные методики, модели и алгоритмы позволяют повысить эффективность организационно-технического управления безопасностью вуза, снизить временные затраты на процесс проектирования КТСБ, снизить потенциальный ущерб для ресурсов вуза и суммарную стоимость технических средств безопасности при внедрении спроектированного КТСБ.

Основные результаты диссертационной работы внедрены в Уфимском государственном авиационном техническом университете.

Апробация работы

Основные научные и практические результаты диссертационной работы докладывались и обсуждались на следующих конференциях:

- VI Международной научно-технической конференции «Проблемы техники и технологии телекоммуникации», г. Уфа, 2005;

- 7-й и 8-й Международных научно-практических конференциях «Информационная безопасность», г. Таганрог, 2005, 2006;

- 7-й, 8-й и 9-й Международных научных конференциях «Компьютерные науки и информационные технологии» (CSIT), г. Уфа, 2005, 2007, г. Карлсруэ, Германия, 2006;

- XXXII Международной молодёжной научной конференции «Гагаринские чтения», г. Москва, 2006;

- Российской научно-технической конференции «Мавлютовские чтения», г. Уфа, 2006;

- 2-й, 3-й и 4-й Всероссийских зимних школах-семинарах аспирантов и молодых ученых (с международным участием) «Актуальные проблемы науки и техники», г. Уфа, 2007, 2008, 2009.

Результаты диссертационной работы отражены в 12 публикациях, в том числе в 1 статье в издании из перечня ВАК РФ, а также в 11 материалах докладов международных и российских конференций.

Структура работы

Диссертация состоит из введения, четырех глав, заключения, приложений и библиографического списка. Работа содержит 193 страницы машинописного текста, включая 56 рисунков, 18 таблиц, 4 приложения. Библиографический список включает 107 наименований.

Основные результаты и выводы можно сформулировать следующим образом:

5. Анализ состояния проблемы управления безопасностью вуза показал практически полное отсутствие методических разработок в данной области. Однако то, что вузы относятся к объектам социальной значимости и являются специфичными по многим признакам объектами, определяет необходимость разработки методического и алгоритмического обеспечения управления их безопасностью.

6. . На основе принципов интегрированного описания процессов IDEF0, а также учитывая требования стандарта ISO 27001, построены модели бизнес-процессов по созданию СОТУ безопасностью вуза, разработана ее структура. Текущее состояние СОТУ безопасностью вуза предложено оценивать с использованием разработанной «Методики оценки текущего состояния СОТУ безопасностью вуза». Данная методика позволяет оценивать как текущий уровень обеспечения безопасности вуза, так и состояние управления безопасностью вуза.

7. Предложена модель анализа риска, основанная на модели системы с полным перекрытием каналов воздействия угроз и использовании марковских моделей. Данная модель учитывает возможность столкновения с различными типами злоумышленников, а также различные распределения вероятности выбора данными злоумышленниками угроз. При оценке риска с учетом влияния средств обеспечения безопасности предложено рассматривать рубежи задержки и обнаружения с соответствующими характеристиками. В качестве количественной меры эффективности функционирования СОТУ безопасностью вуза предложено использовать значение относительного риска R. Показатель относительного риска отражает меру снижения потенциального ущерба ресурсам вуза при использовании средств КТСБ по отношению к исходному значению риска. Разработан подход к оценке данного показателя и его компонент.

8. Предложен подход к оптимизации состава комплекса технических средств безопасности, основанный на оптимизации показателя технического качества системы с использованием генетического алгоритма. Рассмотрен пример применения ГА для поиска оптимального состава средств ОПС учебного кабинета вуза. Проведено сравнение ГА с представителем методов полного перебора - методом ветвей и границ. При программной реализации примера, метод ветвей и границ показал превосходство по временным затратам над генетическим алгоритмом. Однако было показано, что генетические алгоритмы позволяют получить значительный выигрыш по времени при росте количества рассматриваемых вариантов с ростом числа рассматриваемых альтернатив и мест их установки.

