Аспекты информационной безопасности в рамках оценки интероперабельности сетецентрических информационно-управляющих систем

Автор: Черницкая Татьяна Евгеньевна, Макаренко Сергей Иванович, Растягаев Дмитрий Владимирович

Журнал: Вестник Российского нового университета. Серия: Сложные системы: модели, анализ и управление @vestnik-rosnou-complex-systems-models-analysis-management

Рубрика: Информатика и вычислительная техника

Статья в выпуске: 4, 2020 года.

Бесплатный доступ

В условиях перехода информационно-управляющих систем к сетецентрической архитектуре и созданию сетецентрических информационно-управляющих систем (СЦИУС) возрастает актуальность обеспечения интероперабельности в таких системах. Предложен подход к оценке аспектов информационной безопасности в рамках разработки модели технической интероперабельности СЦИУС на основе ГОСТ Р 55062-2012. Показано, что аспекты технической интероперабельности в части информационной безопасности включают в себя параметры конфиденциальности, целостности, доступности, а также некоторые другие дополнительные параметры.

Интероперабельность, сетецентрическая система управления, информационная система, информационная безопасность, аспекты, параметры

Короткий адрес: https://sciup.org/148309577

IDR: 148309577   |   DOI: 10.25586/RNU.V9187.20.04.P.113

Текст научной статьи Аспекты информационной безопасности в рамках оценки интероперабельности сетецентрических информационно-управляющих систем

Особенностью развития систем управления организационными и техническими системами является переход их к сетецентрическим информационно-управляющим системам (СЦИУС). Ключевым принципом построения СЦИУС является интероперабельность. По определению, данному организациями по стандартизации [7; 17], «интероперабельность – способность двух или более информационных систем или компонентов к обмену информацией и к использованию информации, полученной в результате обмена».

В отечественной литературе большое число публикаций посвящено обсуждению принципов формирования СЦИУС, например работа [10], однако исследований по проблеме интероперабельности в СЦИУС несравнимо меньше. К основным работам по этой тематике стоит отнести работы [1; 2; 8; 11; 12; 13; 15]. При этом глубокое теоретическое исследование влияния аспектов информационной безопасности (ИБ) в рамках оценки технической интероперабельности СЦИУС в отечественной науке не проводилось.

В работе [2] обоснован вариант декомпозиции параметров интероперабельности в соответствии c ГОСТ Р 55062–2012 [7] на основании модели Systems, Capabilities, Operations, Programs, and Enterprises Model for Interoperability Assessment (SCOPE-модели) [22] с учетом ее адаптации к отечественному подходу оценки интероперабельности, представленному в стандарте. Это исследование продолжает и развивает ранее опубликованные работы авторов [1; 2; 8; 11; 12; 13; 15].

Далее рассмотрим параметры оценки аспектов ИБ, применимые к СЦИУС, более подробно.

Анализ существующих подходов и стандартов по категорированию параметров ИБ

Впервые категорирование инцидентов нарушения ИБ было предложено J.H. Saltzer и M.D. Schroeder в 1975 г. в работе [21]. В работе инциденты нарушения ИБ были разделены на три основных категории:

  • •    несанкционированное раскрытие информации;

  • •    несанкционированное изменение информации;

  • •    отказ в доступе к информации.

Позднее эти категории нарушения отдельных свойств ИБ получили краткие наименования и стандартизированные определения, а также стали использоваться как основные параметры, характеризующие состояние ИБ [3; 14]:

  • •    конфиденциальность (confidentiality) – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на это право;

  • •    целостность (integrity) – состояние информации, при котором обеспечиваются ее достоверность и полнота. При этом под полнотой понимается состав и объем информа-

  • Черницкая Т.Е., Макаренко С.И., Растягаев Д.В. Аспекты... 115

ции, достаточный для правильного понимания какого-либо явления или принятия решения, а под достоверностью – истинность и точность информации в описании какого-либо факта, события или явления;

  • •    доступность (availability) – состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа к информации, могут реализовывать их беспрепятственно.

