Научная статья на тему 'Модель угроз информационной безопасности автоматизированной системы подготовки данных управления летательными аппаратами и модель защиты'

Модель угроз информационной безопасности автоматизированной системы подготовки данных управления летательными аппаратами и модель защиты Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
712
136
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / INFORMATION SECURITY / КЛАССИФИКАЦИОННАЯ СХЕМА / MARKING SCHEME / КОМПОЗИЦИЯ / COMPOSITION / КОНКАТЕНАЦИЯ / CONCATENATION / ПЛОСКИЙ ГРАФ / PLANE GRAPH / СРЕДСТВА ЗАЩИТЫ / SECURITY FEATURES

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Андреев А. Г., Казаков Г. В., Корянов В. В.

При рассмотрении информационной безопасности автоматизированной системы подготовки данных управления летательными аппаратами некоторые факторы риска необходимо перевести в сферу угроз (в частности, угрозу несанкционированного доступа к информации системы). В этом случае можно получить такое описание угроз, которое позволит определить наиболее эффективный способ реализации механизмов защиты в соответствии с требованиями информационной безопасности. С этой целью разработаны модели угроз и защиты, а также новый подход, связанный с комплексным описанием угрозы и средств защиты от ее воздействия. Принципы создания моделей преднамеренных угроз и защиты охватывают основные процедуры реализации угроз и присущи всем их видам. Вербальное описание модели угроз содержит потенциальные источники, способные их реализовать, идентификатор и объект воздействия угрозы, уязвимости, позволяющие осуществить негативные воздействия на защищаемые активы, способы реализации угроз для этих активов, нарушаемые характеристики безопасности защищаемых активов и возможные последствия воздействия угрозы. Приведено как формальное, так и содержательное представление моделей преднамеренных угроз и защиты. Формальное представление основано на использовании плоских графов, для которых определены операции конкатенации и композиции. Содержательное представление включает в себя классификаторы элементов моделей, цели воздействия угрозы в виде нарушения основных свойств информационной безопасности — целостности, конфиденциальности и доступности, а также все виды средств защиты и оценочные уровни доверия.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Андреев А. Г., Казаков Г. В., Корянов В. В.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

A Model of Threats to Information Security of an Automated Data Preparation System for Aircraft Control and a Model of Protection

When reviewing information security of an automated data preparation system for aircraft control, some risk factors need to be raised to the level of threats, namely, the threat of illegal access to system information. In this case, it is possible to obtain a description of threats that could determine the most effective method of implementation of protection mechanisms in accordance with the requirements of information security. For this purpose, models of threats and protection are developed, and a new approach is proposed that involves a comprehensive description of threats and means of protection. The principles of development of the models of premeditated threats and protection incorporate the main procedures of threat realization and are inherent in all the threats. A verbal description of the model of threats contains potential sources capable of realizing the threat, an identifier and an object of impact of the threat, vulnerabilities that can negatively influence securable assets, methods of threat implementation for the securable assets, violated characteristics of safety of the securable assets and possible consequences of the threat impact. Both the formal and the informative presentations of the models of premeditated threats and protection are described. The formal presentation is based on plane graphs, for which concatenations and compositions are defined. The informative presentation contains qualifiers of the model elements, purposes of the threat impact in the form of violation of the main properties of information security such as integrity, confidentiality and accessibility, as well as all types of security features and evaluation trust levels.

Текст научной работы на тему «Модель угроз информационной безопасности автоматизированной системы подготовки данных управления летательными аппаратами и модель защиты»

УДК 004.056.53 DOI: 10.18698/0536-1044-2018-6-86-95

Модель угроз информационной безопасности автоматизированной системы подготовки данных управления летательными аппаратами и модель защиты

А.Г. Андреев1, Г.В. Казаков1, В.В. Корянов2

1 ФГБУ «4 ЦНИИ» Минобороны России, 141091, Королев, Российская Федерация, мкр. Юбилейный, ул. М.К. Тихонравова, д. 29

2 МГТУ им. Н.Э. Баумана, 105005, Москва, Российская Федерация, 2-я Бауманская ул., д. 5, стр. 1

A Model of Threats to Information Security of an Automated Data Preparation System for Aircraft Control and a Model of Protection

A.G. Andreev1, G.V. Kazakov1, V.V. Koryanov2

1 Federal State Budgetary Educational Institution 4th Central Scientific Research Institute 4 TsNII, Ministry of Defence of the Russian Federation, 141091, Korolev, Russian Federation, M.K. Tikhonravov St., Bldg. 29

2 BMSTU, 105005, Moscow, Russian Federation, 2nd Baumanskaya St., Bldg. 5, Block 1

e-mail: [email protected], [email protected], [email protected]

