Анализ систем мониторинга и диспетчерского регулирования наземного транспорта и управление рисками их информационной безопасности тема диссертации и автореферата по ВАК РФ 05.13.01, кандидат наук Ботвинкин, Павел Викторович

  • Ботвинкин, Павел Викторович
  • кандидат науккандидат наук
  • 2015, Волгоград
  • Специальность ВАК РФ05.13.01
  • Количество страниц 139
Ботвинкин, Павел Викторович. Анализ систем мониторинга и диспетчерского регулирования наземного транспорта и управление рисками их информационной безопасности: дис. кандидат наук: 05.13.01 - Системный анализ, управление и обработка информации (по отраслям). Волгоград. 2015. 139 с.

Оглавление диссертации кандидат наук Ботвинкин, Павел Викторович

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ

ГЛАВА 1. Современное состояние проблем безопасности сложных систем, предназначенных для сбора, хранения и передачи информации

1.1 Основные термины и определения, применяемые в контексте безопасности информационных систем

1.2 Управление рисками информационной безопасности сложных систем

1.3 Понятия «уязвимость» и «риск» в контексте методик определения степени риска

1.4 Методики количественной оценки риска

1.4.1 ISRAM

1.4.2 CORA

1.4.3 Risk Watch

1.4.4 IS

1.5 Методики качественной оценки риска

1.5.1 OCTAVE

1.5.2 CRAMM

1.5.3 CORAS

1.5.4 FRAP

1.5.5 COBRA

1.5.6 NIST

1.6 Обоснование необходимости обеспечения информационной безопасности систем мониторинга и диспетчерского регулирования наземного транспорта

1.7 Выводы по первой главе

ГЛАВА 2. Системы мониторинга и диспетчерского регулирования наземного транспорта и проблемы обеспечения их безопасности

2.1 Глобальные навигационные системы

2.2 Системы мониторинга и диспетчерского регулирования наземного транспорта и их связь со БСАОА-системами

2.3 Структура систем мониторинга и диспетчерского регулирования наземного транспорта

2.4 Характерные уязвимости компонентов систем мониторинга и диспетчерского регулирования наземного транспорта

2.4.1 Каналы передачи данных

2.4.1.1 Беспроводные каналы передачи данных

2.4.1.2 Проводные каналы передачи данных

2.4.2 Телематический сервер

2.4.3 Бортовое навигационно-связное оборудование

2.4.4 Внешние датчики

2.4.5 Человеческие факторы

2.4.6 Факторы окружающей среды

2.5 Выводы по второй главе

ГЛАВА 3. Разработка методики управления рисками систем мониторинга и диспетчерского регулирования наземного транспорта

3.1 Основы методики управления рисками систем мониторинга и диспетчерского регулирования наземного транспорта

3.2 Оценка параметров уязвимости элементов системы мониторинга и диспетчерского регулирования наземного транспорта

3.3 Критерии выбора уровней экспертных оценок в процессе экспертного оценивания степени риска информационной безопасности системы мониторинга и диспетчерского регулирования наземного транспорта

3.3.1 Подсистема БНСО

3.3.2 Подсистема каналов передачи данных между телематическим сервером и БНСО

3.3.3 Подсистема «телематический сервер»

3.3.4 Подсистема «веб-интерфейс»

3.3.5 Подсистема датчиков

3.3.6 Обслуживающий персонал

3.4 Определение качественной величины риска безопасности системы мониторинга и диспетчерского регулирования наземного транспорта

3.5 Алгоритм управления рисками безопасности системы мониторинга и диспетчерского регулирования наземного транспорта

3.6 Результаты и выводы по третьей главе

ГЛАВА 4. Практическое внедрение разработанной методики управления рисками систем мониторинга и диспетчерского регулирования наземного транспорта в ОАО «ГЛОНАСС-Фактор»

4.1 Подготовка к исследованию

4.2 Первичная оценка уровней риска информационной безопасности системы мониторинга и диспетчерского регулирования наземного транспорта в ОАО «ГЛОНАСС-Фактор»

4.3 Мероприятия по снижению рисков информационной безопасности системы мониторинга и диспетчерского регулирования наземного транспорта в ОАО «ГЛОНАСС-Фактор»

4.4 Повторная оценка уровней риска информационной безопасности системы мониторинга и диспетчерского регулирования наземного транспорта в ОАО «ГЛОНАСС-Фактор»

4.5 Выводы но четвёртой главе

ЗАКЛЮЧЕНИЕ

ПЕРЕЧЕНЬ ГРАФИЧЕСКОГО МАТЕРИАЛА

114

СПИСОК СОКРАЩЕНИЙ

СПИСОК ЛИТЕРАТУРЫ

ПРИЛОЖЕНИЕ А — Опросные листы экспертов после первичной оценки риска информационной безопасности системы мониторинга и диспетчерского регулирования наземного транспорта в ОАО «ГЛОНАСС-Фактор»

ПРИЛОЖЕНИЕ Б — Средние значения экспертных оценок после первичной оценки риска системы мониторинга и диспетчерского регулирования наземного транспорта в ОАО «ГЛОНАСС-Фактор»

ПРИЛОЖЕНИЕ В — Опросные листы экспертов после повторной оценки риска информационной безопасности системы мониторинга и диспетчерского регулирования наземного транспорта в ОАО «ГЛОНАСС-Фактор»

ПРИЛОЖЕНИЕ Г — Средние значения экспертных оценок после повторной оценки риска системы мониторинга и диспетчерского регулирования наземного транспорта в ОАО «ГЛОНАСС-Фактор»

ПРИЛОЖЕНИЕ Д — Акт о внедрении результатов диссертационной работы в ОАО «ГЛОНАСС-Фактор»

Рекомендованный список диссертаций по специальности «Системный анализ, управление и обработка информации (по отраслям)», 05.13.01 шифр ВАК

Введение диссертации (часть автореферата) на тему «Анализ систем мониторинга и диспетчерского регулирования наземного транспорта и управление рисками их информационной безопасности»

ВВЕДЕНИЕ

Бесперебойная работа навигационной системы ГЛОНАСС очень важна для России. Распоряжением главы правительства РФ создано ОАО «ГЛОНАСС», которое будет координировать работу по развитию и использованию инфраструктуры. С 1 января 2015 г. в РФ вводится в эксплуатацию система «ЭРА-ГЛОНАСС». Министерству транспорта РФ поручено обеспечить реализацию государственной политики по развитию системы «ЭРА-ГЛОНАСС» и се использовашпо в интересах других информационно-навигационных комплексов.