В 1992 г. Организация экономического сотрудничества и развития предложила свою собственную модель ИБ [19], состоящую из девяти принципов обеспечения ИБ:

  • •    осведомленность (awareness) – знание пользователя системы об имеющихся рисках нарушения безопасности и способах защиты информации в системе;

  • •    ответственность (responsibility) – знание пользователя о разрешенных способах работы с информацией в системе и с последствиями нарушения разрешенных способов работы;

  • •    противодействие (response) – оперативный сбор информации о случаях нарушения безопасности в системе и передача ее ответственным лицам для принятия адекватных мер защиты;

  • •    этика (ethics) – понимание последствий любых действий, направленных на обработку информации в системе, в частности их степени влияния на работу других пользователей;

  • •    демократия (democracy) – свойство политики безопасности системы, учитывающее право пользователя на свободу публикации информации и обмен ею с другими пользователями;

  • •    оценка риска (risk assessment) – качественная и количественная оценка рисков нарушения безопасности, включающая в себя технический, физический и человеческий фактор;

  • •    разработка и внедрение систем безопасности (security design and implementation) – разработка, внедрение и эксплуатация систем и сетей должна учитывать требования к информационной безопасности;

  • •    управление безопасностью (security management) – управление безопасностью системы должно базироваться на анализе наиболее вероятных рисков, обладать свойствами гибкости и масштабируемости;

  • •    пересмотр (reassessment) – своевременный учет новых угроз безопасности для формирования актуальных моделей угроз безопасности системы.

В 1998 г. в национальном стандарте США NIST SP 800-160 [18] общепризнанные основные параметры ИБ – конфиденциальность, целостность, доступность – были дополнены еще тремя параметрами:

  • •    владение или контроль (possession or control) – свойство информации, состоящее в фактической реализации возможности пользователя распоряжаться и пользоваться информацией, а также проводить над ней санкционированные политикой безопасности операции;

  • •    подлинность (authenticity) – достоверность утверждения происхождения или авторства информации;

  • •    полезность (availability) – свойство информации быть использованной в интересах решения задач пользователя.

116 в ыпуск 4/2020

Эта модель получила название паркеровской гексады и до сих пор является предметом дискуссий среди специалистов по ИБ.

В 2011 г. международным консорциумом The Open Group опубликован стандарт управления ИБ O-ISM3, в котором сформирован выборочный подход к определению составляющих ИБ, основанный на классической триаде свойств «конфиденциальность – целостность – доступность». Согласно стандарту O-ISM3 для каждой организации можно идентифицировать индивидуальный набор целей ИБ, относящихся к одной из пяти категорий [20]:

  • •    приоритетные цели безопасности;

  • •    долгосрочные цели безопасности;

  • •    цели качества информации;

  • •    цели контроля доступа;

  • •    технические цели безопасности.

В 2013 г. экспертами J. Hughes и G. Cybenko была предложена модель ИБ «Количественные показатели ИБ и оценка рисков. Три основополагающих принципа компьютерной безопасности» [16], которая в дополнение к вышеуказанным параметрам ИБ вводила следующие категории:

  • •    подверженность системы риску (system susceptibility) – свойство, определяющее уязвимость системы и степень ее подверженности атакам;

  • •    доступность уязвимости (threat accessibility) – свойство, определяющее возможность получения информации о наличии уязвимостей системы злоумышленником, а также доступа его к этим уязвимостям за счет непосредственного физического взаимодействия с системой либо удаленно – по сети;

  • •    способность эксплуатировать уязвимость (threat capability) – свойство, определяющее способность злоумышленника использовать имеющиеся знания о системе и ее уязвимостях для реализации успешной атаки на нее.

Наиболее признанной и распространенной в руководящих документах общемирового и государственного уровня остается триада «конфиденциальность – целостность – доступность», которая в некоторой литературе сокращается как «КЦД». Именно такая модель ИБ используется в государственных стандартах. Тем не менее профессиональное сообщество настаивает на том, что данная модель устарела и более не удовлетворяет современным требованиям. Так, в стандарте ГОСТ Р ИСО/МЭК 27000–2012 [4] утверждены следующие дополнительные требования, предъявляемые к свойствам ИБ:

  • •    аутентифицированность (authentication) – свойство, гарантирующее, что заявленные характеристики объекта являются подлинными;

  • •    подлинность (authenticity) – свойство, гарантирующее, что субъект или ресурс идентичны заявленному;

  • •    подотчетность (accountability) – ответственность субъекта за его действия и решения;

  • •    невозможность отказа (non-repudiation) – способность информации удостоверять имевшее место событие или действие и их субъектов так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение;

  • •    достоверность (reliability) – свойство соответствия предусмотренному поведению и результатам.

