Классификация состояний информационной системы по критерию безопасности
Авторы: Пушкарская Анна Игоревна, Витенбург Екатерина Александровна, Оладько Владлена Сергеевна
Рубрика: Автоматика и вычислительная техника
Опубликовано в Техника. Технологии. Инженерия №2 (4) апрель 2017 г.
Дата публикации: 20.03.2017
Статья просмотрена: 1143 раза
Библиографическое описание:
Пушкарская, А. И. Классификация состояний информационной системы по критерию безопасности / А. И. Пушкарская, Е. А. Витенбург, В. С. Оладько. — Текст : непосредственный // Техника. Технологии. Инженерия. — 2017. — № 2 (4). — С. 48-52. — URL: https://moluch.ru/th/8/archive/57/2093/ (дата обращения: 16.12.2024).
В статье рассмотрена проблема идентификации нарушений безопасности в информационной системе предприятия посредством анализа и классификации событий системы. Проанализирована динамика нарушений безопасности информации в организации. Сделан вывод, что основными последствиями инцидентов являются утечка информации. Предложен и формализован подход к классификации состояний ИС по критерию безопасности на нормальные, аномальные и опасные.
Ключевые слова: информационная безопасность, инцидент, событие, защита информации, оценка риска, аномалия, злоумышленник, атака
Сегодня практически каждая организация в процессе управления и осуществления своей деятельности использует объекты информационной инфраструктуры и сети связи для хранения, обработки и передачи больших объемов электронной информации различной формы, ценности и категории доступа. Информационная система (ИС) является базовым компонентом информационной инфраструктуры, в которой циркулирует наиболее значимая конфиденциальная информация различного вида: персональные данные, коммерческая тайна, служебная и профессиональная тайна, сведенья об изобретениях и ноу-хау. Данные аналитики, представленные в отчетах компании Infowatch [1], показывают, что при эксплуатации ИС с каждым годом расчет число утечек конфиденциальной информации (см. рисунок 1). В 2016 году число зафиксированных утечек превышает на 16 % количество зафиксированных утечек за аналогичный период 2015 года, а за последние 10 лет количество утечек увеличилось в 5 раз (см. рисунок 1).
Рис.1. Динамика роста числа утечек конфиденциальной информации за последние 10 лет, данные компании Infowatch
Основными причинами утечек являются преднамеренные действия и атаки злоумышленников, а также халатность и ошибки сотрудников организации, в 33 % источниками нарушений являлись внешние воздействия, в 67 % — действия внутренних нарушителей. Как показано в [2], действия злоумышленника при проведении атаки на информационные ресурсы, данные и объекты ИС представляют собой сложный, многоступенчатый, часто ветвящийся процесс, который сопровождается рядом событий, происходящих в ИС. Данные события возникают на системном и сетевом уровнях, носят нежелательный характер и влияют на состояние информационной безопасности (ИБ) ресурсов и подсистем ИС. Совокупность множества взаимосвязанных событий безопасности образуют сценарий инцидента безопасности, который, оставаясь долго незамеченным, наносит существенный ущерб организации и может стать причиной возникновения новых нарушений. Для предотвращения подобного сценария развития ситуации, своевременного обнаружения инцидента безопасности, его локализации и минимизации рисков необходимо проводить регулярный мониторинг событий ИС и классифицировать ее состояния по критерию безопасности.
В данной работе авторами предлагается подход к классификации состояний ИС по интегральному критерию безопасности, который основан на периодической оценке рисков событий происходящих в системе.
При решении задачи классификации текущего состояния ИС — ST, в соответствии с подходом работы [3], предлагается выделить три возможных состояния ИС, которые описываются кортежем — ISState =
– нормальное состояние (Snorm) — указывает на отсутствие в ИС подозрительной активности, аномальных событий и соответствует штатному режиму ИС, не требует проведения каких-либо внеплановых мероприятий по защите информации;
– аномальное состояние (Sanorm) — указывает на присутствие в системе подозрительной аномальной активности, ошибок пользователей, снижение производительности и других отклонений от штатного режима работы, не имеющих явных признаков нарушения безопасности, требует дополнительного контроля и мониторинга дальнейшего развития ситуации;
– опасное состояние (Sdang) — указывает на наличие событий безопасности, признаков обнаруженной атаки, сбоев и отказов программно-аппаратных подсистем ИС, требует немедленной реакции службы безопасности и применение средств и механизмов, направленных на блокирование и локализацию угрозы, а также снижение рисков.
