Файл: 2015.05.26 - Матеріали ХVІ Міжнародної науково-практичної конференції «Безпека інформації в інформаційно-телекомунікаційних системах».pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 24.04.2019
Просмотров: 4511
Скачиваний: 4
На мою думку, найбільш не проблемним, з точки зору інтеграції в нормативне
середовище України, є визначення ISO/IEC 27032: 2012, а саме: кібербезпека це збереження
конфіденційності, цілісності, доступності, автентичності, спостереженості, неспростовності
та достовірності інформації в складному середовищі, яке не існує в будь-якій фізичній формі,
що утворюється шляхом взаємодії, за допомогою технологічних пристроїв і мереж
підключених до них, людей, програмного забезпечення та сервісів в Інтернеті.
1.2
Критично-важливі об’єкти (об’єкти критичної інфраструктури)
Під об’єктом будемо розуміти елемент критичної інфраструктури який визначає стан
її функціональності.
З метою формулювання терміну “об’єкт критичної інфраструктури” або “критично-
важливий об’єкт” спробуємо проаналізувати існуючи визначення терміну “критична
інфраструктура” (“критично важлива інфраструктура”):
-
критична інфраструктура – системи виведення з ладу або руйнування яких може
призвести до ефекту послаблення економічної безпеки в промисловості, безпеки населення
або держави (CFG ISACA);
-
системи які відіграють ключову роль в більшості національних критичних
інфраструктур які включають: електрону комерцію, передачу голосу та даних, комунальні
підприємства, фінанси, охорону здоров’я, транспорт та оборону (ITU-T X.1205);
-
критична інфраструктура – система і ресурси, фізичні або віртуальні, настільки
життєво необхідні для США, що виведення їх з ладу або руйнування могло би дати імпульс
послаблення в безпеці, безпеці національній економіки, національній системі охорони
здоров’я або безпеки життєдіяльності, чи інших комбінацій цих сутностей (NISTIR 7298).
-
під терміном критична інфраструктура розуміються ресурси які є найбільш
важливими для функціонування суспільства та економіки. До таких ресурсів найбільш часто
відносять (http://en.wikipedia.org): електроенергетичну галузь (генерація, передача та
розподіл), нафтогазовидобування (видобуток, транспортування та розподіл), телекомунікації,
водопостачання (питна вода, водовідведення), виробництво їжі та її розподіл, охорона
здоров’я, транспортні системи, фінансові служби, служби безпеки (поліція, військові).
Таким чином, під об’єктом критичної інфраструктури, на мою думку, доцільно
розуміти елемент критичної інфраструктури виведення з ладу або руйнування якого може
призвести до послаблення безпеки національної економіки, безпеки життєдіяльності
населення або обороноздатності держави. При цьому вважаю за необхідне нормативно
закріпити перелік галузей які становлять критичну інфраструктуру.
О.Ю. Юдін Зміст понять “кібернетична безпека” та “об’єкт критичної
інфраструктури” з огляду на термінологію іноземних нормативних документів
Проведений аналіз іноземних нормативних документів щодо визначення термінів
“кібернетична безпека” та “критична інфраструктура”. За результатами аналізу
запропоновані визначення цих термінів з урахуванням термінології вітчизняних
нормативних документів.
Ключові слова: кібернетична безпека, об’єкт критичної інфраструктури, критична
інфраструктура.
O.Y. Yudin
The content of the concepts “
cybersecurity”
and “
object of critical
infrastructure
” with the terminology of foreign regulations
.
The analysis of foreign regulations on the definition of “
cybersecurity”
and “
object of
critical infrastructure
”. Based on the analysis proposed definitions of these terms with the
terminology of national regulations.
Keywords: cybersecurity, object of critical infrastructure, critical infrastructure.
101
УДК 004.056.5
ЗАГРОЗИ НЕСАНКЦІОНОВАНОГО ДОСТУПУ ДО ІНФОРМАЦІЇ В КЛЮЧОВИХ
СИСТЕМАХ ІНФОРМАЦІЙНОЇ ІНФРАСТРУКТУРИ
Ю.К. Васильєв
ДержНДІ Спецзв’язку
Багато закордонних держав, а також терористичних та кримінальних структур
інтенсивно вдосконалюють методи і способи використання інформаційних технологій та
засобів для деструктивних інформаційних впливів на інформаційні ресурси інформаційно-
телекомунікаційних систем і мереж державних та недержавних організацій. Таке
застосування інформаційних технологій та засобів надає їм властивості так званої
інформаційної зброї. Для нанесення значного збитку інтересам держави і суспільства
інформаційна зброя може бути застосована і в мирний час, особливо терористичними
організаціями. При цьому порушення функціонування ключових або критичних системам
інформаційної інфраструктури (далі - КСІІ) може призвести до розвитку надзвичайних
ситуацій, пов’язаних із загибеллю людей, екологічними катастрофами, нанесенням великої
матеріальної, фінансової, економічної шкоди або великомасштабними порушеннями
життєдіяльності міст та населених пунктів і т.п. Одним з способів реалізації можливих
деструктивних впливів на функціонування КСІІ є загрози несанкціонованого доступу (НСД).
