CC BY
74Решетневскуе чтения. 2014
vserossiyskoy nauchnoy konferencii. 2002. Izdatelstvo MGU. (The complex of monitoring of distributed information systems // Scientific service on the Internet. Proceedings of the All-Russian scientific conference. 2002 MGU.)
2. Kovalenko V., Kovalenko E., Paketnaya obrabotka zadaniy v kompyuternih setyah // Otkritie systemy (The
packet job processing in computer networks // Open Systems.) N7-8 2000.
3. Robert W. Wisniewski, Bryan Rosenburg. Efficient, Unified, and Scalable Performance Monitor-ing for Multiprocessor Operating Systems. November 15, 2003, Phoenix, Arizona, USA.
© Семенов В. Ю., 2014
УДК 004.056
ОБ АДАПТАЦИИ СТРАТЕГИЙ РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ*
М. М. Соколов
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: fintibober@bk.ru
Рассматривается процесс адаптации стратегий реагирования на инциденты информационной безопасности, его структура, входные и выходные параметры.
Ключевые слова: инцидент информационной безопасности, прецедент, стратегия реагирования.
ABOUT THE ADAPTATION STRATEGIES FOR RESPONDING TO INFORMATION SECURITY INCIDENTS
M. M. Sokolov
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russian Federation E-mail: fintibober@bk.ru
The process of adaptation strategies for responding to information security incidents, its structure, input and output are analyzed.
Keywords: information security incident, precedent, response strategy.
Основной задачей, решаемой в процессе адаптации стратегий реагирования, является выработка перечня мероприятий, которые позволят локализовать или устранить появившийся в автоматизированной системе инцидент.
Применение алгоритма возможно в случаях, когда не удалось однозначно сопоставить инциденту информационной безопасности какой-либо прецедент из базы знаний или когда выполнение мероприятий из стратегии реагирования, найденного ближайшего прецедента, не дало положительного результата по устранению инцидента.
Для функционирования алгоритма адаптации стратегий реагирования необходимо описать рабочее (штатное) состояние системы, при котором отсутствует воздействие какого-либо инцидента информационной безопасности. Данное описание является форма-
лизованным. Также должно присутствовать описание рабочего состояния системы, при оказании воздействия на данную систему со стороны инцидента информационной безопасности. Данное описание состоит из тех же параметров, что и описание рабочего состояния системы, при отсутствии воздействия со стороны инцидента информационной безопасности.
Алгоритм адаптации стратегий реагирования (см. рисунок) представляет собой пошаговое выявление «проблемных мест» автоматизированной системы. Алгоритм заключается в последовательном применении выбранной стратегии реагирования с последующим анализом параметров системы и выявлении тех параметров, которые не вернулись в исходное состояние (рабочее состояние параметров системы, без оказания воздействия на нее со стороны инцидента информационной безопасности).
*Работа поддержана грантом Президента РФ молодым кандидатам наук, договор № 14.124.13.473-МК от 04.02.2013 г.
Методы и средства защиты информации
Первым этапом алгоритма адаптации стратегий реагирования является определение изменений параметров системы с учетом оказания воздействия на систему со стороны инцидента и действий исходя из стратегии реагирования, найденного ближайшего прецедента. Результатом данного этапа является описание рабочего состояния системы в текущий момент [1].
Определение текущего состояния системы
I
Определение близости текущего \ состояния системы к рабочему
I
Определение параметров инцидента влияющих на текущее состояние системы
^ Конец ^
Алгоритм адаптации стратегий реагирования
На втором этапе определяется близость состояния системы к исходному, путем нахождения расстояния между ^-мерными объектами в пространстве, где объектами являются описание рабочего состояния системы при отсутствии воздействия со стороны инцидента информационной безопасности и описание состояния системы в текущий момент. На данном этапе также определяются параметры системы, которые не вернулись в исходное состояние после применения мер из стратегии реагирования.
На третьем этапе определяется, какой параметр или совокупность параметров инцидента повлияли на параметр системы, не вернувшийся в исходное состояние после применения шагов из стратегии реагирования. Данный этап является основополагающим; если соответствие между параметрами инцидента и параметрами системы было установлено неверно, то
дальнейшие действия по локализации и устранению инцидента информационной безопасности не дадут положительного результата.
Четвертым этапом алгоритма адаптации стратегии реагирования является выполнение очередной итерации поиска ближайшего прецедента. Параметры поиска варьируются на основе результатов, полученных на третьем этапе алгоритма адаптации. Значимость параметров инцидента, влияющих на параметры системы, вернувшиеся в исходное состояние, минимизируется, а значимость параметров инцидента, влияющих на параметры системы, не вернувшихся в исходное состояние, максимизируется. Данный подход реализуется за счет использования весовых коэффициентов при расчете близости между инцидентом информационной безопасности и прецедентами из базы знаний [2].
Пятый этап алгоритма адаптации стратегии реагирования - это непосредственное применение шагов из стратегии реагирования найденного ближайшего прецедента. Если выполнение действий из стратегии реагирования не помогло устранить или локализовать инцидент информационной безопасности, то алгоритм адаптации стратегий реагирования выполняется сначала.
Предложенный алгоритм адаптации стратегий реагирования на инциденты информационной безопасности является гибким и прозрачным для пользователя, потому что сам пользователь принимает участие в формировании конечного результата алгоритма. Стоит отметить, что данное свойство может является негативным фактором, влияющим на результат, потому что человек может допустить ошибку при выполнении алгоритма адаптации стратегий реагирования, что может привести к отрицательному результату, инцидент информационной безопасности не будет устранен.
Библиографические ссылки
1. Жуков В. Г., Шаляпин А. А. Прецедентный анализ инцидентов информационной безопасности // Вестник СибГАУ. 2013. Вып. 2 (48). С. 19-24.
2. Соколов М. М. Исследование влияния функций нахождения расстояния на эффективность работы системы прецедентного обнаружения и анализа инцидентов информационной безопасности / Сиб. гос. аэ-рокосмич. ун-т. Красноярск, 2013. 81 с.
References
1. Zhukov V. G., Shaljapin A. A. Pretsedentnyy analiz intsidentov informatsionnoy bezopasnosti // Vestnik SibGAU, 2013. Vypusk 2 (48) S. 19-24.
2. Sokolov M.M. Issledovanie vlijanija funkcij nahozhdenija rasstojanija na jeffektivnost' raboty sistemy precedentnogo obnaruzhenija i analiza incidentov informacionnoj bezopasnosti. Krasnojarsk: Vypusknaja kvalifikacionnaja rabota SibGAU, 2013. 81 s.
© Соколов М. М., 2014
