Threat modeling expert system: reasons for development, method and implementation troubles
Keywords:
information security threats, threat model, method of expert systems, methodological document, software package, expert systemAbstract
The assessment of information security threats is necessary to develop a threat model. Also, the results of the assessment are needed to choose information protection measures. This paper describes the importance of assessing information security threats in the process of developing an information security system. A comparison of the new methodological document of the FSTEC of Russia (February 2021) with the previously valid methodological document showed an increase in the complexity of threat analysis. In this regard, the paper identifies the need to automate the process of assessing information security threats. It describes the factors that lead to an increase in the complexity of the procedure.The dynamics of the growth of the number of information security threats in the Threat Database of the FSTEC of Russia during its existence is brought into sharp focus. The legal justification of the possibility of automating the analysis of information security threats is indicated.The method of expert systems is selected and justified as a method of automating the process of assessing security threats. The paper provides advantages and disadvantages of the method of expert systems in relation to this problem. The process of assessing information security threats is separated into a formal representation as a logical formula. Based on the logical formula and threat assessment stages, a diagram of the algorithm is formed. The functional purpose of the diagram components is described. The issues for further study in the implementation of the software package of automating the assessment of information security threats by the expert system method are identified.
References
Конев А.А. Подход к построению модели угроз защищаемой информации // Доклады ТУСУР. 2012. № 1-2 (25). С. 34–39.
ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. Дата введения 01.10.2009.
Анищенко В.В., Криштофик А.М. Комплексная оценка угроз безопасности // Материалы конференции «Обеспече-ние безопасности информации в информационных системах», Минск, 11 ноября 2004 г. Минск, Академия управления, 2004, С. 33–36.
Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и техниче-ских мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных».
Указ Президента РФ от 16.08.2004 № 1085 «Вопросы Федеральной службы по техническому и экспортному кон-тролю».
Указ Президента РФ от 11.08.2003 № 960 «Вопросы Федеральной службы безопасности Российской Федерации».
Методический документ ФСТЭК России от 05.02.2021 «Методика оценки угроз безопасности информации».
Методический документ ФСТЭК России от 14.02.2008 «Методика определения актуальности угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
Банк данных угроз ФСТЭК России [Электронный ресурс]. URL: https://bdu.fstec.ru/threat (дата обращения 10.03.2021).
Internet Archive Wayback Machine [Электронный ресурс]. URL: https://archive.org/web/ (дата обращения 10.03.2021).
Цифровая экономика. Динамика и перспективы развития ИТ-отрасли. Экспресс-информация ИСИЭЗ НИУ ВШЭ [Электронный ресурс]. URL: https://issek.hse.ru/mirror/pubs/share/371960649.pdf (дата обращения 10.03.2021).
Муханова А., Ревнивых А.В., Федотов А.М. Классификация угроз и уязвимостей информационной безопасности в корпоративных системах // Вестник Новосиб. гос. ун-та. Серия: Информационные технологии. 2013. Т. 11, вып. № 2. С. 55–72.
Миков Д.А. Анализ методов и средств, используемых на различных этапах оценки рисков информационной без-опасности // Вопросы кибербезопасности. 2014. № 4 (7). С. 49–54.
Малюк А.А. Кадровое обеспечение информационной безопасности // Государственная служба. 2011. № 5. С. 75–79.
Джарратано Д., Райли Г. Экспертные системы: принципы разработки и программирование. Изд. 4-е, Вильяме, 2006.
Данеев А.В., Жигалов Н.Ю., Шварц-Зиндер С.Н. Использование систем интеллектуальной поддержки принятия решений при проведении диагностических пожарно-технических экспертиз: монография. Иркутск: ФГОУ ВПО ВСИ МВД России, 2009. 144 с.
Данеев А.В., Воробьев А.А., Куменко А.Е., Лебедев Д.М., Мастин А.Б. Методика формирования комплекса средств управления сложной организационно-технической системой. Вестник Бурятского государственного университета. 2010. № 9. С. 263-268.