Загрози НСД в КСІІ, які реалізуються із застосуванням програмних і програмно-
апаратних засобів, включають у себе:
-
загрози доступу (проникнення) в операційне середовище програмно-апаратних
засобів КСІІ (маршрутизатори, комутатори, комп’ютери та ін.) і виконання деструктивних
дій з використанням штатного програмного забезпечення (засобів операційної системи чи
прикладних програм загального застосування);
-
загрози створення позаштатних режимів роботи програмних (програмно-апаратних)
засобів за рахунок умисних змін службових даних, ігнорування передбачених у штатних
умовах обмежень у складі і характеристиках оброблюваної інформації, спотворення
(модифікації) самих даних і т.д.;
-
загрози впровадження шкідливих програм (програмно-математичної дії).
Дається загальна характеристика джерел загроз безпеки інформації, вразливостей, які
можуть бути використані при реалізації загроз НСД, і можливих деструктивних дій.
Ю.К. Васильєв Загрози несанкціонованого доступу до інформації в ключових
системах інформаційної інфраструктури
Приведено аналіз загроз несанкціонованого доступу в ключових систем
інформаційної інфраструктури. Здійснено їх класифікацію з метою можливого подальшого
використання при побудові моделі загроз.
Ключові слова: загрози, інформація, інформаційна безпека, ключові системи
інформаційної інфраструктури
Y.K. Vasiliev Threats unauthorized access to information in key systems of information
infrastructure.
The analysis of the threats of unauthorized access to information in key systems of
information infrastructure. Carried out classification for subsequent use in constructing a model of
threats.
Keywords: Threats, information, information security, key system of information
infrastructure.
102
УДК 004.056.5
АНАЛІЗ ІМОВІРНИХ ДЕСТРУКТИВНИХ ДІЙ ПЕРСОНАЛУ АСУ ТП
В АСПЕКТІ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
С. Ф. Гончар, канд. Техн. Наук
Державний нді спеціального зв’язку та захисту інформації
e-mail: Sfgonchar@gmail.com
На сьогоднішній день інформаційна безпека держави визначається, в тому числі,
рівнем інформаційної безпеки існуючих складних людино-машинних систем управління
об’єктами технічних, технологічних, організаційних і економічних комплексів країни –
автоматизованих систем управління технологічними процесами (АСУ ТП) [1], [2].
На даний час все більше зростає роль людського фактору на інформаційну безпеку
АСУ ТП при недостатній кількості методів і засобів його оцінки та захисту. Ті засоби і
методи, які наразі розробляються (наприклад, метод інженерної психології) дають змогу
зменшити рівень помилкової інформації, але не досліджують проблему у цілому, в тому
числі не проводять оцінку і захист, як від випадкових, так і від умисних деструктивних дій
обслуговуючого персоналу [3].
При цьому, людський фактор являється одночасно і необхідним елементом людино-
машинних систем управління і джерелом загроз інформаційній безпеці таких систем.
Таким чином, основними об’єктами дестабілізуючих впливів в АСУ ТП являється у
цілому обслуговуючий персонал, і конкретно особа, яка приймає рішення щодо управління
процесами в тій чи іншій предметній області [3]. При цьому, на адекватність прийнятих
рішень персоналом в таких системах можуть впливати такі фактори [4]: зовнішні та
внутрішні дестабілізуючі впливи, нестійкість рішення при великій кількості альтернатив,
тривалість часового інтервалу для прийняття рішення.
Враховуючи викладене вище, можна зазначити, що важливою задачею являється
прийняття адекватних рішень обслуговуючим персоналом в різних інформаційних
середовищах і відносинах. Для цього актуальним є здійснення аналізу імовірних
деструктивних дій персоналу АСУ ТП в умовах наявності дестабілізуючих впливів в аспекті
інформаційної безпеки.
Кількість альтернатив і тривалість часового інтервалу для прийняття рішення буде
залежати від технологічних особливостей конкретної системи і вплив даних факторів може
призвести до ненавмисних помилкових дій персоналу. В той же час, дія зовнішніх та/або
внутрішніх дестабілізуючих впливів може призвести до навмисних деструктивних дій
персоналу. Розглянемо більш детально, що собою являє кожний з наведених чинників.
Під зовнішнім дестабілізуючим впливом будемо розуміти множину загроз реалізації
інформаційно-психологічного впливу на обслуговуючий персонал АСУ ТП. Такі впливи
можуть мати на меті дезорієнтацію, дезінформацію, дезорганізацію, придушення,
руйнування тощо.
