УДК 004.056 Дата подачи статьи: 16.03.16
Б01: 10.15827/0236-235Х. 115.042-050
ПОСТРОЕНИЕ МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ УПРАВЛЕНИЯ
КРИТИЧЕСКИ ВАЖНЫМИ ОБЪЕКТАМИ НА ОСНОВЕ СЦЕНАРИЕВ ДЕЙСТВИЙ НАРУШИТЕЛЯ
Е.Б. Дроботун, к.т.н.., докторант, йтоЪоЫп^Хакер.ги; О.В. Цветков, начальник службы защиты государственной тайны (Военная академия воздушно-космической обороны им. Маршала Советского Союза Г.К. Жукова,
ул. Жигарева, 50, г. Тверь, 1 70100, Россия)
Разработка и построение модели угроз безопасности информации в различных автоматизированных и информационно-вычислительных системах является одним из ключевых этапов деятельности по обеспечению безопасности информации в этих системах и их безопасного и правильного функционирования. На основе модели угроз безопасности информации определяются требования к системе защиты информации в автоматизированных и информационно-вычислительных системах, а также может быть определен комплекс организационных, технических и организационно-технических мер по обеспечению безопасности информации в автоматизированных и вычислительных системах различного назначения.
В статье предлагается методика построения модели угроз для автоматизированных систем управления критически важными и потенциально опасными объектами, основанная на моделировании возможных сценариев действий нарушителя безопасности информации.
Предложенная методика учитывает многоуровневость построения современных автоматизированных систем управления критически важными объектами и возможность реализации одной и той же угрозы безопасности информации с помощью различных сценариев нарушителями различных категорий.
Применение предложенной методики позволит сократить время, необходимое для построения модели угроз безопасности информации в автоматизированных системах управления критически важными и потенциально опасными объектами.
Ключевые слова: критическая информационная система, угроза безопасности информации, нарушитель безопасности информации, модель угроз, модель нарушителя.
Одной из основных задач обеспечения безопасности информации в АСУ критически важными объектами (КВО) является определение перечня угроз безопасности информации с оценкой рисков воздействия актуальных угроз на защищаемую АСУ КВО. Решение данных задач позволяет определить требования к системе защиты АСУ КВО, сформировать перечень защитных мер и в итоге определить оптимальную структуру системы защиты АСУ КВО от различного рода информационно-технических воздействий.
Согласно ГОСТ Р 50922-2006, под угрозой безопасности информации понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.
Поскольку при обеспечении безопасности АСУ КВО, помимо конфиденциальности, целостности и доступности информации, необходимо, в первую очередь, обеспечить безопасность производственного или технологического процесса, реализуемого АСУ КВО [1], при определении угроз безопасности информации первоочередное внимание необходимо уделять оценке угроз, связанных с целенаправленными воздействиями на АСУ КВО, реализуемыми посредством программных (программно-технических) средств и предпринимаемыми в
целях нарушения или прекращения их функционирования (компьютерные атаки).
Процесс оценки угроз безопасности информации и формирования перечня угроз, актуальных для защищаемой АСУ КВО, называется моделированием угроз безопасности информации, а результатом этого процесса является модель угроз, которая представляет собой физическое, математическое или описательное представление свойств или характеристик угроз безопасности информации.
Целью моделирования угроз безопасности информации является определение системы конкретных требований к защите информации в АСУ КВО, обеспечивающих ее безопасное функционирование, и создание на основе этих требований адекватной системы защиты информации в АСУ КВО (рис. 1).
Исходные данные для моделирования угроз безопасности информации в АСУ КВО: модель нарушителя безопасности информации, информация об АСУ КВО, БД угроз безопасности информации и уязвимостей компонентов информационно-вычислительных систем (в том числе и АСУ КВО).
Модель нарушителя безопасности информации. В качестве нарушителей информационной безопасности АСУ КВО могут выступать лица
- осуществляющие преднамеренные действия с целью доступа к информации (воздействия на ин-
Модель нарушителя
Возможности по доступу
Физический доступ
Логический доступ
Компетенция
J ч
Оснащенность
с
Мотивация
J.
