Моделирование угроз информационной безопасности АСУЗ с помощью SWOT-анализа | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Авторы: ,

Рубрика: Технические науки

Опубликовано в Молодой учёный №4 (108) февраль-2 2016 г.

Дата публикации: 18.02.2016

Статья просмотрена: 2410 раз

Библиографическое описание:

Баранников, Н. И. Моделирование угроз информационной безопасности АСУЗ с помощью SWOT-анализа / Н. И. Баранников, В. В. Лукин. — Текст : непосредственный // Молодой ученый. — 2016. — № 4 (108). — С. 19-22. — URL: https://moluch.ru/archive/108/26248/ (дата обращения: 18.12.2024).

 

Рассмотрены вопросы оценки рисков информационной безопасности АСУЗ, для чего был представлен способ моделирования угроз ИБ и вариантов противодействия им с помощью SWOT-анализа.

 

В современном мире все большое распространение и большую популярность приобретают автоматизированные системы управления зданием, или как их еще называют, системы «Умного дома», позволяющие значительно облегчить и автоматизировать процесс использования оборудования инженерных, мультимедийных, охранных и других систем зданий и сооружений, а также значительно повысить эффективность их работы.

Однако, существует проблема, связанная с не достаточной проработкой и исследованием угроз информационной безопасности пользователей «Умного дома» и, соответственно, недостаточными механизмами им противодействия.

Для оценки рисков угроз информационной безопасности возможно сделать анализ для каждой из подсистем АСУЗ и получить причинно-следственную модель угроз, а также провести оценку приемлемости результатов противодействия им. Для этих целей хорошо подходит SWOT-анализ, используемый в ходе стратегического планирования для оценки факторов и явлений, влияющих на различные объекты [1]. В контексте этого метода следует рассмотреть структуру подсистем АСУЗ, определить угрозы ИБ и составить матрицы SWOT-анализа.

На большинстве объектов, где применяться АСУЗ, существуют инженерные системы зданий, сервисные системы для обеспечения комфорта человека, и системы управления описанными выше элементами. Рассмотрим их подробнее:

  1.      Комплекс инженерных систем зданий — это комплекс элементов, с помощью которых в зданиях поддерживаются параметры среды, необходимые для жизнедеятельности человека или нормальной работы технологического оборудования (температура, влажность и т. д.), удовлетворяются потребности в ресурсах (вода, приточный воздух), и осуществляется автоматический дистанционный контроль над работой всех систем.
  2.      Сервисные системы зданий — это системы, обеспечивающие сервисные функции для использования человеком в целях развлечения и получения дополнительных удобств, не связанных с инженерными системами здания. Это доступ к информационным ресурсам, использование бытовых приборов и т. д.
  3.      Система управления «Умного дома» — то, что позволяет интегрировать различные системы в единое целое и осуществлять политику управления в соответствии с заданными критериями.

Угрозами информационной безопасности для АСУЗ являются классические угрозы — нарушения конфиденциальности, целостности и доступности информации, используемой в процессе работы АСУЗ.

Конфиденциальность — это отсутствие возможности утечки информации закрытого или личного характера у лиц, использующих систему «Умного дома», через его компоненты.

Доступность — возможность авторизованным пользователям и самой системе «Умного дома» выполнять различные действия, прописанные в сценариях работы системы «Умного дома». В противном случае возникает проблема невозможности реагировать на события и осуществлять действия, предусматриваемые программной составляющей системы «Умного дома».

Целостность в контексте «Умного дома» — это достоверность информации, получаемой от датчиков или иных источников, включая пользователя [2].

После определения структуры АСУЗ и классификации угроз ИБ возможно перейти к SWOT-анализу.

SWOT (СВОТ)-анализ (первые буквы англ. слов strengths — сильные стороны, weaknesses — слабые стороны, opportunities — возможности и threats — опасности, угрозы) — это анализ сильных и слабых сторон выбранной предметной области, а также установка взаимосвязи между ними. Для контекста информационной безопасности это означает взаимосвязь между характеристиками подсистем АСУЗ и угрозами их безопасности [3].

