Научная статья на тему 'Принципы и задачи асимптотического управления безопасностью критических информационных инфраструктур'

Принципы и задачи асимптотического управления безопасностью критических информационных инфраструктур Текст научной статьи по специальности «Экономика и бизнес»

CC BY
235
123
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / КРИТИЧЕСКИЕ ИНФОРМАЦИОННЫЕ ИНФРАСТРУКТУРЫ / ОСТАТОЧНЫЙ РИСК / НЕПОЛНОТА МОДЕЛИ УГРОЗ / АСИМПТОТИЧЕСКОЕ УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ / МОНИТОРИНГ СОБЫТИЙ БЕЗОПАСНОСТИ / INFORMATION SECURITY / CRITICAL INFORMATION INFRASTRUCTURES / RESIDUAL RISK / INCOMPLETE THREAT MODELS / ASYMPTOTIC SECURITY MANAGEMENT / SECURITY EVENT MONITORING

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Ерохин Сергей Дмитриевич, Петухов Андрей Николаевич, Пилюгин Павел Львович

Обсуждаются особенности управления безопасностью критических информационных инфраструктур (КИИ), устанавливается, что ущерб нарушения безопасности КИИ реализуется, как правило, за пределами такой инфраструктуры и зависимость его от информационных процессов в явном виде не предусматривается. КИИ определяется не через свои свойства, а через ситуацию (инцидент), когда с ними что-то случается и в результате возникает ущерб. Такая точка зрения приводит к некоторой объектной и субъектной двойственности представлений о безопасности КИИ. Кроме того, использование характеристик ущерба в процессе управления для описания целевого состояния безопасности КИИ не определено. Показывается, что существенную роль в определении идеологии управления безопасностью КИИ играет недоказуемость полноты результатов моделирования угроз. На основе рассмотрения модели безопасности "с полным перекрытием" делается вывод, что роль модели угроз в случае КИИ несколько деформируется, фактически допуская, что включенные в модель угрозы (идентифицированные угрозы) составляют лишь часть реально существующих угроз, наряду с которой есть неопределяемая часть за пределами модели (неидентифицированные угрозы). Устанавливается, что важной особенностью формирования такой идеологии является сочетание отличной от нуля вероятности возникновения инцидента, с одной стороны, и невозможности принятия отличного от нуля допустимого остаточного риска. Делается вывод о принципиальной невозможности использования исчисления ущерба как инструмента управления безопасностью КИИ. В качестве цели управления безопасностью КИИ рассматривается не достижение некоторого уровня защищенности, а исчерпание потенциала защиты, Вводится понятие асимптотического управления безопасностью КИИ, каждое последовательное решение которого гарантирует рост характеристик безопасности. Сформулированы первоочередные задачи, которые необходимо решить в рамках описанного подхода.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по экономике и бизнесу , автор научной работы — Ерохин Сергей Дмитриевич, Петухов Андрей Николаевич, Пилюгин Павел Львович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Principles and tasks of asymptotic security management of critical information infrastructures

The article discusses the features of security management of critical information infrastructures (CII), it is established that the risk of a security breach of CII is realized, as a rule, outside such infrastructure and its dependence on information processes is not explicitly provided. CII are defined not through their properties, but through a situation (incident) when something happens to them and as a result there is damage. This point of view leads to some object and subject duality of ideas about the security of CII. In addition, the use of damage characteristics in the management process to describe the target safety state of the CII is not defined. The article shows that an essential role in determining the ideology of CII security management is played by the unprovability of the completeness of the results of threat modeling. Based on the consideration of the "full overlap" security model, it is concluded that the role of the threat model in the case of CII is somewhat deformed, in fact, assuming that the threats included in the model (identified threats) constitute only a part of the actual threats, along with which there is an undetectable part outside the model (unidentified threats). It is established that an important feature of the formation of such an ideology is the combination of a non-zero probability of occurrence of the incident, on the one hand, and the impossibility of taking a non-zero permissible residual risk. It is concluded that it is fundamentally impossible to use the calculation of damage as a tool for managing the safety of CII. As the goal of CII safety management is considered not to achieve a certain level of security, but to exhaust the protection potential, the concept of asymptotic CII safety management is Introduced, each successive solution of which guarantees the growth of safety characteristics. The priority tasks that need to be solved within the framework of the described approach are formulated.

Текст научной работы на тему «Принципы и задачи асимптотического управления безопасностью критических информационных инфраструктур»

ПРИНЦИПЫ И ЗАДАЧИ АСИМПТОТИЧЕСКОГО УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ КРИТИЧЕСКИХ ИНФОРМАЦИОННЫХ

ИНФРАСТРУКТУР

DOI 10.24411/2072-8735-2018-10330

Ерохин Сергей Дмитриевич,

Московский Технический Университет Связи и Информатики (МТУСИ), Москва, Россия, esd@mtuci.ru

Петухов Андрей Николаевич,

Национальный исследовательский университет "МИЭТ", Москва, Россия, anpetukhov@yandex.ru

Пилюгин Павел Львович,

Московский Государственный Университет

им. М.В. Ломоносова, Москва, Россия, ppl@mail.ru

Ключевые слова: информационная безопасность, критические информационные инфраструктуры, остаточный риск, неполнота модели угроз, асимптотическое управление безопасностью, мониторинг событий безопасности.