9. Разработанный исследовательский прототип СППР по организационно-техническому управлению безопасностью вуза объединяет модули «Оценки текущего состояния СОТУ безопасностью вуза», «Оценки риска ресурсам», «Оптимизации состава КТСБ», реализованные по-отдельности и доступные через единый интерфейс СППР СОТУ. Прототип подтвердил применимость предложенных методик и подходов, в частности, с помощью модуля «Оценки текущего состояния СОТУ безопасностью вуза» была проведена оценка текущего уровня безопасности УГАТУ. По результатам оценки сформирован комплекс мероприятий, ставший основой «Концепции обеспечения безопасности УГАТУ». Применение указанного модуля позволяет снизить временные затраты на данные работы в 4-6 раз.

ЗАКЛЮЧЕНИЕ

В диссертационной работе поставлена и решена задача разработки методического и алгоритмического обеспечения организационно-технического управления комплексной безопасностью вуза.

1. Алексеев, А.В. Фролов, А.А. Устойчивость функционирования СКВ крупных компаний. Основные факторы и меры по обеспечению // Системы безопасности, №5, 2005. - С. 56-59.

2. Арзуманов, С.В. Оценка эффективности инвестиций в информационную безопасность // Защита информации. Inside, №1, 2005. — С. 23-25.

3. Арьков, П.А. Исследование оптимальности проекта системы защиты информации на игровой модели // Материалы X Международной научно-практической конференции «Информационная безопасность». Ч. 1. -Таганрог: Изд-во ТТИ ЮФУ, 2008. С. 33-34.

4. Бадамшин, Р.А., Ильясов, Б.Г., Черняховская, JI.P. Проблемы управления сложными динамическими объектами в критических ситуациях на основе знаний. М.: Машиностроение, 2003 — 240 с.

5. Бодров, В.И., Лазарева, Т.Я., Мартемьянов, Ю.Ф. Математические методы принятия решений: Учеб. пособие. Тамбов: Изд-во Тамб. гос. тех. ун-та, 2004. 124 с.

6. Васильев, В. И., Иванова, Т. А. Разработка методологических основ создания и внедрения комплексной системы безопасности вуза // Вестник УГАТУ, №2(18), 2006. С. 40-42.

7. Васильев, В. И., Леденева, Т. М., Подвальный, С. Л. Системы искусственного интеллекта и принятия решений: учебное пособие для вузов. Уфа: УГАТУ, 2005. - 206 с.

8. Вишняков С.М. Системы комплексной безопасности, категории и уровни защищенности стационарных объектов. // Системы безопасности, № 1 (55), 2004.-С. 35-38.

9. Вишняков, С.М. Тенденции развития и декларирование СКБ. Системы безопасности. №5(65), 2005. С. 132-136.

10. Волобуев, C.B. О принципах построения модели изменяющейся системы защиты // Вопросы защиты информации, №2, 2004. с.34-41.

11. Герасименко, В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн.: Кн. 1. М.: Энергоатомиздат, 1994. 400 с.

12. Гончаренко, Л.П., Куценко, Е.С. Управление безопасностью. М.: КноРус, 2009. - 272 с.

13. ГОСТ 12.1.004-91. Система стандартов безопасности труда. Пожарная безопасность. Общие требования. М.: Стандартинформ, 2006. -68 с.

14. ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. -М.: Стандартинформ, 2002. 6 с.

15. ГОСТ 51072-2005. Двери защитные. Общие технические требования и методы испытаний на устойчивость к взлому, пулестойкость и огнестойкость. М.: Стандартинформ, 2008. - 11 с.

16. ГОСТ Р 50862-96. Сейфы и хранилища ценностей. Требования и методы испытаний на устойчивость к взлому и огнестойкость. — М.: Стандартинформ, 2005. 22 с.

17. ГОСТ Р 50922-96. Защита информации. Основные термины и определения. -М.: Госстандарт России, 1996. 12 с.

18. ГОСТ Р 51275 99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. — М.: Стандартинформ, 2003. - 9 с.

19. ГОСТ Р ИСО 9001-2001. Системы менеджмента качества. Требования. М.: Изд-во стандартов, 2001. - 21 с.

20. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. М.: ИПК Издательство стандартов, 2002. - 40 с.

21. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. — М.: ИПК Издательство стандартов, 2002. 113 с.

22. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. М.: Стандартинформ, 2006. - 45 с.

23. ГОСТ Р ИСО/МЭК 27001. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. М.: Стандартинформ, 2008. - 31 с.

24. Граничин, О.Н. Введение в стохастические методы оптимизации и оценивания. -СПб.: Изд-во СПбГУ, 2003. 131 с.

25. Гузаиров, М.Б., Васильев, В.И., Зарипов, С.Н., Иванова, Т.А. Методологические проблемы проектирования комплексной системы безопасности вуза // Мавлютовские чтения: Российская научно-техническая конференция: сб. трудов. Том 1—Уфа: УГАТУ, 2006. с. 70—76.

26. Завгородний, В.И. Комплексная защита информации в компьютерных системах: Учебное пособие. М.: Логос, 2001. 264 с.

27. Закон РФ. Об образовании (ред. от 17.07.2009). М.: Астрель, 2002. - 45 с.

28. Концепция безопасности и принципы создания систем физической защиты важных промышленных объектов. http://www.oskord.ru/ru/News/ Message/45730KI.html

29. Концепция безопасности коммерческого банка, http ://spk.ru/ security/

30. Кучумаров, С. В. Интегрированные СБ (Анализ зарубежных ИСБ и направления их развития) // Системы безопасности, №2, 2007. С. 152-156.

31. Ларичев, О. И., Петровский, А. В. Системы поддержки принятия решений. Современное состояние и перспективы их развития. // Итоги наукии техники. Сер. Техническая кибернетика. — Т.21. М.: ВИНИТИ, 2001. — 150 с.

32. Леоненков, А.В. Нечеткое моделирование в среде MATLAB и FuzzyTECH -С-Пб.: БХВ-СПб, 2005. 736 с.

33. Литвак, Б. Г. Экспертные оценки и принятие решений. — М.:Патент, 1996.-271 с.

34. Лопарев, С., Куканова, Н. Современные методы и средства анализа и управление рисками информационных систем компаний. http://www.dsec.ru/about/articles/arcompare/

35. Лопарев, С., Шелупанов, А. Анализ инструментальных средств оценки рисков утечки информации в компьютерной сети предприятия // Вопросы защиты информации, №4, 2003. С. 43—46.

36. Мазур, И.И., Шапиро, В.Д., Ольдерогге, Н.Г. Управление проектами: учеб. пособие для студентов, обучающихся по специальности 061100 «Менеджмент орг.» под общ. ред. И.И. Мазура. / 4-е изд., стер. -Москва: Издательство «Омега-Л», 2007. — 664с.

37. Машкина, И.В., Гузаиров М.Б. Системный подход к анализу уровня защищенности в системах защиты информации // Безопасность информационных технологий. М.: МИФИ, №3, 2007. С. 58-64.

38. Нормы пожарной безопасности (Hilb 105-2003). Определение категорий помещений и зданий по взрывопожарной и пожарной опасности. — М.: Стандартинформ, 2004. 45 с.

39. Нормы пожарной безопасности (Hilb 110-03). Перечень зданий, сооружений, помещений и оборудования, подлежащих защитеавтоматическими установками пожаротушения и автоматической пожарной сигнализацией. — М.: Стандартинформ, 2005. 38 с.

40. Обоснование инвестиций в безопасность. // Защита информации. Inside, №1, 2005. С. 49-53.

41. Панин, О.А. Анализ эффективности интегрированных систем безопасности: принципы, критерии, методы // Системы безопасности, №2, 2006. С.60-62.

42. Панюков, Д.В. Создание корпоративной концепции физической защиты объектов // Системы безопасности, №2, 2006. — С. 65-67.

43. Петренко, С.А., Терехова, Е.М. Оценка затрат на защиту информации // Защита информации. Inside, №1, 2005. С. 36-48.

44. Петров, Н.В. Проектирование и оценка систем физической защиты // Защита информации. Inside, №5, 2006. С. 58-63.

