Автоматизированное формирование модели угроз безопасности информационной системы Текст научной статьи по специальности «Компьютерные и информационные науки»

А.Н. Приезжая

АВТОМАТИЗИРОВАННОЕ ФОРМИРОВАНИЕ МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Процесс разработки модели угроз требует трудоемкого анализа защищаемого. В данной статье предлагается технология, основанная на автоматизированном преобразовании моделей, которая позволяет одновременно разрабатывать несколько представлений объекта, включая текстовое описание, и в автоматизированном режиме строить на их основе модели угроз и нарушителя.

Ключевые слова: модель, персональные данные, преобразование моделей, модель объекта, модель угроз.

В настоящее время мы живем в информационном обществе. Что это означает? Это означает, что мы зависим от информации, в частности, для нормального функционирования современного общества необходим оперативный доступ к достоверной информации наряду с необходимостью обеспечения конфиденциальности чувствительной информации. При этом для хранения и обработки информации используются уязвимые технологии (в том числе распределенные информационные системы с подключением к сетям связи общего пользования). Иными словами, перед обществом и государством, бизнес-организациями стоит задача нахождения компромисса между потребностями в доступе к информации и необходимостью ее защиты. Существуют различные подходы к созданию защищенных информационных систем: на основе анализа угроз и рисков1, на основе анализа структуры системы2 и др. При этом при определении требований к защите информации без учета угроз ценные активы организации могут

© Приезжая А.Н., 2012

Автоматизированное формирование модели...

получить недостаточный уровень защиты, а расходы на защиту малоценных активов станут неоправданно высокими.

Для определения необходимых и достаточных мер защиты информационных систем формируется модель угроз безопасности информационной системы. Модель угроз предназначена для выявления актуальных для конкретной информационной системы угроз безопасности и формирования на ее основе требований к защите рассматриваемой информационной системы. Выявление актуальных угроз безопасности - процесс трудоемкий и сложный, требующий работы квалифицированного эксперта, что определяется следующими основными факторами: возрастающей сложностью современных информационных систем и постоянно изменяющимся множеством угроз.

Таким образом, для упрощения и удешевления процесса формирования модели угроз необходимо создать инструмент поддержки анализа. В данной статье рассматривается подход к созданию такого инструмента на примере разработки модели угроз и нарушителя для информационной системы персональных данных: в первой части статьи рассматривается общий принцип формирования модели угроз, в последующих частях - формирование отдельных составляющих данного документа, в заключительной части рассматриваются возможности применения данного инструмента.

Формирование модели угроз и модели нарушителя информационной системы персональных данных должно осуществляться в соответствии с требованиями нормативно-методических документов в области защиты информации. В соответствии с анали-зом3 нормативно-методических документов ФСТЭК и ФСБ России в рамках разработки модели угроз безопасности персональных данных должны быть разработаны следующие модели:

- модель нарушителя, позволяющая провести классификацию системы и выбрать необходимый уровень криптографической защиты в соответствии с руководящими документами ФСБ России;

- модель угроз, включающая перечень актуальных угроз (способов реализации), позволяющий определить требуемый уровень защиты автоматизированной системы от НСД и утечки по техническим каналам в соответствии с руководящими документами ФСТЭК России.

Как показал анализ нормативно-методических документов-регуляторов, для построения модели угроз необходимо определить объекты воздействия (защищаемые ресурсы), цели атак (или воз-

А.Н. Приезжая

можный несанкционированный доступ) и определить возможные способы доступа (каналы атак) и их актуальность. При этом для определения перечня возможных способов доступа необходимо провести анализ уязвимостей системы и возможностей нарушителя.

Анализ объекта может быть проведен с применением различных методик. Одной из возможных методик анализа является моделирование, которое позволяет получить обозримое и полное представление системы с требуемым уровнем детализации, кроме того, формализованная модель объекта может быть использована для автоматизированного получения модели угроз и в дальнейшем для построения модели защиты. Модель угроз может быть построена различными способами. В данной статье рассматривается построение модели угроз с использованием ряда базовых и прикладных моделей, характеризующих различные аспекты объекта защиты.

Базовые модели используются для генерации прикладных моделей и содержат:

- перечень возможных угроз безопасности с указанием необходимых для их реализации средств и знаний, последствий их реализации;

- базовые модели нарушителей с указанием категорий лиц потенциальных нарушителей и их возможностей;

- методику оценки ущерба при нарушении состояния защищенности элемента объекта.

