Статья посвящена решению научной проблемы разработки теоретических основ и технологии обоснования количественных требований (норм) к программным системам защиты информации (ПСЗИ). Основой современной теории защиты информации является классификационный подход. При использовании классификационного подхода требования к ПСЗИ задаются как совокупность функциональных требований необходимых к реализации для определенного класса защищенности. При этом, понятие «эффективность защиты информации» не рассматривается. Противоречие между качественным классификационным подходом при формировании требований к ПСЗИ и необходимостью использовать их количественные характеристики при разработке автоматизированных систем (АС) в защищенном исполнении потребовали разработки нового нормативного подхода обоснования требований к защите информации. Нормативный подход основывается на системном рассмотрении проблемы, при котором проводится анализ взаимодействия элементов АС друг с другом и оценивается влияние ПСЗИ на АС в целом, а также проводится анализ поставленной цели безопасности информации (БИ). На основе анализа топологии АС, внутренних и внешних связей и потоков информации конструируется информационная структура системы. При этом, нормативный метод рассматривает полное множество угроз БИ. Угрозы БИ носят стохастический характер, являются многоэтапными и многовариантными. В свою очередь, ПСЗИ при реализации функций защиты нейтрализует угрозы БИ с некоторой вероятностью (существуют остаточные риски) и протяженностью во времени. Наличие множества угроз БИ, характеризуемых различным временем реализации, вероятностными характеристиками преодоления ПСЗИ и деструктивными возможностями, требуют нахождения норм БИ оптимизационными методами и с учетом требований минимизации влияния на эффективность автоматизированной системы.

защита информации, автоматизированная система, система защиты информации, несанкционированный доступ, информационная безопасность, ФСТЭК России.

1. ФСТЭК РФ. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114spetsialnye-normativnye-dokumenty/385rukovodyashchij-dokument-reshenie-pred-sedatelya-gostekhkomissii-rossii-ot30marta1992g2

2. ФСТЭК РФ. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/ dokumenty/114spetsialnye-normativnye-dokumenty/384rukovodyashchij-dokument-reshenie-predsedatelya-gostekhko-missii-rossii-ot30marta1992g

3. ФСТЭК РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/ dokumenty/114spetsialnye-normativnye-dokumenty/384rukovodyashchij-dokument-reshenie-predsedatelya-gostekhko-missii-rossii-ot30marta1992g

4. ФСТЭК РФ. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/ dokumenty/114spetsialnye-normativnye-dokumenty/381rukovodyashchij-dokument

5. Макаров О.Ю., Хвостов В.А., Хвостова Н.В. Методика нормирования требований к информационной безопасности автоматизированных систем // Вестник Воронежского государственного технического университета. 2010. Т.6. № 11. С. 47–51.

6. Балдин К.В., Воробьев С.Н., Уткин В.Б. Управленческие решения: учебник. 7e изд. М.: Дашков и К, 2012. 496 с.

7. Волошин Г.Я. Методы оптимизации в экономике: учебное пособие. М.: Издательство «Дело и сервис», 2004 320 с.

8. Воробьев С.Н. Управленческие решения: Теория и технологии принятия: учебник для вузов. М.: Проект, 2004. 495 с.

9. Макаров О.Ю., Хвостов В.А., ХвостоваН.В. Метод построения формальных моделей реализации угроз информационной безопасности автоматизированных систем // Вестник Воронежского государственного технического университета. 2010. Т.6. № 11. С. 22–24.

10. ФСТЭК РФ. Руководящий документ. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114spetsialnye-normativnye-dokumenty/379bazovaya-model-ugroz-bezopasnosti-perso-nalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii2008god

11. ФСТЭК РФ. Руководящий документ. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/ 114spetsialnye-normativnye-dokumenty/380metodika-oprede-leniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-fstek-rossii2008god

12. Зима В.М., Котухов М.М., Ломако А.Г., Марков А.С. и др. Разработка систем информационно-компьютерной безопасности. СПб.: Военно-космическая академия им. А.Ф. Можайского, 2003. 327 с.

13. Гудков С.Н., Гудкова О.И., Хвостов В.А. Модель полного множества реализаций угроз информационной безопасности в ИТКС // Вестник Воронежского государственного технического университета. 2011. Т.7. № 6. С. 126–130.

14. Мельников В. Защита информации в компьютерных системах. М.: Финансы и статистика, 1997. 368 с.

15. Дружинин В.В, Конторов Д.С. Введение в теорию конфликта. М.: Радио и связь, 1989. 288 c.

16. Кисляк А.А., Макаров О.Ю., Рогозин Е.А., Хвостов В.А. Об одном способе формализации понятия стойкости функции безопасности ГОСТ ИСО/МЭК 15408 // Вестник Воронежского государственного технического университета. 2009. № 2. С. 94–98.

17. Кисляк А.А., Макаров О.Ю., Рогозин Е.А., Хвостов В.А. Методика оценки вероятности несанкционированного доступа в автоматизированные системы // Информация и безопасность. 2009. № 2. С. 285–288.

18. Климов С.М. Методы и модели противодействия компьютерным атакам. Люберцы.: КАТАЛИТ, 2008. 316 с.

19. Yang J., Zhou C., Yang Sh., Xu H. et al. Anomaly detection based on zone partition for security protection of industrial cyber-physical systems // IEEE Transactions on Industrial Electronics. 2018. V. 65. № 5. P. 4257–4267.

20. Макаров О.Ю., Рогозин Е.А., Хвостов В.А., Коробкин Д.И. и др. Метод построения информационной структуры автоматизированной системы при нормировании требований к информационной безопасности // Вестник воронежского технического университета. 2011. № 9. С. 61–64.

21. Макаров О.Ю., Рогозин Е.А., Хвостов В.А., Коробкин Д.И. и др. Функция связи показателей информационной безопасности элементов типовой многоуровневой архитектуры web сайта с его показателями эффективности // Вестник воронежского технического университета. 2011. № 9. С. 29–32.

22. Агентство передовых оборонных исследовательских проектов Министерства обороны США URL: https://www.fbo.gov/index? s=opportunity&mode=form&id=4ebb7ba441be3ed21322ac135e528a3e&tab=core&_cview=0

23. Saltzer J.H., Schroeder M.D. Theprotection of information in computer systems // Proceedings of the IEEE. 1975. V. 63. № 9.

24. Yang Z., Cheng P., Chen J. Differential-privacy preserving optimal power flow in smart grid // IET Generation, Transmission & Distribution. 2017. V. 11. № 15. P. 3853–3861.

25. Valdevies F. A Single platform approach for the management of emergency in complex environments such as large events, digital cities, and networked regions // Internet of Things and Data Analytics Handbook. 2017. P. 643–664.

26. Guizani S. Internet-of-things (IoT) feasibility applications in information Centric Networking System // 13th International Wireless Communications and Mobile Computing Conference. 2017. P. 2192–2197. doi: 10.1109/IWCMC.2017.7986623