УДК 519.24:D(K.023:034.041
H А П О Л H F N И F УЗЛОВ SI = PЛ ГИГТ F МЬ1 MFTO/lMKOft PAC4FTA OBhFKTHRHhlX OI[FHOK Д. И НО {.МОЖПО( I И ПОПЫ III I МИЛ ДОС I OHI РНСК I У )К( III H I 11Ы X Ol II IIOK В МЕТОДИКЕ РАСЧЕТА РИСКА ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
А. Ж. Абденов. В. А. Трушин
Новосибирский государственный mexnteiecxuü у.жсрситет, г. Новосибирск, Россия
Аннотация — II работе рассматриваются вопросы совершенствования методики управления рисками соответствующих узлов SIEM-системы на основе расчетов объективных опенок для повышения достоверности субъективных опенок н повышения эффективности зашиты информационных ресурсов в пи формлппонныт системах. Ио.топная меточика пре-тнаяначрна для целей организации я режима реального времени, рекомендации j.ih мшшы информации в информлшшнныл. шешмах иредириншн. Расчеаы рисков основаны на объективных оценках вероятностен реализации неблагоприятных событий, предсказании величин ущербов от нарушении информационной безопасности.
Ключевые с.юеч\ иценка риска, гашша информации. информационна» сшпема. ибьекшыные оцьнки. ущербы.
^ведение
Ргирибдока сискгм Kuidiui^KLHUH. аын^нол. с злсмсииши кшелле*1\а.шныл. сервисов ¡щиibj кикфиденцн-альпои информации ¡ТСИ) ipeoyeT успешной реализации различных мероприятий по занппе информационных ресурсов il IP) в компьютерных системах (КС). Эти мероприятия предполагают решение целого ряда задач, в часшиои, создание сислемы миыишриши yipui (хгзиласнисш. Сисигмы :шнишриша р=а.-И;укм .гку-ции н апостериорный подходы к защите информации и основной целью своего создания имеют снижение количества шпшдентов. воздействующих па ИР КС до минимального уровня риска, и мшшмгоадню возникающего при этом ущерлл I) длиной р.тЬотг иици,*нтпм Оудгм считать птооог нг л лконное черачр-тттг-ннпг неблагоприятнее шбыше (HC). *лмирие ^оьгршагю. в информационной CHCie.uc (ИС).
Одним и; наиболее перепектнзных н эффективных направлений в еозданнк систем мониторинга угроз безопасности в настояшсс время считаются ЬГЕМ-снсгсмк (Security Information and Event Management), обсепечи-кающиг управление информацией и гоЬмтнями Ьезогагногти Огиоютой пелмп погтроениу и функттиокиро нанял $1ЕМ-сла«мы ян.1жпс.ч уначигельное пиныш-ниг уровня информационной Gî ¿оиасьосш (11Б; в информационной инфраструктуре за счет обеспечешиг возможности с ре>:шме реального времени манипулировать mi формапкен о безопасности. осуществлять активное управление событиями безопасности [1]. Предполагается, чш активное улраиленне инцгмеылми и соСжлихми безопасности ос новыиа-1 о. на автоматических. механизмах. использующих накопленную информацию о предыеторш! анализируемых событий и прогнозе будущих событий, а также па автоматической подстройке параметров мошгторшиа событий к текущему состояопо за ЩИЩМШОЙ СИСТГММ НВМДЛЧГ рггшчщапии ДЛЯ корректировки ПОЛИТИКИ Uli ИЯ OTHORf ьффгктияного игиолк-
зования средств защиты HP в КС [2,31.
Обсуждение вопросов, возникающих в разрабатываемых SIEM-снстемах для сервисных информационных инфраструктур. проводится в проекте MAS SP (MAnagement of Security Information nnc Event ш Service Infra-
structure — VnpaRar-нир информацией и гоЬьттигаи Ьел опасности r инфраструктурах углут) седьмой рялго«тной программы Европейского союза ["1]. Мьх предполагаем^ что одним из обсуждаемых вопросов в рамках проекта MASSIF должны быть вопросы наполнения и постоянного совершенствования отдельных узлов SŒM системы возможностями решения задач классификации ннцндсктов. прогнозирования. фильтрации н оптимизации нс-иолысианих средств s лги. и i ы KP в КС [3-6]. Дц* достижения иостажшашых целен SIEM-снстема должна обла-дать возможностыо успешного решения следующего комплекса задач:
CÖopn обрягопси И ЯНПЛИЗЯ ГЛЙЫТЯЙ бсЮЛЯГНОГТК ТЮГТуПЯЧ>ГТ~'ГЗС в гигтему ич т.гножтгткп ггтгрптшьпе источников,
обнаружения в режиме реального времени атак нарушений критериев н политик безопасности:
- анализа и ynjiaKi гния рисками к ИС на ск нпкг ¡ifiwn гиннмх и жененных опенок
- пттгрлтиянпй пценхи члгтптгтк-нног~v инфо_tnглдкГЖНТ.ТХ телетсоммуктткагтиг'ннт.гх и других крнтшггки
важных ИР:
ПрОВСДСЕНЯ РЖСЛСДОВОНЕН ЕНЦИДСНГОВ;
обнаружения расхождения результатов анализа критически важных 1111 н бизнес-процессов с внутренними пол!гп1камн ИБ н последующее приведение нк в соответствие друг с другом:
- пршштия эффективных решений по защите информации Г<>1:
- формирования отчетных документов.
