CC BY
165
The article presents the results of experimental studies of the impact of impactors simulating small-sized solid particles of space debris on the electrical characteristics of solar cells for space purposes. The laboratory base used and the measurement procedure are described. Typical solar cell damage resulting from the kinetic effects of small solid particles is shown. The degradation coefficients of the electrical characteristics of solar cells are given.
Key words: space debris, solar cell, solar battery, spacecraft.
Goncharov Pavel Sergeevich, candidate of technical science, head of department, vkaamil. ru, Russia, Saint-Petersburg, Military Space Academy,
Zhitnyy Mihail Vladimirovich, candidate of technical science, docent, senior researcher, [email protected], Russia, Saint-Petersburg, Military Space Academy,
Kopeyka Alexander Leonidovich, researcher, [email protected], Russia, St. Petersburg, Russia, Saint-Petersburg, Military Space Academy,
Sinelnikov Eduard Gennadievich, senior researcher, vka@,mil.ru, Russia, St. Petersburg, Russia, Saint-Petersburg, Military Space Academy,
Denisov Andrei Mikhailovich, candidate of technical science, docent, doctoral candidate, vka@,mil.ru, Russia, St. Petersburg, Russia, Saint-Petersburg, Military Space Academy
УДК 004.056
АНАЛИЗ МЕТОДОВ ОЦЕНКИ УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ В ПРОЦЕССЕ ИХ ЭКСПЛУАТАЦИИ
С.Ю. Борзенкова, Е.Е. Казарина
В статье рассматривается проблема оценки защищенности информационных систем. Проведен анализ математических методов, дающие на выходе количественные показатели с целью выявления применимости методов для оценки реального уровня защищенности с точки зрения удобства их использования, взаимосвязи с используемыми механизмами защиты и гибкостью к постоянно изменяющимся угрозам безопасности.
Ключевые слова: оценка уровня защищенности, информационная безопасность, угрозы, уязвимости, критерии, методы.
Исследование проблем оценки реального уровня защищенности критически важных информационных систем (далее - ИС) в процессе их эксплуатации является одним из приоритетных направлений в развитии информационной безопасности. Оценка реального уровня защищенности ИС является основой построения всей системы защиты информации для каждой конкретной организации, а также определяет вектор развития уже существующей системы защиты, акцентируя её уязвимые стороны.
Под защищенностью понимается состояние информации, при котором становится невозможным или затруднено воздействия случайного или преднамеренного характера, влияющие на конфиденциальность, целостность и доступность информационных активов и инфраструктуры организации. В целях достижения такого состояния применяются различные меры и средства по защите информации в ИС. Для того, чтобы определить насколько эффективными являются предпринятые меры и средства необходимо постоянно проводить оценку защищенности ИС. Кроме оценки эффективности принимаемых мер оценка уровня защищенности необходима:
для решения задачи создания механизма заблаговременного обнаружения и раннего предупреждения угроз безопасности;
для оценки соответствия требованиям по защите информации. Под оценкой соответствия требованиям понимается прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к ИС;
для оценки риска нарушения информационной безопасности.
Проблема оценки защищенности ИС прежде всего связана со сложностью определения качественных и количественных показателей применяемых мер.
Понятие защищенности связаны с возможностью или невозможностью реализации угроз информационной безопасности организации: В нормативных документах угроза - совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации.
Формой реализации (проявления) угрозы ИБ является наступление одного или нескольких взаимосвязанных событий ИБ и инцидентов ИБ, приводящих к нарушению свойств информационной безопасности (конфиденциальность, целостность, доступность) объектов защиты организации.
Условием реализации угрозы безопасности, обрабатываемой в системе информации, может быть недостаток или слабое место в информационной системе Угроза характеризуется наличием уязвимостей. Уязвимость информационной системы - свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. Необходимо своевременно предпринимать действия по обнаружению и устранению уязвимостей ИС на всех уровнях защиты информации. Если уязвимость соответствует угрозе, то существует риск нарушения информационной безопасности.
Методы, которые могут применяться для оценки уровня защищенности, реализуют как качественные, так и количественные подходы к оценке защищенности ИС. Применение количественных и/или качественных методов зависит от конкретной ситуации, доступности достоверных данных и потребностей организации, связанных с принятием решений по защите информации.
Особенно актуальна задача оценки уровня защищенности ИС на этапе эксплуатации ИС. На этапе эксплуатации количественные методы реализуются на основе получения соответствующих данных о текущей конфигурации и реализуемой политике безопасности. Качественные требуют привлечения экспертных решений. В случае применения качественных методов требуется разработки определенного набора показателей и критериев, позволяющих с достаточной степенью достоверности оценить реальный уровень текущего состояния безопасности ИС.
В настоящей статье рассмотрены наиболее популярные математические методы оценки уровня защищенности ИС, дающие на выходе количественные показатели защищенности. Целью сравнения стало выявление сильных и слабых сторон существующих методов, с точки зрения удобства их использования, взаимосвязи с используемыми механизмами защиты и гибкостью к постоянно изменяющимся угрозам безопасности.
Результаты анализа методов оценки уровня защищенности, которые могут быть использованы, приведены в таблице.
