Методики оценивания надежности систем защиты информации от несанкционированного доступа в автоматизированных системах
Ключевые слова:
несанкционированный доступ, система защиты информации, надежность, отказ, автоматизированная система, конфиденциальность информации, целостность информации, доступность информацииАннотация
Современные методы защиты информации от несанкционированного доступа в автоматизированных системах основаны на использовании специализированных систем защиты информации, которые в обязательном порядке включаются в виде дополнительных программных систем в программное обеспечение автоматизированных систем в защищенном исполнении. Данные системы могут разрабатываться не только в процессе проектирования автоматизированных систем, но и дополнять общесистемное программное обеспечение функционирующих систем. Применение систем защиты информации от несанкционированного доступа может снизить надежность автоматизированных систем, если они содержат ошибки, не обнаруживаемые при отладке. Надежность систем защиты информации влияет на эффективность защиты информации (конфиденциальность, целостность и доступность). Методической основой при формировании облика систем защиты информации как в процессе разработки, так и в процессе модернизации автоматизированных систем являются руководящие документы Федеральной службы по техническому и экспортному контролю (ФСТЭК) России. Руководящие документы ФСТЭК России не содержат методических подходов к оценке надежности указанных программных систем. В этой связи актуальна разработка методик оценивания надежности систем защиты информации от несанкционированного доступа автоматизированных систем в защищенном исполнении. Структурная сложность систем защиты информации от несанкционированного доступа и значительное количество выполняемых функций обусловили необходимость использования трех показателей надежности, характеризующих систему при решении задач обеспечения конфиденциальности, целостности и доступности информации. Для разработки методик использованы известные методы оценивания надежности сложных систем, не допускающие их разложение на последовательное и параллельное соединение. Разработанные методики апробированы при оценивании надежности систем защиты информации от несанкционированного доступа, имеющих типовые показатели исходных характеристик. Результаты расчетов и перспективы использования разработанных методик представлены в статье.
Литература
2. ФСТЭК РФ. Руководящий документ. Методика определения угроз безопасности информации в информационных системах. URL: https://fstec.ru/component/attachments/download/ 812 (дата обращения: 10.07.2019).
3. Герасименко В.А., Малюк А.А. Основы защиты информации // М.: МИФИ. 1997. 537 с.
4. Zhu R., Zeng Y., Xu L., Yi X. Lightweight Privacy Preservation for Securing Large-Scale Database-Driven Cognitive Radio Networks with Location Verification // Security and Communication Networks. 2019. vol. 10. pp. 1–12.
5. Nia M.A., Bahrak B., Kargahi M., Fabian B. Detecting New Generations of Threats Using Attribute-Based Attack Graphs // IET Information Security. 2019. vol. 13. no. 4. pp. 293–303.
6. Яковина В.С., Федасюк Д.В., Мамроха Н.М. Аналіз викорисання аспектно-орієнтованого програмування як засобу підвищення надійності програмного забезпечення // Інженерія програмного забезпечення. 2010. Т. 2. №. 2. С. 24–29.
7. ГОСТ Р ИСО/МЭК 15408-1-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Часть 2. Функциональные компоненты безопасности. Часть 3. Компоненты доверия к безопасности // М.: Стандартинформ. 2014.
8. National vulnerability database. URL: https://nvd.nist.gov (дата обращения: 22.06.2019).
9. ФСТЭК РФ. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации. URL:https://dokipedia.ru/document/5326599 (дата обращения: 10.07.2019).
10. ФСТЭК РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. URL:https://dokipedia.ru/document/ 5182727 (дата обращения: 10.05.2019).
11. ГОСТ 28195. Оценка качества программных средств. Общие положения. URL:http://www.a-podkidyshev.ru/GOST/28195-89.pdf (дата обращения: 23.04.2019).
12. ГОСТ 28806-89. Качество программных средств. Термины и определения. URL: http://www.kimmeria.nw.ru/standart/glosys/gost_ 28806_90.pdf (дата обращения: 23.04.2019).
13. Dordevic N. Software quality standards // Military Technical Courier. 2017. vol. 65. no. 1. pp. 102–124.
14. Аббасов А.Э., Аббасов Т.Э. Оценка качества программного обеспечения для современных систем обработки информации // Информационно-технологический вестник. 2015. № 5(3). С. 15–28.
15. Pandian P.S. Adopting security checks in business transactions using formal-oriented analysis processes for entrepreneurial students // International Journal of Electrical Engineering & Education. 2019. pp. 101–112.
16. Arsanjani A. Empowering the business analyst for on demand computing // IBM Systems Journal. 2005. vol. 44. no. 1. pp. 67–80.
17. Пак В.О., Абраров Р.Д., Курязов Д.А. Software testing as integral part of software quality // Молодой учёный. 2016. № 9-5. С. 29–32.
18. Щенников А.Н. Качество информационных систем // ИТНОУ. 2018. № 1(5). С. 53–62.
19. Ayyub B.M., McCuen R.H. Probability, Statistics and Reliability for Engineers and Scientists // CRC Press. 2016. 656 p.