Одним из основных направлений развития комплекса «ГЛОНАСС» является обеспечение работоспособности автоматизированных навигационных систем мониторинга и диспетчерского регулирования наземного транспорта.

Автоматизировашше навигационные системы мониторинга и диспетчерского регулирования наземного транспорта являются сложными по своей структуре и включают в себя множество различных программных и аппаратных решений, передача данных между узлами таких систем осуществляется посредством множества протоколов. За последние два года в России происходит планомерное внедрение таких систем на федеральном и муниципальном уровнях (приказ Министерства транспорта Российской Федерации от 31 июля 2012 г. № 285).

Нарушение информационной и физической безопасности подобных систем может повлечь к серьёзным негативным последствиям, однако эта проблема рассмотрена недостаточно подробно.

Проведение качественной оценки потенциальных уязвимостей и угроз становится основой для разработки и применения необходимых методов и средств защиты информации, позволяет решать задачу по обеспечению информационной безопасности наиболее эффективно. Традиционно определение требований как по защите информации, так и по оценке угроз безопасности информации осуществляется на основе правового и нормативно-методического обеспечения.

Систематический подход к анализу рисков информационной безопасности необходим для того, чтобы идентифицировать потребности организации, касающиеся требований информационной безопасности и создать эффективную систему управления информационной безопасности. Такой подход положен в основу данной работы.

Целью диссертационной работы является снижение уровня уязвимости систем мониторинга и диспетчерского регулирования наземного транспорта путём разработай и применения механизмов управления рисками их информационной безопасности.

Для достижения цели в диссертационной работе поставлены и решены следующие задачи:

1. Анализ существующих стандартов и методик управления рисками информационной безопасности систем.

2. Анализ систем мониторинга и диспетчерского регулирования наземного транспорта и уязвимостей их компонентов.

3. Разработка методики управления рисками информационной безопасности, применимой для систем мониторинга и диспетчерского регулирования наземного транспорта.

4. Применение разработанной методики для оценки и снижения уровней риска информационной безопасности существующей и функционирующей системы мониторинга и диспетчерского регулирования наземного транспорта.

Для решения поставленных задач поставленных задач использованы принципы системного анализа, теории управления рисками, теории вероятностей, теории принятия решений, методы математического и имитационного моделирования, технической диагностики.

Научная новизна результатов, выносимых на защиту состоит в разработке методики управления рисками информационной безопасности систем мониторинга и диспетчерского регулирования наземного транспорта, в том числе:

1. Определены критерии и показатели оценки уязвимости систем мониторинга и диспетчерского регулирования наземного транспорта.

2. Предложена процедура экспертной оценки показателей уязвимости базовых компонентов систем мониторинга и диспетчерского регулирования наземного транспорта.

3. Предложены математические модели уровня риска информационной безопасности систем мониторинга и диспетчерского регулирования наземного транспорта, их подсистем и компонентов подсистем.

4. Предложен алгоритм оценки и управления рисками информационной безопасности систем мониторинга и диспетчерского регулирования наземного транспорта.

Практическая значимость результатов работы заключается в следующем:

1. Разработанная методика может быть применена для управления рисками информационной безопасности существующих систем мониторинга и диспетчерского регулирования наземного транспорта.

2. Разработанная методика также может быть использована для управления рисками безопасности БСАВА-систем.

3. Информация о типичных уязвимостях систем мониторинга и диспетчерского регулирования наземного транспорта, приведенная в работе может быть использована для построешы базы знаний об уязвимостях.

Предложенная методика успешно применена для определения и снижения степени риска информационной безопасности системы мониторинга и диспетчерского регулирования наземного транспорта в ОАО «ГЛОНАСС-Фактор», что подтверждается актом о внедрении.

В ходе первичного анализа была выявлена степень риска информационной безопасности системы в целом и сё компонентов на уровне выше средних показателей. В связи с этим был предложен ряд мер по устранению угроз информационной безопасности с использованием предложенной методики.

Повторный анализ после реализации предложенных мер показал снижение степени риска информационной безопасности системы и её компонентов до уровней ниже средних показателен.

Работа в целом и ее отдельные результаты докладывались и обсуждались на четырёх международных научных конференциях (Прага — 21-25 апреля 2014, Брянск — 28-29 апреля 2014, Сочи — 1-10 октября 2014, Светлый Яр — 20-21 ноября 2014), всероссийской научной конференции (Самара — 6-8 декабря 2011) и трёх интернет—конференциях (Sworld.com.ua в 2013-2014 годах), а также — неоднократно — на заседаниях и семинарах, проводимых на кафедрах «ЭВМ и С» и «САПР и ПК» Волг!ТУ, с 2011 по 2014 годы, на ряде различных форумов и конгрессов. В рамках проекта УМНИК в 2011 году был получен двухлетний грант по теме «Программно-аппаратный комплекс для сбора и анализа информации и управления параметрами производства и потребления энергетических ресурсов» (государственный контракт №8708р/13143 от 14.01.2011). В 2010 году состоялась восьмимесячная стажировка в Католической школе Кемпен (г. Гиль Бельгия), в ходе которой была пройдена практика в компании PortaCapena и был получен опыт эксплуатации и обеспечения информационной безопасности сложных SCADA-систем, нацеленных на рациональное использова1ше энергетических ресурсов, а также опыт разработки программного обеспечения для этих систем.