При рассмотрении информационной безопасности автоматизированной системы подготовки данных управления летательными аппаратами некоторые факторы риска необходимо перевести в сферу угроз (в частности, угрозу несанкционированного доступа к информации системы). В этом случае можно получить такое описание угроз, которое позволит определить наиболее эффективный способ реализации механизмов защиты в соответствии с требованиями информационной безопасности. С этой целью разработаны модели угроз и защиты, а также новый подход, связанный с комплексным описанием угрозы и средств защиты от ее воздействия. Принципы создания моделей преднамеренных угроз и защиты охватывают основные процедуры реализации угроз и присущи всем их видам. Вербальное описание модели угроз содержит потенциальные источники, способные их реализовать, идентификатор и объект воздействия угрозы, уязвимости, позволяющие осуществить негативные воздействия на защищаемые активы, способы реализации угроз для этих активов, нарушаемые характеристики безопасности защищаемых активов и возможные последствия воздействия угрозы. Приведено как формальное, так и содержательное представление моделей преднамеренных угроз и защиты. Формальное представление основано на использовании плоских графов, для которых определены операции конкатенации и композиции. Содержательное представление включает в себя классификаторы элементов моделей, цели воздействия угрозы в виде нарушения основных свойств информационной безопасности — целостности, конфиденциальности и доступности, а также все виды средств защиты и оценочные уровни доверия.

Ключевые слова: информационная безопасность, классификационная схема, композиция, конкатенация, плоский граф, средства защиты

When reviewing information security of an automated data preparation system for aircraft control, some risk factors need to be raised to the level of threats, namely, the threat of illegal access to system information. In this case, it is possible to obtain a description of threats that could determine the most effective method of implementation of protection mechanisms in accordance with the requirements of information security. For this purpose, models of threats and protection are developed, and a new approach is proposed that involves a comprehensive description of threats and means of protection. The principles of development of the models of premeditated threats and protection incorporate the main procedures of threat realization and are inherent in all the threats. A verbal description of the model of threats contains potential sources capable of realizing the threat, an identifier and an object of impact of the threat, vulnerabilities that can negatively influence securable assets, methods of threat implementation for the securable assets, violated characteristics of safety of the securable assets and possible consequences of the threat impact. Both the formal and the informative presentations of the models of premeditated threats and protection are described. The formal presentation is based on plane graphs, for which concatenations and compositions are defined. The informative presentation contains qualifiers of the model elements, purposes of the threat impact in the form of violation of the main properties of information security such as integrity, confidentiality and accessibility, as well as all types of security features and evaluation trust levels.

Keywords: information security, marking scheme, composition, concatenation, plane graph, security features

При рассмотрении информационной безопасности (ИБ) автоматизированной системы подготовки данных (АСПД) управления летательными аппаратами (ЛА) некоторые факторы риска (в частности, угрозы несанкционированного доступа к информации АСПД) необходимо перевести в сферу угроз ИБ АСПД. В этом случае можно получить такое описание угроз, которое позволит определить самый эффективный способ реализации механизмов защиты в виде средств защиты (СЗ) в соответствии с требованиями ИБ АСПД.

Цель работы — разработка модели угроз (МУ) и связанной с ней модели защиты (МЗ).

В литературе, посвященной ИБ, часто МУ описывают в виде классификации угроз по разным признакам. Например, в работе [1] отмечено, что базовая МУ включает в себя характеристику и классификацию типовых объектов информатизации, классификацию угроз, описание типовых источников угроз, состава и характеристик технических каналов утечки информации.

Аналогичное понимание МУ и МЗ имеет место и во многих других информационных источниках по теории безопасности. Иногда под МУ понимают атаки [2], которые определяются четырьмя элементами (средства реализации атаки-уязвимость-событие безопасно-сти-результат). При этом модель события безопасности включает в себя два элемента (действие-адресат).

Такое представление МУ является более корректным, поскольку в модели задан некоторый порядок действий, приводящий к реализации угрозы. Однако использовать такую МУ для описания любой преднамеренной угрозы нельзя, так как она не построена на основе лексикологической схемы, определяющей логические действия злоумышленника при реализации им любого вида угрозы, и в ней не содержатся признаки классификации элементов этой модели.

В работе [3] основой моделирования процессов нарушения ИБ являлась схема «угроза-источник-метод реализации-уязвимость-ущерб», которую также невозможно использовать в качестве МУ.

Принципы разработки моделей преднамеренных угроз и защиты. При разработке МУ и МЗ следует руководствоваться принципами, которые позволят охватить все основные процедуры реализации угрозы и будут присущи всем их видам. С формальной точки зрения, согласно теореме Понтрягина-Куратовского [4], совокупность МУ и МЗ опишем в виде объединения плоских графов.

Введем понятия конкатенации и композиции плоских графов.

