МОДЕЛИРОВАНИЕ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И ОПРЕДЕЛЕНИЕ ИХ АКТУАЛЬНОСТИ ДЛЯ ИНФОРМАЦИОННЫХ СИСТЕМ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ФЕДЕРАЛЬНЫХ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ Текст научной статьи по специальности «Компьютерные и информационные науки»

МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ INFORMATION SECURITY

1.2.4 КИБЕРБЕЗОПАСНОСТЬ

CYBERSECURITY

2.3.6 МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ,

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

INFORMATION SECURITY METHODS AND SYSTEMS,

INFORMATION SECURITY

DOI: 10.33693/2313-223X-2022-9-1-106-114

Моделирование угроз безопасности информации и определение их актуальности для информационных систем объектов информатизации федеральных органов исполнительной власти

И.В. Заводцев ©, М.А. Борисов ©, Н.Н. Бондаренко ©, В.А. Мелешко ©,

Московский государственный университет имени М.В. Ломоносова, г. Москва, Российская Федерация

a E-mail: nilrs@rambler.ru b E-mail: bma_mv@rambler.ru c E-mail: bondarenkonn.corp@gmail.com

Аннотация. Задача. Целью написания настоящей статьи является совершенствование безопасности информации в информационных системах. Модель. В статье исследованы методы моделирования угроз безопасности информации и определения их актуальности для информационных систем объектов информатизации федеральных органов исполнительной власти. Выводы. В основу исследования положен способ оценки, применяющий кластера исходов, также введено понятие «коэффициента значимости», как произведения соответствующих значений векторов приоритетов кластеров исходов. Ценность. Материалы, изложенные в статье, помогут совершенствованию методов анализа и оценки активов объекта информатизации, уязвимостей, угроз информационной безопасности, возможных атак и целей безопасности.

Ключевые слова: безопасность информации, информационная безопасность, качественная и количественная оценка риска, несанкционированный доступ, политика безопасности, риск информационной безопасности

(Г

ССЫЛКА НА СТАТЬЮ: Заводцев И.В., Борисов М.А., Бондаренко Н.Н., Мелешко В.А. Моделирование угроз безопасности информации и определение их актуальности для информационных систем объектов информатизации федеральных органов исполнительной власти // Computational nanotechnology. 2022. Т. 9. № 1. С. 106-114. DOI: 10.33693/2313-223X-2022-9-1-106-114

DOI: 10.33693/2313-223X-2022-9-1-106-114

Modeling Information Security Threats and Determination of Their Relevance for Information Systems of Informatization Objects of Federal Executive Authorities

I.V. Zavodtsev ©, M.A. Borisov ©, N.N. Bondarenko ©, V.A. Meleshko

Lomonosov Moscow State University, Moscow, Russian Federation

a E-mail: nilrs@rambler.ru b E-mail: bma_mv@rambler.ru c E-mail: bondarenkonn.corp@gmail.com

Abstract. Task. The purpose of writing this article is to improve the security of information in information systems. Model. The article explores methods for modeling information security threats and determining their relevance for information systems of informatization objects of federal executive authorities. Conclusions. The study is based on an assessment method that uses a cluster of outcomes, and the concept of "significance coefficient" is also introduced, as the product of the corresponding values of the priority vectors of outcome clusters. Value. The materials presented in the article will help improve methods for analyzing and evaluating the assets of an informatization object, vulnerabilities, information security threats, possible attacks and security goals.

Key words: Information Security, qualitative and quantitative risk assessment, unauthorized access, Security policy, information security risk

FOR CITATION: Zavodtsev I.V., Borisov M.A., Bondarenko N.N., Meleshko V.A. Modeling Information Security Threats and Determination of Their Relevance for Information Systems of Informatization Objects of Federal Executive Authorities. Computational Nanotechnology. 2022. Vol. 9. No. 1. Pp. 106-114. (In Rus.) DOI: 10.33693/2313-223X-2022-9-1-106-114

ВВЕДЕНИЕ

В современных условиях обострилось мировое противостояние основных технологически развитых государств, с целью получения политического, экономического и информационного превосходства. Превосходство достигается путем успешного ведения гибридной войны, в ходе которой поражается экономический и информационный потенциал противоборствующей стороны.

Данное обстоятельство определяет необходимость развертывания на объектах информатизации (ОИ) федеральных органов исполнительной власти (ФОИВ) комплексной системы защиты информации (СЗИ) от несанкционированного доступа (НСД). При этом уровень защищенности информационной системы (ИС) и эффективность ее применения являются взаимоувязанными: более строгие настройки СЗИ от НСД, направленные на предотвращение широкого спектра компьютерных атак, приводят к снижению уровня эффективности работы персонала и повышают общую нагрузку на вычислительные мощности системы. Таким образом, целесообразно строить систему защиты только от актуальных для данного ОИ угроз [11; 12].

