CC BY-NC-ND
118
Информационная безопасность и защита информации
О.В. Казарин, М.М. Репин
Модель процесса мониторинга состояния информационной безопасности платежной системы
Процесс мониторинга состояния информационной безопасности платежной системы является основой для оценки и анализа рисков информационной безопасности.
Важным аспектом задачи по мониторингу состояния информационной безопасности платежной системы является необходимость оценки взаимосвязей между инициирующими событиями и их влияния на уязвимости платежной системы.
Данные взаимосвязи могут быть описаны с помощью логико-вероятностных моделей, применение которых рассматривается в настоящей работе.
Ключевые слова: платежная система, мониторинг информационной безопасности, логико-вероятностные модели, риск информационной безопасности, инициирующие события.
На стадии эксплуатации платежной системы (далее -ПС) оценку и анализ рисков информационной безопасности (далее - ИБ) проводят на основе определенных сценариев с использованием результатов мониторинга потенциальных уязвимостей ПС, особенностей эксплуатации, компетентности и состава обслуживающего персонала, данных об актуальных угрозах и нештатных ситуациях в ПС (далее - НШС).
Под НШС понимается ситуация, при возникновении которой произошло нарушение штатного функционирования информационно-вычислительных, телекоммуникационных, инженерных систем, систем связи, систем и средств защиты информации, ПС и технологии обработки платежных документов, повлекшее нарушение регламента обработки платежной информации или предоставления отчетности.
© Казарин О.В., Репин М.М., 2016
Процесс возникновения нештатных ситуаций в ПС
Рассмотрим процесс возникновения НШС. Пусть V = {и1, ... , -множество уязвимостей ПС, Е = |е1, ... , ек} - множество событий в ПС, I = {г! ... , гт} - множество инцидентов ИБ в ПС, БЫБ = {жя^ ... , япя} - множество сценариев НШС, N5 - НШС. На рис. 1 представлен пример процесса возникновения НШС. Событие е2, связанное с уязвимостью v2, совместно с событием е3 , не связанным с существующими уязвимостями, порождают инцидент г2, в свою очередь, подпадающий под сценарий НШС яж1 и реализующий данную НШС. Аналогично можно описать представленную НШС по сценарию жяг-1. События могут не являться инцидентом ИБ. На рис. 1 данный случай представлен на примере события ек-1.
Таким образом, решение задачи по мониторингу состояния ИБ ПС осложняется необходимостью не только проводить анализ рисков ИБ, но и оценивать взаимосвязи между инициирующими событиями, степень их влияния на уязвимости ПС.
Рис. 1. Процесс возникновения НШС в ПС
Использование сценарного подхода к процессу возникновения НШС позволяет применить для его описания логико-вероятностные модели. Особенности их применения рассматриваются в следующем разделе.
Логико-вероятностная модель процесса мониторинга ИБ в ПС
Постановка задачи. Существующие методы оценки и управления операционными рисками, в том числе и рисками ИБ1, не предоставляют механизмов, позволяющих описывать сложные зависимости между объектами анализа (событиями, инцидентами, уязвимостями и т. д.), а также связь внутренних и внешних событий, инициирующих риск ИБ.
Данные зависимости могут быть описаны с помощью логико-вероятностных (далее - ЛВ) моделей, показывающих высокую эффективность в решении задач по экономическим направлениям, в том числе при оценке кредитного риска, риска портфеля ценных бумаг2.
Таким образом, задачу построения модели процесса мониторинга состояния ИБ ПС можно сформулировать следующим образом. Необходимо построить ЛВ-модель процесса мониторинга ИБ ПС. Логико-вероятностная модель процесса мониторинга ИБ ПС должна быть комплексной и включать в себя модели мониторинга обеспечения ИБ ПС и обеспечения безопасности платежных технологий с учетом возможности как внутренних, так и внешних событий, инициирующих НШС.
Структура событий процесса мониторинга ИБ ПС. Задачей процесса мониторинга ИБ ПС является своевременное выявление событий, которые могут инициировать риски возникновения НШС.
Реализация рисков в ПС, включающих также риски ИБ, может иметь два вида последствий, в том числе и одновременных. Первое последствие - это нарушение процесса функционирования ПС, непрерывность которого является одним из важнейших условий для проведения клиентских платежей. Вторым последствием является потеря денежных средств клиентом из-за неправильной обработки электронных платежных сообщений, содержащих данные о платежах. Нарушение процесса непрерывного функционирования, в свою очередь, может быть вызвано как реализацией угроз ИБ, так и ошибками системного программного обеспечения ПС.
Для построения ЛВ-модели процесса мониторинга ИБ ПС, по аналогии с подходом, применяемым для финансовых рисков3, рассмотрим НШС в качестве сложного события Y, состоящего из объединения логической (Л) операцией И внутренних Yin и внешних Yout производных событий.