Определение 1. Плоские орграфы и и У образуют конкатенацию, если существует лишь одна дуга, соединяющая любую одну вершину

графа и только с одной вершиной графа У. Процедуру конкатенации обозначим как и ^ V.

Определение 2. Орграфы и и V) () = 1, 2, ..., ]) образуют композицию, если существует более одной дуги, соединяющей вершины графа и с вершинами графа . Процедуру композиции обозначим следующим образом: и © V.

Принципы построения формальной МУ и МЗ сводятся к следующим положениям.

1. МУ должна представлять собой плоский линейный граф и, каждая вершина которого связана с его смежной вершиной ровно одной дугой. Плоский линейный граф последовательно соединяет одной дугой все вершины.

2. Вершины плоского линейного графа и должны определяться лексикологической схемой от источника угрозы (начальная вершина и0) до последствий, к которым может привести реализованная угроза (конечная вершина иР). Этот принцип обусловлен тем, что лексикологическая схема в виде вершин графа и позволяет воссоздать логический процесс, которым обязательно воспользуется злоумышленник, если создает ту или иную угрозу.

3. Каждая вершина ир (р = 1, 2, ..., Р) линейного графа и должна представлять собой элемент лексикологической схемы, логически связанный с процессом реализации злоумышленником любой угрозы в информационных ресурсах АСПД.

4. Плоский линейный граф и должен образовывать композицию с некоторыми графами Vj, выполненными в виде классификационных схем лексикологических элементов линейного графа и. Этот принцип обусловлен тем, что каждый элемент лексикологической схемы (вершины графа и) может иметь разное содержание, которое отражается в соответствующей классификационной схеме. Классификационные схемы вершин графа и позволяют учитывать полное множество угроз и выбрать только те из них, которые характерны для АСПД в данный период времени.

Для реализации СЗ АСПД от угрозы любого вида необходимо поставить в соответствие МУ конкретную МЗ, определяемую графом З.

5. Линейный граф и должен составлять конкатенацию с линейным графом З. Единственная дуга, соединяющая вершины графов и и З, относится к идентификатору угрозы, поскольку СЗ, построенные на основе МЗ, должны соответствовать конкретной угрозе с учетом ее особенностей.

6. МЗ, как и МУ, должна представлять собой плоский линейный граф. Этот принцип обусловлен тем, что МЗ строится на основе лексикологической схемы, отражающей все необходимые действия по защите информации от воздействия угроз.

7. Плоский линейный граф З должен образовывать композицию с некоторыми графами Мк (к = 1, 2, ..., К), выполненными в виде классификационных схем для каждой вершины графа З.

8. МЗ должна учитывать такую особенность, как противодействие угрозе. Этот принцип очевиден, так как он вытекает из назначения МЗ.

9. Исходя из восьмого принципа, МЗ должна содержать двудольный граф Д, вершинами которого служат, с одной стороны, требования ИБ, предъявляемые к СЗ (вершины Б* графа Д), с другой — виды СЗ, используемые для противодействия угрозам (вершины Б** графа Д).

10. МЗ в качестве классификатора должна содержать п-арный линейный граф X (граф М2), представляющий собой классификационную схему распределения целей злоумышленника по защищаемым активам (ЗА) АСПД (вершина графа З (цели-активы)), где п — число свойств ИБ, обеспечиваемых средствами защиты. Граф X должен составлять конкатенацию с вершиной З1 графа З для учета моделью защиты глобальной цели злоумышленника, которая декомпозируется на подцели, связанные с нарушением установленных свойств безопасности для возможных объектов воздействия угроз.

11. В МЗ следует учитывать требования к СЗ противодействия прогнозируемым способам нарушения установленных п-свойств защищаемых активов АСПД (вершины Б* графа Д).

12. Очевидно, что в МЗ необходимо учитывать средства противодействия угрозе (вершины Б*** графа Д), связанные с вершинами Б*. Поэтому граф Д, учитывающий состав требований к СЗ и соответствующие варианты реализации видов СЗ, должен быть двудольным, включающим в себя вершины Б** и Б*** (Б* П Б** = 0). Следовательно, в формальном представлении должна иметь место композиция графов З и Д.

Таким образом, в указанных обозначениях модель преднамеренных угроз-защиты можно записать в формальном виде следующим образом:

У © и) ^ (Мк © З) ^ X © Д © З.

Модель непреднамеренных угроз

Граф и

Графы V/

Модель защиты

Рис. 1. Формальное представление моделей преднамеренных угроз и защиты

В соответствии с изложенными принципами построения МУ и МЗ формальное описание этих моделей удобно представить в виде соединения графов U, З, Z, Д, Vj и Mk, как показано на рис. 1.

Модель случайных угроз не содержит мотивированных целей злоумышленника, изощренных способов реализации угрозы, поэтому она значительно проще модели преднамеренных угроз. Средства защиты от случайных угроз достаточно хорошо исследованы и эффективно применяются на практике. По этой причине не имеет смысла разрабатывать ни модель случайных угроз, ни модель защиты от них.