Обсуждаются особенности управления безопасностью критических информационных инфраструктур (КИИ), устанавливается, что ущерб нарушения безопасности КИИ реализуется, как правило, за пределами такой инфраструктуры и зависимость его от информационных процессов в явном виде не предусматривается. КИИ определяется не через свои свойства, а через ситуацию (инцидент), когда с ними что-то случается и в результате возникает ущерб. Такая точка зрения приводит к некоторой объектной и субъектной двойственности представлений о безопасности КИИ. Кроме того, использование характеристик ущерба в процессе управления для описания целевого состояния безопасности КИИ не определено. Показывается, что существенную роль в определении идеологии управления безопасностью КИИ играет недоказуемость полноты результатов моделирования угроз. На основе рассмотрения модели безопасности "с полным перекрытием" делается вывод, что роль модели угроз в случае КИИ несколько деформируется, фактически допуская, что включенные в модель угрозы (идентифицированные угрозы) составляют лишь часть реально существующих угроз, наряду с которой есть неопределяемая часть за пределами модели (неидентифицированные угрозы). Устанавливается, что важной особенностью формирования такой идеологии является сочетание отличной от нуля вероятности возникновения инцидента, с одной стороны, и невозможности принятия отличного от нуля допустимого остаточного риска. Делается вывод о принципиальной невозможности использования исчисления ущерба как инструмента управления безопасностью КИИ. В качестве цели управления безопасностью КИИ рассматривается не достижение некоторого уровня защищенности, а исчерпание потенциала защиты, Вводится понятие асимптотического управления безопасностью КИИ, каждое последовательное решение которого гарантирует рост характеристик безопасности. Сформулированы первоочередные задачи, которые необходимо решить в рамках описанного подхода.

Информация об авторах:

Ерохин Сергей Дмитриевич, ректор, доцент, к.т.н., Московский технический университет связи и информатики, Москва, Россия, 1 Петухов Андрей Николаевич, доцент, к.т.н., Национальный исследовательский университет "МИЭТ", Москва, Россия Пилюгин Павел Львович, старший научный сотрудник, к.т.н., Московский Государственный Университет им. М.В. Ломоносова, Москва, Россия

Для цитирования:

Ерохин С.Д., Петухов А.Н., Пилюгин П.Л. Принципы и задачи асимптотического управления безопасностью критических информационных инфраструктур // T-Comm: Телекоммуникации и транспорт. 2019. Том 13. №12. С. 29-35.

For citation:

Erokhin S.D., Petukhov A.N., Pilyugin P.L. (2019). Principles and tasks of asymptotic security management of critical information infrastructures. T-Comm, vol. 13, no.12, pр. 29-35. (in Russian)

Исследование вопросов безопасности критически важных объектов получило большое развитие во многих странах. Важной частью такого развития стали постановка и решение задач безопасности для информационных технологий, реализованных в рамках этих объектов (критических информационных инфраструктур, КИИ), в частности задач управления информационной безопасностью. Анализ проблематики управления безопасностью КИИ позволил выявить некоторые специфические особенности этих задач.

Исчисление «управляемого» ущерба

Практически все дефиниции: критически важного объекта и его категорий в различных странах на национальном (государственном) международном уровне |1-3] включают понятие «существенного», «недопустимого», «неприемлемого» ущерба, который возникает в социальной (гуманитарной, культурной), государственной (военной, политической, экономической) или экологической сферах в результате нарушения (прекращения) функционирования того или ииого критически важного объекта. Реальные масштабы, характер и, тем более, содержание такого ущерба в состав определений не входят, поэтому в подавляющем большинстве случаев на практике для критически важных объектов перечислением закрепляются индустрии (отрасли деятельности), вхождение в которые делают объект потенциально критически важным. В дальнейшем может быть индивидуально для каждого объекта реализована процедура оценки степени критичности и дифференциации (категорирования) в соответствии с результатом такой оценки.

Таким образом, КИИ как обеспечивающий ингредиент определяется не через свои свойства, а через ситуацию (инцидент), когда с ними что-то случается и в результате возникает ущерб, т.е. в обычном, неаварийном состоянии КИИ могут не отличаться от «некритических» инфраструктур. Определение КИИ включает состояние среды (государство, люди, природа и т.д.), которые могут никак не участвовать в функционировании КИИ, в том числе никак не влиять па безопасность КИИ.

