Научная статья на тему 'Исследование возможности анализа обработки инцидентов информационной безопасности'

Исследование возможности анализа обработки инцидентов информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
482
67
i Надоели баннеры? Вы всегда можете отключить рекламу.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Зефиров С. Л., Щербакова А. Ю.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Исследование возможности анализа обработки инцидентов информационной безопасности»

Если использовать одношаговую линейную экстраполяцию в условиях полной раскоррелированно-сти шумов измерений и динамических шумов, то КМО при описании полета воздушного судна будет записываться в виде:

P = P* + Q = GRGr + Q . (15)

Именно это соотношение дает возможность сравнивать между собой метод наименьших квадратов с другими методами фильтрации навигационных параметров.

Рассмотрим влияние периода дискретизации Т на точность местоопределения ВС. Уменьшение Т приводит к повышению достоверности определения навигационного обеспечения (НО) в связи с падением воздействия на нее хаотических изменений характеристик воздушного судна во время его полета. Однако задача сократить Т может оказаться не выполнимой вследствие недостаточной мощности бортового вычислителя. При этом следует учитывать, что на каждом шаге решения навигационной задачи (НЗ) необходимо вычислять не только вектор состояния ВС, но и координаты входящих в рабочее созвездие НКА, необходимые для формирования системы уравнений измерений.

В этой связи делаются попытки добиться максимально возможного роста Т, по крайней мене, до таких значений, когда еще можно будет добиться требуемой точности определения местоположения воздушного судна, при этом скорость обработки навигационной информации (НИ) должна быть такова, чтобы получаемые приближенные координаты ВС не требовали бы дополнительного уточнения.

Для того, чтобы можно было бы провести сопоставление между собой различных методов фильтрации, используемых для определения пространственных координат воздушного судна, рассмотрим несколько вспомогательных вопросов, центральным из которых является вопрос о влияние времени дискретизации Т на ошибки измерений, возникающих при решении навигационных задач, опираясь на метод наименьших квадратов, используя для этого одномоментную реализацию.

Критерием оценки точности определения пространственных координат воздушного судна целесообразно выбрать радиальную среднеквадратиче-скую ошибку

' (16)

7 = IP + P + P ,

r V xx yy zz '

где рхх, Руу, р - диагональные элементы ковариационной матрицы Р ошибок оценок вектора состояния

воздушного судна.

Опираясь на формулы (12) и (16) и используя метод наименьших квадратов, можно получить следующее выражение для минимальной средней квадратичной ошибки:

+ NT3 / 2 ,

(17)

где Гг - геометрический фактор ошибки определения пространственных координат воздушного судна, N - спектральная плотность флуктуаций компонент вектора скорости воздушного судна.

Физический смысл слагаемых, стоящих под радикалом в равенстве (17), достаточно очевиден. Он состоит в том, что первое из них представляет собой не зависящую от шума дисперсию ошибки определения место положения воздушного судна [6], вызванную его эволюциями, возникающими во время полета. При этом эта ошибка не зависит от периода дискретизации измерений Т и определяется взаимным расположением ВС и НКА рабочего созвездия в момент измерений. Что же касается другого слагаемого, то именно оно играет определяющую роль и при больших Т является доминирующим в ошибке местоопределения воздушного судна. При малых Т величина <У„

равна GрГ'r ,

гМНК примерно медленно увеличивая свое значение. Картина кардинально меняется при больших значениях Т , скорость изменения <гмнк резко увеличивается, а само его значение стремится к своему предельному значению Т^Ш /2

ЛИТЕРАТУРА

1. Ергалиев Д.С., Тулегулов А.Д., Ахмадия А.А. Аксиоматическая постановка задачи для формирования математической модели диагностики бортовых комплексов оборудования воздушных судов. - Труды Международного Симпозиума "Надёжность и качество ", Пенза, 2012.

2. Жаднов В.В., Полесский С.Н. Разработка методов и средств для проектных исследований надёжности радиоэлектронной аппаратуры. - Труды Международного Симпозиума "Надёжность и качество ", Пенза, 2010.

3. Тихонов В.И. Нелинейные преобразования случайных процессов. М.: Радио и связь, 1986.

4. Шебшаевич В.С., Дмитриев П.П., Иванцевич Н.В. и др. Сетевые спутниковые радионавигационные системы. — М.: Радио и связь, 1982.

