CC BY
32
УДК 004.056 DOI: 10.24412/2071-6168-2021-2-277-286
ПОДХОДЫ К ПРОЕКТИРОВАНИЮ ИНТЕЛЛЕКТУАЛЬНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ ДЛЯ ПОСТРОЕНИЯ МОДЕЛЕЙ УГРОЗ
ОРГАНИЗАЦИЙ
И.С. Глущенко, Е.М. Баранова, А.Н. Баранов, С.Ю. Борзенкова
Приведено описание проектирования на основе интеллектуальных методов экспертной оценки и адаптивного моделирования эффективной системы защиты информации в автоматизированных системах с учетом актуальных угроз, наиболее вероятных нарушителей и выявленных уязвимостей.
Ключевые слова: конфиденциальность, нарушитель, уязвимости, модель угроз, экспертная оценка, адаптивное моделирование.
Сегодня одними из наиболее действенных и популярных методов для построения эффективной системы защиты информации (конфиденциальных сведений), обрабатываемой в организациях, является моделирование системы защиты информации с учетом следующих факторов:
- вида информации, которая требует защиты - персональные данные субъектов; конфиденциальная информация, а именно коммерческая тайна, информация для служебного пользования; интеллектуальная собственность; закрытая информация, включая государственную тайну;
- характеристик режима обработки конфиденциальной информации (сегодня эта характеристика, как правило, сводится к характеристики информационной автоматизированной системы, в которой обрабатывается конфиденциальная информация, так как ручная обработка информации сегодня замена автоматизированной обработкой);
- актуальных угроз нарушения целостности, доступности, конфиденциальности информации;
- выявленных в текущей системе защиты уязвимостей;
- вероятностных категорий нарушителей режимов работы с конфиденциальной информацией.
Сегодня ФСТЭК рекомендованы подходы к моделированию систем защиты информации, включая рекомендации по оценке действий потенциальных нарушителей, однако, общий универсальный подход не может быть выработан в силу огромного количества нюансов, свойственных для конкретной организации, информация которой требует защиты.
Методика по моделированию систем защиты информации, регламентируемая ФСТЭК, достаточно трудоемкая, так как, с одной стороны, требуется учесть сложившуюся ситуацию с эксплуатацией информационных систем в текущей организации, а с другой стороны, отфильтровать неактуальные, то есть маловероятные угрозы, так как меры и средства по системе защиты информации напрямую зависят от количества реализуемых с высокой степенью вероятности угроз, которые, в свою очередь, зависят от предполагаемых категорий нарушителей и их действий. Из этого следует, что меры по защите не должны покрывать маловероятные угрозы, так как организация может нести неоправданно высокие издержки в ходе реализации систем защиты информации.
Фирмой «Конфидент» представлены два популярных программных решения, которые позволяют автоматизировать работы по созданию системы защиты информационных ресурсов предприятия.
Стоит отметить, что с 2005 года оба программных продукта были объединены в программный пакет Digital Security Office. Данное решение является вполне естественным, поскольку функциональные возможности рассматриваемых программ дополняют друг друга.
Система «Гриф» предназначена для оценки уровня рисков в информационной среде предприятия, что подразумевает определение и оценку существующего уровня защищенности информационных ресурсов. Зачастую данный процесс является затруднительным и проводится группой экспертов, однако рассматриваемая система позволяет провести анализ и получить оценку защищенности одному эксперту ИБ за сравнительно небольшой период времени.
В то же время, система «Гриф» позволяет решить еще одну крайне актуальную задачу - задачу формирования и распределения бюджета на информационную безопасность предприятия. Рассматриваемая система позволяет выявить наиболее значимые узлы системы, которым стоит отдать предпочтение при распределении бюджета, при этом сэкономив на обеспечении безопасности относительно защищенных или же в меньшей степени подверженных атакам узлов, что позволяет добиться максимальной эффективности вложений средств на организацию информационной безопасности.
Таким образом, система «Гриф» позволяет специалисту ИБ самостоятельно оценить уровень рисков в информационной среде и оценить эффективность существующей практики по обеспечению безопасности предприятия. На вход система получает описание архитектуры информационной сети предприятия, исходя из которой происходит построение модели угроз и уязвимостей, актуальной для предприятия. На основе полученной модели проводится анализ вероятности реализации угроз ИБ на каждый ресурс и, исходя из этого, производится расчет рисков.
