Вестник технологического университета. 2015. Т.

18, №7

УДК 004.056.57

И. В. Аникин, Л. Ю. Емалетдинова, А. П. Кирпичников

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СЕТЕЙ ЧЕРЕЗ ОЦЕНКУ И УПРАВЛЕНИЕ РИСКАМИ
Ключевые слова: корпоративные информационные сети, информационная безопасность.

В статье рассматривается проблема обеспечения безопасности КИС через оценку и управления рисками ИБ.
Рассматриваются основные сложности и выполняется постановка задач.

Keywords: computer networks, information security.

We considered the problem of information security in computer networks through the risk assessmen and management.
We considered basic differences and raised basic tasks.

Обеспечение информационной безопасности ляющие возможность реализации угроз безопасно-

корпоративных информационных сетей (КИС) явля- сти обрабатываемой в ней информации.
ется одним из приоритетных направлений в настоя-
Таблица 1 - Уровни КИС
щее время. Широкий спектр угроз и уязвимостей
компонентов КИС заставляет предприятия уделять Уровень Характеристика Состав
все более серьезное внимание данному направлению. активов
Под КИС понимают сеть, участниками ко- Техни- Совокупность всех АРМ, сервера,
торой может быть ограниченный круг лиц, опреде- ческое технических телекоммуни-
ленный ее владельцем или соглашением участников обеспече- средств КИС кационное обо-
этой сети. КИС относятся к распределенным сетям, в ние рудование
рамках которых осуществляется автоматизированная Информа- Совокупность ре- Базы данных,
обработка информации с помощью корпоративных ционное шений по объему, выборки из БД,
информационных систем. Основные особенности обеспече- размещению и фор- электронные
современных КИС связаны с тем, что в них: ние мам существования документы,
- присутствует значительное множество уг- информации, при- системные
роз и уязвимостей компонентов; меняемой в КИС файлы, резерв-
- циркулирует как открытая информация, так при ее функциони- ные копии
и информация ограниченного доступа, подлежащая ровании
защите; Про- Совокупность про- ИТ-сервисы
- реализуется множество ИТ-сервисов, под- граммное грамм, предназна- КИС
держивающих работу пользователей КИС, а также обеспече- ченная для функ-
работу самой КИС; ние ционирования, от-
- наблюдается высокая степень разнородно- ладки и проверки
сти СВТ и средств связи, а также ПО; работоспособности
- территориально разнесены компоненты, КИС
между которыми реализуется интенсивный обмен Органи- Пользователи и Пользователи,
информацией. зационное эксплуатационный эксплуатаци-
Данные особенности следует учитывать при обеспече- персонал КИС, онный персо-
проектировании системы защиты информации КИС. ние обеспечивающий нал
В таблице 1 представлена характеристика функционирование,
уровней КИС, с различным составом находящихся на проверку, обеспече-
них защищаемых активов. ние работоспособ-
С точки зрения защиты КИС наиболее час- ности
то рассматриваются активы, находящихся на уров- Матема- Совокупность ма- Математиче-
нях технического, информационного и программно- тическое тематических мето- ские методы,
го обеспечения. К таким активам относятся: АРМ, обеспече- дов, моделей и ал- модели, алго-
сервера, телекоммуникационное оборудование, ин- ние горитмов ритмы
формационные активы и ИТ-сервисы КИС. Лингвис- Совокупность
Эксплуатация любых КИС осуществляется тическое средств и правил
в условиях потенциально опасных воздействий ис- обеспече- для формализации Средства и
кусственного и естественного характера. Данные ние ЕЯ, используемых правила для
воздействия являются проявлениями угроз ИБ. Под при обращении формализации
угрозой ИБ понимается совокупность условий и пользователей и ЕЯ
факторов, создающих потенциальную или реально эксплуатационного
существующую опасность нарушения безопасности персонала
информации. Угрозы ИБ реализуются через опреде-
ленные уязвимости – свойства КИС, предостав-