Следовательно, исследование способов полной и всесторонней оценки реальных для защищаемого ОИ угроз безопасности информации является актуальной и своевременной задачей.

1. ОЦЕНКА УГРОЗ БЕЗОПАСНОСТИ

ИНФОРМАЦИИ ПРИ ФОРМИРОВАНИИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

Оценка угроз безопасности информации (УБИ) проводится в целях определения таких угроз, реализация которых возможна в системах с заданной архитектурой и в данных условиях их функционирования, т.е. актуальных угроз безопасности информации [7].

При этом необходимость оценки УБИ, способных влиять на общую защищенность ИС, закреплена как в законодательстве Российской Федерации [1], так и в методических документах Федеральной службы по техническому и экспортному контролю (ФСТЭК) [3].

В соответствии с [6; 7] в ходе оценки УБИ, необходимо определить: актуальность угроз безопасности информации,

INFORMATION SECURITY

способы их реализации (возникновения), оценку возможностей нарушителей и сценариев по их реализации в системах и сетях. Исходными данными для этого, в частности, являются результаты оценки рисков, проведенной обладателем информации.

Одновременно реализация комплексной системы защиты для любого класса ИС требует обязательной оценки полученных результатов, делая, в свою очередь, необходимым выбор и обоснование подхода к получению адекватной оценки текущего уровня защищенности ИС.

2. СУЩЕСТВУЮЩИЕ ПОДХОДЫ

К ОЦЕНКЕ УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

Сложность выбора адекватного подхода оценки текущего уровня защищенности ИС, а, следовательно, и беспристрастности подтверждения эффективности построенной СЗИ, связаны с использованием существующих требований нормативно-правового обеспечения безопасности информации, а также со сложившимися в информационной сфере подходах, которые отличаются от применяемых в традиционной инженерии [3; 4; 6; 14]. В общем случае эффективность защиты (как таковой) оценивается по трем направлениям: достаточность; адекватность полученному эффекту; качество реализации.

Критерий «достаточности защиты» соотносится с такими мерами, которые способны полностью устранять определенные в модели УБИ угрозы (уязвимости) или создавать условия, позволяющие считать потенциальный ущерб приемлемым на данном этапе.

Однако, в рамках парадигмы ИБ, данный критерий является наиболее сложно оцениваемым. Это связано с тем, что ошибка, возможно закладываемая в саму модель угроз, или выбор меры безопасности, направленной лишь на частичное устранение угрозы, неполный учет взаимосвязей информационных объектов и субъектов внутри ИС, - все это способно существенно оказать влияние на результат оценки.

Критерий «качество механизма защиты» тоже имеет ряд ограничений в своем использовании, так как требует не только реализации непосредственно механизма, но и постоянно контроля его функционирования. В этом заключается существенное отличие практической безопасности от докумен-тационной. Немаловажна регулярность проверок содержимого результатов (следов) функционирования механизма защиты, которые и позволяют оценивать корректность его применения.

Критерий «адекватности защиты» характеризуется соотношением затрат на непосредственную реализацию механизма защиты и полученного эффекта, и обычно определятся методами анализа рисков. Использование технологии оценки рисков [9; 10] позволяет определить: причины событий безопасности (идентификация событий); вероятность их возникновения; факторы, способные уменьшать вероятность возникновения опасных ситуаций и т.д.

В настоящий момент разработано значительное количество методик анализа рисков, применяемых области ИБ, в частности: AS/NZS 4360-2004 (Австралия), HB 167:200X, EBIOS (Франция), ISO 27005, MAGERIT, MARION, MEHARI, CRISAM, OCTAVE, ISO 31000, NIST SP 800-3, SOMAP, Lanifex Risk Compass, Austrian IT Security Handbook, A&K Analysis, ISF IRAM

(включая SARA, SPRINT), OSSTMM RAV, BSI 100-3, MG-2, MG-3, SOMAP, IRAM, PC Банка России ИББС-2.2.

Данные методики анализа рисков разделяются на:

• методики, использующие оценку риска на качественном уровне (например, по шкале «высокий-низкий»);

• методики, использующие смешанные оценки (методика MSAT);

• количественные методики (риск оценивается через числовое значение).

Несмотря на то, что количественная оценка имеет ряд ограничений из-за: неполноты информации о защищаемой системе; недостатка информации о деятельности, подвергающейся оценке; отсутствии или не достаточно полных данных об инцидентах безопасности и влияния человеческого фактора, она являются более точным (менее субъективным) методом.

Поэтому для решения задачи количественного анализа рисков следует использовать статистические и вероятностные исследования математических моделей вычисления информационных рисков для объекта исследования. Рассмотрим этот подход подробнее.