Такая точка зрения приводит к некоторой объектной и субъектной двойственности представлений о безопасности КИИ. Объектная двойственность выражается в том, что безопасность КИИ рассматривается в виде множества ситуаций, включающих состояние, как самого объекта, так и среды его функционирования. Состояния объекта могут быть необратимыми или даже соответствовать полной утрате объекта, состояние среды может быть безопасным или аварийным (соответствовать инциденту). Каждая ситуация порождается определенным состоянием объекта, он есть ее причина, но в составе ситуации есть еще и состояние среды, возникшее под воздействием объекта, поэтому уровень критичности (значимость) КИИ, строго говоря, зависит и защищенности среды.

Все ситуации, соответствующие инциденту безопасности, составляют множество критичности.

Ущерб, возникающий в результате инцидента безопасности, распространяется на некоторых «получателей» (реципиентов) этого ущерба (реципиентов КИИ). Элементы множества критичности соотнесены с реципиентами КИИ, но субъектная двойственность состоит в том, что реципиент не

обязательно управляет безопасностью КИИ. Другими словами, есть множество реципиентов КИИ и множество субъектов управления безопасностью КИИ, и эти множества, в общем случае, разные. Отсюда следует, что модель, полагающая, эксклюзивность владельцев информационных активов как субъектов управления рисками безопасности, в случае КИИ должна быть расширена.

Вообще, категорирование КИИ исключительно по масштабу и характеру потенциального ущерба [4] деформирует традиционную роль модели риска, учитывающую интенсивность проявления угрозы. Такое категорирование до возникновения инцидента представляется условным (хотя и целесообразным), поскольку в этом случае речь может идти только о потенциальных границах ущерба, а не о его реальном размере.

Все вышесказанное свидетельствует о том, что в контексте распространенных определений и общих моделей КИИ понятие ущерба несколько изменено по отношению к той роли, которую оно играет в традиционной схеме управления безопасностью.

В отечественной системе категорирования КИИ ущерб присутствует в качестве основания для дифференциации критичности [4]. Используемые критерии окончательно закрепляют тот факт, что в соответствии с принятой моделью рассматриваемый ущерб реализуется, как правило, за пределами КИИ и не соотносится со степенью поражения информационных активов или их защищенностью. Хотя критерии критичности (компоненты ущерба) формально метризованы, однако шкалы их оценки специфичны и в большинстве случаев несопоставимы. Кроме того, этичность непосредственного использования подобных критериев и их шкал для описания целевого состояния безопасности КИИ вызывает сомнения, особенно в части гуманитарных или экологических разделов. Поэтому следует признать, что понятие ущерба, используемое при совершении первого шага управления безопасностью КИИ — их категорировании, которое состоит в оценке потенциальных пределов ущерба, не предназначено играть роль объекта управления при последующих шагах.

Одним из подходов оценки достаточности усилий по защите является достижение состояния, при котором внедрение очередной защитной меры сопровождается ресурсными издержками, превышающими снижение ущерба в результате такого внедрения. При этом сопоставление издержек и снижения ущерба должно проводиться в сопоставимых шкалах (например, в деньгах), что в случае КИИ с их критериальным пространством сложно представить.

Методология рискориентированного управления информационной безопасностью, объединяющее модели использующие понятие ущерба, обязательно предполагает использование механизмов исчисления ущерба и его зависимости от применяемых защитных мер и активностей. Некоторые модели требуют оценки ценности информационного актива и доли снижения этой ценности после инцидента, т.е. ущерб устанавливается на базе свойств элементов информационной инфраструктуры, «вплотную» к этим элементам. Даже, если ущерб рассматривается как нарушение более общих информационных процессов, всегда в поле зрения находится механизм исчисления такого ущерба, а в общем случае управления безопасностью КИИ этого не происходит, потому что:

т

• критерии ущерба в процессе управления (после этапа категорирования) не метризуются (используется интегральная оценка «существенности»);

• ущерб реализуется, как правило, за пределами КИИ и зависимость его от информационных процессов не устанавливается;

• использование характеристик ущерба в процессе управления для описания целевого состояния безопасности КИИ, в том числе, для оценки достаточности защитных мер не определено и в ряде случаев этически недопустимо.

Эти обстоятельства приводят к выводу о принципиальной невозможности использования исчисления ущерба как инструмента управления безопасностью КИИ, в том числе в составе известных моделей безопасности.