Порядок проведения анализа:

          Необходимо отобразить категории, которые будут использованы для SWOT-анализа (таблица 1);

          создание SWOT-матрицы (таблица 2);

          создание матриц оценки критериев (таблицы 3, 4).

Итак, после создания SWOT-матрицы образованно четыре поля:

          сильные стороны и возможности (СИВ);

          сильные стороны и угрозы (СИУ);

          слабые стороны и возможности (СЛВ);

          слабые стороны и угрозы (СЛУ).

Важно рассматривать все возможные парные комбинации данных полей.

 

Таблица 1

Списки перечисленных категорий SWOT-анализа

Сильные стороны (1..n)

Сильные стороны (1..n)

Сильные стороны (1..n)

Угрозы (1..n)

 

Таблица 2

Матрица SWOT

 

Возможности (1..n)

Угрозы (1..n)

Сильные стороны (1..n)

СИВ

СИУ

Слабые стороны (1..n)

СЛВ

СЛУ

 

Для оценки критерия «Возможности» создаться матрица, которая позиционирует каждую отдельно взятую возможность (таблица 3).

 

Таблица 3

Матрица оценки критерия «Возможности»

 

Сильное влияние

Умеренное влияние

Малое влияние

Высокая вероятность

ВС

ВУ

ВМ

Средняя вероятность

СС

СУ

СМ

Малая вероятность

МС

МУ

ММ

 

Таким же образом создается матрица для оценки угроз (таблица 4).

 

Таблица 4

Матрица оценки критерия «Угрозы»

 

Критические угрозы

Умеренные угрозы

Незначительные угрозы

Высокая вероятность

ВК

ВУ

ВН

Средняя вероятность

СК

СУ

СН

Малая вероятность

МК

МУ

МН

 

В данном SWOT-анализе сильные и слабые стороны являются внутренними факторами оцениваемой предметной области или объекта, а возможности и угрозы- внешними.

Пример для подсистемы инженерного оборудования АСУЗ:

 

Сильные стороны:

Использование многими датчиками и исполнительными механизмами инженерных систем собственных протоколов обменами данных, затрудняющий снятие информации с каналов передачи данных до них.

Возможности:

Организация закрытого защищенного сегмента сети передачи данных для нужд систем «Умного дома» в общей СПД здания.

Слабые стороны:

Наличие ограничений по использованию стандартов передачи данных некоторых датчиков, исключающих использование методов криптографической и иной защиты информации;

Угрозы:

Риск целенаправленной атаки злоумышленников для выведения из строя различных инженерных систем в составе «Умного дома»;

 

 

Возможности

Угрозы

Сильные стороны

Построение инженерных систем «Умного дома» с использованием политик резервирования сетей передачи данных и критически важного оборудования, организации отдельного закрытого сегмента СПД для нужд «Умного дома».

Построение инженерных систем «Умного дома» с использованием политик резервирования сетей передачи данных и критически важного оборудования, использование для нужд «Умного дома» криптографического оборудования, позволит в значительной мере избавиться от угроз ИБ.

Слабые стороны

Создание отдельного закрытого сегмента СПД для систем «Умного дома» даст возможность отказаться от отдельной шифрации траффика между устройствами, и снизит риски заражении вредоносным ПО контроллера, снимет проблему ограничений по использованию стандартов передачи данных датчиков.

Недостаточная обученность пользователей систем «Умного дома» в аспектах эффективного использования и информационной безопасности, отсутствие отдельного закрытого сегмента СПД и средств защиты информации между устройствами инженерных систем «Умного дома».

 

Аналогично составим матрицу для оценки угроз.

 

Критические угрозы

Умеренные угрозы

Незначительные угрозы

Высокая вероятность

 

 

Нарушение норм эксплуатации со стороны администратора, пользователя или персонала.

Средняя вероятность

Риск целенаправленной атаки злоумышленников для выведения из строя различных инженерных систем в составе «Умного дома».

 

 

Малая вероятность

Риск поломки оборудования, грозящий снижению КПД используемой информации и неработоспособностью отдельных подсистем «Умного дома»

 

 

 

Для получения полной картины угроз ИБ для различных категорий АСУЗ выполняться матрицыSWOT-анализа для всех подсистем.