Информация об автоматизированной системе f Состав
с
Программные компоненты
Аппаратные компоненты
С
Связи между компонентами
э
( Назначение (решаемые задачи) )
Защищаемые ресурсы
С
БД угроз и уязвимостей
Перечень угроз информационной безопасности
Перечень уязвимостей компонентов автоматизированных и информационно-вычислительных систем
J
Модель угроз безопасности информации в автоматизированной системе
Г Перечень ^
актуальных для автоматизированной системы угроз Описание угрозы
С
с
Цель воздействия
Нарушитель
Риск реализации угрозы
J
3
Путь (сценарий) воздействия
J
г
Г Требования
к системе защиты автоматизированной системы от разрушающих программных воздействий_
С
с
Перечень реализуемых способов защиты
Перечень показателей эффективности защиты
Требуемые уровни эффективности защиты
3
3.
Рис. 1. Процесс моделирования угроз безопасности информации в АСУ КВО Fig. 1. Process of modeling information security threats in an automated control system for crucial objects
формацию), содержащейся в АСУ КВО, или нарушения функционирования АСУ КВО или обслуживающей ее инфраструктуры (преднамеренные угрозы безопасности информации);
- имеющие доступ к АСУ КВО, непреднамеренные действия которых могут привести к нарушению безопасности информации (непреднамеренные угрозы безопасности информации).
Целью моделирования нарушителя безопасности информации является формирование предположений о потенциальных возможностях реальных нарушителей при реализации ими угроз безопасности информации в АСУ КВО.
Результатом моделирования нарушителя безопасности информации является его модель, которая входит в модель угроз безопасности АСУ КВО в качестве одной из составных частей (рис. 2) и содержит:
- уровень физического доступа (РНЕ) к информации и (или) к компонентам АСУ КВО;
- уровень логического доступа (LogL) к информации и (или) к компонентам АСУ КВО;
- уровень компетенции (С нарушителя безопасности информации;
- уровень оснащенности (А) нарушителя безопасности информации;
- мотивацию (М) нарушителя безопасности информации.
Общая запись модели нарушителя производится в виде строки PhL:[x]/LogL:[x]/C:[x]/A:[x]/ /M:[x], где вместо [x] записывается значение соответствующего параметра.
Уровень физического доступа определяется исходя из наличия возможностей физического доступа к информации и (или) компонентам АСУ КВО. С учетом этого можно выделить два уровня нарушителей безопасности информации в АСУ КВО [2-4]:
- внутренние нарушители (In) - лица, имеющие возможность постоянного или разового доступа к информационной системе или ее отдельным компонентам;
- внешние нарушители (Out) - лица, не имеющие возможности доступа к информационной системе или к ее отдельным компонентам и реализующие угрозы безопасности информации дистанционно (удаленно), находясь вне информационной системы.
Уровень логического доступа определяется с учетом прав доступа субъектов (физических лиц) к объектам АСУ КВО [2, 4]. Исходя из этого можно выделить следующие уровни логического доступа:
- лица, не имеющие доступа к объектам АСУ КВО (Lo);
- зарегистрированные пользователи АСУ КВО, имеющие ограниченный доступ к объектам
Модель нарушителя безопасности информации в АСУ КВО
!С
Нарушитель информационной безопасности
J
Г Возможности Л
по доступу ^ Физический доступ (PhL)j
5
Внутренний(In) j
Внешний (Out) j
f Возможности по доступу
Логический доступ (LogL) ^
<Доступ отсутствует Д ^/Ограниченный доступ д
/ Полномочия Л системного I
V администратора (¡.2)у
( Полномочия д администратора I
V безопасности (.3) у
С
Базовый потенциал нарушителя
^^Оснащенность (Л)
Уровень компетенции (C)
Общие технические знания (Сю)
J
Высокие (H)"" ^С Средние (M)
Низкие (L)
(Осведомленность об особенностях реализации I АСУ КВО (CSyS) J
Высокая (И)
-К Средняя (M) )
Низкая (L)
Штатное (стандартное) оборудование (St)
Специализированное оборудование(Sp)
Заказное оборудование (Ord)
С
Отсутствует (N)
I
/ Мотивация (M) N
( Высокая (И) )
( Повышенная (M) )
( Отсутствует (N) )
Рис. 2. Модель нарушителя безопасности информации в АСУ КВО Fig. 2. Violator model in an automated control system for crucial objects
АСУ КВО с автоматизированного рабочего места
- зарегистрированные пользователи АСУ КВО, имеющие доступ к объектам АСУ КВО с полномочиями системного администратора АСУ КВО
- зарегистрированные пользователи АСУ КВО, имеющие доступ к объектам АСУ КВО с полномочиями администратора безопасности АСУ КВО ^3).