По теме работы опубликованы 17 научных статей, из них шесть статей — в изданиях, рекомендуемых ВАК, н одна статья, проиндексированная в базе данных Scopus.

Без соавторства в настоящее время опубликовано четыре работы по теме диссертации. В работах, опубликованных в соавторстве, личное участие автора заключалось в определении проблемы, постановке задач, разработке теоретических положений, а также в непосредственном участии во всех этапах исследования. Материалы диссертации изложены в вышеперечисленных работах достаточно полно.

Необходимо отметить, что большой вклад в разработку основ теории оценки рисков внесли следующие отечественные исследователи: О. Г. Крюкова, В.Ф. Бадюков, А. Н. Елохин, Я.М. Миркин, В.А. Владимиров, А.Е. Абрамов и другие.

За рубежом исследованиям рисков информационных систем посвятили свои работы следующие авторы: Ming-Chang Lee, Hank Marquis, Armaghan Behnia, Rafhana Abd Rashid, Junaid Ahsenali Chaudhry, Ketil Stolen, Bjomar Solhaug и

другие.

Значительный вклад в решение проблем обеспечения информационной безопасности сложных SCADA-систем внесли В.А. Камаев, B.C. Лукьянов, И.М. Ажмухамедов, А.С. Артамонов, С.И. Макаренко, Е.Б. Белов, А.Г. Финогеев, Adriaan Brebels и другие.

Автор выражает глубокую благодарность и признательность сотрудникам кафедры «САПР и ПК» ВолгГТУ Фоменкову С.А., Кравец А.Г., Шабалиной О.А. благодаря помощи и доброжелательному отношению которых были достигнуты научные и практические результаты работы.

Автор выражает особую благодарность и признательность ныне покойному научному консультанту доктору технических наук, профессору Лукьянову Виктору Сергеевичу (1938-2013).

ГЛАВА 1. Современное состояние проблем безопасности сложных систем, предназначенных для сбора, хранения и передачи информации.

1.1 Основные термины и определения, применяемые в контексте безопасности информационных систем ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» устанавливает [20] ряд понятий и определений в области информационной безопасности. Из них для рассмотрения вопросов безопасности систем мониторинга и диспетчерского регулирования наземного транспорта важны следующие.

Защита информации (ЗИ) — деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамерешшх воздействий на защищаемую информацию.

Физическая ЗИ — защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. При этом организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты. К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

ЗИ от утечки —защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации (иностранными) разведками и другими заинтересованными субъектами. При этом заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

ЗИ от несанкционированного воздействия — защита информации, направленная на предотвращение несанкционированного доступа и воздействия

на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

ЗИ от непреднамеренного воздействия — защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправлеиных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя ннформащш.

Защита информации от несанкционированного доступа — защита информации, направленная на предотвращение получения защищаемой ннформащш заинтересовашшми субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации. При этом заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

Безопасность информации — состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

Таким образом, информационная безопасность (ИБ) системы — состояние системы, при котором обеспечиваются конфиденциальность, доступность и целостность передаваемой, обрабатываемой и хранящейся в ней информации.

Объект защиты информации — информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

Фактор, воздействующий на защищаемую информацию — явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

Источник угрозы безопасности информации — субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

Модель угроз безопасности информации — физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Специальное исследование объекта защиты информации — исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации.

Аудиторская проверка информационной безопасности в организации (аудит информационной безопасности в организации) — периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности.

Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).

Эффективность защиты информации — степень соответствия результатов защиты информации цели защиты информации.

Показатель эффективности защиты информации — мера или характеристика для оценки эффективности защиты информации.

Норма эффективности защиты информации — значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

Опираясь на вышеизложенные определения, получаем схему взаимоотношений между угрозами, уязвимостями и атаками (Рисунок 1.1)

Рисунок 1.1 — Схема взаимоотношений между угрозами, уязвимостями и

атаками.

1.2 Управление рисками информационной безопасности сложных систем

Управление рисками является основой для обеспечения безопасности при функционировании сложных систем, предназначенных для сбора, хранения, обработки и передачи информации [3].

Управление рисками информационной безопасности включает в себя следующие этапы [82]:

— Идентификацию рисков;

— Оценку рисков;

— Изучение вероятности рисков и их потенциальных последствий;

— Установление порядка приоритетов в рамках обработки рисков;

— Установление приоритетов мероприятий по устранению существующих рисков;

— Привлечение заинтересованных сторон к принятию решений об управлении рисками и поддержанию их информированности о состоянии дел в этой области;

— Повышение эффективности проводимого мониторинга рисков;

— Проведение регулярного мониторинга и пересмотра процесса менеджмента рисков;

— Сбору информации для усовершенствования подхода к менеджменту рисков;

— Подготовке менеджеров и персонала в части сфере рисков и необходимых действий, предпринимаемых для их уменьшения.

Существует большое количество описаний различных видов того, что включает в себя понятие «управление рисками», как им руководствоваться и с какой целью.

В настоящее время существуют и применяются следующие стандарты управления рисками:

— ISO 31000:2009 [79] —стандарт, опубликованный Международной Организацией Стандартов в 2009 году;

— BS 31110:2011 [68] — стандарт, опубликованный Британским Институтом Стандартов в 2011 году;

— IRM [77] — результат совместной работы нескольких ведущих организаций, занимающихся вопросами управления рисками в Великобритании — Института Управления Рисками (IRM), Ассоциации Управления Рисками и Страхования (AIRMIC), а также Национального Форума Управления Рисками в Общественном Секторе в 2002 году;

— COSO ERM [70] — документ, составленный Комитетом Спонсирования Организаций Колейной Комиссии (Committee of Sponsoring Organizations of the Treadway Commission) Великобритании в 2004 году;

— Turnbull Report [73] — документ, подготовленный Советом по Финансовой Отчётности Великобритании в 2005 году.

— ГОСТ Р 51897-2011 [21] — государственный стандарт Российской Федерации, базирующийся на вышеупомянутом ISO 31000:2009.

