CC BY
30
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УДК 519.24:004.023:004.041
РАСЧЕТ ОБЪЕКТИВНЫХ ОЦЕНОК ДЛЯ ЭФФЕКТИВНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В ТЕРРИТОРИАЛЬНО ПОТЕНЦИАЛЬНО ВОЗМОЖНЫХ ЗОНАХ
А. Ж. Абденов1, В. А. Трушин1, Г. А. Абденова2
'Новосибирский государственный технический университет, г. Новосибирск, Россия 2 Евразийский национальный университет им. Л.Н. Гумилева, г. Астана, Казахстан
DOI: '0.25206/23'0-9793-20' 7-5-4-47-5'
Аннотация - В работе рассматриваются вопросы наполнения соответствующих узлов SIEM-системы методикой расчета объективных оценок для возможности повышения достоверности экспертных оценок. Предлагаемая методика необходима для наиболее точного расчета риска относительно защищенности информационных систем.
Ключевые слова: риск, защита информации, информационная система, объективные оценки, ущербы.
I. ВВЕДЕНИЕ
Разработка системы с интеллектуальными сервисами защиты конфиденциальной информации (КИ) требует успешной реализации различных мероприятий по защите информационных ресурсов (ИР) в компьютерных системах (КС). Эти мероприятия предполагают создание системы мониторинга угроз безопасности, которые реализуют текущий и апостериорный подходы к защите ИР в КС. Основная цель защиты ИР состоит в снижении количества инцидентов, воздействующих на ИР КС до минимального уровня риска и минимизацию возникающего при этом ущерба. В данной работе инцидентом будем считать любое незаконное, неблагоприятное событие (НС), которое совершается в информационных системах (ИС) компании.
Одним из наиболее эффективных направлений в создании системы мониторинга угроз безопасности в настоящее время считаются SIEM-системы (Security Information and Event Management), обеспечивающие управление информацией и событиями безопасности [1, 2]. Основной целью построения SIEM-системы является значительное повышение уровня ИБ в информационной инфраструктуре за счет обеспечения возможности в режиме реального времени манипулировать информацией о безопасности, осуществлять активное управление событиями безопасности. Предполагается, что активное управление статистической информацией прошлого, настоящего и прогнозного характера относительно инцидентов и событий безопасности основывается на автоматических механизмах, использующих накопленную информацию о предыстории анализируемых событий и прогнозе будущих событий, а также на подстройке параметров мониторинга событий к текущему состоянию защищаемой системы [2, 3].
Мы предполагаем, что одним из обсуждаемых вопросов в рамках проекта MASSIF (MAnagement of Security Information and Event in Service Infrastructure) [1] должны быть вопросы наполнения и постоянного совершенствования отдельных узлов SIEM-системы возможностями решения задач классификации инцидентов, прогнозирования, фильтрации и оптимизации использования средств защиты ИР в КС [4-6]. В SIEM-системах нового поколения, к числу функциональных наполнений узлов SIEM-системы, следует добавить анализ событий, инцидентов, уязвимостей и их последствий, принятие решений, визуализация информации, анализ оценок риска, прогнозирование и фильтрация оценок НС и инцидентов [7, 8] и т.д.
При расчете рисков в ИС будем основываться не только на хорошо известные экспертные [6], но и объективные оценки вероятностей количества реализации НС. Мы также будем осуществлять расчеты оценок предсказания величины ущерба от нарушений безопасности ИР.
II. Постановка задачи
Территориально потенциально возможные несанкционированные доступы (НСД) к информации компании могут иметь место в различных зонах [8] : внешней неконтролируемой зоне компании; контролируемой территории компании; помещений автоматизированных и автоматических систем (ААС); ресурсов ААС; зоне баз данных. При этом для НСД получения информации необходимо одновременное наступление следующих событий: злоумышленник должен получить доступ в соответствующую зону; во время прохождения злоумышлен-
ника в зону, в ней должен появиться соответствующий канал несанкционированного получения информации (КНПИ); проявившийся КНПИ должен быть доступен злоумышленнику соответствующей категории; в КНПИ для нарушителя должен находиться защищаемый ИР.