Уровень компетенции нарушителя безопасности информации определяется исходя из предположений об общих технических знаниях нарушителя и его осведомленности об особенностях построения и эксплуатации атакуемой АСУ КВО, а также из специфики ее функционирования.
Общие технические знания нарушителя (Со) (по ГОСТ Р ИСО/МЭК 18045-2008) оцениваются тремя уровнями:
- высокий - нарушитель имеет высокую осведомленность о способах и средствах защиты информации, применяемых в различных информационных системах, а также обладает знаниями о методах выявления уязвимостей и реализации угроз безопасности в различных автоматизированных системах;
- средний - нарушитель имеет осведомленность о способах и средствах защиты информации, применяемых в различных автоматизированных системах;
- низкий - нарушитель имеет слабую осведомленность о способах и средствах защиты информации, применяемых в различных информационных системах, и не обладает знаниями о реализации угроз безопасности.
Каждому из вышеуказанных уровней общих технических знаний присваивается численное значение. Так, численные значения характеристик уровней общих технических знаний нарушителя безопасности информации АСУ КВО следующие: высокий уровень - 5, средний - 2, низкий - 0.
Осведомленность нарушителя об особенностях построения и эксплуатации атакуемой АСУ КВО (Сж) также оценивается тремя уровнями:
- высокий - нарушитель имеет возможность получения доступа к сведениям о структуре и функциональных связях в АСУ КВО, системе защиты информации в АСУ КВО, а также к сведениям из проектной, конструкторской и эксплуатационной документации;
- средний - нарушитель имеет возможность получения доступа к сведениям о целях и задачах, решаемых АСУ КВО, а также к сведениям из эксплуатационной документации;
- низкий - нарушитель не имеет возможности получения доступа к сведениям о структуре и функциональных связях в АСУ КВО, системе защиты информации в АСУ КВО, а также к сведениям из проектной, конструкторской и эксплуатационной документации.
Каждому из вышеуказанных уровней осведомленности нарушителя об особенностях реализации атакуемой АСУ КВО присваивается численное значение. Так, численные значения характеристик уровней осведомленности нарушителя об особенностях реализации атакуемой АСУ КВО следующие: высокий уровень - 5, средний - 2, низкий - 0.
Общий уровень компетенции (С) нарушителя безопасности информации в АСУ КВО оценивается исходя из суммы численных значений Со и
Сзуя следующим образом:
высокий (Н) при (С1в + ) > 5,
С = < средний (М) при 2 < (С1д + )< 5, низкий (Ь) при (С/е + ) < 2.
Мотивация - действенный фактор потенциала нарушителя, который может быть использован для описания различных аспектов, относящихся к нарушителю, а также к ресурсам АСУ КВО, интересующим нарушителя. Мотивация может подразумевать определенную вероятность нападения: из угрозы, оцененной как высокомотивированная, можно предположить, что атака на АСУ КВО неизбежна или что вследствие немотивированной угрозы нападения не ожидается.
В целом мотивация нарушителя безопасности информации в АСУ КВО может быть оценена тремя уровнями:
- высокая (Н) - имеются сведения об устремлениях нарушителей к конкретной информационной системе, отдельным ее компонентам или имеются сведения, полученные от органов исполнительной власти, о намерениях нарушителя осуществить неправомерные действия в отношении АСУ КВО или информации, содержащейся в ней;
- повышенная (М - нарушитель действует из каких-либо личных побуждений (любопытство, желание самоутвердиться и т.п.);
- отсутствует (Ы) - нарушения безопасности информации происходят вследствие непреднамеренных, неосторожных (ошибочных) или неквалифицированных действий.
Оснащенность нарушителя характеризует возможность его доступа к программным и (или) программно-аппаратным средствам, которыми он может воспользоваться при реализации угроз безопасности в АСУ КВО:
- стандартное (штатное) оборудование (¿0 -программные и (или) программно-аппаратные средства, легкодоступные для нарушителя (эти средства могут входить в состав самой АСУ КВО, а также могут быть легко получены, как, например, известные и доступные программные средства, которые можно загрузить из Интернета);
- специализированное оборудование (¿р) -программные и (или) программно-аппаратные средства, ограниченно доступные нарушителю, но которые он может приобрести без значительных усилий;
- заказное оборудование (Ог$) - программные и (или) программно-аппаратные средства, не доступные широкому кругу, поскольку либо может потребоваться их специальная разработка, либо распространение данных средств является контролируемым и ограниченным, либо данные средства имеют очень высокую стоимость;
- отсутствует (Ы) - доступ к каким-либо программным и (или) программно-аппаратным средствам у нарушителя отсутствует.