3. ВЫБОР МЕТОДИКИ ОЦЕНКИ УРОВНЯ ЗАЩИЩЕННОСТИ

В основу методики оценки уровня защищенности ИС предлагается положить понятие профиля защиты (ПЗ), согласно [8]. Такая методология оценки основана на применении методов анализа и оценки активов организации, уяз-вимостей, угроз ИБ, возможных атак и целей безопасности. Она обуславливает, что компьютерное воздействие (атака) будет считаться действенным, если существующая угроза T, используя уязвимость V. ОИ, приводит к риску R потери активов (информационных ресурсов) пользователя.

Следовательно, снижение риска потери активов возможно при правильном выборе функциональных требований, политик безопасности (ПБ) объекта информатизации SP.; и разумных предположений RA. относительно свойств объекта информатизации, его состава и структуры, а также особенностей функционирования [14].

В связи с тем, что формальное описание вероятностей отдельных угроз, атак, эффективности отдельных ПБ составить в полном объеме достаточно затруднительно, предлагается для получения количественной оценки риска использовать способ оценки, основанный на использовании кластера исходов. В этом случае составляется дерево иерархий с вершинами Zj, ... , Z , ... , Zn, где каждая из вершин кластера исходов соответствует элементу множества значений анализируемого показателя {T .}, {V.}, {SP.}, {RA.} (рис. 1).

Так как ранжирование элементов кластера исходов осуществляется через сравнение вершин [Z] и векторов приоритетов X., то каждый путь в дереве иерархий, по сути, соответствует элементу множества значений отдельных показателей {T.}, {SP.}, {RA.} и тогда для этого пути целесообразно ввести коэффициент значимости (К.), как произведение соответствующих значений векторов приоритетов кластеров исходов:

при условии

K1 - X1i X2J"Xdl,

Z Ki = 1.

(1)

Кластер исходов [Outcome cluster]

Векторы приоритетов [Priority vectors]

Коэффициенты значимости [Significance coefficients]

Рис. 1. Способ оценки уровня защищенности, основанный на использовании кластера исходов Fig. 1. A method for assessing the level of security based on the use of a cluster of outcomes

Атаки [Attacks]

Уязвимости [Vulnerabilities]

у1розь' ] Политики безопасности [lnreats] [Security policies]

ПЛЖ

Kççai Kçça2

Kspi\ KSP2

-1-'-1-

Коэффициенты значимости [Significance coefficients]

I I

^gpp Kgspi Kgsp3 Kgspj

Цели безопасности (меры защиты)

□ [Security objectives i i i (protectivemeasures)] | | |

spi Kgsp2 £

Рис. 2. Последовательность формирования целей безопасности (иерархии кластеров) для объекта информатизации с учетом формируемой модели угроз Fig. 2. The sequence of formation of security goals (hierarchy of clusters) for the object of informatization, taking into account the generated threat model

K

K

X

21

K

K

K

K

Далее в ходе формирования модели угроз для объекта информатизации разработчик системы защиты осуществляет предварительный выбор условной точки с координатами {6Т, 6 , 6ЯА}, которая позволяет за счет описания актуальных уязвимостей и соответствующих им угроз определить предположения в отношении адекватной ПБ. При этом выбор конкретных элементов множеств {Т}, }, {ЯА|} фактически обуславливает исключение отдельных элементов из соответствующих деревьев иерархии, уменьшая тем самым суммарное значение коэффициентов значимости К до некой величины 6 < 1, соответствующей выбранной точке {6Т, 6вр, 6ЯА}.

Но данный выбор всегда связан с риском того, что выбранные множества {Т}, }, {ЯА|} не обеспечат достижения нужной совокупности целей безопасности, оставляя не нулевую вероятность проведения злоумышленником таргетированных атак. Тогда риск для моделируемых угроз можно представить в виде вектора с координатами {0, 0, 0} и {6Т, 6вр, 6ЯА}, а мера риска - длина этого вектора, определяемая по формула (2). Здесь Я определяет верхнюю границу риска:

величин G, и G на величины, определяемые соот-

R

--JgSP + GRa

(2)

Примерная последовательность формирования целей безопасности для защищаемого ОИ в соответствии с настоящим подходом представлена на рис. 2.

В соответствии с введенной в (2) границы риска, значение вероятного ущерба информационным ресурсам ОИ (для сформированного с учетом модели угроз ПЗ) определяется следующим образом:

1) рассчитываются суммарный коэффициент значимости предположительных (актуальных - с точки зрения модели угроз) атак 6А и суммарный коэффициент значимости политик безопасности 6вр:

gra - 2 KA; GSP - 2 KSi

(3)

j -1

2) осуществляется выбор соответствующих мер безопасности, способных нейтрализовать возможные вторжения. Это, в конечном счете, способствует снижению

RA

ношениями

AG„

j=i

=Х nOVV

AGSP = 2 nl^Sp^GSp j = 11 i = 1

(4)

3) тогда итоговая оценка риска безопасности информации на ОИ для выбранного множества угроз {Т } составит

R =

(5)

Причем в итоговой формуле (5) значение GT не учитывается, так как значимость выбранного в ходе моделирования набора угроз является величиной постоянной, а на конечное значение риска влияют только переменные величины: выбранные ПБ SP. и предположения RA..

