CC BY
29Разработка панели мониторинга в информационной безопасности
Багажков Дмитрий Игоревич
магистрант, кафедра «Сети связи и системы коммутации», Московский технический университет связи и информатики, dima1999_23@icloud.com
Малышев Иван Александрович
бакалавр, кафедра «Сети связи и системы коммутации», Московский технический университет связи и информатики, lokkyspawn33@gmail.com
Довгун Владислав Алексеевич
студент, кафедра «Сети связи и системы коммутации», Московский технический университет связи и информатики, vladdowgun@gmail.com
Кукушкин Сергей Сергеевич
студент, кафедра «Сетевые информационные технологии и сервисы», Московский технический университет связи и информатики, sergey_kukushkin_2001@mail.ru
Хамдалла Яхья Мусса
студент, кафедра «Систем и сетей радиосвязи и телерадиовещания», Московский технический университет связи и информатики, sultanehamdallah2@gmail.com
Использование панелей данных необходимо для обеспечения быстрого и точного принятия решений. Оперативное понимание необходимых параметров и их визуализация являются важными составляющими управления информационной безопасностью (ИБ). В этой статье описывается набор методов визуализации информационных панелей, основанных на глубоком понимании задач, возлагаемых на стандартизированные роли в области ИБ. Глубокое понимание этих ролей является неотъемлемым компонентом процесса создания инструмента визуализации приборной панели. Детальная визуализация увеличивает скорость реагирования на инцидент ИБ, а адаптация к конкретной роли позволяет более эргономично представлять данные. В работе приведена справочная информация: определение информационной панели в информационной безопасности, этапы создания информационных панелей. Представлены определение пользователей информационной панели данных, набор показателей эффективности, методы визуализации. Ключевые слова: ИБ, панель, информационный, информация, показатель, безопасность, пользователь, визуализация, мониторинг, данные, задача, процесс, управление, индикатор.
1. Введение
Визуализация информации - это мощный инструмент для донесения мыслей и идей до конечного пользователя, помощник в восприятии и анализе данных. Роль визуализации [1] эволюционировала вместе с активным развитием информационных технологий. Успех применения визуализации предопределен выбором инструмента визуализации, его конструкцией и эксплуатацией. С психологической точки зрения визуальное восприятие информации имеет фундаментальное значение для человека. Аудитория лучше воспринимает такую информацию. Многочисленные исследования утверждают, что человек воспринимает около 90 % [2] информации через зрение. Этот факт позволяет сделать следующий вывод: скорость восприятия и понимания информации в области информационной безопасности должна соответствовать временным рамкам, в течение которых принимается решение о том, как реагировать на выявленный инцидент безопасности.
В статье рассматриваются принципы создания взаимодействия, опирающегося на 2 существующие ключевые роли: менеджера по информационной безопасности (Information Security Manager, ISM) и консультанта по информационной безопасности (Information Security Consultant, ISC). В нем описываются обязанности, которые необходимо возложить на эти роли, и типы данных, которые они должны анализировать для обеспечения надлежащего принятия решений. Ожидается, что визуализированная панель мониторинга, настроенная для ISM или ISC, сведет к минимуму временные затраты при анализе информации [3]. Чтобы обеспечить оптимальное предотвращение инцидентов ИБ, предпринята попытка интегрировать инструмент прогнозирования рисков в информационную панель.
2. Справочная информация
А. Определение информационной панели данных в
ИБ
Информационная панель данных представляет собой набор периодически создаваемых показателей для ответственной заинтересованной стороны, чтобы направлять решения и действия по достижению целей эффективности. Это инструмент измерения эффективности, который облегчает упреждающее управление 1 или несколькими видами деятельности в рамках процесса улучшения.
Панель мониторинга данных также рассматривается как инструмент поддержки принятия решений.
Характеристики:
- Состоит из ряда ключевых и релевантных показателей;
- Освещает важные выводы, исключения, расхождения и тенденции;
- Обеспечивает согласованное представление данных путем осмысленной группировки показателей.;
X X
о го А с.
X
го m
о
2 О M
со
<
GQ
0
1 I
- Представляет показатели в понятном, эффективном и удобном для пользователя виде (простая визуализация).
