ЛИТЕРАТУРА
1. Технологические основы проектирования волоконно-оптические датчики давления для искро-, взрыво-, пожароопасных инженерно-технических объектов / Е.А. Бадеева, А.Г. Пивкин, Т.И. Мурашкина // Надежность и качество: Тр. Междунар. симп.- Пенза: Изд-во Пенз. гос. ун-та, 2011. - Т. 2., стр. 130-135.
2. Волоконно-оптические датчики давления аттенюаторного типа для летательных аппаратов / Е.А. Бадеева, В.А. Мещеряков, Т.И. Мурашкина, А.Г. Пивкин //Датчики и системы.-2003.-№.4. - С. 11-14.
3. Патент РФ № 2308677, МПК6G01 В 11/00 Волоконно-оптический преобразователь перемещения/ А. Г. Пивкин, Т. И. Мурашкина, Т.Ю.Крупкина /0публ.20.10.2007 Бюл. №29.
4. Пивкин А. Г., Мурашкина Т. И. Волоконно-оптические датчики давления аттенюаторного типа для ракетной техники: Монография. - Пенза: изд-во Пенз. гос. ун-та, 2005. - 150 с.
Липилин О.В.
УДК 004.056
Зефиров С.Л., Щербакова А.Ю
ФГБОУ ВПО «Пензенский государственный университет», Пенза, Россия
ОЦЕНКА РЕЗУЛЬТАТОВ ОБРАБОТКИ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТА
В настоящей работе предлагается подход к оценке результатов управления инцидентами ИБ различных видов: внедрения вредоносного программного обеспечения, несанкционированного доступа, отказа в обслуживании и сбора информации. При оценке учитыг-вается возможность объекта по предотвращению инцидентов ИБ с помощью применяемые превентивныгх защитныгх мер, выгбранныгх на основании оценки рисков, и возможность объекта по реагированию на инциденты информационной безопасности, которое осуществляется непосредственно при возникновении нештатной ситуации на объекте и зависит от уровня дефицита персонала и компетентности обработчиков инцидентов информационной безопасности. Оценка производится на основе взвешенныгх оценок вероятностей результатов обработки инцидентов информационной безопасности относительно их значимости. Предлагаемый подход к оценке результатов обработки инцидентов информационной безопасности может быть использован для оценки защищенности объекта.
Ключевые слова:
оценка, инцидент информационной безопасности, обработка инцидентов информационной безопасности
Оценка защищенности объекта с точки зрения информационной безопасности (ИБ) может производиться различными способами. Например, для оценки ИБ организаций применяются подходы, описанные в [1]. О защищенности объекта можно также судить по эффективности управления инцидентами ИБ, которые неизбежно возникают во время реализации основной деятельности объекта и влекут за собой негативные последствия, такие как, например, нарушения конфиденциальности, целостности или доступности активов объекта, прерывание бизнес-процессов, материальный ущерб, ущерб репутации объекта и другие. Величина ущерба от реализации инцидентов ИБ во многом зависит не только от применения превентивных защитных мер, направленных на их предотвращение, но и от эффективности процессов управления инцидентами ИБ. Процессы управления инцидентами ИБ включают стратегии по обнаружению и анализу инцидентов, их сдерживанию и устранению, восстановлению систем объекта после инцидентов и применение «антикризисных» мер в случае бесконтрольного развития инцидентов. Поэтому при оценке защищенности необходимо учитывать способность объекта к своевременной и эффективной реализации стратегий обработки инцидентов ИБ.
В [2] была исследована возможность анализа деятельности по обработке инцидентов информационной безопасности. Были исследованы зависимости вероятностей результатов обработки инцидентов ИБ от таких параметров, как вероятность актуальных для объекта инцидентов ИБ, результативность превентивных защитных мер, эффективность процесса управления инцидентами ИБ, коэффициент дефицита персонала группы реагирования на инциденты ИБ (ГРИИБ).