Остаточный риск и субъективная вероятность инцидента

Одним из наиболее значимых факторов методологии управления безопасностью КИИ является внутренняя диалектика остаточного риска. Многие определения КИИ изобилуют терминами «недопустимый», «неприемлемый», «несоизмеримый» в отношении ущерба, вызываемого инцидентом безопасности КИИ. Попытки спроецировать это отношение на управление безопасностью приводят к выводу о том, что неприемлемость возможного ущерба соответствует недопустимости остаточного риска и невозможности использования этого понятия для описания целевого состояния безопасности КИИ. Это прямое следствие вышеописанного отсутствия механизмов целенаправленного и исчислимого воздействия на величину возможного ущерба в процессе управления безопасностью КИИ. И даже, если бы удалось осознать величину остаточного риска (сколь бы незначительным он не оказался), невозможно отнестись к нему как к некоторому допустимому уровню, представляя «бесконечность» возможного ущерба.

Поэтому практически исключается использование традиционной методологической платформы для поддержки циклических процессов управления безопасностью в виде схемы PDCA (Plan-Do-Check-Act - цикл Деминга-Шухарта), Действительно эта процедура предусматривает установление на первом этапе (Plan) некоторых ориентиров (целевых уровней), на достижение которых направлен процесс (Do), эти ориентиры сопоставляются с результатами цикла на третьем этапе (Check) и затем происходит корректировка-управление (Act). В «некритических» инфраструктурах эти ориентиры характеризуют остаточный риск, однако для КИИ это сделать затруднительно.

При этом совершенно не исключаются традиционные усилия но уклонению от рисков (например, запрещение строительства опасных производств в населенных местностях) или их передаче (например, транснациональное страхование), речь идет о неприемлемости формального принятия остаточного риска, и, как следствие, о неограниченности усилий по его снижению. Заметим, что здесь не рассматриваются ресурсные ограничения и их влияние на решения по управлению безопасностью КИИ.

Эти обстоятельства рассматривается на фоне того, что субъективная вероятность инцидента (мера экспертной уверенности в том, что данное событие состоится в действительности) явно отлична от нуля, иначе КИИ бы не соответ-

ствовали своему определению. И эта вероятность (как, впрочем, и для многих «некритических» инфраструктур) не может быть сведена к нулю, по крайней мере, по причинам, вытекающим из оценки контекста безопасности;

* представление о факторах опасности среды функционирования КИИ (угрозы, нарушители, аварии) не является абсолютно адекватным и исчерпывающим (номенклатура, характеристики);

* созданный в рамках КИИ потенциал безопасности в виде защитных мер и средств не может быть абсолютно совершенным (номенклатура, режимы, настройки) и абсолютно соответствующим реальным факторам опасности среды;

* существует определенная динамика контекста безопасности, изменяется среда функционирования КИИ и ее факторы опасности, с другой стороны развивается КИИ и ее защитный потенциал, эти изменения не могут происходить абсолютно синхронно и согласованно.

В случае КИИ нулевая субъективная вероятность инцидента не рассматривается ввиду того же представления о неограниченности ущерба. Слишком велика в этих условиях цена экспертной ошибки.

Из сочетания условий ненулевой субъективной вероятности и недопустимости остаточного риска необходимо следует вывод О принципиальной недостижимости целевого состояния объекта управления в рамках традиционного рис-кориентированного подхода к управлению безопасностью. Действительно как бы пи была сформулирована цель управления с использованием понятия риска, она не может быть достигнута в условиях КИИ, потому что допустить какой-то уровень остаточного риска нет оснований, а исключить возникновение инцидента нет возможностей [5].

Поэтому формально в рамках рискориентированного подхода КИИ всегда находится в «небезопасном» состоянии, и это обстоятельство можно рассматривать не только как непреодолимый дефект методологии, но и как постоянное стимулирующее основание для непрерывного развития защищенности.

В случае управления безопасностью «некритических» инфраструктур целевое состояние объекта задается в эксплицитной или имплицитной форме, и предполагается существование некоторого способа, с помощью которого можно установить достижение объектом этого состояния (рекур-сннность целевого состояния). В случае КИИ, как выше показано, этого сделать невозможно, т.е. целевое состояние либо не существует, либо недостижимо, и совершенно определенно утрачивает свойство рекурсивно ста (здесь не рассматриваются нормативные требования к безопасности КИИ, которые должны неукоснительно выполняться).

Модель угроз безопасности КИИ

Принятие решений но безопасности предполагает наличие адекватного представления об угрожающей им опасности. В любом конкретном случае есть особенности структуры и формы такого представления, но общим элементом всегда является типология проявления опасности, номенклатура идентифицированных и квалифицированных видов такого проявления, внешних (агрессивность среды) и внутренних (несовершенство объекта) событий и ситуаций, являющихся причиной возникновения.

7ТЛ

В целом, термин «угроза» имеет неоднозначную интерпретацию, но наиболее распространены случаи, когда он используется для обозначения нежелательных событий, воздействующих на информационные активы и приводящие к нанесению ущерба. Очевидно, что в большинстве случаев недостаточно непосредственное использование результата простого перечисления и предполагается обязательное уточнение характеристик угроз, т.е. их моделирование. Моделирование угроз - это процесс, с помощью которого угрозы идентифицируются, перечисляются, а также определяются их свойства, в предположении некоторого набора агрессивных факторов. В частности, подвергается анализу облик, намерения и потенциал вероятного злоумышленника, векторы и сценарии возможных атак, информационные активы, подверженные этим атакам.