Рассмотрим данный подход на примере проводимых атак с использованием функционала программ-вымогателей. Наиболее известное вирусное программное обеспечение (ПО) (REvil (Sodinokibi), XingLocker, BazarLoader и др.) функционирует по модели Ransomware-as-a-Service (RaaS) и предоставляет широкий круг возможностей: от генерации вирусного кода, доведения требований о выкупе и проведения его выплаты до организации коммуникаций с жертвой [16].

Работа программы-вымогателя представляет собой упорядоченную цепочку действий в соответствии с задаваемой злоумышленником целью: разведка, доставка, запуск, экс-плойт, инсталляция, управление, скрытие. На каждом из этапов используется широкий спектр способов проникновения, сокрытия и заражения: от незащищенных и уязвимых сервисов (RDP, VPN, SharePoint) до вполне легитимных протоколов и технологий (PowerShell), что создает большое количество возможных вариантов атак (коэффициент GRA).

В тоже время разрабатываемая система защиты в обязательном порядке должна реализовывать соответствующие ПБ во всех возможных точках проявления атакующего ПО (защита: web-трафика, электронной почты, файловых ресурсов), обеспечивая мониторинг поведения сетевого трафика, поведения базового и специального ПО и процессов, использования уязвимостей, а также анализ известных семплов вирусного ПО. Все это требует комплексного использования

INFORMATION SECURITY

значительного количества средств защиты (NGFW, NGIPS, САВЗ, СЗИ от НСД и др.), образуя очень большое множество вариантов формирования ПБ (коэффициент GSP).

К сожалению, данный подход оценки риска имеет существенное ограничение: если коэффициенты значимости GSP для ПБ возможно получить в количественном виде, например, опубликованы в работах [11-13; 15], то коэффициенты значимости GRA актуальных (предположительных) атак даже в документах Федеральной службы по техническому и экспортному контролю (ФСТЭК) рекомендуется получать экспертным методом [7]. Но для указанного выше метода матрицы парных сравнений (вершин Z и векторов приоритетов X,, определяющего ранжирование элементов кластера исходов) дадут лишь субъективные качественные значения.

Более того, применение большинства типовых моделей оценки УБИ, как средства определения коэффициентов значимости Gra затруднено:

• необходимостью экспертного задания ключевой характеристики безопасности - вероятности возникновения угрозы атаки;

• некорректностью рассмотрения различных угроз в качестве независимых событий, так как многие атаки используют одни и те же уязвимости;

• некорректностью использования при моделировании не простейшего элемента безопасности - уязвимости, а составного - угрозы атаки, что существенно усложняет требования к входным параметрам формируемой модели.

К сожалению, вышеперечисленным недостаткам подвержены и широко распространенные средства оценки защищенности: Microsoft Baseline Security Analyzer (MBSA), CRAMM, CounterMeasures, BCM-Analyser, а также отечественные «Гриф» и «Риск Менеджер».

Разработанный авторами способ аналитического моделирования процессов распространения различных типов вирусного ПО в ИС позволил определять коэффициенты значимости актуальных атак через вычисление конкретных значения вероятностей заражения отдельных хостов ИС вирусным ПО. Это дало возможность более эффективно моделировать угрозы безопасности информации и определять их актуальность для ИС ФОИВ.

(компоненты САВЗ) типов Б и А, а на рабочих станциях пользователей - средства антивирусной защиты (компоненты средств антивирусной защиты) типа В [5].

АРМ l [WS 1]

АРМ 2 [WS 2]

АРМ З [WS З]

Сервер БД (б) [Database server (6)]

NAS (7)

Рис. 3. Моделируемая информационная система Fig. 3. Simulated information system (WS-workstation)

Коэффициенты значимости выбора политик безопасности ОИ и разумных предположений относительно свойств ОИ, используемые в ходе аналитического моделирования, представлены в табл. 1.

Числовые значения итогового риска (табл. 2), полученные в ходе аналитического моделирования процессов распространения различных типов вирусного ПО, позволили определить суммарные коэффициенты значимости актуальных атак Ga через вычисление значения вероятностей заражения отдельных хостов ИС вирусным ПО.

Проведенный расчет оценки уровня защищенности в соответствии с выбранной методикой оценки уровня защищенности для определенной выше ИС на основе проведенного аналитического моделирования показал следующие результаты (рис. 4).