Актуальные для объекта инциденты ИБ могут быть определены по наличию факторов нежелательных событий, ведущих к инцидентам ИБ. Фактор нежелательного события ИБ - признак события ИБ, указывающий на возможное нарушение ИБ или аварию защитных мер (средств), а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью. Факторы событий могут быть выявлены обработчиками инцидентов ИБ в результате мониторинга систем, плановых проверок или сотрудниками организации в ходе выполнения ими основной деятельности или техническими средствами. По выявленным факторам моделируются сценарии инцидентов ИБ [3] и определяются их вероятности.
Результативность превентивных защитных мер представляет собой их адекватную способность осуществлять требуемые действия, в данном слу-
чае, предотвращать нежелательные события инцидентов ИБ. Результативность определяется для совокупности защитных мер, направленных на предотвращение инцидентов ИБ определенного вида. Пример определения результативности превентивных защитных мер для предотвращения инцидентов внедрения вредоносного программного обеспечения с помощью ранжирования их по уровням возможностей приведен в [4]. Эффективность процедур обработки инцидентов ИБ, а также уровень дефицита и уровень компетентности персонала ГРИИБ могут быть оценены, например, с помощью определения их соответствия нормативным документам, регламентирующим данный вид деятельности, или статистически, если производится сбор и обработка данных о произошедших на объекте инцидентах ИБ.
Для анализа взаимного влияния перечисленных параметров объекта было применено имитационное моделирование обработки инцидентов ИБ [5]. Результатами имитационного моделирования являются вероятности достижения каждого из результатов обработки инцидентов ИБ.
Из полученных значений формируется матрица А,
обработки инцидентов ИБ, где i = 1,N , N -
коли-
чество видов инцидентов, у = 1,М - количество возможных вариантов результатов обработки инцидентов:
^ О]^ О] д О-])
A =
"12
"13
U1M
21
а
22
а
23
а
2M
Различные виды инцидентов ИБ имеют свои особенности, оказывают разное влияние на объект, различаются по сложности их обработки, приводят к различным негативным последствиям для объекта. Это дает возможность установить влияние каждого из них на защищенность объекта и их значимость. Сделать это можно, например, с помощью анализа статистических данных об ущербах, нанесенных различными инцидентами ИБ. Примерами источников таких данных являются аналитические отчеты об инцидентах, например [6,7].
Выразить влияние видов инцидентов ИБ на объект можно с помощью определения для них коэффициентов важности А1. Совокупность коэффициентов важности различных видов инцидентов ИБ представляем в виде вектора-столбца А :
в которой элементы а^ - вероятности результатов
а
а
а
а
Л =
Л
причем
IЛ = 1,
где N - количество видов инцидентов ИБ.
Произведением транспонированной матрицы А и вектора-столбца Л является вектор-столбец В, содержащий взвешенные оценки вероятностей результатов обработки всех видов инцидентов Ьу ,
где у = 1,М , М - количество вариантов результатов обработки инцидентов:
В = АТ ■ Л =
Взвешенные оценки обработки всех видов следующим образом:
эТ
Ь2 Ь3 ••• ЬМ\ (4)
Например, рассмотрим следующие результаты обработки инцидентов ИБ:
инциденты предотвращены превентивными защитными мерами;
инциденты успешно обработаны;
инциденты не обработаны, произошла их эскалация.
Для приведенных результатов взвешенные оценки их вероятностей будут следующими:
N
Ь = Лц +^2^21 + ••• + Л%1 =1Ла
Ь = Ла12 + ^2^22 + ••• + 2 =
¿=1
N
Ь3 = Ла13 + Ла23 + ••• + ^N3 =
где Ъг - взвешенная оценка вероятности предотвращения всех видов инцидентов ИБ превентивными
защитными мерами, Ъ2 - взвешенная оценка вероятности успешной обработки всех видов инцидентов ИБ, Ъз - взвешенная оценка вероятности эскалации всех видов инцидентов ИБ.
Результаты обработки инцидентов ИБ отражают защищенность объекта. Необходимо учитывать потери, связанные с тем или иным результатом обработки инцидентов ИБ. Например, в случае, если инцидент предотвращен с помощью превентивных защитных мер, потери отсутствуют. Если инцидент не был предотвращен, но были своевременно и эффективно применены стратегии по его обработке, то потери от реализации инцидента минимизированы. Если же реагирование на инцидент было неэффективным или отсутствовало, потери имеют место. Наличие потерь при обработке инцидентов ИБ может быть отражено с помощью коэффициента фу , который принимает следующие значения:
Г 1, если потери отсутствуют,
Ф =11
[-1, если имеют место потери.
Тогда оценка результатов обработки инцидентов ИБ объекта может быть представлена следующим образом:
М
5 = 1ФЬ (б)
3=1
В качестве примера применения данной функции был рассмотрен объект с определенной совокупностью превентивных защитных мер с низкой результативностью, низким уровнем эффективности процедур обработки инцидентов ИБ, высоким уровнем дефицита персонала ГРИИБ. В эксперименте были рассмотрены четыре вида инцидентов ИБ: внедрение вредоносного программного обеспечения (ВПО), несанкционированный доступ, отказ в обслуживании, сбор информации. В соответствии с [5] были определены возможные результаты обработки инцидентов ИБ, а именно: Сг - инцидент предотвращен; С2 - инцидент успешно обработан; Сз - инцидент обработан с частичными последствиями (без потерь);
С4 - инцидент обработан со значительными последствиями (с минимальными потерями);
С5 - инцидент не обработан (значительные потери), произошла эскалация инцидента.
С помощью имитационной модели проведен статистический эксперимент, результаты которого приведены в таблице 1. Результаты статистического эксперимента Таблица 1
вероятностей результатов инцидентов представляются
ВТ = Ь2 Ь3 ••• Ьм
ал
=1
N
-12
13
(5)
=1
Л
Результаты обработки ■—.___инцидентов Виды инцидентов Сг С 2 Сз С4 С 5
Внедрение ВПО 0,605 0,0 0,114 0,119 0,162
Несанкциони-рованный доступ 0,158 0,0 0,079 0,083 0,68
Отказ в обслуживании 0,456 0,0 0,081 0,14 0,323
Сбор информации 0,284 0,004 0,139 0,121 0,452
Экспертным путем, опираясь на статистические данные о приозошедших инцидентах и ущербе в результате их реализации [6], установлены следующие коэффициенты важности: для инцидентов внедрения ВПО Л = 0,35, несанкционированного доступа - Л = 0,3, отказа в обслуживании - Л = 0,25, сбора информации - Л = 0,1« Получено значение оценки результатов обработки инцидентов ИБ Б, равное -0,1961.
Таким образом, предложен подход к оценке результатов обработки инцидентов ИБ, учитывающий
значимость инцидентов, результативность превентивных защитных мер, уровень компетентности обработчиков инцидентов, что позволяет использовать его для оценки защищенности объекта. Кроме того, наблюдение изменений значений представленной функции при различных уровнях результативности превентивных защитных мер, эффективности процедур обработки инцидентов ИБ и параметров ГРИИБ может быть использовано для определения стратегий по совершенствованию обеспечения ИБ объекта.
ЛИТЕРАТУРА
1. Зефиров С.Л., Алексеев В.М. Способы оценки информационной безопасности организации //Надежность и качество - 2011: Труды Международного симпозиума: в 2 т. под ред. Н. К. Юркова. 2 том - Пенза : Изд-во Пенз. ГУ, 2011. - С. 407-409
2. Зефиров С.Л., Щербакова А.Ю. «Исследование возможности анализа обработки инцидентов информационной безопасности»// Труды международного симпозиума Надежность и качество. 2015. Т. 1. Пенза : Изд-во Пенз. ГУ, 2015 С. 70-73
3. Зефиров С.Л., Щербакова А.Ю. «Оценка инцидентов информационной безопасности»// Доклады Томского государственного университета систем управления и радиоэлектроники. 2014. № 2 (32). С. 77-81
4. Щербакова А.Ю. Вероятностная оценка последствий инцидентов информационной безопасности //Надежность и качество - 2013: Труды Международного симпозиума: в 2 т. под ред. Н. К. Юркова. 1 том - Пенза : Изд-во Пенз. ГУ, 2013. - С. 125-128.
