Оригинальная статья / Original article УДК: 004.056.53
DOI: 10.21285/1814-3520-2016-9-46-57
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СОВЕТУЮЩЕЙ СИСТЕМЫ
1 9 Я
© Е.Э. Аверченкова1, Д.И. Гончаров2, Д.А. Лысов3
Брянский государственный технический университет, 241035, Россия, г. Брянск, бульвар 50 лет Октября, 7.
РЕЗЮМЕ. ЦЕЛЬ. Сформировать теоретические и практические подходы к обеспечению информационной безопасности разрабатываемой информационной советующей системы (ИСС), позволяющей повысить качество принимаемых управленческих решений на региональном уровне. МАТЕРИАЛЫ И МЕТОДЫ. Проектируемая ИСС расчетно-диагностического типа обеспечивает мониторинг влияния внешней среды на региональную социально-экономическую систему, на основе которого, благодаря системе продукционных правил, происходит формирование управленческих решений для региональных менеджеров. В работе использовались такие научные методы, как обобщение научной литературы в области формирования и учета угроз безопасности в автоматизированных системах, анализ, синтез, метод аналогий и сравнений, которые в итоге позволили оценить обеспеченность информационной безопасности предлагаемой ИСС. РЕЗУЛЬТАТЫ И ИХ ОБСУЖДЕНИЕ. В статье представлена модель информационной безопасности разрабатываемой ИСС и рассмотрены основные этапы ее формирования. Также авторами предложена модель формирования и учета угроз автоматизированной системы. Угрозы ИСС представлены на всех уровнях в соответствии с эталонной семиуровневой моделью ISO/OSI. Определена актуальность угроз ИСС и возможность их реализации. ЗАКЛЮЧЕНИЕ. Определение угроз безопасности ИСС должно носить систематический характер и осуществляться на этапе ее создания и последующей эксплуатации. Это позволит определить потребности в конкретных требованиях к защите информации в ИСС и создать эффективную систему ее защиты.
Ключевые слова: информационная советующая система, социально-экономическая система, информационная безопасность автоматизированной системы, угрозы информационной безопасности.
Формат цитирования: Аверченкова Е.Э., Гончаров Д.И., Лысов Д.А. Обеспечение информационной безопасности информационной советующей системы // Вестник Иркутского государственного технического университета. 2016. Т. 20. № 9. С. 46-57. DOI: 10.21285/1814-3520-2016-9-46-57
ENSURING INFORMATION CONSULTING SYSTEM CYBER SECURITY E.E. Averchenkova, D.I. Goncharov, D.A. Lysov
Bryansk State Technical University,
7, 50-letya Oktyabrya Blvd., Bryansk, 241035, Russia.
ABSTRACT. THE PURPOSE of the article is to work out theoretical and practical approaches to ensuring the cyber security of the developed information consulting system (ICS), which will improve the quality of managerial decisions at the regional level. MATERIALS AND METHODS. Developed ICS of the estimation-diagnosis type monitors the influence of the environment on the regional socio-economic system. This monitoring serves the base for the formation of managerial decisions for regional managers through the system of production rules. The work uses the following scientific methods: the synthesis of scientific literature in the field of formation and account of security threats in automated systems, analysis, synthesis, the method of analogies and comparisons. All these ultimately allowed to evaluate the provision of the cyber security of the proposed ICS. RESULTS AND THEIR DISCUSSION. The article presents an information security model of the developed ICS and considers its main formation stages. Also, a model of automated system threat formation and registration is proposed. Threats to ICS are described at all levels in accordance with the standard seven-layer ISO/OSI model. The relevance of threats to ICS and their implementation capability are determined. CONCLUSION. ICS security threats determination must be systematic and performed at the stage of its development and subse-
1
Аверченкова Елена Эдуардовна, кандидат технических наук, доцент кафедры экономики, организации производства и управления, e-mail: lena_ki@inbox.ru
Averchenkova Elena, Candidate of technical sciences, Associate Professor of the Department of Economy, Production
Organization and Management, e-mail: lena_ki@inbox.ru
2Гончаров Дмитрий Иванович, студент, e-mail: jeriho32@yandex.ru
Goncharov Dmitry, Student, e-mail: jeriho32@yandex.ru
3Лысов Дмитрий Андреевич, студент, e-mail: lysovdmitriia@gmail.com
Lysov Dmitriy, Student, e-mail: lysovdmitriia@gmail.com
quent operation. This will allow to determine the need for specific requirements for data protection in the ICS, and to create an effective system to protect ICS.