Принятие стандартов необходимо для достижения согласия по некоторым вопросам, а именно [77]:

— Используемая терминология;

— Процесс практического применения управления рисками;

— Организационная структура управления рисками;

— Цель управления рисками.

На сегодняшний день анализ рисков безопасности информационной системы может осуществляться в соответствии с различными методиками [3,60]. По результатам обзора литературы [99,76], посвященной их использованию, можно выделить следующие (Таблица 1.1).

Таблица 1.1 —Существующие методики управления рисками.

Название методики Тип оценки Процент упоминаний в проанализированной литературе Страна разработки

OCTAVE Качественная 78% США

CRAMM 50% Соединённое Королевство

CORAS 42% Греция, Германия, Норвегия

FRAP 35% Канада

COBRA 14% Соединённое Королевство

NIST 50% США

ISRAM Количественная 28% Турция

CORA 14% США

Risk Watch 14% США

IS 7% Южная Корея

Несмотря на то, что большинство из существующих методик и стандартов первоначально создавалось для управления рисками организаций, они могут быть применены и для управления рисками информационной безопасности.

1.3 Понятия «уязвимость» н «риск» в контексте методик определения

степени риска

Понятие «уязвимость» часто используется при оценке рисков, которым подвергаются технические системы, для того, чтобы охарактеризовать реакцию рассматриваемых систем на экстремальные воздействия [32].

ГОСТ Р 50922-2006 устанавливает понятие «уязвимость информационной системы» равным понятию «брешь», как свойство информационной системы, обусловливающее возможность реализации угроз безопасности, обрабатываемой в ней информации [20].

Как правило, в теории рисков под уязвимостью понимают открытость системы к различным экстремальным внутренним и внешним событиям/воздействиям, которые способствуют развитию катастрофического процесса. Достаточно часто понятие «уязвимость» определяют через связанные с ним характеристики системы. Например, под уязвимостью системы понимают совокупность свойств, являющихся противоположными устойчивости и живучести системы, а также ее способности выполнять заданные функции в случае частичного повреждения.

Махутов Н.А. и Резников Д.О. в своей работе «Оценка уязвимости технических систем и ее место в процедуре анализа риска» [32] показывают, что оценка уязвимости системы является ключевым этапом анализа риска. Она следует за оценкой угроз, которым подвергается техническая система, и формирует основу для последующей оценки ущербов. Результатами оценки уязвимости являются условные вероятности достижения системой тех или иных конечных состояний в случае осуществления различных инициирующих воздействий на систему. Оценка уязвимости технической системы должна быть вероятностной. Причем, поскольку понятие «уязвимость» характеризует реакцию системы на инициирующие воздействия, то уязвимость должна определяться как условная вероятность отказа в случае осуществления инициирующего события. В связи с тем, что понятие «уязвимость» является многосторонним и должно отражать физические, организационные, технологические и функциональные

аспекты состояния системы, весьма актуальной задачей является формирование единого методологического подхода к количественной оценке уязвимости.

Руководство ISO 73:2009 [80] устанавливает следующие понятия в области безопасности систем и анализа риска.

Риск — это комбинация вероятности события и его последствий. Влияние — это отклонение от предполагаемого (положительного и/или отрицательного). Цели могут иметь различные аспекты и могут применяться на различных уровнях.

Информационная безопасность ассоциируется с потенциалом угроз, которые используют уязвимости информационного актива или группу информационных активов и таким образом наносят ущерб организации.

Таким образом, количественная оценка риска использует два основных элемента: вероятность произошедшего события и потери, к которым оно может привести.

Существующие методики, предлагающие количественный подход к анализу рисков зачастую выражают величину риска через произведение вероятности наступления события на степень неблагоприятности его последствий.

Проблемы количественной оценки риска, как правило, связаны с ненадежностью и неточностью данных. Вероятность редко бывает точной, в подавляющем большинстве случаев являясь приближенной оценкой.

Важными для рассмотрения понятиями, часто используемыми для количественной оценки риска, являются ожидаемые годовые потери (ALE — Annual Loss Expectancy) и единично-возникающие потери (SOL — single occurrence lossess). Их назначение и применение будет рассмотрено ниже.

1.4 Методики количественной оценки риска

Количественный подход в отличие от качественного позволяет получить более полное представление о возможных рисках информационной безопасности, так как данный подход основан на математических методах: теории вероятности, математической статистике, теории нечётких множеств и т.п. При таком подходе используются цифровые шкалы, определяющие величины потерь, и вероятности

реализации угрозы. Количествишый метод анализа информационных рисков гораздо более сложен чем, качественный, поэтому требует значительно большей квалификации ответственного работника. Следует понимать, что неправильно проанализированные риски, могут быть неверно оценены и, как следствие, могут привести к излишним затратам, или нерациональному распределению ресурсов, имеющихся в собственности компании. Такой исход может быть вызван целым рядом факторов: ошибочное субъективное мнение эксперта, проводящего оценивание, недостоверность входных данных используемых источников, нехватка статистики по инцидентам информационной безопасности, ошибки при осуществлении расчетов и т.п. [45]

1.4.1 IS RAM

Методика ISRAM [85] была разработана в декабре 2003 года в Институте электроники и криптографии и Технологическом институте Гебзе в Турции. Эта методика рассчитана на количественный подход к анализу рисков с участием главы и персонала организации. ISRAM является опросно-ориентированной методикой. Два отдельных и независимых экспертных опроса должны быть проведены для установления величин двух атрибутов риска — вероятности и последствий событий. ISRAM не рассматривает такие параметры как единично-возникающие потери (SOL) или ожидаемые годовые убытки (ALE).

Фактор риска представляет собой число от 1 до 25. Это численное значение отражает высокую, среднюю или низкую качественную оценку, и это значение качества основывается на решениях по управлению рисками.

