ОПРЕДЕЛЕНИЕ ФАКТОРОВ, ОБУСЛАВЛИВАЮЩИХ ЭФФЕКТИВНОСТЬ МОНИТОРИНГА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КРЕДИТНОЙ ОРГАНИЗАЦИИ Никитин Д.А.
Никитин Дмитрий Андреевич — магистрант, Дальневосточный государственный университет путей сообщения, г. Хабаровск
В кредитных организациях реализованы различные виды мониторинга - кредитный, финансовый, информационной безопасности (ИБ), работоспособности систем и другие. В рамках данной статьи будем говорить о системе мониторинга ИБ. Мониторинг ИБ (МИБ), являющийся элементом системы управления банка, позволяет вести оперативное и постоянное наблюдение, производить сбор данных, а затем обрабатывать и анализировать эти данные исходя из целей банка, направленных на защиту банковской информации.
Посредством МИБ решаются следующие задачи [1]:
- обнаружение взаимосвязей между событиями при расследовании инцидентов ИБ (ИИБ);
- анализ причин ошибок и сбоев в работе средств обеспечения ИБ, а также базового программного и аппаратного обеспечения сетевых систем;
- выявление наличия недостатков и недоработок в политике безопасности;
- выявление признаков нерационального использования сотрудниками ресурсов сетевой инфраструктуры.
Из вышесказанного можно сделать вывод, что осуществление мониторинга на постоянной основе служит гарантом поддержания требуемого уровня защиты банковской информации. К тому же, результаты работы системы мониторинга должны быть базой для улучшения системы обеспечения ИБ.
Что касается средств мониторинга, то в нашем случае такими средствами выступают различные средства защиты информации (СЗИ).
Заметим, что из-за постоянного увеличения количества угроз и уязвимостей в АБС состав СЗИ растет и обновляется. Следствием этого является появление трудностей с оперативной обработкой большого объема данных о СоИБ. Нередко администратору безопасности просто невозможно осуществить такую обработку вручную, поэтому в настоящее время используются автоматизированные или полностью автоматические системы, называемые системами мониторинга инцидентов информационной безопасности (СМИИБ).
СМИИБ дает возможность фиксировать СоИБ, возникающие в результате действий нарушителей и направленные на нарушение триады безопасности (конфиденциальность, целостность и доступность), а также вызывающие неполадки в работе отдельных СЗИ [2].
Под СоИБ будем понимать идентифицированное возникновение определенного состояния системы, сервиса или сети, констатирующего либо возможное нарушение политики ИБ банка или отказ защитных мер, либо появление неизвестной ситуации, которая может иметь отношение к ИБ. Таким образом, ИИБ - это возникновение одного или нескольких нежелательных или неожиданных СоИБ, предполагающих значительную вероятность появления угрозы ИБ [3].
Стоит отметить, что из-за всевозможных факторов, реальный результат МИИБ может отличаться от желаемого - выявления всех ИИБ. Бесспорно, что при уменьшении различий между реальным и желаемым результатами повысится эффективность мониторинга. Для этого следует сначала определить факторы, которые неблагоприятно влияют на мониторинг, а затем, по мере возможности, ликвидировать их влияние [2].
Для оперативного обнаружения ИИБ за приемлемое время СМИИБ должна анализировать большой объем информации о СоИБ, получаемых от СЗИ [4]. При этом на процесс обнаружения среди СоИБ инцидентов влияют параметры и программного, и аппаратного обеспечения различных элементов системы.
К факторам, в значительной степени влияющим на эффективность мониторинга, относятся:
- своевременность обнаружения ИИБ;
- наличие знаний о вероятных ИИБ и возможность пополнения этих знаний.
На рисунке 1 проведена детализация этих факторов.
» Исправность всех СЗ [ I • Правильное! Ь НаСфиИКИ СЗИ » Пропускная способность каналов
» Исправность МВИ » Наличие на входе МВИ очереди ил сообщении о СоИБ
• Существование сигнатур
• Исправность процедуры обновления сигнатур
• I Целостность сигнатур
• Наличие в СМИИБ подсистем получения и накопления знаний
• Наличие сотрудников, систематизирующих знания
Рис. 1. Детализация факторов, воздействующих на эффективность мониторинга ИИБ
От первого фактора зависит размер материального или репутационного ущерба для банка. Этот ущерб объясняется запаздыванием в соответствующем реагировании на случившийся ИИБ. Существует статистика, согласно которой 10-часовая задержка в реагировании на инцидент приводит к 80 % успеха нарушителя, при 20 ч - к 95 % его успеха, а при 30 ч - успех нарушителя гарантирован [5].
Необходимо фиксировать время поступления данных с СЗИ на анализ в модуль выявления инцидентов (МВИ) и, конечно, время обработки этих данных модулем.