Б. Этапы создания информационных панелей
В соответствии с лучшими практиками, перечисленными в руководстве по разработке информационной панели безопасности [4], при разработке информационной панели для государственного учреждения следует выполнить следующие 5 этапов:
1) Определение осей производительности;
2) Определение точек вмешательства;
3) Постановка целей и задач;
4) Определение приоритизация показателей;
5) Построение индикаторов, создание информационной панели и ее тестирование.
В данной работе представляются улучшения для этапа №5. Эта узкая направленность предопределена перспективой развития дизайна человеко-компьютер-ного интерфейса. Этот факт подчеркивает необходимость опираться на основные визуальные, эргономические и аналитические принципы, такие как:
- Навигация (между индикаторами и внутри индикатора);
- Выбор цветов и шрифтов для удобного отображения данных;
- Выбор правильного расположения элементов (ось производительности, индикаторы, кнопки действий, всплывающие подсказки и так далее.) для облегчения анализа и понимания показателей производительности по выбранным осям.
Логическая структура навигации должна быть принята во внимание в процессе создания макета для индикаторов панели мониторинга. Например, было бы рационально создать отдельную страницу для индикатора, на которой можно найти всю необходимую информацию (идентификация, цель, пороговое значение, элементы расчета и так далее), и сводную страницу, на которой будут отображаться только показатели, связанные с 1 или несколькими осями производительности.
3. Методология
Индивидуальный подход был исключен, так как количество пользователей известно заранее, и люди могут меняться, несмотря на то, что существующие роли остаются неизменными. Пользователей можно разделить на 2 основные группы в соответствии с их ролями: ISM и ISC. Каждая роль предполагает выполнение определенного набора задач. Поэтому рациональнее будет использовать методологию анализа задач. Эта методология будет использоваться для идентификации пользователей, рабочего процесса, моделей задач; создания сценариев задач, презентации и модели тестирования. Перед принятием окончательного решения о том, как отображать панель мониторинга данных, необходимо выполнить следующую последовательность действий:
- Идентификация основного пользователя информационной панели;
- Представление задач, выполняемых приборной панелью;
- Представление процессов решения проблем;
- Идентификация информации, необходимой для выполнения задачи;
- Оптимизация понимания визуализируемой информации;
- Создание и тестирование прототипа для конкретного пользователя.
Схематическое соединение компонентов панели мониторинга представляет взаимодействие компонентов для визуализации, где блок «Уровень риска» представляет собой общее представление ситуации риска, которое основано на различных дополнительных модулях, показанных на рисунке 1. Более подробное описание этой методологии представлено в разделах данной работы.
Рисунок 1. Схема соединения компонентов приборной панели
4. Определение пользователей информационной панели
Управление, основанное на результатах, является 1 из задач организаций, намеревающихся улучшить качество и производительность своих процессов, видов деятельности или услуг. Такое управление требует установления показателей эффективности с использованием показателей, сгруппированных в информационные панели. Это помогает оптимизировать оценку достигнутых целей и принимать решения, основываясь на полученных результатах. Осознавая дополнительную ценность, которую информационные панели могут принести в рамках инициативы по улучшению ИБ, ISC делится такими информационными панелями с ISM, чтобы поддержать его / ее в процессе разработки диаграммы мониторинга с информацией о достижениях в области безопасности с учетом требований Директивы о безопасности правительственной информации и правительственного стратегического подхода к информационной безопасности. Основываясь на стандартах [5] и успешных практиках [6] использования информационной панели безопасности, необходимо сосредоточиться на следующих 2 ключевых ролях: ISM и ISC.
Обязанности ISM и ISO
ISM выступает в качестве представителя директора, представляющего организацию, сообщая о направлениях государственной политики и приоритетах ИБ. ISM помогает руководителю государственного учреждения в определении стратегических направлений и приоритетов вмешательства. Кроме того, ISM сообщает об инцидентах ИБ в правительстве от имени главы учреждения. Список других обязанностей представлен ниже:
- Сообщать об инцидентах, ставящих под угрозу ИБ, комитету по ИБ организации, а также анализ политики, директив, рамок управления и так далее.
