Вероятностное представление условий своевременного реагирования на угрозы компьютерных атак Текст научной статьи по специальности «Компьютерные и информационные науки»

I ВЕРОЯТНОСТНОЕ ПРЕДСТАВЛЕНИЕ УСЛОВИЙ СВОЕВРЕМЕННОГО РЕАГИРОВАНИЯ НА УГРОЗЫ КОМПЬЮТЕРНЫХ АТАК

Кондаков С.Е.1, Мещерякова Т.В.2, Скрыль С.В.3,

Стадник А.Н.4, Суворов А.А.5

Аннотация. В статье актуализируется необходимость обоснования модели нарушения безопасности инфо-коммуникационной инфраструктуры (ИКИ) вследствие компьютерных атак на ее сегменты. Подобное обоснование рассматривается как предпосылка для формализации процессов реагирования на угрозы безопасности информации с целью исследования характеристик своевременности реагирования. Рассматривается ограничения на интерпретацию действий нарушителя как источника угроз безопасности информации сегментов ИКИ. Обосновывается и доказывается наличие свойств ординарности, стационарности и отсутствия последействия у потокового представления угроз компьютерных атак на сегменты ИКИ. Приводится типизация моделей нарушения безопасности информации сегментов ИКИ, классификационным основанием которой служит возможность (или ее отсутствие) комбинированного воздействия такого рода угроз. Анализируются существующие подходы к формализованному представлению характеристики эффективности действий нарушителя безопасности информации сегментов ИКИ. Формулируется общий вид условий своевременного реагирования на угрозы компьютерных атак на сегменты ИКИ, учитывающие динамику проявления угроз и реагирования на угрозы в формализованном представлении характеристик эффективности действий нарушителя. Приводится конкретизация общего вида условий своевременного реагирования на угрозы применительно к обоснованной типизации моделей нарушения безопасности информации сегментов ИКИ. Приводится общий вид аналитической модели показателя своевременности реагирования на угрозы компьютерных атак на сегменты ИКИ. Обосновываются законы распределения параметров общего вида аналитической модели для ее приведения к частному виду. Приводятся результаты вычислительного эксперимента, проводимого с целью доказательства свойств монотонности и непротиворечивости физическому смыслу показателя своевременности реагирования на угрозы компьютерных атак на сегменты ИКИ как математической функции.

Ключевые слова: инфокоммуникационная инфраструктура, угрозы компьютерных атак, модель нарушения безопасности информации.

Введение

Современная инфокоммуникационная инфраструктура (ИКИ) характеризуется наличием существенного числа сегментов, являющихся по своей природе информационными системами, предназначенными для работы с данными конфиденциального характера6. Функционирование этих сегментов регламентируется стандартами в сфере информационной безопасности [1-5]. Отправной точкой в исследовании проблем, связанных с обеспечением информационной безопасности7 сегмен-

DOI: 10.21681/2311-3456-2019-6-59-68

тов ИКИ, является представление модели ее нарушения как источника угроз компьютерных атак [6-8].

Ограничения на интерпретацию действий нарушителя как источника угроз компьютерных атак на сегменты инфокоммуникационной инфраструктуры

Формальная интерпретация компьютерных атак на сегменты ИКИ связана с их представлением как ре-

1 Кондаков Сергей Евгеньевич, кандидат технических наук, сотрудник Восьмого управления Генерального штаба Вооруженных Сил Российской Федерации, г Москва, Россия. E-mail: KCA80@yandex.ru

2 Мещерякова Татьяна Вячеславовна, кандидат физико-математических наук, начальник кафедры, Воронежский институт МВД России, г Воронеж, Россия. E-mail: tmescherikova4@mvd.ru

3 Скрыль Сергей Васильевич, доктор технических наук, профессор, профессор МГТУ имени Н.Э. Баумана, г Москва, Россия. E-mail: zi@bstu.ru

4 Стадник Александр Николаевич, кандидат военных наук, начальник кафедры, Краснодарское высшее военное училище, г. Краснодар, Россия. E-mail: znymo@mail.ru

5 Суворов Алексей Александрович, сотрудник Восьмого управления Генерального штаба Вооруженных Сил Российской Федерации, г. Москва, Россия. E-mail: suworow_alex@mail.ru

6 Путин В.В. Пленарное заседание Международного конгресса по кибербезопасности, 2018. URL: http://www.kremlin.ru/events/president/ news/57957 (дата обращения 01.02.2019).

7 Например, Р 50.1.053-2005, ГОСТ Р 51275-2006, ГОСТ Р ИСО/МЭК 15408-1-2013, ГОСТ Р ИСО/МЭК ТО 13335-4-2007 и др.

зультата противопр авн ыхоеИютв ий, вов-ренемы х нарушителем в отношении информационных ресурсов и информационных процессов данных сегментов [9-14].

Это, в свою очлоедб, накоасывает оврагичения на интерпретацие ддхствий h^apyLHt^^^/^я, суть которых, в общем случае, сводится к следующему:

1) насешитель Дезопасносте информакис в ИКИ может рассматривавьерокачнисдкак внешн^го ^^ки в^^^^р^е^нне^^^ 1^сто1^ника урроз компнютврныкатак[14,15];

2) за исследуемый -ернод для того нврушителя характереа однокб2П1сть п рдтивоправрых оействий, квязтн ных:

а) сполучением доступа к кон4иденцвальнойнй-формаоит н ее оесаокционированным кинироивнвем;

О) модификацией или уничтожением определенные массииов дитных;

¡в) (Зло1^и|иоЕзн^иезго пнТоцеоционнре процессов в сегеенте ИКН п|пи рпреоил-ннтх етпдинх.

П рн 4T0WI такиго ионсаиейртвия нлвг^нт етггь знтияя-хыми [9, 1.6].

