Подход к разработке системы выявления инцидентов информационной безопасности информационных ресурсов банковских систем при реализации этапов противодействия противоправным действиям
Актуальность применения системы Security Information and Event Management (SIEM). Описание источников данных для систем выявления инцидентов информационной безопасности банковских систем, атрибуты, которые могут быть проанализированы SIEM системой.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 20.06.2021 |
Размер файла | 746,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Подход к разработке системы выявления инцидентов информационной безопасности информационных ресурсов банковских систем при реализации этапов противодействия противоправным действиям
Александров В.В., Малий Ю.В., Александрова Ю.В., Семенякин А.И.; Белгородский университет кооперации, экономики и права
Аннотация
Целью данной статьи является рассмотрение подхода к определению вероятности выявления инцидентов информационной безопасности информационных ресурсов банковских систем, при реализации этапов противодействия противоправным действиям (НСД, копирование, изменение, уничтожение информации). Авторами рассмотрена актуальность применения системы Security Information and Event Management (SIEM). Описаны источники данных для систем выявления инцидентов, атрибуты, которые могут быть проанализированы SIEM системой.
При рассмотрении подхода к определению вероятности выявления инцидентов информационной безопасности введены параметры Vn, V(min) обозначающие объем и минимальный объем базы правил корреляции системы выявления инцидентов информационной безопасности соответственно. Как результат определена вероятность, позволяющая полно характеризовать систему выявления инцидентов информационной безопасности информационных ресурсов банковских систем, при реализации этапов противодействия противоправным действиями (НСД, копирование, изменение, уничтожение информации).
Ключевые слова: информационная безопасность, банковские информационные ресурсы, выявление инцидентов информационной безопасности, правила корреляции, система выявления инцидентов информационной безопасности.
Abstract
Approach to development of a system for detecting incidents of information security of information resources of banking systems, when implementing stages of counteraction of illegal actions
Vitaliy V. Aleksandrov, Yuliya V. Maliy, Yuliya V. Aleksandrovа, Aleksandr I. Semenyakin; Belgorod University of Cooperation, Economics and Law
The purpose of this article is to consider an approach to determining the probability of detecting information security incidents of information resources of banking systems, when implementing the stages of countering illegal actions (unauthorized actions, copying, changing, destroying information). The authors considered the relevance of using the Security Information and Event Management (SIEM) system. The data sources for incident detection systems, attributes that can be analyzed by the SIEM system are described. When considering an approach to determining the probability of detecting information security incidents, the parameters vn, v (min) were introduced, denoting the volume and minimum volume of the correlation rule base of the information security incident detection system, respectively. As a result, the probability was determined, which makes it possible to fully characterize the system for identifying incidents of information security of information resources of banking systems when implementing the stages of countering illegal actions (unauthorized actions, copying, changing, destroying information).
Keywords: information security, banking information resources, identification of information security incidents, correlation rules, information security incident detection system.
Введение
При построении системы защиты информации число источников, отражающих актуальную защищенность, непрерывно растет, возрастает нагрузка на администраторов безопасности, что ведет к несвоевременному выявлению угроз безопасности и делает уязвимой систему защиты [Заряев, 2003; Малюк, 2004; Хорев, 2008; Пономаренко и др., 2018]. Проблема защиты банков от хакерских атак обсуждалась на конференции «SIEM в банковской сфере: автоматизация хаоса», организованной журналом «Банковское обозрение». За последние 5 лет произошел резкий рост крупномасштабных, скоординированных и хорошо организованных хакерских атак на банки, ставящих под угрозу экономическую стабильность, сохранность финансовых активов, безопасность персональных данных и корпоративной конфиденциальной информации, поэтому в предотвращении таких неприятных инцидентов заинтересованы как банки, так и их клиенты.
Участники конференции сошлись на том, что на сегодняшний день SIEM - это некий технологический минимум, который обязательно должен быть у каждого банка.
С целью комплексной защиты финансовые учреждения активно внедряют в использование комбинированное программное обеспечение по управлению событиями информационной безопасности, получившее аббревиатуру SIEM: от SIM, security information management - управление информационной безопасностью и от SEM, security event management - управление событиями безопасности. Его суть - собирать информацию о событиях, мониторить сетевой трафик, действия пользователей и неопознанных устройств, анализировать инциденты [Официальный сайт системы NetIQ Sentinel SIEM, дата обращения 15.10.2020].