Элементы структуры модели преднамеренных угроз. Чтобы дать конструктивные предложения для реализации механизмов нейтрализации факторов риска АСПД, необходимо перевести факторы риска в сферу угроз ИБ АСПД. Содержательное (вербальное) описание модели

преднамеренных угроз в соответствии с ее формальным представлением включает в себя следующие элементы:

• идентификатор угрозы Уу (у = 1, 2, ...,/);

• потенциальные источники ИУу, способные реализовать угрозу У у (г = 1, 2, ..., I);

• объект воздействия угрозы (защищаемые активы АСПД) ЗА^ (й = 1, 2, ..., с);

• уязвимости УЗ¿т, позволяющие осуществить негативные воздействия на ЗА^ (т = 1, 2, ..., М);

• способы 8ук реализации угрозы У у для активов ЗАй (к = 1, 2, ...,К);

• нарушаемые характеристики безопасности ХБ¿и (и = 1, 2, ..., Н) защищаемых активов ЗАй;

• возможные последствия воздействия Пуг угрозы У у (г = 1, 2, Я).

Элементы содержательного описания моделей преднамеренных угроз и защиты, приведенные на рис. 2, имеют следующее содержание.

Угроза Уу (идентификатор)

Классификатор источников угроз — Источники угрозы ИУ,у

Классификатор защищаемых активов Защищаемые активы АСПД

Классификатор способов реализации угрозы — Способ реализации угрозы СР^

Классификатор характеристик ИБ — Нарушаемые характеристики ИБ,

Классификатор уровней ущерба — Наносимый ущерб УЩу

-К -I/

Физические

Технические

Программные

Организационные

Социальные

ОУД1

ОУД2

ОУДз

ОУД4

ОУД5

ОУДб

Идентификатор угрозы У]

Цели-активы

ЦА^

К}Л

Требования к СЗ ТРф-

О

Каналы проникновения

Проектирование

(выбор) СЗ, удовлетворяющих требованиям ТРф СЗ^-

Оценочные уровни доверия ОУДи

Подцель ПЦ,! -нарушение конфиденциальности Подцель ПЦд нарушение целостности Подцель ПЦз нарушение доступности

1 1 1

Конструкторская документация с принципами построения АСПД ЗА!

Управляющая информация ЗА4

Конструкторская документация с принципами построения КСЗ АСПД ЗА2

СПО АСПД ЗА5

Данные полета ЛА ЗА3

Граф Д

Требования к СЗ противодействия прогнозируемым способам нарушения конфиденциальности ЗА АСПД

Физические СЗ

Социальные СЗ

Программные СЗ

Технические СЗ

Организационные СЗ

3

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

ы ю

И

о н

ю Е

о

3

X

•с л и и

К &4

X

ы >

ю

И

ы и к

3

3

к о

О И

к

и

Рис. 2. Содержательное представление моделей преднамеренных угроз и защиты

Идентификатор угрозы предназначен для однозначного представления описываемой угрозы и обеспечения формализованного представления конкретных угроз в их базе данных.

Потенциальные источники угрозы. Преднамеренная угроза У у может быть реализована несколькими видами источников угроз ИУгу , опасность которых определяется моделью нарушителя [5], включающей в себя такие факторы, как мотивация злоумышленника по созданию угрозы, его квалификация, его вооруженность знаниями об объекте воздействия и средствами реализации угрозы. Состав источников преднамеренных угроз определяется графом элементы (вершины) которого приведены в таблице.

Выбирается источник угрозы ИУ| с наивысшими мотивацией и квалификацией, т. е. с наивысшим потенциалом реализации угрозы ПРУу, так как он наиболее опасен, и будет иметь место максимальный риск реализации данной угрозы У у в защищаемом активе ЗАу АСПД [6, 7]:

ПРУ*, = тах {ПРУ „у }.

г

Под термином «нарушитель» понимается лицо, создающее угрозу непреднамеренно (т. е. угроза носит случайный характер), а под термином «злоумышленник» — лицо или группа лиц, создающие преднамеренную угрозу. Классы угроз удобно определять в зависимости от вида источника угрозы. По этому признаку можно выделить классы угроз КУ„ (см. таблицу).

Объект воздействия угрозы. Для достижения своих целей злоумышленник должен установить такой объект ЗАу, воздействие на который позволит ему достичь поставленной цели. Любое воздействие злоумышленника прямым или косвенным образом направлено на определенные виды информационных ресурсов АСПД (защищаемых активов).