Однако, для дальнейшей работы с результатами SWOT-анализа необходимо детерминировать полученные результаты. В данном случае разумно использовать метод Асселя, с использованием бальной оценки.

Так, сильным и слабым сторонам присваивается оценка Ai по шкале от 0 до 5 (максимальному баллу соответствует наиболее значительное влияние фактора). Для оценки факторов используются два параметра:

          вероятность достижения события рj по шкале от 0 до 1, где единице соответствует максимальная вероятность;

          значимость фактора Кj, характеризующая степень влияния фактора на информационную безопасность по шкале от 0 до 5, где максимальным баллам соответствует максимальная степень влияния.

Затем формируется матрица оценок на основе SWOT-матрицы, такая же, как и в таблице 2.

Далее важно увязать факторы внешней и внутренней среды.

Для каждой пары факторов вводится балльная оценка их взаимодействия aij, (от -1 до 1): при прямой (обратной) зависимости оценка положительная (отрицательная) и чем сильнее зависимость, тем выше оценка по модулю.

Оценки формируют комплексные параметры Aij:

Аij = Ai * Kj * pj * aij, где Ai — бальная оценка сильной (слабой) категории предметной области;

Kj — степень влияния возможности или угрозы;

pj — вероятность проявления фактора внешней среды;

a,j — степень взаимодействия факторов парного анализа.

Исходя из полученной матрицы, можно будет в комплексе с другими полученными ранее значениями оценивать факторы, влияющие на информационную безопасность систем АСУЗ, и в соответствии с их значениями выстраивать эффективное противодействие угрозам.

 

Литература:

 

  1. Литвак Б. Г. Экспертные оценки принятия решений. — М.: Патентн, 1996.
  2. Домарев В. В. Безопасность информационных технологий. Системный подход. К.: ООО «ТИД ДС», 2004. — 992 с.
  3. Герасименко В. А. Основы защиты информации. М.: Изд-во МИФИ, 1997. — 537 с.
Основные термины (генерируются автоматически): угроза, дом, информационная безопасность, сторона, SWOT, система, возможность, высокая вероятность, малая вероятность, отдельный закрытый сегмент.


Похожие статьи

Совместное использование технологий информационного моделирования зданий и геоинформационных систем в городском планировании

В статье рассмотрены перспективы внедрения и развития технологий компьютерного моделирования зданий, их экологических и эксплуатационных свойств в городской среде с использованием ГИС. Описывается государственная поддержка развития и внедрения BIM-те...

Методика анализа влияния типов дефектов на характеристики качества аппаратно-программных комплексов на стадии эксплуатации и особенности ее изучения

В настоящей работе приведен подход к проведению анализа влияния типов дефектов на характеристики качества аппаратно-программных комплексов на стадии эксплуатации, на примере метрики «Коэффициент готовности».

Подсистема анализа и визуализации в составе автоматизированной системы контроля технологических параметров производства резиновых смесей на ОАО «Волтайр-Пром»

В статье рассматриваются вопросы снижения уровня брака в шинной промышленности, за счет внедрения подсистемы анализа и визуализации в состав автоматизированной системы контроля технологических параметров производства резиновых смесей. Показана архите...

Применение мобильной робототехники при тушении пожаров

В статье рассмотрены методы геоинформационного моделирования тушения пожаров, методы дистанционного зондирования, а также оптические и оптико-электронные методы проработки и повышения информативности космических снимков. Проведенный анализ основных с...

Анализ методов оценки параметров канала передачи в системах с технологией OFDM-MIMO

В статье проведен анализ различных моделей каналов связи в системах доступа четвертого поколения. Изучены методы оценки каналов в системах связи с использованием технологии OFDM-MIMO. Представлено краткое описание данных технологий [1].

Ресурсно-компетентностный подход в стратегическом анализе внешней среды организаций торговли

Автором статьи рассмотрены актуальные вопросы стратегического анализа внешней среды организаций торговли. Предложен алгоритм стратегического анализа внешней среды организации торговли, включающий ресурсно-компетентностный подход. Сформулированы метод...

Применение информационных технологий для реализации методики анализа эколого-экономической эффективности природоохранной деятельности

Обоснована целесообразность использование современных информационных технологий для реализации методики оценки экологических проблем. Определены требования к разрабатываемому программному продукту, описаны современных веб-технологии для реализации пр...