Модель риска в этой методике основывается на следующей формуле [83]:

R = PxC, (1.1)

где: R —величина риска, Р — вероятность возникновения прорыва безопасности (OSB — occurrence of security breach) системы, С — последствия OSB.

Модель риска, в которой отражаются обе основные части формулы (1.1), представлена формулой [83]:

R =

f

zr/zw^llizr/sw^

m l i 'J n \ j_

f

Í

¿ ,0.2)

m

n

\

где: R — величина риска, / — число вопросов, заданных экспертам в ходе опроса о вероятности OSB, т — количество экспертов, принявших участие в опросе по вероятности OSB, j — количество средств для обнаружения и оценки последствий OSB, п —число участвовавших в опросе экспертов по вопросам последствий OSB, wt и Wj— веса вопросов / и j соответственно, pt и pj— численные значения ответов на вопросы / и j соответственно, Ti и Тг — табличные риски исследования вероятности и последствий OSB соответственно.

Если организация заинтересована в простоте и быстроте оценки рисков, ISRAM не является лучшим выбором. Но эта методика позволяет точно оценивать риски в области безопасности в организации.

Корпорация «Технология международной безопасности (ICT)» разработала методику CORA [42,78] для оценки и анализа стоимости риска. Методика CORA предполагает оценку риска на основе данных об угрозах, функциях, активах и уязвимостях. То есть, подсчитываются потенциальные потери в связи с возможными реализациями угроз. Это метод, в котором параметры количественно выражают риски, и где потери выражаются количественно в финансовых терминах. CORA использует двухступенчатый процесс для поддержки управления рисками. Параметры угроз, функций и активов проверяются и обновляются до тех пор, пока не определятся наилучшие значения. Затем вычисляются параметры SOL и ALE для каждой из идентифицированных угроз. Общие потери в организации оцениваются для каждой угрозы по-отдельностн, а затем это значение умножают на частоту возникновения угроз [59].

CORA устанавливает следующие соотношения:

1.4.2 CORA

ALE = CxF = Y<SOL» ' (1-3)

n

21

SOL = P*V,{\A)

где: ALE — ожидаемые годовые потери, С — степень неблагоириятности последствий реализации угроз, F —частота возникновения угроз, SOL — единично-возникающие потери, п — число единично-возникающих потерь, Р — величина финансовой потери при худшем развитии событий, V —степень потенциальной уязвимости.

Похожие диссертационные работы по специальности «Системный анализ, управление и обработка информации (по отраслям)», 05.13.01 шифр ВАК

Список литературы диссертационного исследования кандидат наук Ботвинкин, Павел Викторович, 2015 год

СПИСОК ЛИТЕРАТУРЫ

1. Автоматизированная радионавигационная система диспетчерского управления пассажирским транспортом // НПП «Транснавигация». URL: http://ww\v.transnavi.ru/projects/asdu/about/about.php (дата обращения: 01.10.2014).

2. Ажмухамедов И.М. Анализ и управление комплексной безопасностью на основе когнитивного моделирования // Управление большими системами. 2010. № 29. М.: ИПУ РАН. С. 5-15.

3. Анализ и оценка рисков информационной безопасности // Микротест. URL: http://vvww.security-microtest.ru/uslugi/otsenka-riskov-informatsionnoy-bezopasnosti/ (дата обращения: 01.10.2014).

4. Астахов A. OCTAVE // Искусство управления информационными рисками. URL: http://anann3-pHCKa^/content/octave (дата обращения: 01.10.2014).

5. Астахов A. Risk Watch // Искусство управления информационными рисками. URL: http://ai^n3-pncKa^/content/riskwatch (дата обращения: 01.10.2014).

6. Безопасность локальных сетей // Техника для спецслужб. Бюро Научно-Технической Информации. URL: http://www.bnti.ru/ showart.asp?aid=792&lvl=04. (дата обращения: 01.10.2014).

7. Бершадский A.M., Курилов Л.С., Фшюгеев А.Г. Классификация методов маршрутизации в беспроводных сенсорных сетях // Известия ВолгГТУ. Межвузовский сборник научных статей. Серия «Актуальные проблемы управления, вычислительной техники и информатики в технических системах». Волгоград, Изд-во ВолГТУ. 2012. Т. 10. № 14. С. 181-185.

8. Бершадский A.M., Курилов Л.С., Финогеев А.Г. Обзор методов маршрутизации в беспроводных сенсорных сетях // Известия ВУЗов. Поволжский регион. Технические науки. Пенза, Изд-во ПГУ. 2012. № 1. С. 47-58.

9. Богомазова И.Ю., Мишин Д.В. Автоматизированная система анализа защищенности объекта информатизации. Обзор существующих программных

решений 2013. URL: http://izi.vlsu.ru/HTC/41.pdf (дата обращения: 01.10.2014).

10. Ботвинкин П.В., Дородииков H.A. О современных автоматизированных информационно-измерительных системах и проблемах их безопасности в контексте инновационных для России областей их применения // Инновации в профессиональном образовашш и научных исследованиях вуза. Брянск. 2014. С. 15-18.

11. Ботвинкин П.В., Лукьянов B.C. Автоматизированное управление параметрами производства и потребления энергетических ресурсов // Открытое образование. 2011. № 2 (85). Ч. 2. С. 109-111.

12. Ботвинкин П.В., Лукьянов B.C. Автоматическое управление параметрами потребления энергетических ресурсов на основе полученной статистической модели // Известия Самарского научного центра Российской академии наук. 2011. Т. 13. №4-4. С. 1069-1071.

13. Ботвинкин П.В., Миронов A.IO. Понятие о SCADA-системах и обоснование необходимости комплексного подхода к обеспечению их информационной и физической безопасности // Сборник научных трудов Sworld. 2014. Т. 10. № 3(36). С. 52-55.

14. Ботвинкин П.В. О методах защиты от неблагоприятных факторов, воздействующих на автоматизированные информационно-измерительные системы контроля и учета энергоресурсов // Известия Волгоградского государствешюго технического университета: межвуз. сб. науч. ст. № 22(125) — Волгоград: ИУНЛ ВолгГТУ. 2013. С. 50-53.

