Интегральная модель оценки защищенности объектов информатизации в условиях деструктивного воздействия

В работе проведено обоснование необходимости создания информационной системы поддержки принятия решений при разработке систем защиты объектов информатизации, проведен анализ существующих систем в различных областях деятельности, определены требования к функционалу системы применительно к области защиты информации, рассмотрены методы разработки моделей функционирования защищенных информационных систем в условиях деструктивного воздействия на основе байесовских сетей, приведено описание функционирования типового модуля данной модели, рассмотрены структуры вероятностных моделей взаимосвязей уязвимостей, угроз безопасности информации, способов и сценариев их реализации, формирования мероприятий по защите объектов информатизации, формирования и оценки рисков инцидентов и ущерба от них, определены кластеры формирования типовых событий информационной безопасности, приведен методический аппарат для проведения расчетов совместного распределения вероятностей защитных и деструктивных событий, выявлены типовые цепочки взаимосвязей таких событий, разработан математический аппарат для расчета их вероятностей, приведено вербальное описание закономерностей их взаимного влияния, а также представлена методика перевода количественных вероятностных значений показателей защищенности объекта информатизации в качественные и подведены итоги проведенного исследования.

1. Приказ ФСТЭК России «Об утверждении требований к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 12.02.2013 № 17 [Электронный ресурс]. URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/702-prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17 (дата обращения: 20.12.2021).

2. Приказ ФСТЭК России «Об утверждении состава и содержания организационных и технических мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 № 21 [Электронный ресурс]. URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 20.12.2021).

3. Приказ ФСТЭК России «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей среды» от 14.03.2014 № 31 [Электронный ресурс]. URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/868-prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения: 20.12.2021).

4. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (с изменениями и дополнениями, 26 декабря 2019 г., № 60) [Электронный ресурс]. URL: https://fstec.ru/en/53-normotvorcheskaya/akty/prikazy/1592-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 (дата обращения: 20.12.2021).

5. Постановление Правительства Российской Федерации от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры» [Электронный ресурс]. URL: https://www.garant.ru/products/ipo/prime/doc/71783452/ (дата обращения: 20.12.2021).

6. Постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категоризации объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» [Электронный ресурс ресурс]. URL: http://government.ru/docs/6339/ (дата обращения: 20.12.2021).

7. Постановление Правительства Российской Федерации от 01.10.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. URL: https://www.garant.ru/products/ipo/prime/doc/72166260/ (дата обращения: 20.12.2021).

8. Методический документ. Утвержденная ФСТЭК России 5 февраля 2021 года «Методика оценки угроз информационной безопасности» [Электронный ресурс]. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g (дата обращения: 20.12.2021).

9. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России [Электронный ресурс]. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/379-bazovaya-model-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii-2008-god (дата обращения: 20.12.2021).

10. Джиарратано Д., Райли Г. Экспертные системы: принципы разработки и программирования / изд. 4-е, перевод с англ. Изд. Уильямса. ISBN: 978-5-8459-1156-8, 2007. С. 115–201.

11. Рассел С., Норвиг П. Искусственный интеллект: современный подход / 2-е издание, перевод с англ. Изд. Уильямса, ISBN: 5-8459-0887-6, 2006. С. 345–428.

12. Перл Д. Байесовские сети. М.: Лаборатория когнитивных систем Калифорнийского университета, Лос-Анджелес, 2000. 102 с.

13. Джаксен Ф. Байесовские сети и графики принятия решений. Изд. Шпрингер, 2001. С. 54–120.

14. Литвиненко Н. Г., Литвиненко А. Г., Мамырбаев О. Ж., Шаяхметова А. С. Агенариск. Работа с байесовскими сетями. Алматы: Институт информационных и вычислительных технологий, 2019. 233 с.

15. Конради С., Джуфф Л. Байесовские сети и байесовская лаборатория. Практическое введение для исследователей.

16. Руководство пользователя BAYESIALAB. URL: https://library.bayesia.com/display/BlabC/BayesiAlab+Руководствопользователя+.

17. Конради С., Джуфф Л. Введение в байесовские сети и байесовскую лабораторию. URL: https://library.bayesia.com/download/attachments/10092794/BayesianNetworksВведениеv16.pdf.

18. Расширенное моделирование с использованием AgenaRisk. URL: https://www.agenarisk.com.

19. Байесовская сетевая технология Agena. URL: https://www.agenarisk.com.

20. Начало работы с AgenaRisk. URL: https://www.agenarisk.com.

21. Эксперт Хугин. Построение байесовской сети. URL: https://www.hugin.com/wp-content/uploads/2016/05/Building-a-BN-Tutorial.pdf.

22. Эксперт Хугин. Технический документ. URL: http://download.hugin.com/webdocs/техническийдокумент/huginexpert-техническийдокумент.pdf.

23. Фентон Н., Нил М. Оценка рисков и анализ решений с использованием байесовских сетей. ISBN 9781439809105.

24. Басакер Р., Саати Т. Конечные графы и сети. М.: Наука, 1974. С. 205–278.

25. Свами М., Туласираман К. Графики, сети и алгоритмы. М.: Мир, 1984. С. 55–146.

26. Гавришев А. А. Анализ программ моделирования нечетких систем // Дистанционное и виртуальное обучение. 2017. № 6. С. 76–83.

27. Гавришев А. А. Моделирование и количественный и качественный анализ широко распространенных систем защищенной связи // Прикладная информатика. 2018. Т. 13, № 5 (77). С. 84–122.

28. Баранов В. В., Секретарев А. В., Игнатьева А. Р. Автоматизация разработки методов защиты объектов информатизации // Материалы Всероссийской научно-практической конференции «Социотехнические и гуманитарные аспекты информационной безопасности», 2019. С. 21–30.

29. Баранов В. В., Максимова Е. А., Лаута О. С. Анализ модели информационной поддержки процессов и систем при реализации многоагентного интеллектуального взаимодействия // Устройства и системы. Управление, контроль, диагностика. 2019. № 4. С. 32–41.

30. Баранов В. В., Максимова Е. А. Прогнозирование разрушительных вредных воздействий на объекты критической информационной инфраструктуры // Коммуникации в компьютерных и информационных науках. 2021. 1395 CCIS. С. 88–99.