Взаимодействие системы «Гриф» с пользователем производится на основе последовательных опросов. В рамках первого опроса, пользователь передает системе информацию о списке информационных ресурсов, представляющих ценность для компании. Далее, система запрашивает данные о видах информации, представляющей ценность для предприятия. На третьем этапе система определяет все виды пользовательских групп, а также соотносит степени доступа к ресурсам каждой из выявленных групп пользователей. На четвертом этапе система получает от пользователя информацию о бизнес-процессах, протекающих в информационной системе предприятия. Заключительный опрос посвящен определению средств защиты информации, которыми защищена ценная информация на ресурсах.
Итоговая оценка системы «Гриф» основывается на наборе параметров, определяемых защищенностью анализируемого объекта: анализируются как технологические аспекты защищенности, так и вопросы комплексной безопасности. При этом анализ производится согласно стандартам ISO 15408, ISO 17799 и другим.
Теперь подробнее рассмотрим систему «Кондор». Функциональное наполнение данной системы посвящено комплексной разработке и управлению политикой безопасности информационной системой предприятия на основе стандарта ISO 17799. Рассматриваемая система включает в себя инструментарий для разработки всех основных положений политики информационной безопасности и управления процессом внедрения данных положений на практике.
Система «Кондор» решает следующие задачи, стоящие перед специалистами ИБ на предприятии:
- определение слабых мест в политике безопасности информационной системы предприятия;
- анализ рисков невыполнения каждого положения политики безопасности;
- ранжирование выявленных рисков по степени их критичности, что позволяет определить приоритет планируемых действий по их минимизации;
- эффективное управление рисками, возникающими в связи с невыполнением положений политики безопасности.
Система «Кондор» включает в себя практически все положения стандарта ISO 17799 «Управление информационной безопасностью. Практические правила», что позволяет получить полною картину на степень выполнения заданной политики информационной безопасности на предприятии.
У каждого из положений указанного выше стандарта по умолчанию задан вес, который характеризует степень критичности данного положения для поддержания необходимого уровня защищенности. Заданные веса разработаны экспертами Digital Security, однако, учитывая, что универсальные значения весов не всегда могут учесть все особенности различных предприятий, в программе предусмотрена возможностью изменения весов.
Как и система «Гриф», «Кондор» получает всю необходимую входную информацию путем опроса пользователя. Проводимый анализ собранной информации направлен на выявление невыполняемых положений политики безопасности.
Результатом работы системы «Кондор» служит отчет, содержащий все выполненные и невыполненные на рассматриваемом предприятии положения стандарта ISO 17799, а также анализ эффективности внедрения невыполненных положений.
Очевидными плюсами использования данных программных средств является их простота освоения и использования при достаточно глубокой степени проводимого анализа. Сложный алгоритм выявления и анализа рисков представляется конечному пользователю в виде простых опросов, в результате которых получаются конкретные рекомендации по улучшению степени защищенности предприятия. Использование данных средств в значительной степени снижает временные затраты на проведение аудита информационной безопасности на предприятии, а также избавляет специалистов ИБ от необходимости прибегать к помощи нескольких экспертов, передавая управление процессом анализа единственному специалисту.
В то же время, в использовании данных продуктов можно выделить и очевидные минусы. Прежде всего, это субъективность всего проводимого процесса. Успех анализа рисков и степени защищенности при использовании данных программных продуктов напрямую зависит от уровня квалификации ответственного специалиста ИБ. В то же время, нельзя исключать вероятность возникновения субъективных погрешностей при сборе входных данных
Еще одним существенным минусом является тот факт, что данные системы не предназначены для автономного сбора данных о текущих уязвимостях системы. Архитектура рассмотренных систем предполагает получение входных данных напрямую от пользователя, что никак не решает одну из наиболее острых проблем информационной безопасности - проблема своевременного мониторинга актуальности угроз и адаптации системы. Освещенные выше минусы данных систем могут привести к нежелательным материальным потерям, а также неточностям при проведении процедуры анализа защищенности информационной системы предприятия.
Кроме того, были рассмотрены технологии и методологии в области построения систем защиты информации, зарегистрированные за последние несколько лет как на территории России, так и в зарубежных странах. В данном случае, исследование производилось на основе материалов патентных ведомств, представленных на официальных сайтах Федерального института промышленной собственности (ФИПС), а также материалов открытых баз данных Espacenet, Patentscope и USPTO.