Прикладные модели описывают конкретный объект защиты, в рамках формирования модели угроз создаются следующие прикладные модели:

- модель объекта защиты;

- модель потенциальных точек воздействия;

- модель нарушителя;

- модель угроз.

Формирование модели конкретного объекта защиты осуществляется путем задания свойств элементов модели объекта. Модель объекта должна быть построена максимально полной, с различными представлениями объекта и различными уровнями детализации, так как информация, которая покажется избыточной на одном этапе, может быть использована на следующих стадиях создания системы, например, данные об используемых протоколах не нужны для определения принципов построения системы защиты, но могут оказать влияние на выбор технических средств защиты.

Автоматизированное формирование модели.

Целью защиты информации является сохранение состояния защищенности информации, при этом доступ к информации, как правило, осуществляется через некоторого посредника. В частности, для информации в качестве таких посредников могут выступать:

- программное обеспечение, обеспечивающее ввод, обработку и хранение информации;

- ОТСС, задействованные для передачи, обработки и хранения информации;

- ВТСС, связанные с ОТСС (в том числе расположенные в одном помещении);

- персонал, работающий информацией и/или СВТ;

- помещение, в котором происходят ввод, обработка и хранение информации.

Иными словами, для обеспечения состояния защищенности информации необходимо выявить и обеспечить безопасность всех ресурсов, представляющих ценность для организации, а также тех ресурсов, через которые возможен доступ, т. е. должен быть определен перечень защищаемых ресурсов, при этом должны быть определены последствия нарушения состояния защищенности информации (ресурсов). Состояние защищенности информации может быть определено через следующие свойства:

- конфиденциальность (защищенность информации от несанкционированного раскрытия информации об объекте);

- целостность (защищенность информации от несанкционированной модификации, уничтожения);

- доступность (обеспечение своевременного санкционированного получения доступа к информации);

- подконтрольность - свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта; обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены индивидуально по отношению к субъекту;

- достоверность - свойство обеспечения идентичности субъекта или ресурса заявленной идентичности. Аутентичность применяется к таким субъектам, как пользователи, процессы, системы и информация; идентичность объекта к тому, что заявлено.

Соответственно для каждого ресурса в модели объекта определяются защищаемые свойства и последствия их нарушения (ущерб). При формировании модели объекта необходимо учитывать, что объект защиты содержит разнородные защищаемые ресурсы, в частности:

А.Н. Приезжая

• защищаемую информацию; причем в рамках объекта защиты (ОЗ) могут существовать различные типы информации, например:

- информация, представляющая собой ПДн (Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»);

- служебная информация и информация ограниченного распространения, составляющая служебную тайну;

- информация, используемая для идентификации и аутентификации пользователей ОЗ;

- ключевая информация средств криптографической защиты;

- информация журналов регистрации событий;

• сведения о средствах и системе защиты информации ОЗ;

• СВТ и их компоненты, в частности:

- средства хранения и обработки информации ОЗ;

- активное сетевое оборудование ОЗ;

- АРМ пользователей;

- средства защиты;

• общее и специальное программное обеспечение ОЗ:

- операционные системы СВТ ОЗ;

- общесистемное программное обеспечение ОЗ;

- специальное программное обеспечение ОЗ;

• сведения о технологическом устройстве ОЗ:

- логические схемы функционирования ОЗ;

- топология и сетевая архитектура ОЗ.

Кроме того, возможности по доступу нарушителя к защищаемым ресурсам зависят от структуры объекта, используемых технических средств, характера информационных взаимодействий между компонентами системы, а также принятых организационно-режимных и технических мер защиты и особенностей размещения объекта защиты. Все значимые для обеспечения безопасности характеристики объекта описываются в его модели.

Основными задачами формирования модели объекта защиты являются:

- описание структуры системы;

- идентификация защищаемых ресурсов ОЗ и оценка ущерба, который может быть нанесен при нарушении характеристик безопасности ЗР;

- выявление потенциальных точек воздействия - элементов системы, которые могут быть использованы для нарушения характеристик безопасности ЗР.

Автоматизированное формирование модели...