247
 Вестник технологического университета. 2015. Т.18, №7

В настоящее время обеспечение защищен- Таблица 2 - Сравнительный анализ существую-

ности КИС осуществляется с позиций рисков инфор- щих подходов к оценке рисков ИБ
мационной безопасности. Под риском ИБ понимается
Подход Качест- Количест-
возможный ущерб организации в результате реализа-
венная венная
ции некоторой угрозы через уязвимость. На рис. 1.
Критерии оценка оценка
представлена диаграмма возникновения риска ИБ.
рисков ИБ рисков ИБ
Простота в исполь- Да Нет
зовании
Хорошая интерпре- Нет Да
тируемость в рам-
ках экономических
моделей
Простота примене- Нет Да
ния математическо-
го аппарата для
формирования оп-
тимальной сово-
купности защитных
Рис. 1 - Диаграмма возникновения риска ИБ мероприятий
Точность форми- Да Нет
Таким образом, риск возникает при нали- руемых оценок
чии источника угрозы и наличии эксплуатируемой
уязвимости, через которую может реализовываться Этапы оценки риска
(NIST SP 800-30) Основные задачи
данная угроза. Оценка рисков может осуществляться
двухфакторым (1) или трехфактоным методом (2).
RT   Poss T   Impact T 
Моделирование КИС
(1)
RV , T   Poss V   PossT   Impact T 
1. Идентификация КИС Инвентаризация активов КИС
(2)
Учет взаимодействия активов КИС
где Poss V  - возможность использования уязвимо-
сти V, Poss T  - возможность реализации угрозы T 2. Определение
уязвимостей
через заданную уязвимость V, Impact T  - ущерб от
Построение модели угроз КИС
реализации угрозы T. 3. Определение угроз
Исходя из формул (1) и (2) выделяют сле-
дующие основные факторы риска ИБ: возможность
реализации угрозы, возможность использования уяз- 4. Анализ мер Построение модели защиты КИС
безопасности
вимости, ущерб от реализации угрозы.
Определение множества частных
Выделяют качественные и количественные показателей, влияющих на ущерб
методы оценки рисков ИБ в КИС. Задачей первой от реализации угроз

группы методов является экспресс-оценка рисков, 6. Оценка ущерба от Оценка критичности активов КИС
нацеленная на быстрое определение актуальных уг- реализации угроз
Оценка ущерба от реализации
роз. Способо решения данной задачи является введе- угроз на основе оценки частных
ние порядковых шкал для оценки факторов риска, а показателей

также матриц для оценки уровней риска ИБ. Приме-

рами методов первой группы являются NIST SP 800- Определение множества частных
30, OCTAVE, CRAMM Задачей второй группы ме- 5. Оценка возможности
показателей, влияющих на
возможности реализации угроз
тодов является детальный анализ процессов, проис- реализации угроз
[и уязвимостей]
ходящих в КИС и формирование экономических Оценка возможности
оценок на основе оценок риска ИБ. Способом реше- реализации угроз [и
использования уязвимостей] на
ния данной задачи является использование непре- основе оценки частных
рывных числовых интервалов для оценки факторов показателей

риска ИБ. Примерами методов второй группы явля- 7. Определение риска

ются RiskWatch, ISRAM, FAIR, iRisk. Оценка риска

Сравнительный анализ подходов к оценке

рисков ИБ представлен в таблице 2. 8. Выработка
рекомендаций
На рис. 2. представлен анализ методологии
оценки рисков ИБ КИС с точки зрения решаемых
задач согласно документу NIST SP 800-30. 9. Документирование
результатов
Основной задачей идентификации КИС яв-
лятся ее моделирование, включающее в себя инвен- Рис. 2 - Анализ методологии оценки рисков ИБ
таризацию и учет взаимодействия существующих согласно NIST SP 800-30
активов.
248
 Вестник технологического университета. 2015. Т.18, №7