Keywords: information consulting system, social and economical system, automated system cyber security, threats to information security
For citation: Averchenkova E.E., Goncharov D.I., Lysov D.A. Ensuring information consulting system cyber security. Proceedings of Irkutsk State Technical University. 2016, vol. 20, no. 9, pp. 46-57. (in Russian). DOI: 10.21285/18143520-2016-9-46-57
Введение
Автоматизация управленческой деятельности широко применяется не только на промышленных предприятиях, но и в современном бизнесе. Область ее использования связана с производством, маркетингом, финансами и позволяет на основе анализа ретроспективных данных принимать корректные управленческие решения [1]. Однако возникает необходимость обеспечения информационной безопасности, так как данная проблема сохраняет актуальность даже в условиях интенсивного совершенствования технологий и инструментов защиты данных [1, 2].
Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы [3]. Систематический подход определения угроз необходим для выявления потребности в конкретных требованиях к защите информации и создании адекватной эффективной системы защиты информации в информационной системе. Меры защиты автоматизированной системы
должны обеспечивать эффективное и своевременное выявление и блокирование угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий [4].
Теоретическими и практическими исследованиями в области формирования информационной безопасности автоматизированных систем занимались: Н.Б. Ахмедов, М.А. Багаев, И.В. Бондарь, Б.В. Волошин, Н.Э. Гусейнов, А.В. Даурцев, М.А. Еремеев, В.Г. Жуков, А.А. Кисляк, М.А. Кузнецов, Д.А. Ляшко, О.Ю. Макаров, А.В. Мельников, Р.Ю. Овсянников, С.И. Попов, Е.А. Попова, С.Ю. Рослов, В.А. Хвостов, А.М. Цыбулин. В их работах приведены особенности определения угроз информационной безопасности, способы формирования средств защиты от них, а также сформированы направления по созданию интегрированных систем безопасности автоматизированных систем [5-9].
Целью данной статьи является изложение основных идей модели угроз для разрабатываемой информационной советующей системы.
Предметная область исследования
Совокупность информации, формируемая внешней средой и поступающая в региональную социально-экономическую систему, характеризуется повышенной сложностью, неоднородностью и противоречивостью [10]. Таким образом, при принятии управленческих решений на региональном уровне менеджерам следует опираться на собственные профессиональные навыки, прошлый опыт, интуицию.
Использование интуитивного подхода в сложных и нечетко сформулированных задачах увеличивает риск принятия неверного или неоптимального решения. Актуальность исследования вопросов проектирования советующих систем связана с тем, что в настоящее время отсутствуют единые методики и технологии их создания. Кроме того, необходимо отметить несовершенные методы проектирования баз знаний сове-
тующих систем, основанных на нечетком характере хранимой экспертной информации [3, 5]. Следовательно, автоматизация поддержки принятия решений выступает направлением оптимизации управленческой деятельности.
Теоретическим и практическим вопросам проектирования интеллектуальных систем посвящены работы зарубежных ученых: Р. Левина, Д. Дрангга, К. Таусенда, К. Нейлора, Р. Форсайта и др., а также отечественных авторов: Т.А. Гавриловой, В.Ф. Хорошевского, В.П. Романова, А.Н. Романова, Б.Е. Одинцова, Э.В. Попова, Ю.Ф. Тельнова и др.
При проектировании базы знаний ИСС была поставлена основная цель -сформировать информацию о влиянии внешней среды на региональную социально-экономическую систему [10]. Для этого были опрошены эксперты, результаты их опроса были обработаны в виде соответствующих таблиц. Кроме того, в базе знаний ИСС находятся классификаторы факторов внешней среды и составляющих региональной социально-экономической системы, разработанные авторами. Важным элементом базы знаний ИСС является комплекс управленческих мероприятий, нивелирующий или усиливающий влияние внешней среды на региональную систему.
На следующем этапе разработки базы знаний ИСС происходит выделение и графическое представление изучаемых понятий и связей. Так, на основе табличного представления данных экспертов происходит формирование лингвистической переменной ответов экспертов, затем определяется результирующее нечеткое множество ответов экспертов и задается его графическое представление. Отдельным элементом базы знаний ИСС выступает блок
управленческих мероприятий, которые представляются в виде таблицы в соответствии с условиями их применения. Формирование нечетких правил продукции позволяет произвести выбор необходимых управленческих мероприятий на основе разработанной продукционной системы правил [1].
Целевой ориентир ИСС - это автоматизация обработки анкетных данных экспертиз, формирование по ним статистической отчетности, поддержка принятия решений руководителей и специалистов на основе комплекса управленческих мероприятий. Кроме того, в возможности ИСС заложено повышение достоверности результатов экспертиз путем увеличения числа экспертов. Следовательно, разработанная ИСС повышает эффективность обработки и анализа экспертных оценок, что в целом обеспечивает эффективное принятие решений руководителями и специалистами [10].
