Безопасность информационных технологий

В работе представлены результаты систематизации мер защиты информационных ресурсов от компьютерных атак на цепи поставок программного обеспечения и программно-аппаратных комплексов. Отмечены феномены, актуальность и востребованность тематики защиты цепей поставки ИТ-продукции. Приведена статистика по заимствованным компонентам программной продукции и программных комплексов. Приведены примеры компьютерных атак на ресурсы и процессы цепи поставок программного обеспечения. Проведен анализ существующей терминологической базы в области безопасности цепей поставок программного обеспечения. Сформулированы основные свойства, характерные для терминов «цепь поставок» и «атака на цепь поставок». Проведен анализ существующих моделей угроз информационной безопасности, связанных с компьютерными атаками на цепи поставок программной продукции. Выявлены ограничения моделей угроз информационной безопасности цепи поставок программного обеспечения. Выполнен обзор и систематизация мер защиты информации от угроз информационной сферы, связанных с компьютерными атаками на цепи поставок программного обеспечения. Рассмотрены известные нормативные и методическое документы в области цепи поставок ИТ-продукции. Сделан вывод о необходимости развития российской законодательной и нормативно-правовой базы информационной безопасности по тематике цепей поставок программного обеспечения. Предложен вариант систематики мер защиты информации в жизненном цикле поставки программного обеспечения информационных систем. Предложены признаки классификации, как-то: используемые механизмы безопасности, методы защиты информации, фазы процесса разработки программного обеспечения. Сформулированы возможные направления совершенствования мер защиты информации от компьютерных атак на цепи поставок программного обеспечения в национальной и международной сфере информационной безопасности.

1. Буряк Ю.И., Амирханян В.Г., Калинин В.Л. Обеспечение безопасности цепей поставок промышленной продукции на базе использования современных информационных технологий // Вестник компьютерных и информационных технологий. 2012. № 9 (99). С. 26−33.

2. Погодина В.В., Аристов А.М., Аристов В.М. Проблема обеспечения информационной безопасности логистических процессов на предприятии // Журнал правовых и экономических исследований. 2016.
№ 3. С. 162−168.

3. Boiko A., Shendryk V., Boiko O. Information systems for supply chain management: uncertainties, risks and cyber security. Procedia Computer Science. V. 149, 2019. Р. 65-70. DOI: 10.1016/j.procs.2019.01.108.

4. Петренко С.А. Управление киберустойчивостью: постановка задачи // Защита информации. Инсайд. 2019. № 3 (87). С. 16−24.

5. Харрис Ш. Кибер войн@. Пятый театр военных действий/Пер. с англ. - М.: Альпина нон-фикшн, 2016. –390 с.

6. Астье Ж.И.; Жуков И.Ю.; Мурашов О.Н. Системы управления «умный дом» и интернет вещей. Безопасность информационных технологий, [S.L.], v. 24, n. 3. P. 18−29, July 2017. ISSN 2074-7136. URL: https://bit.mephi.ru/index.php/bit/article/view/260 (дата обращения: 01.12.2017).
DOI: http://dx.doi.org/10.26583/bit.2017.3.02.

7. Марков А.С., Фадин А.А. Организационно-технические проблемы защиты от целевых вредоносных программ типа Stuxnet // Вопросы кибербезопасности. 2013. № 1 (1). С. 28−36.
DOI: 10.21681/2311-3456-2013-1-28-36.

8. Brown C., Dog S., Franklin J.M. and etc. Assessing Threats to Mobile Devices & Infrastructure. The Mobile Threat Catalogue. NISTIR 8144 (draft). NIST, 2016. 50 p. DOI: 10.6028/NIST.IR.8144.

9. Miller, J.F. Supply Chain Attack Framework and Attack Patterns. MTR 14-0228. MITRE, 2013. P. 86.
URL: https://www.mitre.org/sites/default/files/publications/supply-chain-attack-framework-14-0228.pdf.

10. Reed M., Miller J.F., Popick P. Supply Chain Attack Patterns: Framework and Catalog. Office of the Deputy Assistant Secretary of Defense, 2014. 88 p. URL: https://www.acq.osd.mil/se/docs/Supply-Chain-WP.pdf (дата обращения: 21.07.2019).

11. Клянчин А.И. Каталог закладок АНБ (Spigel). Часть 1. Инфраструктура // Вопросы кибербезопасности. 2014. №2 (3). С. 60−65.

12. Клянчин А.И. Каталог закладок АНБ (Spigel). Часть 2. Рабочее место оператора // Вопросы кибербезопасности. 2014. №4 (7). С. 60−68.

13. Yuan X., Nuakoh E.B., Beal J.S., Yu H. Retrieving relevant CAPEC attack patterns for secure software development. In Proceeding of CISR '14 Proceedings of the 9th Annual Cyber and Information Security Research Conference (Oak Ridge, Tennessee, USA, April 08 - 10, 2014). ACM New York, NY, USA, 2014. P. 33−36. DOI: 10.1145/2602087.2602092.

14. Blank R.M. (ed.), Gallagher P.D. (ed.) Guide for Conducting Risk Assessments. NIST SP 800-30, NIST, 2012, Rev.1. 95 p. URL: https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final (дата обращения: 21.07.2019).

15. Барабанов А.В., Марков А.С., Цирлов В.Л. Международная сертификация в области информационной безопасности // Стандарты и качество. 2016. № 7. С. 30−33.

16. Barabanov A., Grishin M., Markov A., Tsirlov V. Current Taxonomy of Information Security Threats in Software Development Life Cycle. In: 2018 IEEE 12th International Conference Application of Information and Communication Technologies (AICT). IEEE (17-19 Oct 2018, Almaty, Kazakhstan). 2018. P. 356−361.
DOI: 10.1109/icaict.2018.8747065.

17. Boyens J., Paulsen C., Moorthy R., Bartol N. Supply Chain Risk Management Practices for Federal Information Systems and Organizations. NIST SP 800-161. NIST, 2015, 282 p. DOI: 10.6028/NIST.SP.800-161.

18. Sigler K., Shoemaker D., Kohnke A. Supply Chain Risk Management: Applying Secure Acquisition Principles to Ensure a Trusted Technology Product. Auerbach Publications, 2017. – 278 p.

19. Alzahrani N., Bulusu N. Block-Supply Chain: A New Anti-Counterfeiting Supply Chain Using NFC and Blockchain. In Proceedings of the 1st Workshop on Cryptocurrencies and Blockchains for Distributed Systems (CryBlock'18). ACM, New York, NY, USA, 2018. P. 30−35. DOI: 10.1145/3211933.3211939.

20. Hepp T., Wortner P., Schönhals A., Gipp B. Securing Physical Assets on the Blockchain: Linking a novel Object Identification Concept with Distributed Ledgers. In Proceedings of the 1st Workshop on Cryptocurrencies and Blockchains for Distributed Systems (CryBlock'18). ACM, New York, NY, USA, 2018. P. 60−65. DOI: 10.1145/3211933.3211944.

21. Ray S., Chen W., Cammarota R. Protecting the supply chain for automotives and IoTs. In Proceedings of the 55th Annual Design Automation Conference (DAC '18). ACM, New York, NY, USA, 2018. Article 89.
P. 1−4. DOI: 10.1145/3195970.3199851.

22. Марков А.С., Цирлов В.Л., Барабанов А.В. Методический аппарат анализа и синтеза комплекса мер разработки безопасного программного обеспечения // Программные продукты и системы. 2015. № 4.
С. 166−174. DOI: 10.15827/0236-235X.112.166-174.