5. Юрков Н.К. К проблеме обеспечения глобальной безопасности. ма "Надёжность и качество", Пенза, 2012.

6. Шибанов С.В. Обзор современных методов интеграции данных в нов С.В., Яровая М.В., Шашков Б.Д., Кочегаров И.И., Трусов В.А., Гришко А.К. // Труды международного симпозиума Надежность и качество. 2010. Т. I. С. 292-295.

7. Ярлыков М.С. Применение марковской теории нелинейной фильтрации в радиотехнике. — М.: Советское радио, 1980.

- Труды Международного Симпозиу-информационных системах / Шиба-

УДК 004.056

Зефиров С.Л., Щербакова А.Ю.

ФГБОУ ВПО «Пензенский государственный университет», Пенза, Россия

ИССЛЕДОВАНИЕ ВОЗМОЖНОСТИ АНАЛИЗА ОБРАБОТКИ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Прогнозирование инцидентов информационной безопасности (ИБ) является ключом к планированию эффективной системы управления информационной безопасностью объекта. Ввиду недостаточности статистических данных о нежелательных событиях ИБ, вызывающих негативные последствия для объекта, и неоднородности этих данных, закономерности реализации инцидентов ИБ выявить сложно. Поэтому для решения задач прогнозирования инцидентов ИБ можно использовать моделирование их обработки. В [1] были определены состояния инцидентов ИБ при их обработке (Б±), условия переходов в эти состояния, возможные пути развития инцидентов, находящихся в том или ином состоянии, и конечные состояния инцидентов ИБ

(С*), которые отражены в виде дерева событий на рисунке 1, где: Б2 - возникновение инцидента ИБ, применение превентивных защитных мер; С2 -инцидент предотвращен; Б2 - инцидент не предотвращен, применение защитных мер по обнаружению инцидента ИБ; Б3 - инцидент обнаружен, применение защитных мер, направленных на сдерживание инцидента ИБ; Б4 - инцидент сдержан, реализация защитных мер, направленных на устранение инцидента ИБ и восстановление системы поле него; С2 - инцидент успешно обработан; С3 - инцидент обработан с частичными последствиями (без потерь); Б.5 - инцидент не сдержан, применение «антикризисных» действий; С4 - инцидент обработан со значительными последствиями (с минималь-

ными потерями); С5 - инцидент не обработан (значительные потери), произошла эскалация инцидента.

С2 Pc;

С3 I Рсз

4 PC4

Рисунок 1

Дерево событий обработки инцидента ИБ

Вероятность наступления конечных состояний PCk может быть представлена произведением вероятностей наступления предшествующих им состояний в зависимости от результативности превентивных защитных мер и эффективности процедур обработки инцидентов ИБ.

Пример определения результативности превентивных защитных мер был приведен в [2]. В случае, если инцидент не был предотвращен превентивными защитными мерами, применяются процедуры обработки инцидентов ИБ, эффективность которых может быть определена по уровню зрелости процессов управления инцидентами ИБ и управления непрерывностью бизнеса в соответствии с требованиями, приведенными в разделах 13 и 14 ГОСТ Р ИСО/МЭК 27002-2012 «Менеджмент инцидентов ИБ» и «Менеджмент непрерывности бизнеса».

Поскольку обработка инцидентов ИБ реализуется группой реагирования на инциденты ИБ (ГРИИБ) [3], на успешность обработки инцидента кроме зрелости процессов управления инцидентами ИБ и непрерывности бизнеса могут влиять, например, масштаб автоматизированной системы (АС) объекта, квалификация и численность ГРИИБ и др.

Примерный перечень процедур по сдержив

Важную роль при обработке инцидентов ИБ играет своевременное реагирование на нежелательные события ИБ, которое может минимизировать затраты на восстановление системы после инцидента и снизить риск его повторного возникновения. Поэтому целесообразно определять эффективность процедур обработки инцидентов ИБ относительно своевременности их реализации. С этой целью были введены следующие характеристики: -время успешной реализации процедур обработки инцидентов ИБ; - время до эскалации инцидента (то есть потери контроля над инцидентом).

