Санкт-Петербург

Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
13 
– Шаг 4. Проведение анализа последствий реализации выявленных угроз; 
– Шаг 5. Описание рисков, превышающих допустимый уровень; 
– Шаг 6. Оценка рисков; 
– Шаг 7. Определение возможных методов защиты и возврат к шагу 3. 
Подход обеспечивает непрерывную оценку надежности и безопасности системы, 
поскольку цикл повторяется после возврата на шаг 3. В то же время шаги 1 и 2 выполняются 
лишь однажды, и возврат к ним невозможен. Подход рассматривает систему только на этапе 
ее эксплуатации, и при его применении будут рассматриваться одни и те же технологические 
процессы, определенные на шаге 1. 
Один из подходов, направленных на интеграцию, представлен в работе [3], где его 
применение проиллюстрировано на примере умных зданий. Подход охватывает этапы 
проектирования системы и базируется на стандартах IEC 61508 и IEC 15408. Схема 
применения подхода показана на рисунке. 
Рисунок. Схема применения подхода 
Жизненный цикл системы начинается с определения физического расположения и 
сферы действия системы. После определения угроз, для надежности, вырабатываются 
требования. Затем происходит определение угроз безопасности, и вырабатываются 
требования по безопасности. Затем происходит разрешение возможных конфликтов между 
требованиями к безопасности и надежности, поскольку требования в одной сфере могут 
приводить к уязвимости в другой. После того, как конфликты разрешены, формируются 
общие требования. На следующем шаге происходит реализация требований и фаза, 
охватывающая проектирование системы, заканчивается. Далее происходит ввод в 
эксплуатацию, а затем собственно эксплуатация. Данный подход позволяет учитывать 
требования для надежности и безопасности уже на этапе проектирования, однако, как видно 
на рисунке, во время эксплуатации системы подход не задействуется. 
Методы, основанные на модели, могут использовать как графические, так и 
неграфические модели. Методы, использующие графические модели, могут быть построены 
на основе деревьев отказов/атак, диаграмм состояний и т.д. 
Метод, использующий расширенную версию дерева отказов, описан в работе [4]. 
Применение метода в этой работе показано на примере современной европейской системы 
автоматизированного управления движением железнодорожного транспорта (ERTMS). В 
стандартное дерево отказов включен «модуль безопасности», который содержит угрозы 
информационной безопасности. Этот подход наглядно иллюстрирует, что угрозы 

Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
14 
безопасности напрямую влияют на надежность системы в целом. Этот подход учитывает 
события, связанные с отказом и ошибок компонентов системы или атак на эти компоненты. 
Однако этот подход не берет во внимание события надежности и безопасности, 
возникающие вследствие некорректного взаимодействия этих элементов. 
В работе [5] показан подход (state/event fault trees (SEFTs)), использующий деревья 
отказов и диаграммы состояний для моделирования определенных состояний системы и 
поведения, приводящего к ошибкам. Временные зависимости между компонентами 
демонстрируются с помощью диаграммы состояний: события, вызывающие изменения 
состояния могут быть детерминированы или случайны. Временные взаимосвязи между 
событиями и моделируемыми состояниями показываются с помощью диаграммы состояний, 
в то время как связь компонентов отражается с помощью стандартного дерева отказов. Атаки 
изображаются как компоненты схемы, а этапы атаки – как субкомпоненты. Каждый этап 
атаки может быть изображен с помощью диаграммы состояний. В работе авторы 
проиллюстрировали свой подход применительно к системе контроля давления в 
автомобильных шинах, где изучили эффект компьютерных атак на элементы системы, 
обеспечивающие ее надежность. Этот метод, как и предыдущий, использует расширенную 
версию дерева отказов, но учитывает и состояние компонентов, и то, как происходит их 
взаимодействие. 
В качестве примера неграфического метода может быть приведен подход STPA-sec, 
описанный в работе [6]. Данный подход основывается на методе STPA, который 
используется для оценки надежности систем. В основе метода лежит концепция STAMP, 
которая рассматривает систему как иерархическую структуру, в которой высокие уровни 
контролируют низкоуровневые процессы, а те, в свою очередь, подотчетны верхним 
уровням. Этот подход фокусируется на управляющих воздействиях. Каждое воздействие 
изучается в разных возможных условиях (например, корректное воздействие было 
оказано слишком рано или слишком поздно, или некорректное воздействие было оказано 
вовремя), и определяется, какие условия могут привести к опасному состоянию системы. 
После определения опасных состояний разрабатываются ограничения системы, 
направленные на избегание подобных состояний. Работа STPA-Sec построена также. Но 
после проведения анализа определяются управляющие воздействия, которые нарушают и 
надежность, и безопасность системы. Так как этот подход рассматривает систему с точки 
зрения контроля и управляющих воздействий, он не берет в расчет компонентный состав 
системы, а значит, надежность системы будет рассчитана только исходя из оценки 
адекватности контроля и своевременности оказания управляющих воздействий. 
Необходимость применения методов совместной оценки надежности и безопасности 
вызвана, прежде всего, тем, что без учета проблем безопасности системы адекватная 
оценка ее надежности невозможна. Рассмотренные процессно-ориентированные методы 
позволяют обеспечить надежность и безопасность системы на этапах проектирования и 
эксплуатации, однако их применение осложнено тем, что ни один из них не охватывает 
оба эти этапа жизненного цикла системы. Для обеспечения надежности и безопасности 
системы на всех этапах может быть осуществлено совместное применение этих методов. 
Методы, построенные на модели, рассмотренные в данной работе, не зависят от этапов 
жизненного цикла системы и могут применяться на любом из них для получения 
актуальных данных о состоянии надежности и безопасности. Графические методы, 
использующие расширенную версию дерева отказов, подходят для оценки надежности и 
безопасности компонентного состава системы, так как рассматривают ее исходя из 
состояния компонентов и их взаимодействия. Для того чтобы учесть риски, не связанные 
с компонентным составом системы, в дополнение к этим методам может быть применен 
подход STPA-Sec, который направлен на выявление небезопасных и ненадежных 
управляющих воздействий. 

Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
15 
Таким образом, существующие методы совместной оценки безопасности и 
надежности не позволяют осуществить комплексную оценку состояния системы, но их 
совместное применение дает возможность получить данные о состоянии всех ее 
элементов на всех этапах ее жизни. Отдельной задачей является построение методов 
учета подсистем информационной безопасности и их влияния на надежность работы 
компонентов. 

Download 10,56 Mb.

Do'stlaringiz bilan baham: