XVIII Международная студенческая научная конференция Студенческий научный форум - 2026

Введение

Современные веб-сервисы обеспечивают высокий уровень удобства, однако одновременно формируют большую угрозу атак для компрометации конфиденциальной информации. Значительная доля инцидентов связана с утечкой данных в процессе взаимодействия пользователя с веб-ресурсами: через уязвимости клиентского ПО, перехват сетевого трафика, методы социальной инженерии и другие [1]. Традиционные методики управления рисками информационной безопасности (ИБ), такие как OCTAVE, CRAMM или RiskWatch, сосредоточены преимущественно на инфраструктурных и организационных аспектах, не учитывая специфику поведенческого и клиентского контекста веб-взаимодействия. При этом ни один из действующих нормативных документов не предлагает формализованной семантической модели, позволяющей систематизировать и классифицировать такие угрозы в единой онтологической структуре.

Онтологический подход, активно развивающийся в рамках стандартов ISO/IEC 27000 и исследований в области кибербезопасности [7, 8], позволяет преодолеть фрагментарность существующих моделей за счёт явного описания понятий, их свойств и логических связей. Однако большинство известных онтологий ИБ (включая CORAS и работы на основе Common Criteria) ориентированы на общесистемные риски и не специализированы на веб-контексте [4].

Цель исследования

Разработка онтологической модели угроз утечки конфиденциальной информации, специализированной на сценариях взаимодействия пользователя с веб-ресурсами в условиях цифровой экономики, где персональные данные рассматриваются как защищаемый экономический актив.

Материал и методы исследования

Исследование базируется на анализе нормативно-правовой базы (Федеральный закон № 152-ФЗ «О персональных данных» [1], ГОСТ Р 59547-2021 [2], Методика оценки угроз безопасности информации ФСТЭК от 5 февраля 2021 г. [3]), а также технических векторов утечки по классификации OWASP Top 10:2021 [5] и MITRE ATT&CK [6]. Методология онтологического инжиниринга соответствует рекомендациям ISO/IEC 27032:2023. Реализация выполнена на языке OWL 2 в среде Protégé 5.6.7 с использованием логического вывода на основе аксиом.

Результаты исследования и их обсуждение

Современные веб-сервисы формируют среду, в которой пользователь ежедневно оставляет за собой цифровой след - совокупность технических и поведенческих данных, способных идентифицировать личность или предоставить доступ к конфиденциальной информации. Согласно Перечню актуальных угроз безопасности информации ФСТЭК России, именно веб-взаимодействие стало одним из основных каналов реализации угроз, связанных с утечкой персональных данных [4].

Каждое обращение к веб-ресурсу сопровождается формированием HTTP-запроса, содержащего не только запрашиваемый URL, но и служебные заголовки (User-Agent, Accept-Language, Referer) и cookies. Cookies предназначены для поддержания сессии и хранения пользовательских предпочтений, однако при отсутствии флага Secure они передаются по незашифрованному каналу, что создаёт угрозу перехвата [4]. Помимо cookies, современные веб-приложения активно используют локальное хранилище (localStorage и sessionStorage), позволяющее сохранять до нескольких мегабайт данных в браузере. Эти данные не передаются на сервер автоматически, но становятся доступны через JavaScript и могут быть извлечены вредоносным скриптом при наличии уязвимости типа Cross-Site Scripting (XSS) - одной из ключевых угроз по версии OWASP Top 10 (2021) [5].

Предложенная онтологическая модель включает шесть основных классов:

1. «Пользователь» - субъект взаимодействия с веб-ресурсом. Характеризуется: «имеетIP-адрес» (свойство данных), «используетБраузер» (объектное свойство → Браузер), «имеетЦифровойПрофиль» (совокупность поведенческих и технических признаков).

2. «Веб-ресурс» - целевой объект взаимодействия (сайт, API, SPA). Содержит: «используетПротокол» (HTTP/HTTPS), «имеетПолитикуБезопасности» (CSP, CORS), «содержитКонфиденциальнуюИнформацию».

3. «КонфиденциальнаяИнформация» - данные, подлежащие защите в соответствии с Федеральным законом № 152-ФЗ [1] и ГОСТ Р 59547-2021 [2]. Примеры: персональные данные, учётные записи, история сессий браузера - все они в условиях цифровой экономики приобретают экономическую ценность.

4. «Угроза» - потенциальная возможность компрометации конфиденциальной информации. В модели выделены конкретные типы: «Фишинг», «MITM» (Man-in-the-Middle), «XSS» (Cross-Site Scripting), «УтечкаЧерезРасширение».

5. «КаналУтечки» - технический или логический путь передачи конфиденциальной информации злоумышленнику: «Cookies», «LocalStorage», «HTTP-заголовки», «API-запросы».

6. «СценарийАтаки» - последовательность действий нарушителя. Например: «Фишинг → Кража cookies → Подмена сессии».

Между классами установлены объектные свойства: «пользователь_взаимодействует_с» → «Веб-ресурс», «веб-ресурс_содержит» → «КонфиденциальнаяИнформация», «угроза_использует» → «КаналУтечки», «сценарий_реализует» → «Угроза».

Для демонстрации практической применимости реализован сценарий утечки данных через сайт банка по протоколу HTTP:

• Пользователь1 взаимодействует с Веб-ресурсом (СайтБанка);

• СайтБанка содержит КонфиденциальнуюИнформацию (ПДн1: логин, пароль, история транзакций);

• Атака1 (тип: MITM) использует КаналУтечки (HTTP-заголовки).

На рисунке 1 представлен фрагмент онтологической модели, реализованной в среде Protégé.

Рисунок 1 - Фрагмент онтологической модели, реализованной в программе Protégé

Для демонстрации практической применимости разработанной онтологической модели был создан локальный пример, отражающий типичный сценарий утечки конфиденциальной информации при взаимодействии пользователя с сайтом банка. В среде Protégé 5.6.7 были определены следующие экземпляры (individuals):

1. Пользователь1 - экземпляр класса Пользователь, имеющий IP-адрес 192.168.1.105 и использующий браузер Chrome, что представлено на рисунке 2.

Рисунок 2 - Свойства класса «Пользователь» в реализованной онтологической схеме

2. СайтБанка - экземпляр класса Веб-ресурс, использующий протокол HTTP (без шифрования) и содержащий конфиденциальную информацию ПДн1 - рисунок 3.

Рисунок 3 - Свойства класса «Веб-ресурс» в реализованной онтологической схеме

3. ПДн1 - экземпляр класса КонфиденциальнаяИнформация, представляющий персональные данные пользователя (логин, пароль, история транзакций).

4. Атака1 - экземпляр класса Угроза типа MITM (Man-in-the-Middle), использующий канал утечки HTTP-заголовки - рисунок 4.

Рисунок 4 - Свойства класса «Угроза» в реализованной онтологической схеме

5. Сценарий1 - экземпляр класса СценарийАтаки, реализующий последовательность: «Перехват трафика → Извлечение учётных данных → Подмена сессии» - рисунок 5.

Рисунок 5 - Свойства класса «СценарийАтаки» в реализованной онтологической схеме

Между экземплярами установлены следующие связи (объектные свойства):

1. Пользователь1 → пользователь_взаимодействует_с → СайтБанка - рисунок 6.

Рисунок 6 - Объектное свойство 1 в реализованной онтологической схеме

2. СайтБанка → веб-ресурс_содержит → ПДн1

3. Атака1 → угроза_использует → HTTP-заголовки

4. Сценарий1 → сценарий_реализует → Атака1

На рисунке 7 представлен фрагмент рассмотренного примера реализованной модели в Protégé, отображающий описанные экземпляры и их связи.

Рисунок 7 - Локальный пример онтологической модели в Protégé: сценарий MITM-атаки на сайт банка

Предложенная онтология позволяет классифицировать инциденты ИБ на основе их онтологического описания и генерировать SPARQL-запросы для поиска угроз по признакам, например:

SELECT ?угроза ?канал WHERE {

?угроза :используетКанал ?канал .

?канал rdfs:label "API-запросы" .

?угроза :тип "IDOR" .

}

Интеграция с SIEM-системами позволяет передавать структурированные данные о векторах атак и поддерживать принятие решений по выбору мер защиты (например, включение флага «Secure» для cookies, внедрение CSP).

Заключение

Разработана онтологическая модель угроз утечки конфиденциальной информации, специализированная на сценариях взаимодействия пользователя с веб-ресурсами. В отличие от общих подходов к управлению рисками ИБ, предложенная модель учитывает техническую специфику клиентской стороны: cookies, localStorage, HTTP-заголовки, API-запросы.

Модель построена на основе требований Федерального закона № 152-ФЗ «О персональных данных» [1], ГОСТ Р 59547-2021 [2] и Методики ФСТЭК от 5 февраля 2021 г. [3], что обеспечивает её юридическую корректность при практическом применении в системах мониторинга ИБ.

Ключевым отличием от существующих онтологий является введение класса «КаналУтечки» с конкретными экземплярами, что позволяет не просто классифицировать угрозу, но и указывать точный технический путь компрометации. Такой подход особенно важен в условиях цифровой экономики, где каждая утечка персональных данных влечёт экономические потери.

Практическая реализация модели в среде Protégé 5.6.7 подтверждает её техническую осуществимость. Онтология поддерживает генерацию SPARQL-запросов, логический вывод на основе аксиом и интеграцию с современными инструментами анализа безопасности.

Научная новизна работы заключается в специализации онтологического подхода на веб-контексте с учётом экономической ценности персональных данных, а практическая значимость - в возможности использования модели для автоматизированного обнаружения и классификации угроз утечки конфиденциальной информации в реальном времени.

Список литературы

1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в ред. от 08.08.2024) [Электронный ресурс] // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 19.10.2025).

2. ГОСТ Р 59547-2021. Защита информации. Мониторинг информационной безопасности. Общие требования. - Введ. 2022-07-01. - М.: Стандартинформ, 2021. - 24 с.

3. Методика оценки угроз безопасности информации: утв. Федеральной службой по техническому и экспортному контролю 5 февраля 2021 г. - М., 2021. - 83 с.

4. Перечень актуальных угроз безопасности информации [Электронный ресурс] // Официальный сайт Федеральной службы по техническому и экспортному контролю. URL: https://bdu.fstec.ru/threat (дата обращения: 25.10.2025).

5. OWASP Foundation. OWASP Top 10:2021. The Ten Most Critical Web Application Security Risks [Электронныйресурс]. URL: https://owasp.org/www-project-top-ten/ (дата обращения: 25.10.2025).

6. MITRE Corporation. MITRE ATT&CK® Framework. Enterprise Matrix [Электронный ресурс]. URL: https://attack.mitre.org/ (дата обращения: 22.10.2025).

7. Ворожцова Т. Н. Онтология как основа для разработки интеллектуальной системы обеспечения кибербезопасности // Онтология проектирования. - 2014.

8. Бубакар И., Будько М. Б., Будько М. Ю., Гирик А. В. Онтологическое обеспечение управления рисками информационной безопасности // Труды Института системного программирования Российской академии наук. - 2021.

Код для цитирования: Скопировать