3)нарашение поногв, двто выли ввох треки састоррий сащищенносси инфо|омакип с аегментв И КО опредооя-чтся иярчнноетню раоетииТ нарзсникити^ля.

Уклеинные сэг^оэ;^нti^lshсктс/сткс поедеонынки0 рис прьыустевнечия плтхны ^ер^з; онмньисмеимые ы^тах<е ка н|кеменнор иннеовзле В;] иссттчеиання кам пе-тсои лобытиРИ, ьррактержцыощхгоуп стадионарнопгью, ое^Ах^ н;ар)мсс;т/ью к онсннствиьм поеседыыйнткинД

й рертит перлержи ирив1доо нлоНейвн етгеинимяналтн)-оии с [псксватрстваемого юнокд событип еа-вколин;

пнивеиовонть ТНгЫ оеоеаиьегм интодновк [нц, К;) к/а мныопиа иртама Ку, ндо мооеиеа оквичыаilи,ь t; иссле-допоиия ^унновь Яет^к^етасгноситт снфтсмация 4 сдгаонве ^КО, е^Ы— а*" Ьщ ¡(р

вевьятность Н(ко) компиютооноё атьии иа тнОормоци-онные ресурсны и иофе|ндицчдниае np^oL)^тctai иииыенед;

нхниво ?фва) п|^<K5=iat/ч^смв prpoi нпянисктев ных аиаккакеиинд вр"еменнотт инттрвеоа междеовемя ьо-сеедовательными проаидеотами тдкогородаугроз.

Прпедлоложенне о сткфиоаардрськ поцота угтоы аое-пьюировоаанвк в нехмегтих ИМИ Кмтирнетая на внтыи-нениидвух оснкнаых усоовсй:

.го ддгаредхситр ио в|оосзни: вероятности 1Р(птт) вантсст ти-льэитси еи Aí и нв зевиснт о- адо полнжынир на временной ос и, то есть для величины Р(ка) будет спсуведсмвси- кнша р/алоахе: O^'y^.j-m > Ркао., мрни

АН- Ре/ ДПЫ

моменты проявления угроз имеют одинаковую среднюю п^сзанис^Ьз Л, тострая нв ивмдыоитсу ыт еиоме-ни,азавьдитлитгькт не|тионо пц)оoеp<^ltия Т(ят):

ие а0 -УМОу^юь* (1)

Наличие свойства ординарности потока угроз компьютерных атак в сегментах ИКИ обусловлено одно-кратностьюпротивоправныхдействийнарушителя. Доказательство свойства отсутствия последействия

8 Вентцель Е.С. Исследование операций. - М.: Советское радио, 1972. -552 с.

в потоке угрозкомпьютерных атак в сегментах ИКИ основывается на том, что угрозы появляются в последовательные моменты времени, при этом распределяясь наинеереале независимодруг отдруга.

Исходя из того, какие состояния защищенности информации сегмента ИКИ нарушаются, возможны три варианта модели нарушений ее безопасности, которые могут отличаться между собой возможностями (или отсутствием возможностей) нарушения одного, двух или всех трех основных состояний защищенности информации - ее конфиденциальности, целостности и доступности. В [9, 12, 14] эти варианты определены как про-стейшаяи комбинационная модели угроз.

Термином «простейшая модель» определяется модель, для которой характерна независимость угроз компьютерных атак как предпосылки нарушения основных состояний защищенности информации сегмента ИКИ, исходя из того, что эти угрозы составляют полную группу независимых событий. Использование такой модели оправдано лишь в случае жестких ограничений на возможности нарушителя и реализации компьютерных атак в сегменте ИКИ. В исследовательском плане простейшая модель является средством оптимистической (с позиции исследователя [17]) оценки возможностей на-рушителяпо реализацииугроз рассматриваемого типа.

Для комбинационной модели угроз компьютерных атак в сегментах ИКИ отражаются все возможные виды комбинационных воздействий на информацию с целью нарушения основных состояний ее защищенности. К возможным видам комбинационных воздействий следует отнести следующие последовательности нарушениясостояний:

- нарушение целостности информации после нарушения ее конфиденциальности (комбинационная модель нарушения конфиденциальности и целостностиинформации);

- нарушение доступности информации после нарушения ее конфиденциальности (комбинационная модель нарушения конфиденциальности и доступностиинформации);

- нарушение доступности информации после нарушения ее целостности (комбинационная модель нарушения целостности и доступности информации);

- последовательное нарушение конфиденциальности, затем целостности, а затем доступности информации (комбинационная модель нарушения всехсостоянийзащищенностиинформации).

В отличие от простейшей модели в рамках комбинационных моделей вероятности угроз нарушения конфиденциальности, целостности и доступности информации в сегменте ИКИ являются условными, подразумевающими выполнение одного события при условии реализации другого. Применительно к реализации нарушителем компьютерной атаки эти события связаны свыполнениемследующихпротивоправныхдействий:

- несанкционированное копирование определенных массивов информации сегмента ИКИ с их последующей модификацией или уничтожением наносителе;

- несанкционированное копирование определенных массивов данных сегмента с последующим блокированием доступа к информации;

- несанкционированная модификация сегмента ИКИ или уничтожение определенных массивов данных с последующим блокированием доступа к и н формации;

- несанкционированное копирование определенных массивов данных сегмента ИКИ с их последующей меднфикацией или уничтожением на носителе, а затем Олоюрованае доступа к информации.

Вследствие полноты отражения всех возмсжнд1х действин нмрцшнилня при ремризадии ксвдьютеиеой атаки в иеаментлЛЗИ ннмбинлцмонная оюдель явзяет-ся средством наиболее аднкватнон оценниего вонмшж-вастмр. Оиа яв/\ратсв мошньью навболжшкро увлкрНя, ваеосимого яв-тцал£знии>тиа>и\о ноянйолд и иьфтрма-ционным процессам сегмента вследствие нарушения безопасности его информации. Висслиуовашельекнм мланй кооШзяаидио^еюя модиль нввнвтсй оолоснаиб сесмлмистевескмР (е иояицри висляооралаля) илентл возможностей нарушителя пон-нлизадии юнроз рас-вмат^вааякго тикл.

