tuzsut

Труды учебных заведений связи

Proceedings of Telecommunication Universities

1813-324X2712-8830

СПбГУТ

10.31854/1813-324X-2021-7-2-95-101

tuzsut-169

Research Article

ТРУДЫ МОЛОДЫХ УЧЕНЫХ

YOUNG SCHOLARS RESEARCH

Способ определения потенциала нарушителя безопасности информации и реализуемых им уязвимостей программного обеспечения

Method for Determining the Potential of an Information Security Intruder and Realizable Software Vulnerabilities

https://orcid.org/0000-0002-6604-9443

Жук

Р. В.

Zhuk

R. V.

Жук Роман Владимирович – начальник отдела информационной безопасности

Краснодар, 350063

Krasnodar, 350063

goonerkrd@gmail.com

Филиал «Макрорегион Юг» ООО ИК «СИБИНТЕК»РоссияBranch "Macroregion Yug" LLC IC "SIBINTEK"Russian Federation

2021

25092021

7295101

2021

Жук Р.В.

Zhuk R.V.

This work is licensed under a Creative Commons Attribution 4.0 License.

https://tuzs.sut.ru/jour/article/view/169

В настоящее время внедрено множество методических документов, регламентирующих подходы к разработке моделей угроз безопасности информации для информационных систем, обрабатывающих информацию различного характера. Существуют разные методики разработки угроз и построения модели нарушителя, предлагаемые регуляторами в области информационной безопасности, в зависимости от направления их деятельности. Для поддержки принятий решений в процессе моделирования угроз разработан банк данных угроз безопасности информации. Однако в существующих подходах имеется ряд противоречий, при этом методики определения угроз и построения модели нарушителя, в большинстве случаев, предполагают привлечение экспертов для оценки факторов и условий возникновения угроз. В существующих методиках отсутствует взаимосвязь между нарушителем безопасности информации, и уязвимостями программного обеспечения в информационных системах, что не позволяет построить адекватную модель угроз без привлечения квалифицированных экспертов. Целью данной работы является определение потенциала нарушителя безопасности информации в зависимости от его возможностей и оценка влияния данного потенциала на реализацию уязвимостей программного обеспечения в информационных системах.

Currently, many methodological documents have been developed that regulate approaches to the development of models of threats to information security. for information systems that process information of a different nature. There are different methods of threat development and intruder model building proposed by information security regulators, depending on the direction of their activity. To support decision-making in the process of threat modeling, a databank of information security threats has been developed. However, there are a number of contradictions in existing approaches, while the methods for identifying threats and building a model of an intruder, in most cases, involve the involvement of experts to assess the factors and conditions for the emergence of threats. In the existing methods, there is no relationship between the violator of information security. and software vulnerabilities in information systems, which does not allow building an adequate threat model without the involvement of qualified experts. The purpose of this work is to determine the potential of an information security violator. depending on its capabilities and assessing the impact of this potential on the implementation of software vulnerabilities in information systems.

потенциалнарушитель безопасности информациивозможностьуязвимостьпрограммное обеспечениенесанкционированный доступ

potentialinformation security intruderopportunityvulnerabilitysoftwareunauthorized access

References1

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Federal Law No. 152-FZ of 27.07.2006 "On Personal Data". (in Russ.)

Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Order of the Federal Service for Technical and Export Control of Russia No. 17 of 11.02.2013 "On Approval of Requirements for the Protection of Information that Does Not Constitute a State Secret Contained in State Information Systems" (in Russ.)

Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

Order of the Federal Service for Technical and Export Control of Russia No. 31 of 14.03.2014 "On Approval of Requirements for Ensuring the Protection of information in automated control systems for Production and Technological Processes at Critical Facilities, Potentially Dangerous Facilities, as well as Objects that pose an Increased danger to Human Life and health and to the environment" (in Russ.)

Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Order of the Federal Service for Technical and Export Control of Russia № 21 of 18.02.2013 "On Approval of Composition and Content of Organizational and Technical Measures for Ensuring Personal Data Security During their Processing in Personal Data Information Systems" (in Russ.)