В свою очередь, внутренние и внешние производные события могут вызываться инициирующими событиями с Л-связью ИЛИ из групп Ys (некорректная работа средств и систем защиты информации в ПС) и Ypay (нарушение платежных технологий). В каждом из событий из групп Ys и Ypay для внутренних производных событий ^выделяют события Ylml, ... , Ylmn, Yinpayl, ... , YinpaУn,, объединенные Л-связью ИЛИ. Внешнее производное событие Yout вызывает события YoutSl, ... , YoutSn, YoutpayI, ... , Youtpayn , объединенные Л-связью ИЛИ. Структура событий процесса мониторинга ИБ ПС представлена на рис. 2.
Рис. 2. Структура событий процесса мониторинга ИБ ПС
Производные и инициирующие события ЛВ-модели процесса мониторинга информационной безопасности в ПС. Опишем для общего случая события, мониторинг которых позволит определить наличие нарушений ИБ ПС (см. рис. 3, в котором для упрощения приведены только индексы в обозначении событий).
В качестве основного события Y1 будем рассматривать общий процесс мониторинга. Событие Y1 появляется от действия внутреннего производного события Y2 и внешнего Y3. Событие Y3 - производное событие внешних инициирующих событий, включающее в себя события Y8 и Y9.
Y8 - контроль взаимоотношений с внешними организациями: Y1o - контроль соблюдения лицензионных требований и наличия лицензий у внешних организаций, Y11 - контроль ведения договорной работы с внешними организациями.
Уд - контроль платежного процесса при взаимодействии с внешними организациями: У12 - мониторинг статуса клиента, У13 -мониторинг статуса (корректности) электронных платежных сообщений клиента, У14 - мониторинг ликвидности клиента.
Рис. 3. Структурная модель процесса мониторинга ИБ в ПС
У2 - производное событие внутренних инициирующих событий, включающее в себя события:
У4 - контроль действий пользователей ПС и объектов информационной инфраструктуры ПС: У6 - контроль средств ввода-вывода информации, У7 - контроль работы в подсистемах ПС, У32 - контроль работы с сетью Интернет, У33 - контроль входных/выходных данных.
У5 - контроль функционирования компонент ПС: У15 - контроль присутствия эксплуатационного персонала на рабочих местах, У16 - контроль статуса функционирования ИТ-сервисов, У16 - контроль функционирования средств и систем защиты информации.
У18 - контроль заданных настроек ПС: У1д - контроль настроек безопасности, согласно стандартам, У20 - паспортный контроль объектов информационной инфраструктуры ПС, У21 - регистрация и мониторинг событий ИТ -сервисов, У22 - регистрация и мониторинг событий средств и систем защиты информации, У23 -регистрация, учет и контроль используемых носителей информации, У24 - контроль выполняемых критичных операций в ПС, У25 - контроль систем автоматизированного мониторинга и корреляции событий.
У27 - контроль целостности: У28 - контроль целостности архивов и резервных копий, У2д - контроль целостности сред функционирования средств криптографической защиты информации, серверов, автоматизированных рабочих мест, У30 - контроль модификаций программного обеспечения ПС, У31 - контроль целостности регистрационных журналов.
В свою очередь, для наиболее критичных инициирующих событий можно построить индивидуальное дерево событий, отражающее процесс его возникновения.
Рассмотрим одно из важнейших событий для платежных систем Уд - контроль платежного процесса при взаимодействии с внешними организациями (см. рис. 4). При получении платежных сообщений от клиента важным аспектом является контроль его корректности У13. Для У13 можно определить следующие инициирующие события с учетом того, что электронное сообщение (далее - ЭС) представляет собой одиночное сообщение или пакет сообщений в соответствии с альбомом «Унифицированные форматы электронных банковских сообщений»: У34 - контроль корректности конверта ЭС (на соответствие указанному альбому), У35 - контроль корректности электронной подписи отправителя и ее принадлежности и даты формирования, У36 - контроль корректности ЭС/пакета ЭС, У37 - контроль дублирования ЭС/ пакета ЭС, У38 - контроль общей суммы платежей в пакете ЭС (если поступил пакет).
Кортежи для описания производных событий модели процесса мониторинга ИБ в ПС. Для обеспечения гибкости представленной структурной модели введем описание производных событий в виде кортежей. Производные события будут являться значением функции, аргументами которой являются инициирующие события.
Рис. 4. Структурная модель процесса контроля корректности входящих платежных сообщений ПС
Например:
1(2, 3);
2(27, 18, 5, 4);
3(8, 9);
27(28, 29, 30, 31);
18(19, 20, 21, 22, 23, 24, 25);
5(15, 16, 17);
4(6, 7, 32, 33);
8(10, 11);
9(12, 13, 14).