Основными и(_XuДН-Ы>1 и данными, ьлморые исио.и»iyKJicx SIEM-CKCiexaoä длх решении указанных ¿адач. дв-лякугог члттиги рллтти*тных журчлют* аудита (logs), прототсплируюпкг гопкттия r информационной икфрлструх-турс. называемые «событиями безопасности». Данные с сбытая отражают такие действия пользователей н программ. которые могут оказать влияние на ИБ. Из общего множества событии безопасности SEM-система должна в режиме реального времени находить такие собьпня безопасности, которые свидетельствуют об атаках и—и иных во^деи-лвиях. прячем 1радиционные мподы иии>.кл пиши информации долашчно хрудоемхк.
Для обнаружения. анализа и разрешения возникающих проблем по зашитс ИР. разработанные в европейских государствах SIEM системы имеют архитектору оагеиты-храннлнще данпых-сервер приложении» [1-3. 7]. Агенты выполняют сбор событий безопасности, их первоначального обработку, нормализацию, классификацию и фн.1ыуацню. Собранные. к_.а сс ники иг. о и ¿-. нны е. <лфнлырл1лнные информации о собь.1ихх бедшаенш: i и поступают в репозпторин. ^хранилище данных в biLM-снстемах). где они хранятся во внутреннем формате представления с целью последующего использования и анализа сервером приложении Серверы приложении аиали знруют информации, хранимые в репозиторин и преобразуют кх для выработки предупреждений. других рекомендаций в режиме реального времени, а также управленческих решений по защите информации.
В JicpLii^K 1КВКЫХ SIEM-iuatrtux (ю treib в системах нивою поколения) к числу расширении функциииу-иэ-ных наполнений узлов SlLM-скстемы следует добавить анализ событий. инцидентов и их последствий, принятие решений и визуализацию ипформанш. Раскроем примерное содержа:ше некоторых мехаипмоз оушошо нальных наполнений узлов по уровням иерархии SIEM-снстемы:
- H.tpM.i_Hiаши ошачам приведение форма-св ¿¿лшееи журналов. собранных. и? различных иишчнль.в к единому внутреннему формату, который затем будет использоваться для их хранения и последующей обработки [2.3. 7];
- онльтрапия событий безопасности заключается в корректировке текущих оценок состояния защиоенно-сш ИР а КС л расчг1ы лш оценок на будущий интервал времени [8, 9],
- ирннриггчациж пнре,|елие1 :<няним(м~1ъ и кртичнопк собьпнй Гн-.-ан ыг н«м"тм на игнокянии мрикил шцхгдг-ленных в системе IL ./J:
- корреляция делается для того, чтобы заметить появление соответствующих шаблонов событий, шаблоиос отношений между переменными событиями. с тем чтобы оценить уровень безопасности контролируемой обла-ПИ и I гнгрир! !KJ11 h IHi;ipi>flHhir 1ПЧПЫ Гг<(нисмн:ги [4, 9, 10]
анализ событий, инцидентов и их последствий включают процедуры моделирования событий, атак и их последствии, анализа уязвкмостеи. оценок риска, прогнозирование и фильтрации оценок НС и шпшдеятов "11-
14];
- гипгмл нодцержки иринм 1ии решений (fUTTTP) оиределие чырлпону мер im оптимизации и ]>гкпнфи1 у-
рнрованню средств защита с пелью прсдстврашсния итак на КС |2. 3J:
гсвсрегоя отчетов к предупреждении означает формирование. передачу, отображение н (или) печать результатов функционирования [2,3.1].
В данной работе будут предложены и раскрыты некоторые элементы наполнения отдельных узлов SIEM-гис1гмы а.норигмами решении чадач рас-чпи риски на огноке ойкекi иккмх опенок и iaa*e ]*агчпа оценок предсказания п фильтрации количества НС. величину ущербе ИР з КС 1э. 6. 8. У. L3J.
1. Постановка задачи. Расчет объективных опенок для повышения достоверности предлагаемых экс портных оценок для оценивания риска в ИС
Огнокаьный на рисках подход к оценке поггнцианьнош ущерба иг зпък нарушителей и ныбиру мер дли пх>
минимизации получал название «Управление рнехемп». Под «управлением рисками» подразумевается полный комплекс алгоритмов и мероприятий из ряда выполняемых последовательно процесс od. что соответствует су ществующнм международным стандартам и практике управления рисками на предприятиях [13. 14]: идентификация рисков, анализ рисков, принятие рисков, мониторинг н пересмотр. В существующих методиках управления рисками их идгнтификлпии осуществляется |мпличнмми методами такими как комлилньтг :<тчолгот1ыг штурмы-;, анализ архитектуры системы зашиты ИР. операционное моделирование, анализ сценариев, нослсдо-
шш. Ксшпесттешше шпер-алы относительно КРМ должны определяться спецналистамн по ИБ. которые зпа комы со статистической кнформлдией хранящиеся з репознторнях SIEM-систем.