Существующие подходы к формализованному представлению характеристики эффективности деУсивай нсеншитеаю по реализации угроз кшп ь ютерных атак

К настоящему времени в практике исследования угроз безопаан остнинфермабии ресработсн р5вуж вади-антои матоматисязрр/о тредснноиеднл хаснку-клепки эффективности дей^"^ваннн^:^^итнея с целью дьоевце-рфсоа реевллзиии уг|екз. -ри ляиозаты ввтсвжио! рк клеолюмшх усиовллт [й]:

Э(ш) -к 1 при Г^) > ,

(ка)

Э(ка) = С- при С(н() ^ "(ка),

и д

(3)

где: Э

(ка)

характерис™ ка эфИнитидности дейсавие

^(Т(р) > Т(ка) ) — 7^1=

(4)

де:

аь =

_ — 1 , П Р И Т(р) I > Т(к а) I

О се п р о т и в н о м сиуч ае'

Т(р)1

время реогароаання на ¡-ую аоетьютерную атаку средствами защиты инуорма ции сегмента ИКИ, б(фг)г - время реализации г'-й ко1Я1пью^^рней атаки, I - общее няало сомпьютелнк1а оиам в лоинние ииторза-на нренени ц ^2]] исследниаиия информсционоо1х процессов всегменте ИКц.

С учетоо тога, тко ус л оои я (2) и (3) места вмнют пзл-ную группу аобылий, |т|меее юелто инидующед выдтжц-ние для свнивременвосии ^(/0в£^а^изтваеня ии уироеы компьютерныхатак:

Э(е,) _Н — 3,

(ка)

(5)

Вместе с тес, исхлдя из (2)нсри обосесманзи мт|вае-теристики Э(ка) эффективности действий нарушителя по реализации камвьютмлныматае ньучиаыдрюмонврммя начала атали и начина дкигарованиа на та кого реса угрозу безопасности информации. Это приводит к тому, что характернст)кк Э(ка) и ОИр) Иудут ьорае1яиыми лишь в случае мгиотонклго зеагисованан мс векпьмиеьную атаку. Обозеакив чецви ееаа) и 1Пн) - врамя начала компьютерной атаки и ое иТнар^енмя мредствамз защоты информацин, ьс^с^евё5и^тв^1-1ыс/, усесвие мтдвенного |ьи£|( гированиянатакого родаугрозупредставляетсяввиде:

е(о) 0(Шсстзс)

о

(6)

мкауриоеллло рлакизрцин ромпаизиеиныхожак, з-Яо) и время реагирования на угроау компьютернтй н^^ки^^ время реализации юакеао нкда утрозы.

При оценке действий нарушиииля -оооозе )) мвдя-ется обязательным требованием к их реализуемости. Если же условие (2)наокблюдантия, ео ее^твие никух шителятеряютсмыил.

Случайный характер обеих входящих в неравенство (2) величин характерииунт тгккеа юнучайннают°ытае, наступающее с вероьттоитдю Рдр.(—)>ш статистическом плане данная вероятность представляет собой среднее колилестно сннукоий. п.и рдто^пх за время реализации компьютерной атаки на информационные ресурсы и информационные процессы сегмента не удавалось выполнить функции рсагирования на подобного рода угрозу безопасности информации, отно-сительнообщегочислапопытокеереализации:

Учетдинамикиреализацииугрозкомпьютерных атак и реагирования на такогородаугрозы в формализованномпредставлениихарактеристик эффективности действийнарушителя

Так каж ла поаамдте выпоонсншк у(ловия (6) тв-ляется маооваровтаым соее1пиен, внееикамт необходимость обоснованая вероятностного представления условий, которые учитывали бы время начала компьютерной атаки и еа мбснзужения, Это, н свою оаоамаа, предполагает -оулоеотс фер>м альнп1н онноп мснааити-ческого представления характеристик эффективности действий ннрушималя по ^элита^а компыыае^ых атак и своамременсасан веагиродниня на дакоао нода угрозыдляусловия,альтернативногоусловию(6):

Уры - -Р(^?са) ^ О

(7)

В этом случае последовательность событий, связанных с реагированием на угрозы компьютерных атак, интерпретируетсяматематическикорректно.

На примере простейшей модели нарушения безопасности информации рассмотрим условия своевременного реагирования на угрозу компьютерной атаки, учитывающиеусловие(7):

и

¡(ка) < ¿(о),

(о) < ¡(ка) + Т(ка))

¡(о) + < ¡(ка) + 7(Ка)

(9)

(10)

На рис. 1 - 3 приводятся области определения условий (8) - (10), соответственно, а на рис. 4 - область выполнения этих условий.

Рис.1. Графическая интерпретация области выполнения условия (8)

Рис. 2. Графическая интерпретация области выполнения условия (9)

т(ка)-т(р)

/

А

1:(о)<1:(ка)+Т(ка) -Т(р)

/

/I

г

/

/

✓г

/

Цка)

Рис. 3. Графическая интерпретация области выполнения йУлпаио(йй))

а \ч уТ^ГТ^

\ 5= У

ж

та;

г: ч. \

XV

х \

X

3

\\

ж

К

Й

\

\

К

к

\

7\

А

/\

\

\

А

К

1(ка)

Рис. 4. Графичеспол иниерпретацоя йОлпатк выполнения условий (8) - (10)

Проидентифицировав индексом ¡цели реализации угроз компьютерных атак, условия (8) - (10) для про-стейшеймоделоможно пре дс та вит ь в видя:

¡(ка)г < ¡(о)г , ¡(о) г < ¡(ка)г + ^(ка)Ь ¡(о)! + ?(р)г < ¡(ка)г + Цш)г-

(11) (12) (13)

где: i = 1 соответствует нарушению конфиденциальности информации; i = 2 соответствует нарушению целостности информации; i = 3 соответствует нарушению доступности информации.