4. ОЦЕНКА УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ В СООТВЕТСТВИИ С ПРЕДЛОЖЕННОЙ МЕТОДИКОЙ

Для проведения оценки уровня защищенности ИС в соответствии с предложенной методикой выполнялось моделирование информационной системы с пятью рабочими станциями и двумя серверами (сервер базы данных и сетевое хранилище файлов - NAS) (рис. 3). Согласно модели ИС, все пользовательские хосты имеют одинаковый состав базового и прикладного ПО: операционная система (ОС) Windows, пакет офисных программ и т.д. Серверные платформы работают под управлением ОС Astra Linux со специализированным ПО в соответствии с выполняемыми задачами (например, Apache HTTP Server 2.2, Nginx server, база данных PostgreSQL и т.д.).

Защита ресурсов ИС от НСД осуществляется развертыванием средства Secret Net Studio. Также автоматизированные рабочие места пользователей дополнительно защищаются средствами антивирусной защиты (САВЗ) от различных производителей: лаборатории Касперского и компании «Доктор Веб». При этом для защиты серверов использовались САВЗ

12 3

Рис. 4. График изменения итогового риска для разрабатываемой СЗИ на ОИ с использованием различных подходов к формированию моделей угроз: 1 - при отсутствии разработанной модели угроз (риск 1,414213562); 2 - при использовании типовой модели угроз (риск 1,272792206); 3 - при формировании модели угроз с учетом результатов моделирования (риск 1,199340735)

Fig. 4. Graph of the change in the final (total) risk for the developed information security system at the OI using various approaches to the formation of threat models:

1 - without developed threat model (risk 1,414213562); 2 - using the generic threat model (risk 1,272792206); 3 - forming a threat model, taking into account the results of modeling (risk 1,199340735)

Таблица 1

Коэффициенты значимости выбора ПБ ОИ и разумных предположений относительно свойств ОИ, используемые при оценке уровня защищенности ИС в ходе аналитического моделирования [Significance coefficients for the choice of informatization object (IO) security policies (SP) and reasonable assumptions regarding the properties of the informatization object (IO) used in assessing the level of information system (IS) security in the course of analytical modeling]

Структурные элементы аналитической модели информационной системы [Structural elements of the analytical model of the information system] Задаваемые коэффициенты значимости SP. и RA. [Specified significance coefficients SP. and Ra;]

Исходные значения коэффициентов значимости [Initial values of significance coefficients] Модель угроз не используется [Threat model not used] Используется типовая модель угроз [A typical threat model is used] Модель угроз сформирована по результатам моделирования [The threat model is formed based on the simulation results]

K a K sp K ga K gsp K 1 gal k 1 gspi K , ga2 K 2 gsp2

Хост 1 (САВЗ KES 11) [Host 1 (AVP - anti-visrus protection KES 11)] 0,094 0,12 0 0 0,1 0,1 0,094 0,1

Хост 2 (САВЗ KES 11) [Host 2 (AVP KES 11)] 0,094 0,12 0 0 0,1 0,1 0,11 0,1

Хост 3 (САВЗ KES 11) [Host 3 (AVP KES 11)] 0,102 0,12 0 0 0,1 0,1 0,027 0,05

Хост 4 (САВЗ Dr.Web Security Space) [Host 4 (AVP Dr.WebSecurity Space)] 0,105 0,13 0 0 0,1 0,1 0,366 0,5

Хост 5 (САВЗ Dr.Web Security Space) [Host 5 (AVP Dr.WebSecurity Space)] 0,105 0,13 0 0 0,1 0,1 0,506 0,3

Server 6 (САВЗ Kaspersky Endpoint Security для Linux) [Server 6 (AVP Kaspersky Endpoint Security for Linux)] 0,250 0,19 0 0 0,1 0,1 0,076 0,05

Server 7 (САВЗ Kaspersky Endpoint Security для Linux) [Server 7 (AVP Kaspersky Endpoint Security for Linux)] 0,250 0,19 0 0 0,1 0,1 0,12 0,1

Таблица 2

Числовые значения итогового значения риска с учетом различных моделей угроз,

использованных в ходе аналитического моделирования [Numerical values of the final risk value, taking into account various threat models used in the course of analytical modeling]

При отсутствии разработанной модели угроз (коэффициенты значимости KSP и KA - нулевые) [In the absence of a developed threat model (significance coefficients KSP and KA - zero)] При использовании типовой модели угроз (коэффициенты значимости KSP и KA - равномерные) [When using a typical threat model (significance coefficients KSP and KA - uniforn)] При формировании модели угроз с учетом результатов моделирования [When forming a threat model taking into account the simulation results]

ga 1 1 1

gsp 1 1 1

ûga 0 0,1 0,1979

ûgsp 0 0,1 0,1625

R 1,414213562 1,272792206 1,199340735

ISSN 2313-223X Print Т. 9. № 1. 2022 Computational nanotechnology 111

ISSN 2587-9693 Online

INFORMATION SECURITY

Когда в исследуемой аналитически ИС моделирование угроз не производилось, то суммарные коэффициенты значимости актуальных атак GRA и ПБ GSP представляют полную матрицу значений кластеров исходов (GRA = 1 и GSP = 1), а выбор соответствующих мер безопасности, способных нейтрализовать возможные вторжения, не определен (AGra = 0 и AGSP = 0), следовательно, итоговая оценка риска безопасности информации на объекте информатизации представляет собой максимальное значение - 1,414.