Создаваемую ИСС можно отнести к подклассу расчетно-диагностических советующих систем, которые называются мониторинговыми, так как основная цель их создания заключается в наблюдении за состоянием каких-либо объектов или процессов, своевременной сигнализации о возникновении негативных явлений, оценке последних и выдаче рекомендаций для их ликвидации. Мониторинг изменений, происходящих во внешней среде и влияющих на региональную социально-экономическую систему, будет осуществлять предлагаемая информационная советующая система. Результатом работы ИСС будет являться формирование комплекса управленческих решений, позволяющих повысить качество управления на разных уровнях региональной власти.
Формирование информационной безопасности ИСС
На рис. 1 представлено графическое изображение модели информационной безопасности программного продукта.
Необходимым условием достижения требуемой степени информационной без-
опасности в разрабатываемой ИСС является формирование комплексной защиты, включающей принятие разнообразных мер защиты: морально-этических, законодательных, организационных, технических.
Таким образом, построение системы защиты информации в разрабатываемой автоматизированной системе не должно ограничиваться простым выбором тех или иных средств защиты. Следует различать следующие основные фазы жизненного цикла системы информационной безопасности: разработка, внедрение и эксплуатация, сопровождение [6].
Сформируем основные этапы построения системы информационной безопасности (системы защиты информации), в разрабатываемой ИСС [6] (рис. 2).
В соответствии с вышеприведенным рисунком определим этапность формирования информационной безопасности разрабатываемой ИСС.
Во-первых, анализ физической и ло-
гической архитектуры ИСС, а также используемых схем автоматизированной обработки информации происходит с учетом оценки аппаратных средств, программного обеспечения, схем распределения его компонентов между узлами сети. Кроме того, анализируются протоколы взаимодействия, сетевой трафик на различных уровнях сетевой модели взаимодействия, технологии использования мобильных программ (JAVA, ActiveX, JavaScript, VBScript и т.д.). Обязательным является проведение анализа согласованности аппаратной и программной конфигурации узлов сети и анализа подсистем защиты информации на различных уровнях программно-аппаратных средств.
Угрозы:
- доступности;
- целостности
- конфиденциальности I Threats to:
- accessibility;
- integrity;
- confidentiality
T
моди-
Цвли угроз: ознакомление, фикация и уничтожение результатов прогнозов, экспертных оценок ситуации, предлагаемых рекомендаций / Goals of threats: familiarization, modification and destruction of the results of forecasts, expert estimations, proposed recommendations
Объекты угроз:
- построение запроса пользователя; -сведения об экспертах;
- ответы экспертов;
- продукционные правила выбора управленческих мероприятий;
- рекомендации экспертов -.../
Objects of theats:
- user request formation;
- information about
- expert answers;
- rules of choosing manageral decisions;
- expert advice -etc.
Источники угроз:
- коррупционеры;
- преступники;
- конкурирующие структуры / Sources of threats:
- bribetakers;
- criminals;
- competitors
Источники информации:
- эксперты;
- работники;
- публикации;
- технические носители информации о ИСС I Sources of information:
- experts;
- employees;
- publications;
-technical information carriers about ICS
Способы доступа:
- разглашение и утечка конфиденциальной информации о результатах экспертиз и рекомендациях экспертов;
- несанкционированные действия по отношению к информации, хранимой в ИСС, а также программному и аппаратному обеспечению/
Access methods: -disclosure and leak of confidential information about the results of expertise and experts recommendations;
- unauthorized actions with the information stored in ICS, software and hardware hacking
Информационная советующая система I Information consulting system
Способы защиты:
упреждение противоправных действий, предотвращение, пресечение, противодействие несанкционированному доступу к базе данных ИСС и программному обеспечению ИСС / Methods of protection: prevention of unlawful actions, suppression of unauthorized access to ICS database and software
Направления защиты:
- правовая (получение патента на ИСС); -организационная (ограничение круга пользователей ИСС; организация защищенных каналов передачи информации);
- инженерно-техническая (организация автоматизированного рабочего места) /
Protection areas:
- legal protection (obtaining a patent for the ICS); -organizational protection (limit the range of ICS users, organization of protected information channels);
- engineering and technical protection (workstation organization)
Средства защиты:
- физические (средства защитной сигнализации);
- аппаратные (организация средств дублирования и хранения информации);
- программные (установление антивирусной защиты);
- криптографические (электронно-цифровая подпись)/ Protection tools:
- physical protection (signaling) ;
- hardware protection (backup information);
- software protection (installation of anti-virus protection);
- cryptographic protection (digital signature)
Рис. 1. Модель информационной безопасности информационной советующей системы Fig. 1. Cyber security model of the information consulting system