Рис. 2. Множества состояний ИС
Классификация состояния ИС осуществляется по правилу (см. формулу 1)
(1)
где — определенное событие, во множестве всех событий ИС; — тип события; — событие нарушение безопасности; — нормальное событие; — аномальное событие. Принадлежность события EventISi к одному из трех состояний EventState={} определяется с двух шаблонов опасных и безопасных событий — , которые представляют собой пополняемые базы данных, сформированные на этапе составления «профиля ИС» и расширяемые в процессе эксплуатации ИС и управления инцидентами ИБ (см. рисунок 3).
Рис. 3. Схема классификации событий ИС на основе базовых шаблонов
Классификация , осуществляется следующим образом (формула 2).
(2)
Таким образом, при классификации ИС по критерию безопасности нужно учитывать, что аномальное состояние ИС является пограничным и требует детального изучения. Причинами аномального состояния являются [4–6]:
– временное санкционированное отклонение от штатного режима работы, например, расширение программно-аппаратной платформы ИС, появление новых пользователей, сдача отчетов и увеличение объема передаваемой в сети информации, осуществление планового резервирования, тестирование политики безопасности;
– отклонение, вызванное отказом средств или подсистем ИС, появлением новой уязвимости или действием злоумышленника, например, предварительное сканирование ИС, внедрение вредоносного программного обеспечения, блокирование серверов (DDos — атаки), нарушение логических связей или переполнением буфера или стека.
С течением времени может наблюдаться переход ИС из аномального состояния в нормальное или опасное. В связи с этим требуется постоянный мониторинг источника аномальной активности, анализ рисков событий, связанных с источником и принятие управляющих решений относительно классифицированного состояния ИС. Кроме того отсутствие или применение средств защиты может также повлиять на состояние ИС и перевести ее из одного класса в другой (см. рисунок 4).
Рис. 4. Ориентированный граф перехода состояний ИС
Поскольку переходные процессы сопровождают ИС на протяжении всего периода эксплуатации, то классификацию состояний ИС по критерию безопасности следует проводить на регулярной основе. При этом период времени между классификациями состояний будет зависеть от результатов прошлой проверки, если предыдущее состояние было классифицировано как опасное или аномальное, то проверки следует проводить чаще, сводя к минимуму временной интервал.
Литература:
- Глобальное исследование утечек конфиденциальной информации в I полугодии 2016 года//Аналитический центр Infowatch [электронный ресурс]. URL: https://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Global_Report_2016_half_year.pdf?rel=1 (дата обращения 11.03.2017).
- Микова С. Ю., Оладько В. С. Модель системы обнаружения аномалий сетевого трафика//Информационные системы и технологии. 2016. № 5 (97). С. 115–121.
- Никишова А. В., Рудиков Р. Ф., Калинина Е. А. Нейросетевой анализ событий безопасности в информационной системе//Известия ЮФУ. Технические науки. 2014. № 2 (151). С. 80–86.
- Оладько В. С., Садовник Е. А., Ермакова А. Ю. Анализ аномальной активности как инструмент обнаружения злоумышленных воздействий в информационной системе// Евразийский союз ученых. 2015. № 3–4 (12). С. 146–149.
- Козунова С. С., Бабенко А. А. Модель построения защищенной информационной системы корпоративного типа// Информационные системы и технологии. 2016. № 3 (95). С. 112–120.
- Аткина В. С. Система анализа катастрофоустойчивости//Известия Томского политехнического университета. Инжиниринг георесурсов. 2013. Т. 322. № 5. С. 116–120.
Ключевые слова
оценка риска, Информационная безопасность, событие, защита информации, аномалия, инцидент, злоумышленник, атака, инцидентПохожие статьи
Риски систем управления и контроля доступа
В статье рассмотрена проблема нарушения безопасности, такого элемента подсистемы инженерно-технической защиты информации на предприятии, как системы управления и контроля доступа. Проанализирована типовая структурная схема организации системы управле...
Проблемы информационной безопасности при использовании ERP-систем
Обозначена актуальность использования ERP-систем в деятельности современного предприятия. Выделены основные функции ERP-систем и категории данных обрабатываемых ими. Проанализирована проблема нарушения информационной безопасности в ERP-системе. Соста...
Информационная безопасность для бизнес-организаций
В статье рассмотрены методы решения, виды угроз, способы защиты и оптимизации безопасности. Особое внимание уделено методу комплексной информационной защиты.
Анализ современных угроз экономической безопасности хозяйствующего субъекта (на примере ООО «Дельфин»)
В статье анализируются современные угрозы экономической безопасности предприятий. Выявлено, что важнейшие для ООО «Дельфин» и самые опасные — это экономическое принуждение и внешние угрозы, связанные с санкциями. В рамках данных угроз предложены меры...
