Визуальный инструментарий для построения информационных моделей комплекса «информационная система – персонал», использующихся в имитации социоинженерных атак
Ключевые слова:
информационная система, персонал, социо-инженерная атака, визуальный редактор, злоумышленникАннотация
Описан прототип комплекса программ, с помощью которого продемонстрирована принципиальная возможность оценить защищенность персонала информационной системы от социо-инженерных атак на основе обобщения подхода, ориентированного на анализ деревьев атак. Представление информационной системы и ее персонала в указанном комплексе программ опирается на иерархию информационных моделей, состоящую из информационной модели пользователя, информационной модели группы пользователей, информационной модели контролируемых зон, информационной модели программно-технического (программно-аппаратного) комплекса, информационной модели критичных информационных объектов (системы документов), информационной модели самой информационной системы, а также связей между соответствующими объектами. Приведен перечень использованных в разработке прототипа технологий, причины выбора этих технологий, а также краткое обоснование принятых проектных решений. Рассмотрен пример работы прототипа программного комплекса, как в ходе редактирования сведений об информационной системе и ее персонале, так и в ходе имитации социоинженерной атаки по рекомпенсационному типу на персонал этой системы.Литература
Вассерман Л.И. Психологическая диагностика индекса жизненного стиля. (Пособие для врачей и психологов) / СПб., 1998. 48 с.
Грановская Р.М. Психологическая защита. СПб.: Речь, 2010. 476 с.
Котенко И. В., Степашкин М. В., Богданов В. С Анализ защищенности компьютерных сетей на этапах проектирования и эксплуатации // Изв. вузов. Приборостроение. 2006. Т. 49, № 5. С. 3–8.
Котенко И. В., Степашкин М. В., Богданов В. С Архитектуры и модели компонентов активного анализа защищенности на основе имитации действий злоумышленников // Проблемы информационной безопасности. Компьютерные системы. 2006. № 2. С. 7–24.
Котенко И. В., Степашкин М. В Использование ложных информационных систем для защиты информационных ресурсов компьютерных сетей // Проблемы инфор-мационной безопасности. Компьютерные системы. 2005. № 1. С. 63–73.
Котенко И. В., Степашкин М. В Системы-имитаторы: назначение, функции, архитектура и подход к реализации // Изв. вузов. Приборостроение. 2006. Т. 49, № 3. С. 3–8.
Райгородский Д.Я. Практическая психодиагностика. Методики и тесты. Учебное пособие. Самара: Издательский Дом «БАХРАХ-М», 2001. 672 с.
Тулупьева Т.В., Тулупьев А.Л., Пащенко А.Е., Азаров А.А., Степашкин М.В. Социально-психологические факторы, влияющие на степень уязвимости пользователей информационных систем, с точки зрения социоинженерных атак // Труды СПИИРАН. 2010. Вып. 1(12).[в печати]
Тулупьев А.Л., Пащенко А.Е., Азаров А.А. Информационная модель пользователя, находящегося под угрозой социоинженерной атаки // Труды СПИИРАН. 2010. Вып. 2(12).[в печати]
Тулупьев А.Л., Пащенко А.Е., Азаров А.А. Информационные модели компонент комплекса «информационная система – персонал», находящегося под угрозой социоинженерных атак. // Труды СПИИРАН. 2010. Вып. 1(13).[в печати]
Туник Е.Е. Психологические защиты. Тестовая методика. СПб.: Речь, 2010. 219 с.
Фролова А. Н., Тулупьева Т. В., Пащенко А. Е., Тулупьев А. Л. Возможный подход к анализу защищенности информационных систем от социоинженерных атак // Информационная безопасность регионов России (ИБРР-2007). V Санкт-Петербургская региональная конференция. Санкт-Петербург, 23–25 октября 2007 г.: Труды конференции / СПОИСУ. СПб., 2008. С. 195–199.
Фролова А. Н., Тулупьева Т. В., Пащенко А. Е., Тулупьев А. Л. Анализ уровня защищенности информационных систем в контексте социоинженерных атак: постановка проблемы // Труды СПИИРАН. 2008. Вып. 7. СПб.: Наука, 2008. С. 170–176.
Ялов А. Н. Ключевые проблемы недооцененности российских компаний // Российский экономический Интернет-журнал [Электронный ресурс]: Интернет-журнал АТиСО / Акад. труда и социал. Отношений. Электрон. журн. М.: АТиСО, 2008. № гос. регистрации 0420600008. http://www.e-rej.ru/Articles/2008/Yalov.pdf.