Сучетом приведенной индексации усговия (8) - (10) для вомСеяоционных роделей предстввляются д авде: для случтл нарушения конфидеыциальности л ци-лншнрсти енфурмаоио

в(шН1 < >(я)1 "(я)1 Д Л(еа)1 4 Я(ка)1 + Цка)2

(1.4) ) УЗ-УН)

>(я(1 2я я "Я -у(-(():^т<:Д Я(ка)\ Дг + Д(ка)2 Л16)

для случая яарушеняя конфиденнияланоити и до-ступносте инао^аееа

Л(Р1)1 < /(я)1

>(й)1 < >(031 < (Я(га)1 + К^п-Л

>(я)1 + + Дау + Ннмс1 + -

алт слечяя натушсния цекоутюсти ( 1лсту(нлсти информации:

дня сл)чая ^(И|дии1-И^((|8^ всех сосеоянии защищесно-сти -[хОпориУсЗ^ии:

Т(Оа0) < й(я)2 >(оЦ1 < >(ш)1 + 0И)1 Д0пе2 + р(ш)Л

Я(я)Н ^н.)^ + Г(/))2 " Г(р)И

<

< <

(ш) + (юя)! + )да8+ М(и())е

)2Д) (24)

(2 5)

(17)

(18)

—<0 9)

(20)

>{¡<2" < >(я)2 Н(я)2 < У(коС2 + ДНо)" "Д -(ио" (;21)

в(я)2 + Ли + ШшосШ ^+ 0чн)2 + Ые (22)

Случамныый характер велисин е(о)), р(р)л ЫиаО и Я(ке)г приаидяи с недбходимосои п|ни ^о|„91ир^сэ^^-тии сераутерискикш сваеоремреностн -наоиеованиб на угрозы компьютерных атак представления услоя!й ЦН) - (И5) кук1аучай1ыхси0ытий, характсрнаующихся ИРр(ИП0ОСТИЮ ИХ Э018ОЛИОНИЯ. 0О|6ИЛЬИО эяа ЕЗ^|ЧОтт-нусть представляет собой вероятность нахаждения слу-чляных велнчир Оф, ТН-оь >(-к>' и М-8 всутри кб-/у^яти ССС ))ИС. 4).

С учетом приеден ной вы ше )мме н моде-

лей нарушения безо(асности информации в сейме!те ИКИ ыбопнаиэк:

(И))) " °блсыти7ыполнеу)я услооий (11) - (03(;

*ЦП0ир )) обаастс вы поснекий услоуи¡6 (14) к(1б);

й^Т) - ээбластьвыпнлненит ((^лови01 (17) - (19);

ОЗ—) - обласаь выполдониа (словий (20) - (22);

£2(кцд) - об/\астс еыпслнения условий (23)-(25).

А^лт^е^^ мосельпоказатыля своевремен ности рсыгььовантя та уфдзв! компьютероых >тпк в сеиментах ИКИ: гфтдставлетмд в о^ид^^ив^ вчде

я ролью еирмальнргд простес-ени) xapaкиeниcтивисдквхeмeннocти "лкгосквеиии ека агро>ы колпьюиерных атак в сегмениах ССИзапишям выраж^ниед/(я яероятношви дахожоения елуааПнм1х ^е/\ичин Вся Г^ц, t(кaу и "^тосг) внлири обмасти

и сжигав

А> х

ООД = |( С ТОО ' /"> - | меС/Хп0 " ЛСрО =

о о

о о

А

Ав

(26)

А>

^)(р)'н) • [ъы ^ ^^^^- - ад]1X0

ече;) -/l()б^(л ^"1(^)0 _/и(() И[ -Ъ^и^ыи) - плотности и функции распределения случаснез1хлеличин >(я) и >(,(-а) cнoивpтcть^нсo ) Д> н >< _ (1 врамя, в течео) которого можетпроявитьсяугроза.

Вопp^(^ывMepЛпзoкоинoчей. 2019. № К(Л^)

Ву—алох Т(ш) чт/оз Ко и ьстрем/в Aí —оо якончательни по-учим:

Р (п) = /0ЛС/2 () ■ [ Ft (х + в(а) - Т() ) - и О)] dx.

(27)

Исоодя сз рассмотренныхмортлей нарушения безопасности инф-рмации в ch/pihtmx ИКИ оелесика Ку^а) , рарнктерсбуемая пььотноспью риспкеделее-я

Сй-ст)' влозое^т гс рнйг/рсжта^/чянз тобтй вомплзисию чвут

либо трех сл\юаыйЫ1а веоичтн.

/\ля аомТонационных медоллй нартшентя ыонМк-денцн алнности и целостности инфоряа той, рняисения ионфеленцинльробти м достнниости инфоржацни, н тан жл на|сушеывя н^^оиллносчт^ и додтупности инОормхции, ПЛОТНОСТЬ СПеФЯСТНОГХ ООСПЛСДИЛСНИЯ уоун СОуСЭ ДРЫ X велиоин опнеиваетст вы|иажени пм ГС']:

/2 ) 1х ) = ^^р\С() ИтюС0 - Ю И зо)

гдн: еЖв/сЛ) _ п/иотив^^тьэ онсоцееаииннв сеиекТнеИ

сз<ол^чтН1с| и(ш)ц щля ктмбинацтонных лоо./сдоле^ч- ^а|\)у-

шаокя коифиденбиотьностн в оелоис-ооти иофоямНн Лии, науушениа дснфиыснопаляяоспи и доступнохтт ты-форсанат т ¡1ыЫ оос кыыхлНЗингаци^ннок! 1Ы<ЫфС\€Егсдд He°(-i цллмстности иынатфпетсти инсрнэрэмта^и^, ^оЧо)

ч + ОО

сенеяi

- птнтнмтть оаыпнадаления слноиаТисьь! Е!«з/ии'н)1ны Кыа)Ч

для комбинационных морплей итеуше\1ая еонфиоевцт-атьно—а и доануансстц 1ннфо|иа1с^пота, нозрауив^ния ао-иоотносит и досотвносни инфтроаиии и КЛшцо то кот

бнкациоткой моаено нгароуниашия котфчдтнцнольнтсли и целостности инОоеацин.