В практике (по крайней мере, нормативной) превалирует точка зрения о том, что любой угрозе, включенной в состав модели, можно противопоставить некоторую совокупность защитных мер, с помощью которых интенсивность этой угрозы будет доведена до приемлемо низкого уровня (в идеале угроза будет устранена). С другой стороны, аналогичное и вполне разумное предположение действует в отношении защитных мер, про каждую из которых можно утверждать, что она направлена на противодействие вполне определенным угрозам.

Таким образом, можно утверждать, что, если не допускать ненужной избыточности защитных мер и не оставлять угрозы без соответствующей им защиты, каждому набору угроз соответствует вполне определенный набор защитных мер и наоборот. Разумеется, соотнесение угроз и защитных мер проводится с учетом специфики информационной инфраструктуры, безопасность которой обеспечивается.

Среди известных формализмов наиболее рельефно это обстоятельство выражено в модели с «полным перекрытием», которая строится исходя из постулата, что система безопасности должна иметь, по крайней мере, одно средство для обеспечения безопасности на каждом возможном пути воздействия злоумышленника на информационную технологию. Для описания такой защиты информации рассматриваются отношения: «угроза — объект», определяемых некоторым двухдольным графом, в котором дуга "угроза-объект" существует тогда, когда существует угроза защищаемому объекту [5|.

Каждая угроза может распространяться на любое число объектов, а объект может быть уязвим со стороны более чем одной угрозы. Цель состоит в том, чтобы перекрыть каждую дугу графа соответствующим средством защиты, и множество этих средств обеспечивает защиту множества объектов от множества угроз. Применение множества средств защиты преобразует двудольный граф в трехдольный. При этом одно и то же средство защиты может перекрывать более одной угрозы и защищать более одного объекта [7].

Развитие этой модели (модель «Клементса-Хоффмана») предусматривает введение вероятности появления таких угроз, степени противодействия механизмов защиты и стоимости ущерба для объектов в случае успешной реализации угрозы [7|. Такая модель делает более понятным вероятности инцидента и исчисление, как возможного ущерба, так и остаточного (допустимого) риска в случае учета затрат на

реализацию механизмов защиты, которые не должны превышать возможный ущерб [8].

Рис. 1. Преобразование двухдольного графа «угроза-объект» в трехдольный «угроза-механизм защиты-объект»

Однако, следует отметить, что развитие этой модели для КИИ отягощено тем, что в условиях отказа от понятия остаточного риска упраздняется оценка интенсивности угрозы, и становится практически бессмысленным анализ степени снижения этой угрозы в результате принятия мер безопасности. Модель угроз примитивизируется до бинарного состояния («есть угроза — нет угрозы»).

Кроме того, модель с «полным перекрытием» исходит из предположения, что она учитывает описания всех возможных угроз, что невозможно для любой офаниченной модели. Также невозможно представить себе утверждение, что какой-то угрозы изначально нет, или, что какая-то угроза полностью упразднена мерами безопасности (понятия несущественности или незначительности угрозы в этих условиях не существуют).

Таким образом, подобно целевому состоянию безопасности КИИ роль модели угроз в этом случае несколько деформируется, фактически допуская, что включенные в модель угрозы (идентифицированные угрозы) составляют лишь часть реально существующих угроз, наряду с которой есть неопределяемая часть за пределами модели (неидентифипи-рованные угрозы). Корректно сопоставить актуальность этих видов угроз не представляется возможным потому, что оценка актуальности включает не только характеристики частоты проявления угрозы, но и ущерб, который возникает при ее реализации или воздействие на остаточный риск, но как показано, использование этих показателей в условиях КИИ затруднено.

Неидентифицированные угрозы в том или ином виде могут проявляться в процессе функционирования «некритических» информационных инфраструктур, и отношение к таким проявлениям можег быть как пассивно-ре активным (пополнение баз сигнатур антивирусного средства), так и предупреждающе-акгавным (развитие мониторинга событий безопасности), все зависит от того, как эти проявления влияют на оценку остаточного риска.

Все известные методологии моделирования угроз явно или неявно исповедуют догмат, утверждающий достаточную полноту модели.

Тем не менее, положительных результатов создания корректного механизма для формального доказательства исчерпывающей полноты используемой модели угроз пока неизвестно, скорее в общем случае можно утверждать обратное [9],

Асимптотическое управление безопасностью КИИ

Сделанный вывод о неопределенности целевого состояния безопасности КИИ и о неполноте модели угроз вовсе не лишает процессы управления смысла, потому что если невозможна реализация парадигмы достижения цели ввиду неопределенности последней, то ее следует заменить парадигмой приближения к цели, т.е. целеполагание в виде достижения рубежа заменяется целеполаганием в виде направления движения к рубежу.