При использовании для построения системы защиты ИС типовой модели угроз, где выбор соответствующих мер безопасности, способных нейтрализовать возможные вторжения, изменился в сторону равнопрочности всех компонентов, входящих в защитный контур (AGra = 0,1 и AGSP = 0,1), снизить итоговая оценка риска безопасности информации на ОИ снизилась до значения - 1,272792206.

Однако при адекватном определении актуальных УБИ, реализация которых возможна в ИС с заданной архитектурой и в условиях ее функционирования (используется специально сформированная модель угроз), эффективность выбираемого набора мер безопасности существенно возрастает. Это подтверждается итоговой оценкой риска безопасности информации на ОИ, которая снизилась при использовании коэффициентов значимости GRA (актуальности атак), полученных при моделировании процесса распространения вирусного ПО 2-го типа, до значения - 1,199340735.

5. ОЦЕНКА УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ НА ОСНОВЕ СТАТИСТИЧЕСКИХ ПОДХОДОВ

Оценка УБИ на основе статистических подходов применяется при экономической оценке эффективности СЗИ, путем прогнозирования возможного ущерба и страхования ИС.

При страховании рисков информационной безопасности (РБИ) применяются сложные статистические модели оценки рисков применительно для каждой организации. В этих моделях должен учитываться как исторический опыт функционирования конкретной организации с точки зрения масштабов потерь в зависимости от реализовавшегося риск-события ИБ, а также зависимость ущерба от используемых в организации мер защиты и внешних факторов. В этих условиях становится актуальным использовать для оценки РБИ методы, которыми пользуются страховые организации (актуарии и финансовые риск-менеджеры) уже более пятидесяти лет для оценки кредитных, рыночных и операционных рисков.

Одним из методов является VAR (value-at-risk, величина под риском), представляющий собой величину, которую не превзойдут потери с заранее заданным порогом точности на заранее определенном горизонте. Данный метод широко изучен и есть множество источников, в которых описаны основные подходы к его оценке, а также ограничения каждого из методов.

Приведем лишь три основных метода:

• параметрический (когда оценка распределения вероятности реализации убытков описывается параметрами стандартного распределения: нормального, логнормального, Стьюдента);

• исторический (когда предполагается, что события будут развиваться по одному из имевших место в прошлом сценарию, о котором известно влияние внешних и внутренних факторов, а также величина реализовавшихся убытков для организации);

• Монте-Карло или стохастического моделирования (наиболее распространенный и включенный в международные требования к оценке кредитного и рыночного риска).

В последнем случае предполагается, что нельзя напрямую оценить итоговое распределение убытков, но известен набор факторов, влияющих на величину потерь, а также распределение вероятностей реализации каждого из факторов (риски узлов системы, исторические вероятности нападения, ущербов от атак, срабатывания СЗИ и пр.), и самое главное зависимость итоговой величины угрозы от этих факторов. Путем генерации случайных величин с параметрами распределения каждого из отдельных факторов, а также учитывая корреляционную зависимость между этими факторами (через матрицу корреляций по методу Холецкого) получается набор из более 10 тысяч вероятных исходов (сценариев) реализации событий. Далее аппроксимируя полученное распределение и выбирая необходимый уровень значимости, находится через соответствующий квантиль распределения оценки VAR.

В области финансовых рисков также широко распространен метод ES (expected shortfall - ожидаемые потери). Данная оценка показывает среднюю величину потерь, если случится маловероятное событие, попавшее в хвост распределения по модели VAR и представляет собой обычное математическое ожидание потерь при условии, что они превзойдут оценку заранее заданного уровня вероятности (например, 95-99%). В этом случае, как правило, применяют несколько оценок, например, что с вероятностью 99% на горизонте в 1 год потери организации не превысят 1 млн руб. от УБИ, но если произойдет событие из оставшегося 1%, то потери в среднем составят 5 млн руб.

Несмотря на относительную простоту, оба указанных метода позволяют с любой необходимой точностью оценить вероятный уровень потерь для организации какой угодно сложной ИТ-архитектуры и инфраструктуры. При этом для расчетов нет необходимости проводить построение сложных математических расчетов, достаточно лишь оценить каждый из факторов (внешних и внутренних) и составных элементов с точки зрения его влияния на итоговый уровень потерь в сторону увеличения или уменьшения, а также взаимозависимость между этими факторами.