После Dcex процедур ошосспелыю решепнл зздач классификации н корреляшш можно переходтгть к расче ту объективных оценок с пеяью повышения объективной информативности для принятия решении при расчете субъективных оценок о око1пателыюй процедуре оценивания риска. В работе [5] была предложена одна версия методихи расчета объективней вероятноетн реализаций НС в КС. В длиной расоте эта методика дополнена ва-
рнантом условия утеха взаимной корреляшш шумов дипамики поведения исследуемого объекта и туков иаме
ригельной системы при расчете оценок предсхазанкя и фильтрации количества 11С и соответствующих опенок ущерба.
Из списка множества существующих видов НС. имеющихся в репози^орнн SIEM-сиетемы. выделяются су-тсггвгттоос подмножество видов НС приводящих к отпутимому нпруптгнню йечопгеиогти ИТ* r КС под-
мпожестзо обозначим через О - ¡Оп. Oh.....О^ ] . например. - вш НС ошоентельпо нарушения запуска
отдельных уллпв ТСС; — вид TIC о-нг>сит-лвно чеи-рного набора информации применительно к конкретному нпформаагаошюму процессу и обработке данных и т.д.
После построения подмножества О переходим к лняличу свойств элементов подмножества иг ссноче количественных показателей НС к соответствующей величины ущерба, имевшей место в прошлом. Магсматичсскос ожидание ущерба, вызываемого / -м НС за время йТ (например. 1 мссяп). межне пролетавкгь формулой:
<ХО,. Д7) - Jí"[e(0,) -f,].t-üm. (I)
где e[Ot) — случайная величина ущерба уже : лучившегося JIC прн единичном наступлении 11С;
f¡ — случайная величина количества ITC i -го вида .vi чремя AV; m — общге количество всех видов уже гв-ртпиртихгя КС !. -ого видя
Если НС не имеют последствия в том смысле, чте ущерб от каждого НС независим, то
с(0, АГ) = л/[гк;а)] лад. ¡ = Im. (2)
a ущерб для зеего множества существенных ПС Ьл'дет определятся с помощью соотношения
да д!) - тмыоямил (3)
í-i
Алгоритм 1
Шаг 1.1. Для простот будем рассматривать лишь един вид НС. например, зафиксируем конкретное зпаче ние j — 1. Далее, не лнчг стенные ;ioKa¿aiej_tó НС. наиример. da •• лег сведем в -аGm. 1.
ТАБЛИЦА 1
КОЛИЧЕСТВЕННЫЕ ПОКАЗАТЕЛИ НС . ПРОИЗОШЕДШИХ В TL4L11HL1ЮСЛЬДНИХ ^ J1LT1Ю МЕСЯЦАМ
t 1 г 4 5 6 7 8 0 10 п i?
1 Л01 J? J?' ./р JS> & Ль- А?
к- ff ff ff УГ- ff /Г №
где j = 1. ц - количество лет, I 1,12. г помер месяца в году.
Ш.чг 1.2. Исходя из данных таол. 1, с помощью формулы (4) можно получить одну строку данных усредненных помесячных количественных значении НС по столбцам:
Г-1Л2. (4)
Аяашгкшнс :иЬлицы же.ине.^ио iiucipunib огноенхельни дру.их сущес!венных ъидж НС
Шаг 1.3. Для дальнейших расчетоо необходимо подготовить даппые. которые являются данными округлен ными до ueuoi и 01н1лл1гльни данных таблицы, шлунешые но формуле (4) (см. габл. 2).
ТАБЛИЦА 2
УСРЕДНЕННАЯ СТРОКА КОЛИЧЕСТВЕННЫХ ПОКАЗАТЕЛЕЙ ПРОИЗОШЕДШИХ НС. ОКРУГЛЕННЫХ ДО ЦЕЛОГО ОТНОСИТЕЛЬНО ^лЛНЫХ ТАБЛИЦЫ ПОЛУЧЕННЫЕ ПО ФОРМУЛЕ (1)
t 1 2 3 1 5 б 1 S 9 10 11 12
<)Ч /.i /*2 Лз /и Лг ftt л. /г? Ли /*1>
Шаг 1.4. Применительно к усредненным данным (см табл. 2) можно построить математическую модель в форме пространства состояний (ПС) по методике, изложенной ь [5].
х(т +1) = а x(l) + ъ + 1<гх х(1) = x,. (5)
(t +1) = Xit +1) + v(t +1). t = 1. N - L (6)
где x(l) - истинное количество фиксированного вида НС, произошедших в течение месяца г : n{i)~ белое тауссовское нениб.нодаемое воздействие на зафиксированный вид НС ь момент времени i с нулевым математическим ожиданием и неизвестной дисперсией Q: х(1) гаусеозекая величина. отражающая количество НС в начальный е момент времени ' = 1 с математическим ожиданием х- и нснзвсстнон диспсрснсн Р(1) : ¿7. Ь ней звес.кые коэффициенты в .модели динамики (5), t — номер месяца в тоду, JV = 12 — число месяцев в тоду, - fyr?(l) — наблюдаемое случайное количество НС в течеш;е месят ; (данные из репозитория SIEM системы или из журнала наблюдешш предприятия): »"(/) - белая гауссовская последовательность ошибок наблюдении относительно ко.шчеива НС в течение каждою месяца с нулевым математическим о » иданмем и неизвестной дисперсией R.
