Методика и алгоритмы определения актуальных угроз информационной безопасности в информационных системах персональных данных

Во введении обоснована актуальность исследуемой темы, оценена степень
ее научной разработанности, определены объект и предмет исследования,
изложены его цели и задачи, дана характеристика теоретических и
методологических основ, охарактеризована эмпирическая база исследования,
сформулированы основные положения, выносимые на защиту, выявлена
теоретическая и практическая значимость работы, изложены основные
результаты исследования, их научная новизна и апробация ключевых положений
исследования.
В первой главе диссертационной работы была рассмотрена
методическая база и основные нормативные документы, регламентирующие
процесс моделирования УБИ и обеспечение ИБ в ИСПДн.
Определена зависимость характеристик ИСПДн и их влияние на уровень
защищенности ИСПДн
Перечислены основные виды нарушителей ИБ в ИСПДн и их
возможности.
Проанализирована международная практика управления рисками ИБ на
основе общепринятых стандартов.
Проведено сравнение и установлена взаимосвязь существующих
международных методик с отечественной нормативной базой в области ИБ.
Во второй главе разработана авторская методика определения актуальных
УБИ в ИСПДн. Предложен подход к определению активов в ИСПДн и выбраны
параметры, применяемые для подготовки перечня уязвимостей ПО:
 наименование ПО;
 тип ПО;
 версия ПО.
На основании метода анализа иерархий проведена оптимизация перечня
нарушителей ИБ с организацией взаимосвязи их возможностей с потенциалом,
пример иерархической модели для отдельных категорий внутренних
нарушителей ИБ представлен ниже (рисунок 1).

Рисунок 1 – Иерархическая модель отдельных категорий внутренних нарушителей ИБ

На основании построенных матриц весов альтернатив по формуле ниже:
∗ ,(1)
где zij – весовой коэффициент альтернативы i по j критерию, yj – весовой
коэффициент критерия, было произведено сравнение нарушителей ИБ и
подготовлен их унифицированный перечень (рисунок 2).
Рисунок 2 – Перечень унифицированных нарушителей ИБ
Аналогичным способом, с использованием метода анализа иерархий были
спроецированы параметры метрик уязвимостей ПО на возможности
нарушителей ИБ (таблица 1).
Поверка присвоенного потенциала нарушителя ИБ проведена путем
вычисления среднеарифметического значения от суммы параметров метрик
нарушителя по формуле:
/4.(1)
Таблица 1 – Метрики, присвоенные потенциалу нарушителя ИБ
Числовое
Наименование метрики Параметры потенциалаМетрика
значение
Возможности
Возможность доступа к
физического доступа кAttack Vector (AV)
ИС
активу:
Через сети общего
Network (N)7
доступа
С помощью локально-
Adjacent Network (A)4
вычислительной сети
Физический доступPhysical (P)1
НеобходимостьЗнание проекта и
взаимодействия синформационнойUser Interaction (UI)
пользователемсистемы
НеобходимоRequired ®1
Нет необходимостиNone (N)7
Наличие информации обТехническая
уязвимости в общемкомпетентностьReport Confidence (RC)
доступенарушителя
Отсутствует описаниеUnknown (U)7
Частично описанаReasonable ®4
Полностью описанаConfirmed (С)1
Возможность
применения специальныхОснащенность
Attack Complexity (AC)
средств для эксплуатациинарушителя
уязвимости
Применение
High (H)7
специальных средств
Специальных средства не
Low (L)1
применяются

Результаты проверки представлен в таблице 2 и полностью совпадает с
числовой шкалой, принятой при расчете вектора уязвимости ПО CVSS.
Таблица 2 – Вектор потенциала нарушителя ИБ

Нарушитель ИБПотенциалВектор метрикОценка

Разведывательные службы государствВысокийAV:N/UI:N/RC:U/AC:H7
Криминальные структуры,
террористические, экстремистскиеСреднийAV:N/UI:R/RC:R/AC:H4,7
группировки, конкурирующие организации
Системны администратор и администратор
СреднийAV:A/UI:N/RC:R/AC:L4,7
безопасности
Разработчики, поставщики СВТ, лица,
сопровождающие и обеспечивающиеСреднийAV:P/UI:N/RC:U/AC:L4
ремонт СВТ ИСПДн
Лица, привлекаемые для установки,
НизкийAV:P/UI:R/RC:C/AC:L1
наладки, монтажа СВТ ИСПДн
Пользователи ИСПДнНизкийAV:P/UI:R/RC:C/AC:L1
Внешние субъекты (физические лица)НизкийAV:N/UI:R/RC:C/AC:L2,5

