CC BY
12
МЕТОДЫ, МОДЕЛИ И СРЕДСТВА ВЫЯВЛЕНИЯ, ИДЕНТИФИКАЦИИ И КЛАССИФИКАЦИИ УГРОЗ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ РАЗЛИЧНОГО ВИДА И КЛАССА
К.А. Турянская, магистр, преподаватель Дальневосточный федеральный университет (Россия, г. Находка)
DOI:10.24412/2500-1000-2024-2-2-151-155
Аннотация. Увеличение числа инцидентов нарушения информационной безопасности, связанных с динамикой появления современных внутренних и внешних угроз потери данных или контроля доступа, обусловила для пользователей ИТ-сферы актуальность поиска и использования более эффективных технологий предотвращения и противодействия угрозам информационной безопасности. Важная роль в этом контексте принадлежит инструментам мониторинга и анализа деятельности пользователей.
В статье раскрыта сущность и проведен анализ поведения пользователей в случае появления угрозы нарушения информационной безопасности, в частности, для предотвращения потери данных, контроля доступа, анализа поведения внутренних и внешних пользователей и ИТ-объектов. Таким образом, в данной статье проведен аналитический обзор вопросов, связанных с выявлением, процессом идентификации и классификации, и последующей оценкой реальных, предполагаемых и потенциальных угроз информационной безопасности.
Ключевые слова: информационная безопасность, внутренние и внешние угрозы, нарушения информационной безопасности, модель угроз, информационные технологии.
Основная цель выявления угроз информационной безопасности заключается в установлении текущей вероятности нарушения целостности или конфиденциальности и установлении, может ли нарушение хотя бы одной из этих характеристик негативно повлиять на владельца информации. В целом оценка угроз информационной безопасности проводится с использованием экспертных методов.
Список угроз, оценка вероятности их возникновения и модель нарушителя являются основой для проведения анализа риска возникновения угроз и последующей разработки требований к системе защиты.
Потенциальные угрозы безопасности могут быть классифицированы по ряду признаков характера возникновения (природные и техногенные угрозы): степень намеренности возникновения, непосредственный источник угроз, местоположение источников угроз, фазы доступа пользователей [1].
Определение информационных рисков - сложная задача. Обычно соответствую-
щие вопросы решаются с помощью экспертных методов, вносящих субъективизм в оценку риска. Поэтому организация, опираясь на такую оценку, может принять ложное решение по формированию структуры и выбору инструментария системы информационной безопасности. При этом ошибочно оцененные риски могут привести к переоценке или, что гораздо хуже, недооценке опасности. Вот почему выбор обоснованной модели определения информационных рисков составляет достаточно актуальную проблему [6].
Выявленные угрозы подлежат оперативной нейтрализации с последующей профилактической проработкой информационной системы для недопущения подобных прецедентов в дальнейшем.
Разработанная модель угроз информационной безопасности должна быть направлена на эффективное определение угроз безопасности информационных систем, принимая во внимание характеристики программного и аппаратного обеспечения, особенности и свойства техниче-
ских средств, и специфику процессов обработки информации.
Для разработки эффективной модели определения угроз информационной безопасности необходимо первоначально определиться с методом.
Метод понимается как систематизированная совокупность шагов, действий, которые необходимо выполнить, чтобы решить определенную задачу или достичь поставленных целей. В данном случае -дать оценку рисков. То есть метод - это пошаговая инструкция, плюс инструмент (программный продукт) для оценки рисков. Все методы оценки рисков можно разделить на количественные, качественные или смешанные (комбинация количественных и качественных методов) [3].
Количественные методы используют измеримые, объективные данные для определения числовых значений стоимости активов, вероятности потерь и связанных с ними рисков.
Качественные методы используют относительный показатель риска (низкий,
средний, высокий) или стоимости актива на основе рейтинга или по шкале от 1 до 10. Качественная модель оценивает действия и вероятности выявленных рисков быстрым и экономически эффективным способом. Наборы рисков, сформированные и проанализированные по качественной оценке, могут выступать основой для целенаправленной количественной оценки. До недавнего времени количественные подходы явно доминировали. Однако в последнее время чисто количественное управление рисками, связанное обычно с трудоемкой работой, которая в конечном итоге не дает ощутимого выигрыша, все больше уступает качественным методам оценки рисков в сфере защиты информации. Что касается комбинации количественных и качественных методов, то она, очевидно, сочетает в себе как преимущества, так и недостатки обеих групп методов. Сравнительная характеристика количественных и качественных методов приведена в таблице 1.