На данном шаге требуется опешгть все дне перс im. связанные с шумами модели дш:амшчп О и шумом вели
чины начального состояния РС1). шумами нзмер1гтельпой системы R па основе выхода дашшх наблюдении и рекуррен.ных формул, которые приведены в работе [5].
л
Шаг 1.5. Оценки коэфоидиентов а, h я модели дин,-»гики можно рлсс«титатъ г гомощмо метода ншменыпкх квадратов (МНК; на основе (возможно отфильтрованных от шумов) данных наблюдений
Шаг 1.6. Построенная модель (5), (6) позволиг получить наиболее достоверные оценки количества нс с учетом условий взаимной независимости шумоь динамики поведении и измерите.тм [5] или случай взаимной их корре;тированности [9] (возможны и друтие случаи, например случай кирре.шрикг-нн.ч-ти данных выхода измерительной системы) отногтттельио каждого месяпа ч виде оцгнпк пилктряции ла последующий, капримгр, +1) год (в режиме реального сременн с помощью урешиепшз фильтра Калмапа). Полученные опенки фильтра ции должны быть округлены до ближ&ипего целого.
Шаг 1.7. Оценю! фильтрации за 12 месяцев ( ¿/+1) года (рассчитанные на основе денных реальных наблюдений и оценок предсказаний) позволят рассчитать объективные вероятностные оценки рса-ти^аций НС. 11аттример ттредла глете я оагедутотпл я процедура («гчртя керояткости для кошер:—кого чттга 11С
Пусть нас интересует вероятность появления НС в каждом мссяцс предыдущего
/I го года. Для этого подсчитываете* общее суммарное количество (для усредненного количества) НС оценок фильтрации f. тгчгниг всего и -годл iKF<p ). л гатем фильтрационная оценка коливегтча 11с я течение каждого мееяна ( f^(f)) делится на общую суммарною оценка фильтрационных оценок количества НС (F'-^) в течение одною /j -юда, которая илределяется ло форму .те
р'-\0 - /Ло • '-1.1Л (7)
где р^' = ^(f) — опьектиьная вероятность реллнмции конкретного вида I К! в течение каждого месяцл ц -года и всех 12 месяцев При этом для ft го годе будем иметь:
Т. рЬ)(п -U и-4,5.....
(-1
ТАБЛИЦА 3
ОГ.ЪОГГИПТТТЛГ ТШРОЯТТТОСГИ0»р") РГАТТИЗ А1 хиР КОТТКРГ.ТТ ГОГО ВИДА ТТГ П ТГЧПШГ fl -ГО ГОДА
4 1 1 л 3 4 5 6 7 8 9 10 11 12
pf РГ № Р?> Р*'' Ул pf РЧ* Ри' -С») Pi 7
I ;цг . / = 1,1? . ¡i —й IXVI.
Алгоритм 1. например, апробирован па тестовом примере при условии взаимной независимости шумов дн
НИМНЬИ нпкгдгния Н ичмгрл 1Г. 1Я [5] В данной {«(¡(иг ил \>ри14 1 ¡№или:«1ШН ^UIM случаи кч-1нмнп-
ксррелнровашплх шумов объекта и измерителя [91 относительно модели в форме ПС вида (5), (б].
PrxyJihiaihi ригчггшн алшритма 1 фиксируй»« « к ни,к- огдгльнпй проки гаВлицы оГтксгмтикныч оценок рги-
лвзаиин НС в КС для каждого вида из подмножества существенных видов НС О = jpf., г = 1,«]. приводящих к ог|утимиму нарушению Г>гч(1па:-но1 ги /ТР к КС
1.2. Объективная стоимостная оценка предсказания величины ущерба от нарушений безопасности ИР Алгоритм 2
Шаг 2.1. Пуеп. О -|о„ / = 1, п, - множество существенных видов НС, приводящих к нарушению безопасности ИР. В п. 1.1. данной работы была предложена и кратко описана процедура расчета оценки помесячной объективной вероятности количества нарушений определенного вида атаки на ИР в ИС предприятия Предположим далее, что в отделе информационной безопасности (ИЬ) предприятия или в рсиознторнн SlLM-снетсмы имеется статистика относительно ежемесячной опенки ущерба, которая соответствует ежемесячному количеству нарушений ИЬ конкретного ; -го вида атаки, т.е. значениям данных таблицы 1 соответствуют значения данных таблицы Л. Пусть, например. ; — 1.
ТАБЛИЦА 4
КОЛИЧГСТППТТТТ.Т Г.ЖГМПСЭТЧТП,ТГ.ПОТСАЯАТП.7ТИУТИГ.РПА (£<■»>) ОТ ТТАРУШГ.ГТИЙиг, R ЗАВИСИМОСТИ ОТ f -ГО ВИДА АТАКИ
1 2 3 4 5 6 7 8 9 10 11 12
1 sp s? sf* sP Ssa> Se™ sP Sp О]© si?
... ...
sp> ьГ Sp I'W ¿13 ¿if s<~) »13
где Л*/'. _/=!.//. // — холтгчггтп-л лет. /=1.12, / —нгмер месяца к году
Шаг 2.2. Заметим, что не всегда ежемесячные показатели ущерба прямо пропорциональны количеству про ичошедших НС Тгу иг менег на осночг данных члбл 4 можно иосцчшгк линейную мо/щи* н фирме ПС, кшгь рая будет соответствовать усредненным данным наблюдении, рассчитанным по столбцам отпосительпо дашшк гаГхл 4 Элементы сфоки угребенных данных кынигликш * с iiomoih.sk) питгнпиктния (й) и мшу! Пыгк <ч>х]и-пепы в таблице.
