CC BY
106
УДК 004.056
ФОРМАЛИЗАЦИЯ ПРОЦЕССА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ РЕАЛИЗАЦИИ
ИНСАЙДЕРСКИХ АТАК
Е.А. Максимова, Е.А. Витенбург
Показано, что информационная безопасность на сегодняшний день является неотъемлемой частью как малого и крупного бизнеса, так и всего государства в целом. Защита информации от внешнего злоумышленника важна, однако, не стоит забывать и про внутреннего злоумышленника - инсайдера. С целью предотвращения инсайдерской активности предлагается формализованная модель, принципиально отличающаяся от уже созданных моделей определения и предотвращения инсайдерской активности, с учетом оценки эффективности работы персонала организации.
Ключевые слова: информационная безопасность, инсайдер, формализованная модель, эффективность, эталон.
Информационная безопасность - одна из важнейших компонент, обеспечивающая бесперебойное функционирование информационной системы организации.
Методы обеспечения безопасности, реализуемые в организации или на предприятии, например, такие, как регламентация, побуждение и принуждение персонала к четкому выполнению всех разрешенных прав доступа и др., не всегда эффективны и не позволяют свести к минимуму активность внутреннего злоумышленника в лице инсайдера.
Существуют различные методы определения инсайдерской активности. На сегодняшний день при решении данной проблемы широко применяют так называемые DataLeakPreventюn (DLP) системы [1]. Данная технология позволяет предотвратить утечку конфиденциальной информации из информационной системы. Функционал данных систем разнообразен, однако не позволяет на ранних стадиях определить потенциального злоумышленника, а лишь позволяет минимизировать вероятность утечки конфиденциальной информации. Более того, данные программные комплексы не позволяют оценить степень эффективности работы пользователей. А ведь именно эта оценка может позволить не только сформировать методику работы с персоналом с целью ее оптимизации, но и выявить инсайдера.
Для оценки эффективности работы пользователя вследствие комплексности данной категории необходимы количественные и качественные критерии выполненной работы, а также личностные характеристики пользователя так как именно биологический ритм, поведенческие и психологические особенности оказывают большое влияние на работоспособность сотрудника, а, следовательно, и на степень эффективности его работы.
Вариант модели эффективности работы пользователя в организации представлен вработах [2, 3]. Однако предлагается модель, принципиально отличающаяся от данных. В основе ее - сопоставительный анализ показателей работы пользователя с эталонным значением.
Так как учет всех показателей работы позволит наиболее корректно оценить работу каждого пользователя, то эталонную модель эффективности можно представить в виде следующего кортежа:
Efficiencyref = {L, W™f, Nref, Kref, [Pref> }Tref\ (!)
где L- эталонный показатель личностных характеристик пользователя; щге/_ Время^ установленное руководителем, на выполнение n-м пользователем j-й задачи, j = 1, /V; Nref- установленное количество задач для выполнения n-м пользователем; Кге^п- показатель требуемого качества выполнения j-й задачи n-ым пользователем; Pref - множество выполненных запрещенных действий n-м пользователем; Tref - нормативное время работы 11-го пользователя.
Значение Ln определяется с помощью центра оценки персонала, тестов на профессиональную пригодность, общих тестов способностей, биографических тестов, личностных тестов, интервью, рекомендаций и др. [4,5]. Для 11-го пользователя L имеет вид
^ = Fl(j-l,n> ^2,п> 1з,п> ^4,71' ^5,71> 1б,п)> где L- эталонный показатель личностных характеристик пользователя; 11п- оценка профессиональныхнавыков; 12>п- оценка работоспособности; 13 п- оценка физиологических особенностей; 14п- оценка личностных характеристик; 15 п -оценка результатов использования в своей деятельности рекомендаций руководителя; 16п- оценка влияния внешних факторов на работоспособность пользователя.
Значение показателя И^^устанавливаются руководителем. Возможные единицы измерения - час, день и т.д.