Методы и критерии сравнения методов
Методы
Критерии сравнения семантические распределение механизмов защиты Нечеткие Имитационное
показатели множества моделирование
Простота реализации Простой. Реализуется комиссией; не требует специфических знаний Простой. Реализуется комиссией; не требует специфических знаний Сложный метод. Для расчета требуется специализированное программное обеспечение. Сложный метод. Построение модели сложный, трудоемкий и дорогой процесс.
Состояние объекта защиты Статическое Статическое Статическое Динамическое
Рассматриваются имеющиеся в СЗИ МЗ Да Да Нет Да
Учитывается
реальная загруженность МЗ по Нет Частично Нет Да
нейтрализации
угроз
Учитывается
динамика Нет Нет Нет Да
изменения угроз
Учитывается
возможность адаптации СЗИ к Нет Да Да Да
изменению угроз
Дает рекоменда-
ции по измене-
нию состава МЗ Нет Да Да Да
и структуры СЗИ
Учитывается
ущерб от реали- Да Нет Да Да
зации угроз
Учитывается
частота реализа- Да Нет Да Да
ции атак
Окончание
Методы
Критерии сравнения семантические показатели распределение механизмов защиты Нечеткие множества Имитационное моделирование
Отражает взаи-
мосвязь показа-
телей защищен-
ности с местопо- Нет Да Нет Да
ложением МЗ в
структуре системы СЗИ
Очень сложный
Удобство оценки Результаты получа- Результаты полу- Результаты полу- процесс. Получение
точности резуль- ются с заданной чаются с задан- чаются с заданной адекватной модели
тата точностью ной точностью точностью достигается довольно редко
Проанализировав все рассмотренные методы оценки защищенности наглядно видно, что основной проблемы существующих методов, является статичность входных данных и отсутствие гибкости в рамках отражения вновь появляющихся угроз. Таким образом, владельцам ИС необходимо регулярно проводить контроль и переоценку текущего уровня защищенности. Особо нужно отметить, что для получения максимально достоверной картины, отражающей реальное положение вещей, разумно использовать сразу несколько методов оценки.
По результатам анализа можно сделать вывод, что наибольшую перспективу развития имеет метод имитационного моделирования. Благодаря своему большому математическому аппарату он позволяют моделировать различные состояния системы защиты и рассчитать предельные нагрузки на механизмы защиты во время различного рода атак. Однако этот метод является самым трудоемким и как следствие самым дорогим в реализации, а точность полученных результатов не всегда поддается оценке.
Выбор метода оценки защищенности будет зависеть от возможностей организации и целей защиты информации. Для выбора в этом случае можно использовать методы экспертных оценок.
Результатом проведения оценки реального уровня защищенности будет информация, которая является основой для принятия решения по обеспечению заданного уровня безопасности информации.
Список литературы
1. Полянский Д. А. Оценка защищенности: учебное пособие // Комплексная защита объектов информатизации. Владимир: Изд-во Владимирского государственного университета, 2005. Кн. 10. 80 с
2. Асаи К., Ватада Д., Иваи С. и др. Прикладные нечеткие системы. М.: Мир, 1993. 368 с.
3. Имитационное моделирование: учебник и практикум для академического бакалавриата. М.: Издательство Юрайт, 2014. 389 с.
4. ТЕХЭКСПЕРТ // Электронный фонд правовой и нормативно-технической документации. [Электронный ресурс] URL: http://docs. cntd.ru/ (дата обращения: 03.05.2020).
5. Суханов, А.В. Оценки защищенности информационных систем // Журнал научных публикаций аспирантов и докторантов: сетевой журнал. [Электронный ресурс] URL: http://jurnal.org/articles/2008/inf33 .html# _Toc 45687705. (дата обращения: 04.05.2020).
6. Толстых О.В., Обухова Л. А., Применение методов нечеткой математики для оценки параметров защищенности объекта информатизации // Научная электронная: сетевая библиотека. [Электронный ресурс] URL: https://elibrary.ru/item.asp?id=27357927 (дата обращения: 04.05.2020).
7. Толстых О.В., Обухова Л. А. Применение методов нечеткой математики для оценки параметров защищенности объекта информатизации // Научная электронная: сетевая библиотека. [Электронный ресурс] URL: https://elibrary.ru/item.asp?id=27357927 (дата обращения: 05.05.2020).
Борзенкова Светлана Юрьевна, канд. техн. наук, доцент, tehnol@rambler. ru, Россия, Тула, Тульский государственный университет,
Казарина Екатерина Евгеньевна, студентка, ee. kazarina@yandex. ru, Россия, Тула, Тульский государственный университет
ANALYSIS OF METHODS OF ASSESSING THE LEVEL OF SECURITY OF INFORMATION SYSTEMS DURING THEIR OPERATION
S.Yu. Borzenkova, E.E. Kazarina
The article discusses the problem of assessing the security of information systems. An analysis of mathematical methods was carried out, with quantitative outputs, to determine the applicability of methods to assess the real level of security in terms of ease of use, the relationship with the security mechanisms used and the flexibility to constantly changing security threats.
Key words: security assessment, information security, threats, vulnerabilities, criteria, methods.
Borzenkova Svetlana Yurievna, candidate of technical sciences, docent, tehnol@rambler. ru, Russia, Tula, Tula State University,
Kazarina Ekaterina Evgenievna, student, ee. kazarina@yandex. ru, Russia, Tula, Tula State University
