Assessing the resilience of critical information infrastructures to information security threats
Andrey E. Krasnov, Alexander A. Mosolov, Nataliya A. Feoktistova
Abstract
Цель настоящей статьи заключается в описании методологии комплексного оценивания уязвимости критической информационной инфраструктуры (КИИ) и ее критических элементов на опасных производственных объектах, в том числе на объектах топливно-энергетического комплекса. К элементам КИИ на таких предприятиях в первую очередь следует отнести автоматизированные системы управления технологическими процессами. От нормального функционирования КИИ зависит бесперебойная работа сложных производственно-технологических процессов на критических элементах. Поэтому оценка уязвимостей в системе информационной безопасности, а также исследование стабильности системы безопасности объекта в целом позволит принять превентивные меры в отношении различного вида угроз. В рамках исследования применялись методы системного анализа (декомпозиция и синтез): при оценивании устойчивости информационной системы в целом ее иерархическая структура рассмотрена на примере графа с возможными структурными связями компонентов (активов) системы. Рассмотрены четыре вида отношений активов – полная независимость, слабая зависимость, сильная зависимость, обратная связь. Оценивание устойчивости системы в целом основано на вычислении устойчивости ее парных активов и информационной технологии рекуррентного пересчета при подключении новых компонентов. Метод имитационного моделирования применен для моделирования влияния рисков информационной безопасности на КИИ в условиях неполных и неоднозначных данных об их составляющих, логико-вероятностные методы – для оценки влияния рисков как на составляющие (активы) информационной системы, так и систему в целом с учетом иерархической связи этих активов. Для оценивания влияния базовой угрозы «технического воздействия» (информационной безопасности и системы физической защиты) на риски системы безопасности производственных объектов использовался метод Монте-Карло. Проведение мероприятий по оценке устойчивости информационных систем и стабильности систем безопасности ориентировано на критически важные объекты в медицине, образовании, промышленности, структурах государственного управления.