Рассмотренные технологии, зарегистрированные за последние пять лет в России, представлены в табл. 1.
Рассмотренные технологии, зарегистрированные за последние пять лет за рубежом, представлены в табл. 2.
Прежде всего, стоит отметить общий характер российских технологий. Рассмотренные в ходе исследования технологии представляют собой более традиционный подход к решению задачи моделирования систем защиты информации и анализа рисков и угроз информационной безопасности. Как правило, они включают в себя два взаимосвязанных модуля, отвечающих за моделирование угроз и анализ рисков ИБ, подкрепленных системой поддержки принятия решений относительно политики безопасности, различных по сложности и глубине формируемых рекомендаций. Данные технологии
могут отличаться друг от друга методологией реализуемых процедур, однако их структура остается неизменной, точно также, как и общий алгоритм зарегистрированных систем.
Таблица 1
Исследование зарегистрированных российских технологий моделирования угроз _и анализа рисков ИБ_
Технологии, зарегистрированные на территории РФ
Название Краткое описание
Программный модуль моделирования угроз информационной безопасности ИС Данное ПО позволяет выявить актуальные угрозы информационной безопасности системы, при этом учитывая ее топологию, а также обнаружить уязвимости используемого программного обеспечения. Модуль включает в себя систему поддержки принятия решений при нахождении методики устранения выявленных уязвимостей. В то же время, программный модуль позволяет визуализировать выявленные угрозы на топологии моделируемой информационной системы.
Программа оценки рисков для корпоративных систем Предназначена для моделирования корпоративной сети для оценки возможных угроз и рисков ее безопасности. В рамках данной программы необходимо задать общую информацию о составе корпоративной сети, а также о параметрах ее элементов
Имитационное моделирование живучести автоматизированных информационных систем Программа предназначена для имитационного моделирования работы информационной системы, позволяющего впоследствии оценить общую надежность системы.
Программа для моделирования угроз и уязви-мостей информационной системы программа позволяет произвести моделирование угроз информационной безопасности системы как на этапе разработки (прогнозирование угроз), так и на этапе эксплуатации системы. При анализе результатов моделирования угроз, данная программа вычисляет оценку общей уязвимости системы (CVSS), позволяя количественно оценить общее состояние системы с точки зрения информационной безопасности. В ходе моделирования, программа позволяет получить общую схему угроз и уязвимостей системы, привязав их к конкретным программным модулям или узлам системы.
Количественная оценка последствий от реализации злоумышленников угроз безопасности информации ограниченного распространения Предназначена для расчета вероятностей возникновения тех или иных угроз информационной безопасности предприятия, а также для оценки возможных последствий от реализации угроз. В программу включены возможности расчета вероятностей угроз в зависимости от количества шагов алгоритма, а также графическое представление зависимости вероятности благополучного исхода от количества шагов моделирования.
Программа для расчета риска информационной безопасности на основе модели угроз и уязвимо-стей Позволяет на основе входных параметров системы построить модель угроз и уязвимостей, актуальных для информационной системы предприятия. На основе полученной модели, программа позволяет рассчитать вероятность возникновения того или иного риска, относящегося к конкретному ресурсу информационной системы.
Автоматизированная система оценки рисков безопасности информационных систем персональных данных Затрагивает безопасность персональных данных, позволяя оценить риски безопасности этих данных. Программа решает такие задачи, как оценка возможного ущерба от разглашения, удаления или изменения персональных данных, оценка возможности реализации угроз, анализ потенциальных уяз-вимостей, а также формирование рекомендаций по нейтрализации возможных угроз безопасности.
Анализ рисков информационной безопасности на основе теории игр Предназначена для анализа рисков ИБ. Она позволяет произвольно добавлять и выбирать угрозы, уязвимости и защитные меры, специфичные для конкретного объекта. Анализ рисков производится в соответствии с критериями из теории игр, в частности критериями Гурвица, Лапласа, Вальда и Сэвиджа.