Для выработки адекватных мер и СЗ активов АСПД при построении МУ необходимо, во-первых, идентифицировать защищаемые активы ЗАу, во-вторых, проводить их сопоставление с целями потенциального источника угрозы (злоумышленника) и способом реализации им угрозы У у [8-10] Подверженные воздействию угрозы У у защищаемые активы определяются спецификой АСПД, использующей изделия информационных технологий (ИТ), и включают в себя конструкторскую документа-

Классы угроз и их источники (элементы графа У1)

Класс угроз Источники угроз

КУ1 Случайные угрозы, порожденные внешним или внутренним объективным источником угрозы

КУ2 Случайные угрозы, порожденные внешним или внутренним нарушителем

КУз Преднамеренные угрозы, порожденные внешним или внутренним злоумышленником с низким потенциалом нападения

КУ4 Преднамеренные угрозы, порожденные внешним или внутренним злоумышленником со средним потенциалом нападения

КУ5 Преднамеренные угрозы, порожденные внешним или внутренним злоумышленником с высоким потенциалом нападения

КУ6 Преднамеренные угрозы, порожденные группой внутренних или внешних злоумышленников с высоким потенциалом нападения

цию с принципами построения системы и ее комплекса средств защиты (КСЗ), управляющую информацию, специальное программное обеспечение (СПО) подготовки данных управления ЛА и данные управления ЛА.

Используемые уязвимости. В соответствии со сценарием реализации угрозы злоумышленник должен обнаружить (или ввести новые) уязвимости в АСПД и ее СЗ, что позволит ему осуществить несанкционированный доступ к защищаемым активам АСПД. Реализация угроз возможна только в случае наличия определенной уязвимости мер безопасности. При этом под уязвимостью понимаются случайным или преднамеренным образом введенные человеком дефекты в элементы АСПД (документацию, персонал, технические средства, программное обеспечение), которые либо сами являются источниками случайных угроз, либо могут использоваться злоумышленником для реализации преднамеренных угроз раскрытия, нарушения целостности или доступности защищаемых активов АСПД.

Способы реализации угрозы. После того как злоумышленник обнаружит (или введет новые) уязвимости, он в зависимости от степени квалификации и вооруженности средствами реализации угрозы может выбрать одну из них и

начать информационную атаку на объект воздействия. Отсюда следует, что важнейшим элементом МУ является определение перечня существующих уязвимостей каждого вида ЗА^ и их средств защиты, в значительной мере предопределяющих способ реализации злоумышленником преднамеренной угрозы. Важно иметь в виду, что реализованная угроза способна сама породить некоторые уязвимости, обнаружение которых основано на детальном анализе возможных каналов доступа к защищаемой информации.

Для АСПД, обрабатывающей информацию конфиденциального характера, необходимо учитывать общий сценарий реализации угрозы, определяющий факторы риска на двух стадиях: предварительного сбора информации и выполнения действий по внедрению в систему с доступом к защищаемым активам. Противодействие этим факторам риска средствами защиты информации АСПД позволит нарушить процесс реализации угрозы и снизить уровень риска ее воздействия до допустимого.

Нарушаемые свойства безопасности активов АСПД. Реализация угрозы направлена на нарушение свойств безопасности защищаемых активов АСПД. В качестве основных свойств ИБ рассматриваются конфиденциальность, целостность, доступность.

Возможные последствия воздействия угрозы. Успешная реализация угрозы влечет за собой последствия, связанные с нарушением безопасного функционирования АСПД. Идентификация таких последствий в рамках МУ позволит проводить ранжирование угроз по степени их опасности, разработки и применения обоснованных и согласованных (взвешенных) организационных, социальных и программно-технических мер и СЗ.

Разработанная структура модели преднамеренных угроз безопасности информации АСПД согласована с документом ФСТЭК России «Безопасность информационных технологий» по всем аспектам, которые необходимо учитывать при анализе угроз безопасности, а также удобна для каталогизации угроз безопасности и разработки структуры МЗ АСПД.

Элементы структуры МЗ. Модель защиты также обеспечивает получение необходимых исходных данных для оценки остаточного риска АСПД как комплексного показателя, определяющего эффективность применяемых мер и

средств обеспечения безопасности информации АСПД.

Каждая отдельная угроза — это потенциальная опасность нарушения характеристик безопасности защищаемой информации АСПД, реализация которой возможна в процессе осуществления источником угрозы действий, позволяющих воздействовать на защищаемые информационные ресурсы АСПД. Отсюда следует, что МЗ должна содержать следующие элементы:

• идентификатор угрозы У j, на противодействие которой направлены СЗ;

• цели-активы реализации угрозы Цщ;

• требования, предъявляемые к СЗ информации Тdj;

• каналы Кjd проникновения угрозы Уj к защищаемой информации ЗАd;

• проектируемое (или выбираемое) изделие ИТ в виде средств защиты СЗ^ активов ЗАd АСПД от воздействия угрозы У j;

• оценочный уровень доверия ОУДШ средств защиты активов ЗАd.