В данной работе ставится задача вероятностного расчета количественных показателей НС и соответствующих стоимостных оценок ущербов от реализаций этих НС на основе анализа и классификации территориально и потенциально возможных НСД к информации компаний в различных зонах.
III. Теоретические аспекты
1. Внешняя неконтролируемая зона компании. Рассмотрим один подход расчета объективной вероятности реализаций НС во внешней неконтролируемой зоне. При этом все компьютерные преступления можно условно разбить на три класса: перехват информации; несанкционированный доступ; «манипуляция данными».
Рассмотрим: первый класс, например, регистрация излучений, создаваемых процессором, принтером, монитором и т.д.; второй класс, например, незаконное подключение к линии законного пользователя и т.д.; третий класс, например, вид преступления - подмена кода и т.д.
Теперь составим список существенных видов НС {O, O2,..., Om }, возникающих в ИС. Выделим из этого множества некоторое существенное подмножество некоторых видов НС, приводящих к ощутимому нарушению безопасности ИР в КС. Это подмножество обозначим через O = {Ог1,0 ' " O }, например, Ог - количество
НС относительно нарушения запуска отдельных узлов КС и т.д. После построения подмножества О переходим к анализу свойств элементов подмножества на основе количественных показателей НС и соответственно величины ущерба, имевшей место в прошлом. Математическое ожидание ущерба, вызываемого i -м НС за время AT (например, полугодия, из-за редких реализаций НС), можно представить формулой:
e(Oi, AT) = M[e(Ot ) • f ], i = 1^, (1)
где e(O ) - случайная величина ущерба уже случившегося НС при единичном наступлении НС; f - случайная величина количества НС i -го вида за время AT ; m - общее количество всех видов уже свершившихся НС. Если НС не имеют последствия в том смысле, что ущерб от каждого НС независим, то
e(O,, AT) = M[e(Oi )] • M[f ], i = . (2)
Алгоритм 1
Шаг 1.1. Для простоты будем рассматривать лишь один вид НС, например, i =1. Далее, количественные показатели НС, например, за ju реализаций можно свести в таблицу.
Шаг 1.2. Исходя из данных наблюдений (шаг 1.1), с помощью формулы (3) можно получить одну строку данных усредненных полугодовых количественных значений НС по столбцам.
u _
fycP =z fO / j, t = 1N, (3)
i=i
где, например, N=10. Аналогичные данные усредненных полугодовых количественных значений НС желательно рассчитать относительно других существенных видов НС.
Шаг 1.3. Применительно ко всем усредненным данным нужно построить дискретные линейные стохастические стационарные модели в форме пространства состояний (ПС) видов [6] :
x(t +1) = a • x(t) + b • u(t) + w(t), x(0) = x0, (4)
fycp (t +1) = x(t +1) + v(t +1), t = 0, N -1. (5)
где x(t) - истинное количество НС; u(t) - внешнее наблюдаемое управляющее воздействие НС; w(t) - белое гауссовское ненаблюдаемое воздействие с неизвестной дисперсией Q ; x(0) - количество НС в начальный момент времени с математическим ожиданием xo и неизвестной дисперсией; a, b - неизвестные коэффициенты в (4); t - номер полугодия в реализации; N - число полугодий в одной реализации; fycp (t) - наблюдаемое случайное количество НС в течение одного полугодия; v(t ) - белая гауссовская последовательность ошибок наблюдений с неизвестной дисперсией R . На данном шаге требуется оценить все дисперсии, связанные с шумами относительно модели (4), (5) [8].
Шаг 1.4. Оценки коэффициентов в модели (5) можно рассчитать на основе метода наименьших квадратов.
Шаг 1.5. Модель (4), (5) позволит получить наиболее достоверные оценки количества НС относительно каждого полугодия в виде оценок фильтрации [8] за последующее, например, (у +1) полугодие. Оценки должны быть округлены до ближайшего целого.