На этапах определения угроз и уязвимостей

решается задача построения модели угроз КИС.
Пример классической модели угроз КИС в виде
трехдольного графа G óăđ : Aó˙çâ  Ŕóăđ  Ŕŕęň пред-
ставлен на рис. 3, где Aó˙çâ - множество уязвимо-
стей, Ŕóăđ - множество угроз, Ŕŕęň - множество
активов КИС верхнего уровня вложенности с точки
зрения реализации угроз.
На этапе анализа мер безопасности решает-
ся задача построения модели защиты КИС. Пример
такой модели для решения задачи оценки и управ-
ления рисками ИБ предложен в [1].
Основными задачами, решаемыми на этапе
оценки ущерба от реализации угроз, являются задачи
определения множества частных показателей,
влияющих на ущерб от реализации угроз, оценка
критичности активов КИС и ущерба от реализации
угроз на основе оценки частных показателей.

c
c
d
c
c

i
d

Уязвимости Угрозы Активы

Рис. 3 - Модель угроз КИС в виде трехдольного
G
у
г
р

графа

Основными подзадачами, решаемыми на

этапе оценки возможности реализации угроз, являют-
ся определение и оценка множества частных показа-
телей, влияющих на возможности реализации угроз и
использования уязвимостей.
На последнем этапе выполняется оценка
рисков ИБ согласно формулам (1) или (2).
На рис. 4. представлен анализ методологии
управления рисками ИБ КИС с точки зрения решае-
мых задач согласно документу NIST SP 800-30.
В настоящее время значительное внимание
уделяется количественным методам оценки рисков
ИБ в связи с их хорошей интерпретируемостью в
рамках экономических моделей и простотой приме-
нения математического аппарата для формирования
оптимальной совокупности защитных мероприятий.
Однако данные методы сложны в использовании и
требуют глубокого анализа всех процессов, проис-
ходящих в КИС. Зачастую отсутствует статистика
по реализации ряда угроз, что затрудняет примене-
ние аналитических методов для оценки вероятности
их реализации. Кроме этого количественные оценки
факторов риска часто являются неточными, по-
скольку зависят от глубины анализа КИС и квали-
фикации эксперта. Эксперты часто не могут сфор-
мировать точные оценки в связи с нечеткой приро-
дой оцениваемых объектов, недостаточностью и
неопределенностью исходной информации.
Рис. 4 - Анализ методологии управления рисками
ИБ согласно NIST SP 800-30
Особенностями исходных данных при коли-
чественной оценке рисков ИБ, создающих опреде-
ленные сложности при их практическом использова-
ниии, являются:
- качественный характер большинства част-
ных показателей факторов риска ИБ.
- неопределенность и нечеткость исходной
информации;
- противоречивость оценок факторов риска,
даваемых экспертами.
Это актуализирует применение при реше-
нии данных задач методов теории нечетких мно-
жеств [3,6] и метода анализа иерархий [7,8].
Данные методы позволяют формировать
оценки рисков, которые хорошо интерпретируются
в рамках экономических моделей. Данные оценки
можно эффективно использовать при решении оп-
тимизационных задач при управлении рисками ИБ.
С другой стороны использование нечетких методов