Возможности нарушителя по логическому доступу к компонентам системы, уровень его компетенции и оснащенности, а также его мотивация определяют базовый потенциал (PtBASE), которым обладает нарушитель безопасности информации в АСУ КВО и который используется на этапе моделирования угроз при оценке вероятностей их реализации. Оценка предварительного базового потенциала нарушителя производится на основе числовых значений уровней компетенции и оснащенности в соответствии с таблицей 1.
Таблица 1
Численные значения характеристик уровней компетенции нарушителя и его оснащенности
Table 1
Numerical values of violator's competence level characteristics and his equipment status
Показатель Численное
Уровень возможностей значение
нарушителя характеристики
Уровень компетенции (С) низкий 0
средний 2
высокий 5
отсутствует 0
Уровень оснащенности (A) стандартное оборудование 1
специализированное оборудование 3
заказное 5
оборудование
Ptr,
Полученные из таблицы 1 значения суммируются, и определяется предварительный базовый потенциал нарушителя:
высокий (Н) при (С + А)> 8, средний (М) при 5 < (С + А) < 8, низкий (Ь) при 3 < (С + А) < 5, отсутствует (N) при (С + А) < 3.
Далее в соответствии с таблицей 2 определяется базовый потенциал нарушителя с учетом уровней его логического доступа к объектам АСУ КВО.
В случае высокой мотивации потенциал нарушителя переходит на следующий уровень (от низкого к среднему или от среднего к высокому), в случае отсутствия мотивации потенциал от среднего или высокого переходит к низкому. В случае отсутствия у нарушителя возможностей для реализации угроз (базовый потенциал имеет уровень «отсутствует») независимо от мотивации нарушителя базовый потенциал остается на уровне «отсутствует».
Примеры описания различных категорий нарушителей в соответствии с предлагаемой моделью нарушителя безопасности информации в АСУ КВО приведены в таблице 3.
Информация об АСУ КВО. При моделировании угроз безопасности информации в АСУ КВО
Таблица 2
Определение базового потенциала нарушителя безопасности информации с учетом прав логического доступа к объектам АСУ КВО
Table 2
Determination of information security violator's basic potential taking into account logical access rights to objects of an automated control system for crucial objects
Уровень логического доступа нарушителя к объектам АСУ КВО Предварительный базовый потенциал нарушителя безопасности информации в АСУ КВО
отсутствует низкий средний высокий
L0 отсутствует низкий средний высокий
L1 отсутствует низкий средний высокий
L2 низкий средний высокий высокий
L3 низкий средний высокий высокий
Таблица 3
Примеры описания различных категорий нарушителей безопасности информации в АСУ КВО
Table 3
Case descriptions of various categories of information security violators in an automated control system for crucial objects
Категория нарушителя Мотив действий нарушителя Общая запись модели нарушителя Базовый потенциал
Специальные службы иностранных государств Нанесение ущерба государству, отдельным сферам его деятельности или секторам экономики PhL:Out/LogL:L0/C:H/A:Ord/M:H высокий
Разработчики, производители и поставщики компонентов АСУ КВО Причинение имущественного ущерба путем обмана или злоупотребления доверием PhL:Out/LogL:L3/C:H/A:Sp/M:M высокий
Оператор АСУ КВО Непреднамеренные, неосторожные или неквалифицированные действия PhL:In/LogL:L1/C:/A:St/M:N низкий
Администратор АСУ КВО Любопытство или желание самореализации PhL:In/LogL:L2/C:H/A:St/M:M высокий
необходимо учитывать ее структуру, включая наличие уровней (сегментов), решаемые задачи, состав, физические, логические, функциональные и технологические взаимосвязи, взаимодействие с другими автоматизированными (информационными) системами и информационно-телекоммуникационными сетями, режимы функционирования АСУ КВО, а также критичность ресурсов (информации и компонентов АСУ КВО), подлежащих защите.