Шаг 1.6. Оценки фильтрации позволят рассчитать объективные вероятностные оценки реализаций НС. Под-
считывается общее суммарное количество НС оценок фильтрации в течение всей у -ой реализации (Е(1)), а затем фильтрационная оценка количества НС в течение каждого полугодия (/(-^(г)) делится на общую суммарную оценку фильтрационных оценок количества НС (Е(1)) в течение одной у -ой реализации и определяется по формуле:
Р(1)(г) = /(1(г)/е(1, г = , (6)
где р( 1) = р(1 )(г) - объективная вероятность реализации конкретного вида НС в течение каждого полугодия у -ой реализации. Работоспособность алгоритма 1 апробирована на тестовом примере.
Алгоритм 2. Расчет объективной стоимостной оценка предсказания величины ущерба
Шаг 2.1. Выше была предложена процедура расчета оценки полугодовой объективной вероятности количества нарушений определенного вида атаки на ИР в ИС компании. Предположим, что в отделе ИБ компании имеется статистика полугодовых показателей ущерба. На шаге 2.1. формируются данные
), г = 1, N, г = 1, и}, которые характеризуют полугодовые данные ущербов от НС в ИС в течение каждого
-ого периода.
Шаг 2.2. На основе данных, полученных на шаге 2.1, можно построить линейную дискретную модель в форме ПС, которая будет соответствовать усредненным данным наблюдений. Элементы строки усредненных данных вычисляются с помощью соотношения (7):
5(у) = (£5«)/и, г = . (7)
г=1
Шаг 2.3. На основе строки данных {?г(у), г = 1, N| можно построить линейную стохастическую стационарную модель в форме ПС вида, а также рассчитать оценки дисперсий шумов модели вида (8), (9) [8].
s(t +1) = с ■ s(t) + & ■ +w(t), 5(0) = 50, г = 0, N-1, (8)
^ (г+1) = 5(г +1)+У(г+1), г = (9)
Шаг 2.4. Далее рассчитываем коэффициенты модели динамики (8) с помощью МНК [8].
Шаг 2.5. Предположим, что мы располагаем данными наблюдений количественных показателей ущерба, нанесенных ИР в (у +1) реализации. На основе уравнений фильтра Калмана [8] получаем строку оценок фильтрации. Используя к этим оценкам данные наблюдений, получим последовательность оценок фильтрации 5(г | г), г = 1, N |, относительно более достоверных количественных показателей нанесенного ущерба.
Шаг 2.6. Используя округленные до ближайших целых чисел данные оценок фильтрации относительно количественных показателей, свершившихся НС в течение 1 -ой реализации по полугодиям, и данных относительно оценок фильтрации как количественных показателей ущерба, нанесенных на ИР компании для реализации, можно получить усредненный ущерб нанесенных от единичного случая свершившегося НС \р(г), г = 1, N|. Для этого необходимо данные строки {?(г | г), г = 1, N|, разделить на соответствующие, округленные до целого элементы строки данных количества реализации НС, полученные на шаге 1.2.
Шаг 2.7. Предсказывая количество НС (/¡рге) г -го вида с помощью соответствующей модели в форме ПС и соответствующего усредненного ущерба от единичного случая свершившего НС по данным, полученные на шаге 2.6. можно получить оценку предсказания величины ущерба, которая будет нанесена компании в г - ое полугодие и т.д. (у +1) (текущей реализации). Алгоритм 2 апробирован на тестовом примере.
2. Всю описанную выше методику можно адаптировать для расчета объективных оценок предсказаний количества НС и соответствующих оценок ущерба, относительно всех упомянутых выше четырех зон.
3. Меры безопасности, применяемые в компании для защиты ИР ИС, можно поделить на три основные группы: технические, операционные и управленческие [5]. Группы, в свою очередь, разбиваются на семейства. Перечислены эти меры безопасности в стандарте, перечисленные в работе [5].