45. Петров, Н.В., Титков, С.Б. Задачи построения систем физической защиты. Оценка эффективности СФЗ // Защита информации. INSIDE №1, 2006. С. 58-67.

46. Петров, Н.В., Титков, С.Б. Задачи построения систем физической защиты. Оценка эффективности СФЗ // Защита информации. INSIDE, №1, 2006.-С. 58-67.

47. Покровский, П. Защита информации: анализ рисков // LAN. Журнал сетевых решений, Октябрь, 2004. С. 35-38.

48. Р 78.36.007—99. Выбор и применение средств охранно-пожарной сигнализации и средств технической укрепленности для оборудования объектов НИЦ «Охрана» ГУВО МВД России. Челябинск: Центр безопасности труда, 2002. - 32 с.

49. РД 147-93. Единые требования по технической укрепленности и оборудованию сигнализацией охраняемых объектов» ГУВО МВД России. -М.: Феникс, 1999. 24 с.

50. РД 78.148-94. Защитное остекление. Классификация, методы испытаний. Применение. Томск: Изд-во HTJI, 2000. — 15 с.

51. РД 78.36.003-2002. Инженерно-техническая укрепленность. Технические средства охраны. Требования и нормы проектирования по защите объектов от преступных посягательств. М.: Эксмо, 2005. 35 с.

52. РД 78.36.006-2005. Выбор и применение технических средств охранной, тревожной сигнализации и средств инженерно-технической укрепленности для оборудования объектов. Томск: Изд—во HTJI, 2006. — 24 с.посягательств.

53. Репин, В. Интеллектуальное здание: концепция крупным планом // СтройПРОФИль, №8, 2001. С.23-25.

54. Романец, Ю.В., Тимофеев, П.А., Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях/ Под ред. В.Ф. Шаньгина. -М.: Радио и связь, 1999. 328 с.

55. Рудинский, И.Д. Нейронные сети, генетические алгоритмы и нечёткие системы. Москва: Горячая линия, 2004. — 324 с.

56. Рутковская, Д., Пилиньский, М., Рутковский, JI. Нейронные сети, генетические алгоритмы и нечеткие системы. М.: Горячая Линия — Телеком, 2007. - 452 с.

57. Саати, Т. Принятие решений. Метод анализа иерархий. М.: Радио и связь, 1993.- 278 с.

58. СНиП 11-01-95. Инструкция о порядке разработки, согласования, утверждения и составе проектной документации на строительство зданий, предприятий и сооружений. М.: Безопасность труда и жизни, 1999. 24 с.

59. СНиП 21-01-97. Пожарная безопасность зданий и сооружений. М.: ДЕАН, 2002.-48 с.

60. Современные методы и средства анализа и контроля рисков информационных систем компаний. http://www.dsec.m/articles/itrisk.shtml

61. Соколов, Е.Е. Подходы к созданию интегрированной системы охраны // Системы безопасности, №3(63), 2005. С. 98-101.

62. Соколов, Е.Е. Подходы к созданию интегрированной системы охраны // Системы безопасности, №4, 2005. С. 98-101.

63. Стандарт Банка России СТО БР ИББС-1.0-2006. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. М.: Издательство стандартов, 2006. 27 с.

64. Стандарт Банка России. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008. М.: Издательство стандартов, 2008. 56 с.

65. Степанов, С.А., Азарьева, В.В. К качеству управления через анализ лучших практик и разработку моделей совершенства // Университетское управление: практика и анализ. № 5, 2005. С. 48-55

66. Федеральный закон №94—ФЗ. О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд. М.: Эксмо, 2008. 52 с.

67. Федеральный закон №184—ФЗ. О техническом регулировании. М.: Эксмо, 2007. 28 с.

68. Федеральный Закон №39-Ф3. Об инновационной деятельности, осуществляемой в форме капитальных вложений. М.: Эксмо, 2006. 18 с.

69. Хоффман, Л.Дж. Современные методы защиты информации-М.:Сов.радио, 1980. 264 с.

70. Черемных, С.В., Семенов, И.О., Ручкин, B.C. Моделирование и анализ систем. IDEF-технологии: практикум. М.: Финансы и статистика, 1997.-188 с.

