10.14489/vkit.2023.03.pp.029-039

DOI: 10.14489/vkit.2023.03.pp.029-039

Буряк Ю. И., Скрынников А. А.
СМЕШАНО-ЦЕЛОЧИСЛЕННАЯ МОДЕЛЬ КОНТРОЛЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ В КОРПОРАТИВНОЙ ИНФОРМАЦИОННОЙ СРЕДЕ
(с. 29-39)

Аннотация. Рассмотрена задача разработки быстрого алгоритма перебора вариантов для выбора наилучшего состава защит информационных ресурсов. Сформирован необходимый состав моделей, в том числе моделей угроз, уязвимостей, средств защиты и поражения ресурса. Принято, что ущерб ресурса определяется совместным действием угроз и средств защиты, при этом для оценки суммарного воздействия не имеет значения последовательность применения отдельных угроз. Вредоносность угроз и эффективность средств защиты описаны в рамках вероятностной модели. Предложен критерий для выбора оптимального набора защит. Разработан быстрый алгоритм расчета наилучшего варианта защиты на основе упорядоченного перебора подмножеств защит, причем в качестве начального множества использован минимальный набор защит, который покрывает все угрозы. Последовательно рассмотрены методы расчета защищенности при формировании решения о переконфигурировании и реструктуризации корпоративных информационных систем. Приведены результаты расчетов и показана возможность значительного сокращения длительности вычислительных процедур.

Ключевые слова: модели угроз; защищенность информационных ресурсов; комбинаторная оптимизация; численные методы.

Buryak Yu. I., Skrynnikov A. A.
MIXED-INTEGER MODEL OF INFORMATION RESOURCES SECURITY CONTROL IN THE CORPORATE INFORMATION ENVIRONMENT
(pp. 29-39)

Abstract. The problem of developing a fast algorithm for calculating options for choosing the best composition of information resource protection in a corporate information system is considered. The necessary composition of models has been formed, including: threats, vulnerabilities, means of protection and destruction of the resource. It is assumed that the damage to the resource is determined by the joint action of threats and means of protection, while the sequence of application of individual threats does not matter for assessing the total value. The harmfulness of threats and the effectiveness of protection tools are described within the framework of a probabilistic model. A criterion for choosing the optimal set of protections is proposed. The criteria for forming a decision on reconfiguration and restructuring of the corporate information system are consistently considered. It is shown that the present problem relates to difficult combinatorial optimization problems, that is, there is no general polynomial algorithm for it that allows to obtain a solution in polynomial time. However, taking into account the specifics of the task, in some cases, allows you to build calculation schemes that provide sufficient accuracy of the solution and an acceptable time. The following calculation schemes are considered: the search for alternative options by sorting through threats, by means of protection, as well as a sequential search of a variety of means of protection. The effectiveness of each scheme was evaluated based on the number of iteration options. A fast algorithm has been developed for calculating the best protection option based on an ordered search of subsets of protections, and the minimum set of protections that covers all threats is used as the initial set. The results of calculations are presented and the possibility of a sharp reduction in the time of computational procedures is shown.

Keywords: Models of threats; Information resources security; Combinatorial optimization; Numerical methods.

+ - Информация об авторах (About the Authors) Click to collapse

Рус

Ю. И. Буряк (Московский авиационный институт (научно-исследовательский университет), Москва, Россия) E-mail: Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
А. А. Скрынников (ФАУ «Государственный научно-исследовательский институт авиационных систем»; Московский авиационный институт (научно-исследовательский университет), Москва, Россия)

Eng

Yu. I. Buryak (Moscow Aviation Institute (National Research University), Moscow, Russia) E-mail: Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
A. A. Skrynnikov (FAI «State Research Institute of Aviation Systems») Moscow Aviation Institute (National Research University), Moscow, Russia

