Модель угроз безопасности автоматизированной системы коммерческого учета энергоресурсовСтатья посвящена модели угроз безопасности автоматизированной системы коммерческого учета энергоресур-сов. В качестве модели системы для описания угроз используется многоуровневая модель, построенная с по-мощью атрибутивного метаграфа вложенности 3. Рассматриваются аппаратный и программный уровни систе-мы. Комплексно учитываются угрозы конфиденциальности, целостности и доступности информации, а также угрозы конфиденциальности и целостности информационной системы. Таким образом, был составлен макси-мально полный перечень, для разрабатываемой системы, состоящий из более 80 угроз. Ключевые слова: информационная безопасность, угроза, модель угроз. doi: 10.21293/1818-0442-2016-19-3-111-114 В настоящее время значительную роль при про-ектировании и разработке информационных систем играет обеспечение безопасности информации, пе-редаваемой при работе этих систем по сети. Это от-носится и к разрабатываемой автоматизированной системе коммерческого учета энергоресурсов (АС-КУЭ), задача создания которой осложняется боль-шим количеством узлов учёта конечных потребите-лей и рассредоточением их на значительной терри-тории [1]. Неавторизованное воздействие на элемен-ты системы может нарушить конфиденциальность, целостность или доступность передаваемых данных или даже функционирование системы в целом.Однако прежде чем переходить к минимизации возможности неавторизованного воздействия на систему, необходимо оценить защищенность разра-батываемой системы [2]. Одними из важнейших этапов оценки защищенности являются построение модели угроз безопасности рассматриваемой систе-мы, а также построение модели нарушителя [3]. За-дачей настоящей работы является создание макси-мально полного перечня угроз безопасности разра-батываемой системы и обрабатываемой в ней ин-формации в условиях, когда известна структура сис-темы, но не известен ее состав.Применяется подход к построению модели уг-роз безопасности информационной системы, кото-Существующие модели угроз безопасности, та-кие как в [6,7] а также в [8,9], в явном виде не опи-сывают угрозы безопасности информационной сис-темы. Каждая из рассмотренных моделей может учитывать те или иные угрозы, которые не описаны в другой.В большинстве рассмотренных моделей нет ма-тематической формализации, т.е. все угрозы безо-пасности описаны посредством словесных перечней и указаний, что может привести к тому, что разные эксперты, использующие эти модели при оценке защищенности, могут трактовать их по-своему.Структура системы В качестве модели системы для описания угроз безопасности используется многоуровневая модель, построенная с помощью атрибутивного метаграфа вложенности 3. Взаимодействие между объектами в модели информационной системы происходит по правилам взаимодействия объектов в эталонной мо-дели OSI. Использование метаграфов при построе-нии модели позволяет получить полный перечень угроз безопасности информации и системы. Подход к построению модели системы описан в [10], он предполагает разделение системы на...