71. Черноруцкий, И.Г. Методы принятия решений.- СПб.: БХВ -Петербург, 2005. 416 с.

72. Amodt, A., Plaza, Е. Case-based reasoning: foundational issues, methodological variations and system approaches. AI Communications, 7(i), 1994. -p. 39-59.

73. Cherny, L. Some integration problems of organizational decision support systems // Proceedings of IFAC-MIM 2000 Symposium of Manufacturing, Modeling, Management and Control. Rio, Patras, Greece, 12-14 July, 2000. p. 120-122.

74. Corne D., Dorigo M., Glover F. New Ideas in Optimization. McGrav-Hill, 1999.-525 pp.

75. Getting Started with Protege 4.x OWL. http://protegewiki.stanford.edu/ index.php/Protege4GettingStarted

76. Gibbons, Robert. Game Theory for Applied Economists. Princeton University Press, 1992. 198 pp.

77. Hochbaum D. Approximation algorithms for NP-Hard Problems. Boston, PWS Publishing, 1997. 93 pp.8 8. http ://ru.wikipedia.org/wiki/MeTOflBeTBefiHrpaHH4

78. Lokhmatov, M.V. Evaluation of intelligent building security system effectiveness // Proceedings of the Workshop on Computer Science and Information Technologies (CSIT'2005), Vol. 3, Ufa: Ufa State Aviation Technical University, 2005. 228-232 pp.

79. Masatoshi Sakawa. Genetic Algorithms and Fuzzy Multiobjective Optimization (Operations Research/Computer Science Interfaces Series). Springer, 2005.-304 p.

80. Ontology development 101. http://protege.stanford.edu/publications/ ontologydevelopment/ontology 101 .html

81. OntoStudio. Collaborative Ontology Modelling Environment. http://www.ontoprise.de/en/home/products/ontostudio/

82. OWL Web Ontology Language Reference. http://www.w3.org/TR/owlreff

83. Politov, M.S. Problems of security analysis of information systems // Proceedings of the Workshop on Computer Science and Information Technologies (CSIT'2005), Vol. 2, Ufa: Ufa State Aviation Technical University, 2005. 216218 pp.

84. Ratz, D. On branching rules in second-order branch-and-bound methods for global optimization, in: G. Alefeld et al. (eds.), Scientific Computation and Validation, Akademie-Verlag, Berlin, 1996. 132 pp.

85. Risk Management Guide for Information Technology Systems, NIST, Special Publication 800-30. 34 p.

86. Security Architecture Model Component Overview. http://www.sans.org/readingj-oom/whitepapers/basics/securi1yarchitecturemode lcomponentoverview526

87. Security Lifecycle Managing the Threat, http://www.sans.org/ readingroorn/whitepapers/basics/securitylifecyclemanagingthethreat592

88. Sedgewick, R. Algorithms. Addison-Wesley publishing company, 1994.-560 p.

89. Sivanandam, S. N., Deepa, S. N. Introduction to Genetic Algorithms. Springer, 2007. 442 p.

90. Taimurzin, M.I. Intelligent-sensor integrated security system // Proceedings of the Workshop on Computer Science and Information Technologies (CSIT'2005), Vol. 2, Ufa: Ufa State Aviation Technical University, 2005. 225226 pp.

91. Turban, E. Decision support and expert systems: management support systems. -Englewood Cliffs, N.J.: Prentice Hall, 2000. 146 pp.

92. Vroeijenstijn, A.I. Towards a quality model for higher education // INQAAHE-2001. Proceedings of Conference on quality, standards and recognition, March, 2001. p. 34-38.

93. Wang, L.X. Analysis and design of hierarchical fuzzy systems // IEEE Transactions on Fuzzy Systems, 7(5), 1999. 617-624 pp.

94. Zadeh, I. Fuzzy Logic, Neural Networks and Soft Computing // Communication on the ACM-1994. Vol. 37, №3. - 77-84 pp.

95. Методика оценки текущего состояния СОТУоо -J1. Эксперты и аналитики СРО1. NODE1. А11. TITLE

96. Оценка текущего состоянии СОТУ1. N0.: