Введена классификация угроз уязвимостей в качестве простейшего элемента информационной безопасности как объекта моделирования, в рамках которой угрозы разделены на угрозы технологических уязвимостей и уязвимостей реализации, создающих угрозы условных технологических уязвимостей. Показано, что в качестве объекта моделирования угроз уязвимостей для последующего моделирования угрозы атаки следует рассматривать именно угрозы уязвимостей реализации, при этом моделирование может проводиться без каких-либо экспертных оценок — исключительно с использованием существующей статистики в отношении параметров безопасности угроз уязвимостей. Обоснована корректность использования для моделирования угроз атак марковских моделей с дискретными состояниями и непрерывным временем, широко применяемых в теории надежности для моделирования систем с отказами и восстановлениями. Вместе с тем, показана необходимость включения в модель угрозы уязвимости элементов схемы "гибели и размножения", ввиду возможности возникновения в системе одновременно нескольких однотипных уязвимостей, создающих одну и ту же угрозу атаки, чем задача моделирования принципиально отличается от задачи моделирования в теории надежности. Предложена интерпретация угрозы атаки схемой последовательного резервирования угроз уязвимостей, определяющая подход к моделированию угрозы атаки на информационную систему с использованием построенных моделей массового обслуживания для угроз уязвимостей. Приведен пример количественной оценки актуальности угрозы уязвимости и угрозы атаки, создаваемой одной угрозой уязвимости реализации. Этот пример иллюстрирует возможности предложенного подхода к моделированию. Ключевые слова: информационная система, безопасность, угроза уязвимости, угроза атаки, актуальность угрозы, марковская модель, система массового обслуживания, отказ, восстановление, характеристика безопасности.