ММня комбисациодноТ мотели нерушения нсмх состо-янийзтщыщенности инфорэшанпи ототнонтп соаметаио-нм нлатнинцлснвн тбихсн(чдйных волиниа ииисмоаятср вьдажьнием:

Т(Л, 0 з ) (х У _

С2ИН)

= /о /о ki )( *^СH ) Я х _ ^К/(3)(Д-м ^U-Z,

иеа: Ц )(ха) - пиотиочпь .а ахдеивеиния лвуиайттй ве/\итино1 " плотнбвеь о^ас^пе^зоттлеэнит!

с—мчанной иеличнны К-ион иМех-хО - плаиность лио лрсдененнн коачнйнаы 1те//ичины1 .

Частноепредставлениеаналитическоймодели хокаоате— -^сн^Е5[59м^кк/акки уеаьефбвания о о удрк зы кь мпьютерныхата к в сег ментахИКИ

Юотхдя о;з содержанит паномеииов вылаженоо (27\ с/\т\^тнмт, что ылчуветсавиющен аггу ананитнческоо вьн ражтние монкот быте п олучеко длд конкретных законов оастледалмлия с/нтойныи величин: /Дш), Нув-у) и Х-ух'■

П|ки обосяпейнии оакпнод ньгасухеин^ления случайных веоично ф™ и м(ш) воипользул1лся приведенными выше ограничениями на формальное представление динамики простейшей и комбинационных моделей такого рода угроз как элементарного потока событий с соответ-спсунвщими кенйттвоеи ставиотаттостф, к|туин-рто^т^и и отсутствия последействия. В учебнике Вентцель Е.С.9 с1)^сни1вннн), что вреаейноу инсеаеал моотоу п -^1.3-яппи -пнх побе-бованетс-ыи соКи-нй (оременнми (уа<л) начала компьютерных авкк) в такрм потоке, а, следова-тольнх.и анстьпанпоно интеатана (кркмя Г(ш) реализа) цеи аиеки) инсерпреесауютсякак слцчойни ветичкны, распределенные поэкспоненциальномузакону.

01|чи отяяеи°)э/^ении зцноча распределения случайных нкз/тини) н-ох примет оо Е^сдгп^ние, и^опроцесл рлты-оиоытандя на н-толи1 ломплютернье ^сао н тогм-и^i^x ПКИ соснавлтют к^о митсгуум12функций[13]:

а. атонннвзржрсвним^е работы механизма защиты информациивсегментеИКИ;

2. обеспечениесанкционированного доступа;

3. fia згропичеп ^^доаатуха;

цгак|эыыи^ доспмпа к информа^и сегмента ИКИ от загрузкичерезвнешнийнакопитель;

5. обеспечение целостности рабочей среды Л ВС негмлноо ИК1;

б. конт,оль информационных процессов в сегмен-за ИКИ на пуедмет их подверженности угрозам компьютерныхатак;

■7. обнарожонин^оздйлтвитт t^i^cto рсзоа угрсз;

0. обяи! оу)пенунс^хи ^т^я чников;

9. пиравнерип истсопников уф^^;

1Н). анилин иос^^дсигвийгампьютерных атак;

11. восстановление информации, подвергшейся атакам;

1Z отынноие р«^1ы^иея о сжреантах не^алн^^цин ны-Хоркигзеисзнных прилццессяты ^ псегыехтл -КИ условиях ко мпьютерных атак.

дсподи ие ет-еоплучтйи;тя в-еичипа ьзьэс^1а)^^и Тур), реагирования на угрозы компьютерных атак в сегментах ИКИ определяется как композиция времени реализации сооиветситтющихЩункчиП, что позволяет воспользоваться положениями центральной предельной теоремы теории вероятностей (см. учебник Е.С. Венцель) и предста-виев и реме Цру как случайную величину, распределен-нуюпо нормальному(гауссову)законураспределения.

9 Вентцель Е.С. Теория вероятностей: учебник. - 11-е изд. - М.: КноРус, 2010. - 664 с.

В этом случае решениегинтеграсо (2С) явлоетеяевфажение

f

и _ 2 _ _

2Л(2т(ш)+СГ Л-2Т(Р)-Т1о))

И -erf

f- _ 2п - -2 ^

т, н + о Я — о и — кн м

(ка)_(?) (о)

+ erf

V

^г -г - - Л

н (p) (о)

-

—e

И 2 — —

X

б —er/

_ 2. ^ - лл

С А — Ц \ —T¡\

\л (о)

м/20

+ e2

X

ф(уи) + >)

V2O

\зо)

гны : О - соответствует (1), т^) - мотома тичдскод

ноеоени обнаружения компьюте|эной отеки сооти аетотиующеН тлительности мдыоеннрго интервале рт) н- Н(ы) ь>т нремкни И-ал) зачола еааеи ео пре-мен и t(o) ее иСЗнпраФжон!,), С преднекпавзатииеское ескоогение сту-акКннИ еелич-ныГ-е-

Являоссаналитической моднлью пекаоателя своее-леьенносто реоговования нп (фзоы аомпьютс|э^Ьзд з/ак в елоовией аолееотые модееев нгтезиния без-оптенон"^и инфера-тин в сегментах И Ка еынажйние (ОО) мыжйо испонвеовноься как инструмснодля кпииче-птвенно1 оненкы эс)5Ме^оикна^"^и используемых в сегментах суеоств жощимн1 инфовмвоеи ост нтеансциооа-рованного еопинованея, м^^иЫикаыти и блекинолания [8,18-20].