Таблица 1. Количественные и качественные методы оценки рисков в сфере защиты информации: преимущества и недостатки__
Количественные методы Качественные методы
Преимущества - позволяют определять последствия возникновения инцидентов в количественный способ; - дают возможность проведения анализа затрат и пользы при выборе подхода к защите; - помогают получить достаточно точную картину рискованной ситуации - позволяют определять сферы и очаги большой опасности в сжатые сроки и без больших затрат; - сравнительно легкий и дешевый анализ рисков и преимуществ
Недостатки - количественные оценки обязательно зависят от размера и точности выбранной шкалы измерения; - результаты анализа могут быть неточные, в том числе и из-за отсутствия достоверных данных о ходе соответствующих событий; - окончательные выводы в большинстве своем должны опираться на качественное описание. - требуют значительно больших затрат, чем качественные методы, наивысшей квалификации исполнителей и новейших технических средств - непригодны для определения вероятностей результатов, полученных многочисленными средствами; - анализ преимуществ более усложняется за счет выбора защиты; - результаты носят общий характер, все значения только приближенные и т.д.
Задачей качественной оценки является определение возможных видов рисков и степени серьезности угроз, выделение факторов, влияющих на уровень угроз, обоснование различных возможных контрмер. Соответствующие методики не придают никаких количественных значе-
ний (в частности, в денежном выражении). Они достаточно популярны и сравнительно просты.
Количественная оценка позволяет переход от вероятностной оценки риска к соответствующему числовому значению. Методики представляют реальные и обосно-
ванные числовые значения всех составляющих процесса анализа рисков. Этими составляющими могут быть: стоимость защитных мер, ценность актива, ущерб для бизнеса, частота возникновения угрозы, эффективность защитных мер, вероятность использования уязвимости и т.п. Количественный анализ позволяет вычислить конкретное значение (в процентах) от вероятности реализации угрозы.
Оценка информационной безопасности - это сложный процесс, включающий несколько этапов. Прежде всего, необходимо определить контекст оценки, охватывающий цели, назначение, тип оценки (независимая или самооценка), объект и области оценки, а также ограничения и роли, связанные с оценкой. Это помогает уточнить рамки и требования к процессу оценки [4].
Следующим шагом является установление критериев оценки и создание модели оценки. Критерии определяются на основе важных атрибутов безопасности, которые необходимо учитывать при оценке. Модель оценки определяет, как будут собираться данные, какие методы оценки будут использоваться, и какие процедуры проверки будут применяться.
Проведение оценки включает сбор свидетельств и проверку их подлинности. Это означает, что информация, используемая для оценки, должна быть достоверна и подтверждена. Кроме того, производятся измерения и оценка атрибутов объекта оценки согласно установленным критериям. На выходе получается результат оценки, отражающий степень безопасности информации или идентифицирующий уязвимость. Этот результат может включать в себя числовые значения, ранжирование, выводы или рекомендации.
Процесс оценки информационной безопасности может быть представлен на процессной модели, отражающей последовательность шагов и зависимости между ними.
Перед рассмотрением конкретных методов оценки информационной безопасности для предприятий важно учитывать общие компоненты процесса оценки, такие как контекст оценки, сбор свидетельств и
их проверку, измерение и оценка атрибутов, а также исходные данные оценки.
Одним из основных этапов оценки безопасности информации есть проведение оценки угроз информационной безопасности. Для этого используется модель угроз, определяющая требования к системе защиты. Наличие адекватной модели угроз является необходимым условием для разработки эффективной системы защиты, обеспечивающей безопасность информации. В систему защиты включаются только меры, которые нейтрализуют актуальные угрозы. Модель угроз является основой проектирования будущих систем защиты и принятия решений по их защищенности. Поэтому хорошо составленная модель угроз позволяет адекватно защитить информацию и обеспечивает реализацию целей соответствующих нормативных актов. С другой стороны, недостаточно точная или поверхностная модель угроз делает дальнейшую работу неудачной, усложняет правильную формулировку технического задания для разработки системы защиты и может привести к ненужным затратам на средства защиты [5].
При разработке модели угроз информационной системе (ИС) необходимо руководствоваться определенными принципами. Обеспечение безопасности информации в ИС зависит от системы защиты, контролирующей ее обращение. Следует отметить, что технические средства защиты сами по себе не могут обеспечить полную безопасность информации, поскольку не устраняют возможность нарушения доступа в соответствии с предоставленными полномочиями. Поэтому использование организационных мероприятий, в сочетании с техническими, является крайне важным аспектом.
