CC BY
52
Секция «Методы и средства защиты информации»
УДК 004.056
О МОДЕЛИ СИСТЕМЫ УПРАВЛЕНИЯ МЕТАДАННЫМИ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Д. В. Калачев Научный руководитель - М. Н. Жукова
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева
Российская Федерация, 6600З7, г. Красноярск, просп. им. газ. «Красноярский рабочий», З1 E-mail: [email protected], [email protected]
Рассматривается вопрос разработки модели системы управления метаданными инцидентов информационной безопасности с целью организации взаимодействия между владельцами информационных ресурсов и организациями, осуществляющими деятельность в области реагирования на инциденты информационной безопасности.
Ключевые слова: инцидент информационной безопасности, обнаружение, реагирование, расследование, метаданные.
ABOUT INFORMATION SECURITY INCIDENTS METADATA MANAGEMENT
SYSTEM MODEL
D. V. Kalachev Scientific supervisor - M. N. Zhukova
Reshetnev Siberian State Aerospace University З1, Krasnoyarsky Rabochy Av., Krasnoyarsk, 6600З7, Russian Federation E-mail: [email protected], [email protected]
Consider the question of development information security incidents metadata management system model with a view to organize interaction between the owners of information resources and organizations engaged in information security incidents response.
Keywords: information security incident, detection, response, investigation, metadata.
На данный момент в Российской Федерации существует несколько организаций, подразделения которых, так или иначе, ведут деятельность в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и вызванных ими инцидентов информационной безопасности (ИБ). Одними из таких организаций являются: Федеральная служба безопасности Российской Федерации (ФСБ России) [1], Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК России) [2], Group-IB [З].
В ближайшее время создание подобного подразделения, которое будет заниматься сбором информации об инцидентах информационной безопасности банков, анализом полученных сведений и формированием рекомендаций по минимизации последствий и/или недопущению возникновения подобных инцидентов в будущем, планируется Центральным банком Российской Федерации [4].
Все подобные организации в настоящее время функционируют в полной или частичной изоляции друг от друга. Практически отсутствует взаимодействие с непосредственными владельцами информационных ресурсов и иными заинтересованными организациями на национальном и международном уровне в области обнаружения компьютерных атак и установления их источников, включая обмен информацией о выявленных компьютерных атаках и вызванных ими инцидентах. Не отлажен обмен опытом в сфере выявления и устранения уязвимостей программного обеспечения и оборудования, а также реагирования на инциденты информационной безопасности, с международными и неправительственными организациями, осуществляющими деятельность в области реагирования на инциденты ИБ.
В то время как отлаженное взаимодействие данных организаций могло бы существенно повысить эффективность обнаружения компьютерных атак, выявления и устранения уязвимостей про-
Актуальные проблемы авиации и космонавтики - 2015. Том 1
граммного обеспечения и оборудования, расследования вызванных ими инцидентов и скорость реагирования на них.
На данный момент Президентом Российской Федерации утверждена «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» [5]. Организационно-технической основой данной концепции являются создаваемые в рамках [1] и [5] центры обнаружения, предупреждения и ликвидации последствий компьютерных атак, организованные по ведомственному и территориальному принципам. Структурная схема взаимодействия данных центров приведена на рисунке.
Структурная схема взаимодействия центров системы
В рамках научно-исследовательской работы будет предложен механизм и формат обмена метаданными об инцидентах информационной безопасности между создаваемыми центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также формат обратной связи с непосредственными владельцами информационных ресурсов и иными заинтересованными организациями на национальном и международном уровне в области обнаружения компьютерных атак и установления их источников, включая обмен информацией о выявленных компьютерных атаках и вызванных ими инцидентах.
Разрабатываемый формат должен характеризоваться, но не ограничиваться наличием следующих полей:
- уникальный идентификатор инцидента;
- канал атаки;
- вид (тип) атаки;
- уязвимость;
- субъект атаки;
- объекты информационной инфраструктуры, затронутые инцидентом;
- последствия от воздействия инцидента и степень их тяжести;
- описание инцидента, техническая информация, способствующая расследованию инцидента, минимизации его последствий и/или недопущению возникновения подобных инцидентов в будущем;
- информация об инцидентах, угрозах, уязвимостях, атаках предшествующих и/или повлекших возникновение данного инцидента;
Секция «Методы и средства зашиты информации»
- время, прошедшее между непосредственной реализацией угрозы, повлекшей возникновение инцидента и его обнаружением, если установление подобной информации возможно;
- отрасль и размер затрагиваемой организации.
Таким образом, формирование единого формата обмена метаданными об инцидентах ИБ, модели обмена этими данными и формата обратной связи с заинтересованными организациями и владельцами информационных ресурсов, в целом, будет способствовать повышению эффективности обнаружения, реагирования и расследования поступающих инцидентов.
Библиографические ссылки
1. О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации: указ Президента Российской Федерации от 15.01.2013 № 31с, выписка [Электронный ресурс] : офиц. интернет-портал правовой информ. URL: http://www.pravo.gov.ru/proxy/ips/?docbody=&link_id=0&nd=102162702& intelsearch=&firstDoc=1&lastDoc=1 (дата обращения: 22.04.2015).
2. Вопросы Федеральной службы по техническому и экспортному контролю: указ Президента Российской Федерации от 16.08.2004 № 1085, выписка [Электронный ресурс] : офиц. интернет-портал правовой информ. URL: http://pravo.gov.ru/proxy/ips/?docbody=&nd=102088330 (дата обращения: 22.04.2015).
3. Информация о CERT-GIB [Электронный ресурс] : CERT-GIB - центр круглосуточного реагирования на инциденты информационной безопасности, созданный на базе компании Group-IB, офи-ц. сайт. URL: http://www.cert-gib.ru/about_cert.php (дата обращения: 22.04.2015).
4. ЦБ создаст центр реагирования на инциденты в сфере информбезопасности банков [Электронный ресурс] : Ассоциация рос. банков : офиц. сайт. URL: http://arb.ru/b2b/news/tsb_sozdast_tsentr_ reagirovaniya_na_intsidenty_v_sfere_informbezopasnosti_bankov-9892459/ (дата обращения: 22.04.2015).
5. Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации : утв. Президентом РФ 12.12.2014 № К 1274, выписка [Электронный ресурс] : федер. служба безопасности Российской Федерации, официальный сайт. URL: http://www.fsb.ru/files/PDF/Vipiska_iz_koncepcii.pdf (дата обращения: 22.04.2015).
© Калачев Д. В., 2015