Вы хислиоелоеый оксперимент пк пр>овирке

атдание (среонем лзнг^чеавик^) тлукайноа веоннины т/о)

ьео-ств уитоитечет оо)М оодеыи аоказетсен ел(^ои|)е1е|р^о1^(^ыи °>o иоискргзенд^:- на ннноне! оннЕпыюхорнх1х атоо оой мпеею^г^ти^еское еункции

С целью нчоверки ино^^-"й нонотоннрпии и непро-теедречинуето (фюзиеесы^ослу оиоыв/\н анноотинеской нодоли (00), хннакнериотющих еи как ннтчнетическую фуныцию, орыве^е-м еьз1числит^льсн1й скысрыимент [ 125] пи жгпеиезовннию оаннеИ м<тд ел и ыля ис следования оаоткасс"в нбаепечения аисттпности онемтмации н ти-пивмо с^гмркты ИК^ /И\й отоно оренды пркезае^/^ь своевременности реагирования на нгреиы ыомньютерных автк г цетию боокнроиавио иефпниауки нданнем сегменте 0К0 л яаччах престейшей моделг сар2шения резопаидовти иа формауои.

Нербхедимн1е для проведения эксперимента исход-ныедцнныюариведены в таблице 1 [IX] .

Таблица 1

№ п/п Наименованиепараметра Обозначение параметра Зеач^|^ие а

1 Интенсивность компьютерных атак сцильюблозинования инфогынцин всесменте ИКИ е Р,Р00п35 (^M(oдрo ствие за восьмичасовую смену Oyнrыицни|эывaниячeгм ента ИКИ)

ч Креднеи ;зночнние сиучайной величины иря1аанк нзтлигнаии ееозькоеиноо атаки ка) 55 с

3 С^еынее тна^^/иг илнвaвнoь втлиииювненкнт обннр^сения ктопниепнай атаки 27,5 с

4 С^и0иетваи|:(ати^^^^(^е отеониние случайнойвеличинывремени облаи-жин ияатаки <т 9,17 с

5 Среднеезначение случайной величвны втимеои тна1^троиании на yгеoоyккмеьютиpнок нте^и г( с 25 с

Рис. 5. Зависимость показателя своевременности реагирования на угрозы компьютерных атак с целью блокирования информации в сегменте ИКИ от времени реагирования

Рис. 6. Зависимость показателя своевременности реагирования на угрозы компьютерных атак с целью блокирования информации в сегменте ИКИ от времени реализации угрозы

На рис. 5 и 6 приводятся графики изменения показателя своевременности реагирования на угрозы компьютерных атак с целью блокирования информации в сегменте ИКИ при изменении параметров данного показателя. На рис. 5 в качестве изменяемого параметра рассматривается время реагирования на угрозу атаки, а на рис.6 - время ее реализации.

Как показывают результаты вычислительного эксперимента, разработанная аналитическая модель показателя своевременности реагирования угрозы компьютерных атак обладает основными свойствами ма-

тематической функции - монотонностью и непротиворечивостью физическому смыслу.

Заключение

Таким образом, представленный в статье методический аппарат можно рассматривать как формальные основы синтеза вероятностных моделей условий своевременного реагирования угрозы компьютерных атак в сегментах ИКИ, что позволит существенно повысить защищенность существующих (эксплуатируемых) и перспективных (разрабатываемых) сегментов ИКИ.

Литература:

1. Арутюнов В.В. Кластеризация стандартов российской федерации в области информационной безопасности // Научно-техническая информация. Серия 1: Организация и методика информационной работы. 2017. № 5. С. 25-33.

2. Медведев Н.В., Квасов П.М., Цирлов В.Л. Стандарты и политика информационной безопасности автоматизированных систем // Вестник Московского государственного технического университета им. Н.Э. Баумана. Серия: Приборостроение. 2010. № 1 (78). С. 103-111.

3. Райкова Н.О. Сравнительный анализ стандартов менеджмента качества и информационной безопасности // Труды международного симпозиума Надежность и качество. 2014. Т. 2. С. 270-274.

4. Суханов А.В., Смирнов А.С., Хитов С.Б. Управление информационной безопасностью предприятий оборонно-промышленного комплекса в контексте стандарта ISO 27001:2013 // Научно-аналитический журнал Вестник Санкт-Петербургского университета Государственной противопожарной службы МЧС России. 2017. № 1. С. 9-16.

5. Цирлов В.Л. Правовые вопросы безопасности киберпространства в системе отечественных нормативных документов // Правовая информатика. 2014. № 2. С. 9-13.

6. Меньших В.В., Спиридонова Н.Е. Структурно-параметрическая модель несанкционированных действий нарушителя информационной безопасности // Некоторые вопросы анализа, алгебры, геометрии и математического образования. 2018. № 8. С. 216-217.

7. Чернов Д.В., Сычугов А.А. Формализация модели нарушителя информационной безопасности АСУ ТП // Известия Тульского государственного университета. Технические науки. 2018. № 10. С. 22-27.

8. Язов Ю.К., Соловьев С.В. Организация защиты информации в информационных системах от несанкционированного доступа. Монография. - Воронеж: Кварта, 2018. - 588 с.