Таким образом, вводится в рассмотрение понятие асимптотического управления безопасностью КИИ, каждое последовательное решение которого гарантирует больший или меньший рост характеристик безопасности КИИ (асимптотическое приближение к идеалу).

При такой постановке в качестве цели управления безопасностью КИИ рассматривается не только достижение некоторого уровня защищенности {сбалансировать риски с затратами, привести некоторую производную меру (риска, доверия, экономических показателей) к заданному уровню или оптимизировать характеристики такого рода).

Целью обеспечения безопасности КИИ становится исчерпание потенциала защиты («сделать все, что можно») независимо от содержания и направленности агрессивных проявлений и при условии известных и ограниченных возможностях защитных активностей [10]. В этой парадигме нелевое состояние безопасности определяется не в терминах угроз и, возможно, гармонизированных с ними сущностей (нарушитель, актив, уязвимость и т.д.), когда утверждается, что некоторый (претендующий на исчерпывающую полноту) набор актуальных угроз скомпенсирован, оно определяется непосредственно в терминах видов и характеристик защитной деятельности (активностей).

Знаковым обстоятельством является то, что ни в одном методическом нормативе КИИ (отечественном или зарубежном) пет категорической зависимости защитных решений от состава и происхождения угроз. Поэтому можно сделать предположение, что для этих условий вполне возможно пересмотреть методологию в части базирования на моделировании угроз и, прежде всего, сконцентрироваться не Fia угрозах, а на защитных активностях и реализовывать все те меры, эффективность которых положительна, решая нетривиальную задачу обеспечения формальной полноты номенклатуры активностей и метризации их эффективности в зависимости от условий, в т.ч. совместности применения.

Уровни управления безопасностью КИИ

Для управления безопасностью КИИ, как сложной системы с множеством различных связей (включая недетерминированные) реализовать единый и формально непротиворечивый поток управляющих воздействий нереально. На практике выделяют уровни управления, характеризующиеся своими объектами и методами, обеспечивая при этом согласованность целей и критериев, особенно для процессов взаимодействия таких уровней. В сфере информационной безопасности традиционно рассматриваются три таких уровня [11];

* концептуальный уровень, рассматривающий информационную систему (КИИ в нашем случае) как единый объект управления со специфицированными внешними ин-

формационными связями и свойствами, характеризующими этот объект в целом;

• операционно-фунациональный уровень, вводящий в рассмотрение структуру системы, свойства и функции ее элементов и связей между ними (этих уровней может быть несколько, в зависимости от глубины декомпозиции);

• транзакционный уровень, рассматривающий непосредственно текущие информационные процессы и состояния, в том числе изменения элементов системы и их связей (в идеале в реальном времени).

В пределах отечественного нормативного пространства для КИИ основным управляющим воздействием на концептуальном уровне является их категорирование, в рамках которого определяется степень их критичности и, как следствие, требуемый уровень защищенности, что в свою очередь порождает соответствующий этому уровню базовый набор защитных мер.

Поскольку, как было выяснено выше, возможное отображение множества защитных мер на множество предотвращаемых ими угроз, т.е. уже само категорирование, без каких-либо дополнительных приемов или методик моделирования вполне определяет некоторый набор идентифицированных угроз, соответствующий базовому набору защитных мер [12] (защитные меры из базового набора эти угрозы блокируют). Эта совокупность угроз (базовый набор угроз), хотя непосредственно не формулируется, неявно присутствует на последующих уровнях управления.

На операционно-функциональном уровне с привлечением модели угроз, независимо сформированной традиционным способом и в явном виде, базовый набор угроз фактически дополняется и, исходя из специфики структурно-функциональных характеристик объекта корректируется базовый набор защитных мер. Эти процедуры выполняются согласованно, поскольку включив в состав модели угрозу, необходимо принять соответствующие защитные меры, а расширение набора защитных мер происходит с целью противостоять конкретным угрозам. Как и на концептуальном уровне, речь идет об индентифицированных угрозах.

Нормативно обязательные процедуры, обеспечивают согласованность формирования наборов угроз (правда, не всегда в явном виде) и защитных мер и соответствуют модели безопасности с полным перекрытием. Если все сделано корректно, управление безопасностью как противодействием идентифицированным угрозам на этом исчерпывается (с точностью до текущего администрирования).