В настоящее время указанные методы для оценки СЗИ от НСД в ИС ФОИВ не применяются, хотя действующие правовые акты [2] предусматривают такую возможность. Таким образом, требует дальнейшего исследования возможность применения методов VAR и ES при оценке УБИ в ИС ФОИВ.

5. ЗАКЛЮЧЕНИЕ

Таким образом, проведено исследование методов моделирования УБИ и определения их актуальности для ИС объектов информатизации ФОИВ. Для этого были последовательно решены следующие задачи.

Выполнен анализ процесса защиты информационных ресурсов в ИС объектов информатизации ФОИВ, который показал, что важным этапом этого процесса является оценка УБИ на основе формирования модели угроз, где исходными данными служат результаты оценки рисков, проведенной обладателем информации.

Рассмотрены известные методы анализа и оценки активов ОИ, уязвимостей, УИБ, возможных атак и целей безопасности, что позволило обосновать возможность снижения итогового риска (потери активов) за счет правильного выбора функциональных требований и ПБ на защищаемом ОИ.

Проведен выбор методики оценки уровня защищенности ИС. Предложно использовать методику, в основе которой лежит способ оценки, применяющий кластера исходов, введено понятие «коэффициента значимости», как произведения соответствующих значений векторов приоритетов кластеров исходов.

Проведен расчет оценки уровня защищенности в соответствии с выбранной методикой, который показал применимость разработанного методического аппарата для ана-

Литература

1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Собрание законодательства РФ. 31.07.2006. № 31 (ч. 1). Ст. 3448.

2. Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» // Собрание законодательства РФ. 03.08.2020. № 31 (ч. 1). Ст. 5007.

3. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» // Российская газета. 26.06.2013. № 136.

4. Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» // Российская газета. 06.08.2014. № 175.

5. ИТ.САВЗ.Б6.ПЗ. Методический документ. Профиль защиты средств антивирусной защиты типа «Б» шестого класса защиты (утв. ФСТЭК России 14.06.2012). URL: https://fstec.ru

6. Методический документ. Меры защиты информации в государственных информационных системах (утв. ФСТЭК России 11.02.2014). URL: https://fstec.ru

7. Методический документ. Методика оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021). URL: https://fstec.ru

8. ГОСТ Р ИСО/МЭК 15408-1-2012. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 1: Введение и общая модель. М.: Стандартинформ, 2014.

9. ГОСТ Р 58771-2019. Национальный стандарт Российской Федерации. Менеджмент риска. Технологии оценки риска (утв. и введен в действие приказом Росстандарта от 17.12.2019 № 1405-ст). М.: Стандартинформ, 2020.

10. ГОСТ Р ИСО/МЭК 27001-2021. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (утв. и введен в действие приказом Росстандарта от 30.11.2021 № 1653-ст). М.: Стандар-тинформ, 2022.

11. Борисов М.А., Голод В.В., Осадчий А.И., Трофимов В.В. Модель несанкционированного доступа к информации в динамически изменяемых условиях // Программные продукты и системы. 2005. № 4. С. 45-48.

12. Борисов М.А., Заводцев И.В. Инструментальные средства оценки уязвимостей в автоматизированных системах. Научный журнал Вестник РГГУ. Серия: Информатика. Защита информации. Математика. 2010. № 12 (55)/10. С. 259-262.

13. Дойникова Е.В., Котенко И.В. Методики и программный компонент оценки рисков на основе графов атак для систем управления информацией и событиями безопасности // Информационно-управляющие системы. 2016. № 5. С. 56-67.

14. Полянский Д.А. Оценка защищенности: учеб. пособие. Владимир: Изд-во Владим. гос. ун-та, 2005. 80 с.

15. Щеглов А.Ю. Математические модели и методы формального проектирования систем защиты информационных систем: учеб. пособие. СПб.: Университет ИТМО, 2015. 93 с.

16. The DFIR report. Real intrusions by real attackers, the truth behind the intrusion. URL: https://thedfirreport.com

литического моделирования угроз. Поставленные задачи решены с применением методов теории вероятности, математической статистики и статистического моделирования, оценки рисков. Практическая ценность работы определяется возможностью на основе аналитического моделирования формировать и поддерживать в актуальном состоянии модель УБИ в условиях деструктивных информационно-технических воздействий на защищаемый ОИ.

References

1. Federal Law No. 149-FZ dated July 27, 2006 "On information, information technologies and information protection". Collection of Legislation of the Russian Federation. 07.31.2006. No. 31 (part 1). Art. 3448. (In Rus.)

2. Federal Law No. 248-FZ dated July 31, 2020 "On state control (supervision) and municipal control in the Russian Federation". Collection of Legislation of the Russian Federation. 08.03.2020. No. 31 (part 1). Art. 5007. (In Rus.)

