Способ определения потенциала нарушителя безопасности информации и реализуемых им уязвимостей программного обеспечения

В настоящее время внедрено множество методических документов, регламентирующих подходы к разработке моделей угроз безопасности информации для информационных систем, обрабатывающих информацию различного характера. Существуют разные методики разработки угроз и построения модели нарушителя, предлагаемые регуляторами в области информационной безопасности, в зависимости от направления их деятельности. Для поддержки принятий решений в процессе моделирования угроз разработан банк данных угроз безопасности информации. Однако в существующих подходах имеется ряд противоречий, при этом методики определения угроз и построения модели нарушителя, в большинстве случаев, предполагают привлечение экспертов для оценки факторов и условий возникновения угроз. В существующих методиках отсутствует взаимосвязь между нарушителем безопасности информации, и уязвимостями программного обеспечения в информационных системах, что не позволяет построить адекватную модель угроз без привлечения квалифицированных экспертов. Целью данной работы является определение потенциала нарушителя безопасности информации в зависимости от его возможностей и оценка влияния данного потенциала на реализацию уязвимостей программного обеспечения в информационных системах.

1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

2. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

3. Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

4. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

5. Базовая модель угроз персональных данных при их обработке в информационных системах персональных данных. Москва, 2008. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnyedokumenty/379-bazovaya-model-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii-2008-god (дата обращения 06.01.2021)

6. Методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» URL: https://fstec.ru/normotvorcheskaya/poisk-po-dokumentam/114-tekhnicheskaya-zashchita-informatsii/dokumenty/spetsialnye-normativnye-dokumenty/380-metodika-opredeleniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-fstek-rossii-2008-god (дата обращения 06.01.2021)

7. Методический документ ФСТЭК России «Методика моделирования угроз безопасности информации». URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/149-proekty/2070-metodicheskij-dokument (дата обращения 06.01.2021)

8. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности. Утверждены руководством 8 Центра ФСБ России № 149/7/2/6-432 от 31.03.2015.

9. Савченко С.О., Капчук Н.В. Алгоритм построения модели нарушителя в системе информационной безопасности с применением теории игр // Динамика систем, механизмов и машин. 2017. Т. 5. № 4. С. 84‒89. DOI:10.25206/23109793-2017-5-4-84-89

10. Жуков В.Г., Жукова М.Н., Стефаров А.П. Модель нарушителя прав доступа в автоматизированной системе // Программные продукты и системы. 2012. № 2. С. 75‒78.

11. Максимова Е.А. Когнитивное моделирование деструктивных злоумышленных воздействий на объектах критической информационной инфраструктуры // Труды учебных заведений связи. 2020. Т. 6. № 4. С. 91‒103. DOI:10.31854/1813-324X-2020-6-4-91-103.

12. Саати Т. Принятие решений. Метод анализа иерархий. Пер. с англ. М.: Радио и связь, 1993. 278 с.

13. Калькулятор метрик уязвимостей. URL: https://www.first.org/cvss/calculator/cvsscalc30.js, (дата обращения: 08.01.2020)

14. Хомоненко А.Д., Бубнов В.П., Басыров А.Г. Модели и методы исследования информационных систем. Монография. СПб.: Изд-во Лань, 2019. 204 с.