={¿6^)/ц. * = 1Л2. СЮ
Шаг 2.5. На основе строки усредненных данных {.». . Г —1,12} по алгоритму, списанному в работах [3], можно построить лилейную модель в форме ПС вида
+ +<£+*<?). л(0)-.тс, f-0.11, (9)
х,(/ + 1)_л(/ + 1) + >(г + 1) (1П)
При .этпги снячина на (Х'.нпкг €1]к»ки усредненных данных, ((кггкгппкуимдих ли.ницг ущгрПсэн, ¡1ИСГЧИГЫ КАЮТСЯ оценки неизвестных дисперсий шумов модели вида (9), (10), а именно оценки дисперсий О, К, /'(1) на основе рекуррентных формул, которые предложены и описаны в работе |Ь.|.
Шаг 2.4. Далее рассчитываем коэффициенты С. (! модели лннамккк (9) с помооью МНК на основе данных нз таблицы строки усредненных данных
Шлг 2.5. предположим что мът располагаем длнчктмн нлгиподений количестренных пгхлялтепен утг.ерЬл (например, нз рспознтрня ЫЬМ-снстсмы). нанесенных ИР предприятия в +1) году (см. табл
ТАБЛИЦАí
ЕЖЕМЕСЯЧНЫЕ КО ЛИЧЕС ТВЕННЫЕ ПОКАЗАТЕЛИ УЩЕРБА ОТ НАРУШЕНИЙ ИБ В ЗАВИСИМОСТИ ОТ г-ГО ВИДА АТАКИ В (//+1) ГОДУ
t 1 ) i 4 6 / Я 4 11) 11 Y)
S¡'> sy* sf- oí") ¿10 Stf et") a12
где 5,(>0, t = 1.12. ¿¿ = ц +1 -ый год.
Испольлуя урлтдаения фильтрл ТСллмлнл и длчкыг тлЬл 5 ттолулит.т последгвлтелънгс тъ оденок фильтрлции | Г). Г — 1.12/ относительно гжгмгпчных более достоверных кпличггткгнных поклчлтелей нлнгс емкого ущерба, представленных в виде строки таблицы ежемесячных количественных показателей оценок фильтрации нанесенного ущерба в {/4+1) году.
Шаг 2.6. Используя округленные до блнжаишнх целых чисел данные опенок фильтрации относительно количественных показателен, свершившихся НС в течение I /:+1) года по мссяиам и донные табл. 5 относительно оценок онльтращш как колгчествешсых показателен ущерба, палее ешшх па ИР предприятия в (//-1; году,
можно получить усредненный ущерб нанесенных oí единичного случая свершившегося НС {е(/), t — 1,12 ¡. Для этого необходимо данные строга табл. 5 разделить на соответствующие данные га табл 2. округленные до целого, элементы строки данных количества реализации НС. Расчетные данные можно свести в табл 6.
ТАБЛИЦА б
УСРЕДНЕННЫЙ НАНЕСЕННЫЙ УЩЕРБ ОТ ЕДИНИЧНОГО СЛУЧАЯ СВЕРШИВШЕГОСЯ НС
t 1 ) i 4 ь 6 / 8 10 11 12
e\J) «i "2 «3 «6 Kj «5 к9 «ii «i:
Шаг 2.7. Предсказывая количество НС ) / -го вида с помощью соответствующей модели в форме ПС
С>) (б) и (чн11кп(ТГКуН111|Г111 уГре.ЧНеННО! 11 уМИ*])Г'И от единичной) случая [ КГрШНКШеГПГМ НС (| Г 11«) данным табл. б), можно получить оценку предсказания величины ущерба, которая будег нанесена предприятию в г н месяц +7.) (текущего) годл
Алгоритм 2. например, апробирован на тестовом примере при \гсловин взаимной независимости шумов динамики кжгдгнии и ичмери¡еля [5] В /(ани»й ¡и&пг ii.ni ори I м 7 ]>еиличоклн ;ищ случи» кчанмно-коррелировакных шумов объекта к гамернтсля относительно модели в форме 11С вида (У. 10).
Результаты расчетов алгоритма 2 фиксируются в виде отдельной строки таблицы объективных оценок пред-схизанил ыг.ш-шии ущерба в зависимости ох соо.ве1 ствутсщих оценок реализаций НС в КС длл каждою вида
НС и< подмножества существенных видов НС О = ! = 1. т приводящих к ощутимому нарушению безоттас-нсстн ИР в КС.
Наконец вся экспертная гргтша перед выставлением свсих экспертных оценок, по различным семействам кпн1]М)лгн Гечпижнопи [1Я] дшиина бьик |нник»и.гнн с ргчулкг/пами ¡аблицы оГгнгптшмх оценок ¡к-ллича-ией НС в КС н соответствующей таблицы объективных опенок предсказания величины ущерба для каждого
внда НС из подмножества существенных ендов НС 0 = , г =1, т\. приводящих к ощутимому нарушению безопасности уСР в КС.