В АСУ КВО объектами защиты (см. http://www.fstec.ru/tekhnicheskaya-zashchita-infor-matsii/dokumenty/110-prikazy/864-prikaz-fstek-шs-sii-ot-14-marta-2014-g-n-31), как правило, являются следующие:
- информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса: входная (выходная), управляющая (командная), контрольно-измерительная, иная критически важная (технологическая) информация;
- программно-технический комплекс, включающий технические средства (в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства), ПО
(в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.
В [1] показано, что критически важными в АСУ КВО являются закрепленная в документации технологическая информация, воздействия на которую могут привести к нарушению функционирования автоматизированной системы, а также сведения непосредственно о самой АСУ КВО, которые (в случае их хищения) могут быть использованы для деструктивных воздействий на автоматизированную систему. При этом под технологической понимается
- оперативная (динамическая) информация (телеметрия, телеизмерения, телеуправление) о протекании управляемого технологического (производственного) процесса;
- архивная (статическая) информация (нормативно-техническая, проектная и эксплуатационная документация, параметры технологических (производственных) процессов и другая архивная информация).
Критичность ресурсов АСУ КВО определяется степенью возможного ущерба или степенью негативных последствий от воздействия на каждый из ресурсов АСУ КВО:
- высокая: воздействие на ресурс АСУ КВО повлекло нарушение штатного режима функционирования АСУ КВО, при этом возможны существенные негативные последствия (АСУ КВО не может выполнять функции контроля и управления технологическими (производственными) процессами);
- средняя: воздействие на ресурс АСУ КВО повлекло нарушение штатного режима функционирования АСУ КВО, при этом возможны умеренные негативные последствия (АСУ КВО не может выполнять хотя бы одну из функций контроля и управления технологическими (производственными) процессами);
- низкая: воздействие на ресурс АСУ КВО повлекло нарушение штатного режима функционирования АСУ КВО, при этом возможны незначительные негативные последствия (АСУ КВО может выполнять функции контроля и управления технологическими (производственными) процессами с потерей эффективности или выполнение функций возможно с привлечением дополнительных сил и средств);
- отсутствует: воздействие на ресурс АСУ КВО не повлекло никаких негативных последствий.
Моделирование угроз безопасности информации в АСУ КВО. Результатом процесса моделирования угроз безопасности информации в АСУ КВО является перечень актуальных для конкретной системы угроз в виде их формального описания. Угрозы безопасности информации определяются по результатам
- оценки возможностей нарушителя безопасности информации (в соответствии с моделью нарушителя безопасности информации в АСУ КВО);
- анализа возможных уязвимостей АСУ КВО (с использованием различных источников и БД об уязвимостях [5-7]);
- анализа возможных способов (сценариев) реализации угроз безопасности информации в АСУ КВО (с использованием банка данных угроз информационной безопасности [8]);
- анализа последствий реализации угроз безопасности информации.
Каждая угроза безопасности информации в АСУ КВО описывается следующим образом:
Тъиг = [нарушитель, уязвимости, сценарий реализации угрозы, объекты воздействия, последствия реализации угрозы].
Наиболее простым и наглядным способом моделирования и описания возможных сценариев реализации угрозы безопасности информации является применение аппарата деревьев атак.
Деревья атак - достаточно мощный и гибкий инструмент для решения множества проблем, связанных с безопасностью, включая корреляцию и предотвращение воздействий на информацию, а также реакцию на них [9, 10].
В данном случае под атакой следует понимать действия, направленные на реализацию угроз несанкционированного доступа к информации, путем воздействия на нее или на ресурсы автоматизированной системы с применением программных и (или) программно-технических средств (ГОСТ Р 50.1.053-2005).
Деревья атак в связи с их графовой структурой наглядно представляют варианты информационно-технического воздействия на автоматизированную систему и по аналогии с деревом неисправностей (по ГОСТ Р 51901.13-2005) являются организованным графическим представлением условий или других факторов, вызывающих нежелательное событие, называемое вершиной событий.
По каждым возможным для конкретной АСУ КВО угрозе и нарушителю строится свое дерево атак. Вершиной этого дерева является реализация угрозы безопасности информации. Для достижения вершины дерева нарушителю безопасности информации необходимо выполнить некоторое количество условий на различных уровнях АСУ КВО, которые будут являться промежуточными вершинами дерева атак. На рисунке 3 показан пример двухуровневого дерева атак для угрозы подмены информации от датчиков полевого уровня (исходя из многоуровневой структуры АСУ КВО), из которого видно, что угроза будет реализована, если нарушителю удастся выполнить хотя бы одно из условий второго уровня («ИЛИ-декомпозиция» угрозы безопасности информации [9]).