5. Щербакова А.Ю., Логачев А.Н. «Имитационная модель реализации сценариев инцидентов информационной безопасности»// Актуальные проблемы информационной безопасности. Теория и практика использования программно аппаратных средств: материалы VIII Всероссийской научно- технической конференции / Отв. редактор А.И. Никонов, В.П. Свиридов. - Самара, Самар, гос. техн. ун-т, 2015. - С. 113-117
6. Исследование утечек конфиденциальной информации в 2015 году [Электронный ресурс]: 2003-2016 InfoWatch. - https://www.infowatch.ru/report2 015
7. Информационная безопасность бизнеса 2014. [Электронный ресурс]: ЗАО «Лаборатория Каспер-ского», 1997 - 2015. - http://media.kaspersky.com /pdf/IT risk report Russia 2014.pdf
УДК 004.056
Фатеев А.Г., Алексеев В.М,
ФГБОУ ВО «Пензенский государственный университет»
ЗАЩИТА СРЕДЫ ВИРТУАЛИЗАЦИИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Проведен анализ возможности реализации мер защиты среды виртуализации при обработке персональных данных. Показано, что существующие средства защиты информации, позволяют реализовать требования по защите среды виртуализации, установленные нормативными документами. Ключевые слова:
среда виртуализации, персональные данные, меры защиты
Технология виртуализации имеет большое число преимуществ перед использованием реальных ЭВМ: удобство управления виртуальной средой, высокая скорость создания новых серверов, оперативность резервного копирования, отсутствие привязки к определенной реальной машине, возможность тести-
рования обновлений и нового функционала на актуальных копиях продуктивных систем, защита реальной машины от атак, которым подвергается виртуальная среда [1].
На рисунке 1 приведена обобщенная модель виртуальной инфраструктуры.
Рисунок 1 - Модель виртуальной инфраструктуры
При обработке информации в виртуальной среде имеются свои специфические особенности, отсутствующие в физической среде, которые нарушителя и используют в качестве уязвимостей для совершения атаки [2]:
- средства управления виртуальной инфраструктурой представляют собой самостоятельный объект атаки, проникновение в который дает возможность нарушителю получить доступ к гипервизорам серверов виртуализации, а затем к информации ограниченного доступа, обрабатываемой на гостевых машинах;
- средства защиты информации (СЗИ), разработанные для защиты физической инфраструктуры, могут не учитывать существование гипервизора;
- диски гостевых машин обычно размещаются в устройствах сетевого хранения данных (СХД), которые должны физически защищаться как самостоятельные устройства;
- традиционные межсетевые экраны (МСЭ) могут не контролировать трафик внутри сервера виртуализации, где находятся гостевые машины, взаимодействующие между собой по сети;
- каналы передачи служебных данных серверов виртуализации обычно не защищены, хотя по этим каналам среди прочих данных передаются фрагменты
оперативной памяти гостевых машин, которые могут содержать информацию ограниченного доступа.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала на своём сайте список из 182 угроз и более 12 тыс. уяз-вимостей, связанных с виртуализацией.
С точки зрения безопасности в виртуальной среде, где администратор сети и сервера объединен в одном лице, серьезной проблемой является сосредоточение управления в одних руках (то есть отсутствие ролевой модели), снижение контроля за инфраструктурой, усугубление проблемы контроля привилегированных пользователей. При этом большинство инцидентов информационной безопасности (ИБ) связаны именно с внутренними нарушителями.
В работе [1] проанализированы угрозы системному программному обеспечению виртуализации. Это некорректная настройка параметров гипервизора и виртуальных машин, ошибки в работе программного обеспечения гипервизора, подмена исполняемых модулей программного обеспечения гипервизора, истощение вычислительных ресурсов сервера с гипер-визором, случайное или умышленное искажение или уничтожение образов виртуальных машин.
В 2013 году появились нормативные документы ФСТЭК (21 и 17 приказы, определяющие требования к защите информации при обработке персональных