УДК 004.738 + 004.056.53 + 004.056.57
ФУНКЦИОНАЛЬНАЯ МОДЕЛЬ СИСТЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
С. В. Исаев, Н. В. Кулясов
Институт вычислительного моделирования СО РАН Российская Федерация, 660036, г. Красноярск, Академгородок, 50/44 Е-mail: razor@icm.krasn.ru
Рассматривается функциональная модель системы управления событиями информационной безопасности. Системы данного класса позволяют обеспечивать наиболее полную информационную безопасность предприятий аэрокосмической отрасли.
Ключевые слова: защита информации, кибербезопасность, компьютерные сети, система управления событиями информационной безопасности.
FUNCTIONAL MODEL OF THE SECURITY INFORMATION AND EVENT MANAGEMENT SYSTEM
S. V. Isaev, N. V. Kulyasov
Institute of computational modeling SB RAS 50/44, Academgorodok, Krasnoyarsk, 660036, Russian Federation E-mail: razor@icm.krasn.ru
The article considers the functional model of a control system of events of information security. The systems of this class allows to ensure the fullest information security of the enterprises of space branch.
Keywords: protection of information, cybersecurity, computer networks, security information and event management.
В настоящее время комплексная информационная безопасность организации является одним из существенных факторов его эффективного функционирования. Тем более важной является эта проблема на предприятиях аэрокосмической отрасли, так как современный производственный процесс целиком зависит работоспособности информационных систем. С помощью ИС в настоящее время координируются и согласуются большинство других жизненно важных процессов предприятия, а также контролируется использование и распределение ресурсов. Исходя из этого основной целью злоумышленников зачастую является получение несанкционированного доступа к информационным системам предприятий. Поэтому обеспечение безопасности информационной системы позволяет гарантировать, что ресурсы организации используются в интересах его владельцев, а не злоумышленников, получивших несанкционированный доступ к ИС [1].
Для решения проблем, связанных с обеспечением безопасности ИС предприятий, существует множество технических и программных инструментов, таких как антивирусы, межсетевые экраны, системы обнаружения/предотвращения вторжений и ещё множество различных средств. Каждый из инструментов имеет узкую зону ответственности за те или иные угрозы безопасности. Согласно концепции кибербезопасно-
сти для обеспечения наилучшей защиты требуется использовать комплекс из нескольких средств, который сможет в полной мере удовлетворить требования о противодействии актуальным угрозам для информационной системы предприятия. Использование комплексов из различных инструментов в свою очередь несет в себе увеличение финансовых и временных затрат на поддержание и контроль всей системы безопасности.
Для сокращения затрат и оптимизации комплексного подхода в вопросе защиты ИС начинают использоваться системы управления событиями информационной безопасности (Security information and event management) [2-4].
Системы данного класса можно сравнить с центром управления полётами, они подобно ЦУП координируют действия и предоставляют актуальное состояние всех систем, собирая и анализируя данные всех доступных источников, а также при выявлении каких-либо проблем оповещают о них пользователя или ликвидируют в автоматическом режиме при наличии такого функционала [3].
Рассмотрим подробнее функционирование сигнатурной SIEM системы (см. рисунок). Первоначально пользователю требуются определить конфигурацию системы с учётом технических, программных и правовых особенностей организации.
Решетневские чтения. 2017
Модель БШМ системы
Конфигурация в своём общем виде представляет СУБД содержащую общие параметры системы, сигнатуры угроз и сценарии реагирования на те или иные выявленные угрозы, а также может содержать базу знаний, содержащую прецеденты угроз для дальнейшего предотвращения. Согласно общим параметрам системы функционируют коллектор данных и основной блок системы управления событиями информационной безопасности.
Коллектор осуществляет сбор, проверку и хранение информации из различных источников, таких как: операционные системы, антивирусные программы, сетевых устройств и служб, и других программно-технических средств ведущих журналы событий [4].
При старте основного блока происходит опрос коллекторов, распределённых по структурным единицам ИС с последующим сбором «сырых» данных. Следующим этапом является предобработка, которая включает в себя подпроцессы, с помощью которых данные из разных источников приводятся к общему виду и фильтруются. В процессе анализа данные делятся на кластеры с последующей сверкой сигнатур. При совпадении кластера с сигнатурой он записывается в базу знаний в качестве прецедента и инициируется запуск блока реагирования.
Блок реагирования запрашивает сценарий действий для обнаруженного типа угрозы, в случае наличия сценария применяет его и оповещает пользователя об успешной ликвидации инцидента, либо сигнализирует об отсутствии решения для данного типа угрозы, исходя из чего пользователь в свою очередь может внести изменения в конфигурацию для дальнейшего предотвращения угрозы [5].
Таким образом, использование систем управления событиями информационной безопасности позволяет в полной мере осуществлять контроль за состоянием различных систем безопасности, которые в комплексе позволяют наиболее качественно выявлять и противодействовать различным угрозам информационной безопасности для информационных систем предприятия.
Библиографические ссылки
1. Грызунов В. В. Аналитическая модель целостной информационной системы // Доклады ТУСУРа. 2009. № 1 (19), ч. 1.
2. Кулясов Н. В. Средства обнаружения угроз безопасности информационных систем // Проблемы и перспективы развития мировой научной мысли. 2017. С. 43-44.
3. Кулясов Н. В. Система распознавания интернет угроз по журналам веб-сервисов // Молодой учёный. 2015. № 11. С. 79-83.
4. Исаев С. В. Кибербезопасность научного учреждения - активы и угрозы // Информатизация и связь. 2015. № 1. С. 53-57.
5. Кононов Д. Д., Исаев С. В. Модель безопасности веб-приложений на основе мандатного ролевого разграничения доступа // Вестник Бурятского гос. ун-та. 2012. Вып. 9. С. 29-33.
References
1. Grisunow V. V. Analytical model of an integrated information system // Reports of TUSUR. 2009. Vol. 19.
2. Kulyasov N. V. Means of detecting threats to the security of information systems // Problems and prospects for the development of world scientific thought. 2017. P. 43-44.
3. Kulyasov N. V. The system of recognition of Internet threats by web services logs // The Young Scientist. 2015. Vol. 11. P. 79-83.
4. Isaev S. V. Cybersecurity of a scientific institution -assets and threats // Informatization and communication. 2015. Vol. 1. P. 53-57.
5. Kononov D. D., Isaev S. V. The security model for Web applications based on role-based access mandate // Vestnik BSU. 2012. № 9. P. 29-33.
© HcaeB C. B., KyjiacoB H. B., 2017