Для разработки эффективной модели угроз необходимо выполнить несколько последовательных шагов, таких как категоризация объекта информационной деятельности, анализ последовательности логических шагов процесса нарушения информационной безопасности, идентификация компонентов модели угроз и их сравнение, а также исследование актуальности сопоставимых компонентов [2].
Окончательные результаты анализа оформляются в соответствии с подготовленным шаблоном, позволяющим сформировать модель угроз. Разработка модели угроз происходит на основе детального анализа атрибутов. В случае построения модели угроз атрибутами являются угрозы, источники этих угроз и уязвимости.
После выполнения этих шагов будет сформирована модель угроз.
Выводы. Результатом данного исследования стал обобщающий анализ методов и средств оценки рисков нарушения защищенности в информационных системах для создания модели угроз с целью упрощения выявления рисков нарушения информационной защищенности, а также формирования на их основе и сравнения оценки риска.
Предлагаемое исследование позволяет оценить (или осуществить переоценку) текущего состояния информационной безопасности организации или учреждения, выработать рекомендации по обеспечению или повышению такой безопасности, снизить потенциальные потери, благодаря достижению большей устойчивости функци-
онирования информационной сети, разработать концепцию и политику безопасности, а также предложить планы защиты информационных ресурсов от умышленного искажения, уничтожения, несанкционированного доступа, копирования или использования информации.
Важным шагом при построении комплексной системы защиты информации является выбор подходящих методов и инструментов. Обычно организации не знают, какие из существующих способов оценки рисков наиболее оптимальны именно для их условий. Поэтому процесс оценки должен быть адаптирован к индивидуальным особенностям организации, но в то же время согласован с лучшими стандартами и ведущими практиками.
Рекомендуется использование средств контроля и анализа деятельности пользователей в различных вариантах сочетания или в составе комплексных решений по управлению информационной безопасностью для достижения надлежащего уровня информационной безопасности в условиях роста уровня угроз со стороны внутренних или внешних пользователей.
Библиографический список
1. Конаков А.М. Динамическое моделирование при функционировании систем защиты в области обеспечения информационной безопасности // Вестник Дагестанского государственного технического университета. Технические науки. - 2024. - Т. 50. №4. - С. 108114.
2. Палютина Г.Н. О применении когнитивного моделирования в адаптивной оценке рисков информационной безопасности // Вестник УрФО. Безопасность в информационной сфере. - 2023. - Т. 4. № 50. - С. 42-53.
3. Попов А.Д. Классификация угроз информационной безопасности в автоматизированных информационных системах // Фундаментальные проблемы системной безопасности. - 2017. - С. 232-238.
4. Самарин Н.Н. Автоматизация оценки информационной безопасности программного обеспечения без исходных текстов в условиях ограниченности вычислительных ресурсов: дисс... канд. технич. наук. - Санкт-Петербург. 2021. - 151 с.
5. Суздальский Д.А. Актуальные вопросы моделирования функционирования подсистемы информационной безопасности // Национальная ассоциация ученых. - 2023. - №1. -С. 46-52.
6. Трофимов Д.О. Организация реагирования на инциденты информационной безопасности // Вестник Дагестанского государственного технического университета. Технические науки. - 2024. - Т. 50. №4. - С. 146-157.
METHODS, MODELS AND TOOLS FOR IDENTIFYING, IDENTIFYING AND CLASSIFYING THREATS TO THE INFORMATION SECURITY OF OBJECTS OF
VARIOUS TYPES AND CLASSES
K.A. Turyanskaya, master, lecturer Far Eastern Federal University (Russia, Nakhodka)
Abstract. The increase in the number of information security incidents related to the dynamics of the emergence of modern internal and external threats of data loss or access control has made it urgent for IT users to search for and use more effective technologies to prevent and counter information security threats. Tools for monitoring and analyzing user activity play an important role in this context.
The article reveals the essence and analyzes user behavior in the event of a threat to information security, in particular, to prevent data loss, access control, analysis of the behavior of internal and external users and IT facilities. Thus, this article provides an analytical review of issues related to the identification, identification and classification process, and subsequent assessment of real, perceived and potential threats to information security.
Keywords: information security, internal and external threats, information security violations, threat model, information technology.