- Координация и согласование действий по обеспечению ИБ, предпринимаемых в организации другими заинтересованными сторонами, включая должностных
лиц, имеющих доступ к информации, и департаменты, ответственные за управление информационными ресурсами. Обеспечение надлежащего управления документами, физической безопасности и соблюдения этических стандартов.
- Содействие предотвращению общегосударственных рисков ИБ и совершенствованию процесса управления инцидентами.
- Определение и внедрение формализованных процессов ИБ в области управления рисками, контроля прав доступа и управления инцидентами, которые потенциально или фактически ставят под угрозу безопасность информации на различных уровнях.
- Обеспечение соблюдения требований ИБ на этапе разработки проекта.
- Координация подготовки и внедрения официальных и обновляющих тренингов и программ повышения осведомленности в области ИБ.
ISC поддерживает ISM на тактическом уровне посредством реализации мер по снижению рисков и внедрения официальных процессов ИБ. В дополнение к поддержке ISM, в обязанности ISC входит следующее:
- Выполнение внутренних правил, вытекающих из правительственных директив, внутренних документов и общепринятой практики.
- Подготовка балансовых отчетов и планов действий по ИБ.
- Пересмотр сервисных соглашений и контрактов, предложение изменений в эти документы для обеспечения соответствия требованиям ИБ.
- Ведение реестра компании с целью повышения внутренней ИБ.
- Оказание поддержки должностным лицам, имеющим право на получение конкретной информации, проведение анализа рисков ИБ.
- Вклад в внедрение формальных процессов ИБ в организации.
5. Разработка показателей
Панель мониторинга объединяет в себе набор показателей эффективности. В целом, как показано в списке направлений, представленном ниже, в процессе разработки показателей могут быть применены 3 модели.
1) Опора на потребности руководства:
а) Организация и менеджеры.
б) Желаемые показатели и конкретные параметры.
с) Релевантные, эффективные, выполнимые и удобные для пользователя показатели.
- Преимущество: показатели согласуются с целями эффективности. Модель обеспечивает актуальность показателей.
- Недостаток: формулировка целей эффективности является довольно всеобъемлющей и требует времени. Опирается на систематические проверки осуществимости.
2) Опора на имеющиеся данные:
а) Информационная система.
б) Существующие или возможные показатели.
с) Релевантные, эффективные, выполнимые и удобные для пользователя показатели.
- Преимущество: показатели технически эффективны и составляются без препятствий, поскольку они основаны на имеющихся данных. Их значения, построенные на основе пути №2 (имеющиеся данные), как правило, эффективны, поскольку они основаны на данных,
уже полученных целевыми информационными системами.
- Недостаток: этот маршрут, рассматриваемый отдельно, рискует ограничить область показателей имеющимися данными. Иногда показатели не имеют значения.
3) Опора на общие показатели.
а) Легко понятные общие показатели, обычно используемые конкретной организацией (пример: показатели банков).
б) Релевантные, эффективные, выполнимые и удобные для пользователя показатели.
- Преимущество: необходимо полагаться на списки общих показателей. Ускоренное построение показателей.
- Недостаток: иногда возникает необходимость прибегать к дополнительным индикаторам.
A. Информация, необходимая для выполнения задач ISM
- Состояние подготовки к управлению различными уровнями риска.
- Состояние соответствия нормативной базы (политики, директив, руководств) соответствующей нормативной базе.
- Статус доступа безопасности.
- Информация об инцидентах в области ИБ.
- Статус реализации проектов в области ИБ.
- Оценка проведенных учебных программ.
Б. Информация, необходимая для выполнения задач ISC
- Состояние уровня риска.
- Состояние соответствия нормативной базы (политики, директив, руководств) соответствующей нормативной базе.
- Статус реализации проектов в области информационной безопасности.
- Уровень безопасности проекта.
- Статус адекватности реестра рисков.
- Состояние внедрения организацией формальных процессов информационной безопасности.
6. Методы визуализации
Панель мониторинга - это инструмент выбора для передачи полезной информации о конкретном наборе данных. Однако, чтобы создать отличную поучительную и полезную панель мониторинга, недостаточно поместить все результаты в 1 представление [7], как показано на рисунке 2. Нам нужно рассмотреть некоторые элементы планирования и дизайна, чтобы создать эффективную и инновационную панель мониторинга.
