«Автоматизация и информатизация ТЭК»

Способ контроля распространения чувствительных данных в программном обеспечении информационных систем

УДК: 004.056
DOI: -

Авторы:

¹ МИРЭА - Российский технологический университет, Москва, Россия

Ключевые слова: информационный поток, контроль информационных потоков, статический анализ, анализ помеченных данных, шаблон программирования

Аннотация:

В статье описывается основанный на статическом анализе помеченных данных и использовании нового шаблона программирования способ контроля распространения чувствительных данных в программной среде автоматизированной системы в защищенном исполнении. Предложенный способ ориентирован на кросс-платформенные системы, он предполагает реализацию защитных мер на различных этапах жизненного цикла. Основные задачи возлагаются на разработчиков программного обеспечения, которые должны следовать установленным рекомендациям и правилам. В статье также приводится пример реализации нового шаблона программирования "одноразовое хранилище" на языке Java. Важная роль в решении обозначенной проблемы отводится экспертам по анализу программных уязвимостей и недекларированных возможностей, для них в контексте контроля распространения чувствительных данных разработана библиотека запросов на языке CodeQL (Code Query Language), подробно описаны проверяемые с ее помощью свойства, приведены примеры использования. Предложенный способ предоставляет дополнительные гарантии конфиденциальности обрабатываемой в сложной автоматизированной системе информации.

Список литературы:

1. Тимаков А.А. TIFL – универсальный язык описания информационных потоков в программном обеспечении // Автоматизация и информатизация ТЭК. – 2025. – № 2(619). – С. 67–73.
2. Hedin D., Sabelfeld A. A Perspective on Information-Flow Control // Software Safety and Security. Vol. 33. – IOS Press, 2012. – P. 319–347. – DOI: 10.3233/978-1-61499-028-4-319
3. Denning D.E. A lattice model of secure information flow // Communications of the ACM. – 1976. – Vol. 19, Issue 5. – P. 236–243. – DOI: 10.1145/360051.360056
4. Volpano D., Smith G.S., Irvine C. A Sound Type System for Secure Flow Analysis // J. of Computer Security. – 1996. – Vol. 4, Issue 2-3. – С. 167–187. – DOI: 10.3233/JCS-1996-42-304
5. Youn Dongjun, Lee Sungho, Ryu Sukyoung. Declarative static analysis for multilingual programs using CodeQL // Software: Practice and Experience. – 2023. – Vol. 53, Issue 7. – P. 1472–1495. – DOI: 10.1002/spe.3199
6. Половинко В. Кибербезопасность объектов ТЭК в 2023 году. – URL: https://www.itsec.ru/articles/kiberbezopasnost-obektov-tek-v-2023-godu
7. ГОСТ Р 53113.1-2008. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. – Введ. 2009–10–01. – М.: Стандартинформ, 2009. – IV, 8 с.
8. URL: https://gitlab.fwkrr.ru/Freewalkr/vkr-dataflow-control