Система информационной безопасности информационной советующей системы (ИСС) / Cyber security system of the information consulting system (ICS)
Анализ физической и логической архитектуры ИСС, схем автоматизированной обработки информации в ИСС / Analysis of the physical and logical ICS architecture, algorithms for the automated processing of information In the ICS
Выявление уязвимых элементов ИСС, через которые возможна реализация угроз информации/ Identification of ICS elements vulnerable for Information threats
Определение, анализ и классификация всех возможных угроз информации в ИСС / identification, analysis and classification of all possible threats to ICS Information
Оценка текущего уровня информационно-компьютерной безопасности и определение риска/
Assessing the current level of information and computer security and risk
5
Разработка политики безопасности ИСС и ассоциированных с ней ресурсов / Development of the Information security policy of the ICS and related resources
6
Формирование требований к системе
информационно-компьютерной безопасности в разрабатываемой ИСС в соответствии с классами защищенности / Formation of requirements to Information and cyber security in the developed ICS according to the protection classes
7
Непосредственная разработка системы защиты информации, разрабатываемой ИСС с учетом всех предъявленных требований/ Development of the Information security system In the developed ICS considering all necessary requirements
Рис. 2. Этапы построения системы информационной безопасности разрабатываемой ИСС Fig. 2. Stages of building the cyber security system of the developed information consulting system
Во-вторых, формирование информационной безопасности разрабатываемой ИСС связано с выявлением уязвимых элементов ИСС. В этих целях диагностируются элементы аппаратных средств и каналы связи, используемые разрабатываемой ИСС, в том числе локальные сети, сетевые устройства концентрации и маршрутизации каналов межсетевого взаимодействия, а также каналов взаимодействий с глобальными сетями. Кроме того, анализируются уязвимые элементы операционных систем и систем управления базами данных ИСС. Важным направлением является оценка уязвимости элементов сетевых программных средств ИСС (в том числе групповой работы, утилит администрирования, мобильных программ).
В-третьих, при обеспечении информационной безопасности разрабатываемой
ИСС необходимо оценить угрозы несанкционированного использования компьютерных ресурсов (например, возможности хищения, подлога, разрушения и потери информации, отказов в работе программно-аппаратных средств), а также угрозы некорректного использования компьютерных ресурсов (например, нарушения физической и логической целостности данных, работоспособности компьютерных систем). Информационная безопасность разрабатываемой ИСС требует также оценки угроз проявления ошибок пользователей, операторов и администраторов, угроз безопасности сетевого взаимодействия (безопасности информационного обмена и нарушений протоколов взаимодействия). Угрозы несанкционированного изменения состава компьютерной системы и угрозы нанесения ущерба физическим способом также сле-
дует рассмотреть при создании информационной безопасности разрабатываемой ИСС.
Четвертый элемент формирования информационной безопасности разрабатываемой ИСС определяется оценкой текущего уровня информационно-компьютерной безопасности ИСС и диагностикой объектов ИСС, которым может быть нанесен ущерб. При этом происходит прогнозирование частоты и вероятности проявления выявленных угроз, а также оценка потенциальных потерь. Заканчивается этот этап выработкой рекомендаций по снижению риска до приемлемого уровня.
На пятом шаге формируется политика безопасности для разрабатываемой ИСС как совокупность концептуальных решений, направленных на эффективную защиту информации и ассоциированных с ней ресурсов. Она предполагает формирование стратегических целей обеспечения информационной компьютерной безопасности и определение требований к защищаемой информации. На этом же этапе разрабатывается концепция защиты от реализации преднамеренных и случайных угроз, составляется общий план восстановления на случай воздействия на компьютерные ресурсы, а также разрабатываются организационные мероприятия по созданию условий безопасной обработки ин-
формации в ИСС.
Шестой этап предполагает формирование полного перечня детальных требований к системе информационно-компьютерной безопасности ИСС, в том числе к подсистеме управления контролем доступа к ИСС, подсистеме защиты от вирусоподобных программ, подсистеме резервирования информации и восстановления работоспособности компьютерных средств, подсистеме обеспечения безопасности сетевого взаимодействия.
На заключительном, седьмом этапе построения системы информационной безопасности разрабатываемой ИСС происходит непосредственная разработка системы защиты информации ИСС, в том числе формируются детальные спецификации на компоненты системы информационно-компьютерной безопасности, проектируются комплексные системы защиты для рабочих станций, серверов, а также компьютерной сети в целом, определяется конкретный вид сертифицированных средств защиты информации. Также осуществляется интеграция подсистем информационно-компьютерной безопасности, их комплексная настройка и проверка работоспособности. Итогом формирования системы защиты информации на этапах ее построения является максимальная защищенность разрабатываемой ИСС.
