Scientific and analytical journal «Vestnik Saint-Petersburg university of State fire service of EMERCOM of Russia»

Научно-аналитический журнал "Вестник Санкт-Петербургского университета ГПС МЧС России"

2218-130X

75106

10.61260/2218-130X-2024-2023-4-159-168

ТРУДЫ МОЛОДЫХ УЧЕНЫХ

WORKS OF YOUNG SCIENTISTS

ТРУДЫ МОЛОДЫХ УЧЕНЫХ

TOWARD FORMALIZING THE TASK OF RANKING INFORMATION SECURITY REQUIREMENTS

К ВОПРОСУ О ФОРМАЛИЗАЦИИ ЗАДАЧИ РАНЖИРОВАНИЯ ТРЕБОВАНИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Ярошенко

Александр Юрьевич

Yaroshenko

Alexander Yu.

alexagz@mail.ru

Департамент информационных технологий и связи МЧС России Москва Россия information technology and communications Department of EMERCOM of Russia Moscow Russian Federation

14 02 2024

2023 4 159 168 27 10 2023 11 11 2023

https://journals.igps.ru/en/nauka/article/75106/view

Работа посвящена вопросу выполнения требований, направленных на обеспечение информационной безопасности в организации. Указано основное противоречие затронутой предметной области, заключающееся в наличии огромного числа различных вариаций выполнения требований при отсутствии способа выбора их корректного и оптимального порядка. Ставится задача ранжирования требований, и описывается идея предлагаемого решения в виде семи положений, направленных на согласованную запись разнородных требований в единой нотации, а также синтезируется интуитивно понятная схема идеи (с указанием на ней всех семи положений). Для представления идеи вводятся следующие сущности: объект-организация и его элементы, к которым предъявляются требования; обобщенные условия выполнения требований, не зависящие от специфики организации; вариации наборов условий, учитывающие конкретную организацию; базовые условия, проверяющие наличие/отсутствие элементов объекта и значения их параметров; алгоритмы мероприятий в организации для ее удовлетворения условиям; приоритеты требований и ресурсы, необходимые алгоритмам. Делается вывод, что такая формализация органически приведет к алгоритмизации решения задачи ранжирования и, в конечном счете, к автоматизации. Указаны наиболее подходящие автоматизированные способы решения задачи ранжирования требований информационной безопасности – алгоритмическое применение комбинаторной оптимизации и методов машинного обучения. Прогнозируется их высокая эффективность по сравнению с «ручными» способами, применяемыми в современной практике защиты информации. Отмечена новизна, теоретическая и практическая значимость полученных результатов, а также перспектива дальнейших исследований – построение аналитической модели выполнения требований, которая могла бы лечь в основу соответствующего метода, за которым последует его программная реализация и проведение необходимых экспериментов.

The article is devoted to the issue of requirements fulfillment aimed at ensuring information security in an organization. The main contradiction of the subject area concerned is pointed out, which consists in the presence of a huge number of different variants of requirements fulfillment in the absence of a possibility to choose their correct and optimal order. The task of requirements ranking is set and the idea of the proposed solution is described in the form of seven provisions aimed at coordinated recording of heterogeneous requirements in a single notation, and an intuitive scheme of the idea is synthesized (with all seven provisions indicated on it). To represent the idea, the following entities are introduced: an object-organization and its elements to which requirements are imposed; generalized conditions for satisfying requirements that do not depend on the specifics of the organization; variations of sets of conditions that take into account a particular organization; basic conditions that check the presence/absence of elements of the object and the values of their parameters; algorithms of activities in the organization to satisfy the conditions; priorities of requirements and resources needed by the algorithms. It is concluded that such formalization will lead organically to the algorithmic solution of the ranking problem and, eventually, to automation. The most suitable automated ways of solving the problem of ranking information security requirements – algorithmic application of combinatorial optimization and machine learning methods – are specified. Their high efficiency in comparison with «manual» methods used in modern information protection practice is predicted. The novelty, theoretical and practical significance of the obtained results are noted, as well as the prospect of further research – the construction of an analytical model of requirements fulfillment, which could be the basis of an appropriate method, followed by its program implementation and conducting of necessary experiments.

информационная безопасность требования ранжирование формализация автоматизация

information security requirements ranking formalization automation

Цифровые технологии и проблемы информационной безопасности / Т.И. Абдуллин [и др.]: монография. СПб.: СПГЭУ, 2021. 163 с.

Cifrovye tekhnologii i problemy informacionnoj bezopasnosti / T.I. Abdullin [i dr.]: monografiya. SPb.: SPGEU, 2021. 163 s.

Защита информации в компьютерных системах / М.В. Буйневич [и др.]: монография. СПб.: СПГЭУ, 2017. 163 с.