Перечисленные структурные элементы МЗ имеют следующее содержание. Идентификатор угрозы У^, выбираемый из ее описания в структуре модели преднамеренных угроз, служит отправным пунктом для нахождения СЗ от данного вида угрозы. Цели-активы реализации угрозы Уj определяются только путем прогнозирования. При этом необходимо учитывать вид источника угрозы (обладающего наивысшим потенциалом ее реализации), целью которого является нарушение хотя бы одного из трех основных свойств ИБ: целостности, конфиденциальности, доступности.

В зависимости от подцели злоумышленника он может использовать в качестве объекта нападения следующие защищаемые активы АСПД: конструкторскую документацию с принципами построения АСПД и ее КСЗ, управляющую информацию, СПО АСПД и данные управления ЛА.

Задача проектирования КСЗ АСПД заключается в построении такой системы, которая обеспечивала бы требуемое качество процесса подготовки данных управления ЛА в условиях воздействия угроз безопасности подготовленных данных [11, 12]. При этом КСЗ следует проектировать в соответствии с моделью защиты для установленного актуального состава преднамеренных угроз.

Каналы Кjd проникновения угрозы У^ к защищаемым активам ЗАd должны содержать

все возможные виды каналов: физические, технические, программные, организационные и социальные. При этом необходимо учитывать каналы не только непосредственного проникновения угрозы к защищаемым активам, но и позволяющие создать источник внедрения преднамеренной угрозы (например, внедрить агента в состав персонала АСПД или завербовать кого-либо из действующих лиц из состава персонала АСПД).

Требования к СЗ информации ТР ¿у должны соответствовать таковым, предъявляемым к безопасности автоматизированной системы, изложенным в утвержденных документах ФСТЭК, с учетом ее специфики и актуального состава угроз.

Проектируемое (или выбираемое) изделие ИТ в виде средства защиты СЗ^у активов ЗАй АСПД от воздействия угрозы У у должно относиться к одному из типов (физические, технические, программные, организационные, социальные) или их комбинации в зависимости от возможных каналов проникновения угрозы и выявленных уязвимостей.

Оценочные уровни доверия ОУДт к СЗ информационных ресурсов АСПД должны соответствовать классу защищенности АСПД. Доверие — основа уверенности в том, что изделие ИТ отвечает целям безопасности [5]. Для получения доверия необходимо провести активное исследование — оценку (сертификационных испытаний) изделия ИТ, используемого в составе СЗ

Литература

информации. Уровень доверия определяется пакетом его требований. В работе [5] определены пакеты требований доверия — оценочные уровни доверия ОУДт (т = 1, 2, ..., 7). Для АСПД следует применять ОУД6, так как уровень доверия ОУД7 практического использования к настоящему времени не нашел.

Выводы

1. В состав свойств, определяющих качество АСПД, входит такое комплексное свойство, как ИБ, определяющее степень защиты информационных ресурсов АСПД от воздействия угроз несанкционированного доступа к защищаемым активам АСПД.

2. Из теории безопасности известно, что качественную защиту информационных ресурсов АСПД от воздействия угроз можно осуществить только с помощью МУ и МЗ. В предлагаемом формальном представлении модели преднамеренных угроз и соответствующей МЗ заложены принципы построения, охватывающие все основные действия злоумышленника при реализации им любой преднамеренной угрозы.

3. Для разработки МУ и МЗ использован математический аппарат теории плоских графов. Определены понятия конкатенации и композиции плоских графов, которые позволили объединить МУ и МЗ формальным путем.

[1] Минаков В. Базовая модель угроз безопасности совместным информационным ресурсам

(проект) ЗАЩИТА-БР. Воронеж, ГНИИИ ПТЗИ, 2003. 111 с.

[2] Лукацкий А. Обнаружение атак. Санкт-Петербург, BHV-СПб, 2003. 608 с.

[3] Вихорев С.В. Методические рекомендации по проведению анализа и оценки возможно-

стей реализации угроз информационной безопасности на объекте. Москва, Элвис, 2001. 32 с.

[4] Харари Ф. Теория графов. Москва, Мир, 2003. 297 с.

[5] ГОСТ Р ИСО/МЭК 15408-3-2013. Информационная технология. Методы и средства

обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 3. Компоненты доверия к безопасности. Москва, Стандартинформ, 2014. 267 с.

[6] Глухов А.П., Котяшев Н.Н., Купцов А.В. Оценка чувствительности ресурсов и рисков

применения систем критических приложений к влияющим факторам. Стратегическая стабильность, 2007, № 1, с. 39-44.

[7] Василенко В.В., Корнеев В.В., Котяшев Н.Н. Аналитические представления процессов

риска в комплексах и системах критических приложений. Двойные технологии, 2002, № 1, с. 20-24.