Базовая модель угроз персональных данных при их обработке в информационных системах персональных данных. Москва, 2008. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnyedokumenty/379-bazovaya-model-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii-2008-god (дата обращения 06.01.2021)

The Basic Model of Threats to Personal Data During their Processing in Personal Data Information Systems. Moscow, 2008. Available from: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/379-bazovaya-model-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii-2008-god [Accessed 6th January 2021] (in Russ.)

Методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» URL: https://fstec.ru/normotvorcheskaya/poisk-po-dokumentam/114-tekhnicheskaya-zashchita-informatsii/dokumenty/spetsialnye-normativnye-dokumenty/380-metodika-opredeleniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-fstek-rossii-2008-god (дата обращения 06.01.2021)

Methodological document of the Federal Service for Technical and Export Control of Russia "Methodology for Determining Information Security Threats in Information Systems". Available from: https://fstec.ru/normotvorcheskaya/poisk-podokumentam/114-tekhnicheskaya-zashchita-informatsii/dokumenty/spetsialnye-normativnye-dokumenty/380-metodika-opredeleniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-fstek-rossii-2008-god [Accessed 6th January 2021] (in Russ.)

Методический документ ФСТЭК России «Методика моделирования угроз безопасности информации». URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-proekty/2070-metodicheskij-dokument (дата обращения 06.01.2021)

Methodological document of the Federal Service for Technical and Export Control of Russia "Methodology for Modeling Information Security Threats" Available from: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-proekty/2070-metodicheskij-dokument [Accessed 6th January 2021] (in Russ.)

Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности. Утверждены руководством 8 Центра ФСБ России № 149/7/2/6-432 от 31.03.2015.

Methodological Recommendations for the Development of Regulatory Legal Acts Defining Threats to the Security of Personal Data that are Relevant in the Processing of Personal Data in Personal Data Information Systems Operated in the Implementation of Relevant Activities. No. 149/7/2/6-432 of 31.03.2015 (in Russ.)

Савченко С.О., Капчук Н.В. Алгоритм построения модели нарушителя в системе информационной безопасности с применением теории игр // Динамика систем, механизмов и машин. 2017. Т. 5. № 4. С. 84‒89. DOI:10.25206/23109793-2017-5-4-84-89

Savchenko S.O., Kapchuk N.V. Algorithm for Constructing the Intruder Model in the Information Security System Using Game Theory. Dynamics of Systems, Mechanisms and Machines. 2017;5(4):84–89 (in Russ.). DOI:10.25206/2310-9793-20175-4-84-89

Жуков В.Г., Жукова М.Н., Стефаров А.П. Модель нарушителя прав доступа в автоматизированной системе // Программные продукты и системы. 2012. № 2. С. 75‒78.

Zhukov V.G., Zhukova M.N., Stefarov A.P. Model of an Access Rights Intruder in an Automated System. Programmnye produkty i sistemy. 2012;2:75–78 (in Russ.)

Максимова Е.А. Когнитивное моделирование деструктивных злоумышленных воздействий на объектах критической информационной инфраструктуры // Труды учебных заведений связи. 2020. Т. 6. № 4. С. 91‒103. DOI:10.31854/1813-324X-2020-6-4-91-103.

Maximova E. Cognitive Modeling of Destructive Malicious Impacts on Critical Information Infrastructure Objects. Proc. of Telecom. Universities. 2020;6(4):91‒103 (in Russ.) DOI:10.31854/1813-324X-2020-6-4-91-103

Саати Т. Принятие решений. Метод анализа иерархий. Пер. с англ. М.: Радио и связь, 1993. 278 с.

Saati T. Decision Making. Hierarchy Analysis Method. Translated from English. Moscow: Radio i sviaz Publ.; 1993. 278 p. (in Russ.)

Калькулятор метрик уязвимостей. URL: https://www.first.org/cvss/calculator/cvsscalc30.js, (дата обращения: 08.01.2020)

Vulnerability Metrics Calculator. URL: https://www.first.org/cvss/calculator/cvsscalc30.js (Accessed 8 January 2020)

Хомоненко А.Д., Бубнов В.П., Басыров А.Г. Модели и методы исследования информационных систем. Монография. СПб.: Изд-во Лань, 2019. 204 с.

Khomonenko A.D., Bubnov V.P., Basyrov A.G. Models and Research Methods for Information Systems. St. Petersburg: Lan Publishing House; 2019. 204 p. (in Russ.)

The authors declare that there are no conflicts of interest present.