15. Ботвинкин П.В. Об автоматизированных информационно-измерительных системах и методах защиты от неблагоприятных факторов, способных воздействовать на ннх // Сборник научных трудов Sworld. 2013. Т. 12. № 4. С. 56-62.

16. Воронцов A.A. Автоматизированные системы управления технологическими процессами. Вопросы безопасности // Jetinfo. Jun 2011. № 5.

17. Гаврилов A.B. SCADA-системы // Сайт лаборатории «Гибридные Интеллектуальные Системы». URL: http://vww.insycom.ni/html/metodmat/ Automat2011/Lect6.pdf (дата обращения: 01.10.2014).

18. Герасименко В.А., Малюк A.A. Основы защиты информации. М.: Инкомбук, 1997.

19. ГЛОНАСС — системы навигации // НИС-ГЛОНАСС. URL: http://www.nis-glonass.ru/about-glonass/ (дата обращения: 01.10.2014).

20. ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения".

21. ГОСТ Р 51897-2011 "Менеджмент риска. Термины и определения".

22. ГОСТ Р 54024-2010 Глобальная навигационная спутниковая система. Системы диспетчерского управления городским наземным пассажирским транспортом. Назначение, состав и характеристики бортового навигационно-связного оборудования.

23. Грицай Г., Тиморин А., Гольцев 10., Ильин Р., Гордейчик С., Карпин А. Безопасность промышленных систем в цифрах // Сайт компании Positive Technologies. URL: http://www.ptsecurity.ru/download/ SCADA_analytics_russian.pdf (дата обращения: 01.10.2014).

24. Грушо A.A., Применко Э.А., and Тимонина Е.Е. Теоретические основы компьютерной безопасности. М.: Академия, 2009.

25. Гусинский A.B., Кострикин A.M., Ворошень В.А. Информационно-измерительные системы: Учеб. пособие по практическим занятиям для студентов метрологических и радиотехнических специальностей всех форм обучения. В 2 ч. Ч. 1. Мн.: БГУИР, 2003.40 с.

26. Иванов A.B. Как обмануть GPS/ГЛОНАСС систему контроля транспорта? Мифы и реальность. // Центр мониторинга «АВТОСКАН». URL: http:// autoscan-sar.ru/publ/

kak_obmanut_gps_glonass_sistemu_kontrolja_transporta_mify_i_realnost/l -1 -0-9

(дата обращения: 01.10.2014).

27. Камаев В.А., Куанг В.Т., Финогеев А.Г., Нефедова И.С., Финогеев A.A., Ботвинкин П.В. Схемы управления ключами с использованием кадров маршрутной информации в беспроводных сенсорных сетях SCADA систем // Прикаспийский журнал: управление и высокие технологии. 2014. № 3 (27). С. 197-215.

28. Камаев В.А., Лежебоков В.В. Разработка и применение модели автоматизированной системы управления информационными процессами к задаче мониторинга состояния оборудования // Вестник компьютерных и информационных технологий. 2009. № 9. С. 18-22.

29. Кондаков В.В., Краснобородько A.A. Информационная безопасность систем физической защиты, учета и контроля ядерных материалов: Учебное пособие. М.: МИФИ, 2008.48 с.

30. Лекция 4: Методики и программные продукты для оценки рисков // Национальный открытый университет «Интуит». URL: http://www.intuit.ru/ studies/courses/531/387/lecture/8996?page=2 (дата обращения: 01.10.2014).

31. Маслов В.А., Финогеев А.Г. Анализ, оценка и учет влияния помех радиопередающих устройств при построении беспроводных сетей с использоватшем технологии Wi-Fi в образовательных учреждениях // Труды международного симпозиума «Надежность и качество». 2009. Т. 2. С. 170171.

32. Махутов H.A., Резников Д.О. Оценка уязвимости технических систем и ее место в процедуре анализа риска // Проблемы анализа риска. 2008. Т. 5. № 3. С. 72-85.

33. Методы повышения надежности систем SC ADA URL: http://automation-system.ru/news/item/scada-2-2-2-2-2-2-2-2-2-2-2-2.html (дата обращения: 01.10.2014).

34. Нагель К.И. Анализ рисков в ТКС // IV Международная студенческая электронная научная конференция «Студенческий научный форум». 2012.

URL: http://wwv.rae.ra/forum2012/pdf71170.pdf (дата обращения: 01.10.2014).

35. Нестеров С.А. Анализ и управление рисками в сфере информационной безопасности // Краснодарский университет министерства внутренних дел Российской Федерации. 2007. URL: http://vvvvw.krdu-mvd.ni/_files/kafedra_ib/ 52.pdf (дата обращения: 01.10.2014).

36. ОАО «ГЛОНАСС-Фактор». // ГЛОНАСС-Фактор. URL: http://glonass-factor.ru/ (дата обращения: 01.10.2014).

37. Пахомов П.И., Немтинов В.А. Технология поддержки принятия решений по управлению инженерными коммуникациями. М.: Машиностроение, 2009. 124 с.

38. Петренко С., Симонов С. Методики и технологии управления информационными рисками // CIT-Forum. 2003. URL: http://citforum.ru/ security/articles/risk/(дата обращения: 01.10.2014).

39. Петренко С.А., Симонов C.B. Управление информационными рисками. Экономически оправданная безопасность. ДМК Пресс, 2009. 394 с.

40. Постановление правительства Российской Федерации от 25 августа 2008 года №641 «Об оснащении транспортных, технических средств и систем аппаратурой спутниковой навигации ГЛОНАСС или ГЛОНАСС/GPS».

41. Приказ Министерства транспорта Российской Федерации от 31 июля 2012 г. № 285 "Об утверждении требований к средствам навигации, функционирующим с использованием навигационных сигналов системы ГЛОНАСС или ГЛОНАСС/GPS и предназначенным для обязательного оснащения транспортных средств категории М. используемых для коммерческих перевозок пассажиров, и категории N, используемых для перевозки опасных грузов".