2. Группы контроле*! безопасности
Меры безопасности (альтернативное название - окоптроли безопаспостш-), возможно
применяемые для ИБ в ИС предприятий, которые можно поделить на три основные группы: технические, операционные и упцинленческие [13] Группы н ikohi оче^к-дк, ра-ишк-жшя мл ггмейгтки Перечислены -ми контролн безспасносгн в стандарте [16].
В группу- управленческих контролен входят меры безопасности для ИС, которые используются при управ лении рисками для ИБ ИС. Группа содержит пять семейств контролен [13. 15]. В группу операционных контролен входят меры безопасности для ИС, которые прежде всего, реализуются и выполняются людьми В группу входят 9 семейств контролен. В группу технических контроле!-: входят меры безопасности для ИС, которые, прежде всегс. реализуются и выполняются через действия е гнпаратных средствах, программном обеспечении системы В группу входят четыре семейства контролей [13. 16].
Эксперты могуч быть включены в группу с различной профессиональной подготовкой, например : технической. финансовой, ннжезернен и упрпЕлснчсскон. со своими собственными индивидуальными восприятиями. ШН1Н11ГНИ1ИИ и побуждениями к определении ущерба ш киличеггии реялихокинных НС ГТсгггому перед началом расчета величины риска в ИС предприятия на основе экспертных оценок необходимо всем экспертам озна-комшься с результатами: таблицы объектив! ллх оценок реализацш": НС в КС и соответствующей таблицы объ ектквных опенок предсказания величины ущерба для каждого вида IIC кз подмножества сулиественных видов
НС О = ipt, i — 1, т |. приводящих :< ощутимому нарушению безопасности ИР в КС. После знакомства с результатами -»тих двух таблиц объективных оценок, по всем видам существенных НС, каждый эксперт из группы выставляет сосп эхепершые оцешен и па основе этих оценок проводят расчет онепок риска по всем ИС пред приятия.
Например, пусть на предприятии, для которого мы оцениваем риски, существует три ИС: ИС-1. ИС-2, ИС-3 Экспертами после ознакомления с результатами объективных опенок были обнаружены определенные уязвимости н угрозы, относящиеся х различным семействам кошролен. Далее были проведены расчеты оценок рнека на огнеже -эксиергных опенок по мподике. описанной к paílcrie [1 3] Мещдика риг.чешк риска дли we* ipex ИС была апробирована на тестовых данных Результат численных расчетов приведены в работе [5].
После рошьпровашхя ИС по уровшо риска в порядке убывахшя были получены следующие расчетные дан ные (см. табл. 10).
ТАБЛИЦА 10 РАНГИ ИНФОРМАЦИОННЫХ СИСТЕМ
Информационная система ИС-2 ИС-3 ИС-1
VpoRrH4 ригтга 0,413 04¿6 0.4-0
Из табл. 10 видно, что ИС-2 получает самый высокий уровень риска. Значит, вероятность реализации утроз и ущерб для этой системы больше, чем для остальных систем. Поэтому руководителям оргашпацни. в первую очередь, необходимо обратить вниманке на безопасность ИС-2. Более подробную и детальную рекомендации можно получить от соответствующих узлов SŒM-снстем.
3. .\лгоритм фильтра Калмапа. Случаи взаимно коррелированных шумов динамики н измерителя.
Выше было отмечено примерное содержание основных механизмов по уровням иерархии SIEM-састемы нормализация означает приведение форматов записей журналов, собранных из различных источников к внутреннему фермату, которые затем будут использоваться в последующей обработке: корреляции разнородных событий анализ событий, инцидентов н нх псслсдствнй. включающая процедуры моделирования событии, анализ уязвнмо-ггей и ч-иципенносги г.иеггмм, оцгнка риска, например для случая, когда ири решении чадачи оценикиним пх го-яния на основе модели в форме ПС необходимо учесть корреляцию шумов поведения динамики исследуемого обьекга и шумов дплплх наблюдений. В алгоритмах 1 н 2 при лострэегаш моделей в форме ПС, в работе [5]. предполагались, что шу^ат динамики к шумы измерительной системы белые н гауссовскне. Эти шумы между собой н начальным состоянием предполагались взаимно-кекоррелированымн. При этих условиях для расчетов сцепок предсказашш и фильтращш использовались етандаэтиые уравнения фильтра Калмапа.
Ile на пракгике могуч встречаться случаи, когда шумы днналшки н шумы нзмерительней системы могуч Пыгк н-сиимн<>-<(1р1>ели?х>каннмми Па-novy к данной paftoie рштмт^икмгп:! ашортм фи. ikijki Кил глина кик вариант расширения соответствующего узла SIEM-снстемы. дополнительным алгоритмом для случая, когда invMbi дгшамшл и измерителей коррелировать между собой | У|
ТТуггк оГгнгк г исследовании сшисмкитгм с г-щигнарными не« рг-рыкчо-дискрпными моделями к форме ПС вида:
г(0 = А 1(0 + П - С 40, = Ч. (| г
y(jt +1) = Н *(/,)+v(r,), гы S г i it , * =Щ
где х - и-вектор состояния; .y — к - вектор производной состояния по времени /0: w - q - вектор шумов динамики: .v п вектор наблюдений: v т вектор шумов измерителей.
