Нормирование требований к характеристикам программных систем защиты информации


https://doi.org/10.20914/2310-1202-2018-4-96-110

Полный текст:


Аннотация

Статья посвящена решению научной проблемы разработки теоретических основ и технологии обоснования количественных требований (норм) к программным системам защиты информации (ПСЗИ). Основой современной теории защиты информации является классификационный подход. При использовании классификационного подхода требования к ПСЗИ задаются как совокупность функциональных требований необходимых к реализации для определенного класса защищенности. При этом, понятие «эффективность защиты информации» не рассматривается. Противоречие между качественным классификационным подходом при формировании требований к ПСЗИ и необходимостью использовать их количественные характеристики при разработке автоматизированных систем (АС) в защищенном исполнении потребовали разработки нового нормативного подхода обоснования требований к защите информации. Нормативный подход основывается на системном рассмотрении проблемы, при котором проводится анализ взаимодействия элементов АС друг с другом и оценивается влияние ПСЗИ на АС в целом, а также проводится анализ поставленной цели безопасности информации (БИ). На основе анализа топологии АС, внутренних и внешних связей и потоков информации конструируется информационная структура системы. При этом, нормативный метод рассматривает полное множество угроз БИ. Угрозы БИ носят стохастический характер, являются многоэтапными и многовариантными. В свою очередь, ПСЗИ при реализации функций защиты нейтрализует угрозы БИ с некоторой вероятностью (существуют остаточные риски) и протяженностью во времени. Наличие множества угроз БИ, характеризуемых различным временем реализации, вероятностными характеристиками преодоления ПСЗИ и деструктивными возможностями, требуют нахождения норм БИ оптимизационными методами и с учетом требований минимизации влияния на эффективность автоматизированной системы.

Об авторах

А. В. Скрыпников
Воронежский государственный университет инженерных технологий
д.т.н., профессор, Кафедра информационной безопасности, пр-т Революции, 19, г. Воронеж, 394036, Россия


В. А. Хвостов
Воронежский государственный университет инженерных технологий
к.т.н., доцент, Кафедра информационной безопасности, пр-т Революции, 19, г. Воронеж, 394036, Россия


Е. В. Чернышова
Воронежский государственный университет инженерных технологий
к.т.н., доцент, Кафедра информационной безопасности, пр-т Революции, 19, г. Воронеж, 394036, Россия


В. В. Самцов
Воронежский государственный университет инженерных технологий
экстерн, Кафедра информационной безопасности, пр-т Революции, 19, г. Воронеж, 394036, Россия


М. А. Абасов
Воронежский государственный университет инженерных технологий
экстерн, Кафедра информационной безопасности, пр-т Революции, 19, г. Воронеж, 394036, Россия


Список литературы

1. ФСТЭК РФ. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114spetsialnye-normativnye-dokumenty/385rukovodyashchij-dokument-reshenie-pred-sedatelya-gostekhkomissii-rossii-ot30marta1992g2

2. ФСТЭК РФ. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/ dokumenty/114spetsialnye-normativnye-dokumenty/384rukovodyashchij-dokument-reshenie-predsedatelya-gostekhko-missii-rossii-ot30marta1992g

3. ФСТЭК РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/ dokumenty/114spetsialnye-normativnye-dokumenty/384rukovodyashchij-dokument-reshenie-predsedatelya-gostekhko-missii-rossii-ot30marta1992g

4. ФСТЭК РФ. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/ dokumenty/114spetsialnye-normativnye-dokumenty/381rukovodyashchij-dokument

5. Макаров О.Ю., Хвостов В.А., Хвостова Н.В. Методика нормирования требований к информационной безопасности автоматизированных систем // Вестник Воронежского государственного технического университета. 2010. Т.6. № 11. С. 47–51.

6. Балдин К.В., Воробьев С.Н., Уткин В.Б. Управленческие решения: учебник. 7e изд. М.: Дашков и К, 2012. 496 с.

7. Волошин Г.Я. Методы оптимизации в экономике: учебное пособие. М.: Издательство «Дело и сервис», 2004 320 с.

8. Воробьев С.Н. Управленческие решения: Теория и технологии принятия: учебник для вузов. М.: Проект, 2004. 495 с.

9. Макаров О.Ю., Хвостов В.А., ХвостоваН.В. Метод построения формальных моделей реализации угроз информационной безопасности автоматизированных систем // Вестник Воронежского государственного технического университета. 2010. Т.6. № 11. С. 22–24.