Организационно-экономические ситуации функционирования и развития предприятий в условиях риска
В статье представлен авторский подход к пониманию категории «риск», его дуальной сущности и содержания, а также к классификации рисков предприятий. Выделены группы факторов, оказывающих влияние на возникновение и уровень риска предприятий. Изложена х...
Информационная безопасность в малом и среднем бизнесе. Алгоритмы и действия
В статье представлен алгоритм по повышению информационной безопасности в компаниях среднего и малого бизнеса. Рассмотрены основные угрозы, возникающие в различных предприятиях, связанных с интернет преступниками и методы их предотвращения. В анализе ...
Профилактика стрессов и конфликтов в организации
В статье представлена общая характеристика понятий «стресс» и «конфликты». Рассмотрены основные направления профилактики стрессов и конфликтов в организации на примере Станции по борьбе с болезнями животных Северного административного округа города М...
Понятие и классификация рисков предприятия
Актуальность написания статьи заключается в том, что в современном мире, в условиях рыночной экономики и жесткой конкуренции вопросы экономической безопасности предприятия, как экономического субъекта, особенно актуальны. Предприятия подвержены так н...
Риски и угрозы в системе кадровой безопасности оценочной компании
В статье рассматриваются риски и угрозы кадровой безопасности в оценочных компаниях. Выявляются наиболее распространенные угрозы интересам организации со стороны нелояльных и безответственных сотрудников.
Противодействие компьютерной преступности: законодательство, практика
В статье автор дает общее понятие компьютерным преступлениям, определяя их объект и специфический предмет. Исследуется комплекс мер противодействия компьютерным преступлениям, в том числе роль общих и специальных субъектов противодействия компьютерно...
Похожие статьи
Риски систем управления и контроля доступа
В статье рассмотрена проблема нарушения безопасности, такого элемента подсистемы инженерно-технической защиты информации на предприятии, как системы управления и контроля доступа. Проанализирована типовая структурная схема организации системы управле...
Проблемы информационной безопасности при использовании ERP-систем
Обозначена актуальность использования ERP-систем в деятельности современного предприятия. Выделены основные функции ERP-систем и категории данных обрабатываемых ими. Проанализирована проблема нарушения информационной безопасности в ERP-системе. Соста...
Информационная безопасность для бизнес-организаций
В статье рассмотрены методы решения, виды угроз, способы защиты и оптимизации безопасности. Особое внимание уделено методу комплексной информационной защиты.
Анализ современных угроз экономической безопасности хозяйствующего субъекта (на примере ООО «Дельфин»)
В статье анализируются современные угрозы экономической безопасности предприятий. Выявлено, что важнейшие для ООО «Дельфин» и самые опасные — это экономическое принуждение и внешние угрозы, связанные с санкциями. В рамках данных угроз предложены меры...
Организационно-экономические ситуации функционирования и развития предприятий в условиях риска
В статье представлен авторский подход к пониманию категории «риск», его дуальной сущности и содержания, а также к классификации рисков предприятий. Выделены группы факторов, оказывающих влияние на возникновение и уровень риска предприятий. Изложена х...
Информационная безопасность в малом и среднем бизнесе. Алгоритмы и действия
В статье представлен алгоритм по повышению информационной безопасности в компаниях среднего и малого бизнеса. Рассмотрены основные угрозы, возникающие в различных предприятиях, связанных с интернет преступниками и методы их предотвращения. В анализе ...
Профилактика стрессов и конфликтов в организации
В статье представлена общая характеристика понятий «стресс» и «конфликты». Рассмотрены основные направления профилактики стрессов и конфликтов в организации на примере Станции по борьбе с болезнями животных Северного административного округа города М...
Понятие и классификация рисков предприятия
Актуальность написания статьи заключается в том, что в современном мире, в условиях рыночной экономики и жесткой конкуренции вопросы экономической безопасности предприятия, как экономического субъекта, особенно актуальны. Предприятия подвержены так н...
Риски и угрозы в системе кадровой безопасности оценочной компании
В статье рассматриваются риски и угрозы кадровой безопасности в оценочных компаниях. Выявляются наиболее распространенные угрозы интересам организации со стороны нелояльных и безответственных сотрудников.
Противодействие компьютерной преступности: законодательство, практика
В статье автор дает общее понятие компьютерным преступлениям, определяя их объект и специфический предмет. Исследуется комплекс мер противодействия компьютерным преступлениям, в том числе роль общих и специальных субъектов противодействия компьютерно...