Научная статья на тему 'О модели системы управления метаданными инцидентов информационной безопасности'

О модели системы управления метаданными инцидентов информационной безопасности Текст научной статьи по специальности «Право»

CC BY
270
54
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНЦИДЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ / INFORMATION SECURITY INCIDENT / ОБНАРУЖЕНИЕ / DETECTION / РЕАГИРОВАНИЕ / RESPONSE / РАССЛЕДОВАНИЕ / INVESTIGATION / МЕТАДАННЫЕ / METADATA

Аннотация научной статьи по праву, автор научной работы — Калачев Д. В., Жукова М. Н.

Рассматривается вопрос разработки модели системы управления метаданными инцидентов информационной безопасности с целью организации взаимодействия между владельцами информационных ресурсов и организациями, осуществляющими деятельность в области реагирования на инциденты информационной безопасности.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ABOUT INFORMATION SECURITY INCIDENTS METADATA MANAGEMENT SYSTEM MODEL

Consider the question of development information security incidents metadata management system model with a view to organize interaction between the owners of information resources and organizations engaged in information security incidents response.

Текст научной работы на тему «О модели системы управления метаданными инцидентов информационной безопасности»

Секция «Методы и средства защиты информации»

УДК 004.056

О МОДЕЛИ СИСТЕМЫ УПРАВЛЕНИЯ МЕТАДАННЫМИ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Д. В. Калачев Научный руководитель - М. Н. Жукова

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева

Российская Федерация, 6600З7, г. Красноярск, просп. им. газ. «Красноярский рабочий», З1 E-mail: [email protected], [email protected]

Рассматривается вопрос разработки модели системы управления метаданными инцидентов информационной безопасности с целью организации взаимодействия между владельцами информационных ресурсов и организациями, осуществляющими деятельность в области реагирования на инциденты информационной безопасности.

Ключевые слова: инцидент информационной безопасности, обнаружение, реагирование, расследование, метаданные.

ABOUT INFORMATION SECURITY INCIDENTS METADATA MANAGEMENT

SYSTEM MODEL

D. V. Kalachev Scientific supervisor - M. N. Zhukova

Reshetnev Siberian State Aerospace University З1, Krasnoyarsky Rabochy Av., Krasnoyarsk, 6600З7, Russian Federation E-mail: [email protected], [email protected]

Consider the question of development information security incidents metadata management system model with a view to organize interaction between the owners of information resources and organizations engaged in information security incidents response.

Keywords: information security incident, detection, response, investigation, metadata.

На данный момент в Российской Федерации существует несколько организаций, подразделения которых, так или иначе, ведут деятельность в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и вызванных ими инцидентов информационной безопасности (ИБ). Одними из таких организаций являются: Федеральная служба безопасности Российской Федерации (ФСБ России) [1], Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК России) [2], Group-IB [З].

В ближайшее время создание подобного подразделения, которое будет заниматься сбором информации об инцидентах информационной безопасности банков, анализом полученных сведений и формированием рекомендаций по минимизации последствий и/или недопущению возникновения подобных инцидентов в будущем, планируется Центральным банком Российской Федерации [4].

Все подобные организации в настоящее время функционируют в полной или частичной изоляции друг от друга. Практически отсутствует взаимодействие с непосредственными владельцами информационных ресурсов и иными заинтересованными организациями на национальном и международном уровне в области обнаружения компьютерных атак и установления их источников, включая обмен информацией о выявленных компьютерных атаках и вызванных ими инцидентах. Не отлажен обмен опытом в сфере выявления и устранения уязвимостей программного обеспечения и оборудования, а также реагирования на инциденты информационной безопасности, с международными и неправительственными организациями, осуществляющими деятельность в области реагирования на инциденты ИБ.

В то время как отлаженное взаимодействие данных организаций могло бы существенно повысить эффективность обнаружения компьютерных атак, выявления и устранения уязвимостей про-

Актуальные проблемы авиации и космонавтики - 2015. Том 1

граммного обеспечения и оборудования, расследования вызванных ими инцидентов и скорость реагирования на них.