Упомянутый выше алгоритм предполагает математическое моделирование информационной системы предприятия для имитации различных угроз ее информационной безопасности с целью определить и дать количественную оценку возможным уяз-вимостям системы. На основе полученной на данном этапе модели производится анализ вероятностей возникновения тех или иных сценариев, при которых система может
подвергаться различным сочетаниям вредоносных факторов. Как правило, когда речь идет о российских технологиях, подразумевается анализ сценариев для конкретных параметров, заданных на начальном этапе анализа, что исключает гибкость и адаптивность данного подхода.
Таблица2
Исследование зарегистрированных зарубежных технологий моделирования угроз _и анализа рисков ИБ_
Технологии, зарегистрированные в зарубежных странах
Название Краткое описание
Information security threat analysis Программа нацелена на анализ возможных угроз безопасности информационной системы. Она позволяет выявить те или иные уязвимости на конкретных узлах системы, а также спрогнозировать риски возникновения угроз тем или иным информационным ресурсам. Имеется кластеризация проблем и использовании накопленного опыта из предыдущих исследований, позволяющих более точно спрогнозировать возможные угрозы.
Complex network oriented security risk analysis Реализует комплексный анализ рисков сетевой безопасности организации. Позволяет смоделировать сетевое окружение проектируемой или эксплуатируемой системы, а также возможные пути сетевых атак на предприятие. Позволяет спрогнозировать возможные потери в случае возникновения той или иной сетевой угрозы, а также сформировать рекомендации по стратегии обеспечения безопасности.
Security via adaptive threat modeling Программа реализует адаптивный метод моделирования возможных угроз информационной безопасности. Предназначена для моделирования уязвимостей и угроз системы, их количественной оценки и генерации возможных решений по их устранению В основе работы программы лежит технология машинного обучения, позволяющая адаптировать генерируемые рекомендации на основе накопленной информации о предыдущих исследованиях.
System for predicting security threat attacks Программа решает задачу прогнозирования возможных рисков на основе предыдущего опыта как самого предприятия (используя внутреннюю базу данных), так и сторонних предприятий (используя открытые базы данных). Программа позволяет выявить зависимости между частотой (вероятностью) возникновения тех или иных угроз информационной безопасности и конкретными конфигурациями информационных систем и ресурсов.
Security Threat Modeling Tool Using Machine Learning В рамках программы реализуется механизм адаптивного моделирования угроз информационной безопасности системы. Программа позволяет смоделировать возможные угрозы информационной безопасности информационной системе, привести для выявленных угроз количественные оценки, спрогнозировать возможные потери при возникновении данных угроз, а также разработать рекомендации по их предотвращению. На основе накопленных в результате предыдущих исследований метаданных о выявленных угрозах и результатах их устранения, программа способна скорректировать стратегии по борьбе с информационными угрозами.
На финальном этапе алгоритма предполагается формирование возможных рекомендаций для формирования политики безопасности, основывающихся на результатах проведенного анализа. Каждая из сформированных рекомендаций направлена на минимизацию возможных рисков возникновения угроз, при этом, как правило, предпочтение отдается угрозам, имеющим наивысший коэффициент оценки возможных материальных потерь.
Стоит отметить, что укрупненный алгоритм работы зарегистрированных систем остается неизменным - он ничуть не отличается от алгоритма работы российских разработок. Однако, при детальном рассмотрении можно выделить ряд существенных отличий.
Особое внимание в рассматриваемых технологиях уделяется понятию «адаптивного моделирования», под которым понимается возможность системы учитывать реальный опыт возникновения и устранения угроз безопасности, накопленный в процессе работы предприятия. Такой подход позволяет постоянно корректировать процессы моделирования и анализа, тем самым позволяя добиться прогнозов возникновения угроз, более приближенных к реальности, чем при традиционном подходе к моделированию и анализу.
Еще одной отличительной чертой зарубежных технологий является стремление снизить участие оператора в работе системы.
На рис. 1 показана схема, отражающая общий подход к построению системы защиты информации.