Рис. 1. Алгоритм формирования модели объекта

Алгоритм формирования модели объекта приведен на рис. 1. Структура ОЗ описывается прикладной моделью «Объект защиты». При этом система представляется как совокупность элементов и связей между ними. Структура и правила построения модели объекта защиты приведены на рис. 2. Модель ОЗ содержит:

- информацию в форме, пригодной для дальнейшей автоматизированной обработки;

А.Н. Приезжая

Рис. 2. Структура модели ОЗ

Автоматизированное формирование модели.

- детальную информацию в форме, пригодной для проведения экспертного анализа и использования в проектных документах.

Для последующей автоматической обработки каждый элемент модели типизируется. Определяются класс элемента (информация; программное обеспечение; технические элементы; помещения; персонал и пользователи ОЗ) и тип элемента с использованием соответствующего справочника.

Для связи определяются:

элементы системы, которые она связывает;

тип связи - значение, выбираемое из системного классификатора «Тип связи» (для выбора доступны только те значения, которые применимы для данных элементов системы с учетом их класса);

- описание связи (необязательный параметр. Содержит важную для экспертного анализа информацию. Использование в проектных документах не предполагается);

- дополнительное свойство связи (необязательный параметр).

Идентификация защищаемых ресурсов происходит автоматически (рис. 3). Элемент системы считается защищаемым ресурсом, если в соответствии с базовой моделью для элемента данного типа задана ненулевая шкала ущерба при нарушении хотя бы одного свойства. Эксперт должен произвести вербальную оценку всех элементов системы, идентифицированных как ЗР, с использованием шкалы, рекомендованной для данного типа элемента в базовой модели «Методика оценки ущерба при нарушении характеристик безопасности».

По результатам вербальной оценки формируется числовое значение, используемое для оценки интегрального ущерба: числовой эквивалент вербальной оценки умножается на весовой коэффициент, заданный в базовой модели.

А.Н. Приезжая

Элементы системы, получившие по результатам экспертной оценки нулевую оценку ущерба при нарушении всех характеристик безопасности, в дальнейшем не рассматриваются как защищаемый ресурс системы.

При определении возможных атак необходимо учитывать, что атака, реализующая ту или иную угрозу, может происходить в несколько этапов, т. е. помимо защищаемых ресурсов должны быть определены потенциальные точки воздействия - элементы ОЗ, посредством которых может быть проведена атака на защищаемую информацию. Элемент системы является потенциальной точкой воздействия (ПТВ), если существует хотя бы одна атака, гарантирующая нанесение ущерба всем связанным ресурсам.

Выявление потенциальных точек воздействия и расчет коэффициентов уязвимости происходят автоматически с использованием базовой модели «Потенциальные точки воздействия» (модель ПТВ) и могут быть скорректированы экспертом в ручном режиме. Модель ПТВ описывает относительную эффективность воздействия на ЗР путем атаки различных элементов системы, рассматриваемых как ПТВ.

Оценки проводятся с использованием вербальной шкалы (с числовым эквивалентом в процентах).

Модель ПТВ имеет два подтипа:

- точную модель, предназначенную для использования в детально проработанной модели ОЗ;

- модель унаследованного ущерба, предназначенную для использования с моделями ОЗ верхнего уровня.

В детальной модели прорабатываются все связи между элементами системы. В этой модели предполагается, что нарушение конфиденциальности информации возможно только при воздействии на СУБД.

В модели унаследованного ущерба предполагается, что элементы, связанные (прямо или опосредовано) с СУБД - сервер, серверная, администратор, тоже хранят информацию, а атака на эти элементы может нанести такой же ущерб, как и атака на СУБД.

Правила интерпретации модели.

1. Если для какого-либо сочетания значений из справочников ЗР и ПТВ не заданы коэффициенты уязвимости, то считается, что для данного сочетания должны использоваться (наследоваться) коэффициенты уязвимости ближайших (по иерархии) типов ЗР и ПТВ, для которых данные ЗР и ПТВ являются подтипами, а коэффициенты уязвимости заданы.

Автоматизированное формирование модели...

2. Если такого сочетания нет, считается что тип элемента из справочников ПТВ не может использоваться для нанесения ущерба ЗР данного типа.

Алгоритм идентификации ПТВ следующий:

- формируется список Э1 элементов системы, идентифицированных как ЗР;

- для каждого элемента списка Э1 формируется список 81 связей, исходящих от этого элемента системы;

- для каждой связи из списка 81 определяется ее тип и тип (второго) связанного элемента ОЗ. Данный элемент системы рассматривается как кандидат на роль ПТВ.