Аналогично может быть изображена «И-деком-позиция», обеспечивающая возможность достижения цели при одновременном выполнении всех условий на низшем уровне дерева, и «ИЛИ-НЕ-декомпозиция», при которой достижение цели возможно при выполнении только одного из условий на низшем уровне.
Количество уровней при построении дерева атак определяется исходя из требуемого уровня детализации сценария реализации угрозы безопасности в АСУ КВО. На рисунке 4 показан пример детализации на более низком уровне угрозы подмены информации от датчиков полевого уровня при реализации сценария подмены информации на операторском уровне АСУ КВО (в АРМ оператора).
Сценариями реализации угрозы безопасности являются все возможные пути от элементов самого нижнего уровня до конечной цели на первом уровне в построенном дереве атак.
Например, для дерева атак, изображенного на рисунках 3 и 4, одним из сценариев реализации угрозы подмены информации от датчиков полевого уровня будет такой путь: Т 3.1^-Т 2.1^-Т 1.
Основной проблемой построения деревьев атак является масштабируемость [11], то есть возможность построения деревьев атак для информационных или автоматизированных систем, имеющих сложную структуру с большим количеством ком-
Рис. 3. Пример двухуровневого дерева атак Fig. 3. Example of a two-level tree of attacks
понентов и связей между ними с высокой степенью детализации (то есть на самом нижнем уровне дерева атаки будут отражены условия, не подлежащие дальнейшей детализации).
Для снижения сложности анализа и времени построения деревьев атак для АСУ КВО, имеющих сложную структуру и большое количество компонентов, детализацию на более низком уровне необходимо производить только для актуальных (применительно к данной АСУ КВО) сценариев (путей) реализации угрозы.
Степень актуальности сценария (пути) реализации угрозы зависит от вероятности того, что нарушитель будет использовать именно этот путь, и от степени возможного ущерба, вызванного последствиями реализации угрозы.
Сценарий (реализации угрозы является актуальным, если для автоматизированной системы (с заданными структурой, связями между компонентами и особенностями функционирования) существует ненулевая вероятность (Р) реализации угрозы рассматриваемым сценарием нарушителем с соответствующим потенциалом, а реализация самой угрозы приведет к неприемлемым негативным последствиям (ущербу) (X): Щ=[Рр-, X,], где г - номер рассматриваемой угрозы безопасности информации в АСУ КВО; у - номер возможного сценария (пути) реализации рассматриваемой угрозы безопасности информации в АСУ КВО.
Вероятность реализации ,-й угрозы у-м сценарием (Ру) определяется исходя из базового потенциала нарушителя, его уровня физического доступа к компонентам АСУ КВО и необходимостью физического доступа к компонентам АСУ КВО при реализации угрозы рассматриваемым путем, а также наличия и уровня опасности уязвимостей, способствующих реализации угрозы рассматриваемым сценарием (табл. 4, 5). Уровень опасности
уязвимостей оценивается исходя из методики оценки СУ88 [12].
Оценка актуальности у-го сценария (пути) при реализации ,-й угрозы безопасности информации определяется исходя из вероятности реализации ,-й угрозы у-м сценарием (путем) и степени возможного ущерба (X,) от воздействий этой угрозы на ресурсы АСУ КВО (табл. 6).
