Знайомство з головними аспектами оцінювання безпеки інформаційно-керуючих систем, які використовують програмовну логіку як об’єкт реалізацій основних функцій. Загальна характеристика існуючих підходів до оцінювання безпеки з використанням кейсів.
Аннотация к работе
Робота присвячена аспектам оцінювання безпеки інформаційно-керуючих систем, які використовують програмовну логіку як обєкт реалізацій основних функцій. Вона включає в себе нотацію, кейс-модель (покращений кейс запевнення інформаційної безпеки), яка заснована на представленій нотації, та кейс-технологію, в якості якої подається набір інструментів, послідовність дій і результат, представлений в формалізованому та доказовому вигляді. Використання програмовної логіки (ПЛ), наприклад, у системах, важливих для безпеки, спричиняє певні ризики для забезпечення функціональної безпеки, як основної властивості таких систем, а також для інформаційної та кібербезпеки як підлеглих властивостей. Таким чином, розрив (gap) визначається як набір невідповідностей одиничного процесу (який може містити підлеглі суб-процеси в свою чергу) в рамках життєвого циклу ІКС, який може ввести аномалії (anomalies) в продукт (систему на ПЛ). (X)ME(Y)A є узагальненням FMEA, де у якості X може бути Концепт (Concept), Дизайн (Design), Відмова (Failure), Вторгнення (Intrusion), Процес (Process), Продукт (Product), Програмне забезпечення (Software) та Система (System) та у якості Y може бути критичність (Criticality) та Діагностування (Diagnostic).Проблема оцінювання і запевнення в безпеці ІКС на ПЛ, як і раніше, кидає виклик експертній спільноті в тому, що системи такого роду складаються зі складного взаємозвязку компонентів з різною функціональністю та природою (наприклад, аналогові, цифрові); більшість ІКС критичного застосування реалізовані на основі ПЛ, що призводить до неможливості отримати обєктивні результати оцінки безпеки без урахування особливостей гетерогенності проектів з використанням даної технології.
Вывод
Проблема оцінювання і запевнення в безпеці ІКС на ПЛ, як і раніше, кидає виклик експертній спільноті в тому, що системи такого роду складаються зі складного взаємозвязку компонентів з різною функціональністю та природою (наприклад, аналогові, цифрові); більшість ІКС критичного застосування реалізовані на основі ПЛ, що призводить до неможливості отримати обєктивні результати оцінки безпеки без урахування особливостей гетерогенності проектів з використанням даної технології.
У статті наведено результати удосконалення таксономії оцінювання безпеки систем на програмовній логіці, яка базується на високорівневих концепціях інформаційної безпеки та їх взаємовідносинах, яка, на відміну від існуючої, включає в себе наступні елементи: концепцію оцінювання кібербезпеки за допомогою покращеного кейса запевнення інформаційної безпеки, особливості життєвого циклу розробки та оцінювання безпеки систем на програмовній логіці з урахуванням технології ПЛ, спільне використання аналізу розривів процесу проведення аналізу кібербезпеки сумісно з аналізом видів, ефектів та критичності вторгнень у системи на програмованій логіці, що сумісно дозволяє підвищити достовірність оцінювання. Сумісне використання аналізу розривів з аналізом видів, ефектів та критичності вторгнень може бути застосовано у різних аспектах забезпечення безпеки ІКС на ПЛ, оскільки розглядається провесно-продуктна модель для виявлення всіх розбіжностей в процесах оцінювання та забезпечення безпеки, які можуть призвести до аномалій кінцевого продукту, тобто ІКС на ПЛ.
У якості напрямів подальшого розвитку потрібно зазначити детальний розвиток метрик глибини деталізації та чіткості формулювання вимог, які дозволять робити кількісне оцінювання безпеки, та необхідність урахування всіх особливостей ІКС на ПЛ, починаючи з життєвого циклу розробки, верифікації, оцінювання безпеки та закінчуючи аспектами утилізації систем такого роду
Список литературы
1.Потій О.В. Формальний опис процесу оцінювання гарантій інформаційної безпеки / О.В. Потій, Д.С. Комін // Вісник Академії митної служби України. Серія: “Технічні науки”. - 2011. - №2 (46). - C. 35-45.
2.ISO/IEC 15408-1:2009 Informational technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model (Інформаційна технологія. Техніки інформаційної безпеки. Оцінка критеріїв захищеності IT. Частина 1: Вступ та загальна модель).
3.ISO/IEC 15408-3:2008 Informational technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance components (Інформаційна технологія. Техніки інформаційної безпеки. Оцінка критеріїв захищеності IT. Частина 1: Компоненти запевнення інформаційної безпеки).
4.НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в компютерних системах від несанкціонованого доступу. - Чинний від 28 квітня 1999 р. - Київ: ДСТСЗІ СБ України, 1999. - 60 с.
5.Bishop P.G. A Methodology for Safety Case Development / P.G. Bishop, R.E. Bloomfield // Redmill, F., Anderson, T. (eds.) Industrial Perspectives of Safety-critical Systems: Proceedings of the Sixth Safety-Critical Systems Symposium. Birmingham. Springer, London - 1998. - P. 194-203.
6.SESAMO|Security and Safety Modelling [Електронний ресурс]. - Режим доступу до ресурсу: http://sesamo- project.eu.
7.Illiashenko O. Advanced Security Assurance Case Based on ISO/IEC 15408 / O.Illiashenko, O. Potii, D. Komin // Advances in Intelligent Systems and Computing. - 2015. - P. 391-401. https://doi.org/10.1007/978-3-319-19216-1_37.
8.ISO/IEC 15026-2:2011 Systems and software engineering - Systems and software assurance Part 2: Assurance case (Інженерія систем та програмного забезпечення. Запевнення систем та програмного забезпечення. Частина 2: Кейс запевнення).
9.Illiashenko O.A. Cybersecurity Case for FPGA-Based NPP Instrumentation and Control Systems / O.A. Illiashenko, Y.V. Broshevan, V.S. Kharchenko // 24th International Conference on Nuclear Engineering - 2016. - Volume 5: Student Paper Competition. ASME. 2016. -10 p. https://doi.org/10.1115/ICONE24-604.
10.Security of Safety Important I&C Systems, Nuclear Power Plant Instrumentation and Control Systems for Safety and Security: monography / Eds. M. Yastrebenetsky, V. Kharchenko. - IGI Global., 2014 -470 p. https://doi.org/10.4018/978-1- 4666-5133-3.
11.Bloomfield R. Security-Informed Safety: If Its Not Secure, Its Not Safe / R. Bloomfield, K. Netkachova, R. Stroud // Proceedingsof the 5th International Workshop SERENE 2013. Lecture Notes in Computer Science. - Springer-Verlag Berlin Heidelberg, 2013. - P. 17-32.