Если в базовой модели ПТВ определены ненулевые коэффициенты уязвимости (для точной модели и/или модели унаследованного ущерба), то кандидат идентифицируется как ПТВ и заносится в список Э2 (если он не содержится в списке 81), а коэффициенты записываются в модели ОЗ.

После завершения просмотра 81 формируется список связей для следующего элемента списка Э1 и процедура анализа связей повторяется. После просмотра всех элементов списка Э1 проверяется список Э2. Если в этом списке есть хотя бы один элемент, то процесс проверки повторяется с элементами списка Э2, в противном случае считается, что все ПТВ идентифицированы.

В процессе анализа списка автоматически идентифицированных ПТВ эксперт может сформировать свою (в том числе нулевую) оценку коэффициента уязвимости с использованием вербальной шкалы. Элементы системы, получившие по результатам автоматизированной или экспертной оценки нулевую оценку коэффициентов уязвимости при нарушении всех характеристик безопасности всех защищаемых ресурсов системы, в дальнейшем не рассматриваются как ПТВ.

Одним из этапов построения модели «Объект защиты» в процессе информационного обследования является инвентаризация ЗР и оценка ущерба, который может быть нанесен при нарушении характеристик безопасности ЗР. Эти оценки проводятся с использованием вербальной шкалы.

При построении моделей ОЗ и модели угроз производится расчет интегрального ущерба, наносимого всем защищаемым ресурсам. При этом происходит переход от вербальных оценок к их числовому эквиваленту, определенному в соответствующем классификаторе и суммирование полученных значений с использованием весовых коэффициентов, заданных в модели.

А.Н. Приезжая

Методика оценки может быть задана для следующих свойств: конфиденциальность; целостность; доступность; подконтрольность; достоверность.

Перечень свойств может быть расширен при необходимости путем добавления новых в классификатор и описания соответствующих им методик оценки.

Правила интерпретации модели.

Если для какого-либо значения, описывающего защищаемые ресурсы (типов информации, типов ПО, типов технических элементов), не задана методика оценки, то считается, что для данного ЗР должна использоваться (наследоваться) методика ближайшего (по иерархии) типа ресурса, для которого данный ресурс является подтипом, а методика оценки задана.

Если какой-либо тип верхнего уровня ресурсов верхнего уровня не является защищаемым ресурсом, для него должна быть указана методика нулевого ущерба.

Если для какого-либо типа ресурса верхнего уровня не задана никакая методика, то к нему (и его подтипам) должна применяться методика максимального ущерба.

Следующим шагом определения перечня актуальных угроз является построение модели нарушителя. Описание возможностей нарушителя безопасности данного объекта защиты строится на основании базовой модели «Возможности нарушителя». Данная модель описывает максимальные возможности для типов нарушителей. Алгоритм формирования модели нарушителя приведен на рис. 4.

Рис. 4. Алгоритм формирования модели нарушителя

Возможности нарушителя определяются двумя составляющими: - технической вооруженностью (доступными техническими средствами проведения атак);

Автоматизированное формирование модели.

- информационной вооруженностью (знания о способах и методах проведения атак, сведения об особенностях объекта защиты, включая сведения о системе защиты информации, уровень подготовки).

Так, техническая вооруженность включает в себя возможность доступа к штатным средствам АСЗИ, доступным в свободной продаже, или специально разработанным средствам проведения атак (например, анализа сетевого трафика, перехвата информации по каналам ПЭМИН), средствам активации аппаратных закладных устройств и т. п. При этом каждое средство проведения атаки связано с каналом атаки, для которого оно применимо.

Информационная и техническая вооруженность определяет перечень возможных каналов и способов проведения атак для данного типа нарушителя.

Тип нарушителя (и его базовые возможности) определяется исходя из категории лиц - потенциальных нарушителей, в качестве потенциальных нарушителей рассматриваются хакеры, хулиганствующие элементы, обиженные сотрудники, криминальные структуры и др. Данным категориям сопоставляются шесть типов нарушителей, характеризующихся определенными возможностями. Базовая модель «Возможности нарушителя» описывает максимальные возможности для типов нарушителей.

Правила интерпретации модели.