Подготовлены параметры для построения взаимосвязи между активом
ИСПДн, уязвимостью ПО и нарушителем ИБ:
 наименование ПО;
 тип ПО;
 версия ПО;
 вектор уязвимости (Attack Vector; User Interaction; Report Confidence;
Attack Complexity).
Разработаны продукционные правила для определения актуальных
уязвимостей ПО, которые могут быть реализованы выбранным нарушителем ИБ
с заданным потенциалом, на основе конструкции «ЕСЛИ-ТО»:
, ,……, : .(2)
Формализация правила выглядит следующим образом:
 Actual_Vulnerability:если«AV_уязвимости_актива»<= «AV_нарушителя_ИБ» и «UI_уязвимости_актива» <= «UI_нарушителя_ИБ» и «RC_уязвимости_актива» <= «RC_нарушителя_ИБ» и «AC_уязвимости_актива» <= «AC_нарушителя_ИБ», то «Уязвимость_№» = «Актуальная_уязвимость».  No_Actual_Vulnerability:если«AV_уязвимости_актива»>
«AV_нарушителя_ИБ» или «UI_уязвимости_актива» > «UI_нарушителя_ИБ»
или«RC_уязвимости_актива»>«RC_нарушителя_ИБ»или
«AC_уязвимости_актива» > «AC_нарушителя_ИБ», то «Уязвимость_№» =
«Не_Актуальная_уязвимость».
Установлен параметр наличия не декларируемой возможности (далее –
НДВ) в активе ИСПДн путем проецирования параметра временной метрикой
вектора уязвимости ПО «RC» (Наличие информации об уязвимости в общем
доступе).
Для вычисления типа актуальных УБИ установлена необходимость
следующих параметров для актива ИСПДн:
 тип ПО (СПО, ППО);
 временная метрика RC, с параметрами «C» (уязвимость подтверждена
производителем ПО), либо «R» (имеется детализированный отчет).
Организации взаимосвязи данной метрики с типом актуальных УБИ
позволяет более детализированного и точно определять уровень защищенности
ИСПДн, вследствие чего увеличивается обоснованность выбора защитных мер.
Формализованные продукционные правила представлены ниже:
 Actual_Threat_type_1: если «Тип_ПО» = «СПО» и «RC» = «C» или «RC»
= «R», то «Тип_актуальных_угроз» = «1»;
 Actual_Threat_type_2: если «Тип_ПО» = «ППО» и «RC» = «C» или «RC»
= «R», то «Тип_актуальных_угроз» = «2»;
 Actual_Threat_type_3: если «Тип_ПО» = «ППО» или «СПО» и «RC» НЕ
«C» или «R», то «Тип_актуальных_угроз» = «3».
Построена взаимосвязь уязвимостей ПО, имеющих идентификатор «CVE
ID», в ИСПДн с группами уязвимостей «CWE», включающими в себя данные
идентификаторы.
Подготовлен перечень функциональных характеристики ИСПДн и
установлено влияние данных показателей на определение уровня исходной
защищенности ИСПДн.
Выбран алгоритм оценки влияния угрозы ИБ на свойства защищенности
информации. При выборе угрозы ИБ на основе уязвимости ПО, угрозе ИБ
присваиваются показатели нарушения свойств безопасности уязвимостью ПО,
посредством которой реализуется данная угроза ИБ. В соответствии с градацией
CWE для нарушения свойств защищенности информации в векторе уязвимости
ПО используются следующие значения метрик:
 none (0);
 medium (1);
 high (2).
Формализованные продукционные правила определения степени
возможного ущерба ИБ представлены ниже:
 High_possible_damage: Если «CI» = 2 или «II» = 2 или «AI» = 2, то
«Степень_возможного_ущерба» = «Высокая».
 Medium_possible_damage: Если 2 > «CI» > 1 или 2 > «II»> 1 или 2 > «AI»
> 1, то «Степень_возможного_ущерба» = «Средняя».
 Low_possible_damage: Если «CI» < 1 или «II» < 1 или «AI» < 1, то «Степень_возможного_ущерба» = «Низкая», Где, CI – нарушение конфиденциальности, II – нарушение целостности, AI – нарушение доступности. На основании предложенных алгоритмов разработана методика определения актуальных УБИ (рисунок 3). Подготовка перечня вспомогательных активов Выбор параметров активов Выбор нарушителей ИБ с установленным потенциалом Присвоение количественных значений Выбор нарушителя ИБпотернциалу Подготовка перечня актуальных уязвимостей ПО Сравнение параметров потенциала с метриками выбранных уязвимостей ПО Выбор типа актуальных угроз Проверка принадлежности уязвимостей ПО к уязвимостям реализующим НДВ Подготовка перечня актуальных угроз ИБ Подготовка перечня угроз ИБВыбор актуальных угроз ИБ Рисунок 3 – Методика определения актуальных УБИ. В третьей главе приведено описание математического аппарата искусственной нейронной сети (далее – ИНС) для определения