Набор выполненных и невыполненных задач в исследуемый период времени представим в виде массива
Rez = rez[k],
где
_ Г О, если задача не выполнена в исследуемый период времени, — (Д, если задача не выполнена в исследуемый период времени.
Таким образом, функция выполнения j задач, поставленных перед n-м пользователем за установленное время, представлена аддитивной оценкой через функции выполнения n-м пользователем каждой задачи:
/„кео=2>>ке/)' (3)
j
где /п (Ш^) - функция выполнения п-м пользователем )-й задачи. Значения данной функции определяются руководителем или экспертом следующим образом:
(О, если не обязательно выполнение ]-й задачи п-ым пользователем в установленное время, 1, если обязательно выполнение ]-й задачи п-м пользователем в установленное время.
При этом тах[п = У, если пользователь выполнил все зада-
чи в срок. При этом работа п-го пользователя считается эффективной, следовательно, и безопасной, если
Я < Гп Ке/) < У,
где q - минимальное количество задач, который должен выполнить пользователь (задается руководителем).
Показатели требуемогоколичества Ыге^ и качества Кге^ выполненных работ задаются экспертами на основе требований, предъявляемых к каждой должности, сложности и качеству выполняемых задач.
Для определения корректности и легитимности действий пользователя формируетсяэталонная модель. Для этого проводится инвентаризация программных и аппаратных средств автоматизированного рабочего места пользователя. Таким образом определяются исходные состояния средств и перечень ресурсов, необходимых и достаточных для выполнения поставленных руководителем комплекса задач.
Эталонные действия пользователя Рге^ можно описать в виде кортежа:
Ргег = Р2 ({5И0, Ке/}< КЧ VI та где - множество программ, установленных на рабочем ПК п-го пользователя; Б™^ - множество программ, необходимых для работы п-го пользователя; НЖ - множество аппаратных средств, установленных на рабочем
персональном компьютере п-го пользователя; Н™^ - множество аппаратных средств, необходимых для работы п-го пользователя; / - множество информационных ресурсов, необходимых п-му пользователю для работы и создаваемых в ходе работы; Я- множество диалогов по задаче, устанавливается руководителем.
Нормативное время работы пользователя Тге^ установлено законодательством Российской Федерации. В частности, в соответствии с Трудовым Кодексом РФ, данный показатель не может превышать значения 40 (часов в неделю). При этом данный показатель можно представить в виде суммы временных затрат на выполнение каждой задачи, поставленной руководителем:
Tref — Tj — Т™, (4)
где Tj- время, затраченное на выполнение j-й задачи n-м пользователем; ТпК- нормативно установленная длина рабочего дня, недели, месяца п-го пользователя.
Таким образом, фактическая эффективность работы n-го пользователя представима в формализованном виде:
Efficiency tn = {Ln, Wnj, Ntn, Ktn> {Ptn\Tt J, (5)
где Ln- показатель личностных характеристик n-го пользователя. Опреде-ляетсядля каждого пользователя и имеет вид (2); Wnj -фактическое время выполнения n-м пользователем j-й задачи; Nt - количество фактически выполненных задач n-м пользователем; Ktn - показатель качества фактически выполненных задач; Tt - фактическое время, затраченное пользователем на выполнение своих должностных обязанностей; Pt - множество фактических действий пользователя в ходе работы.
Wnj необходим для расчета эффективности работы пользователя. Значение результирующей функции по данному показателю представим в виде (3). При этом количество выполненных работ Nt за выбранный промежуток времени tj подсчитывается исходя из того, сколько задач пользователь выполнил в срок. Тогда фактическая эффективность работы п-го пользователя определяется исходя из следующего условия:
q<Nt< j.