Предполагаете-* что гигтемл представляет гобой шцийялряш прогтге." Поэтому МЛТрИЦЫ А. Б.С ЯВЛЯЮТСЯ постоянными и они имеют размеры гхя. r/х/-, л* q . Непрерывное время обозначается символом /. производная по времени течкой сверху, а дискретное время через . Нижний индекс отмечает порядковый номер момента времени наблюдения. Случайный пронес с {М0>' ^ представляет собой белый гауссопскии шум с ну левым математическим ожиданием и матричной корреляционной функцией ендэ:
Е\Мг)м7(г)] - у ¿>{t-i),
для всех t,Z>tc. где ó(t 7) дельта функция Дирака. Матрица Q размера q*o непрерывна к неотрицательно определена для / ¿i 1(,.
П«х-ледока1гльн:х~гк (v^), ít F tyJ, к = 0, \г , ЛГ} иредпаклмег cotxm белую ■ иупчжгхун) тклгдоки-тельиоеп. с нулевым матех<ашческим ожиданием и матричной корреляционной функцией вида:
с f1 "Р" k-J.
ivk- — символ к^нжекг-ра (нячтии kkiojxiid миргд^июих ич шч'жчигнич =•• дяи негх
[ 0 Г,ри к * j,
'i ' j > 'о • Матрица f размера //: х w положительна, определена для tk > í0. Предполагается также, что два указанных в (11). (12) случайных процесса в дискретном представлегпга vr(*>) п \\j.). коррелировали между ос
ífl *
1.уг /г
для всех f^. > f0. при Q >0. S>0. Д>0. Здссь 5 - взаимно-
керреляцнонная матрица лгулгсв динамики объекта и измерителя размера q <гк. Q - ковариационная матрица
для дискретной модели, соответствующая непрерывной модели.
При этом для оценок состояния линейной непрерывно-дискретной системы будем использован, результаты работы [UJ. з которой алгоритм оценивания состояния для линейных дискретных систем обобщаются на случай взаимно-коррелированных шумов объекта н измерителя.
Прн предположениях, указанных выше, оценки состояния будут вычисляться по следующим формулам (для непрерывной обновленной последовательности):
xít \t„) = А х(/ F¿t) у(/кУ. x(ty i i0) = х<к'У- (13)
р« i ■'<) = 4 ■ К' I'*)* p01 '*)- V + <h 1% iO-flfc* (14)
I tt) H1 \H P{tM | h) HT-яг\ (15)
Лг.11 rM) - HtM | Х«КЛ11t,) 1; (16)
tM)=\I-K(tM) Щ 1/>); (17)
гас Ас-Л-Гс 11: F()=C S Q)=CQCT-F¡-R F* .npn tt>t0.k-ti.l2.....N. ty<t<ts .
Tía* ни1им i ipyKiypa ллтртмгк филкг.мцеи при нчаимнсько^елирпканныч шумах объема и игчмгртглн
почти ашлогичш^ алгоритму фильтрации прн взащ.шо пекоррелировашшн шумах.
Сушссгзсышм ишшем яшлпси згшись диффераышвшьнши уравнении (13) для опенок иредскгаания. Это уравнение содержит дополнительное слагаемое учитывающее информацию о корреляргоминостя тпумок и ксторсе требует на первом этапе знания наблюдения для начального состояния объекта. Этот вопрос в работе [9] остаётся открытым. Нужно заметить, что эта проблема возгашает лишь в том случае, когда дгумы коррели рсваны Здесь, видимо, можно предложить два способа оценки наслюдсння для состояния в момент запуска объекта. Первый способ состоит в том. что мы для достаточно малых временных интервалов проводим серию наблюдений и, предполагая, чи1 шумы некоррелюхжачы и m полнчуя ¿ijiii jihim фил мрации н]>и некиррелиро-ванньсс шумах, определяем серию оценок предсказания наблюдений. Затем производим по эпос известным оценкам наблюдений предсказания на одни шаг назад. На практике можно столкнуться со случаями, когда связь между шумами объекта и измерителя тесная. Тогда вышеизложенный способ может привести к плохой оценке наблюдения для начальною состояния обьекхл В эшм случае. ьндими. нроше иию.шзоьать >равне.чия наблюдения для оценки в моменг запуска системы
Информация о взаимной корреляции шумов динамики и измерительной системы содержится также в урав-пешш (11), тогда как уравнение расчета корреляционной матрицы ошибки оценок предсказания в стандартных уравнениях фильтра Калмана такого слагаемого не содержит.
Заметим, что на практике могут возникать различные случаи описания поведения объекта, например, случай когда данные км хода ичмери ie. ikhoh (ммгмм кпр]>елирокинн между гпГмэй, описание поведении иггледуе-мого объекта в виде нелинейных соотношений в моделях в форме ПС [8]: описание поведения объекта в виде нестационарных моделей в форме ПС [17, 18] и т. д. Все эти случаи должны быть реализованы различной совокупностью уравнений в алгоритмах 1 н 2 при выполнении расчетов относительно оценок предсказания и фкль-ijií-цни к пхггктпкукнцих учлих STFM сипгим
Заключение
Выше были представлены: систематизированное изложение математических методов к моделей в форме ПС для последующего анализа контролен беаопаспосген, которые были нацелены ш изучение обьектпьпкх подхо дев для защиты Al1 в КС: сформулированы к показаны практического характера шаги расчета ооъектнвных опенок зависящих от использованкя различных типов структур моделей в форме ПС и различных взаимоотношений и гвойпи гос-аялятгтпих компонентов. исчплплурмчгх при описании количественных характеристик показателей поведения исследуемых объектов, которые учитывались экспертами для предложения свсих эхеперт-пых оценок для расчета рисков относительно исследуемых информационных систем.
