<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">trudyniisi</journal-id><journal-title-group><journal-title xml:lang="ru">Труды НИИСИ</journal-title><trans-title-group xml:lang="en"><trans-title>SRISA Proceedings</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2225-7349</issn><issn pub-type="epub">3033-6422</issn><publisher><publisher-name>НИЦ «КУРЧАТОВСКИЙ ИНСТИТУТ» - НИИСИ</publisher-name></publisher></journal-meta><article-meta><article-id custom-type="elpub" pub-id-type="custom">trudyniisi-53</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION SECURITY</subject></subj-group></article-categories><title-group><article-title>Подход к определению типовых угроз безопасности информации для промышленных контроллеров</article-title><trans-title-group xml:lang="en"><trans-title>An Approach to Identifying Information Security Threats Relevant and Specific for a Universal Industrial Controller</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Асонов</surname><given-names>А. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Asonov</surname><given-names>A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Москва</p></bio><bio xml:lang="en"><p>Alexander Asonov</p></bio><email xlink:type="simple">asonow@niisi.ras.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Грюнталь</surname><given-names>А. И.</given-names></name><name name-style="western" xml:lang="en"><surname>Gruntal</surname><given-names>A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Москва</p></bio><bio xml:lang="en"><p>Andrey Gruntal</p></bio><email xlink:type="simple">grntl@niisi.msk.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Родионов</surname><given-names>В. Н.</given-names></name><name name-style="western" xml:lang="en"><surname>Rodionov</surname><given-names>V.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Москва</p></bio><bio xml:lang="en"><p>Victor Rodionov</p></bio><email xlink:type="simple">rodionov@niisi.msk.ru</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff xml:lang="ru" id="aff-1"><institution>ФГУ ФНЦ НИИСИ РАН</institution><country>Russian Federation</country></aff><pub-date pub-type="collection"><year>2023</year></pub-date><pub-date pub-type="epub"><day>21</day><month>10</month><year>2025</year></pub-date><volume>13</volume><issue>4</issue><fpage>5</fpage><lpage>28</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Асонов А.А., Грюнталь А.И., Родионов В.Н., 2025</copyright-statement><copyright-year>2025</copyright-year><copyright-holder xml:lang="ru">Асонов А.А., Грюнталь А.И., Родионов В.Н.</copyright-holder><copyright-holder xml:lang="en">Asonov A., Gruntal A., Rodionov V.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://www.t-niisi.ru/jour/article/view/53">https://www.t-niisi.ru/jour/article/view/53</self-uri><abstract><p>Определение актуальных угроз безопасности информации для некоторого объекта оценки, как правило, должно проводиться по Методике оценки угроз безопасности, утвержденной 5 февраля 2021 года в качестве методического документа ФСТЭК России. В настоящей статье показано, что при условии, когда к основному элементу объекта оценки, например, к ОС (в составе которого реализуются основные механизмы подсистемы защиты информации от несанкционированного доступа) и для которого существует введенный установленным порядком профиль защиты, перечень типовых угроз безопасности также можно получить из анализа данного документа. Сравнение угроз безопасности информации, полученных из профиля защиты операционных систем типа «В» четвертого класса защиты (ИТ.ОС.В4.ПЗ), с перечнем угроз безопасности информации, полученных из Базы данных ФСТЭК России на основе экспертного метода, после оптимизации данного перечня и исключения из него повторных угроз показывает, что оставшиеся из них находятся в определенном соответствии с угрозами из профиля защиты с некоторой детализацией по их реализации.</p></abstract><trans-abstract xml:lang="en"><p>Determining current threats to information security for a certain object of assessment, as a rule, should be carried out according to the Methodology for Assessing Security Threats, approved on February 5, 2021 as a methodological document of the FSTEC of Russia. This article shows that, provided that the main element of the assessment object, e.g., OS, (which implements the main mechanisms of the subsystem for protecting information from unauthorized access) and for which there is a security profile introduced in the established order, the list of typical security threats can also be obtained from the analysis of this document. Comparison of information security threats obtained from the security profile of operating systems of type “B” of the 4th security class, with a list of information security threats obtained from the FSTEC of Russia Database based on the expert method, after optimizing this list and the exclusion of repeated threats from it, shows that the remaining threats are in certain correspondence with the threats from the security profile with some detail on their implementation.