9. Мещерякова Т.В. Математические модели информационных процессов в автоматизированных информационных системах органов внутренних дел в условиях простейшей модели нарушения безопасности информации: монография / Т.В. Мещерякова, С.В. Скрыль, М.Е. Фирюлин - Воронеж: Воронежский институт МВД России, 2017. - 124 с.

10. Скрыль С.В., Киселев В.Д., Мещерякова Т.В. [и др.]. Распознавание и оценка угроз информационной безопасности территориальным сегментам единой информационно-телекоммуникационной системы органов внутренних дел: теоретические и организационно-методические основы. Воронеж: Воронежский институт МВД России, 2012. - 160 с.

11. Скрыль С.В., Рогозин Е.А., Мещерякова Т.В., Сычев А.М. [и др.]. Методы и средства повышения защищенности автоматизированных систем. Воронеж: Воронежский институт МВД России, 2013. - 108 с.

12. Скрыль С.В., Громов Ю.Ю., Сычев А.М., Мещерякова Т.В., Арутюнова В.И. Математическое представление показателя своевременности реагирования на угрозы безопасности компьютерной информации в условиях простейшей модели нарушителя. Инженерная физика. - М: «Научтехлитиздат», 2016. - №4. - С. 29 - 35.

13. Скрыль С.В., Сычев А.М., Киселев В.В., Мещерякова Т.В., Арутюнова В.И. Исследование эффективности реагирования на угрозы вирусных атак: методические основы и практика вычислительных экспериментов. Промышленные АСУ и контроллеры. - 2018. - № 6. - С. 51-62.

14. Сычев А.М., Мещерякова Т.В., Скрыль К.С., Белый Г.Ю. Формальные основы математического представления моделей нарушения безопасности информации сегментов ведомственной инфокоммуникационной инфраструктуры. Приборы и системы. Управление, контроль, диагностика. - М: «Научтехлитиздат», 2016. - №8. - С. 12 - 17.

15. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. - СПб.: Питер, 2008. - 320 с.

16. Петренко С.А., Цирлов В.Л. Импортозамещение решений IDS и SIEM // Защита информации. Инсайд. 2017. № 5 (77). С. 46-51.

17. Probabilistic Modeling in System Engineering / By ed. A. Kostogryzov - London: IntechOpen, 2018. 278 p. DOI: 10.5772/ intechopen.71396.

18. Казарин О.В., Кондаков С.Е., Троицкий И.И. Подходы к количественной оценке защищенности ресурсов автоматизированных систем // Вопросы кибербезопасности. 2015. № 2 (10). С. 31-35.

19. Кондаков С.Е. Анализ и синтез комплекса средств защиты информации // Вопросы кибербезопасности. 2013. № 2 (2). С. 20-24.

20. Чобанян В.А., Шахалов И.Ю. Анализ и синтез требований к системам безопасности объектов критической информационной инфраструктуры // Вопросы кибербезопасности. 2013. № 1 (1). С. 17-27.

PROBABiLiSTiC REPRESENTATiONS OF CONDiTiONS FOR TiMELY RESPONSE TO COMPUTER ATTACK THREATS

KondakovS.E.10, Meshcheryakova T.V.11, SkrylS.V.12,

Stadnik A.N.13, Suvorov A.A.14

Updates are provided in the article on the need for substantiation of the model of security violations in information and communications infrastructure caused by computer attacks on its segments. Such substantiation is considered to be a prerequisite for formalizing the processes of addressing the information security threats with the aim of researching the response timeliness. Limitations related to the interpretation of intruder's actions as the source of information security threats for information and communications infrastructure segments are considered. It is explained and substantiated that flow presentation of the threats of computer attacks on information and communications infrastructure segments have the properties of ordinariness, stationarity, and absence of aftereffects. Typification is provided for the models of security violations in information and communications infrastructure segments, which is based on the probability (or absence thereof) of the combined influence of this type of threats. Existing approaches are analyzed to formalized representation of the efficiency of intruder's actions that violate the security of information and communications infrastructure segments. General type of conditions for timely response to the threats of computer attacks on information and communications infrastructure segments is formulated that take into account the dynamics of threats occurrence and response to the threats in a formalized representation of the intruder's actions efficiency parameters. The general type of conditions for timely response to threats is specified in relation to the substantiated typification of the models of security violations in information and communications infrastructure segments. General form is given for the analytical model of timeliness parameter of response to the threats of computer attacks on information and communications infrastructure segments. The laws of analytical model general form parameter distribution are substantiated to allow its reduction to the particular form. Results are described for the computational

10 Sergey Kondakov, Ph.D., Directorate of the General Staff of the Armed Forces of the Russian Federation, Moscow, Russia. E-mail: KCA80@yandex.ru

11 Tatyana Meshcheryakova, Ph.D. (Math.), Voronezh Institute of MIA of Russia, Voronezh, Russia. E-mail: tmescherikova4@mvd.ru

12 Sergey Skryl, Dr.Sc., Professor, MSTU named after N. Uh. Bauman, Moscow, Russia. E-mail: zi@bstu.ru

13 Alexander Stadnik, Ph.D.(Mil.), Krasnodar higher military school, Krasnodar, Russia. E-mail: znymo@mail.ru

14 Aleksey Suvorov, General Staff of the Armed Forces of the Russian Federation, Moscow, Russia. E-mail: suworow_alex@mail.ru

experiment performed to prove the properties of monotony and consistency with the physical meaning of timeliness parameter of response to the threats of computer attacks on information and communications infrastructure segments as a mathematical function.

Keyword: information and communication infrastructure, cyber threats, model of a security breach information.

References:

1. Arutyunov V.V. Klasterizaciya standartov rossijskoj federacii v oblasti informacionnoj bezopasnosti. Nauchno-tekhnicheskaya informaciya. Seriya 1: Organizaciya i metodika informacionnoj raboty. 2017. № 5. S. 25-33.

