О модели системы управления метаданными инцидентов информационной безопасности Текст научной статьи по специальности «Право»

Секция «Методы и средства защиты информации»

УДК 004.056

О МОДЕЛИ СИСТЕМЫ УПРАВЛЕНИЯ МЕТАДАННЫМИ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Д. В. Калачев Научный руководитель - М. Н. Жукова

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева

Российская Федерация, 6600З7, г. Красноярск, просп. им. газ. «Красноярский рабочий», З1 E-mail: kala4evdv@gmail.com, mariem@inbox.ru

Рассматривается вопрос разработки модели системы управления метаданными инцидентов информационной безопасности с целью организации взаимодействия между владельцами информационных ресурсов и организациями, осуществляющими деятельность в области реагирования на инциденты информационной безопасности.

Ключевые слова: инцидент информационной безопасности, обнаружение, реагирование, расследование, метаданные.

ABOUT INFORMATION SECURITY INCIDENTS METADATA MANAGEMENT

SYSTEM MODEL

D. V. Kalachev Scientific supervisor - M. N. Zhukova

Reshetnev Siberian State Aerospace University З1, Krasnoyarsky Rabochy Av., Krasnoyarsk, 6600З7, Russian Federation E-mail: kala4evdv@gmail.com, mariem@inbox.ru

Consider the question of development information security incidents metadata management system model with a view to organize interaction between the owners of information resources and organizations engaged in information security incidents response.

Keywords: information security incident, detection, response, investigation, metadata.

На данный момент в Российской Федерации существует несколько организаций, подразделения которых, так или иначе, ведут деятельность в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и вызванных ими инцидентов информационной безопасности (ИБ). Одними из таких организаций являются: Федеральная служба безопасности Российской Федерации (ФСБ России) [1], Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК России) [2], Group-IB [З].

В ближайшее время создание подобного подразделения, которое будет заниматься сбором информации об инцидентах информационной безопасности банков, анализом полученных сведений и формированием рекомендаций по минимизации последствий и/или недопущению возникновения подобных инцидентов в будущем, планируется Центральным банком Российской Федерации [4].

Все подобные организации в настоящее время функционируют в полной или частичной изоляции друг от друга. Практически отсутствует взаимодействие с непосредственными владельцами информационных ресурсов и иными заинтересованными организациями на национальном и международном уровне в области обнаружения компьютерных атак и установления их источников, включая обмен информацией о выявленных компьютерных атаках и вызванных ими инцидентах. Не отлажен обмен опытом в сфере выявления и устранения уязвимостей программного обеспечения и оборудования, а также реагирования на инциденты информационной безопасности, с международными и неправительственными организациями, осуществляющими деятельность в области реагирования на инциденты ИБ.

В то время как отлаженное взаимодействие данных организаций могло бы существенно повысить эффективность обнаружения компьютерных атак, выявления и устранения уязвимостей про-

Актуальные проблемы авиации и космонавтики - 2015. Том 1

граммного обеспечения и оборудования, расследования вызванных ими инцидентов и скорость реагирования на них.

На данный момент Президентом Российской Федерации утверждена «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» [5]. Организационно-технической основой данной концепции являются создаваемые в рамках [1] и [5] центры обнаружения, предупреждения и ликвидации последствий компьютерных атак, организованные по ведомственному и территориальному принципам. Структурная схема взаимодействия данных центров приведена на рисунке.

Структурная схема взаимодействия центров системы

В рамках научно-исследовательской работы будет предложен механизм и формат обмена метаданными об инцидентах информационной безопасности между создаваемыми центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также формат обратной связи с непосредственными владельцами информационных ресурсов и иными заинтересованными организациями на национальном и международном уровне в области обнаружения компьютерных атак и установления их источников, включая обмен информацией о выявленных компьютерных атаках и вызванных ими инцидентах.

Разрабатываемый формат должен характеризоваться, но не ограничиваться наличием следующих полей:

- уникальный идентификатор инцидента;

- канал атаки;

- вид (тип) атаки;

- уязвимость;

- субъект атаки;

- объекты информационной инфраструктуры, затронутые инцидентом;

- последствия от воздействия инцидента и степень их тяжести;

- описание инцидента, техническая информация, способствующая расследованию инцидента, минимизации его последствий и/или недопущению возникновения подобных инцидентов в будущем;

- информация об инцидентах, угрозах, уязвимостях, атаках предшествующих и/или повлекших возникновение данного инцидента;

Секция «Методы и средства зашиты информации»

- время, прошедшее между непосредственной реализацией угрозы, повлекшей возникновение инцидента и его обнаружением, если установление подобной информации возможно;

- отрасль и размер затрагиваемой организации.

Таким образом, формирование единого формата обмена метаданными об инцидентах ИБ, модели обмена этими данными и формата обратной связи с заинтересованными организациями и владельцами информационных ресурсов, в целом, будет способствовать повышению эффективности обнаружения, реагирования и расследования поступающих инцидентов.

Библиографические ссылки

1. О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации: указ Президента Российской Федерации от 15.01.2013 № 31с, выписка [Электронный ресурс] : офиц. интернет-портал правовой информ. URL: http://www.pravo.gov.ru/proxy/ips/?docbody=&link_id=0&nd=102162702& intelsearch=&firstDoc=1&lastDoc=1 (дата обращения: 22.04.2015).

2. Вопросы Федеральной службы по техническому и экспортному контролю: указ Президента Российской Федерации от 16.08.2004 № 1085, выписка [Электронный ресурс] : офиц. интернет-портал правовой информ. URL: http://pravo.gov.ru/proxy/ips/?docbody=&nd=102088330 (дата обращения: 22.04.2015).

3. Информация о CERT-GIB [Электронный ресурс] : CERT-GIB - центр круглосуточного реагирования на инциденты информационной безопасности, созданный на базе компании Group-IB, офи-ц. сайт. URL: http://www.cert-gib.ru/about_cert.php (дата обращения: 22.04.2015).

4. ЦБ создаст центр реагирования на инциденты в сфере информбезопасности банков [Электронный ресурс] : Ассоциация рос. банков : офиц. сайт. URL: http://arb.ru/b2b/news/tsb_sozdast_tsentr_ reagirovaniya_na_intsidenty_v_sfere_informbezopasnosti_bankov-9892459/ (дата обращения: 22.04.2015).

5. Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации : утв. Президентом РФ 12.12.2014 № К 1274, выписка [Электронный ресурс] : федер. служба безопасности Российской Федерации, официальный сайт. URL: http://www.fsb.ru/files/PDF/Vipiska_iz_koncepcii.pdf (дата обращения: 22.04.2015).

© Калачев Д. В., 2015