Объективная оценка специалистов
Анализ исходных данных относительно АС
по обработке ПД или иной конфиденциальной информации (входные данные)
^ Экспертная с
Построение модели нарушителя (обобщение действий нарушителя)
Формирование перечня угроз для информации, обрабатываемой в АС
Расчет исходной степени защищенности на основе технических и эксплуатационных характеристик АС
Ж
Методика ФСТЭК
Определять вероятность реализации каждой угрозы для всех категорий нарушителей
Произвести оценку опасности угрозы с присвоением угрозе одного нз 3-х значении: низкая, средняя, высокая
Методика ФСТЭК
Определить коэффициент реализуемости угрозы
Определить значения опасности угрозы
| Определить актуальность угрозы |
Ж Документы в сфере ИБ
Определить тип актуальной угрозы
Определить уровень (класс) защищенности АС
Рекомендации ФСТЭК
Определить базовый набор мер по защите АС
Адаптивное
моделирование
Адаптировать
(убрать меры в соответсвтш с неактуальными угрозами)
Адаптивное
(добавить меры в соответсвни с актуальными угрозами)
моделирование
Выработать организационные меры
Выбрать программные и технические (программно-аппаратные) средства соответсвугощнх классов защищенности
Рис. 1. Схема, отражающая общий подход к построению системы защиты
информации
Таким образом, обобщая опыт специалистов в области построения систем защиты информации, следует обратить внимание на экспертное моделирование и на адаптивное моделирование, так как эти методологии затрагивают алгоритмы и методологии построения программных продуктов с искусственным интеллектом, проявляя самоанализ и самообучение.
Процедура построения системы защиты информации предполагает выявление следующих параметров системы предприятия: модель нарушителя; уровень исходной защищенности; вероятность реализации угроз; актуальность угроз; последствия реализации угроз.
Кроме того, желательно учитывать и уязвимости в текущей системе защиты информации.
Модель нарушителя содержит детальное описание потенциальных злоумышленников, несанкционированный доступ к корпоративной информации, которых может повлечь за собой значительные материальные потери. Различают внешних и внутренних нарушителей, в зависимости от их принадлежности к предприятию.
Потенциальные внутренние нарушители информационной безопасности классифицируются по категориям, в зависимости от их положения в структуре предприятия и, следовательно, возможностями по доступу к защищаемой информации.
Под уровнем исходной защищенности понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик информационной системы предприятия. По ряду критериев, характеристикам рассматриваемой информационной системы присваивают соответствующие уровни защищенности (высокий, средний, низкий).
Исходная степень защищенности определяется в зависимости от общей защищенности по каждой из характеристик. Таким образом, информационная система:
имеет высокий уровень исходной защищенности, если не менее 70% характеристик соответствуют уровню «высокий», а остальные - уровню «средний» (численный коэффициент У1=0);
имеет средний уровень исходной защищенности, если не менее 70% характеристик соответствуют уровню не ниже «средний» (численный коэффициент У1=5);
имеет низкую степень исходной защищенности, если не выполняются предыдущие 2 условия (численный коэффициент У1=10).
Под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности информации для системы предприятия в текущих условиях. Выделяется четыре уровня вероятности возникновения угрозы:
маловероятно - отсутствуют объективные предпосылки для осуществления
угрозы;
низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию;
средняя вероятность - объективные предпосылки для реализации угрозы существуют, и предпринятые меры обеспечения безопасности недостаточны;
высокая вероятность - объективные предпосылки для реализации угрозы существуют, и меры по обеспечению безопасности не приняты.
Данные классы присваиваются каждой из угроз в отдельности, в зависимости от категории возможного нарушителя и общего характера рассматриваемой угрозы.
Реализуемость угрозы оценивается на основе показателей исходной защищенности системы (У1) и вероятности возникновения угроз (У2) путем вычисления коэффициента реализуемости угрозы (У).
Коэффициент реализуемости угрозы определяется следующим соотношением:
У = (1)
20 4 '
По значению коэффициента формируется вербальная интерпретация реализуемости угрозы:
если 0 < У < 0,3, то возможность реализации угрозы признается низкой; если 0,3 < У < 0,6, то возможность реализации угрозы признается средней; если 0,6 < У < 0,8, то возможность реализации угрозы признается высокой; если У > 0,8, то возможность реализации угрозы признается очень высокой. Следующим этапом является оценка актуальности угроз. Прежде чем непосредственно оценить актуальность угрозы, необходимо произвести оценку ее опасности. Опасность каждой угрозы оценивается на основе опроса экспертов, в результате чего определяется вербальный показатель опасности для рассматриваемой системы. Данный показатель имеет три значения:
низкая опасность - реализация угрозы может привести к незначительным негативным последствиям;
средняя опасность - реализация угрозы может привести к негативным последствиям;
высокая опасность - реализация угрозы может привести к значительным негативным последствиям.