На данный момент Президентом Российской Федерации утверждена «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» [5]. Организационно-технической основой данной концепции являются создаваемые в рамках [1] и [5] центры обнаружения, предупреждения и ликвидации последствий компьютерных атак, организованные по ведомственному и территориальному принципам. Структурная схема взаимодействия данных центров приведена на рисунке.

Структурная схема взаимодействия центров системы

В рамках научно-исследовательской работы будет предложен механизм и формат обмена метаданными об инцидентах информационной безопасности между создаваемыми центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также формат обратной связи с непосредственными владельцами информационных ресурсов и иными заинтересованными организациями на национальном и международном уровне в области обнаружения компьютерных атак и установления их источников, включая обмен информацией о выявленных компьютерных атаках и вызванных ими инцидентах.

Разрабатываемый формат должен характеризоваться, но не ограничиваться наличием следующих полей:

- уникальный идентификатор инцидента;

- канал атаки;

- вид (тип) атаки;

- уязвимость;

- субъект атаки;

- объекты информационной инфраструктуры, затронутые инцидентом;

- последствия от воздействия инцидента и степень их тяжести;

- описание инцидента, техническая информация, способствующая расследованию инцидента, минимизации его последствий и/или недопущению возникновения подобных инцидентов в будущем;

- информация об инцидентах, угрозах, уязвимостях, атаках предшествующих и/или повлекших возникновение данного инцидента;

Секция «Методы и средства зашиты информации»

- время, прошедшее между непосредственной реализацией угрозы, повлекшей возникновение инцидента и его обнаружением, если установление подобной информации возможно;

- отрасль и размер затрагиваемой организации.

Таким образом, формирование единого формата обмена метаданными об инцидентах ИБ, модели обмена этими данными и формата обратной связи с заинтересованными организациями и владельцами информационных ресурсов, в целом, будет способствовать повышению эффективности обнаружения, реагирования и расследования поступающих инцидентов.

Библиографические ссылки

1. О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации: указ Президента Российской Федерации от 15.01.2013 № 31с, выписка [Электронный ресурс] : офиц. интернет-портал правовой информ. URL: http://www.pravo.gov.ru/proxy/ips/?docbody=&link_id=0&nd=102162702& intelsearch=&firstDoc=1&lastDoc=1 (дата обращения: 22.04.2015).

2. Вопросы Федеральной службы по техническому и экспортному контролю: указ Президента Российской Федерации от 16.08.2004 № 1085, выписка [Электронный ресурс] : офиц. интернет-портал правовой информ. URL: http://pravo.gov.ru/proxy/ips/?docbody=&nd=102088330 (дата обращения: 22.04.2015).

3. Информация о CERT-GIB [Электронный ресурс] : CERT-GIB - центр круглосуточного реагирования на инциденты информационной безопасности, созданный на базе компании Group-IB, офи-ц. сайт. URL: http://www.cert-gib.ru/about_cert.php (дата обращения: 22.04.2015).

4. ЦБ создаст центр реагирования на инциденты в сфере информбезопасности банков [Электронный ресурс] : Ассоциация рос. банков : офиц. сайт. URL: http://arb.ru/b2b/news/tsb_sozdast_tsentr_ reagirovaniya_na_intsidenty_v_sfere_informbezopasnosti_bankov-9892459/ (дата обращения: 22.04.2015).

5. Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации : утв. Президентом РФ 12.12.2014 № К 1274, выписка [Электронный ресурс] : федер. служба безопасности Российской Федерации, официальный сайт. URL: http://www.fsb.ru/files/PDF/Vipiska_iz_koncepcii.pdf (дата обращения: 22.04.2015).

© Калачев Д. В., 2015

i Надоели баннеры? Вы всегда можете отключить рекламу.