[8] Быков А.Ю., Алтухов Н.О., Сосенко А.С. Задача выбора средств защиты информации в

автоматизированных системах на основе модели антагонистической игры. Инженер-

ный вестник МГТУ им. Н.Э. Баумана, 2014, № 4. URL: http://engbul.bmstu.ru/ doc/708106.html (дата обращения 15 января 2018).

[9] Быков А.Ю., Гуров А.В. Задача выбора средств защиты информации от атак в автома-

тизированных системах при нечетких параметрах функции цели. Инженерный журнал: наука и инновации. МГТУ им. Н.Э. Баумана, 2012, № 1. URL: http://engjournal.ru/ catalog/it/hidden/86.html (дата обращения 15 января 2018).

[10] Быков А.Ю., Панфилов Ф.А., Шмырев Д.В. Задача выбора средств защиты в автоматизированных системах с учетом классов защищенности от несанкционированного доступа к информации. Инженерный журнал: наука и инновации. МГТУ им. Н.Э. Баумана, 2012, № 1. URL: http://engjournal.ru/catalog/it/hidden/85.html (дата обращения 15 января 2018).

[11] Быков А.Ю., Артамонова А.Ю. Модификация метода вектора спада для оптимизационно-имитационного подхода к задачам проектирования систем защиты информации. Наука и образование. МГТУ им. Н.Э. Баумана, 2015, № 1. URL: http://technomag.bmstu.ru/doc/754845.html (дата обращения 15 января 2018).

[12] Сидак А. А. Композиционный подход к формированию требований к изделиям, реализующим функции безопасности в информационных системах семейства профилей защиты. Стратегическая стабильность, 2010, № 4, с. 42-48.

References

[1] Minakov V. Bazovaia model' ugroz bezopasnosti sovmestnym informatsionnym resursam

(proekt) ZAShchlTA-BR [The basic model of threats to the safety joint information resources (draft) PROTECTION-BR]. Voronezh, GNIII PTZI publ., 2003.111 p.

[2] Lukatskii A. Obnaruzhenie atak [Intrusion detection]. Saint-Petersburg, BHV-SPb publ.,

2003.608 p.

[3] Vikhorev S.V. Metodicheskie rekomendatsii po provedeniiu analiza i otsenki vozmozhnostei

realizatsii ugroz informatsionnoi bezopasnosti na ob"ekte [Methodical recommendations on carrying out the analysis and an assessment of possibilities of implementation of threats of information security on object]. Moscow, Elvis publ., 2001.32 p.

[4] Kharari F. Teoriiagrafov [Graph theory]. Moscow, Mir publ., 2003. 297 p.

[5] GOST R ISO/MEK 15408-3-2013. Informatsionnaia tekhnologiia.Metody i sredstva obespech-

eniia bezopasnosti. Kriterii otsenki bezopasnosti informatsionnykh tekhnologii. Ch. 3. Kom-ponenty doveriia k bezopasnosti [State Standard 15408-3-2013. Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements]. Moscow, Standartinform publ., 2014. 267 p.

[6] Glukhov A.P., Kotiashev N.N., Kuptsov A.V. Otsenka chuvstvitel'nosti resursov i riskov

primeneniia system kriticheskikh prilozhenii k vliiaiushchim faktoram [Estimation of sensitivity of resources and risks of application of systems of critical applications to influencing factors]. Strategicheskaia stabil'nost' [Strategic Stability]. 2007, no. 1, pp. 39-44.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

[7] Vasilenko V.V., Korneev V.V., Kotiashev N.N. Analiticheskie predstavleniia protsessov riska

v kompleksakh i sistemakh kriticheskikh prilozhenii [Analytical representations of risk processes in complexes and systems of critical applications]. Dvoinye tekhnologii [Dual technologies]. 2002, no. 1, pp. 20-24.

[8] Bykov A.Iu., Altukhov N.O., Sosenko A.S. Zadacha vybora sredstv zashchity informatsii v

avtomatizirovannykh sistemakh na osnove modeli antagonisticheskoi igry [The task of selecting the means of information protection in automated systems based on the antagonistic game model]. Inzhenernyi vestnik MGTU im. N.E. Baumana [Engineering Bulletin of the BMSTU.]. 2014, no. 4. Available at: http://engbul.bmstu.ru/doc/708106.html (accessed 15 January 2018).

[9] Bykov A.Iu., Gurov A.V. Zadacha vybora sredstv zashchity informatsii ot atak v avtoma-

tizirovannykh sistemakh pri nechetkikh parametrakh funktsii tseli [A Problem on Choosing Protection against Attacks in Automated Systems with Fuzzy Parameters of Goal Function]. Inzhenernyi zhurnal: nauka i innovatsii. MGTU im. N.E. Baumana [Engineering Journal: Science and Innovation]. 2012, no. 1. Available at: http://engjournal.ru/ catalog/it/hidden/86.html (accessed 15 January 2018).

