Безопасность информационных технологий

Цель настоящей статьи заключается в описании методологии комплексного оценивания уязвимости критической информационной инфраструктуры (КИИ) и ее критических элементов на опасных производственных объектах, в том числе на объектах топливно-энергетического комплекса. К элементам КИИ на таких предприятиях в первую очередь следует отнести автоматизированные системы управления технологическими процессами. От нормального функционирования КИИ зависит бесперебойная работа сложных производственно-технологических процессов на критических элементах. Поэтому оценка уязвимостей в системе информационной безопасности, а также исследование стабильности системы безопасности объекта в целом позволит принять превентивные меры в отношении различного вида угроз. В рамках исследования применялись методы системного анализа (декомпозиция и синтез): при оценивании устойчивости информационной системы в целом ее иерархическая структура рассмотрена на примере графа с возможными структурными связями компонентов (активов) системы. Рассмотрены четыре вида отношений активов – полная независимость, слабая зависимость, сильная зависимость, обратная связь. Оценивание устойчивости системы в целом основано на вычислении устойчивости ее парных активов и информационной технологии рекуррентного пересчета при подключении новых компонентов. Метод имитационного моделирования применен для моделирования влияния рисков информационной безопасности на КИИ в условиях неполных и неоднозначных данных об их составляющих, логико-вероятностные методы – для оценки влияния рисков как на составляющие (активы) информационной системы, так и систему в целом с учетом иерархической связи этих активов. Для оценивания влияния базовой угрозы «технического воздействия» (информационной безопасности и системы физической защиты) на риски системы безопасности производственных объектов использовался метод Монте-Карло. Проведение мероприятий по оценке устойчивости информационных систем и стабильности систем безопасности ориентировано на критически важные объекты в медицине, образовании, промышленности, структурах государственного управления.

1. Wawrzyniak D. (2006) Information Security Risk Assessment Model for Risk Management. In: Fischer-Hübner S., Furnell S., Lambrinoudakis C. (eds) Trust and Privacy in Digital Business. TrustBus 2006. Lecture Notes in Computer Science. Vol. 4083. Springer, Berlin, Heidelberg. DOI: https://doi.org/10.1007/11824633_3.

2. Кононов А.А., Котельников А.П., Черныш К.В. Оценка защищенности критически важных объектов на основе построения моделей событий рисков. Труды ИСА РАН. Т. 62, Вып. 4, 2012. С. 69–75.
URL: http://www.isa.ru/proceedings/images/documents/2012-62-4/t-4-12_69-75.pdf. (дата обращения: 01.11.2020).

3. Liu S., Kuhn R., Rossman H. Understanding insecire IT: Practical risk assessment. IT Professional Magazine. V. 11, no. 3, 2009. P. 57–59. DOI: https://doi.org/10.1109/MITP.2009.62.

4. Shukla N., Kumar S. A comparative study on information security risk analysis practices // Special Issue of International Journal of Computer Applications. P. 28–33, 2012.

5. Bandopadhyay S., Sengupta A., Mazumdar C. A quantitative methodology for information security control gap analysis," Proceedings of the 2011 International Conference on Communication, Computing & Security – ICCCS '11, 2011.
DOI: https://doi.org/10.1145/1947940.1948051.

6. Shapiro Arnold F., Koissi Marie-Claire. Risk Assessment Applications of Fuzzy Logic. Casualty Actuarial Society, Canadian Institute of Actuaries, Society of Actuaries, 2015. – 112 p.
URL: https://www.soa.org/globalassets/assets/Files/Research/Projects/2015-risk-assess-apps-fuzzy-logic.pdf (дата обращения: 01.11.2020).

7. Ana Paula Henriques de Gusmão, Lúcio Camara e Silva, Maisa Mendonça Silva, Thiago Poleto, Ana Paula Cabral Seixas Costa. Information security risk analysis model using fuzzy decision theory // International Journal of Information Management. V. 36, Issue 1, 2016. P. 25–34.
DOI: https://doi.org/10.1016/j.ijinfomgt.2015.09.003.

8. Abdo H., Flaus J-M. A mixed fuzzy probabilistic approach for risk assessment of dynamic systems //IFAC-PapersOnLine. V. 48, Issue 3, 2015. P. 960–965. DOI: https://doi.org/10.1016/j.ifacol.2015.06.207.