Единственным основанием подозревать неполноту набора угроз, соответствующего уточненного дополненному адаптированному базовому набору защитных мер [12], может стать только проявление неидентифицированной угрозы, которое индицированно при выполнении конкретной транзакции обработки (передачи) информации. Угроза проявляется в виде возникновения некоторого события (группы, последовательности событий), развитие которого может привести к развитию инцидента и последующего недопустимого нарушения функционирования (т.е. к ущербу) [13]. Поэтому привлекает внимание активный мониторинг событий как средство индикации иеидентифицированных угроз и организация реагирования на такие события как основное средство защиты от этого вида угроз (такое реагирование может производится не только на транзакционном уровне

7ТТ

управления, по реализовывать обратную связь дня операционного и возможно концептуального уровней).

С точки зрения сформулированной парадигмы асимптотического управления безопасностью развитием защищенности (приближением к идеалу) можно рассматривать и расширение номенклатуры событий, подвергаемых мониторингу и повышение качества реагирования (снижение уровня ошибок). Решение этих задач связно с разработкой формальных моделей для описания (выявления) сетевых событий, активный мониторинг которых обеспечивает индикацию угроз безопасности и уровня защищенности.

Таким образом, для развития решений в рамках описанного выше подхода необходимо решение, по крайней мере, следующих первоочередных задач:

• обоснование и подтверждение гарантированное™ роста защищенности при реализации процедур асимптотического управления (активностей), установление границ и условий такой гарантированное™;

• создание методов и средств (или адаптация известных) для реализации процедур асимптотического управления (активностей), оценка возможностей взаимодействия с другими сервисами безопасности;

• оценка эффективности и оптимизация решений по реализации процедур асимптотического управления (активностей), в первую очередь, с точки зрения интенсивности роста характеристик безопасности.

Литература

1. Федеральный закон Российской Федерации 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017.

2. Green Paper on a European Programme for Critical Infrastructure Protection. Commission Of The European Communities. Brussels, 17.11.2005, СОМ/2005/576 final, CELEX:52005DC0576.

3. Framework for Improving Critical Infrastructure Cybersecurity. //National Institute of Standards and Technology, USA, April, 16,2018.

4 Постановление правительства Российской Федерации № 127 от 08.02.2018 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

5. Гуснин СЮ. Петухов А.Н. Эталонная модель безопасности критических информационных инфраструктур. XXII Международная конференция по мягким вычислениям и измерениям SCM-2019 (23-25 мая 2019 г, Санкт-Петербург, СПбГЭТУ «ЛЭТИ»),

6. Петухов А.Н. Информационная база управления кибербе-зопасностью критических инфраструктур. XI Международная отраслевая научно-техническая конференция "Технологии информационного общества". (15-16 марта 2017 г. Москва, МТУСИ).

7. Хофман Л.Дж. Современные методы защиты информации. М.: Советское радио, 1980. 264 с.

8. Симонов С.В. Анализ рисков, управление рисками // Jctlnfo № 1, 1999. С. 11-17.

9. Успенский В.А. Теорема Геделя о неполноте. Популярные лекции по математике. Вып. 57. М.: Наука, 1982. 112 с.

10. Erokhin S., Petukhov A., Pilyugin P. Critical Information Infrastructures Security Modeling https://fruct.org/publications/fruct24/ files/Ero.pdf, дата обращения 15.11.2019.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

11. Курило А.П.. Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Основы управления информационной безопасностью. М.: Горячая линия - Телеком, 2013. 245 с.

12. Приказ ФСТЭК России № 239 от 25.12.2017 «Об утверждении Требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

13. Петухов А Н., Пилюгин П.Л. Нормативное определение событий безопасности, Всероссийкая конференция "Радиоэлектронные устройства и системы для и н фоко м м у н и ка ционных технологий» REDS 2019 (29-31 мая 2019 г. Москва, РНТОРЭС им. А.С. Попова).

PRINCIPLES AND TASKS OF ASYMPTOTIC SECURITY MANAGEMENT OF CRITICAL INFORMATION INFRASTRUCTURES

Sergey D. Erokhin, Moscow Technical University of Communications and Informatics, rector, esd@mtuci.ru Andrey N. Petukhov, National research University "MIET", associate professor, anpetukhov@yandex.ru Pavel L. Pilyugin, Moscow State University. M. V. Lomonosov, senior research specialist, paul.pilyugin@gmail.ru

Abstract

The article discusses the features of security management of critical information infrastructures (CII), it is established that the risk of a security breach of CII is realized, as a rule, outside such infrastructure and its dependence on information processes is not explicitly provided. CII are defined not through their properties, but through a situation (incident) when something happens to them and as a result there is damage. This point of view leads to some object and subject duality of ideas about the security of CII. In addition, the use of damage characteristics in the management process to describe the target safety state of the CII is not defined. The article shows that an essential role in determining the ideology of CII security management is played by the unprovability of the completeness of the results of threat modeling. Based on the consideration of the "full overlap" security model, it is concluded that the role of the threat model in the case of CII is somewhat deformed, in fact, assuming that the threats included in the model (identified threats) constitute only a part of the actual threats, along with which there is an undetectable part outside the model (unidentified threats). It is established that an important feature of the formation of such an ideology is the combination of a non-zero probability of occurrence of the incident, on the one hand, and the impossibility of taking a non-zero permissible residual risk. It is concluded that it is fundamentally impossible to use the calculation of damage as a tool for managing the safety of CII. As the goal of CII safety management is considered not to achieve a certain level of security, but to exhaust the protection potential, the concept of asymptotic CII safety management is Introduced, each successive solution of which guarantees the growth of safety characteristics. The priority tasks that need to be solved within the framework of the described approach are formulated.