+ - Библиографический список (References) Click to collapse

Рус

1. ГОСТ Р ИСО/МЭК 27005–2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности [Электронный ре-сурс]. URL: https:// unicoms.biz (дата обращения: 14.09.2022).
2. Методика оценки угроз безопасности информации / утв. Федеральной службой по техническому и экспортному контролю 5 февраля 2021 г. [Элек-тронный ресурс]. URL: https://fctec.ru (дата обращения: 14.09.2022).
3. Пашков Н. Н., Дрозд В. Г. Анализ рисков информационной безопасности и оценка эффективности систем защиты информации на предприятии // Современные научные исследования и инновации. 2020. № 1 [Электронный ресурс]. URL: https://web.snauka.ru/issues/2020/01/90380 (дата обращения: 12.09.2022).
4. Картвелишвили В. М., Свиридова О. А. Риск-менеджмент. Методы оценки риска: учеб. пособие. М.: РЭУ имени Г. В. Плеханова, 2017. 120 с.
5. Баранова Е. К. Методики анализа и оценки рисков информационной безопасности // Вестник Московского университета им. С. Ю. Витте. Сер. 3: Образовательные ресурсы и технологии. 2015. № 1(9). С. 73 – 79.
6. Басараб М. А., Булатов В. В., Булдакова Т. И. Математические основы информационной безопасности / под ред. В. А. Матвеева. М.: НИИ РиЛТ МГТУ имени Н. Э. Баумана, 2013. 244 с.
7. Казарин О. В., Кондаков С. Е., Троицкий И. И. Подходы к количественной оценке защищенности ресурсов автоматизированных систем // Вопросы кибербезопасности. 2015. № 2(10). С. 31 – 35.
8. Ульянов М. В. Ресурсно-эффективные компьютерные алгоритмы. Разработка и анализ. М.: ФИЗМАТЛИТ, 2008. 304 с.
9. Мельников Б. Ф., Мельникова Е. А. О классической версии метода ветвей и границ // Компьютерные инструменты в образовании. 2021. № 1. С. 21 – 44.
10. Кормен Т., Лейзерсон Ч., Ривест Р., Штайн К. Алгоритмы: построение и анализ / под ред. И. В. Красикова. 2-е изд. М.: Вильямс, 2005. 1296 с.
11. Буряк Ю. И. Информационная поддержка управленческих решений при обеспечении защиты информационных ресурсов в корпоративной информационной среде // Кибернетика и высокие технологии XXI века: тр. VIII Междунар. науч.-техн. конф. 15 – 17 мая 2007. Воронеж: Изд-во Воронежского гос. университета, 2007. 685 с. С. 21 – 32.

Eng

1. Information technology. Methods and means of ensuring security. Information security risk management. National Standard No. GOST R ISO/MEK27005–2010. Available at: https://unicoms.biz (Accessed: 14.09.2022). [in Russian language]
2. Methodology for assessing information security threats. Available at: https://fctec.ru (Accessed: 14.09.2022). [in Russian language]
3. Pashkov N. N., Drozd V. G. (2020). Analysis of information security risks and evaluation of the effectiveness of information security systems in the enterprise. Sovremennye nauchnye issledovaniya i innovatsii, (1). Available at: https://web.snauka.ru/issues/2020/01/90380 (Accessed: 12.09.2022). [in Russian language]
4. Kartvelishvili V. M., Sviridova O. A. (2017). Risk management. Risk Assessment Methods: A Textbook. Moscow: REU imeni G. V. Plekhanova. [in Russian language]
5. Baranova E. K. (2015). Methods for analyzing and assessing information security risks. Vestnik Moskovskogo universiteta im. S. Yu. Vitte. Seriya 3: Obrazovatel'nye resursy i tekhnologii, 9(1), pp. 73 – 79. [in Russian language]
6. Matveev V. A. (Ed.), Basarab M. A., Bulatov V. V., Buldakova T. I. (2013). Mathematical foundations of information security. Moscow: NII RiLT MGTU imeni N. E. Baumana. [in Russian language]
7. Kazarin O. V., Kondakov S. E., Troitskiy I. I. (2015). Approaches to Quantifying the Security of Automated System Resources. Voprosy kiberbezopasnosti, 10(2), pp. 31 – 35. [in Russian language]
8. Ul'yanov M. V. (2008). Resource-efficient computer algorithms. Development and analysis. Moscow: FIZMATLIT. [in Russian language]9. Mel'nikov B. F., Mel'nikova E. A. (2021). About the classical version of the branch and bound method. Komp'yuternye instrumenty v obrazovanii, (1), pp. 21 – 44. [in Russian language]
10. Krasikov I. V. (Ed.), Kormen T., Leyzerson Ch., Rivest R., Shtayn K. (2005). Algorithms: construction and analysis. 2nd ed. Moscow: Vil'yams. [in Russian language]
11. Buryak Yu. I. (2007). Information support of management decisions while ensuring the protection of information resources in the corporate information environment. Cybernetics and high technologies of the 21st century: Proceedings of the VIII International Scientific and Technical Conference, pp. 21 – 32. Voronezh: Izdatel'stvo Voronezhskogo gosudarstvennogo univer-siteta. [in Russian language]

+ - Заказать электронную версию статьи (Purchase digital version of a single article) Click to collapse

Рус

Статью можно приобрести в электронном виде (PDF формат).

Стоимость статьи 500 руб. (в том числе НДС 20%). После оформления заказа, в течение нескольких дней, на указанный вами e-mail придут счет и квитанция для оплаты в банке.

После поступления денег на счет издательства, вам будет выслан электронный вариант статьи.

Для заказа скопируйте doi статьи:

10.14489/vkit.2023.03.pp.029-039

и заполните форму

Отправляя форму вы даете согласие на обработку персональных данных.

Eng

This article is available in electronic format (PDF).

The cost of a single article is 500 rubles. (including VAT 20%). After you place an order within a few days, you will receive following documents to your specified e-mail: account on payment and receipt to pay in the bank.

After depositing your payment on our bank account we send you file of the article by e-mail.

To order articles please copy the article doi:

10.14489/vkit.2023.03.pp.029-039

and fill out the form