Основная часть
Работа SIEM системы построена по принципу объединения данных о событиях из разных источников в сетевой инфраструктуре, включая серверы, системы, устройства и приложения, от периметра до конечного пользователя, в конечном счете, решение SIEM анализирует данные на предмет отклонений от правил поведения, определенных организацией, для выявления потенциальных угроз (рис. 1).
Рис. 1. Работа SIEM системы
Источниками данных для систем выявления инцидентов являются [Официальный сайт системы MaxPatrol SIEM, дата обращения 15.10.2020]:
1. Сетевые устройства: маршрутизаторы, коммутаторы, мосты, точки беспроводного доступа, модемы, линейные драйверы, концентраторы.
2. Серверы: веб, прокси, почта, FTP.
3. Устройства безопасности: IDP / IPS, брандмауэры, антивирусное программное обеспечение, устройства фильтрации контента, устройства обнаружения вторжений.
4. Приложения: любое программное обеспечение, используемое на любом из перечисленных устройств.
Атрибуты, которые могут быть проанализированы, включают пользователей, типы событий, IP-адреса, память, процессы и многое другое [Авсентьев, 2016]. Эта информация передается на консоль управления, где анализируется для устранения возникающих угроз. Как только необходимая информация попадает в консоль управления, она просматривается администратором безопасности, который может предоставить обратную связь по всему процессу. Обратная связь помогает обучить систему SIEM с точки зрения машинного обучения и повышения ее знакомства с окружающей средой. Как только программная система SIEM идентифицирует угрозу, она связывается с другими системами безопасности на устройстве, чтобы остановить нежелательную деятельность [Miller, 2010].
Каждый пользователь или устройство оставляет за собой виртуальный след в журналах устройств [Пономаренко и др., 2017]. Системы SIEM используют данные этих журналов, чтобы получить информацию о произошедших атаках и событиях. SIEM не только идентифицирует, что атака произошла, но и позволяет увидеть, как и почему она произошла, что позволяет повысить экономическую стабильность, сохранность финансовых активов, безопасность персональных данных и корпоративной конфиденциальной информации [Официальный сайт системы ViPNet TIAS, дата обращения 15.10.2020].
Результаты и их обсуждение
В работе рассматривается подход к определению вероятности выявления инцидентов информационной безопасности информационных ресурсов банковских систем, при реализации этапов противодействия противоправным действиями (НСД, копирование, изменение, уничтожение информации).
Были введены следующие понятия:
Vn - объем базы правил корреляции системы выявления инцидентов информационной безопасности;
V(min) - минимальный объем базы правил корреляции системы выявления инцидентов информационной безопасности.
Vc - объем базы правил корреляции системы выявления инцидентов информационной безопасности в реализующих c-ю функцию.
Тогда при осуществлении n-го этапа противоправных действий в отношении банковских информационных ресурсов можно представить следующее выражение, показывающее, что инцидент информационноой безопасности будет выявлен при условии, когда объем базы правил корреляции системы выявления инцидентов информационной безопасности не менее минимально допустимой величины Z(min) n [Александров, 2010; Авсентьев, Авсентьев, 2015; Авсентьев и др., 2015; Меньших, Авсентьев, 2015; Авсентьев, Жидко, 2016; Авсентьев и др., 2016; Скрыль и др., 2017]:
Указанная вероятность позволяет полно характеризовать систему выявления инцидентов информационной безопасности информационных ресурсов банковских систем, при реализации этапов противодействия противоправным действиями (НСД, копирование, изменение, уничтожение информации).
информационный безопасность банковский инцидент
Заключение
В ходе исследования была определена вероятность, позволяющая полно характеризовать систему выявления инцидентов информационной безопасности информационных ресурсов банковских систем, при реализации этапов противодействия противоправным действиям таким как НСД, копирование, изменение, уничтожение информации.
Список источников и литературы
1. Официальный сайт системы MaxPatrol SIEM.
2. Официальный сайт системы NetIQ Sentinel SIEM.
3. Официальный сайт системы ViPNet TIAS.
4. Авсентьев А.О. 2016. Определение ценности информации, ТУСУР. 19 (1): 21-24.
5. Авсентьев О.С. Авсентьев А.О. 2015. Формирование обобщенного показателя ценности информации в каналах связи. Вестник Воронежского института МВД России. 2: 55-63.
6. Авсентьев О.С. Вальде А.Г., Кругов А.Г. 2016. Математическая модель защиты информации от утечки по электромагнитным каналам. Вестник Воронежского института МВД России. 3: 42-50.