Далее, исходя из показателя опасности и возможности реализации угрозы, производится оценка ее актуальности. Оценка актуальности угрозы может быть проведена по следующим правилам (табл. 3).
Таким образом, в результате построения модели угроз предприятия, могут быть получены следующие ее элементы:
описание информационной системы предприятия и ее структурно-функциональные характеристики;
описание угроз безопасности с указанием их актуальности и способов их реализации;
модель нарушителя;
перечень возможных уязвимостей;
перечень последствий от нарушения свойств безопасности информации. Далее, в соответствии с рис. 1, необходимо проанализировать процедуры анализа рисков возникновения угроз.
Таблица 3
Правила отнесения угрозы безопасности к актуальной_
Возможность реализации угрозы Показатель опасности угрозы
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
Очень высокая актуальная актуальная актуальная
Логическим продолжением этапа построения модели угроз предприятия является проведение анализа и оценки рисков возникновения угроз. Анализ рисков производится с различной степенью детализации, в зависимости от критичности исследуемых информационных активов предприятия.
В данном случае, уже полученная модель угроз ИС предприятия может служить поводом пропустить этап идентификации, поскольку модель угроз уже включает в себя необходимую для дальнейшего анализа информацию. Это позволяет сразу перейти к непосредственной оценке выявленных рисков.
Методы оценки можно разделить на два основных направления: количественные и качественные. Качественная оценка рисков является менее затратной, чем количественная, и позволяет выявить основные риски, для которые в первую очередь следует оценить количественно. Качественная оценка описывает величину и вероятность потенциальных последствий, используя шкалу квалификации атрибутов.
В рамках проведения экспертной оценки уполномоченные сотрудники определяют и ранжируют возможные риски с точки зрения наступления рискового события и его потенциальной опасности, после чего для каждого вида риска вычисляется интегральный уровень риска. Далее вычисляется среднее значение интегрального уровня риска:
= (2) где R-l - средний интегральный уровень риска; N - число экспертов; Rl t - оценка интегрального уровня риска, выставленная отдельным экспертом.
Далее, для каждого вида рисков сравниваются величины R, на основании чего выявляются наиболее и наименее значимые риски. Очевидным недостатком данного метода является его субъективность.
Количественная оценка рисков является более затратной и трудоемкой, чем качественная. Количественную величину риска, связанного с осуществлением конкретной угрозы безопасности, можно выразить следующим образом:
R = PyPT-D, (3)
где Pv - вероятность успешного использования уязвимости потенциальной угрозой; РТ - вероятность того, что угроза будет реализовываться; D - величина потенциального ущерба при реализации угрозы.
Вероятность уязвимости изменяется в диапазоне (0, 1) и зависит от категории нарушителя. Данная величина вычисляется по следующей формуле:
Pv = Pikl ' Pijl ' Pijkl ' РЦЬ (4)
где Рш - вероятность доступа нарушителя к-й категории в 1-ю зону /-го компонента системы; Piji -вероятность наличия /-го канала утечки информации в 1-й зоне /-го компонента системы; Pijki - вероятность доступа нарушителя к-й категории к /-му каналу утечки информации в 1-й зоне /-го компонента; P^ji - вероятность наличия защищаемой информации в j-м канале утечки информации в 1-й зоне /-го компонента.
284
Частота реализации угрозы РТ определяется путем прогнозирования или сбора экспертных оценок, а также на основании статистических данных. Данная характеристика является положительным числом, определяющим ожидаемое количество попыток реализации угрозы за промежуток времени.
Величина потенциального ущерба й также определяется с использованием методов экспертных оценок с применением различных критериев и качественных шкал. Данная оценка должна иметь экономический смысл, поэтому качественные шкалы, используемые при ее вычислении, должны соотноситься с размером финансовых потерь.
В рамках проведенного исследования был установлен ряд недостатков, присущих современным системам, моделирующим угрозы предприятия и проводящим анализ и оценку рисков возможных угроз.
Прежде всего, стоит отметить, что большинство из современных систем не способны решить одну из основных проблем информационной безопасности - проблему своевременного мониторинга новых угроз и адаптации системы защиты информации к ним. Применение адаптивных моделей угроз ИБ позволит заметно сократить убытки от угроз, ранее не замеченных на конкретном предприятии. Стоит также отметить, что при построении моделей угроз многие системы задействуют оператора (сотрудника ИБ), тем самым сталкиваясь с человеческим фактором - система не сможет учесть угрозу, находящуюся за пределами компетенции или личного опыта сотрудника, ответственного за ввод исходных данных.