Управление рисками оснсваны. прежде всего, на объективных статистических данных, которые: фиксируются. накапливаются, анализируются, хранятся, обрабатываются для пелей оценивания потенциального ущерба от ошибок пользователей и атак нарушителей на ИР в ИС предприятия на основе данных, хранящихся в репо-знторнн SIEM-снстем, а также выбора средств зашнты ИР для минимизации ущерба, расчета оценок предсказа-1шя и фильтращш всех возможных параметров и показателей, связанных с ИБ. В частности, были предложены методики, позволяющие рассчитывать оценки объективной вероятности в везможностн наступления различных видов НС. оценки обьек.тжой сшимисти ушерба oí нарушений иезинасносш ИР в ИС нреллркя ши и сценки предгктпяния V пи.лктрлттии величины ущерба Все огновчкте рагчетчт по-<азателей РТЕ я РТС ттретчтрия-ия нацелены на использовании возможностей стохастических моделей в форме ПС и уравнений фильтра Калмана для получеши более достоверных значений оценок фильтрации состояния исследуемого объекта.
СПИСОК ЛИ-FPATVPbl
1. Котснко И. В.. Саснко И. Ь SLbM-системы для управление информацией и событиями осзопасносгк И Зашита информации. INSIDE. 2С»12. № 5. С. 54-65.
?. Mil'ei D , Haiiis Sil . Faipei A Á Vaii-Dyle Я . B1a:-k Cli Src uiily TníbiTiiatioii aiul r.vrnL Management £SIEM) Implementation. McGrawHill Companies. 2C11 430 p
3 Muhammad Afzaal, Cesano Di Sarr.o. Salvatore D Antonio, Luigi Romano An Intrusion and Fault Tolerant Fo rcnsic Storage for $ŒM System 1/ Eigirh International Conference on Signal Image Technology and Internet Based Systems. 2312. P. 579-586.
4 Сгочч Marie, Saso Karakarir Vi'i Podytreles Improved c1a«i-"ir?.îior with allocation method and it. il ripie г1ач-»ifiers U Information Fusion. 2016. 31. P. 26-¿2
5 Абдепов А Ж., Заркумова Рапхель P. H. Оцештаине риска e 1шформашюшплх системах па основе объ ектпзных н экспертных оценок // Вопросы защипа информации. 201i>. № 1. С. 64 /0.
6 Абденов А Ж.. Заркумова P. II. Выбор средства эффективной зашиты с помешью методоз теории игр // Вопросы чащи к информации 701Í) № ? С 76—31
7. Novikova E., Kotenko L Analytical Visualization Techniques for Security- Information and Event Management // 2 1st Euro-micro International Conference on Parallel, Distributed, and.Network-Based Processing. 2013. P. 519— 525.
S. Снннцын И. H Фнлыры Калмана н Пугачева: учеб. пособие. М.: Университетская книга: Логос, 2006 640 с.
9. Симкин М М. О рекуррентной фильтрации прн взаимно-коррелированных шумах объекта н измерителя it Автоматика и телемеханика 1980. № 1С. 71—S0.
10. Lmgi Ccppclmo. Salvatore D Antonio. Valerio Forraicola. Lvugi Romano. A framework for mastering heterogeneity ill multi-layer security information and event correlation И Journal of Systems Arcliitecture. 2015 P. 1-15.
11. ISO/TEC 27005:2008 Information technology. Security techniques Information security risk management. 2008 56 p.
12. Risk management: Implementation principles and inventories for risk management''risk assessment methods and tools. ENISA (European Network and Information Security Agency), 2006. 168 p.
13. Chi-Qiuu Lo, Wati-Jia Chen. A hybrid information security risk assessment procedure considering interdependences between controls // Expert Systems with Applications. 2011. Vol. 39 P 248-257.
14. VoseD. Risk Analysis: F Quantitative guide. 3-rd edition. John Wiley & Sons. 2008. 752 p.
15. Kumamoto H., Henley E. Probabilistic risk assessment and management for engineers and scientists. 2-nd edition. Institute of Electrical and Electronics Engineers. Inc. New York, 1996. 620 p.
16. Информационная безопасность. Уровни зрелости СОИБ организации. URL: http://www.wikisec.iiL.
17. MST SP 800-30:2012. Guide for conducting Risk Assessments [электронный ресурс] H National Institute of Standards and Technology. URL: http://csrc.mi5t.gov/publications'PubsSPs.html (дата обращения: 29.05.2013).
IS. Гайгщтг И В. Идентификация линейных нестационарных систем по реакции на обобщенные управления// Дифференц. уравнения. 2008. 44. С. 301-307.
19. Богословский С. В.. Богословский В. С. Динамика нестационарных систем с равномерно изменяющимися во времени коэффициентами // Науч. прнооростр. 2002. 12, № 3. С. К3-92.