3. Order of the FSTEC of Russia dated February 11, 2013 No. 17 "On approval of requirements for the protection of information that does not constitute a state secret contained in state information systems". Rossiyskaya Gazeta. 06.26.2013. No. 136. (In Rus.)

4. Order ofthe FSTEC of Russia dated March 14, 2014 No. 31 "On approval of the Requirements for ensuring the protection of information in automated control systems for production and technological processes at critically important facilities, potentially hazardous facilities, as well as facilities that pose an increased danger to human life and health and to the natural environment". Rossiyskaya Gazeta. 08/06/2014. No. 175. (In Rus.)

5. IT.SAVZ.B6.PZ. Methodical document. Protection profile of antivirus protection type "B" of the sixth protection class (approved by the FSTEC of Russia on 14.06.2012). URL: https://fstec.ru

6. Methodological document. Information protection measures in state information systems (approved by the FSTEC of Russia on February 11, 2014). URL: https://fstec.ru

7. Methodological document. Methodology for assessing threats to information security (approved by the FSTEC of Russia on February 5, 2021). URL: https://fstec.ru

8. GOST R ISO/IEC 15408-1-2012. National standard of the Russian Federation. Information technology. Methods and means of ensuring security. Criteria for evaluating information technology security. Part 1: Introduction and general model. Moscow: Standartinform, 2014.

9. GOST R 58771-2019. National standard of the Russian Federation. Risk management. Risk assessment technologies (approved and put into effect by the Order of Rosstandart dated December 17, 2019 No. 1405-st). Moscow: Standartinform, 2020.

10. GOST R ISO/IEC 27001-2021. National standard of the Russian Federation. Information technology. Methods and means of ensuring security. Information security management systems. Requirements (approved and put into effect by the Order of Rosstandart dated November 30, 2021 No. 1653-st). Moscow: Standartinform, 2022.

11. Borisov M.A., Golod V.V., Osadchiy A.I., Trofimov V.V. Model of unauthorized access to information in dynamically changing conditions. Software Products and Systems. 2005. No. 4. Pp. 45-48. (In Rus.)

12. Borisov M.A., Zavodtsev I.V. Vulnerability assessment tools in automated systems. Scientific Journal Vestnik RGGU. Series Informatics. Data Protection. Maths. 2010. No. 12 (55)/10. Pp. 259-262. (In Rus.)

13. Doynikova E.V., Kotenko I.V. Methods and software component of risk assessment based on attack graphs for security information and event management systems. Information and Control Systems. 2016. No. 5. Pp. 56-67.

14. Polyansky D.A. Security assessment: Textbook allowance. Vladimir: Publishing house Vladim. State Univ., 2005. 80 p.

15. ShcheglovA.Yu. Mathematical models and methods of formal design of information systems protection systems: textbook. allowance. St. Petersburg: ITMO University, 2015. 93 p.

16. The DFIR report. Real intrusions by real attackers, the truth behind the intrusion. URL: https://thedfirreport.com

INFORMATION SECURITY

Статья проверена программой Антиплагиат. Оригинальность - 82%

Рецензент: Тимошенко А.В., доктор технических наук, профессор; начальник комплексного отдела - заместитель генерального конструктора АО «Радиотехнический институт имени академика А.Л. Минца»

Статья поступила в редакцию 10.02.2022, принята к публикации 14.03.2022 The article was received on 10.02.2022, accepted for publication 14.03.2022

СВЕДЕНИЯ ОБ АВТОРАХ

Заводцев Илья Валентинович, кандидат технических наук, доцент; доцент кафедры Московского государственного университета им. М.В. Ломоносова. Москва, Российская Федерация. E-mail: nilrs@rambler.ru Борисов Михаил Анатольевич, доцент кафедры Московского государственного университета им. М.В. Ломоносова. Москва, Российская Федерация. E-mail: bma_mv@rambler.ru

Бондаренко Николай Николаевич, аспирант Московского государственного университета им. М.В. Ломоносова. Москва, Российская Федерация. E-mail: bondarenkonn.corp@gmail.com

Мелешко Владимир Александрович, студент Московского государственного университета им. М.В. Ломоносова. Москва, Российская Федерация

ABOUT THE AUTHORS

Ilia V. Zavodtsev, Cand. Sci. (Eng.), Associate Professor; associate professor at the Lomonosov Moscow State University. Moscow, Russian Federation. E-mail: nilrs@ rambler.ru

Mikhail A. Borisov, associate professor at the Lomonosov Moscow State University. Moscow, Russian Federation. E-mail: bma_mv@rambler.ru

Nikolai N. Bondarenko, PhD student at the Lomonosov Moscow State University. Moscow, Russian Federation. E-mail: bondarenkonn.corp@gmail.com Vladimir A. Meleshko, student at the Lomonosov Moscow State University. Moscow, Russian Federation