Качество выполненных задач Ktn определяется непосредственной оценкой руководителя действий пользователя по каждой выполненной задаче. Последнее, в свою очередь, можно оценить в соответствии с содержанием журналов безопасности и используемого пользователем оборудования:
Kt = Kt
Ln "J —-L nj,
где Kt . - показатель фактического качества выполнения j-й задачи п-м
7lj
пользователем,
Къ. = AHjn + LbSnj + Sjn + Hnj где AHj71- ранговый показатель качества выполнения j-й задачи n-м пользователем. Определяется руководителем в шкале от 0 до 1; LbSnj- доля событий в журнале безопасности, не признанных инцидентом (ед.); Sjn- доля программного обеспечения, использованного n-ым пользователем без нарушения правил доступа (ед.); Hnj- доля аппаратных средств, использованных n-м пользователем в соответствии с правилами разграничения доступа (ед.).
Расчет суммарного времени, затраченного n-м пользователем на выполнение всех задач:
Т? = теп +
234
где - бесполезное время, в течение которого п-й пользователь работал, как инсайдер, решал иные задачи; Геп- полезное время, в течение которого п-ыйпользователь решал функциональные задачи,
уп _ уп _уп
1 е 1 епсг,- 1 з1аг1т>
где ТпзШг1. - время начала выполнения задачи; Тпепй,- время окончания
выполнения ]-й задачи, определяется на основе содержимого журналов безопасности, где зафиксированы действия пользователя и соответствующее время.
Исходя их вышеизложенного, общее бесполезное время определим по формуле
N
= ^ КО) ;=1
где кп(] ) - показатель разрешенности действий п-го пользователя,
1, если дейсвие разрешено п-му пользователю,
тти= > КО)*тпе
кМ (0, если действие не разрешено п-му пользователю.
Расчет времени, затраченного на работу, осуществляется по форму-
ле[1]
'ГП _ 'ТП _ грп
1 е 1 ге/ 1 и ■
При ЭТОМ
если Тпе > 0,75 * Тпгето данный пользователь в целом рационально расходует время, отведенное на работу;
если Тпе < 0,75 * Тпге^то данный пользователь не рационально расходует время, отведенное на работу.
Текущее действие п-го пользователя Рсп(£)в момент времени I формализуем следующим образом:
РАО =
где - множество фактически установленного программного обеспе-
чения на рабочем ПК пользователя на момент инвентаризации;
- множество фактически установленного аппаратного обеспечения и его конфигураций; на рабочем ПК пользователя на момент инвентаризации; множество фактически установленного программного обеспечения, используемого п-м пользователем; - множество фактически установленного аппаратного обеспечения, используемого п-м пользователем; /сп - множество информационных ресурсов, фактически используемых и создаваемых п-м пользователем в ходе работы; — множество-фактических диалогов по )-й задаче, выставляется после завершения выполнения задачи (группы задач) п-м пользователем.
Для определения эффективности работы п-го пользователя сравниваются показатели кортежей (1) и (5). При этом используется комплексное сравнение соответствующих показателей и рассчитываются:
относительное время на выполнение п-м пользователем ]-й задачи
И^=^*100%; (6)
П)
относительное количество работ
ЛГ = ^*100о/о=-^*100о/о; (7)
относительное качество работ
N
V-1 К,
Кп
= УтЛ*Ю0%; (8)
£—1 K-rcf
г—* Лref ] = 1 '
относительная оценка количества легитимных действий
рп _
Г1. если ft £ ft„f —
где Pnj =
100 '
1, если е Рге/ — не обнаружены запрещенные изменения, 0, если Р{ £ Рге/ — обнаружены запрещенный изменения; относительная оценка использования рабочего времени сотрудни-
ком
Т\
тп=—100 %; (9)
iref
относительная оценка личностных характеристик
Ln = ^* 100%. (10)
Li
Формулы (6)- (10) используются для определения эффективности работы п-го пользователя. При этом можно оценить эффективность работы группы пользователей (n=l...k) через усредненную оценку соответствующих показателей.