Zashchita informacii v komp'yuternyh sistemah / M.V. Bujnevich [i dr.]: monografiya. SPb.: SPGEU, 2017. 163 s.

Ghadeer D., Jaafar H., Vorobeva A.A. Security in kubernetes: best practices and security analysis // Journal of the Ural Federal District. Information Security. 2022. № 2 (44). С. 63-69.

Ghadeer D., Jaafar H., Vorobeva A.A. Security in kubernetes: best practices and security analysis // Journal of the Ural Federal District. Information Security. 2022. № 2 (44). S. 63-69.

Буйневич М.В., Покусов В.В., Израилов К.Е. Эффекты взаимодействия обеспечивающих служб предприятия информационного сервиса (на примере службы пожарной безопасности) // Науч.-аналит. журн. «Вестник С.-Петерб. ун-та ГПС МЧС России». 2018. № 4. С. 48-55.

Bujnevich M.V., Pokusov V.V., Izrailov K.E. Effekty vzaimodejstviya obespechivayushchih sluzhb predpriyatiya informacionnogo servisa (na primere sluzhby pozharnoj bezopasnosti) // Nauch.-analit. zhurn. «Vestnik S.-Peterb. un-ta GPS MCHS Rossii». 2018. № 4. S. 48-55.

Основные принципы проектирования архитектуры современных систем защиты / М.В. Буйневич [и др.] // Национальная безопасность и стратегическое планирование. 2020. № 3 (31). С. 51-58. DOI: 10.37468/2307-1400-2020-3-51-58. EDN VPRMIB.

Osnovnye principy proektirovaniya arhitektury sovremennyh sistem zashchity / M.V. Bujnevich [i dr.] // Nacional'naya bezopasnost' i strategicheskoe planirovanie. 2020. № 3 (31). S. 51-58. DOI: 10.37468/2307-1400-2020-3-51-58. EDN VPRMIB.

Максимова Е.А. Методы выявления и идентификации источников деструктивных воздействий инфраструктурного генеза // Электронный сетевой политематический журнал «Научные труды КубГТУ». 2022. № 2. С. 86-99.

Maksimova E.A. Metody vyyavleniya i identifikacii istochnikov destruktivnyh vozdejstvij infrastrukturnogo geneza // Elektronnyj setevoj politematicheskij zhurnal «Nauchnye trudy KubGTU». 2022. № 2. S. 86-99.

Израилов К.Е., Буйневич М.В. Метод обнаружения атак различного генеза на сложные объекты на основе информации состояния. Часть 1. Предпосылки и схема // Вопросы кибербезопасности. 2023. № 3 (55). С. 90-100. DOI: 10.21681/2311-3456-2023-3-90-100.

Izrailov K.E., Bujnevich M.V. Metod obnaruzheniya atak razlichnogo geneza na slozhnye ob"ekty na osnove informacii sostoyaniya. CHast' 1. Predposylki i skhema // Voprosy kiberbezopasnosti. 2023. № 3 (55). S. 90-100. DOI: 10.21681/2311-3456-2023-3-90-100. 8. Izrailov K.E., Bujnevich M.V. Metod obnaruzheniya atak razlichnogo geneza na slozhnye ob"ekty na osnove informacii sostoyaniya. Chast' 2. Algoritm, model' i eksperiment // Voprosy kiberbezopasnosti. 2023. № 4 (56). S. 80-93. DOI: 10.21681/2311-3456-2023-4-80-93.

Израилов К.Е., Буйневич М.В. Метод обнаружения атак различного генеза на сложные объекты на основе информации состояния. Часть 2. Алгоритм, модель и эксперимент // Вопросы кибербезопасности. 2023. № 4 (56). С. 80-93. DOI: 10.21681/2311-3456-2023-4-80-93.

Izrailov K.E., Buynevich M.V. Metod obnaruzheniya atak razlichnogo geneza na slozhnye ob'ekty na osnove informacii sostoyaniya. Chast' 2. Algoritm, model' i eksperiment // Voprosy kiberbezopasnosti. 2023. № 4 (56). S. 80-93. DOI: 10.21681/2311-3456-2023-4-80-93.

Ярошенко А.Ю. Формирование требований к организациям для противодействия атакам на информационные ресурсы методами социальной инженерии // Актуальные проблемы инфотелекоммуникаций в науке и образовании: сб. науч. статей X Междунар. науч.-техн. и науч.-метод. конф. СПб., 2021. Т. 2. С. 452-456.

Yaroshenko A.Yu. Formirovanie trebovanij k organizaciyam dlya protivodejstviya atakam na informacionnye resursy metodami social'noj inzhenerii // Aktual'nye problemy infotelekommunikacij v nauke i obrazovanii: sb. nauch. statej X Mezhdunar. nauch.-tekhn. i nauch.-metod. konf. SPb., 2021. T. 2. S. 452-456.