20. Тимашев С.А., Похабов Ю.П. Проблемы комплексного анализа и оценки индивидуальной конструкционной надёжности космических аппаратов (на примере поворотных конструкций) // Екатеринбург: АМБ. 2018. 38 с.
21. Shubinsky I.B., Rozenberg I.N., Papic L. Adaptive fault tolerance in real time information systems // Reliability: Theory & Applications. 2017. vol. 12. no. 1(44). pp. 18–25.
22. Levitin G., Finkelstein M., Huang H.Z. Scheduling of imperfect inspections for reliability critical systems with shock-driven delayed defects and failures // Reliability Engineering & System Safety. 2019. vol. 189. . pp. 89–98.
23. Paredes R., Dueñas-Osorio L., Meel K.S., Vardi M.Y. Principled network reliability approximation: A counting-based approach // Reliability Engineering & System Safety. 2019. vol. 191. pp. 93–110.
24. Jones C. Applied software measurement: Assuring // Productivity and Quality. 1997.
25. Kit E. Software Testing in the Real World: Improving the Process // Addison-Wesley. 1996.
26. Гнеденко Б.В., Беляев Ю.К., Соловьёв А.Д. Математические методы в теории надёжности // М.: КД Либроком. 2019. 584 с.
27. Казарин О.В., Шубинский И.Б. Надёжность и безопасность программного обеспечения: учеб. пособие для бакалавриата и магистратуры // М.: МГУ им. М.В. Ломоносова. 2018. 342 с.
28. Londeix B. Cost estimation for software development // Addison-Wesley Longman Publishing Co. 1987.
29. Об утверждении Доктрины информационной безопасности Российской Федерации: указ Президента РФ от 05.12.2016 № 646. URL: http://www.consultant.ru/document/cons_doc_LAW_208191/ (дата обращения: 07.06.2019).
30. Малафеев С.И., Копейкин А.И. Надёжность технических систем: примеры и задачи // СПб.: Лань. 2016. 320 с.
31. Зуб А.Т. Принятие управленческих решений: учебник и практикум. 2-е изд. испр. и доп. // М.: Юрайт. 2018. 332 с.
32. Гулов В.П. и др. Методика оценки надёжности системы защиты информации от несанкционированного доступа медицинской информационной системы // Прикладные информационные аспекты медицины. № 1. 2018. С. 202–209.
33. Скрыпников А.В. и др. Нормирование требований к характеристикам программных систем защиты информации // Вестник Воронежского государственного университета инженерных технологий. 2018. Т. 80. № 4. С. 96–110.
34. Филяк П.Ю., Данилова Ю.Н., Гришина Н.В., Мухаммед Н.А. Обеспечение безопасности в сети интернет на основе сертифицированных решений для обнаружения и предотвращения вторжений/атак // Информация и безопасность. 2018. Т. 21. № 4. С. 510–515.
35. Оленева Н.Р., Семяшкина Д.С. Российские и зарубежные разработки в области информационной безопасности // Информация и безопасность. 2018. Т. 21 № 3. С. 380–383.
36. Samaan N.A. et al.. Dynamic Contingency Analysis Tool — Phase 1, PNNL-24843, Pacific Northwest National Laboratory, Richland, WA, 2015. URL: http://www.pnnl.gov/main/ publications/external/technical_reports/PNNL-24843.pdf (дата обращения: 28.05.2019).
37. Дровникова И.Г., Етепнев А.С., Рогозин Е.А. Основные виды уязвимостей и взаимосвязь компонентов безопасности при обосновании показателей надёжности системы защиты информации от несанкционированного доступа в автоматизированных системах // Приборы и системы. Управление, контроль, диагностика. 2019. № 3. С. 59–64.
38. Черкесов Г.Н., Воропай Н.И., Сухарев М.Г., Чельцов М.Б. Надёжность систем энергетики // Новосибирск: Наука. 1999. 434 с.
39. Дровникова И.Г., Етепнев А.С., Рогозин Е.А. Формирование критериев работоспособности и отказов системы защиты информации от несанкционированного доступа автоматизированной системы // Приборы и системы. Управление, контроль, диагностика. М.: Научтехлитиздат. 2019. № 5. С. 18–24.
40. Рогозин Е.А. и др. Методы и средства оценки защищённости автоматизированных систем органов внутренних дел: монография // Воронежский институт МВД России. 2017. 88 с.
41. Conto J. MPjobs — a tool to run PSSe scripts in parallel // ERCOT. 2015.
42. Змеев А.А. и др. Методы и средства эволюционного и структурного моделирования при обосновании требований к программным системам защиты информации // Воронежский институт МВД России. 2015. 91 c.
Опубликован
Как цитировать
Раздел
Copyright (c) 2019 Оксана Игоревна Бокова, Ирина Григорьевна Дровникова, Андрей Сергеевич Етепнев, Евгений Алексеевич Рогозин, Виктор Анатольевич Хвостов
Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями: Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале. Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале. Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).