Модель угроз информационной безопасности разрабатываемой ИСС
Основной целью средств и систем защиты информации является обеспечение нейтрализации потенциальных угроз информации в разрабатываемой автоматизированной системе [7]. Для идентификации угроз безопасности информации разрабатываемой информационной советующей системы можно использовать следующий кортеж:
Т ={{1, }ШШ0, №}е ^ ,
где Г, - /-ая угроза информационной советующей системы; !г - множество источни-
ков /-й угрозы (нарушитель) информационной советующей системы; и, - множество уязвимостей информационной советующей системы под воздействием /-ой угрозы; I- множество способов реализации /-й угрозы информационной советующей системы; О, - множество объектов воздействия /-й угрозы; К - множество последствий /-й угрозы.
Идентифицированная угроза безопасности разрабатываемой информационной советующей системы подлежит блокированию, если она является актуальной [8]. Другими словами, определяется вероятность реализации рассматриваемой
угрозы нарушителем с соответствующим потенциалом, а ее реализация приведет к неприемлемым негативным последствиям для информационной советующей системы. Таким образом, определим, что для
3{р,X:г е Н} ,
где Р/ - вероятность реализации /-й угрозы; Х\ - степень ущерба от /-й угрозы.
Формирование модели информационной безопасности разрабатываемой ИСС предполагает проработку вопроса угроз безопасности [9]. На рис. 3 представлены основные составляющие, формирующие угрозы разрабатываемой ИСС. Так, основным фактором, определяющим угрозы автоматизированной системы, является антропогенный фактор.
- Хакерами
- Журналистами
- Ворами
- Членами ОПГ
- Вандалами
- Злоумышленниками среди персонала
- Конкурентами
- Террористами /
- Hackers
- Journalists
- Thieves
- Gang members
- Vandals
- Employee-intruders
- Competitors
- Terrorists
Представлен I Represented by
Источники угроз ИСС I Sources of threats to ICS
~ll 1|
Антропогенный | Аварии: | ! Природные
фактор: | - Ошибка пользова- i факторы:
- Мотивация ■ 1 теля -1 - Стихийные
- Возможность I - Ошибка админи- 1 бедствия
- Намерение | стратора 11 - Астрофизичес-
- Ресурсы 11 - Ошибка ПО 11 кие явления
- Способность / 11 - Отказ индустри- 11 - Биологические
Anthropogenic |■ ального оборудова- 11 явления /
factor | НИЯ1 I Natural factors:
- Motivation 11 Accidents: ■ ' - Natural disasters
- Possibility ■ 1 - User error 1 - Astrophysical
- Intention | -Administrator error M phenomena
- Resources ' | - Software failure l| - Biological
- Capability 11 - Industrial equipment 11 phenomena
!j 1 1 1 failure 11 и и и II 1
- Управленческие
- Организационные
- Технические /
- Managerial
- Organizational
- Technical
-Данные и информацию
- Документацию
- Престиж и репутацию
- Аппаратное обеспечение
- Людей и их умения
- Программное обеспечение /
- Data and information
- Documentation
- Prestige and reputation
- Hardware
-People and their skills
- Software
Информационные ресурсы ИСС I Informational resources of ICS
- Процедурную безопасность
- Безопасность персонала
- Физическую безопасность
- Безопасность системы
- Безопансость коммуникаций /
- Procedural security
- Staff security
- Physical security
- System security
- Communications security
безопас-
- Конфиденциальность
- Целостность
- Возможность
- Отчетность
- Физическую ность
и контроль доступа I
- Confidentiality
- Integrity
- Capability
- Reporting
- Physical security and access control
Требования к безопасности/ Requirements To security
Чувствител ьностъ к потерям I Vulnerability to threats
Представляют собой/ Reprsent
Выражается в потери I Is manifested in the loss
- Неавторизованный доступ в сеть
- Неавторизованное раскрытие информации
- Разрушение функций сети
- Мошеннические действия в сети /
- Unauthorized access to the network
- Unauthorized information release
- Destruction of network functions
- Fraudulent activity in the network
- Конфиденциальности
- Работоспособности
- Целостности и полноты I
- Confidentiality
- Operating capability
- Integrity and completeness
Рис. 3. Модель формирования и учета угроз безопасности в информационной советующей системе Fig. 3. Model of security threats formation and registration in the information consulting system
Источниками угрозы безопасности разрабатываемой информационной советующей системы будем считать компьютерных злоумышленников, осуществляющих целенаправленное деструктивное воздействие [8]. С учетом наличия прав доступа и возможностей по доступу к информации и/или к компонентам информационной советующей системы выделим два типа нарушителей:
- внешние нарушители - лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
- внутренние нарушители - лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.
Наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители. Следовательно при оценке их возможностей необходимо учитывать принимаемые организационные меры по допуску к работе в информационной советующей системе. Возможности внутреннего нарушителя зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц. В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и/или логический доступ к компонентам информационной системы
и/или содержащейся в них информации или не иметь такого доступа. В качестве внутренних нарушителей безопасности информационной советующей системы могут выступать:
- лица, осуществляющие преднамеренные действия с целью доступа к информации (воздействия на информацию), содержащейся в информационной системе, или нарушения функционирования информационной системы или обслуживающей ее инфраструктуры (преднамеренные угрозы безопасности информации);
- лица, имеющие доступ к информационной системе, непреднамеренные действия которых могут привести к нарушению безопасности информации (непреднамеренные угрозы безопасности информации).
При определении угроз безопасности информации в ИСС оценим преимущественно те, которые связаны с несанкционированными действиями по нарушению безопасности информации. Прежде всего определим целенаправленное воздействие враждебных программных средств на ИСС (внутренние и внешние атаки), осуществляемое для нарушения (прекращения) ее функционирования (рис. 4).
Анализ прав доступа пользователей к ИСС проводится, как минимум, в отношении следующих компонент информационной системы:
- устройств ввода/вывода (отображения) информации;
- беспроводных устройств;
"Внутрённ йё" äfä m 1 .. Internal attacks
Информационная советующая система / Information consulting system
Рис. 4. Многообразие атак на разрабатываемую информационную
советующую систему Fig. 4. Variety of attacks on the developed information consulting system
- программных, программно-технических и технических средств обработки информации;
- съемных машинных носителей информации;
- машинных носителей информации, выведенных из эксплуатации;
- активного (коммутационного) и пассивного оборудования каналов связи;
- каналов связи, выходящих за пределы контролируемой зоны.
Определение угроз для разрабатываемой информационной советующей системы в процессе обмена информацией на всех уровнях в соответствии с эталонной семиуровневой моделью ISO/OSI (Open systems interconnection basic reference model, ГОСТ Р ИСО/МЭК 7498-1-99) может быть представлено по следующим уровням:
- на физическом уровне: обрыв канала связи, перепад напряжения;
- на канальном уровне: перехват фреймов, прием фрейма с чужим MAC-адресом, подмена хоста, попытка подмены VLAN;
- на сетевом уровне: подмена шлюза по умолчанию, нарушение процесса маршрутизации, DDOS-атака;
- на транспортном уровне: подмена
UDP (User Datagram Protocol) пакетов, атаки LAND;
- на сеансовом уровне: подмена подлинности сертификатов, подмена электронной подписи, атака «человек посередине» в связке «клиент-сервер», перехват/подмена сеансовых ключей;
- на уровне представления: дешифрование потока данных;
- на прикладном уровне: нарушение разграничений прав доступа.
Уровень реализации угрозы безопасности ИСС определим как сети, сетевые приложения и сервисы, а также операционные системы. Соответственно, определяя типы объектов, подверженных угрозе безопасности, выделим для:
- сетевого уровня - маршрутизаторы, коммуникаторы и концентраторы;
- уровня сетевых приложений и сервисов - программные компоненты передачи данных по компьютерным сетям;
- уровня операционных систем -файлы данных.
Оценим возможность реализации i-й угрозы безопасности информации в зависимости от уровня защищенности информационной системы и потенциала нарушителя, которая определяется в соответствии с таблицей.
^^^^ Уровень защищенности / Level of protection Потенциал нарушителяТ^^^^ Intruder potential ^^^^ Высокий / High Средний / Medium Низкий / Low
Базовый (низкий) / Basic (low) Низкая / Low Средняя / Medium Высокая / High
Базовый повышенный (средний) / Basic improved (Medium) Средняя / Medium Высокая / High Высокая / High
Высокий / High Высокая / High Высокая / High Высокая / High
Возможность реализации угрозы безопасности информации для разрабатываемой информационной советующей системы Possibility to implement cyber security threats to the developed information consulting system
Степень возможного ущерба для разрабатываемой информационной советующей системы определяется экспертным методом как высокая. Это означает, что в результате нарушения даже одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия для разрабатываемой информационной системы и приостановка ее функционирования.
В соответствии с предложенной моделью угроз ИСС под уязвимостью разрабатываемой информационной советующей системы будем понимать следующие элементы:
1. В подсистеме ввода данных -ввод экспертных оценок и процедуру построения запроса пользователя.
2. В базе знаний системы - архив оценок экспертов, формализованные сведения о компетенции экспертов, перечень продукционных правил выбора управленческих мероприятий, рекомендации экспертов.
3. В блоке диагностики и вывода данных - классификаторы факторов внешней среды влияния и составляющих региональной социально-экономической системы, процедуры подбора управленческих мероприятий и формирования матриц влияния внешней среды на региональную систему.
4. Программно-технический комплекс (автоматизированные рабочие места, телекоммуникационное оборудование, каналы связи) и программное обеспечение.