10.

Ярошенко А.Ю. Ранжирование требований информационной безопасности для высокоприоритетных объектов организационной системы защиты // Информатизация и связь. 2022. № 5. С. 30-41.

Yaroshenko A.Yu. Ranzhirovanie trebovanij informacionnoj bezopasnosti dlya vysokoprioritetnyh ob"ektov organizacionnoj sistemy zashchity // Informatizaciya i svyaz'. 2022. № 5. S. 30-41.

11.

Ярошенко А.Ю. Предпосылки к необходимости непрерывного ранжирования требований пожарной безопасности // Национальная безопасность и стратегическое планирование. 2021. № 3 (35). С. 100-105. DOI: 10.37468/2307-1400-2021-3-100-105. EDN LQIIKJ.

Yaroshenko A.Yu. Predposylki k neobhodimosti nepreryvnogo ranzhirovaniya trebovanij pozharnoj bezopasnosti // Nacional'naya bezopasnost' i strategicheskoe planirovanie. 2021. № 3 (35). S. 100-105. DOI: 10.37468/2307-1400-2021-3-100-105. EDN LQIIKJ.

12.

Буйневич М.В., Ахунова Д.Г., Ярошенко А.Ю. Комплексный метод решения типовой задачи риск-менеджмента в инфологической среде (на примере ранжирования требований пожарной безопасности). Часть 1 // Науч.-аналит. журн. «Вестник С.-Петерб. ун-та ГПС МЧС России». 2020. № 3. С. 88-99.

Bujnevich M.V., Ahunova D.G., Yaroshenko A.Yu. Kompleksnyj metod resheniya tipovoj zadachi risk-menedzhmenta v infologicheskoj srede (na primere ranzhirovaniya trebovanij pozharnoj bezopasnosti). Chast' 1 // Nauch.-analit. zhurn. «Vestnik S.-Peterb. un-ta GPS MCHS Rossii». 2020. № 3. S. 88-99.

13.

Буйневич М.В., Ахунова Д.Г., Ярошенко А.Ю. Комплексный метод решения типовой задачи риск-менеджмента в инфологической среде (на примере ранжирования требований пожарной безопасности). Часть 2 // Науч.-аналит. журн. «Вестник С.-Петерб. ун-та ГПС МЧС России». 2020. № 4. С. 78-89.

Bujnevich M.V., Ahunova D.G., Yaroshenko A.Yu. Kompleksnyj metod resheniya tipovoj zadachi risk-menedzhmenta v infologicheskoj srede (na primere ranzhirovaniya trebovanij pozharnoj bezopasnosti). CHast' 2 // Nauch.-analit. zhurn. «Vestnik S.-Peterb. un-ta GPS MCHS Rossii». 2020. № 4. S. 78-89.

14.

Лесюк Е.А., Уркинеев А.В. Модель организации технического обслуживания распределенных элементов сложного технического объекта // Качество. Инновации. Образование. 2016. № 7 (134). С. 39-43.

Lesyuk E.A., Urkineev A.V. Model' organizacii tekhnicheskogo obsluzhivaniya raspredelennyh elementov slozhnogo tekhnicheskogo ob"ekta // Kachestvo. Innovacii. Obrazovanie. 2016. № 7 (134). S. 39-43.

15.

Требования к электрооборудованию, предназначенного для работы в условиях Арктики / А.В. Крымов [и др.] // Арктика: инновационные технологии, кадры, туризм. 2020. № 1 (2). С. 414-419.

Trebovaniya k elektrooborudovaniyu, prednaznachennogo dlya raboty v usloviyah Arktiki / A.V. Krymov [i dr.] // Arktika: innovacionnye tekhnologii, kadry, turizm. 2020. № 1 (2). S. 414-419.

16.

Сошников А.В. Выбор рациональной очередности выполнения работ на технологической установке с учетом требования по сокращению времени переналадок // Наука и бизнес: пути развития. 2020. № 1 (103). С. 55-59.

Soshnikov A.V. Vybor racional'noj ocherednosti vypolneniya rabot na tekhnologicheskoj ustanovke s uchetom trebovaniya po sokrashcheniyu vremeni perenaladok // Nauka i biznes: puti razvitiya. 2020. № 1 (103). S. 55-59.

17.

Куликов Е.В., Бенамгхар А., Скоморохов Г.И. Системная формализация структурно-параметрического описания функционального центра технических систем // Компьютерные технологии автоматизированного проектирования систем машиностроения и аэрокосмической техники: труды Рос. конф., посвящ. 105-летию со дня рождения основателя КБХА С.А. Косберга. Воронеж, 2008. С. 203-207.