Подтип типа нарушителя наследует все возможности типов нарушителя, расположенных выше по иерархии.

Модель является обучаемой (адаптивной) при добавлении новой возможности в прикладной модели, такая же возможность добавляется соответствующему типу нарушителя в базовой модели с областью применения «Проект».

Возможности нарушителя ограничиваются применяемыми на объекте защиты организационными и техническими мерами, в частности, возможности внутреннего нарушителя ограничиваются принятыми правилами пропускного и объектового режимов. Данные о принятых ограничениях хранятся в прикладной модели объекта.

Применительно к каждому конкретному проекту перечень возможностей нарушителя можно дополнять или сокращать, при этом контролируется полнота описания возможности, так как, в соответствии с принятыми правилами формирования моделей, ограничения на возможности нарушителя должны быть мотивированы. Сведения о возможностях нарушителя информационной

А.Н. Приезжая

Рис. 5. Прикладная модель «Типы нарушителей и их возможности»

безопасности данного объекта защиты хранятся в прикладной модели «Типы нарушителя и их возможности».

Прикладная модель «Типы нарушителей и их возможности» (рис. 5) строится на основе базовой модели «Возможности нарушителя» и содержит:

- информацию в форме, пригодной для дальнейшей автоматизированной обработки;

- детальную информацию в форме, пригодной для проведения экспертного анализа и использования в проектных документах.

При последующей автоматической обработке для каждого нарушителя должен быть определен его тип с использованием справочника типов нарушителей (базовой модели нарушителя). Таким образом, возможности (знания и средства), каналы атаки и возможные способы доступа нарушителя определяются автоматически на основании базовой модели нарушителя и модели объекта защиты (структуры системы и перечня защищаемых ресурсов; ограничений на возможности нарушителя).

На основании модели нарушителя, содержащей возможные каналы атаки и способы доступа нарушителя, формируется модель угроз, содержащая перечень актуальных угроз безопасности информации.

Логическая схема алгоритма формирования модели угроз приведена на рис. 6.

Перечень возможных угроз определяется автоматически на основании прикладных моделей нарушителя, объекта защиты,

Автоматизированное формирование модели.

Рис. 6. Алгоритм формирования модели угроз

а также базовых моделей потенциальных точек воздействия, сценариев атак.

После определения перечня возможных угроз безопасности объекта защиты необходимо провести оценку актуальности угроз. Методика оценки актуальности угрозы зависит от вида информации (персональные данные, коммерческая тайна, иная информация конфиденциального характера, защищаемая информация).

Алгоритм оценки реализуемости угроз работает следующим образом.

1) Формируется список У1 всех угроз, определенных в справочнике «Типы угроз».

2) Для каждого элемента списка У1 в соответствии с базовой моделью «Сценарии атак» формируется список А1 атак, которые могут реализовать данную угрозу. Структура модели приведена на рис. 7.

Модель описывает: условия успешного проникновения (первого воздействия на элементы ОЗ); условия развития атаки (распространение от одного элемента ОЗ к другому); последствия успешного проведения атаки на элементы ОЗ.

Для каждой атаки из списка А1 проверяется возможность ее реализации. Условия успешного воздействия зависят от:

- типа ПТВ (как правило, условие описывается для элементов верхнего уровня, использование подтипов оправдано лишь тогда, когда последний обладает уязвимостями, отсутствующими у элемента верхнего уровня);

- свойств конкретного экземпляра ПТВ (элемента прикладной модели);

- возможностей нарушителя;

- канала доступа.

Условия успешного развития атаки зависят от:

- типа ПТВ, из которой происходит распространение атаки;

А.Н. Приезжая

Рис. 7. Структура модели «Сценарии атак»

- свойств конкретного экземпляра ПТВ (элемента прикладной модели), из которого происходит распространение атаки;

- типа ПТВ, на который происходит распространение атаки;

- свойств конкретного экземпляра ПТВ (элемента прикладной модели), на который происходит распространение атаки;

- типа связи между ПТВ и, возможно, других свойств этой связи;

- канала доступа;

- возможностей нарушителя.

Автоматизированное формирование модели.

Условия описываются в дизъюнктивной нормальной форме (дизъюнкция элементарных сценариев). Условие реализации элементарного сценария описывается как конъюнкция переменных сценария.