Если по результатам оценки какой-либо сценарий реализации угрозы оказывается неактуальным, его дальнейшая детализация на низших уровнях не производится. После оценки актуальности всех возможных сценариев реализации уязвимости вплоть до самого низшего уровня детализации производится оценка актуальности (для рассматриваемой АСУ КВО) угрозы в целом. Если хотя бы один из всех возможных сценариев реализации уязвимо-
Рис. 4. Пример детализации угрозы подмены информации от датчиков полевого уровня на один уровень ниже
Fig. 4. A detailed example of information substitution threat from field level sensors at one level lower
Таблица 4
Предварительная оценка вероятности реализации угрозы безопасности информации в АСУ КВО (без учета наличия и уровня опасности уязвимостей)
Table 4
Preliminary assessment of information security threat probability in an automated control system for crucial objects (regardless of existence and a hazard level of vulnerabilities)
Базовый потенциал нарушителя (PtвASE) Уровень физического доступа нарушителя (LogL) Необходимость физического доступа к компонентам АСУ КВО при реализации 1-й угрозы ./-м сценарием (путем)
да нет
высокий Out низкая высокая
высокий In высокая высокая
средний Out отсутствует средняя
средний In средняя средняя
низкий Out отсутствует низкая
низкий In низкая низкая
отсутствует Out отсутствует отсутствует
отсутствует In отсутствует отсутствует
Таблица 5
Оценка вероятности реализации угрозы безопасности информации в АСУ КВО с учетом наличия уязвимостей и уровня их опасности
Table 5
Assessment of information security threat probability in an automated control system for crucial objects taking into account existence and a hazard level of vulnerabilities
Вероятность реализации угрозы безопасности информации без учета уровня опасности уязвимости Наличие и уровень опасности уязвимостей (по CVSS)
отсутствует низкий средний высокий критический
отсутствует отсутствует отсутствует отсутствует отсутствует отсутствует
низкая отсутствует отсутствует низкая средняя средняя
средняя низкая низкая средняя высокая высокая
высокая средняя средняя высокая высокая высокая
Таблица 6
Оценка актуальности сценария (пути) реализации угрозы безопасности информации в АСУ КВО
Table 6
Relevance assessment of information security threat scenarios (paths) in an automated control system
for crucial objects
Вероятность реализации 1-й угрозы /-м сценарием (Р/) Степень возможного ущерба (X) от реализации 1-й угрозы безопасности информации в АСУ КВО (в соответствии с таблицей 4)
отсутствует низкая средняя высокая
отсутствует неактуальный неактуальный неактуальный неактуальный
низкая неактуальный неактуальный неактуальный актуальный
средняя неактуальный неактуальный актуальный актуальный
высокая неактуальный актуальный актуальный актуальный
сти является актуальным, эта угроза считается актуальной для рассматриваемой АСУ КВО и включается в результирующий перечень актуальных угроз.
Таким образом, общая последовательность моделирования угроз представляется в следующем виде:
- моделирование нарушителя безопасности информации в рассматриваемой АСУ КВО;
- построение множества всех возможных угроз для рассматриваемой АСУ КВО;
- построение дерева атак для каждой угрозы с выявлением актуальных сценариев реализации
угрозы для нарушителей с различным базовым потенциалом;
- формирование множества (перечня) актуальных угроз для рассматриваемой АСУ КВО.
Предлагаемая методика моделирования угроз для АСУ КВО позволит, во-первых, за счет исключения из анализа неактуальных сценариев реализации угрозы сократить время построения перечня актуальных (для рассматриваемой АСУ КВО) угроз, а во-вторых, учесть возможность реализации одной и той же угрозы в АСУ КВО несколькими сценариями нарушителями с разным базовым потенциалом.
Методика может использоваться для определения требований к системе защиты информации АСУ КВО или формирования комплекса технических и организационных мероприятий по обеспечению безопасности информации в АСУ КВО.
Литература
1. Горбачев И.Е., Глухов А.П. Моделирование процессов нарушения информационной безопасности критической инфраструктуры // Тр. СПИИ РАН. 2015. Вып. 1 (38). С. 112-135.
2. Жуков В.Г., Жукова М.Н., Стефаров А.П. Модель нарушителя прав доступа в автоматизированной системе // Программные продукты и системы. 2012. № 2 (98). С. 75-78.
3. Гришина Н.В. Модель потенциального нарушителя объекта информатизации // Изв. ЮФУ. Технич. науки. 2003. № 4. Т. 33. С. 356-358.
4. Климов С.М. Методы и модели противодействия компьютерным атакам. Люберцы: КАТАЛИТ, 2008. 316 с.
5. Банк данных угроз информационной безопасности.
Список уязвимостей. URL: http://www.bdu.fstec.ru/vul (дата обращения: 25.02.2016).
6. National Vulnerability Database. URL: http://www.nvd. nist.gov (дата обращения: 25.02.2016).
7. Open Source Vulnerability Database. URL: http://www. osvdb.org (дата обращения: 25.02.2016).
8. Банк данных угроз информационной безопасности. Список угроз. URL: http://www.bdu.fstec.ru/threat (дата обращения: 25.02.2016).
9. Полаженко С. Деревья атак и их применение при анализе проблемы безопасности и защищенности программных продуктов. URL: http://www.software-testing.ru/library/testing/se-curity/140-attack-trees (дата обращения: 25.02.2016).
