References

moitvivt

Моделирование, оптимизация и информационные технологии

Modeling, Optimization and Information Technology

2310-6018

Издательство

10.26102/2310-6018/2025.49.2.013

1870

Метод количественной оценки опасности реализации угроз безопасности информации объектов критической информационной инфраструктуры потенциальными нарушителями

A method for quantifying the danger of implementing threats to the information security of objects of critical information infrastructure by potential violators

0000-0002-7223-8670

Чернов

Денис Владимирович

Chernov

Denis Vladimirovich

cherncib@gmail.com aff-1

Тульский государственный университет Tula State University

01 01 2026

1 1

10.26102/2310-6018/2025.49.2.013

2026

This work is licensed under a Creative Commons Attribution 4.0 International License

В условиях нарастающей информатизации различных производственных сфер, когда большинство технологических процессов и информационных потоков автоматизируются и управляются средствами вычислительной техники, выбор мер по обеспечению безопасности информации (БИ) объектов критической информационной инфраструктуры (ОКИИ) становится актуальной проблемой. В статье рассматриваются существующие методы и подходы к оценке опасности реализации угроз БИ ОКИИ, к которым относятся автоматизированные системы управления технологическими процессами, информационные системы и информационно-телекоммуникационные сети. Указанные подходы помогают специалистам в области БИ оценить риски, связанные с возможными кибератаками и утечками данных. Предложен метод количественной оценки степени опасности реализации угроз БИ, основанный на интеллектуальном анализе данных, хранящихся в подсистеме журналирования ОКИИ. Метод позволяет количественно оценить степень опасность реализации угроз БИ потенциальными нарушителями применительно к конкретному ОКИИ. Разработанный метод дополняет располагаемые оценки специалистов в области БИ путем формирования экспертных оценок со стороны дополнительно привлекаемых специалистов – профессионалов в области технологических процессов и информационных потоков КИИ. Результаты исследования рекомендованы для использования при моделировании угроз БИ и разработке требований к средствам защиты информации в ОКИИ.

In the context of increasing informatization of various production areas, when most technological processes and information flows are automated and controlled by computer technology, the choice of measures to ensure the security of information (SI) of critical information infrastructure objects (CIIO) becomes a pressing issue. The article discusses existing methods and approaches to assessing the risk of implementing SI threats to CIIO, which include automated process control systems, information systems, and information and telecommunication networks. These approaches help SI specialists assess the risks associated with possible cyberattacks and data leaks. A method is proposed for quantitatively assessing the degree of danger of implementing SI threats based on the intelligent analysis of data stored in the CIIO logging subsystem. The method allows for a quantitative assessment of the degree of danger of implementing SI threats by potential violators with respect to a specific CIIO. The developed method complements the available assessments of SI specialists by forming expert assessments from additionally involved specialists - professionals in the field of technological processes and information flows of CIIO. The results of the study are recommended for use in modeling SI threats and developing requirements for information security tools in the CIIO.

информационная безопасность критическая информационная инфраструктура автоматизированная система управления технологический процесс угроза нарушитель потенциал опасность реализации угроз риск ущерб

information security critical information infrastructure automated control system technological process threat violator potential danger of threat realization risk damage

Исследование выполнено без спонсорской поддержки.

The study was performed without external funding.

References 1

Павлихина А.Н. Простое решение для сложных инфраструктур От чего и как защищать предприятия нефтегазового сектора России? Деловой журнал Neftegaz.RU. 2024;(8):20–25.

Пашков Н.Н., Дрозд В.Г. Анализ рисков информационной безопасности и оценка эффективности систем защиты информации на предприятии. Современные научные исследования и инновации. 2020;(1). URL: https://web.snauka.ru/issues/2020/01/90380

Одаховская Д.А., Пятков С.В., Черных М.А. Информационные риски: анализ и расчеты. Прикладные экономические исследования. 2024;(2):242–247.

Chernov D., Sychugov A., Sovgir A. Applying a System of Automatic Threat Modeling for APCs at Information Infrastructure Facilities. In: Advances in Automation IV: Proceedings of the International Russian Automation Conference, RusAutoCon2022, 04–10 September 2022, Sochi, Russia. Cham: Springer; 2023. P. 374–385. https://doi.org/10.1007/978-3-031-22311-2_36

Дойникова Е.В., Чечулин А.А., Котенко И.В. Оценка защищенности компьютерных сетей на основе метрик CVSS. Информационно-управляющие системы. 2017;(6):76–87. https://doi.org/10.15217/issn1684-8853.2017.6.76

Макаренко С.И. Тестирование на проникновение на основе стандарта NIST SP 800–115. Вопросы кибербезопасности. 2022;(3):44–57.

Чернов Д.В. Методики оценки угроз безопасности информации автоматизированных систем управления технологическими процессами. Современная наука: актуальные проблемы теории и практики. Серия: Естественные и технические науки. 2021;(9):81–87. https://doi.org/10.37882/2223-2966.2021.09.25

Костогрызов А.И. О моделях и методах вероятностного анализа защиты информации в стандартизованных процессах системной инженерии. Вопросы кибербезопасности. 2022;(6):71–82.

Суханов А.В. Нечеткие оценки защищенности информационных систем. Информация и космос. 2013;(1):107–110.

Babeshko E., Kharchenko V., Gorbenko A. Applying F(I)MEA-technique for SCADA-Based Industrial Control Systems Dependability Assessment and Ensuring. In: 2008 Third International Conference on Dependability of Computer Systems DepCoS-RELCOMEX, 26–28 June 2008, Szklarska Poreba, Poland. IEEE; 2008. P. 309–315. https://doi.org/10.1109/DepCoS-RELCOMEX.2008.233

The authors declare that there are no conflicts of interest present.