Актуальные проблемы авиации и космонавтики - 2015. Том 1
УДК 004.056
ПРОБЛЕМЫ ПРИМЕНЕНИЯ МЕТОДОВ АДАПТАЦИИ ДЛЯ ФОРМИРОВАНИЯ КОРРЕКТИРУЮЩИХ МЕРОПРИЯТИЙ В СИСТЕМАХ ПРЕЦЕДЕНТНОГО АНАЛИЗА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
М. М. Соколов Научный руководитель - В. Г. Жуков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: se.sokolov.m.m@gmail.com
Рассматривается применение методов адаптации для формирования корректирующих мероприятий в системах прецедентного анализа инцидентов информационной безопасности.
Ключевые слова: инцидент, прецедент, методы адаптации, стратегия реагирования.
APPLICATION PROBLEMS OF ADOPTATION METHODS FOR FROMING CORRECTIVE ACTION IN SYSTEM OF PRECEDENT ANALYSIS OF INFORMTATION SECURITY INCIDENTS
M. M. Sokolov Scientific Supervisor - V. G. Zhukov
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: se.sokolov.m.m@gmail.com
Application of adoptation methods for froming corrective action in system of precedent analysis of informtation security incidents is considered.
Keywords: incident, precedent, methods of adaptation, response strategy.
Российский стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007 [1] регламентирует необходимость применения структурного подхода к управлению инцидентами информационной безопасности. Основная задача процесса управления инцидентами информационной безопасности - это устранение/локализация появившихся в информационной системе инцидентов. Данная задача решается своевременным формированием и исполнением корректирующих мероприятий для информационной системы, в которой произошел инцидент информационной безопасности.
В системе управления инцидентами информационной безопасности, построенной на основе прецедентного анализа, задача устранения/локализации инцидентов информационной безопасности может быть решена двумя способами [2]:
1) в случае если между инцидентом информационной безопасности и прецедентом, содержащимся в базе знаний, установлено однозначное соответствие, то для устранения/локализации инцидента применяется стратегия реагирования найденного прецедента;
2) в случае если для инцидента информационной безопасности не найден прецедент в базе знаний, то проводится адаптация стратегий реагирования наиболее близких прецедентов к инциденту, после чего выполняются мероприятия из адаптированной стратегии реагирования.
При этом информационную безопасность организации в общем случае можно разделить на два уровня:
1) уровень эксплуатации средств защиты информации;
2) уровень управления информационной безопасностью организации.
Инциденты информационной безопасности, возникающие на уровне эксплуатации средств защиты информации, представляют собой реализацию угроз информационной безопасности, посредством существующих в информационной системе уязвимостей. На сегодняшний день уязвимости любого программного, аппаратного или программно-аппаратного средства устраняются установкой обновлений безопасности, как следствие стратегии реагирования на инциденты, возникающих на
Секция «Методы и средства зашиты информации»
данном уровне информационной безопасности, имеют всего лишь одно мероприятие - установка обновлений безопасности.
Для локализации инцидентов информационной безопасности, применение методов адаптации стратегий реагирования позволит снизить вероятность появление в системе инцидента. Рассмотрим использование алгоритмов адаптации для формирования корректирующих мероприятий на примере существовавшей ранее проблемы использования программного интерфейса Cisco Adaptive Security Device Manager (ASDM) для управления межсетевыми экранами и маршрутизаторами компании Cisco. Проблема использования ASDM заключалась в том, что штатное функционирование данного программного интерфейса было возможно только с установленной версией Java 7 и более ранними версиями, как следствие компьютер администратора сети являлся уязвимым. Устранение данной уязвимости - это установка последних версий программного обеспечение Java, но данное мероприятие осложняет администрирование сетевого оборудования, заставляя системного администратора осуществлять администрирование только посредством консоли. Решение данной проблемы, не нарушающее сформировавшийся процесс администрирования - это поэтапное применение защитных мер, в результате которых будет осуществляться необходимый и достаточный уровень безопасности:
1) на компьютере администратора сети отключается весь не используемый функционал (электронная почта, доступ в сеть Интернет, стороннее программное обеспечение);
2) разграничение доступа на сетевом уровне (с данного компьютера предоставляется доступ только к администрируемому оборудованию).
Выполнение данных шагов снижает вероятность эксплуатации уязвимостей программного обеспечения Java, при этом сформировавшийся процесс администрирования сетевого оборудования не подвергается изменениям. В данном случае выполнялась адаптация типового сценария реагирования по изолированию уязвимого сервиса или информационной системы - минимизация доступа.
На уровне управления информационной безопасностью чаще всего возникают инциденты, требующие не устранения, а локализации и взятия под контроль в информационной системе функционала, который подвержен возникновению инцидентов. В большинстве случаев возможность возникновения инцидентов информационной безопасности связана с функциональными требованиями информационной системы и особенностями бизнес-процессов организации.
Обработка инцидентов информационной безопасности на уровне управления, осуществляется с целью предупреждения/снижения вероятности появления возможных инцидентов и содержит в себе следующие основные мероприятия [3]:
1) анализ информационной системы на предмет возможных проявлений инцидентов информационной безопасности;
2) определение параметров информационной системы, изменение которых будет сигнализировать о появившемся инциденте информационной безопасности;
3) разработка или доработка функционала информационной системы, позволяющего контролировать в режиме реального времени параметры данной системы.
Данные мероприятия представляют собой превентивные мероприятия, направленные на предупреждение и в дальнейшем локализацию, взятие под контроль инцидентов информационной безопасности.
В настоящее время использование методов адаптации стратегий реагирования для инцидентов информационной безопасности при их прецедентном анализе возможно только для снижения вероятности появления, локализации и взятия под контроль инцидентов информационной безопасности. В силу установившейся практики устранения уязвимостей программных, аппаратных или программно-аппаратных средств использование алгоритмов адаптации стратегий реагирования для инцидентов информационной безопасности с целью их устранения невозможно.
Библиографические ссылки
1. ГОСТ Р ИСО/МЭК 18044. Менеджмент инцидентов информационной безопасности // Соотв. ISO/IECTR 18044. М., 2007. 50 с.
2. Вагин В. Н., Головина Е. Ю., Загорянская А. А., Фомина М. В. Достоверный и правдоподобный вывод в интеллектуальных системах. 2-е изд. // под ред. В. Н. Вагина, Д. А. Поспелова. М. : Физ-матлит, 2008.
3. Соколов М. М. Исследование влияния функций нахождения расстояния на эффективность работы системы прецедентного обнаружения и анализа инцидентов информационной безопасности : вып. квалификац. работа / Сиб. гос. аэрокосмич. ун-т. Красноярск, 2013. 81 с.
© Соколов М. М., 2015