10. Чечулин А.А. Методика оперативного построения, модификации и анализа деревьев атак // Тр. СПИИ РАН. 2013. Вып. 3 (26). С. 40-53.
11. Колегов Д.Н. Проблемы синтеза и анализа графов атак. URL: http://www.securitylab.ru/contest/299868.php (дата обращения: 25.02.2016).
12. Калькулятор CVSS. URL: http://www.bdu.fstec.ru/calc (дата обращения: 25.02.2016).
DOI: 10.15827/0236-235X.115.042-050 Received 16.03.16
MODELING INFORMATION SECURITY THREATS IN THE AUTOMATED CONTROL SYSTEM FOR CRUCIAL OBJECTS ON THE BASIS OF ATTACK SCENARIOS lDrobotun E.B., Ph.D. (Engineering), Doctoral Student, [email protected] lTsvetkov O.V., Chief of service ofprotection state secrets
1 Military Academy of the Aerospace Defense, Zhigareva St. 50, Tver, 170100, Russian Federation
Abstract. Development and construction of information security threat models in various automated and data-processing systems is one of key steps in ensuring information security in these systems and their safe and proper operation. Based on the information security threat model we can define the requirements to information security in automated data-processing systems. We can also define a set of organizational, technical, organizational and technical measures to ensure information security in automated and computer systems for various purposes.
The article proposes a method of constructing a threat model for automated control systems of crucial and potentially dangerous objects. The method is based on modeling information security violator's possible action scenarios. The proposed method takes into account a multilevel structure modern automated control systems for crucial objects and the possibility of implementing the same information security threats using different scenarios by different violators.
The proposed methodology would reduce the time for building a model of information security threats in automated control systems for crucial and potentially dangerous objects.
Keywords: critical information system, information security threat, security information violator, threat model, violator model.
References
1. Gorbachev I.E., Glukhov A.P. Modeling of processes of information security violations of critical infrastructure. Trudy SPIIRAN [SPIIRAS Proc.]. 2015, no. 1 (38), pp. 112-135 (in Russ.).
2. Zhukov V.G., Zhukova M.N., Stefarov A.P. Model of an access rights violator in an automated system. Programmnye produkty i sistemy [Software & Systems]. 2012, no. 2 (98), pp. 75-78 (in Russ.).
3. Grishina N.V. A model of a potential violator of informatization object. Izvestiya YUFU. Tekhnicheskie nauki [News of SFedU. Technical Sciences]. 2003, no. 4, vol. 33, pp. 356-358 (in Russ.).
4. Klimov S.M. Metody i modeli protivodeystviya kompyuternym atakam [Methods and Models of Counteractions to Computer Attacks]. Lubertsy, KATALIT Publ., 2008, 316 p.
5. Bank dannykh ugroz informatsionnoy bezopasnosti. Spisok uyazvimostey [information Security Threats Databank. List of Vulnerabilities]. FSTEC Russia. Available at: http://www.bdu.fstec.ru/vul (accessed February 25, 2016).
6. National vulnerability database. Available at: http://www.nvd.nist.gov (accessed February 25, 2016).
7. Open source vulnerability database. Available at: http://www.osvdb.org (accessed February 25, 2016).
8. Bank dannykh ugroz informatsionnoy bezopasnosti. Spisok ugroz [Information Security Threats Databank. List of Threats]. FSTEC Russia. Available at: http://www.bdu.fstec.ru/threat (accessed February 25, 2016).
9. Polazhenko S. Derevya atak i ikh primenenie pri analize problemy bezopasnosti i zashchishchennosti programmnykh produktov [Trees of Attacks and Their Application When Analyzing a Problem of Safety and Security of Software Products]. Available at: http://www.software-testing.ru/library/testing/security/140-attack-trees (accessed February 25, 2016).
10. Chechulin A.A. Methods of operational formation, modification and analysis of attack trees. Trudy SPIIRAN [SPIIRAS Proc.]. 2013, no. 3 (26), pp. 40-53 (in Russ.).
11. Kolegov D.N. Problemy sinteza i analiza grafov atak [Problems of Synthesis and Analysis of Attack Graphs]. Available at: http://www.securitylab.ru/contest/299868.php (accessed February 25, 2016).
12. Kalkulyator CVSS [CFSS Calculator]. FSTEC Russia. Available at: http://www.bdu.fstec.ru/calc (accessed February 25, 2016).