[10] Bykov A.Iu., Panfilov F.A., Shmyrev D.V. Zadacha vybora sredstv zashchity v avtomatiziro-vannykh sistemakh s uchetom klassov zashchishchennosti ot nesanktsionirovannogo dostupa k informatsii [A Problem on Choosing Protection in Automated Systems Taking into Account the Classes of Immunity against Unauthorized Data Access]. Inzhenernyi zhurnal: nauka i innovatsii. MGTU im. N.E. Baumana [Engineering Journal: Science and Innovation]. 2012, no. 1. Available at: http://engjournal.ru/catalog/it/hidden/85.html (accessed 15 January 2018).

[11] Bykov A.Iu., Artamonova A.Iu. Modifikatsiia metoda vektora spade dlia optimizatsionno-imitatsionnogo podkhoda k zadacham proektirovaniia system zashchity informatsii [A Modified Recession Vector Method Based on the Optimization-Simulation Approach to Design Problems of Information Security Systems]. Nauka i obrazovanie. MGTU im. N.E. Baumana [Science & Education. Bauman MSTU]. 2015, no. 1. Available at: http://technomag.bmstu.ru/doc/754845.html (accessed 15 January 2018).

[12] Sidak A.A. Kompozitsionnyi podkhod k formirovaniiu trebovanii k izdeliiam, reali-zuiushchim funktsii bezopasnosti v informatsionnykh sistemakh semeistva profilei zash-chity [Composed approach for formation of the requirements for products that realize security functions in information systems. families of protection profiles]. Strategicheskaia stabil'nost' [Strategic Stability]. 2010, no. 4, pp. 42-48.

Информация об авторах

АНДРЕЕВ Анатолий Георгиевич (Королев) — кандидат технических наук, старший научный сотрудник. ФГБУ «4 ЦНИИ» Минобороны России (141091, Королев, Российская Федерация, мкр. Юбилейный, ул. М.К. Тихонра-вова, д. 29, e-mail: [email protected]).

КАЗАКОВ Геннадий Викторович (Королев) — кандидат технических наук, доцент, начальник управления ФГБУ «4 ЦНИИ» Минобороны России, почетный работник науки и техники Российской Федерации (141091, Королев, Российская Федерация, мкр. Юбилейный, ул. М.К. Тихо-нравова, д. 29, e-mail: [email protected]).

КОРЯНОВ Всеволод Владимирович (Москва) — кандидат технических наук, доцент, первый заместитель заведующего кафедрой «Динамика и управление полетом ракет и космических аппаратов». МГТУ им. Н.Э. Баумана (105005, Москва, Российская Федерация, 2-я Бауманская ул., д. 5, стр. 1, e-mail: [email protected]).

Статья поступила в редакцию 11.04.2018 Information about the authors

ANDREEV Anatoliy Georgievich (Korolev) — Candidate of Science (Eng.), Senior Researcher. Federal State Budgetary Educational Institution 4th Central Scientific Research Institute 4 TsNII, Ministry of Defence of the Russian Federation (141091, Korolev, Russian Federation, M.K. Tikhonravov St., Bldg. 29, e-mail: [email protected]).

KAZAKOV Gennadiy Viktorovich (Korolev) — Candidate of Science (Eng.), Associate Professor, Head of Department. Federal State Budgetary Educational Institution 4th Central Scientific Research Institute 4 TsNII, Ministry of Defence of the Russian Federation (141091, Korolev, Russian Federation, M.K. Tikhonravov St., Bldg. 29, e-mail: [email protected]).

KORYANOV Vsevolod Vladimirovich (Moscow) — Candidate of Science (Eng.), Associate Professor, First Deputy Department Head, Dynamics and Flight Control of Rockets and Space Vehicles. Bauman Moscow State Technical University (105005, Moscow, Russian Federation, 2nd Baumanskaya St., Bldg. 5, Block 1, e-mail: [email protected]).

Просьба ссылаться на эту статью следующим образом:

Андреев А.Г., Казаков Г.В., Корянов В.В. Модель угроз информационной безопасности автоматизированной системы подготовки данных управления летательными аппаратами и модель защиты. Известия высших учебных заведений. Машиностроение, 2018, № 6, с. 86-95, doi: 10.18698/0536-1044-2018-6-86-95.

Please cite this article in English as: Andreev A.G., Kazakov G.V., Koryanov V.V. A Model of Threats to Information Security of an Auto-mated Data Preparation System for Aircraft Control and a Model of Protection. Proceedings of Higher Educational Institutions. Machine Building, 2018, no. 6, pp. 86-95, doi: 10.18698/0536-1044-2018-6-86-95.

i Надоели баннеры? Вы всегда можете отключить рекламу.