SCI Библиотека

Показана необходимость контролировать отдельные элементы, входящие в состав архивов. Приведены конкретные примеры, показывающие актуальность проблемы.

Рассмотрены методы контроля и разграничения прав доступа к статичным и к создаваемым файлам - к типам файлов по их расширениям. На примерах проиллюстрированы их возможности, многообразие которых обусловливается многообразием типов файлов, обрабатываемых в современных информационных системах. Сформулировано ключевое требование к корректности реализации контроля доступа к типам файлов по их расширениям. Рассмотрены запатентованные, реализованные и апробированные при построении коммерческой системы защиты информации, сертифицированной ФСТЭК России, технические решения. Проиллюстрирована универсальность подхода к построению разграничительной политики доступа, заключающегося в том, что правила доступа должны не назначаться объектам в качестве их атрибутов, а присваиваться субъектам в качестве их прав доступа к объектам.

Рассмотрено системное программное обеспечение нового поколения UEFI BIOS. Помимо функций, призванных повысить удобство эксплуатации компьютерных платформ, UEFI привносит ряд проблем безопасности, обусловленных архитектурными отличиями от “традиционного” BIOS. Проведен краткий анализ возможных угроз информационной безопасности архитектуры UEFI BIOS. Определен круг проблем, которые должны быть разрешены до начала использования этой архитектуры без ограничений.

Исследованы вопросы корректности реализации сессионного контроля доступа, важнейшего современного механизма защиты, используемого для защиты от хищений (утечки) конфиденциальной информации, за счет формирования и разделения сессий - режимов обработки информации различных уровней конфиденциальности. Сделан обоснованный вывод о недопустимости включения в разграничительную политику доступа сессии в качестве субъекта доступа, что позволяет пользователям работать в различных сессиях под одной учетной записью, поскольку подобная реализация метода сессионного контроля доступа потенциально опасна. Рассмотрен метод сессионного контроля доступа с заданием сессий учетными записями, реализуемого на основе предложенного метода контроля доступа к создаваемым файлам. Рассмотренное техническое решение апробировано и запатентовано. Оно отличается не только предельной простотой администрирования, так как метки безопасности при создании разграничительной политики доступа необходимо назначать лишь учетным записям, но и реализацией корректной разграничительной политики доступа в общем случае.

Рассмотрены проблемы, возникающие при реализации разграничения доступа к функциям управления виртуальных сред. Предложены требования к наложенному средству защиты информации, позволяющему избежать ограничений существующих решений.

Изложен подход к аналитическому моделированию характеристики производительности системы защиты информации, в части ее влияния на загрузку вычислительного ресурса, как вероятности (доли времени) пребывания информационной системы в состоянии обработки системой защиты запросов доступа субъектов к объектам на марковской модели с дискретными состояниями и непрерывным временем. Обосновано, что корректная марковская модель должна быть счетной (с бесконечным числом состояний). Рассмотрен подход к преобразованию счетной марковской модели в корректную конечную модель, использование которой принципиально упрощает решаемую задачу моделирования.

В работе предложен алгоритм проверки подлинности исполнительных устройств АСУ ТП, основанный на стандарте HART, который может выступать как основная либо дополнительная мера зашиты от угроз нарушения целостности системы. Рассмотрен принцип работы стандарта HART, приведен теоретический алгоритм, рассмотрены дополнительные технические решения, повышающие его надежность, а также сценарии возможных атак.

Цель исследования: разработка методов оценки рисков информационной безопасности в условиях неопределенности, описание механизма распространения доверия и правдоподобия по графу атак.
Методы исследования: применение техники мягких вычислений, включая комбинирование свидетельств Демпстера-Шефера, интегрирование по неаддитивным мерам.Полученный результат: разработаны методы оценки рисков и методы оценки ожидаемых потерь в случае, когда факторы риска характеризуются высокой неопределенностью и не позволяют с достаточным обоснованием применить объективные, в частности, вероятностные методы оценки. Исходной информацией служат верхняя и нижняя оценки вероятности реализации риска. С использованием методов теории свидетельств Демпстера-Шефера на графе атак строятся меры доверия и правдоподобия. Описан подход, позволяющий построить меры доверия и правдоподобия в пространстве сценариев атак на основе вероятностных оценок типовых событий информационной безопасности. Показано, как ожидаемый ущерб может быть оценен математическим ожиданием ущерба относительно этих мер с использованием интеграла Шоке. Научная новизна: разработан метод распространения доверия по графу атак. Основой метода служит оригинальный подход к оценке логических комбинаций свидетельств, заданных на бинарных фреймах и представленных дизъюнктивными нормальными формами.

В этом году, 27 сентября, прогрессивное человечество будет отмечать 40 лет революционной парадигме, а 3 февраля - 25 лет дефиниции программного обеспечения с открытым исходным кодом (англ.: open source software, OSS, free open source software, FOSS), что позволяет нам подвести некоторые важные итоги, в том числе имеющие актуальный характер для нашей страны. Возьмем на себя смелость утверждать, что мир находится в трансформации от свободной «коммунистической» парадигмы рограммного обеспечения с открытым исходным кодом OSS 1.0 к геополитической прагматичной парадигме программного обеспечения с открытым исходным кодом OSS 2.0. Этому свидетельствуют следующие моменты, как-то: зависимость современных информационных технологий от программного обеспечения с открытым исходным кодом, государственное регулирование тематики, кризис доверия к безопасности программного обеспечения с открытым исходным кодом. В данном обсуждении мы рассмотрим названные особенности программного обеспечения с открытым исходным кодом, затронем новые факторы информационной безопасности и наметим пути дальнейших изысканий.

Беспроводные сети передачи данных порождают угрозы, от которых невозможно защититься традиционными для проводных сетей средствами, поскольку в таком случае невозможно обеспечить эквивалент безопасности проводных сетей в силу физических свойств канала связи. Целью статьи является определение актуальных проблем, существующих при обеспечении информационной безопасности (ИБ) в беспроводных сегментах сетей передачи данных. Для достижения поставленной цели из банка угроз безопасности информации ФСТЭК России осуществлена выборка угроз, потенциально реализуемых в беспроводных сетях. Установлено, что реализация таких угроз может приводить к полному набору нарушений состояния ИБ, а именно: к нарушению конфиденциальности, целостности и доступности информации. Рассмотрены существующие практические способы обеспечения ИБ в беспроводных сегментах сетей. Анализ этих способов указал на присутствующую при радиомонитроинге техническую возможность создания дополнительного рубежа в системе эшелонированной защиты информации. В свою очередь, это обеспечивает потенциал обнаружения уязвимостей и вторжений на канальном уровне сетевого взаимодействия как в локальных сетях предприятий, так и в крупномасштабных сетях общего пользования. В соответствии с целью сгруппированы аспекты построения такого рубежа защиты, связанные с контролем канального уровня сетевого взаимодействия беспроводных устройств, уменьшением размеров частотно-территориальных кластеров и правовым обеспечением. Обзором публикаций выявлен разрыв между существующими подходами к радиомонитроингу и обеспечению ИБ, также обнаружена слабая развитость направления, связанного с исследованиями в области обнаружения и предотвращения беспроводных вторжений. Полученный результат указывает на необходимость пересмотра сложившейся концепции радиомонитроинга и разработки соответствующих организационно-технических мер для его интеграции в систему мероприятий по обеспечению ИБ, что должно помочь решить проблему своевременного обнаружения и предотвращения вторжений в беспроводные сегменты сетей передачи данных, а также выявления уязвимых элементов инфраструктуры этих сетей.