Черницкая Т.Е., Макаренко С.И., Растягаев Д.В. Аспекты...    117

Разобщенность взглядов на состав свойств, параметров и категорий ИБ привела к отсутствию утвержденных стандартов категорирования, качественного и количественного оценивания свойств ИБ. Между тем разработка единых требований по оцениваемым свойства ИБ, а также их показателям и критериям оценки в составе отечественной модели интероперабельности является одной из ключевых задач формирования соответствующих руководящих документов.

Предложения по составу параметров, определяющих аспекты информационной безопасности в рамках оценки интероперабельности сетецентрических информационно-управляющих систем

Для количественной оценки аспектов ИБ в рамках оценки технической интероперабельности СЦИУС предлагается следующее множество параметров.

Основные параметры ИБ:

  • •    безопасность информации – состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность [6];

  • •    конфиденциальность информации – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на это право [14];

  • •    доступность информации – состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа к информации, могут реализовывать их беспрепятственно [14];

  • •    целостность информации – состояние информации, при котором обеспечиваются ее достоверность и полнота [3].

Дополнительные параметры ИБ:

  • •    полнота информации – состав и объем информации, достаточный для правильного понимания какого-либо явления или принятия решения [9];

  • •    достоверность информации – истинность и точность информации в описании какого-либо факта, события или явления [9];

  • •    подлинность информации – достоверность утверждения о происхождении или авторстве информации;

  • •    полезность информации – свойство информации быть использованной в интересах решения задач пользователя;

  • •    контроль информации – свойство информации, состоящее в фактической реализации возможности пользователя распоряжаться и пользоваться информацией, а также проводить над ней санкционированные политикой безопасности операции [18];

  • •    учетность действий пользователей – свойство информации, обеспечивающее однозначное отслеживание собственных действий любого пользователя (субъекта) при доступе к информации и ее обработке [5].

Заключение

На основании вышеизложенного можно сделать следующие выводы.

  • 1.    Одной из основных составляющих технической интероперабельности СЦИУС является ИБ.

  • 2.    Для количественной оценки аспектов ИБ в рамках оценки технической интероперабельности СЦИУС предлагается использовать следующие основные параметры: без-

    118 в ыпуск 4/2020

  • 3.    Для более «тонкой» оценки аспектов ИБ в рамках оценки технической интероперабельности СЦИУС предлагается использовать следующие дополнительные параметры: полнота информации, достоверность информации, подлинность информации, полезность информации, контроль информации, учетность пользователей.

  • 4.    Предлагаемые параметры оценки аспектов ИБ предполагается в дальнейшем использовать при разработке итогового документа «Модели для построения и оценки интероперабельности сетецентрических управляющих систем» как одного из основных результатов проекта РФФИ № 19-07-00774 «Исследование проблемы интероперабельности при реализации принципов сетецентрических информационно-управляющих систем».

опасность информации, целостность информации, конфиденциальность информации, доступность информации.

Список литературы Аспекты информационной безопасности в рамках оценки интероперабельности сетецентрических информационно-управляющих систем

  • Башлыкова А.А., Зацаринный А.А., Каменщиков А.А., Козлов С.В., Олейников А.Я., Чусов И.И. Интероперабельность как научно-методическая и нормативная основа бесшовной интеграции информационно-телекоммуникационных систем // Системы и средства информатики. 2018. Т. 28, № 4. С. 61-72. DOI: 10.14357/08696527180407
  • Башлыкова А.А., Козлов С.В., Макаренко С.И., Олейников А.Я., Фомин И.А. Подход к обеспечению интероперабельности в сетецентрических системах управления // Журнал радиоэлектроники. 2020. № 6. С. 15. DOI: 10.30898/1684-1719.2020.6.13
  • ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. М.: Стандартинформ, 2006. С. 4-15.
  • ГОСТ Р ИСО/МЭК 27000-2012. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология. М.: Стандартинформ, 2019.
  • ГОСТ Р ИСО/МЭК 7498-2000. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. М.: Изд-во стандартов, 1999. Ч. 2. Архитектура защиты информации. С. 3.
Статья научная