Оптимизация интегрированных систем. Матрица угроз

Общие понятия

Все вероятности, размеры ущерба, и др. величины, о которых говорится в тексте, берутся "методом экспертной оценки". Стоимости отдельных средств защиты - из прайслиста (с учетом, что, например, стоимость камеры включает в себя не только собственно камеру, кожух и объектив, но и стоимость монтажа, стоимость кабеля и его прокладки, приведенную стоимость матричного коммутатора, а также его монтажа и настройки.

Спектр угроз

Формируется из набора моделей нарушителя. M_i. Рассматриваются только модели с максимальным значением произведения "вероятность*ущерб" (Pⁱ*U_i). От 3-х до 10 моделей. Например: "случайный бомж, вооружение - нож кухонный, образование/подготовка минимальны", "международная террористическая группа, вооружение - боевая машина пехоты + тяжёлое стрелковое, подготовка включает изучение плана объекта и видимых алгоритмов действий охраны.

Вероятность считается за интервал 1 год, ущерб - за одно единичное совершенное преступление. Наиболее нетривиальная задача - оценка вероятностей посягательств. Полезно оперировать статистикой, имеющейся у клиента или общегражданской милицейской статистикой.

Модели первоначально рассматриваются совершенно независимо, сведение воедино может происходить только при окончательном сведении матрицы угроз/защит.

Для каждой модели указываются этапы преступления. E_ij. Этапы, как правило, необходимые - типа "проникновение на территорию", "вскрытие хранилища", "погрузка", "отступление". Бывают этапы "вспомогательные" - типа "изучение порядка охраны", "изучение распорядка дня ключевых персон", "заблаговременное минирование территории" - препятствие этим этапам не исключает осуществления преступления, но повышает вероятность предотвращения других этапов.

Для каждого этапа указываются каналы осуществления. C_ijk. Некоторые каналы сами по себе многоступенчатые (многоэтапные), что, как правило, неважно. Как правило, предполагается, что любого из каналов достаточно для осуществления всего этапа. В таких случаях каждому из них присваивается коэффициент 100% (единица). Если же предполагается что преступник с некоторой вероятностью будет использовать тот или иной (один) канал, и если его постигнет там неудача, то он не сможет попробовать другой канал - тогда коэффициенты C_ijk указываются равными этим вероятностям.

Спектр защит

Аналогичен структуре угроз. А именно: рассматриваются рубежи (эшелоны) защиты (территориальный, периметральный, внутренний, непосредственный) - частично соответствующие этапам преступления, в которых имеются сектора защиты (конкретные двери, окна, участки забора) - более-менее соответствующие каналам осуществления этапов преступления. Дополнительно, на каждом секторе защиты рассматриваются несколько средств защиты - конкретных устройств или алгоритмов предназначенных для противодействия угрозам. Z_n. Средства защиты, хотя и структурированы по эшелонам и секторам, фактически имеют влияние на различные этапы преступления, поэтому рассматриваются независимо.

Наконец, для каждого средства защиты указывается вероятность обнаружения (вероятность противодействия прорыву) по соответствующему каналу осуществления преступных замыслов - E^ijkn. Обратите внимание, что вероятности в общем случае считаются независимыми - так что преступник, не замеченный (с вероятностью 1-E_ijkn) n-ным средством, все равно будет обнаружен n+1-ым средством с вероятностью E_ijkn+1. В противном случае следует рассматривать различные каналы проникновения, с различной вероятностью перекрываемые различными средствами.

Однако существуют случаи, причем очень важные для нас, когда факт наличия одного средства меняет вероятность (эффективность работы) другого средства. Именно поэтому и применяются интегрированные системы, именно факт такого "нелинейного" взаимодействия различных компонент системы и позволяет за разумные деньги (как правило, за стоимость программного обеспечения) значительно повысить общую эффективность защиты объекта. Такое взаимодействие описывается коэффициентами усиления эффективности защиты F^ijknm. Имеется в виду что результирующая вероятность прорыва n-ного средства защиты составляет (1-E^ijkn)/(1+Σ_(m)(Z_m*F^ijknm)).