Время попадания данных в МВИ зависит, в основном, от характеристик конкретных СЗИ и каналов передачи данных между элементами СМИИБ. К таким характеристикам следует относить:
- настройку СЗИ (при неправильной настройке СЗИ может выявлять ложные СоИБ; большое количество таких событий может побудить сотрудников игнорировать реальные СоИБ, полученные от данного СЗИ) [6,7];
- работоспособность СЗИ (перебои в работе могут быть вызваны как физическими или программными отказами, так и действиями нарушителей) [7,8];
- пропускную способность каналов передачи данных (используются те же каналы, что и в АБС, вследствие чего появляется дополнительная нагрузка).
Что касается времени обработки данных, которые поступают в МВИ с СЗИ, то оно зависит:
- от работоспособности модуля (физический или программный отказ модуля может прервать процедуру мониторинга, вплоть до полного прекращения анализа информации о СоИБ);
- наличия очереди уведомлений о СоИБ.
Как говорилось выше, второй фактор, влияющий на результат мониторинга ИИБ - наличие и возможность пополнения знаний, необходимых для выявления ИИБ из пула уведомлений о СоИБ, попавших в МВИ на анализ. Наряду с этим будем говорить о сигнатурах и накопленном сотрудниками опыте по обнаружению ИИБ.
Под сигнатурой будет понимать отличительные признаки и характеристики конкретных инцидентов ИБ. Такие характеристики могут варьироваться от довольно простых (строка символов) до сложных (изменение состояния безопасности, сформулированное в виде формального математического выражения).
Несомненно, что эффективность мониторинга зависит от:
- наличия сигнатур для конкретных инцидентов ИБ (для создания сигнатуры ранее неизвестного ИИБ нужно время, в течение которого обнаружить этот инцидент не получится);
- возможности обновления сигнатур (нарушить процесс обновления могут ошибки в настройке СЗИ, сбои элементов СМИИБ и т.д.);
- целостности сигнатур (при изменении содержимого сигнатур СМИИБ не сможет выявить соответствующие ИИБ).
Накапливаемый сотрудниками опыт по обнаружению ИИБ, не выявляющихся посредством использования сигнатур, разумно представлять в виде экспертных знаний, помещаемых в специально созданную для этого базу данных.
Работая с АБС, администратору безопасности нужно оценивать влияние, которое производят вышеупомянутые факторы на результат работы СМИИБ, а, значит, и на эффективность обеспечения общей защищенности КИ в АБС. Увидев отклонение текущего состояния системы мониторинга от нормального состояния, описываемого определенными значениями ряда характеристик, администратор стремится отыскать причину данного отклонения, другими словами, выявить фактор, влияющий на процесс мониторинга. Для того чтобы правильно это сделать, администратор должен выделить некоторое время, а также иметь необходимые компетенции [9]. Когда выявленный фактор оказывает негативное влияние на систему (например, в результате сбоя в межсетевом экране в СМИИБ не будут приходить уведомления о сканировании портов), администратор производит корректировки, посредством которых восстанавливается нормальное состояние СМИИБ (например, перенастраивает межсетевой экран). При выявлении признаков, положительно влияющих на состояние СМИИБ, последнее состояние принимается за нормальное и производится корректировка характеристик, описывающих это состояние.
Список литературы
1. Скворцов Р.А. Система мониторинга как инструмент администрирования в информационных системах правоохранительных органов // альманах современной науки и образования. 2015. № 3. С. 106-108.
2. СердюкВ.А. Новое в защите от взлома корпоративных систем. М.: Техносфера, 2007. 360 с.
3. Кане в А.Н. Мониторинг событий и обнаружение инцидентов информационной безопасности с использованием siem-систем // межд. студ. науч. вестник [Электронный ресурс]. 2015. № 3-1. URL: www.eduherald.ru/ru/article/view?id=12064
4. Волков И.С. Оценка эффективности информационных систем. Понятие эффективности, современные методы оценки // интернет-портал IBM [Электронный ресурс]. 2010. URL: www.ibm.com/developerworks/ru/library/l-otcenka_efectivnosti_2
5. Серякова А.С. Перспективы развития индустрии информационной безопасности в Российской Федерации // молодеж. науч. форум: общественные и экономические науки [Электронный ресурс]. 2017. URL: https://nauchforum.ru/studconf/social/xlv/20693
6. Гамза В.А. Система информационной безопасности в банке: текущая практика и тенденции // рук. по управлению в кредит.орган. 2009. № 3. С. 23-28.
7. Матвеев В.А Состояние и перспективы развития индустрии информационной безопасности Российской Федерации // вестник МГТУ им. Н.Э. Баумана. 2011. № 2. С. 3-6.
8. Калинин Д.Д. Значение системы обеспечения информационной безопасности в современном бизнесе // междунар. студ. науч. вестник [Электронный ресурс]. 2017. № 6. URL: www.eduherald.ru/ru/article/view?id= 17833
9. Букин С.О. Безопасность банковской деятельности. М.: Питер, 2011. 288 с.