Методический подход к оценке надежности аппаратуры системы управления летательных аппаратов с учетом формирования потока неисправностей с использованием рекуррентного алгоритма

Настоящая статья посвящена созданию универсальной методике оценки надежности на основе применения метода статистических испытаний математической модели надежности аппаратуры СУ, отображающей реальную систему управления, в основу которого положен расч...

Формирование облика навигационной системы для подвижного наземного объекта

Рассматривается формирование облика навигационной системы подвижного наземного объекта, предлагается состав системы с описанием его элементов. В качестве алгоритма обработки информации предлагается использование алгоритма обработки информации позволя...

Оптимизация системы управленческого учета в ремонтно-строительных организациях: методы и инструменты

В статье рассматриваются современные методы и инструменты управленческого учета, которые могут быть применены в ремонтно-строительных организациях. Особое внимание уделяется вопросам автоматизации учетных процессов и интеграции информационных систем ...

Похожие статьи

Совместное использование технологий информационного моделирования зданий и геоинформационных систем в городском планировании

В статье рассмотрены перспективы внедрения и развития технологий компьютерного моделирования зданий, их экологических и эксплуатационных свойств в городской среде с использованием ГИС. Описывается государственная поддержка развития и внедрения BIM-те...

Методика анализа влияния типов дефектов на характеристики качества аппаратно-программных комплексов на стадии эксплуатации и особенности ее изучения

В настоящей работе приведен подход к проведению анализа влияния типов дефектов на характеристики качества аппаратно-программных комплексов на стадии эксплуатации, на примере метрики «Коэффициент готовности».

Подсистема анализа и визуализации в составе автоматизированной системы контроля технологических параметров производства резиновых смесей на ОАО «Волтайр-Пром»

В статье рассматриваются вопросы снижения уровня брака в шинной промышленности, за счет внедрения подсистемы анализа и визуализации в состав автоматизированной системы контроля технологических параметров производства резиновых смесей. Показана архите...

Применение мобильной робототехники при тушении пожаров

В статье рассмотрены методы геоинформационного моделирования тушения пожаров, методы дистанционного зондирования, а также оптические и оптико-электронные методы проработки и повышения информативности космических снимков. Проведенный анализ основных с...

Анализ методов оценки параметров канала передачи в системах с технологией OFDM-MIMO

В статье проведен анализ различных моделей каналов связи в системах доступа четвертого поколения. Изучены методы оценки каналов в системах связи с использованием технологии OFDM-MIMO. Представлено краткое описание данных технологий [1].

Ресурсно-компетентностный подход в стратегическом анализе внешней среды организаций торговли

Автором статьи рассмотрены актуальные вопросы стратегического анализа внешней среды организаций торговли. Предложен алгоритм стратегического анализа внешней среды организации торговли, включающий ресурсно-компетентностный подход. Сформулированы метод...

Применение информационных технологий для реализации методики анализа эколого-экономической эффективности природоохранной деятельности

Обоснована целесообразность использование современных информационных технологий для реализации методики оценки экологических проблем. Определены требования к разрабатываемому программному продукту, описаны современных веб-технологии для реализации пр...

Методический подход к оценке надежности аппаратуры системы управления летательных аппаратов с учетом формирования потока неисправностей с использованием рекуррентного алгоритма

Настоящая статья посвящена созданию универсальной методике оценки надежности на основе применения метода статистических испытаний математической модели надежности аппаратуры СУ, отображающей реальную систему управления, в основу которого положен расч...

Формирование облика навигационной системы для подвижного наземного объекта

Рассматривается формирование облика навигационной системы подвижного наземного объекта, предлагается состав системы с описанием его элементов. В качестве алгоритма обработки информации предлагается использование алгоритма обработки информации позволя...

Оптимизация системы управленческого учета в ремонтно-строительных организациях: методы и инструменты

В статье рассматриваются современные методы и инструменты управленческого учета, которые могут быть применены в ремонтно-строительных организациях. Особое внимание уделяется вопросам автоматизации учетных процессов и интеграции информационных систем ...

Задать вопрос