249
 Вестник технологического университета. 2015. Т.18, №7

позволяет учесть неполноту, неточность и нечет- Литература

кость знаний эксперта.
В связи с вышеизложенным, актуальной за-
дачей для современных КИС является разработка
методологии количественной оценки и управления
рисками ИБ в КИС для работы в условиях неопре-
деленности исходной информации, нечеткого и ка-
чественного характера большинства частных пока-
зателей, влияющих на возможность реализации уг-
роз и использования уязвимостей, а также опреде-
ляющих ущерб [2,4,5,9].
Решение данной задачи требует решения
следующих основных подзадач:
- разработки теоретико-множественной мо-
дели корпоративной информационной сети, учиты-
вающей различные виды активов и особенности их
взаимодействия.
- разработки метода нечеткой оценки рис-
ков информационной безопасности в условиях не-
определенности, нечеткости и качественности ис-
ходных данных.
- разработки метода нечеткой оценки
ущерба от реализации угроз.
- разработки методов и алгоритмов нечет-
ких оценок возможности реализации угроз.
- разработки методов и алгоритмов нечет-
ких оценок возможности использования уязвимо-
стей.
- разработки метода оптимального управ-
ления рисками информационной безопасности, ос-
нованного на оценке эффективности реализуемых
защитных мер и существующих финансовых огра-
ничений.
- разработка программного комплекса ко-
личественной оценки и управления рисками ИБ в
КИС на основе предложенных моделей, методов и
алгоритмов.
Решение данных задач позволит повысить
эффективность защиты КИС.
_______________________________________________
© И. В. Аникин – канд. техн. наук, зав. каф. систем информационной безопасности КНИТУ-КАИ, anikinigor777@mail.ru;
Л. Ю. Емалетдинова – док. техн. наук, профессор каф. прикладной математики и информатики КНИТУ-КАИ,
lilia@stcline.ru; А. П. Кирпичников – док. физ.-мат. наук, зав. каф. интеллектуальных систем и управления информационны-
ми ресурсами КНИТУ, kirpichnikov@kstu.ru.
1. Аникин И.В., Оценка рисков ИБ в компьютерных сетях //
Проблемы техники и технологий телекоммуникаций
ПТиТТ-2014: Материалы XV Международной научно-
технической конференции. – Т.2. Казань, 18-21 ноября 2014
года. – Казань: Изд-во Казан. гос. техн. ун-та, 2014. – с. 303-
304.
2. Аникин И.В. Управление внутренними рисками информа-
ционной безопасности корпоративных информационных се-
тей // Научно-технические ведомости Санкт-Петербургского
государственного политехнического университета. Инфор-
матика. Телекоммуникации. Управление. 2009. Т. 3. № 80. С.
35-40.
3. Глова В.И., Аникин И.В., Шагиахметов М.Р. Система не-
четкого моделирования для решения задач повышения неф-
тедобычи // Вестник Казанского государственного техниче-
ского университета им. А.Н. Туполева. 2001. № 3. С. 59-61.
4. Аникин И.В. Метод количественной оценки уровня ущер-
ба от реализации угроз на корпоративную информационную
сеть // Информационные технологии. 2010. № 1. С. 2-6.
5. Аникин И.В. Метод оценки внутренних рисков информа-
ционной безопасности корпоративных информационных се-
тей // Информация и безопасность. 2014. Т. 17. № 2. С. 320-
323.
6. Аникин И.В. Метод оценки рисков для уязвимостей ин-
формационных систем, основанный на нечеткой логике //
Информация и безопасность. 2014. Т. 17. № 3. С. 468-471.
7. Аникин И.В. Метод анализа иерархий в задачах оценки и
анализа рисков информационной безопасности // Вестник
Казанского государственного технического университета им.
А.Н. Туполева. 2006. № 3. С. 11-18.
8. Аникин И.В., Кирпичников А.П. Применение метода ана-
лиза иерархий для решения задачи выбора антивирусных
продуктов // Вестник Казанского технологического универ-
ситета. 2014. Т. 17. № 12. С.187-189.
9. Аникин И.В., Емалетдинова Л.Ю., Кирпичников А.П. Ме-
тоды оценки и управления рисками информационной безо-
пасности в корпоративных информационных сетях // Вест-
ник Казанского технологического университета. 2015. Т. 18.
№ 6. С. 195-197.

© I. V. Anikin, PhD, Head of the Information security systems department, KNRTU-KAI, anikinigor777@mail.ru; L. Yu.
Emaletdinova – Dr. Sci, professor of Applied mathematics and informatics department KNRTU-KAI, lilia@stcline.ru; A. P
Kirpichnikov, Dr. Sci, Head of the Intelligent systems and information assets management department, KNRTU,
kirpichnikov@kstu.ru.

250