В записи производных кортежей знак Л-операции опущен, так как он может варьироваться в зависимости от постановки задачи. Также следует отметить, что наличие определенных факторов не является однозначным свидетельством инцидента ИБ (ранее -НШС) и соответствующие им инициирующие события имеют определенную вероятность и являются случайными совместными и независимыми событиями.
Прогнозирование финансовых потерь. При осуществлении процесса мониторинга важно оценить возможные финансовые потери от реализации рисков в ПС.
Рассмотрим подход к анализу возможных потерь на примере процесса контроля корректности входящих платежных сообщений ПС.
Фрагмент логической модели данного процесса имеет следующий вид.
У= ^34 ЛУв5 Л?36 Л?37 ^38^ ?34_Л ^35_Л ^ У37 ^ У38 ^ У34 Л ^35 Л У36 Л
У37 Л У38^ У34 Л У35 Л У36 Л У37 Л У38 V ^35 Л У36 Л У37 Л IV"
Логическую модель процесса контроля в минимальной дизъюнктивной нормальной форме можно представить следующим образом: У = У3^ У3^ У36v У37v У38.
Возможные финансовые потери от рисков реализации НШС можно вычислить по следующей формуле.
0.13 = Р34 °34 + Р35 °35 + Р36 036+ Р37 (°37+ Р38 Qз8,
где 034 ... 038 - финансовые ресурсы, которые могут быть потеряны при реализации соответствующего инициирующего события; Р34 ... Р38 - риски реализации инициирующих событий, под которыми понимается вероятность потери финансовых ресурсов.
В данном примере под финансовыми ресурсами, которые могут быть потеряны, понимаются суммы, направляемые банками клиентов в платежных распоряжениях, соответственно в зависимости от этапа контроля под угрозой могут находиться как отдельные платежные документы, так и пакеты платежей (в случае внутреннего нарушителя).
В том случае, если в банк поступает подложный платежный документ, возникает риск предъявления банку претензий клиента на данную сумму, если данный платеж будет проведен.
Существенное отличие данного подхода заключается в том, что риск возникновения основного события рассчитывается в результате Л-операций со значениями риска инициирующих событий. Значения риска инициирующих событий, например Р34 ... Р38, основаны на результатах комплексного анализа различных оценок4. Также стоит отдельно отметить, что формула расчета финансовых потерь имеет ту же структуру, что и формула Базельского комитета для расчета резервирования под операционный риск5.
В статье приведена модель возникновения НШС, на основе которой предложена структурная ЛВ-модель процесса мониторинга ИБ ПС, а также отдельно рассмотрен процесс мониторинга безопасности платежного процесса, для которого приведена формула расчета возможных потерь.
Предложенная ЛВ-модель процесса мониторинга ИБ ПС позволит описывать сложные зависимости между объектами анализа (событиями, инцидентами, уязвимостями и т. д.), а также связь
внутренних и внешних событий, инициирующих риски ИБ, как в контексте обеспечения безопасности платежного процесса, так и по направлению обеспечения ИБ ПС в целом.
Использование ЛВ-моделей при описании процессов по обеспечению ИБ позволяет исключить неопределенности, возникающие в процессе оценки влияния различных факторов на уровень ИБ ПС.
Примечания
1 Бухтин М.А. Методика и практика управления операционными рисками в коммерческом банке. М.: ИБД АРБ, 2006; Сазыкин Б.В. Управление операционным риском в коммерческом банке. М.: Вершина, 2008; Михеев В.А., Кузнецов А.В., Репин М.М. Способ определения степени уязвимости автоматизированной информационной системы в отношении конкретных методов реализации угроз безопасности информации // Вопросы защиты информации. 2013. № 1. С. 20-25; Обеспечение информационной безопасности организаций банковской системы Российской Федерации: Методика оценки рисков нарушения информационной безопасности: Рекомендации в области стандартизации Банка России. РС БР ИББС-2.2-2009. Дата введения 01.01.2010. Приняты и введены в действие распоряжением Банка России от 11 ноября 2009 г. № Р-1190; Астахов А.М. Искусство управления информационными рисками. М.: ДМК Пресс, 2010; Петренко С.А., Симонов С.В. Управление информационными рисками: Экономически оправданная безопасность. М.: ДМК Пресс, 2005; Петренко С.А. Анализ рисков в области защиты информации. СПб.: Афина, 2009.
2 Соложенцев Е.Д. Сценарное логико-вероятностное управление риском в бизнесе и технике. СПб.: Бизнес-пресса, 2004.
3 Карасева Е.И., Степанов А.Г. Логико-вероятностная модель операционного риска банка // Информационно-управляющие системы. 2011. № 2. С. 77-83.
4 Бедрединов Р.Т. Управление операционными рисками банка: Практические рекомендации. М.: Альпина, 2014.
5 Международная конвергенция измерения капитала и стандартов капитала: новые подходы типа. [Электронный ресурс] URL: http://www.cbr.ru/today/ms/ bn/bz_1.pdf (дата обращения: 10.05.2016).