10. ФСТЭК РФ. Руководящий документ. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114spetsialnye-normativnye-dokumenty/379bazovaya-model-ugroz-bezopasnosti-perso-nalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii2008god

11. ФСТЭК РФ. Руководящий документ. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/ 114spetsialnye-normativnye-dokumenty/380metodika-oprede-leniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-fstek-rossii2008god

12. Зима В.М., Котухов М.М., Ломако А.Г., Марков А.С. и др. Разработка систем информационно-компьютерной безопасности. СПб.: Военно-космическая академия им. А.Ф. Можайского, 2003. 327 с.

13. Гудков С.Н., Гудкова О.И., Хвостов В.А. Модель полного множества реализаций угроз информационной безопасности в ИТКС // Вестник Воронежского государственного технического университета. 2011. Т.7. № 6. С. 126–130.

14. Мельников В. Защита информации в компьютерных системах. М.: Финансы и статистика, 1997. 368 с.

15. Дружинин В.В, Конторов Д.С. Введение в теорию конфликта. М.: Радио и связь, 1989. 288 c.

16. Кисляк А.А., Макаров О.Ю., Рогозин Е.А., Хвостов В.А. Об одном способе формализации понятия стойкости функции безопасности ГОСТ ИСО/МЭК 15408 // Вестник Воронежского государственного технического университета. 2009. № 2. С. 94–98.

17. Кисляк А.А., Макаров О.Ю., Рогозин Е.А., Хвостов В.А. Методика оценки вероятности несанкционированного доступа в автоматизированные системы // Информация и безопасность. 2009. № 2. С. 285–288.

18. Климов С.М. Методы и модели противодействия компьютерным атакам. Люберцы.: КАТАЛИТ, 2008. 316 с.

19. Yang J., Zhou C., Yang Sh., Xu H. et al. Anomaly detection based on zone partition for security protection of industrial cyber-physical systems // IEEE Transactions on Industrial Electronics. 2018. V. 65. № 5. P. 4257–4267.

20. Макаров О.Ю., Рогозин Е.А., Хвостов В.А., Коробкин Д.И. и др. Метод построения информационной структуры автоматизированной системы при нормировании требований к информационной безопасности // Вестник воронежского технического университета. 2011. № 9. С. 61–64.

21. Макаров О.Ю., Рогозин Е.А., Хвостов В.А., Коробкин Д.И. и др. Функция связи показателей информационной безопасности элементов типовой многоуровневой архитектуры web сайта с его показателями эффективности // Вестник воронежского технического университета. 2011. № 9. С. 29–32.

22. Агентство передовых оборонных исследовательских проектов Министерства обороны США URL: https://www.fbo.gov/index? s=opportunity&mode=form&id=4ebb7ba441be3ed21322ac135e528a3e&tab=core&_cview=0

23. Saltzer J.H., Schroeder M.D. Theprotection of information in computer systems // Proceedings of the IEEE. 1975. V. 63. № 9.

24. Yang Z., Cheng P., Chen J. Differential-privacy preserving optimal power flow in smart grid // IET Generation, Transmission & Distribution. 2017. V. 11. № 15. P. 3853–3861.

25. Valdevies F. A Single platform approach for the management of emergency in complex environments such as large events, digital cities, and networked regions // Internet of Things and Data Analytics Handbook. 2017. P. 643–664.

26. Guizani S. Internet-of-things (IoT) feasibility applications in information Centric Networking System // 13th International Wireless Communications and Mobile Computing Conference. 2017. P. 2192–2197. doi: 10.1109/IWCMC.2017.7986623


Дополнительные файлы

Для цитирования: Скрыпников А.В., Хвостов В.А., Чернышова Е.В., Самцов В.В., Абасов М.А. Нормирование требований к характеристикам программных систем защиты информации. Вестник Воронежского государственного университета инженерных технологий. 2018;80(4):96-110. https://doi.org/10.20914/2310-1202-2018-4-96-110

For citation: Skrypnikov A.V., Khvostov V.A., Chernyshova E.V., Samtsov V.V., Abasov M.A. Rationing requirements to the characteristics of software tools to protect information. Proceedings of the Voronezh State University of Engineering Technologies. 2018;80(4):96-110. (In Russ.) https://doi.org/10.20914/2310-1202-2018-4-96-110

Просмотров: 20

Обратные ссылки

  • Обратные ссылки не определены.


Creative Commons License
Контент доступен под лицензией Creative Commons Attribution 4.0 License.


ISSN 2226-910X (Print)
ISSN 2310-1202 (Online)