Эксперты, которые предлагают свои оценки, могут приходить с различной профессиональной подготовкой. Поэтому перед началом расчета величины риска и ИБ в ИС компании, на основе экспертных оценок, необходимо всем экспертам ознакомиться со всеми объективными оценками полугодовых количеств НС и ущерба от НС, которые позволят экспертам наиболее реалистично предлагать экспертные оценки.
IV. Результаты экспериментов
Теперь пусть на условной компании существует три ИС: ИС-1, ИС-2, ИС-3. Экспертами после ознакомления с результатами объективных оценок могут быть обнаружены дополнительные уязвимости и угрозы, относящиеся к различным семействам контролей. После ранжирования ИС по уровню риска в порядке убывания получаются данные, из которых одна из них получает самый высокий уровень риска, например, ИС-2. Значит, вероятность реализации угроз и ущерб для этой системы больше, чем для остальных систем. Поэтому руководителям организации, в первую очередь, необходимо обратить внимание на безопасность ИС-2.
V. Обсуждение результатов
На основе адаптации всей вышеизложенной методики, мы можем получить оценки уязвимости информации, обрабатываемой в каждой из упомянутых пяти зон. Для этого можно ввести, например, следующие показатели:
P(d^ikl - вероятность доступа злоумышленника k-ой категории в l-ю зону; P^k\ji - вероятность наличия (проявления) j-го КНПИ в l-ой зоне i-го компонента фиксированной зоны; P(n)ijH, вероятность доступа нарушителя
k-ой категории к j-му КНПИ в l-й зоне i-го компонента при условии доступа нарушителя в l-ую зону; P ^n)ijl -вероятность доступа нарушителя k-ой категории к j-му КНПИ в l-й зоне i-го компонента AAC при условии доступа нарушителя в l-ую зону;
Pi]U = P(d),kl * P^k)jl * P^.jkl * P(n)jl, (10)
- вероятность НСД в одном компоненте ААС одним злоумышленником одной категории по одному КНПИ назовём базовым показателем уязвимости информации (с точки зрения НСД). С учётом (10) выражение для базового показателя будем иметь вид:
P(k ) jk = 1 -П[1 - Pjl ] = 1 -n[P(d ]rnP(k ) lßP in)ijklP(n) jl ]. l=i l=i
VI. Выводы и заключение
Современная практика прикладных технических или экономических исследований свидетельствует, что для достижения успеха относительно безопасности ИР в ИС компании исследователь должен хорошо ориентироваться в трех областях: 1) технической и экономической теории; 2) математическом моделировании, т.е. искусстве формализации постановки задачи; 3) соответствующем ПО. Поэтому в данной работе было дано систематизированное изложение математических методов и моделей анализа мер безопасностей, нацеливающее на изучение теоретических подходов и направленное на формирование практических навыков их разработки и применения к расчету рисков относительно исследуемых информационных систем.
Список литературы
1. Котенко И. В., Саенко И. Б. SIEM-системы для управления информацией и событиями безопасности // Защита информации. INSIDE. 2012. № 5. С. 54-65.
2. Miller D. R., Harris Sh., Harper A. A. Van-Dyke S., Black Ch. Security Information and Event Management (SI-EM) Implementation. McGraw-Hill Companies. 2011. 430 p.
3. ISO/IEC 27005:2008. Information technology. Security techniques. Information security risk management. 2008.
4. Запечников С. В. Модель методической оценки возможного ущерба в информационной системе от реализации неблагоприятных событий // Безопасность информационных технологий. 2010. № 1. С. 21-27.
5. Chi-Chun Lo, Wan-Jia Chen. A hybrid information security risk assessment procedure considering interdependences between controls // Expert Systems with Applications. 2011. Vol. 39. P. 248-257.
6. Абденов А. Ж., Заркумова-Райхель Р. Н. Оценивание риска в информационных системах на основе объективных и экспертных оценок // Вопросы защиты информации. 2015. № 1. С. 64-70.