42. Прищеп C.B. Анализ методик оценки рисков (методики оценки рисков NIST и CORA) // Сборник материалов I международной заочной научно-практической конференции «Актуальные проблемы безопасности информационных технологий». 2007. С. 85-93.

43. Пугин В.В., Губарева О.Ю. Обзор методик анализа рисков информационной безопасности информационной системы предприятия // Т-Сошш — Телекоммуникации и Транспорт. 2012. № 6. С. 54-57.

44. Репин М. Методики анализа рисков // Путь Безопасности. 2014. URL: http:// daosec.blogspot.ru/2014/03/blog-post.html (дата обращения: 01.10.2014).

45. Русанов A.B. Управление рисками информационной безопасности // Сборник трудов VII Международной научнопрактнческой конференции студентов, аспирантов и молодых учёных «Технологии безопасности», Финансовый университет при правительстве Российской Федерации. 2014. С. 78-84.

46. Системы диспетчерского управлениян сбора данных (SCADA-системы) // Мир компьютерной автоматизации. URL: http://www.mka.ru/?p=41524 (дата обращения: 01.10.2014).

47. Степень защиты IP URL: archiínter.ru/d/43975/d/stepen-zaschity-ip.doc (дата обращения: 01.10.2014).

48. Ткаченко В., Сысоев В. Современные подходы к оценке рисков информационных технологий 2010. URL: http://www.cbz.com.ua/resources/ files/12224515494d0f29elcacc9.pdf (дата обращения: 01.10.2014).

49. Указ Президента Российской Федерации от 17 мая 2007 г. N 638 "Об использовании глобальной навигационной спутшжовой системы ГЛОНАСС в интересах социально-экономического развития Российской Федерации".

50. Унифицированный протокол взаимодействия телематических платформ систем мониторинга и управления подвижными объектами 2012. URL: http:// 2014.transdir.ru/assets/unificirovanuy-protokol2.pdf (дата обращения: 01.10.2014).

51. Управление рисками. Метод CRAMM // IT Expert. URL: http 'Л www.itexpert.ru/rus/ITEMS/77-33 (дата обращения: 01.10.2014).

52. Федеральный закон от 14 февраля 2009 г. N 22-ФЗ "О навигационной деятельности".

53. Финогеев А.Г., Дильман В.Б., Финогеев А.А., Маслов В.А. Оперативный дистанционный мошггорннг в системе городского теплоснабжения на основе беспроводных сенсорных сетей // Изв. ВУЗов. Поволжский регион. Технические науки. Пенза, Изд-во ПГУ. 2010. № 3. С. 27-36.

54. Финогеев А.Г., Нефедова И.С., Финогеев Е.А., Куанг Винь Тхай, Ботвинкин П.В. Анализ и классификация атак через беспроводные сенсорные сети в SCADA системах // Прикаспийский журнал: управление и высокие технологии. 2014. № 1. С. 12-23.

55. Чернобровцев А. Защита АСУ ТП // Открытые системы. 2013. URL: http:// www.osp.ru/news/articles/2013/37/13037680/ (дата обращения: 01.10.2014).

56. Шабуров А.С., Юшкова С.А., Бодерко А.В. Моделирование оценки угроз безопасности информационных систем персональных данных // Вестник ПНИПУ. 2013. № 7. С. 149-159.

57. Экспертный анализ рисков // Управление рисками, риск-менеджмент на предприятии. URL: http://www.risk24.ru/analizexpert.htm (дата обращения: 01.10.2014).

58. Alberts С., Dorofee A. Managing Information Security Risks. The OCTAVE™ approach. Addison-Wesley Professional, 2002. 512 pp.

59. Arvai J., Rivers L. Effective Risk Communication. Routledge, 2013. 360 pp.

60. Behnia A., Abd Rashid R., and Ahsenali Chaudhry J. A Survey of Information Security Risk Analysis Methods // Smart Computing Review. February 2012. Vol. 2. No. 1. pp. 79-94.

61. Beitollahi H., Deconinck G. A Cooperative Mechanism to Defense against Distributed Denial of Service Attacks // The 10th IEEE International Conference on Trust, Security and Privacy in Computing and Communications (IEEE TrustCom-l 1), Changsha, China. November 16-18 2011. pp. 11-20.

62. Beitollahi H., Deconinck G. Analyzing Weil-Known Countermeasures against Distributed Denial of Service Attacks // Elsevier Journal of Computer

Communications. 2012.

63. Bidgoli H. Handbook of information security. Threats, vulnerabilities, prevention, detection, and Management. Volume 3. Wiley, 2006. 1152 pp.

64. BN-Complex®. Управление и контроль автопарком, мониторинг и диспетчеризация транспорта // М2М-Телематика. URL: http://m2m-t.com/ software/server_software/?ELEMENT_ID=483 (дата обращения: 01.10.2014).

65. Botvinkin P.V., Kamaev V.A., Nefedova I.S., Finogeev A.G., mid Finogeev E.A. Analysis, classification and detection methods of attacks via wireless sensor networks in SCADA systems // Life Science Journal. 2014. Vol. 11(1 Is), pp. 384388.

66. Botvinkin P. V., Kamaev V.A. Methods of protection from adverse factors that may affect automated information and measurement systems // Innovation Information Technologies : mater, of the 3rd Int. scien.-pract. conf. (Praque, April 21-25, 2014). Part 2 / МИЭМ ВШЭ, Рос. центр науки и культуры в Праге. 2014. pp. 351-355.

67. Botvinkin P.V. Information security of GLONASS-based automated navigation systems for ground transportation monitoring and supervisory control // Прикаспийский журнал: управление и высокие технологии. 2014. No. 3 (27). pp. 187-196.