Человек, создающий панель мониторинга, понимает, как с ней работать и обрабатывать представленную информацию. Однако другие люди не осознают этого. Создание эффективной информационной панели часто требует нескольких попыток. В дополнение к некоторым стандартным итерациям, таким как изменение цвета для выделения компонента, это должно быть полезно для других пользователей. Поэтому очень важно получать обратную связь от других. У каждого человека своя точка зрения, которая может помочь оптимизировать панель мониторинга.
1 из лучших способов предложить персонализированный опыт - включить пользовательский опыт в визуализацию. Хотя они занимают центральное место в визуализации, пользователи лучше понимают, как сформулированы данные, что побуждает их изучать их дальше.
X X
о
го А с.
X
го m
о
2 О
м
CJ
fO CS
0
CS
ci
01
о ш m
X
<
m О X X
7043
Total Cases
1869
Churns
Customer Profile by Contract Type
Total Rev Avg Rev Tenure
Two
Оле yearHI
Mo ril h-to-ma nth
OK 25OK 0 BG 0 60
Service Purchased by Contract Type
Otter Services
DSL Fiber No
ll
Top 5 Churn Factors Determined by Machine Learning
Contract te nure Mont 111 yC ha где s InternetService Payme niMethod
RfHain ML Model Every time Changing Fitters to Generate Chum Factors for the New Population
Churn Distribution
1 >1 No
Phone Confracl Partner lirlem el Service Dependents
□ Yes П M onth-to-mo nth CPSL □ 'Jo
□ Wo | | One year |~| Fiberoptic CT«
gender PaymentMethod MultipleLines OnfineBackup On insSecunt
Ferrate □ Bank transfer {automatic □ 'Jo
Q Male [~| Credit card (automate) □ Чоркжея f***| Mo iilemet service □ 'Jamtim«
| | Electron« check дуй
SlreamingTV Tectl Support SlreamingMo' DevrcePnjteclhorc SeniotClfizefl
□ Yes □ No
| | Wo internet ser\ □ Mo internet service | | No internet e | | Mo inlernet service СГ
Quo СГ« □ u
e
By: | Contract
Ш £
Рисунок 2. Информационная панель, перегруженная информацией
Панель мониторинга предназначена для передачи некоторых важных сообщений, но это не означает, что она отображает все результаты сразу. Дополнительный контент может перегрузить пользователя информацией, который может начать обрабатывать ее и задавать вопросы, не относящиеся к теме. Отображение ключевых результатов позволяет пользователям найти ответы на некоторые ключевые вопросы. Это побудит их к дальнейшему изучению данных, анализу новой информации или изменению сохраненных версий информационных панелей.
Важно обеспечить иерархию информации, определив ключевые вопросы, которые будут решаться с помощью визуализации. Далее, важно убедиться, что поиск ключевой информации не занимает много времени. В общем, рекомендуется убедиться, что каждая диаграмма на панели мониторинга отвечает только на 1 вопрос одновременно. Панель мониторинга предназначена для передачи нескольких важных сообщений. Это не означает, что все выводы должны быть представлены сразу. Дополнительный контент может перегрузить пользователя информацией, который может начать обрабатывать ее и задавать вопросы, не относящиеся к теме. Основная цель состоит в том, чтобы гарантировать, что пользователи смогут найти ответы на некоторые ключевые вопросы, опираясь на отображаемые результаты.
Прототип визуализации
Первоначально предлагается использовать схему-прототип, показанную на рисунке 1, в качестве отправной точки для создания интерфейса. Этот диаграмма
представляет взаимодействие компонентов для визуализации, где блок «Уровень риска» представляет собой общее представление ситуации риска, основанное на различных дополнительных модулях. В данной работе рассматривается визуализация начального модуля.
Пример модуля уровня риска показан на рисунке 3. Основываясь на наборе задач, выполняемых различными ролями, визуализированы следующие разделы:
1) Оценка активов - уровень воздействия.