Положим, что время успешной реализации процедуры обработки инцидента - это время до достижения желаемого (ожидаемого) от нее результата. Примерное время выполнения процедур может быть установлено для разных видов инцидентов, например, экспертным путем, и подтверждено экспериментально.

На время успешной реализации процедур обработки инцидентов ИБ могут влиять следующие параметры: - эффективность процедур обработки инцидентов ИБ (Яэ), определяемая уровнем зрелости процессов управления инцидентами ИБ и управления непрерывностью бизнеса, Значение Кэ лежит в пределах от 0 до 1. Кэ = 1 соответствует высокому уровню зрелости процессов управления инцидентами ИБ и управления непрерывностью бизнеса, Кэ =0 соответствует низкому; - коэффициент дефицита персонала ГРИИБ (к), который характеризует соотношение масштаба АС объекта и численности ГРИИБ. Коэффициент к равный 1 соответствует оптимальной численности персонала ГРИИБ и увеличивается в случае дефицита персонала.

Например, для сдерживания инцидента внедрения вредоносного ПО обычно применяются процедуры, представленные в таблице 1, каждая из которых требует определенного времени реализации (1ш1„). Примерное время для реализации этих процедур приведено при высоком уровне зрелости процессов управления инцидентами ИБ и управления непрерывностью бизнеса (Кэ=1) и оптимальной численности персонала ГРИИБ (к =1). анию инцидента внедрения ВПО Таблица 1

P

P

№п/п Процедуры по обработке инцидента tmin, мин.

Проверка целостности файлов на узлах 25

Выявление и изолирование инфицированных узлов 30

Блокирование конкретных услуг 20

Отключение серверов e-mail 15

Изолирование сетей от Internet 5

Дефицит персонала ГРИИБ и неэффективность процедур обработки ( К = 1 — К ) увеличивают время, необходимое для реализации процедур обработки инцидентов ИБ. В таком случае примерное время (1лр) для реализации каждой процедуры обработки инцидента ИБ может определяться по следующей формуле: ^ = + ^п(1 — Яэ)к ,

Время до эскалации инцидента (tэ) - это время до потери контроля над инцидентом и проявле-_Примерная матрица для определения зна

ния его негативных последствий на уровне бизнес-процессов. Оно может быть определено, например, экспертным путем относительно значимости инцидента ИБ. Значимость инцидента ИБ определяется [4] критичностью затронутых активов и его существующим и потенциальным техническим воздействием на АС объекта.

Примерная матрица определения значимости инцидента ИБ представлена в таблице 2.

юсти инцидентов ИБ_Таблица 2

Существующее или потенциальное воздействие инцидента Критичность активов, затрагиваемых в настоящее время, или которые могут быть затронуты инцидентом

Высокая (например, ТЖеЬ-серверы, узлы системных и ИБ администраторов) Средняя (например, серверы файлов, серверы печати, почтовый сервер) Низкая (например, рабочие станции пользователей)

Воздействие на уровне бизнес-процессов Значимость1 Значимость2 Значимость3

Воздействие на уровне операционных систем и баз данных Значимость1 Значимость2 Значимость3

Воздействие на уровне сетевого оборудования и приложений Значимость2 Значимость3 Значимость4

Воздействие на физическом уровне Значимость2 Значимость3 Значимость4

Воздействие на уровне пользователя Значимость2 Значимость5 Значимость5

Для каждого уровня значимости инцидента ИБ можно определить время до его эскалации. Это время может быть установлено экспертным путем. Инциденты со значимостью1 имеют наименьшее Ьэ, а инциденты со значимостью5 - наибольшее.

Условия переходов из одного состояния инцидента ИБ в другое при его обработке (состояния Б2-Б5) могут быть выражены с помощью соотношений времени реализации процедур обработки инцидента ИБ и времени до его эскалации . Тогда конечные состояния инцидентов (результаты обработки инцидентов ИБ С2-С5) описываются следующим образом.

Состояние С2. Инцидент обработан успешно. Превентивные ЗМ не предотвратили инцидент. Суммарное время, затраченное на обнаружение и анализ, сдерживание, устранение инцидента и восстановление системы, не превышает времени до эскалации инцидента.

Состояние С3. Инцидент обработан с частичными последствиями (без потерь). Превентивные ЗМ не предотвратили инцидент. Суммарное время, затраченное на обнаружение, анализ и сдерживание инцидента не превышает времени эскалации инцидента, но время, за которое происходит устранение последствий инцидента и восстановление системы, превышает время эскалации инцидента.