Значение 1 в матрице F означает что наличие средства "m" удваивает эффективность средства "n", значение 2 - удваивает и т.д. Это осмысленно, ибо фактически взаимодействие средств именно "добавляет" новые функциональные возможности, фактически создаёт новые "виртуальные" средства защиты. Основная причина такого выбора значений - удобство равенства нулю несущественных элементов матрицы.

Обе матрицы - и E и F - весьма рыхлые - большинство элементов равны нулю. Ненулевые элементы следует заполнять исходя из здравого смысла (методом "экспертных оценок"). При больших размерах матрицы (разумно мелком разбиении на этапы, каналы, средства защиты), даже самые грубые оценки позволяют тем не менее получить вполне осмысленные результаты.
При полном отсутствии каких бы то ни было идей, можно заполнять коэффициенты E равными ½ для всех средств защиты которые могут противодействовать на данном канале, и в матрице F ставить 1 везде, где наличие другого средства повышает эффективность работы первого. Так, например, наличие видеокамеры повышает за счёт оперативной верификации эффективность работы периметровых датчиков, а наличие таковых датчиков повышает эффективность использования внутренних камер даже при просмотре их "вручную", ибо после тревоги на периметре оператор внимательнее смотрит на картинку внутренних камер.

После первичного заполнения матрицы следует посмотреть - какие именно её элементы определяют результирующую эффективность защиты. Это легко сделать вручную - посмотреть, на каком этапе вероятность проникновения минимальна (она и определяет общую вероятность успешного пресечения преступных поползновений), затем посмотреть, который из каналов на этом этапе наименее защищён (только одним-двумя средствами защиты). Затем для соответствующих ячеек следует попытаться более точно оценить вероятности обнаружения (защиты), например, на основе моделирования действий преступников и охранников.

Учтите, что организационные меры охраны (специальные алгоритмы действий охранников) являются также частью системы охраны (являются средствами защиты и должны также учитываться в матрице). Особенность организационных мер - их трудно предсказуемое взаимовлияние. Дело в том, что возможности одного оператора (охранника) не безграничны. С другой стороны, активная деятельность (в разумных пределах занятость повседневными алгоритмами и процедурами) помогает поддерживать высокую боеготовность персонала службы охраны. Ещё один фактор - увеличение численности сотрудников охраны неизбежно приводит к снижению средней квалификации, а также к нежелательному раздроблению целостной системы на подсистемы подконтрольные разным операторам.

Поэтому существенные вариации организационной (штатной) структуры службы охраны следует рассматривать как разные модели построения системы, для которых независимо и по-разному устанавливаются коэффициенты эффективности защиты E и F.

Вектор цены

Кроме эффективности, указывается также стоимость каждого средства. Стоимость средства защиты должна включать в себя также стоимость пятилетней эксплуатации, включая ремонт, обслуживание и поддержку операторами на посту наблюдения (пятилетней - ибо расходы пересчитываются к сегодняшнему дню исходя из 20% годовых). Поскольку как правило стоимость обслуживания системы, да и стоимость оборудования системы включает константную часть, обязательную вне зависимости от наличия в системе того или иного средства защиты, следует рассмотреть несколько (1-3) моделей построения системы, в пределах которых существует константная (аддитивная) стоимость C_t и стоимость добавления конкретного средства защиты S_tn
Возможен раздельный учёт стоимости начальной и стоимости обслуживания, что приводит к более понятным заказчику цифрам, однако для целей оптимизации проще их сложить сразу в эффективную стоимость каждого средства защиты.

Собственно матрица

Собственно, коэффициенты E^kn обычно и называются матрицей угроз/защит. Нами предлагается расширенный подход, учитывающий современные тенденции к интеграции систем, что требует включить в рассмотрение коэффициенты F^knm
Следует обратить внимание, что в таком случае мы выходим за пределы линейной алгебры и оптимизация построения системы перестаёт быть тривиальной задачей.

