Актуальные задачи выявления недопустимых событий на объектах критической информационной инфраструктуры

Целью исследования является разработка подхода к выявлению и обработке недопустимых событий на объектах критической информационной инфраструктуры (КИИ) на основе концепции таксономии и категоризации. Подход направлен на решение задачи повышения эффективности идентификации, классификации и управления инцидентами информационной безопасности (ИБ). В статье рассматриваются актуальные задачи обеспечения требуемого уровня защищенности КИИ и минимизации негативных последствий от инцидентов информационной безопасности, являющихся следствием недопустимых событий, идентификация которых связана со сложностью их выявления, необходимостью обработки больших объемов данных, недостаточной оперативностью обнаружения событий ИБ, а также ограничениями технологического характера.

Актуальность выявления и классификации недопустимых событий в области информационной безопасности, особенно для объектов КИИ обусловлена необходимостью своевременного выявления и реагирования на инциденты, которые могут привести к негативным последствиям. Понимание природы и характеристик таких событий позволяет эффективно обеспечить защиту систем и предотвратить существенный ущерб.

С целью повышения эффективности обеспечения результативной безопасности требуется выявлять класс недопустимых событий среди множества событий информационной безопасности с учетом признаков, которыми характеризуются недопустимые события.

Новизна предлагаемого подхода заключается в решении задачи выявления класса недопустимых событий информационной безопасности на основе методов таксономии, предусматривающих использование инструментов категоризации событий с использованием атрибутов недопустимых событий.

Материалы и методы исследования. Для решения поставленной задачи использован подход к выявлению недопустимых событий на объектах КИИ, основанный на принципах таксономии событий информационной безопасности. Показано, что выявление недопустимых событий информационной безопасности напрямую связано с решением задачи поиска и анализа их атрибутов, которые представляют собой характеристики или параметры, используемые для описания и классификации инцидентов безопасности. На основе ключевых принципов таксономии разработана модель структуры множества недопустимых событий для определения признаков, которые могут положены в основу классификации недопустимых событий. Процесс выявления недопустимых событий информационной безопасности включает цепочку этапов: таксономию, категорирование и классификация, на каждом из которых реализуются соответствующие методы и инструменты.

Результаты: Проанализированы подходы к выявлению недопустимых событий на объектах КИИ. Рассмотрены проблемы, связанные с большим объемом данных, сложностью обработки событий, достаточно длительным временем их обнаружения и ограничениями технологических решений. Показано, что концепция таксономии и категоризации позволяет эффективно идентифицировать и классифицировать инциденты информационной безопасности, обеспечивая эффективные процессы обработки и реагирования на них. Обоснована целесообразность применения таксономии для описания и идентификации атрибутов недопустимых событий, что способствует разработке эффективных стратегий защиты и обеспечивает повышение уровня безопасности. Предложена обобщенная схема обработки недопустимых событий, включающая совокупность взаимосвязанных этапов идентификации, категоризации, оценки влияния, реагирования, документирования и анализа. Разработан алгоритм структурированного описания и классификации инцидентов, что позволяет более точно и оперативно реагировать на угрозы информационной безопасности.

Заключение: Полученные результаты позволяют повысить эффективность решения задачи классификации инцидентов информационной безопасности за счет идентификации недопустимых событий, что позволяет снизить уровень негативных последствий инцидентов и повысить безопасность объектов КИИ.

1. Федеральный закон от 26 июля 2017 г. N 187-ФЗ (ред. от 10 июля 2023 г.) «О безопасности критической информационной инфраструктуры Российской Федерации».

2. ГОСТ ISO/IEC 27035-1:2016 Information technology — Security techniques — Information security incident management — Part 1: Principles of incident management. International Organization for Standardization, 2016.

3. ГОСТ Р 59548—2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации».

4. Методика определения недопустимых событий, сценариев и критериев их реализации компании «Positive Technology» [Электронный ресурс] – URL: https://www.ptsecurity.com/upload/corporate/ru-ru/webinars/ics/metodika-opredeleniya-ns.pdf (дата обращения 10.05.2024).

5. Методика оценки угроз безопасности ФСТЭК России [Электронный ресурс] – URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g (дата обращения 10.05.2024).

6. Перечень негативных последствий из нового раздела банка данных угроз ФСТЭК России [Электронный ресурс] – URL: https://bdu.fstec.ru/threat-section/negatives (дата обращения 10.05.2024).

7. «Security Information and Event Management (SIEM) Implementation». Author: David Miller, 2010. ISBN: 978-0-07-162677-4.

8. NIST Special Publication 800-61 Revision 2, "Computer Security Incident Handling Guide". National Institute of Standards and Technology, 2012.

9. «Data-Driven Security: Analysis, Visualization and Dashboards». Authors: Jay Jacobs, Bob Rudis, 2014. ISBN: 978-1-118-78919-1.

10. MITRE ATT&CK Framework. [Электронный ресурс] – URL: https://attack.mitre.org/ (дата обращения 10.07.2024)

11. Howard, J. D., Longstaff, T. A. (1998). A Common Language for Computer Security Incidents. Sandia National Laboratories. [Электронный ресурс] – URL: https://www.sandia.gov/app/uploads/sites/51/2021/05/SAND98-8667.pdf(дата обращения 10.07.2024).