2) Вероятность кибератак [8].
3) Прогнозирование рисков [9].
4) Бюджет для поддержания текущего уровня риска.
5) Снижение рисков - показатель затрат.
Каждый из компонентов здесь кликабельный и показывает подсказки при наведении на него курсора. При переходе (после нажатия / щелчка) по каждому элементу выводится подробная информация, визуализируемую графиками (при необходимости визуализируем тренды или сравниваем характеристики во времени). При этом рядом с каждым индикатором есть значок для запоминания, каждую картинку следует выбирать в соответствии с опытом пользователя. Индикаторы подсветки - основанные на использовании цветов, визуализирующих принятое соответствие между значениями цвета, например красный - это высший уровень опасности.
7. Заключение
В этой статье раскрыта важность применения информационных панелей в области информационной безопасности для обеспечения быстрого и точного при-
нятия решений. Быстрое понимание требуемых параметров и их визуализация являются важными компонентами управления ИБ. В этой статье описываются методы отображения панели мониторинга, основанные на углубленном понимании задач, назначенных стандартизированным ролям в области ИБ. Подробное понимание задач, выполняемых в области управления информационной безопасностью, является неотъемлемой частью процесса создания инструмента визуализации информационной панели. Параллельная расширенная визуализация увеличивает скорость реагирования на инцидент в области ИБ, в то время как адаптация к конкретной роли обеспечивает более эргономичное представление данных.
Каждый модуль приборной панели должен быть смоделирован с учетом эргономических соображений. В случае, когда каждый новый сотрудник выполняет определенную роль, необходимо провести тестирование для определения предпочтений и скорости понимания визуализированной информации, представленной различными вариантами. Тестирование должно проводиться с использованием различных разрешений экрана: смартфон, планшет, ноутбук, экран в центре управления безопасностью (Security Operations Center, SOC). При этом следует учитывать частоту использования того или иного устройства.
Литература
1. M. d. Guzman, "The role of visualization in the teaching and learning of mathematical analysis." 2002.
2. T. Demazure, P.-M. Le'ger, and G. Babin, "Vers une interface cerveau- machine pour le soutien de ta'ches de surveillance prolonge'es sur des syste'mes d'information," 2018.
3. P. Yermalovich and M. Mejri, "Formalization of attack prediction problem," pp. 280-286, 2018.
4. G. du Que'bec, "Guide d'e'laboration d'un tableau de bord de se'curite' de reformation," avalable at http://bit.ly/2p1CaKV, 2014.
5. K. L. Dempsey, N. S. Chawla, L. A. Johnson, R. Johnston, A. C. Jones, A. D. Orebaugh, M. A. Scholl, and K. M. Stine, "Sp 800-137. information security continuous monitoring (iscm. for federal information systems and organizations," 2011.
6. F. T. Sheldon, R. K. Abercrombie, and A. Mili, "Methodology for evaluating security controls based on key performance indicators and stakeholder mission," in 2009 42nd Hawaii International Conference on System Sciences. IEEE, 2009, pp. 1-10.
7. "Bi visualization gallery: Dashboard and report examples." https://bit.ly/2X7y5U4, accessed: 2020-04-04.
8. P. Yermalovich, "Determining the probability of cyberattacks," vol. 4, no. 1, pp. 46-63, 2020.
9. P. Yermalovich and M. Mejri, "Risk forecasting automation on the basis of MEHARI," in IEEE SPC 2020 -sixth Workshop on Security and Privacy in the Cloud (SPC. (IEEE SPC 2020., Avignon, France, Jun. 2020.
10. R. Bidou, "Security operation center concepts & implementation,"avalable at http://www. iv2-technologies. com, 2005.
11. A. Madani, S. Rezayi, and H. Gharaee, "Log management comprehen- sive architecture in security operation center (soc.," in 2011 International Conference on Computational Aspects of Social Networks (CASoN.. IEEE, 2011, pp. 284-289.
12. S. Madnick, N. Choucri, S. Camina, E. Fogg, X. Li, and W. Fan, "Ex- plorations in cyber international relations (ecir.-data dashboard report# 1: Cert data sources and prototype dashboard system," 2009.