2. Medvedev N.V., Kvasov P.M., Cirlov V.L. Standarty i politika informacionnoj bezopasnosti avtomatizirovannyh sistem. Vestnik Moskovskogo gosudarstvennogo tekhnicheskogo universiteta im. N.E. Baumana. Seriya: Priborostroenie. 2010. № 1 (78). S. 103-111.

3. Rajkova N.O. Sravnitel'nyj analiz standartov menedzhmenta kachestva i informacionnoj bezopasnosti. Trudy mezhdunarodnogo simpoziuma Nadezhnost' i kachestvo. 2014. T. 2. S. 270-274.

4. Suhanov A.V., Smirnov A.S., Hitov S.B. Upravlenie informacionnoj bezopasnost'yu predpriyatij oboronno-promyshlennogo kompleksa v kontekste standarta ISO 27001:2013. Nauchno-analiticheskij zhurnal Vestnik Sankt-Peterburgskogo universiteta Gosudarstvennoj protivopozharnoj sluzhby MCHS Rossii. 2017. № 1. S. 9-16.

5. Cirlov V.L. Pravovye voprosy bezopasnosti kiberprostranstva v sisteme otechestvennyh normativnyh dokumentov. Pravovaya informatika. 2014. № 2. S. 9-13.

6. Men'shih V.V., Spiridonova N.E. Strukturno-parametricheskaya model' nesankcionirovannyh dejstvij narushitelya informacionnoj bezopasnosti. Nekotorye voprosy analiza, algebry, geometrii i matematicheskogo obrazovaniya. 2018. № 8. S. 216-217.

7. CHernov D.V., Sychugov A.A. Formalizaciya modeli narushitelya informacionnoj bezopasnosti ASU TP. Izvestiya Tul'skogo gosudarstvennogo universiteta. Tekhnicheskie nauki. 2018. № 10. S. 22-27.

8. YAzov YU.K., Solov'ev S.V. Organizaciya zashchity informacii v informacionnyh sistemah ot nesankcionirovannogo dostupa. Monografiya. - Voronezh: Kvarta, 2018. - 588 s.

9. Meshcheryakova T.V. Matematicheskie modeli informacionnyh processov v avtomatizirovannyh informacionnyh sistemah organov vnutrennih del v usloviyah prostejshej modeli narusheniya bezopasnosti informacii: monografiya /T.V. Meshcheryakova, S.V. Skryl', M.E. Firyulin. - Voronezh: Voronezhskij institut MVD Rossii, 2017. - 124 s.

10. Skryl' S.V., Kiselev V.D., Meshcheryakova T.V. [i dr.]. Raspoznavanie i ocenka ugroz informacionnoj bezopasnosti territorial'nym segmentam edinoj informacionno-telekommunikacionnoj sistemy organov vnutrennih del: teoreticheskie i organizacionno-metodicheskie osnovy. Voronezh: Voronezhskij institut MVD Rossii, 2012. - 160 s.

11. Skryl' S.V., Rogozin E.A., Meshcheryakova T.V., Sychev A.M. [i dr.]. Metody i sredstva povysheniya zashchishchennosti avtomatizirovannyh sistem. - Voronezh: Voronezhskij institut MVD Rossii, 2013. - 108 s.

12. Skryl' S.V., Gromov YU.YU., Sychev A.M., Meshcheryakova T.V., Arutyunova V.I. Matematicheskoe predstavlenie pokazatelya svoevremennosti reagirovaniya na ugrozy bezopasnosti komp'yuternoj informacii v usloviyah prostejshej modeli narushitelya. Inzhenernaya fizika. - M: «Nauchtekhlitizdat», 2016. - №4. - S. 29 - 35.

13. Skryl' S.V., Sychev A.M., Kiselev V.V., Meshcheryakova T.V., Arutyunova V.I. Issledovanie effektivnosti reagirovaniya na ugrozy virusnyh atak: metodicheskie osnovy i praktika vychislitel'nyh eksperimentov. Promyshlennye ASU i kontrollery. - 2018. - № 6. - S. 51-62.

14. Sychev A.M., Meshcheryakova T.V., Skryl' K.S., Belyj G.YU. Formal'nye osnovy matematicheskogo predstavleniya modelej narusheniya bezopasnosti informacii segmentov vedomstvennoj infokommunikacionnoj infrastruktury. Pribory i sistemy. Upravlenie, kontrol', diagnostika. - M: «Nauchtekhlitizdat», 2016. - №8. - S. 12 - 17.

15. Skiba V.YU., Kurbatov V.A. Rukovodstvo po zashchite ot vnutrennih ugroz informacionnoj bezopasnosti. - SPb.: Piter, 2008. - 320 s.

16. Petrenko S.A., Cirlov V.L. Importozameshchenie reshenij IDS i SIEM. Zashchita informacii. Insajd. 2017. № 5 (77). S. 46-51.

17. Probabilistic Modeling in System Engineering / By ed. A. Kostogryzov - London: IntechOpen, 2018. 278 p. DOI: 10.5772/ intechopen.71396.

18. Kazarin O.V., Kondakov S.E., Troickij I.I. Podhody k kolichestvennoj ocenke zashchishchennosti resursov avtomatizirovannyh sistem. Voprosy kiberbezopasnosti [Cybersecurity issues]. 2015. № 2 (10). S. 31-35.

19. Kondakov S.E. Analiz i sintez kompleksa sredstv zashchity informacii. Voprosy kiberbezopasnosti [Cybersecurity issues]. 2013. № 2 (2). S. 20-24.

20. CHobanyan V.A., SHahalov I.YU. Analiz i sintez trebovanij k sistemam bezopasnosti ob»ektov kriticheskoj informacionnoj infrastruktury. Voprosy kiberbezopasnosti [Cybersecurity issues]. 2013. № 1 (1). S. 17-27.