Методический подход к количественной оценке рисков реализации угроз несанкционированного доступа к информационному ресурсу автоматизированных систем органов внутренних дел

Цель. Характерной особенностью современного этапа развития сферы информатизации органов внутренних дел (ОВД) является значительный рост объема и многообразия видов служебной информации ограниченного распространения, хранящейся, обрабатываемой и передаваемой в автоматизированных системах (АС). Это порождает возникновение большого количества и расширение номенклатуры угроз безопасности информации, в первую очередь – угроз, связанных с несанкционированным доступом (НСД) к информационному ресурсу АС ОВД, и вызывает необходимость совершенствования имеющихся способов борьбы с данным видом преступлений для обеспечения информационной безопасности объектов информатизации ОВД. Для получения информации, позволяющей оценивать степень угроз, необходимо провести количественную оценку рисков.

Метод. Метод оценки рисков реализации угроз несанкционированного доступа к информационному ресурсу АС ОВД и получения данных в количественном представлении основывается на использовании методов математического моделирования. Преимущество количественной оценки по сравнению с качественной оценкой заключается в возможности сопоставления рисков с конечным результатом, который можно представить в денежном эквиваленте, и дальнейшего использования при оценивании вероятности реализации информационных угроз и расчете нанесенного ущерба.

Результат. Предложен методический подход к количественной оценке рисков реализации угроз НСД к информационному ресурсу АС ОВД, позволяющий оценивать уровень защищенности служебной информации.

Вывод. Предложенный методический подход к количественной оценке рисков реализации угроз НСД к информационному ресурсу АС ОВД дает наглядное представление в денежном эквиваленте по объектам оценки (ущербу, затратам). Данные расчеты можно использовать при обосновании требований к уровню защищенности АС ОВД при их разработке и эксплуатации.

1. ФСТЭК РФ. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения.

2. ГОСТ Р 50922–2006. Защита информации. Основные термины и определения // М.: Федеральное агентство по техническому регулированию и метрологии. 2006. 12 c.

3. ГОСТ Р 56546–2015. Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. 2016. 8с.

4. ФСТЭК РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

5. ГОСТ Р 15408–2013. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий // М.: Стандартинформ. 2014. 152 c.

6. ГОСТ Р 53114–2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. 2008. 22с.

7. Руководящий документ. Безопасность информационных технологий. Концепция оценки соответствия автоматизированных систем требованиям безопасности информации: утв. ФСТЭК России 2004 г.

8. Руководящий документ Гостехкомиссии. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий: утв. Приказом Гостехкомиссии от 19.06.2002 №187.

9. Методика определения угроз безопасности информации в информационных системах: утв. ФСТЭК России 2015 г.

10. Коцыняк М.А., Кулешов И.А., Кудрявцев А.М., Лаута О.С. Киберустойчивость ИТКС. СПб, 2015 г.

11. Требования о защите информации, содержащейся в информационных системах общего пользования: утв. Приказом ФСТЭК России от 31 августа 2010 г. №489

12. Бешелев С.Д., Гурвич Ф.Г. Математико-статистические методы экспертных оценок. – М.: Статистика,1980. – 263 с.

13. Мочалов Д.А., Вольф В.А., Романова В.Р., Рогозин Е.А., Калач А.В. Анализ существующих угроз внешнего нарушителя к информационному ресурсу веб-серверов в автоматизированных системах вооруженных сил российской федерации // Вестник Воронежского института ФСИН России №1–2022. С. 68-75.

14. Коноваленко С.А., Королев И.Д. Выявление уязвимостей информационных систем посредством комбинированного метода анализа параметрических данных, определяемых системами мониторинга вычислительных сетей // Альманах современной науки и образования №11-2016. С.60-66.

15. Система защиты информации от несанкционированного доступа «Страж NT». Описание применения. URL: http://www.rubinteh.ru/public/opis30.pdf (дата обращения: 23.06.2022).

16. Yang N. Modeling and quantitatively predicting software security based on stochastic Petri nets / N. Yang, H. Yu, Z. Qian, H. Sun // Mathematical and Computer Modelling. — 2012. — Vol. 55. — Issues 1–2. — pp.102–112.

17. Klaic А. Conceptual Modeling of Information Systems within the Information Security Policies / A. Klaic, M. Golub // Journal of Economics / Business and Management. — 2013. — vol. 1. — Issue 4. — pp. 371–376.

18. Nazareth D. System dynamics model for information security management / D. Nazareth, J. Choi // Information & Management. — 2015. — vol. 52. — Issue 1. — pp. 123–134.

19. Complex Event Processing Modeling by Prioritized Colored Petri Nets / H. Macià [and others] // IEEE Access. — 2016. — vol 4. — pp. 7425–7439.

20. Nikishin K. Implementation of time-triggered ethernet using colored Petri NET / K. Nikishin, N. Konnov, D. Pashchenko // International Conference on Industrial Engineering, Applications and Manufacturing (ICIEAM). —2017. — pp. 1–5.

21. Korniyenko B.Y. Design and research of mathematical model for information security system in computer network / B.Y. Korniyenko, L.P. Galata // Science-Based Technologies. — 2017. — vol. 34. — Issue 2. — pp. 114–118.

22. White S.C. Comparison of Security Models: Attack Graphs Versus Petri Nets / S.C. White, S.S. Sarvestani // Advances in Computers. — 2014. — vol. 94. — pp. 1–24.

23. Jasiul В. Detection and Modeling of Cyber Attacks with Petri Nets / B. Jasiul, M. Szpyrka, J. Sliwa // Entropy. — 2014. — vol. 16. — Issue 12. — pp. 6602–6623.