Общий анализ Анастасия Сергеевна Ватолина
© Иван Андреевич Трещев, 2020
© Антон Александрович Воробьев, 2020
ISBN 978-5-4498-9345-1 (т. 1)
ISBN 978-5-4498-9346-8
Создано в интеллектуальной издательской системе Ridero
CCE – Common Configuration Enumeration;
CERT – Computer Emergency Response Team;
CPE – Common Program Enumeration;
CVE – Common Vulnerability Enumeration;
CVSS – Common Vulnerabilities Scoring System;
HTML – Hyper—Text Markup Language;
NVD – National Vulnerability Database;
OVAL – Open Vulnerability Assessment Language;
SCAP – Security Content Automation Protocol;
XCCDF – The Extensible Configuration Checklist Description Format;
XML – extensible markup language;
XSD – XML Schema Definition;
АИС – автоматизированная информационная система;
АРМ – автоматизированное рабочее место;
БД – база данных;
ВС – вычислительная система;
ГНИИИ ПТЗИ ФСТЭК России – Государственный научно—исследовательский испытательной институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю России;
ГОСИБ – глобальные открытые сети информационного обмена;
ИС – информационная система;
ИСПДн – информационная система персональных данных;
КИ – конфиденциальная информация;
КНПИ – канал несанкционированной передачи информации;
КС – корпоративная сеть;
ЛВС – локальная вычислительная сеть;
МЭ – межсетевой экран;
НМД – нормативно—методическая документация;
НСД – несанкционированный доступ;
ОРД – организационно—распорядительная документация;
ПДн = персональные данные;
СД – сервер доступа;
СЗИ – система защиты информации;
СКЗИ – средства криптографической защиты информации;
СКО – среднеквадратичное отклонение;
СОВ – система обнаружения вторжений;
СУБД – система управления базами данных;
ФСБ – Федеральная служба безопасности;
ФСТЭК – Федеральная служба по техническому и экспортному контролю;
ЭДО – электронный документооборот.
#Ψ – мощность множества Ψ;
{Χ>i} – конечное семейство классов характеристик уязвимостей;
2>x – множество всех подмножеств множества Χ;
G – пространство декартового произведения множеств всех подмножеств семейства характеристик {Χ>i};
M – функционал G → [0; α] ∈ R, α – const;
B – булева алгебра с носителем элементов G;
μ (x) – вещественная счетно—аддитивная существо положительная функция, заданная на алгебре B;
μ>N (x) – нормированное значение функции μ (x);
Актуальность работы.
Защита информационных ресурсов от угроз безопасности на сегодня является одним из приоритетных направлений, как отдельного предприятия, так и государства в целом.
На сегодня регулирование деятельности по защите информации на автоматизированных объектах информатизации в Российской Федерации осуществляет Федеральная служба по техническому и экспортному контролю России(ФСТЭК) при поддержке ГНИИИ ПТЗИ ФСТЭК России, которая разработала ряд руководящих(РД) и нормативных документов(НД). Среди последних, основополагающими являются документы о базовой модели угроз информационных систем персональных данных (ИСПДн) и ключевых систем информационной структуры (правительственные объекты и объекты, непосредственно влияющие на обороноспособность государства). В соответствии с РД и НД, частным случаем угрозы является понятие уязвимости, применяемое к информационным системам (ИС), – «свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации» или «некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации».
Однако разработанные методы, модели оценки и контроля защищенности ИС при наличии программно-аппаратных уязвимостей относятся непосредственно к системам защиты информации, созданных как элемент частной модели угроз определенных предприятий на основе базовой модели с использованием методик ГНИИИ ПТЗИ ФСТЭК России, причем отсутствие численных критериев их оценки затрудняет или делает невозможным проведение контроля и аудита защищенности ИС. Проблема отсутствия данных критериев описана в РД и НД регуляторов, и заявлена как исследовательская. Для ее решения ФСТЭК России рекомендует систематизировать уязвимости на основе существующих зарубежных баз данных(БД), используя их в качестве источников информации. Наиболее распространенной базой данных об уязвимостях является БД National Vulnerability Database(NVD), основанная на объединении информации из ранее созданных баз данных (CPE – Common Platform Enumeration, CVE – Common Vulnerabilities and Exposures, и др.)
Целью является разработка математических методов и моделей с количественными критериями численной оценки защищенности вычислительных систем при наличии программно—аппаратных уязвимостей с использованием источника данных (NVD).
В ходе достижения цели решены следующие задачи:
Создана математическая модель для исследования характеристик программно-аппаратных уязвимостей с учетом специфики классификации базы данных (БД) NVD;
Сформирована математическая модель оценки защищенности автоматизированного рабочего места (АРМ);
Разработаны методы и количественные критерии численной оценки защищенности АРМ;