В качестве решения данной проблемы возможно прибегать к использованию открытых банков уязвимостей, что позволит превентивно подготовить систему к наибольшему количеству известных уязвимостей. Более того, стоит отметить, что банки данных постоянно пополняются вновь выявленными угрозами ИБ, что позволит в режиме реального времени пополнять перечень актуальных угроз безопасности предприятия.
Таким образом, применение методологий адаптивного моделирования угроз информационной безопасности предприятия с привлечением данных об инцидентах, взятых из открытых баз данных, позволит минимизировать затраты на устранение угроз, возникающих на этапе первичной корректировки модели угроз.
Снижению расходов на устранение реализованных угроз также способствует существенное увеличение точности производимого анализа и оценки рисков, а также более точный отбор мер по борьбе с ними. В случае использования информации об инцидентах, взятых из открытых баз данных, существенно увеличивается выборка инцидентов, в сравнении с опытом одной организации.
В то же время, помимо снижения расходов, использование описанного в предыдущих разделах подхода позволит повысить общее качество проводимых мероприятий. Построение модели и проведение анализа и оценки угроз на основе объективных данных позволит сократить негативный эффект от традиционного экспертного подхода, применяемого в данных процедурах. Увеличение выборки инцидентов повысит точность проводимых исследований, в то же время сократив временные затраты на его проведение.
Стоит отметить, что подход, подразумевающий применение открытых баз данных для формирования на их основе моделей угроз информационной безопасности является новым для решаемой задачи. Как показало проведенное исследование, решаемые в этой области задачи ограничиваются экспертным подходом или подходом, основывающимся на анализе метаданных об опыте, полученном при возникновении инцидентов ранее в данной организации.
Список литературы
1. Баранов А.Н. Анализ уязвимостей современных систем электронного документооборота // Известия Тульского государственного университета. Технические науки. 2018. Вып. 10. С. 65-74.
2. Баранов А.Н., Баранова Е.М., Федорович Д.М., Ференс М.Е. Разработка и исследование метода защиты информационных ресурсов в автоматизированной системе управления производственным процессом предприятия // Известия Тульского государственного университета. Технические науки. 2019. Вып. 10. С. 238-248.
3. Баранов А.Н., Баранова Е.М., Глухов Н.Н., Кирилин И. А. Порядок защиты и обнаружение инцидентов в процессе функционирования автоматизированной системы управления производственным процессом предприятия // Известия Тульского государственного университета. Технические науки. 2019. Вып. 10. С. 278-286.
Глущенко Илья Сергеевич, студент, ilya.glushchenko@,gmail.com, Россия, Тула, Тульский государственный университет,
Баранова Елизавета Михайловна, канд. техн. наук, доцент, elisafine@,yandex.ru, Россия, Тула, Тульский государственный университет,
Баранов Андрей Николаевич, канд. техн. наук, доцент, an111111 @mail.ru, Россия, Тула, Тульский государственный университет,
Борзенкова Светлана Юрьевна, канд. техн. наук, доцент, tehnolaramhler. ru, Россия, Тула, Тульский государственный университет
DESIGN APPROACH INTELLIGENT INFORMATION SYSTEM TO BUILD THREAT
MODELS FOR ORGANIZATIONS
I.S. Glushchenko, E.M. Baranova, A.N. Baranov, S.Yu. Borzenkova
The article describes the design based on intelligent methods of expert assessment and adaptive modeling of an effective information security system in automated systems, taking into account current threats, the most likely violators and identified vulnerabilities.
Key words: privacy, the offender, the vulnerability of the threat model, expert assessment, and adaptive modeling.
Glushchenko Ilya Sergeevich, student, lya.glushchenko@,gmail. com, Russia, Tula, Tula State University,
Baranova Yelizaveta Mikhailovna, candidate of technical sciences, docent, [email protected], Russia, Tula, Tula State University,
Baranov Andrey Nikolaevich, candidate of technical sciences, docent, an111111 @mail. ru, Russia, Tula, Tula State University,
Borzenkova Svetlana Yrievna, candidate of technical sciences, docent, tehnola ramhler. ru, Russia, Tula, Tula State University