Keywords: information security, critical information infrastructures, residual risk, incomplete threat models, asymptotic security management, security event monitoring.

References

1. Rossiyskaya Federaciya (2017) 187-FZ 26.07.2017, Federalniy zakon "O bezopasnosti kriticheskoy infrastrukturi Rossiyskoy Federacii" [Federal law of the Russian Federation 187-FZ "On security of critical information infrastructure of the Russian Federation" dated 26.07.2017], Moscow, Russia

2. Commission Of The European Communities (2005), C0M/2005/576 final, CELEX:52005DC0576 Green Paper on a European Programme for Critical Infrastructure Protection. Brussels, Belgium.

3. National Institute of Standards and Technology (2018) Framework for Improving Critical Infrastructure Cybersecurity, USA.

4. Pravitelstvo Rossiyskoy Federacii (2018) No. 127 08.02.2018, Postanovlenie "Ob utverzhdenii Pravil kategorirovaniya ob'ektov kriticheskoy informa-cionnoy infrastrukturi Rossiyskoy Federacii, a takzhe perechnya pokazateley kriteriev znachimosti ob'ektov kriticheskoy informacionnoy infrastrukturi Rossiyskoy Federacii I ih znacheniy". [Resolution of the Government of the Russian Federation No. 127 of 08.02.2018 "On approval of the rules of categorization of objects of critical information infrastructure of the Russian Federation, as well as the list of indicators of criteria of significance of objects of critical information infrastructure of the Russian Federation and their values"], Moscow, Russia.

5. GusninS.Y. and Petukhov A.N. (2019). Security reference model for critical information infrastructures. SCM 2019 XXII International Conference on Soft Computing and Measurement, 23-25 May, 2019 Saint-Petersburg, Russia.

6. Petukhov A.N. (2017). Cybersecurity management information base for critical infrastructures. XI Mezhdunarodnaya otraslevaya nauchno-tehnicheskaya konferenciya "Tehnologii informacionnogo obschestva" [XI International branch scientific and technical conference "Information and society technologies"], 15-16 March 2017, Moscow, Russia.

7. Hoffman, L.J. (1977). Sovremenniye metodi zazhiti informacii [Modern methods for computer security and privacy] 1980, Sovetskoye radio, Moscow, Russia.

8. Simonov S.V. (1999). Risk analysis, risk management, JetInfo. Vol.1, pp. 11-17.

9. UspenskiyV.A. (1982). Teorema Gedelya o nepolnote. Populyarnie lekcii po matematike. Vipusk 57 [Godel's theorem on incompleteness. Popular lectures on mathematics . Issue 5] Nauka, Moscow, Russia.

10. Erokhin S.D., Petukhov A.N. and Pilyugin P.L. Critical Information Infrastructures Security Modeling, available at https://fruct.org/publications/fruct24/files/Ero.pdf, , Accessed 15.11.2019.

11. Kurilo A.P., Miloslavskaya N.G., Senatorov M.Y. and Tolstoy A.I. (2013). Osnovi upravleniya informacionnoy bezopasnostyu [Frameworks for information security management] Goryachaya liniya-Telekom.

12. FSTEK Rossii (2017) № 239 ot 25.12.2017, Prikaz "Ob utverzhdenii Trebovaniy k obespecheniyu bezopasnosti znachbmsh ob'ektov kriticheskoy informacionnoy infrastrukturi Rossiyskoy Federacii" [Order of FSTEC of Russia No. 239 dated 25.12.2017 " On approval of requirements for security of significant objects of critical information infrastructure of the Russian Federation"], Moscow, Russia.

13. Petukhov A.N. and Pilyugin P.L. (2019). Normative definition of security events. REDS 2019 Radioelektronnie ustroystva i sistemi dlya infokommunika-cionnih tehnologiy [REDS 2019 Radio-electronic devices and systems for info-communication technologies], Moscow, Russia 29-31 May, 2019.

Information about authors:

Sergey D. Erokhin, Moscow Technical University of Communications and Informatics, rector, Moscow, Russia Andrey N. Petukhov, National research University "MIET', associate professor, Moscow, Russia Pavel L. Pilyugin, Moscow State University. M. V. Lomonosov, senior research specialist, Moscow, Russia

i Надоели баннеры? Вы всегда можете отключить рекламу.