актуальных угроз безопасности информации. Проведен анализ и выбор типа и архитектуры ИНС (таблица 3). Таблица 3 – Сравнительный анализ сети радиального базиса и многослойного персептрона Многослойный Критерий сравненияСеть радиального базиса персептрон Участие в аппроксимацииВсе нейроныТолько ближайшие Чувствительность к Выражается в ростеВыражается в росте размерности входных сложности обученияразмеров сети данных Число скрытых слоевНесколькоОдин Различные: сигмоида, Вид функции активациигиперболический тангенс,Гауссова функция биполярная сигмоида Обучение слоевОдновременноеРаздельное По результатам анализа, в связи с простотой построения, а также неизменностью количества ИН для решения задачи по определению актуальности УБИ принято решение использовать многослойный персептрон. Для сравнения и выбора топологии ИНС применен принцип упрощения нейронной сети. Разработаны две ИНС, первая с учетом общепринятого для решения задач оценки УБИ количества скрытых слоев ИНС, имеющая 2 скрытых слоя, вторая – с одним скрытым слоем. Количество ИН на каждом слое определяется по эвристическому правилу геометрической пирамиды. Показатели актуальности УБИ, используемые в качестве входных сигналов для ИН входного слоя, включают в себя:  Архитектуру ИСПДн (A);  Возможность взаимодействия со сторонними ИСПДн (IN);  Возможность взаимодействия с сетями общего пользования (NW);  Территориальное размещение ИСПДн (SSq);  Режим обработки информации в ИСПДн (Rp);  Разграничение прав доступа (Rac);  Наличие сегментирования ИС (SIS)  Потенциал нарушителя (Pi);  Показатель нарушения конфиденциальности (CI);  Показатель нарушения целостности (II);  Показатель нарушения доступности (AI). Рисунок 3 – Архитектура ИНС а) с одним скрытым слоем, б) с двумя скрытыми слоями Сравнение топологий, разработанных ИНС осуществляется средствами приложения nftool модуля «Neural Network Toolbox» ПО Matlab в рамках обучения ИНС с использованием следующих алгоритмов:  Масштабированный сопряженный градиент (trainscg).  Обратного распространения Левенберга-Марквардта (trainlm);  Байесовской регуляризации (trainbr). Для обучения подготовленная выборка случайным образом разбивается на 3 набора данных:  Тренировочный сет (70 %) – для обучения, ИНС настраивается на основании полученной на данном этапе ошибкой.  Подтверждающий сет (15 %) – для остановки обучения, когда обобщение перестает улучшаться.  Тестовый сет (15 %) – независимый набор данных, используемый для проверки, обученной ИНС. Сравнение архитектур и обучающих алгоритмов представлено в таблице ниже (Таблица 4). Таблица 4 – Сравнение обучающих алгоритмов и архитектуры Время,Величина Кол-воКол-во ИН наАлгоритм затраченное нанаименьшей скрытых слоевскрытом слоеобучения обучение, сек.ошибки 25, 30,6490,0030297 trainscg 130,6290,0016252 25, 30,7281,1978*10-7 trainlm 130,6311,0313*10-9 25, 31,0180,24129 trainbr 130,8390,24592 Основным критерием выбора архитектуры и алгоритма обучения ИНС является величина ошибки на этапе обучения (рисунок 5). Рисунок 4 – Визуализация вычисления ошибки ИНС: Алгоритм обратного распространения Левенберга-Марквардта: а.1) с одним скрытым слоем; а.2) с двумя скрытыми слоями; Масштабируемый алгоритм сопряженного градиента ИНС: б.1) с одним скрытым слоем; б.2) с двумя скрытыми слоями На основании принципа упрощения и времени, затраченного на обучение ИНС, для решения задачи определения актуальности УБИ в ИСПДн принято решение применять многослойную ИНС с 1 скрытым слоем, использующую алгоритм обратного распространения Левенберга-Марквардта. В четвертой главе осуществлялась оценка сокращения временных затрат осуществляется путем сравнения времени затраченного на подготовку перечня актуальных УБИ с применением разработанной методики и существующих методик. Эксперимент с применением методик осуществляется для смоделированной ИСПДн посредством метода экспертных оценок. Опрос экспертов осуществляется в виде анкетирования. Подбор экспертов производится на основании компетентности и заключался в выборе экспертов. По результатам сравнения была подготовлена таблица с основным