Заключение
Определение угроз безопасности ИСС должно носить систематический характер и осуществляться как на этапе создания автоматизированной системы и формирования требований по ее защите, так и в ходе ее эксплуатации. Систематический подход к определению угроз безопасности ИСС необходим для того, чтобы определить потребности в конкретных требованиях к защите информации в ИСС и
Библиогра
1. Аверченкова Е.Э., Аверченков А.В., Черкасов В.К., Аксененко Д.В. Разработка структурно-функциональной схемы и алгоритмов работы информационной советующей системы по формированию управленческих решений на промышленном предприятии // Вестник БГТУ. 2015. № 4 (48). С. 113-120.
2. Аверченкова Е.Э., Аверченков А.В., Автоматизированное принятие управленческих решений на основе моделей и алгоритмов информационной советующей системы // Информационные системы и технологии. 2016. № 3 (95). С. 31-39.
3. Аверченкова Е.Э., Аверченков А.В. Инфологиче-ская и даталогическая модель базы данных информационной советующей системы для принятия управленческих решений на региональном уровне // Михаило-Архангельские чтения: материалы Х международной научно-практической конференции (Рыбница, 17 ноября 2015). Рыбница: Изд-во Пред-нестровского государственного университета, 2015.
создать эффективную систему ее защиты. Меры защиты информации, принимаемые обладателем информации и менеджером ИСС, должны обеспечивать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий.
кий список
С. 255-257.
4. Аверченкова Е.Э., Кулагина Н.А. Информационный подход к оценке уровня экономической безопасности в региональных социально-экономических системах // Актуальные проблемы социально-гуманитарных исследований в экономике и управлении: материалы II международной научно-практической конференции профессорско-преподавательского состава, магистров и студентов факультета экономики и управления (Брянск, 10 декабря 2015) / под ред. Е.И. Сорокиной, Е.А. Дер-гачевой: в 2 т. Брянск: Изд-во БГТУ, 2015. Т. 1. С. 146-152.
5. Ахмедов Н.Б. , Гусейнов Н.Э. Угрозы информационной безопасности в автоматизированных системах управления // Перспективы развития информационных технологий. 2011. Вып. 4. С. 94-99.
6. Еремеев М.А., Овсянников Р.Ю. Современные задачи автоматизированной поддержки принятия решений при выборе рациональной структуры и
организации систем информационной безопасности // Известия Южного федерального университета. Технические науки. 2006. Т. 62. Вып. 7. С. 12-17.
7. Макаров О.Ю., Хвостов В.А., Хвостова Н.В. Метод построения формальных моделей реализации угроз информационной безопасности автоматизированных систем // Вестник Воронежского государственного технического университета. 2010. Т. 6. № 11. С. 22-25.
8. Хвостов В.А., Багаев М.А., Кисляк А.А. Формальная модель полного множества реализаций угроз информационной безопасности автоматизированных систем // Вестник Воронежского государствен-
ного технического университета. 2011. Т. 7. № 2. С. 33-37.
9. Хохлов Н.С., Дунин В.С. Модель угроз информационной безопасности комплексной автоматизированной интеллектуальной системы «Безопасный город» // Вестник Воронежского института МВД России. 2011. № 4. С. 55-58.
10. Экономические системы современной России: теоретические и практические проблемы развития: монография / под ред. А.Д. Шафронова, Ю.Н. Каткова. Брянск: Изд-во ООО «Новый проект», 2015. 504 с.
References
1. Averchenkova E.E., Averchenkov A.V., Cherkasov V.K., Aksenenko D.V. Razrabotka strukturno-funktsional'noi skhemy i algoritmov raboty informatsion-noi sovetuyushchei sistemy po formirovaniyu uprav-lencheskikh reshenii na promyshlennom predpriyatii [Development of structural-functional circuit and algorithms of information advising system work for management decision formation at industrial enterprise]. Vestnik BGTU [Bulletin of Bryansk State Technical University]. 2015, no. 4 (48), pp. 113-120. (In Russian)
2. Averchenkova E.E., Averchenkov A.V., Avtomatiziro-vannoe prinyatie upravlencheskikh reshenii na osnove modelei i algoritmov informatsionnoi sovetuyushchei sistemy [Automated managerial decision-making on the basis of models and algorithms of the information consulting system]. Informatsionnye sistemy i tekhnologii [Information systems and technologies]. 2016, no. 3 (95), pp. 31-39. (In Russian)
3. Averchenkova E.E., Averchenkov A.V. Infolo-gicheskaya i datalogicheskaya model' bazy dannykh informatsionnoi sovetuyushchei sistemy dlya prinyatiya upravlencheskikh reshenii na regional'nom urovne [In-fological and datalogical model of the information consulting system database for managerial decision-making at the regional level]. Mikhailo-Arkhangel'skie chteniya: materialy X mezhdunarodnoi nauchno-prakticheskoi konferentsii (Rybnitsa, 17 noyabrya 2015) [Archangel Michael's readings: Materials of X international scientific and practical conference (Rybnitsa, 17 November, 2015]. Rybnitsa, Prednestrovskii gosudar-stvennyi universitet Publ., 2015, pp. 255-257.