Состояние С4. Инцидент обработан со значительными последствиями (с минимальными потерями). Превентивные ЗМ не предотвратили инцидент. Суммарное время, затраченное на обнаружение, анализ или сдерживание превышает время эскалации инцидента, но эскалация не произошла, ввиду успешного применения антикризисных действий.

Состояние С5. Инцидент не обработан, т.е. произошла эскалация инцидента. Превентивные ЗМ не предотвратили инцидент. Суммарное время,

затраченное на обнаружение, анализ и сдерживание превышает время эскалации инцидента, а примененные антикризисные действия не сработали.

Вероятность перехода инцидента из одного состояния в другое при его обработке определяется вероятностью того, что время обработки инцидента ИБ будет меньше времени до его эскалации, где Р. - вероятность пере-

Р = Р(>щ < и) ,

хода в определенное состояние,

¡пр. - время ус-

пешной реализации 1-ой процедуры обработки инцидента ИБ. Время реализации процедур по обработке инцидентов является случайной величиной, которая может быть описана показательным законом распределения с параметром ц:

1

м = -

где Ьср - средняя длительность реализации процедур обработки инцидента ИБ, а

г = .1=1_

1ср '

т

где т - количество процедур обработки инцидентов ИБ до определенного конечного состояния инцидента при его обработке.

Таким образом, вероятность перехода инцидента из одного состояния при его обработке в другое будет определяться следующим образом:

1

Р = Р(1п, < ¡э ) = Р«Э ) = 1 - е

Рсг

1

0,9 0,8 0,7 0,6 0,5 0,4

0,3

0,2 0,1

ПЯэ = 0 аЯэ = 0,4 ШКэ = 0,6 ШКэ = 0,8

С2

С3

С4

С5

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Рисунок 2 - Результаты статистического эксперимента при к = 1 и увеличении Кэ

Рисунок 3 - Результаты статистического эксперимента при Кэ = 0,6 и увеличении к

ср

Э

0

В соответствии с состояниями инцидентов ИБ и условиями переходов между этими состояниями разработана имитационная модель обработки инцидентов ИБ. С помощью имитационной модели проведен статистический эксперимент для выявления зависимостей вероятностей результатов обработки инцидентов ИБ от уровней результативности превентивных защитных мер, эффективности процедур обработки инцидентов ИБ и коэффициента дефицита персонала ГРИИБ.

Результаты статистического эксперимента приведены на рисунках 2 и 3. На рисунке 2 изображена зависимость вероятностей результатов обработки инцидентов С2-С5 от уровня зрелости процессов управления инцидентами ИБ и управления непрерывностью бизнеса при отсутствии превентивных защитных мер и коэффициенте дефицита персонала ГРИИБ к = 1. На рисунке 3 изображена зависомость вероятностей результатов обработки инцидентов С2-С5 от коэффициента дефицита персонала ГРИИБ к при постоянном Кэ, равном 0,6.

Из построенных зависимостей видно, что вероятность успешной обработки инцидента ИБ растет при увеличении Кэ. С увеличением к вероятность успешной обработки инцидентов ИБ уменьшается.

Проведенные исследования показали, что имитационная модель может использоваться для анализа обработки инцидентов ИБ в рамках оценки информационной безопасности [5] в качестве инструментального средства. Для этого на объекте оценки необходимо выполнить следующие действия:

- определить предполагаемое время до эскалации всех видов известных инцидентов ИБ;

- уточнить время, необходимое для реализации процедур обработки инцидентов ИБ;

- определить уровень соответствия квалификации и численности ГРИИБ масштабу АС объекта.

Таким образом, проведение анализа обработки инцидентов ИБ и прогнозирование последствий их реализации возможно при использовании предложенного способа с учетом особенностей объекта оценки.