На основе построенной математической модели можно сформулировать задачу оптимизации:
Efficiencyt max, где Ln max, Wnj min, Te шах,
Tu min, N шах, К max, Р шах
при ограничениях
K>l-KÄ,N>l-NÄ,P^0,Tt> Тп. (11)
В формуле (11) Л^д - допустимое относительное отклонение количества выполненных работ; Кд - допустимое относительное отклонение качества выполненных работ.
Таким образом, эффективность работы пользователя можно определить исходя из соответствия эталонным значениям перечисленных параметров: требуемые личностные характеристики пользователя,требуемое время выполнения j-й задачи n-м пользователем,требуемое количество выполненных работ,требуемое качество выполненных работ,отсутствие запрещенных действий,требуемое использование времени на дискуссии и обсуждения вариантов решения задачи в допустимых пределах,требуемое использование рабочего времени [6,7].
В случае выявления несоответствий у одного или нескольких показателей эталонным значениям выносятся рекомендации для улучшения значения соответствующего параметра.
Предложенная формализованная модель основана на сопоставительном анализ показателей работы пользователя с эталонным значением. Представленная формализация позволяет учитывать все показатели работы пользователя, в том числе и личностные характеристики и таким образом, наиболее корректно оценить эффективность работы не только одного, но и группы пользователей, а также выявить инсайдера в лице недобросовестного сотрудника. Предложенная формализация является основой для построения программного комплекса предотвращения инсайдерской активности и оценки эффективности работы персонала организации.
Разработка формализованной модели проведена при поддержке РФФИ и администрации Волгоградской области в рамках разработки проекта ,№14-7-97014r_povolzhe_a.
Список литературы
1. DLP-системы // Änti-malware [Электронный ресурс] URL: http://www.anti-malware (дата обращения: 01.09.2015).
2.Свищева М.Н Математическая модель оценки эффективности работы персонала // Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства: материалы II Всероссийской науч.-практ. конф. 2013. С. 126-132.
3. Свищева М.Н. Оценка эффективности работы пользователей и выявление их инсайдерской активности // Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства: материалы II Всероссийской науч.-практ. конф. 2013. С. 202-209.
4. Свищева М.Н Архитектура программного комплекса оценки эффективности работы персонала учреждения // Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства: материалы II Всероссийской науч.-практ. конф. 2013.С. 102-107.
5. Методы оценки персонала // cfin.ru [Электронный ресурс] URL: http://www.cfin.ru/ management/people/malinovsky.shtml (дата обращения: 05.09.2015).
6. Максимова Е.А., Витенбург Е.А. Инсайдерские атаки и противодействие им // Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства: материалы IV Всероссийской науч.-практ. конф. Вологорад: ВолГУ, 2015. С. 77-81.
7. Богданов В.В, Максимова Е.А., Витенбург Е.А Численное прогнозирование инсайдерских атак // Информационное противодействие угрозам терроризма. Таганрог, 2015. С. 71-76.
Максимова Елена Александровна, канд. техн. наук, доц., mvpuno@yandex.ru, Россия, Волгоград, Волгоградский государственный университет,
Витенбург Екатерина Александровна, студент, kalinina573@,bk.ru, Россия, Волгоград, Волгоградский государственный университет
FORMALIZA TION OF THE PROCESS OF ENSURING INFORMA TION SECURITY UNDER IMPLEMENTATION ATTACKS OF INSIDER.
E.A Maksimova, E.A Vitenburg
It is shown information security today is an integral part of both small and large businesses and the entire state as a whole. Protection of in-formation from an external attacker is important, however, do not forget on the Internal intruder - an insider. In order to prevent insider-ness asset offered a formalized model is fundamentally different from already established models of determination and prevention of insider activity, with scientists, including evaluating the performance of the organization's personnel.
Key words: information security, insider formalized model of efficiency, standard.
Maximova Elena Aleksandrovna, candidate of technical sciences, docent, mvpu-no@yandex.ru, Russia, Volgograd, Volgograd State University,
Vitenburg Ekaterina Aleksandrovna, student, kalinina573@,bk.ru, Russia, Volgograd, Volgograd State University