Kulikov E.V., Benamghar A., Skomorohov G.I. Sistemnaya formalizaciya strukturno-parametricheskogo opisaniya funkcional'nogo centra tekhnicheskih sistem // Komp'yuternye tekhnologii avtomatizirovannogo proektirovaniya sistem mashinostroeniya i aerokosmicheskoj tekhniki: trudy Ros. konf., posvyashch. 105-letiyu so dnya rozhdeniya osnovatelya KBHA S.A. Kosberga. Voronezh, 2008. S. 203-207.

18.

Разработка алгоритма выполнения требований по квотированию выбросов загрязняющих веществ в атмосферный воздух / О.А. Киселева [и др.] // Энергетик. 2023. № 3. С. 39-41.

Razrabotka algoritma vypolneniya trebovanij po kvotirovaniyu vybrosov zagryaznyayushchih veshchestv v atmosfernyj vozduh / O.A. Kiseleva [i dr.] // Energetik. 2023. № 3. S. 39-41.

19.

Анализ требований к современным системам безопасности и системам пожарной безопасности защищаемых объектов / А.С. Кривобородов [и др.] // Пожарная безопасность: проблемы и перспективы. 2018. Т. 1. № 9. С. 477-479.

Analiz trebovanij k sovremennym sistemam bezopasnosti i sistemam pozharnoj bezopasnosti zashchishchaemyh ob"ektov / A.S. Krivoborodov [i dr.] // Pozharnaya bezopasnost': problemy i perspektivy. 2018. T. 1. № 9. S. 477-479.

20.

Брыкова Е.И. Основные принципы построения безопасных операционных систем // Вестник Астраханского государственного технического университета. Сер.: Управление, вычислительная техника и информатика. 2013. № 2. С. 52-57.

Brykova E.I. Osnovnye principy postroeniya bezopasnyh operacionnyh sistem // Vestnik Astrahanskogo gosudarstvennogo tekhnicheskogo universiteta. Ser.: Upravlenie, vychislitel'naya tekhnika i informatika. 2013. № 2. S. 52-57.

21.

Левин М.Ш. О реконфигурации решений в комбинаторной оптимизации // Информационные процессы. 2016. Т. 16. № 4. С. 414-429.

Levin M.Sh. O rekonfiguracii reshenij v kombinatornoj optimizacii // Informacionnye processy. 2016. T. 16. № 4. S. 414-429.

22.

Болотин С.А., Нефедова В.К. Комбинаторная оптимизация в программах управления проектами // Известия высших учебных заведений. Строительство. 2003. № 6 (534). С. 47-51.

Bolotin S.A., Nefedova V.K. Kombinatornaya optimizaciya v programmah upravleniya proektami // Izvestiya vysshih uchebnyh zavedenij. Stroitel'stvo. 2003. № 6 (534). S. 47-51.

23.

Израилов К.Е., Ярошенко А.Ю. Исследование возможностей машинного обучения для автоматического ранжирования уязвимостей по их текстовому описанию // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2023): сб. науч. статей XII Междунар. науч.-техн. и науч.-метод. конф. СПб., 2023. Т. 1. С. 586-590.

Izrailov K.E., Yaroshenko A.Yu. Issledovanie vozmozhnostej mashinnogo obucheniya dlya avtomaticheskogo ranzhirovaniya uyazvimostej po ih tekstovomu opisaniyu // Aktual'nye problemy infotelekommunikacij v nauke i obrazovanii (APINO 2023): sb. nauch. statej XII Mezhdunar. nauch.-tekhn. i nauch.-metod. konf. SPb., 2023. T. 1. S. 586-590.

24.

Израилов К.Е. Концепция генетической декомпиляции машинного кода телекоммуникационных устройств // Труды учебных заведений связи. 2021. Т. 7. № 4. С. 10-17. DOI: 10.31854/1813-324X-2021-7-4-95-109.

Izrailov K.E. Koncepciya geneticheskoj dekompilyacii mashinnogo koda telekommunikacionnyh ustrojstv // Trudy uchebnyh zavedenij svyazi. 2021. T. 7. № 4. S. 10-17. DOI: 10.31854/1813-324X-2021-7-4-95-109.

25.

Identifying characteristics of software vulnerabilities by their textual description using machine learning / K.E. Izrailov [et al.]: World Automation Congress. Taiwan, Taipei 2021. P. 186-192. DOI: 10.23919/WAC50355.2021.9559470.

26.

Kotenko I., Izrailov K., Buinevich M. Static Analysis of Information Systems for IoT Cyber Security: A Survey of Machine Learning Approaches // Sensors. 2022. Vol. 22. Iss. 4. P. 1335. DOI: 10.3390/s22041335.