Kotenko I.V., Stepashkin M.V. Analyzing Vulnerabilities and Measuring Security Level at Design and Exploitation Stages of Computer Network Life // Springer-Verlag Lecture Notes in Computer Science. 2005. Vol. 3685. P. 311–324.
Kotenko I.V., Stepashkin M.V. Network Security Evaluation Based on Simulation of Malefactor's Behavior // Proc. of the Intern. Conf. on Security and Cryptography (SECRYPT–2006), Setubal, 2006. P. 339–344.
Грановская Р.М. Психологическая защита. СПб.: Речь, 2010. 476 с.
Котенко И. В., Степашкин М. В., Богданов В. С Анализ защищенности компьютерных сетей на этапах проектирования и эксплуатации // Изв. вузов. Приборостроение. 2006. Т. 49, № 5. С. 3–8.
Котенко И. В., Степашкин М. В., Богданов В. С Архитектуры и модели компонентов активного анализа защищенности на основе имитации действий злоумышленников // Проблемы информационной безопасности. Компьютерные системы. 2006. № 2. С. 7–24.
Котенко И. В., Степашкин М. В Использование ложных информационных систем для защиты информационных ресурсов компьютерных сетей // Проблемы инфор-мационной безопасности. Компьютерные системы. 2005. № 1. С. 63–73.
Котенко И. В., Степашкин М. В Системы-имитаторы: назначение, функции, архитектура и подход к реализации // Изв. вузов. Приборостроение. 2006. Т. 49, № 3. С. 3–8.
Райгородский Д.Я. Практическая психодиагностика. Методики и тесты. Учебное пособие. Самара: Издательский Дом «БАХРАХ-М», 2001. 672 с.
Тулупьева Т.В., Тулупьев А.Л., Пащенко А.Е., Азаров А.А., Степашкин М.В. Социально-психологические факторы, влияющие на степень уязвимости пользователей информационных систем, с точки зрения социоинженерных атак // Труды СПИИРАН. 2010. Вып. 1(12).[в печати]
Тулупьев А.Л., Пащенко А.Е., Азаров А.А. Информационная модель пользователя, находящегося под угрозой социоинженерной атаки // Труды СПИИРАН. 2010. Вып. 2(12).[в печати]
Тулупьев А.Л., Пащенко А.Е., Азаров А.А. Информационные модели компонент комплекса «информационная система – персонал», находящегося под угрозой социоинженерных атак. // Труды СПИИРАН. 2010. Вып. 1(13).[в печати]
Туник Е.Е. Психологические защиты. Тестовая методика. СПб.: Речь, 2010. 219 с.
Фролова А. Н., Тулупьева Т. В., Пащенко А. Е., Тулупьев А. Л. Возможный подход к анализу защищенности информационных систем от социоинженерных атак // Информационная безопасность регионов России (ИБРР-2007). V Санкт-Петербургская региональная конференция. Санкт-Петербург, 23–25 октября 2007 г.: Труды конференции / СПОИСУ. СПб., 2008. С. 195–199.
Фролова А. Н., Тулупьева Т. В., Пащенко А. Е., Тулупьев А. Л. Анализ уровня защищенности информационных систем в контексте социоинженерных атак: постановка проблемы // Труды СПИИРАН. 2008. Вып. 7. СПб.: Наука, 2008. С. 170–176.
Ялов А. Н. Ключевые проблемы недооцененности российских компаний // Российский экономический Интернет-журнал [Электронный ресурс]: Интернет-журнал АТиСО / Акад. труда и социал. Отношений. Электрон. журн. М.: АТиСО, 2008. № гос. регистрации 0420600008. http://www.e-rej.ru/Articles/2008/Yalov.pdf.
Kotenko I.V., Stepashkin M.V. Analyzing Vulnerabilities and Measuring Security Level at Design and Exploitation Stages of Computer Network Life // Springer-Verlag Lecture Notes in Computer Science. 2005. Vol. 3685. P. 311–324.
Kotenko I.V., Stepashkin M.V. Network Security Evaluation Based on Simulation of Malefactor's Behavior // Proc. of the Intern. Conf. on Security and Cryptography (SECRYPT–2006), Setubal, 2006. P. 339–344.
Опубликован
2010-12-01
Как цитировать
Тулупьев, А. Л., Пащенко, А. Е., Азаров, А. А., & Тулупьева, Т. В. (2010). Визуальный инструментарий для построения информационных моделей комплекса «информационная система – персонал», использующихся в имитации социоинженерных атак. Труды СПИИРАН, 4(15), 231-245. https://doi.org/10.15622/sp.15.12
Раздел
Статьи
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями:
Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале.
Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале.
Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).