4. Averchenkova E.E., Kulagina N.A. Informatsionnyi podkhod k otsenke urovnya ekonomicheskoi bezopas-nosti v regional'nykh sotsial'no-ekonomicheskikh siste-makh [Information approach to economic safety level evaluation in regional social and economic systems]. Aktual'nye problemy sotsial'no-gumanitarnykh issledo-vanii v ekonomike i upravlenii: materialy II mezhdu-narodnoi nauchno-prakticheskoi konferentsii professor-sko-prepodavatel'skogo sostava, magistrov i studentov fakul'teta ekonomiki i upravleniya (Bryansk, 10 dek-abrya 2015) [Actual problems of social and humanitarian studies in economics and management: Proceedings of II International scientific and practical conference of the academic staff, Master degree students and
students of the faculty of Economics and Management (Bryansk, 10 December, 2015]. Bryansk, BGTU Publ., 2015, vol. 1, pp. 146-152. (In Russian)
5. Akhmedov N.B., Guseinov N.E. Ugrozy informatsionnoi bezopasnosti v avtoma-tizirovannykh sistemakh upravleniya [Information security threats in automated control systems]. Perspektivy razvitiya informatsionnykh tekhnologii [IT-technologies development prospects]. 2011, issue 4, pp. 94-99. (In Russian)
6. Eremeev M.A., Ovsyannikov R.Yu. Sovremennye zadachi avtomatizirovannoi podderzhki prinyatiya reshenii pri vybore ratsional'noi struktury i organizatsii sis-tem informatsionnoi bezopasnosti [Modern problems of decision-making automated support in choosing the rational structure and organization of information security systems]. Izvestiya Yuzhnogo federal'nogo universi-teta. Tekhnicheskie nauki [Proceedings of South Federal University. Technical sciences]. 2006, vol. 62, issue 7, pp. 12-17. (In Russian)
7. Makarov O.Yu., Khvostov V.A., Khvostova N.V. Metod postroeniya formal'nykh modelei realizatsii ugroz informatsionnoi bezopasnosti avtomatizirovannykh sis-tem [Method of building formal models of automated system information security threat implementation]. Vestnik Voronezhskogo gosudarstvennogo tekhnich-eskogo universiteta [The Bulletin of Voronezh state technical university]. 2010, vol. 6, no. 11, pp. 22-25. (In Russian)
8. Khvostov V.A., Bagaev M.A., Kislyak A.A. Formal'na-ya model' polnogo mnozhestva realizatsii ugroz infor-matsionnoi bezopasnosti avtomatizirovannykh sistem [Formal model of complete implementation set of threats to automated system information security]. Vestnik Voronezhskogo gosudarstvennogo tekhnich-eskogo universiteta [The Bulletin of Voronezh state technical university]. 2011, vol. 7, no. 2, pp. 33-37. (In Russian)
9. Khokhlov N.S., Dunin V.S. Model' ugroz informatsionnoi bezopasnosti kompleksnoi avtomatizirovannoi intellektual'noi sistemy "Bezopasnyi gorod" [Model of threats to the information security of the integrated automated intelligent system "Safe City"]. Vestnik Voro-nezhskogo instituta MVD Rossii [Vestnik of Voronezh institute of the Ministry of Interior of Russia]. 2011, no. 4, pp. 55-58. (In Russian)
10. Shafronov A.D., Katkov Yu.N. Ekonomicheskie sis-temy sovremennoi Rossii: teoreticheskie i prakticheskie problemy razvitiya [Economic systems of modern Rus-
Критерии авторства
Аверченкова Е.Э., Гончаров Д.И., Лысов Д.А. представили модель информационной безопасности разрабатываемой ИСС, рассмотрели основные этапы ее формирования, провели обобщение и написали рукопись. Аверченкова Е.Э. несет ответственность за плагиат.
Конфликт интересов
Авторы заявляют об отсутствии конфликта интересов.
Статья поступила 01.06.2016 г.
sia: theoretical and practical problems of development]. Bryansk, OOO "Novyi proekt" Publ., 2015, 504 p. (In Russian)
Authorship criteria
Averchenkova E.E., Goncharov D.I., Lysov D.A. presented a model of information security of the developed information consulting system, considered its main formation stages, summarized the material and wrote the manuscript. Averchenkova E.E. bears the resposibility for plagiarism.
Conflict of interests
The authors declare that there is no conflict of interests regarding the publication of this article.
The article was received 01 June 2016