Переменная сценария является свойством одного из объектов:

- ПТВ, на которую направлено воздействие;

- ПТВ, из которой происходит распространение;

- связи между ПТВ в прикладной модели ОЗ;

- нарушителя;

- значение свойства должно принадлежать одному из классификаторов.

Переменная сценария есть результат проверки одного из условий:

- «Равно» - значение свойства равно заданному значению из классификаторов;

- «Не равно» - значение свойства не равно заданному значению из классификаторов;

- «Входит» - значение свойства принадлежит заданному подмножеству значений из классификаторов;

- «Не входит» - значение свойства не принадлежит заданному подмножеству значений из классификаторов.

Успешное проведение (распространение) атаки на элемент ОЗ может приводить к таким последствиям, как нарушение характеристик безопасности (характеризуется одним или несколькими деструктивными последствиями); увеличение возможностей нарушителя.

Также на данном шаге алгоритма для каждой реализованной атаки в рабочих массивах алгоритма фиксируется:

- интегральный ущерб, который наносит данная атака ОЗ;

- возможности нарушителя, использованные в атаке;

- новые возможности, которые получил нарушитель в результате реализации данной атаки;

- деструктивные последствия атаки (в вербальной форме);

- элементы системы, которые использовались в качестве точки входа;

- элементы системы, на которые распространилась атака;

- ЗР, характеристики которых были нарушены в результате атаки;

- детальная информация о развитии атаки в виде текста (протокола развития атаки).

А.Н. Приезжая

3) Если для угрозы есть хотя бы одна реализуемая атака, угроза заносится в прикладную модель угроз. При этом в модели угроз фиксируется следующая информация:

- максимальный ущерб, который наносит данная атака ОЗ (максимум по реализуемым атакам);

- возможности нарушителя, использованные в успешных атаках (объединение по реализуемым атакам);

- новые возможности, которые получил нарушитель в результате реализации данной угрозы (объединение по реализуемым атакам);

- деструктивные последствия угрозы (объединение по реализуемым атакам);

- элементы ОЗ, которые использовались в качестве точки входа угрозы (объединение по реализуемым атакам);

- элементы системы, на которые распространилась угроза (объединение по реализуемым атакам);

- ЗР, характеристики которых были нарушены в результате реализации угрозы (объединение по реализуемым атакам);

- детальная информация о способах реализации угрозы (объединение протоколов по реализуемым атакам).

4) После просмотра все угроз формируется список дополнительных возможностей нарушителей. Если список не пустой, то:

- нарушителям добавляются возможности, которые они приобрели в результате успешно проведенных атак;

- проводится повторная оценка реализуемости угроз с учетом изменившихся возможностей нарушителей.

5) После завершения второй итерации сравниваются списки дополнительных возможностей нарушителей, полученные на этой и предыдущей итерации. Если списки не совпадают, то выполняется еще одна итерация.

6) Процесс завершается, если списки дополнительных возможностей нарушителя, полученные в двух последовательных итерациях, совпадают.

Использование данного подхода предполагает, что любая модель может быть обоснованно скорректирована экспертом и все полученные прикладные модели могут быть представлены в текстовом виде с использованием генератора документов по шаблону. Предложенный в данной статье метод разработки модели угроз может быть использован вне зависимости от информации, обрабатываемой в информационной системе (персональные данные, коммерческая тайна, государственная тайна, иные сведения огра-

Автоматизированное формирование модели...

ниченного доступа, общедоступная информация), при этом для каждого вида информации необходимо создание (уточнение) методики оценки.

На основании полученных моделей может быть также произведена автоматизированная разработка системы защиты информации.

Примечания

1 См.: Приезжая А.Н. Автоматизированная разработка защищенной информа-

ционной системы // Вестник РГГУ. 2010. № 12/10. С. 221-238. Сер. «Информатика. Защита информации. Математика»; Там же.

2 См.: Peterson MJ, Bowles J.B., Eastman C.M. UMLpac: An Approach for Integrating

Security into UML Class Design, 6 с. [Электронный ресурс] URL: http://www.cse.sc.edu/~yoncek/REU/PetersonPaper.pdf (дата обращения: 06.02.2012).

3 См.: Приезжая А.Н. Технологии встраивания функций безопасности в бизнес-

процессы // Вестник РГГУ. 2009. № 10/09. С. 71-84. Сер. «Информатика. Защита информации. Математика».