ЛИТЕРАТУРА

1. Зефиров С.Л., Щербакова А.Ю. «Анализ состояний инцидентов информационной безопасности при их обработке»// Новые информационные технологии и системы: сб.статей XI Междунар. науч.-техн. конф. (г. Пенза, 25-27 ноября 2014 г.). - Пенза: Изд-во ПГУ, 2014. - С. 278-281

2. Щербакова А.Ю. Вероятностная оценка последствий инцидентов информационной безопасности //Надежность и качество - 2013: Труды Международного симпозиума: в 2 т. под ред. Н. К. Юркова. 1 том — Пенза : Изд-во Пенз. ГУ, 2013. - С. 125-128

3. ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»

4. Зефиров С.Л., Щербакова А.Ю., Управление инцидентами кибербезопасности: Учебное пособие.-Пенза. Изд-во Пензен. гос. ун-та, 2012.- 107с.

5. Зефиров С.Л., Алексеев В.М. Способы оценки информационной безопасности организации //Надежность и качество - 2011: Труды Международного симпозиума: в 2 т. под ред. Н. К. Юркова. 2 том — Пенза : Изд-во Пенз. ГУ, 2011. - С. 407-409

УДК 004.056

Иванов А.П., Алексеев В.М., Алимов К.Н.

ФГБОУ ВПО «Пензенский государственный университет», Пенза, Россия

СИСТЕМА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ОРГАНИЗАЦИИ ОТ ИНСАЙДЕРСКИХ УГРОЗ

В настоящее время проблемам обеспечения безопасности информации в различных организациях от инсайдерских угроз уделяется много внимания [1, 2]. Их можно отнести к внутренним угрозам, с которыми по статистике связано более 7 0% процентов всех инцидентов безопасности. Самым распространенным и опасным видом внутренней угрозы является утечка информации. Применение одних только средств защиты информации (СЗИ) от несанкционированного доступа (НСД) здесь оказывается недостаточным, поскольку в качестве основного источника угрозы выступает «инсайдер» -пользователь информационной системы, имеющий легальный доступ к конфиденциальной информации и применяющий весь арсенал доступных ему средств для того, чтобы использовать конфиденциальную информацию в своих интересах. Умышленная утечка информации, встречается значительно реже, зато в данном случае информация «утекает» целенаправленно и с наиболее опасными последствиями для организации.

Представляет интерес классификация инсайдеров, представленная российской компанией Info Watch [1], в которой выделяется шесть типов инсайдеров: халатного и манипулируемого из группы лояльных, а также обиженного, нелояльного, подрабатывающего и внедренного из группы злонамеренных. Их различают по наличию у них умысла, корыстной мотивации, постановки им задачи и действиях, предпринимаемых при невозможности.

В большинстве известных источников решение проблемы защиты информации от действий внутренних нарушителей сводится в лучшем случае к применению простой совокупности технических и организационных мер, в основном пассивного «оборонительного» характера [1, 2], другие вообще рассматривают лишь технические меры [3, 4].

Авторами предлагается комплексная система защиты информации организации от внутренних нарушителей с элементами «наступательного» ха-

рактера, которая может быть использована в организациях различных сфер деятельности, в том числе в банковской.

На рисунке 1 показана схема организационной защиты информации организации от инсайдеров как одного из компонентов комплексной системы защиты. Она может быть успешно встроена в систему обеспечения информационной безопасности организации с возможностью ее комбинированной оценки [5, 6].

Предлагается в основу данного компонента комплексной системы обеспечения безопасности информации положить использование различных специфических методов коммуникационного менеджмента [7], в том числе активного характера, для выявления и подавления злонамеренной ненормальной теневой активности сотрудников-инсайдеров.

Другим необходимым компонентом системы должна быть такая техническая мера как СЗИ от НСД. Этот вид средств защиты информации в настоящее время является основным при построении систем защиты информации будь то информации ограниченного доступа в государственных информационных системах, информации в автоматизированных системах управления производственными и технологическими процессами критически важных объектов, персональных данных.

В большинстве нормативных документов основного регулятора в сфере технической защиты -Федеральной службы по техническому и экспортному контролю (ФСТЭК) содержится требование использования при построении систем защиты информации средств защиты, прошедших оценку соответствия. Для средств защиты такая оценка в настоящее время проводится в форме обязательной сертификации.

Сертификаты ФСТЭК имеют широко используемые СЗИ НСД «Dallas Lock», «Secret Net», «Аккорд» и др.

СЗИ от НСД «Dallas Lock» представляет собой программное средство защиты от НСД к информации

i Надоели баннеры? Вы всегда можете отключить рекламу.