Множина факторів внутрішнього дестабілізуючого впливу являє собою множину
людських потреб, через захищеність яких може розкриватися забезпечення інформаційної
безпеки людино-машинних систем управління.
Зважаючи на викладене, стан інформаційної безпеки персоналу АСУ ТП визначається
двома основними чинниками: інформаційно-психологічною задоволеністю людських потреб
персоналу і дестабілізуючими (навмисними або випадковими) інформаційно-психологічними
та інформаційно-технічними впливами.
Множиною деструктивних дій з боку обслуговуючого персоналу по відношенню до
технічної компоненти будуть дії, спрямовані на порушення конфіденційності, цілісності,
доступності та неспростовності інформації в АСУ ТП, тобто виникнення загрози
інформаційної безпеки.
103
Таким чином, враховуючи викладене вище, можна зазначити, що для забезпечення
інформаційної безпеки асу тп в аспекті імовірних навмисних деструктивних дій
обслуговуючого персоналу необхідно забезпечити відсутність зовнішніх та внутрішніх
дестабілізуючих впливів на персонал а також здійснювати заходи, спрямовані на запобігання
здійснення деструктивних дій персоналом при наявності дестабілізуючих впливів.
Література
1.
Мохор В.В. Наставления по кибербезопасности (ISO/IEC 27032:2012) / В.В.Мохор,
А.М. Богданов, А.С. Килевой – К.: ООО «ТриК», 2013. – 129 с.
2.
Гончар С.Ф. Шляхи удосконалення державної політики забезпечення
інформаційної безпеки критичної інфраструктури України : матеріали круглого столу
«Державне реагування на загрози національним інтересам України: актуальні проблеми та
шляхи їх розв’язання». – К.: НАДУ, 2014. – С. 92-95.
3.
Емелин В.И. Методы и модели оценки и обеспечения информационной
безопасности автоматизированных систем управления критическими системами: дис. …
доктора техн. наук : 05.13.19 / Емелин Вадим Иванович. – СПб., 2012. – 238 с.
4.
Силов В.Б. Принятие стратегических решений в нечеткой обстановке. – М.:
ИНПРО – РЕС, 1995. – 228с.
С. Ф. Гончар. Аналіз імовірних деструктивних дій персоналу асу тп в аспекті
інформаційної безпеки
Здійснено аналіз деструктивних дій обслуговуючого персоналу асу тп при умові
наявності зовнішніх та/або внутрішніх дестабілізуючих впливів. Дані рекомендації щодо
забезпечення інформаційної безпеки асу тп в аспекті навмисних деструктивних дій
обслуговуючого персоналу.
Ключові слова: модель, інформаційна безпека, дестабілізуючий вплив, деструктивні
дії, персонал.
S. F. Gonchar. An analysis of the possible destructive actions of personnel industrial
control systems in terms of information security
Analysis of destructive actions of personnel of industrial control systems provided
availability of external and/or internal destabilizing influences is given. Recommendations for
information security of industrial control systems in terms of intentional destructive actions of
personnel are given.
Keywords: model; information security; destabilizing effects; destructive actions; personnel.
104
УДК 007.065.01
МОДЕЛЬ УПРАВЛІННЯ КІБЕРНЕТИЧНОЮ БЕЗПЕКОЮ УКРАЇНИ НА ОСНОВІ
ДОСВІДУ США:
ПРОПОЗИЦІЇ «ГО ІСКАК КИЇВ» ДО ПРОЕКТУ «ЗАКОНА УКРАЇНИ ПРО ОСНОВНІ
ЗАСАДИ КІБЕРНЕТИЧНОЇ БЕЗПЕКИ УКРАЇНИ»
*О. Ю. Янковський
*ГО «ІСАКА КИЇВ»
e-mail: a.yankovski@isaca.org.ua
Проведено вивчення проекту Закону України «Про основні засади Кібернетичної
безпеки України», та проаналізовано досвід інших країн з побудови системи управління
кібернетичною безпекою.
Запропоновано
альтернативну
версію
законопроекту,
яка
передбачає
децентралізовану модель управління кібербезпекою, та визначення галузевих регуляторів з
кібернетичної безпеки.
Ключові слова:кібернетична безпека, приватність, модель управління.
A.Y. Yankovski Cybersecurity management model for Ukraine, based on the experience of
the USA: proposal of NGO “ISACA Kyiv Chapter” to the draft “Law of Ukraine on fundamentals
of the Cybersecurity management of Ukraine.
Analysis of the draft law of Ukraine on fundamentals of Cybersecurity of Ukraine has been
conducted.
The author provides an alternative version of the draft law, which is based on the
decentralized model of cybersecurity management, with industry-level regulators having
responsibility for oversight of the cyber security in the respective industries.
Keywords: cybersecurity, privacy, management model
105