7. Kumamoto H., Henley E. Probabilistic risk assessment and management for engineers and scientists. 2nd edition. New York: Institute of Electrical and Electronics Engineers, 1996. 620 p.
8. Абденов А. Ж., Трушин В. А., Абденова Г. А., Иноземцева Ю. А. Методика расчета рисков на основе объективных и субъективных оценок в соответствующих узлах 8ГБМ-системы // Искусственный интеллект и принятие решений. 2016. № 3. С. 87-99.
УДК 004.056
ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В УСЛОВИЯХ РЕАЛИЗАЦИИ РОССИЙСКОГО ЗАКОНОДАТЕЛЬСТВА В ОБЛАСТИ ПЕРЕДАЧИ ФИСКАЛЬНЫХ ДАННЫХ
А. Г. Анацкая, З. В. Семенова, О. В. Барабанов, Д. И. Веренник, Р. Р. Юмагулов
Сибирский государственный автомобильно-дорожный университет, г. Омск, Россия
Б01: 10.25206/2310-9793-2017-5-4-51-57
Аннотация - В статье рассматриваются аспекты обеспечения информационной безопасности при передаче фискальных данных в ФНС в условиях вступления в силу федерального закона от 03.07.2016 № 290-ФЗ, что определяет актуальность исследования. Цель работы - проведение аудита информационной безопасности АРМ квалифицированного специалиста по подключению к ОФД и АРМ кассира, на основе нормативно-методических документов ФСТЭК России. Выполненное исследование позволило выявить наиболее опасные вероятные угрозы безопасности на автоматизированных рабочих местах, характерных для процесса подключения к ОФД и передачи фискальных данных, которые следует учитывать при организации системы защиты информации.
Ключевые слова: оператор фискальных данных, контрольно-кассовая техника, угрозы информационной безопасности, АРМ квалифицированного специалиста по подключению к ОФД, АРМ кассира.
I. Введение
Любое государство проявляет особую озабоченность по вопросу собираемости налогов. Специалисты тщательно анализируют не только динамику собираемости налогов [1], [2], но и масштабы и причины уклонения от них [3]. Правоохранительные органы борются за повышение раскрываемости налоговых правонарушений и рапортуют об успехах в этой сфере. Так, по словам главы Следственного комитета РФ Александра Бастрыкина, по результатам 2015 года количество уголовных дел по статьям, касающимся налоговых нарушений, возросло на 68% по сравнению с 2014 годом [4]. Специалисты предостерегают государственные органы от резких шагов в сфере налогового законодательства в кризисные времена [1]. В свою очередь, государство ищет способы повышения собираемости налогов. Одним из таких способов является внедрение онлайн-касс. И здесь возникает иная обеспокоенность - это обеспечение информационной безопасности фискальных данных.
II. Постановка задачи
Начиная с июля 2016 года, когда президент РФ подписал поправки к закону, регламентирующему использование контрольно-кассовой техники (ККТ) [5], [6], все заинтересованные лица активно включились в обсуждение следующего спектра вопросов:
- Что целесообразнее - приобретение новой ККТ или же модернизация имеющейся?
- Какова процедура перехода на онлай-кассы?
- Каковы сроки перехода на новую ККТ и возможные штрафные санкции при уклонении от исполнения закона?
Ответы на этот спектр вопросов можно найти как в самом законе, так и в многочисленных публикациях, включая рекламные материалы производителей контрольно-кассовой техники [6-10] и др.
Заметим, что не любой кассовый аппарат может быть модернизирован. Для большинства популярных моделей ККТ производители кассовой техники выпустили комплекты доработки, в стандартный набор которых входит паспорт, шильдик (информационная табличка, на которой размещены надписи и обозначения, относящиеся к маркируемому изделию, включая серийный номер и название) и сам блок модернизации. В некоторых случаях достаточна только смена программного обеспечения ККТ (это так называемая программная модернизация). Дополнительно при этом устанавливается фискальный накопитель и меняется шильдик на кассе. Однако в некоторых случаях приходится прибегать к программно-аппаратной модернизации, что, как правило, связано с