Оптимизация системы

Конечная задача всей этой мутной процедуры - выбор оптимизированного состава системы, описываемого вектором Z_n. Элементы вектора в большинстве случаев могут быть равны нулю либо единице (есть средство или нет), но в некоторых (исключительных) случаях могут принимать и более разнообразные значения, например установка двух или более однотипных средств вполне может соразмерно повысить вероятность обнаружения (противодействия) каналу проникновения.

Кроме того, есть некоторые внешние взаимосвязи - например, некоторые средства исключают друг друга, как доступ по правилу 2-х и 3-х карт (при формальном решении уравнения это можно описать указав очень большой - много больше единицы - коэффициент F^knm), однако на практике обычно данные соображения принимаются в расчет вручную.

Принимая во внимание нелинейный характер формул, их прямое решение затруднительно, но может быть сделано автоматически методом полного перебора, либо оптимизация может происходить также методом "экспертных советов", а собственно "матрица угроз" применяться лишь для подтверждения данных советов. Окончательный выбор (принятие решения о том, что важнее и что сколько стоит) можно предоставить заказчику - предложив ему несколько систем и указав для них стоимости и вероятный ущерб от различных нарушителей.

Так вот, формально, задача состоит в минимизации ожидаемой величины ущерба (включая - только не смейтесь - стоимость устанавливаемой системы).

Ущерб следует считать за весь расчетный срок службы системы (например 10 или 20 лет), но поскольку его надо пересчитывать к одноразовым сегодняшним расходам (с учетом процента на пользование средствами, ибо вероятность сэкономить 200 у.е. через 10 лет совсем не оправдывает необходимость потратить 100 у.е. сегодня), то правильно как и в случае с расходами на обслуживание считать за 5 лет.

Итого, суммарный вероятный ущерб X_t составляет

5*( Σ_(i)( P_i*U_i* Π_(j)( Σ_(k)( C_ijk* Π_(n)( (1-E^ijkn*Z_n)/(1+ Σ_(m)(Z_m*F^ijknm) ) ) ) ) ) )
+
Σ_(n)( Z_n*Sⁿ_t ) + C_t

С формальной точки зрения надо лишь минимизировать функционал ущерба на множестве векторов Z_n и для различных вариантов построения систем t
На практике надо экспертно выбрать несколько вариантов, причем некоторые из них желательно чтобы совпадали (были похожи) на предложения конкурентов, и для каждого из них посчитать эффективный ущерб.

Психологические моменты

С психологической точки зрения, говорить с заказчиком об "ущербе" - нежелательно, вызывает неприятные эмоции. Лучше бы, конечно, говорить об "экономии", сравнительно с "затратами на систему". На систему, несомненно, затраты - заказчик должен быть готов отдать реальные живые деньги прямо сейчас за виртуальную экономию в будущем.

Не забывайте, заказчик - тоже человек. Деньги, которые надо потратить на систему для него родные, кровные, заработанные нелегким трудом всего коллектива, нередко за небольшую зарплату в ужасных условиях. При этом вы, описывая заказчику достоинства предлагаемой системы охраны, в какой-то мере стоите в одном ряду с бессовестными ворами и грабителями, жаждущими отнять все его деньги, если заказчик добровольно не отдаст некоторую их толику вам.

Ожидаемая ежегодная экономия:

( Σ_(i)( U_i*P_i* (1- Π_(j)( Σ_(k)( C_ijk* Π_(n)( (1-E^ijkn*Z_n)/(1+ Σ_(m)(Z_m*F^ijknm) ) ) ) ) ) )

При суммарных эффективных затратах:

Σ_(n)( Z_n*Sⁿ_t ) + C_t

Тут очень уместно разделить расходы также на единовременные и ежегодные.