временем, затрачиваемым на различные этапы определения УБИ согласно рассматриваемым и разработанный методикой (таблица 5). Полученные в рамках сравнения результаты свидетельствуют о том, что применение разработанной методики, а также перечисленных способа ее автоматизации, позволит существенно сократить временные затраты персонала, задействованного в процессе подготовки перечня УБИ в ИСПДн. Таблица 5 – Сравнение временных затрат методик определения УБИ РазработаннаяАвтоматизированная Методики методикаразработанная Используемая методикаопределения определенияметодика УБИ УБИопределения УБИ Время, затраченное на выбор 1380 показателей ИСПДн (Tх), сек Время, затраченное на выбор нарушителей ИБ, составило 15900 минут (TI), сек Время, затраченное на выбор критичности нарушаемых 1500 свойств безопасности информации (Td), сек Время, затраченное на поиск угроз ИБ по заданным критериям5 фильтрации, (Ts), сек. Время, затраченное на выделение 1200 актуальных угроз ИБ (Ta), сек Время, затраченное на выбор вспомогательных активов (Ta),300120 сек Время, затраченное на выбор нарушителей ИБ (TI), сек Время, затраченное на поиск уязвимостей ПО (Tv), сек Время, затраченное на выбор актуальных уязвимостей ПО60 (TAV), сек Время затраченное на подготовку перечня актуальных2280 угроз ИБ (TS), сек Время затраченное на присвоение количественных значений показателей коэффициента исходной защищенности и потенциалу нарушителя ИБ (Ts) сек Время затраченное на определение актуальности угроз1 ИБ в ИСПДн (Tnn), сек Общее затраченное время (T), 49953427422 сек В заключении подводятся основные итоги диссертационного исследования, формулируются основные выводы. В приложениях представлены листинги скриптов реализации разработанной методики. Так же, приведено 1 свидетельство о государственной регистрации баз данных и 1 свидетельство о государственной регистрации программы для ЭВМ и 3 акта о внедрении результатов научного исследования. ЗАКЛЮЧЕНИЕ В диссертационной работе проведены исследования, обеспечивающие сокращение времени определения УБИ в ИСПДн, а также снижения роли эксперта в процессе определения УБИ в ИСПДн. В рамках диссертационной работы получены следующие научные и практические результаты:  произведен анализ предметной области и сформулированы проблемные вопросы, изучены способы и подходы к выбору уязвимостей ПО, активов ИС, нарушителей ИБ, а также методики определения УБИ в ИС. Выявлены преимущества и недостатки актуальных методик определения УБИ в ИСПДн; выявлены основные проблемы при определении УБИ в ИС: отсутствие связи между активом, нарушителем ИБ и уязвимостью ПО, а также между уязвимостью ПО и УБИ;  разработана и реализована методика определения актуальности УБИ в ИСПДн, включающая в себя: подход по выбору активов ИСПДн для определения перечня уязвимостей ПО; способ количественной оценки потенциала нарушителя ИБ с использованием параметров оценки уязвимостей ПО; алгоритм выбора уязвимостей ПО, которые могут быть реализованы нарушителем ИБ в ИСПДн; алгоритм выбора типа актуальных УБИ, а также алгоритм определения актуальности УБИ;  осуществлена автоматизация разработанной методики определения актуальности УБИ с использованием программного средства и математического аппарата ИНС;  произведены оценка и сравнение временных затрат при использовании разработанной и действующих методики. По результатам сравнения временные затраты на определение актуальности УБИ в ИСПДн при использовании разрабатываемой методики могут быть сокращены более чем в 1,5 раза;  для получения информации о возможном эффекте от внедрения разработанной методики осуществлена разработка перечней актуальных УБИ в ИС ООО «РН-Учет» в г. Краснодаре, ООО «РН-Краснодарнефтегаз» и ООО «Базовый Авиатопливный Оператор» в г. Краснодаре. Достигнут эффект сокращения временных затрат специалистов предприятий от использования разработанной методики более чем в 1,4 раза. Проведенное исследование в области определения актуальных УБИ может значительно сократить временные затраты на определение актуальных УБИ, а также стандартизировать процесс их определения.