13. P. Yermalovich and M. Mejri, "Ontology-based model for security assessment: Predicting cyberattacks through threat activity analysis," in Computer Science & Information Technology (CS & IT., vol. 10, no. 3, Sydney, Australia, 2020, pp. 61-78.
14. P. Jacobs, A. Arnab, and B. Irwin, "Classification of security operation centers," in 2013 Information Security for South Africa. IEEE, 2013, pp. 1-7.
Development of a dashboard in information security
Bagazhkov D.I., Malyshev I.A., Dovgun V.A., Sergei S.K., Hamdallah Ya.M.
Moscow Technical University of Communications and Informatics
JEL classification: C10, C50, C60, C61, C80, C87, C90_
The use of data panels is essential to ensure fast and accurate decision making. The operational understanding of the required parameters and their visualization are important components of information security (IS) management. This article describes a set of methods for visualizing dashboards based on a deep understanding of the tasks assigned to standardized roles in the field of information security. A deep understanding of these roles is an integral part of the process of creating a dashboard visualization tool. Detailed visualization increases the speed of response to an information security incident, and adaptation to a specific role allows you to present data more ergonomically. The paper provides background information: the definition of a dashboard in information security, the stages of creating dashboards. A definition of data dashboard users, a set of performance metrics, visualization methods.
Keywords: Information security, panel, information, information, indicator, security, user, visualization, monitoring, data, task, process, control, indicator. References
1. M. d. Guzman, "The role of visualization in the teaching and learning of
mathematical analysis." 2002.
2. T. Demazure, P.-M. Le'ger, and G. Babin, "Vers une interface cerveau-
machine pour le soutien de ta'ches de surveillance prolonge'es sur des syste'mes d'information," 2018.
3. P. Yermalovich and M. Mejri, "Formalization of attack prediction problem,"
pp. 280-286, 2018.
4. G. du Que'bec, "Guide d'e'laboration d'un tableau de bord de se'curite' de
l'information," avalable at http://bit.ly/2p1CaKV, 2014.
5. K. L. Dempsey, N. S. Chawla, L. A. Johnson, R. Johnston, A. C. Jones, A.
D. Orebaugh, M. A. Scholl, and K. M. Stine, Sp 800-137. information security continuous monitoring (iscm. for federal information systems and organizations," 2011.
6. F. T. Sheldon, R. K. Abercrombie, and A. Mili, "Methodology for evaluating
security controls based on key performance indicators and stakeholder mission," in 2009 42nd Hawaii International Conference on System Sciences. IEEE, 2009, pp. 1-10.
7. "Bi visualization gallery: Dashboard and report examples." https://bit.ly/2X7y5U4, accessed: 2020-04-04.
8. P. Yermalovich, "Determining the probability of cyberattacks," vol. 4, no. 1,
pp. 46-63, 2020.
9. P. Yermalovich and M. Mejri, "Risk forecasting automation on the basis of
MEHARI," in IEEE SPC 2020 - sixth Workshop on Security and Privacy in the Cloud (SPC. (IEEE SPC 2020., Avignon, France, Jun. 2020.
10. R. Bidou, "Security operation center concepts & implementation," available at http://www. iv2-technologies. com, 2005.
11. A. Madani, S. Rezayi, and H. Gharaee, "Log management comprehensive architecture in security operation center (soc.," in 2011 International Conference on Computational Aspects of Social Networks (CASoN.. IEEE, 2011, pp. 284-289.
12. S. Madnick, N. Choucri, S. Camina, E. Fogg, X. Li, and W. Fan, "Explorations in cyber international relations (ecir.-data dashboard report# 1: Cert data sources and prototype dashboard system," 2009.
13. P. Yermalovich and M. Mejri, "Ontology-based model for security assessment: Predicting cyberattacks through threat activity analysis," in Computer Science & Information Technology (CS & IT., vol. 10, no. 3, Sydney, Australia , 2020, pp. 61-78.
14. P. Jacobs, A. Arnab, and B. Irwin, "Classification of security operation centers," in 2013 Information Security for South Africa. IEEE, 2013, pp. 1-7.
X X
о
го А с.
X
го m
о
2 О M
со