</p></trans-abstract><kwd-group xml:lang="ru"><kwd>угроза безопасности информации (УБИ)</kwd><kwd>пользователь УПК</kwd><kwd>АСУ ТП</kwd><kwd>операционная система</kwd></kwd-group><kwd-group xml:lang="en"><kwd>information security threat</kwd><kwd>universal industrial controller</kwd><kwd>automated process control system</kwd><kwd>operating system</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Контроллеры программируемые. Часть 1. Общая информация (IEC 61131-1:2003, IDT). URL: https://docs.cntd.ru/document/1200135007 (дата обращения 13.10.2023).</mixed-citation><mixed-citation xml:lang="en">Контроллеры программируемые. Часть 1. Общая информация (IEC 61131-1:2003, IDT). URL: https://docs.cntd.ru/document/1200135007 (дата обращения 13.10.2023).</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">«Методика оценки угроз безопасности информации». Методический документ ФСТЭК России, утвержден 5 февраля 2021 года. URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g (дата обращения 13.10.2023).</mixed-citation><mixed-citation xml:lang="en">«Методика оценки угроз безопасности информации». Методический документ ФСТЭК России, утвержден 5 февраля 2021 года. URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g (дата обращения 13.10.2023).</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Приказ ФСТЭК России от 9 августа 2018 г. № 138 «О внесении изменений в требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31, и в требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239».</mixed-citation><mixed-citation xml:lang="en">Приказ ФСТЭК России от 9 августа 2018 г. № 138 «О внесении изменений в требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31, и в требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. № 239».</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Приказ ФСТЭК России от 19 августа 2016 г. № 119 «Требования в области технического регулирования к продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации ограниченного доступа (требования безопасности информации к операционным системам)».</mixed-citation><mixed-citation xml:lang="en">Приказ ФСТЭК России от 19 августа 2016 г. № 119 «Требования в области технического регулирования к продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации ограниченного доступа (требования безопасности информации к операционным системам)».</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Методический документ. «Профиль защиты операционных систем типа «В» четвертого класса защиты – ИТ.ОС.В4.ПЗ». https://www.garant.ru/products/ipo/prime/doc/71588736/ (дата обращения 13.10.2023).</mixed-citation><mixed-citation xml:lang="en">Методический документ. «Профиль защиты операционных систем типа «В» четвертого класса защиты – ИТ.ОС.В4.ПЗ». https://www.garant.ru/products/ipo/prime/doc/71588736/ (дата обращения 13.10.2023).</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">«Банк данных угроз безопасности информации ФСТЭК России». URL: https://bdu.fstec.ru (дата обращения 13.10.2023).</mixed-citation><mixed-citation xml:lang="en">«Банк данных угроз безопасности информации ФСТЭК России». URL: https://bdu.fstec.ru (дата обращения 13.10.2023).</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения 13.10.2023).</mixed-citation><mixed-citation xml:lang="en">Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения 13.10.2023).</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации». URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 (дата обращения 13.10.2023).</mixed-citation><mixed-citation xml:lang="en">Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации». URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 (дата обращения 13.10.2023).</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Приказ ФСТЭК России № 76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к технической защиты информации и средствам обеспечения безопасности информационных технологий». URL: https://check-ib.ru/docs/prikaz-fstek-rossii-76-ot-02-06-2020/ (дата обращения 13.10.2023).</mixed-citation><mixed-citation xml:lang="en">Приказ ФСТЭК России № 76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к технической защиты информации и средствам обеспечения безопасности информационных технологий». URL: https://check-ib.ru/docs/prikaz-fstek-rossii-76-ot-02-06-2020/ (дата обращения 13.10.2023).</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