9. Sami Haji, Qing Tan, Rebeca Soler Costa. A Hybrid Model for Information Security Risk Assessment. International Journal of Advanced Trends in Computer Science and Engineering. Vol. 8, no. 1, 2019.
P. 100–106. DOI: https://doi.org/10.30534/ijatcse/2019/1981.12019.

10. Krasnova T.N., Kryukova I.P., Krasnov A.E. et al. Principles of formalization of the syndrome diagnosis used in an automated system of management of patients. Biomed Eng. V. 32, 1998. P. 140–147.
DOI: https://doi.org/10.1007/BF02369144.

11. Краснов А.Е., Сагинов Ю.Л., Феоктистова Н.А. Количественное оценивание качества многопараметрических объектов и процессов на основе нейросетевой технологии. В сб. научных трудов Всероссийской конференции «Информационные технологии, менеджмент качества, информационная безопасность» (IT&MQ&IS-2015) - (20–25 мая 2015 г.). Учебно-научная база КБГУ в Приэльбрусье (п. Эльбрус). Приложение к журналу «Качество. Инновации. Образование», Т. 2, № 5, 2015. С. 97–108. URL: http://quality-journal.ru/wp-content/uploads/2016/07/ITMQIS-2015.pdf. (дата обращения: 01.11.2020).

12. Краснов А.Е., Надеждин Е.Н., Никольский Д.Н., Калачев А.А. Нейросетевой подход к проблеме оценивания эффективности функционирования организации на основе агрегирования показателей ее деятельности. Информатизация образования и науки, № 1 (33), 2017. С. 141–154.
URL: https://informika.ru/pechatnye-izdaniya/zhurnal-informatizaciya-obrazovaniya-i-nauki/arhiv-vypuskov/2017/vypusk-n33/. (дата обращения: 01.11.2020).

13. Krasnov A., Pivneva S. (2021) Hierarchical Quasi-Neural Network Data Aggregation to Build a University Research and Innovation Management System. In: Murgul V., Pukhkal V. (eds) International Scientific Conference Energy Management of Municipal Facilities and Sustainable Energy Technologies EMMFT 2019. EMMFT 2019. Advances in Intelligent Systems and Computing. V. 1259. Springer, Cham. P. 12–15.
DOI: https://doi.org/10.1007/978-3-030-57453-6_2.

14. Albert R., Barabasi A.-L. Statistical mechanics of complex networks. Rev. Mod. Phys. V. 74, Issue 1, 2002. P. 47–97. DOI: https://doi.org/10.1103/RevModPhys.74.47.

15. Barabási A.-L. The network takeover. Nature Phys. V. 8, 2012. P. 4–16.
DOI: https://doi.org/10.1038/nphys2188.

16. Евин И.А. Введение с теорию сложных сетей. Компьютерные исследования и моделирование. Т. 2,
№ 2, 2010. С. 121–141. DOI: https://10.20537/2076-7633-2010-2-2-121-141.

17. Мосолов А.С. Универсальная технология проектирования систем инженерно-физической защиты «АМУЛЕТ» с заданным уровнем эффективности. М.: НИЯУ «МИФИ». 2013. – 200 с.

18. Мосолов А.С., Беляева Е.А., Бадиков А.В. Изучение универсального метода проектирования систем инженерно-технической защиты объектов. М.: НИЯУ «МИФИ». 2010. – 84 c.

19. Беляева Е.А., Кузоятов О.П., Мосолов А.С., Новиков Ю.В. Способ проектирования системы комплексной безопасности объекта. Патент RU 2219576 С2. Заявка RU 2002105932, 05.03.2002. Опубликовано 20.12.2003. Бюл. № 35. МПК G06F 17/00.

20. Саати Т. Принятие решений. Метод анализа иерархий. М.: Радио и связь, 1993. – 278 c.

21. Акинин Н.И., Губина Т.А., Мосолов А.С. Алгоритм метода определения приоритетного сценария развития аварийной ситуации на объекте защиты. Кокс и химия: журнал. М.: Металлургиздат, 2019.
С. 41–49.

22. Губина Т.А., Мосолов А.С., Мосолов А.А. Система оценки безопасности опасного производственного объекта. Патент RU 2709155 C1. Заявка RU 2019107954, 02.04.2019. Опубликовано 16.12.2019. Бюл. № 35. МПК G06Q 10/06.