68. British Standart Institution. BS 31100:2011 "Risk management. Code of practice". British Standart Institution, 2011.

69. Christoulakis M, "The IS Risk Analysis Based on a Business Model," Utrecht University, Utrecht, 2011.

70. Committee of Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management —Integrated Framework 2004. URL: http://www.coso.org/ documents/COSO_ERM_ExecutiveSummary.pdf (дата обращения: 01.10.2014).

71. Copernicus Programme // Wikipedia. URL: http://en.wikipedia.Org/w/ index.php?title=Copernicus_Programme&oldid=621621667 (дата обращения:

17.08.2014).

72. European Commission. EUROPA - Press release - European Satellite Navigation Galileo services will start at the end of 2014 // European Union. URL: http:// europa.eu/rapid/press-release_IP-14-80_en.htm (дата обращения: 01.10.2014).

73. Financial Reportin Council. Internal Control. Revised Guidance for Directors on the Combined Code 2005. URL: https://frc.org.uk/Our-Work/Publications/ Coфorate-Governance/Turnbull-guidance-October-2005.aspx (дата обращения: 01.10.2014).

74. Garmin Fleet Management Interface Control Specification URL: http:// www.getacoder.com/data/projects/138695/001-00096-00_0F_web.pdf (дата обращения: 01.10.2014).

75. Global Positioning System // Wikipedia. URL: http://en.wikipedia.Org/w/ index.php?title=Global_Positioning_System&oldid=623182733 (дата обращения: 01.10.2014).

76. Goel S and Chen V, "Information security risk analysis — a matrix-based approach," University at Albany, Albany, 2005.

77. Institute of Risk Management. IRM's risk management standard // The Institute of Risk Management. URL: http://www.theirm.org/media/886059/ ARMS_2002_IRM.pdf (дата обращения: 01.10.2014).

78. International Security Technology Inc (1ST Iric). A brief history of CORA 2002. URL: http://www.ist-usa.com (дата обращения: 01.10.2014).

79. ISO 31000:2009 "Risk management — Principles and guidelines". International Standarts Organization, 2009.

80. ISO Guide 73:2009 "Risk management — Vocabulary". International Standarts Organization, 2009.

81. ISO/IEC 17799:2005 "Information technology — Security techniques — Code of practice for information security management". International Standarts Organization, 2005.

82. ISO/IEC 27005:2011 "Information technology — Security techniques — Information security risk management". International Standarts Organization, 2011.

83. Karabacak В., Sogukpinar I. ISRAM: information security risk analysis method // Computers & Security. 2005. pp. 147-159.

84. Landoll D. The security risk assessment handbook. CRC Press, 2011.495 pp.

85. Layton T. Information security design, implementation, measurement, and compliance. Auerbach Publications, 2007. 230 pp.

86. Madill K. AS/NZS 4360: 1999 Risk Management 2003. URL: http:// rogaine.asn.au/aradocs/file_download/14/AS%20NZS%204360-

1999%20Risk%20management.pdf (дата обращения: 01.10.2014).

87. National Electrical Manufacturers Association. ANSI/IEC 60529-2004 Degrees of Protection Provided by Enclosures (IP Code) URL: http://www.nema.org/ Standards/ComplimentaryDocuments/ANSI-IEC-60529.pdf (дата обращения: 01.10.2014).

88. National Research Council (U.S.). Committee on the Future of the Global Positioning System. National Academy of Public Administration (1995). The global positioning system: a shared national asset: recommendations for technical improvements and enhancements. National Academies Press, 2013. ISBN 0-30905283-1. Retrieved August 16,2013., Chapter 1, p. 16.

89. Peltier T. Facilitated risk analysis process (FRAP) 2001. URL: http:// www.ittoday.info/AIMS/DSM/85-01-21.pdf (дата обращения: 01.10.2014).

90. Rejda G., McNamara M. Principles of Risk Management and Insurance (12th Edition). Prentice Hall, 2013. 720 pp.

91. SANS Institute. A Qualitative Risk Analysis and Management Tool — CRAMM URL: www.sans.org/reading-room/whitepapers/auditing/qualitative-risk-analysis-management-tool-cramm_83 (дата обращения: 01.10.2014).

92. Shoniregun С. Impacts and risk assessment of technology for internet security.

Springer, 2005. 196 pp.

93. Sorokanich R. Russia Will Shut Down All U.S. GPS Stations Within Its Borders // Gizmodo. URL: http://gizmodo.com/report-russia-will-shut-down-all-u-s-gps-stations-wit-1575641874 (дата обращения: 01.10.2014).

94. Stolen К., Solhaug В. The CORAS Method // CORAS. URL: http:// coras.sourceforge.net/ (дата обращения: 01.10.2014).

95. Suh В., Han I. The IS risk analysis based on a business model // Information & Management. December 2003. Vol. 41. No. 2. pp. 149-158.

96. Supervisory Control and Data Acquisition (SCADA) system // Cyber Security Dictionary. URL: http://www.projectauditors.com/Dictionary2/1.8/index.php/term/ ,62555c9cae535a6f68555cad5d56.xhtml (дата обращения: 01.10.2014).

97. Tyukov A., Brebels A., Shcherbakov M., and Kamaev V. A concept of web-based energy data quality assurance and control system // ACM International Conference Proceeding Series. 2012. pp. 267-271.

98. Tyukov A., Ushakov A., Shcherbakov M., Brebels A., and Kamaev V. Digital signage based building energy management system: solution concept // World Applied Sciences Journal. No. 24 (Information Technologies in Modern Industry, Education & Society), pp. 183-190.

99. Vorster A and Labuschagne L, "A framework for comparing different information security risk analysis methodologies," University of Johannesburg, Johannesburg, 2005.

100. What is GPS? // Library of Congress. URL: http://www.loc.gov/rr/scitech/ mysteries/global.html (дата обращения: 01.10.2014).

101. Wialon Pro Server Solution for GPS Tracking System // Gurtam. URL: http:// gurtam.com/en/gps_tracking/wialon_pro.html (дата обращения: 01.10.2014).

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.