7. Авсентьев О.С. Жидко Е.А. 2016. Обоснование требований к уровню информационной безопасности объекта защиты. Вестник Воронежского института МВД России. 1: 33-43.
8. Авсентьев О.С. Меньших В.В., Авсентьев А.О. 2015. Моделирование и оптимизация процессов передачи и защиты информации в каналах связи. Специальная техника. 5: 47-50.
9. Авсентьев О.С. Меньших В.В., Авсентьев А.О. 2016. Модель оптимизации процесса передачи информации по каналам связи в условиях угроз ее безопасности. Телекоммуникации. 1: 28-32.
10. Александров В.В. 2010. Показатели эффективности реализации информационных процессов в ИТКС в условиях противодействия угрозам информационной безопасности. В кн.: Теория и практика инновационного развития кооперативного образования и науки. Белгород, Изд-во БУКЭП
11. Заряев А.В. 2003. Источники и каналы утечки информации в телекоммуникационных системах. Воронеж, Воронежский институт МВД России, 305.
12. Малюк А.А. 2004. Информационная безопасность: концептуальные и методологические основы защиты информации. М., Горячая линия Телеком, 280.
13. Меньших В.В., Авсентьев А.О. 2015. Модель оптимизации процесса обеспечения требований к свойствам информации при ее передаче по каналам связи. Вестник Воронежского института МВД России. 4: 147-154.
14. Пономаренко С.В., Пономаренко С.А., Александров В.В. 2017. Моделирование несанкционированного доступа к информационным ресурсам ключевых систем информационной инфраструктуры. Белгород, Издательство БУКЭП, 177.
15. Пономаренко С.В., Прокушев Я.Е., Александров В.В., Ломазов В.А. 2018. Актуальные проблемы экономической безопасности персональных данных информационных инфраструктур банковской сферы. Вестник Белгородского университета кооперации, экономики и права. 4: 246-252.
16. Скрыль С.В., Мишин Д.С. 2005. Угрозы информационной безопасности в компьютерных сетях органов внутренних дел. В кн.: Современные проблемы борьбы с преступностью. Воронеж, Воронежский институт МВД России, 5-6.
17. Скрыль С.В., Спивак В.И., Щербаков А.В., Пономаренко С.В. 2017. Проблема оптимизации процедур комплексного технического контроля защищенности информации от утечки по каналам ПЭМИН: концепция решения. Телекоммуникации. М., Наука и технологии ООО, 10: 23-34.
18. Скрыль С.В., Финько В.Н., Пономаренко С.В., Волкова С.Н., Рябинин Г.И. 2010. Показатель эффективности информационной деятельности органов государственного управления в условиях противодействия утечке информации по техническим каналам Информация и безопасность. 13 (1): 141-142.
19. Хорев А.А. 2008. Техническая защита информации: Т. 1. Технические каналы утечки информации. М., НПЦ «Аналитика», 436.
20. Miller D., Harris S., Harper S., VanDyke C. 2010. Security Information and Event Management (SIEM) Implementation. McGraw Hill Professional, 464 p.
Размещено на Allbest.ru
Подобные документы
Анализ инцидентов информационной безопасности. Структура и классификация систем обнаружения вторжений. Разработка и описание сетей Петри, моделирующих СОВ. Расчет времени реакции на атакующее воздействие. Верификация динамической модели обнаружения атак.
дипломная работа [885,3 K], добавлен 17.07.2016Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Процесс создания комплексной системы информационной безопасности, предназначенной для обеспечения безопасности всех важных данных сети аптек "Таблэтка". Исследования практики функционирования систем обработки данных и вычислительных систем. Оценка риска.
курсовая работа [38,8 K], добавлен 17.06.2013Критерии определения безопасности компьютерных систем и механизмы их реализации. Содержание международного стандарта управления информационной безопасностью ISO 17799. Критерии оценки защищенности информационных систем и практика прохождения аудита.
реферат [336,8 K], добавлен 03.11.2010Изучение профессиональных и должностных обязанностей специалистов отдела информационной безопасности. Характеристика процесса внедрения новой информационной системы предприятия. Создание плановых, диспозитивных и исполнительных информационных систем.
отчет по практике [180,7 K], добавлен 08.06.2015Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Жизненный цикл информационных систем. Создание системы обработки заказов ресторана. Описание деятельности ресторана с целью выявления автоматизируемых процессов. Диаграмма вариантов, классов и последовательности для информационной системы "Ресторан".
курсовая работа [541,7 K], добавлен 07.01.2015Анализ основных угроз и методов обеспечения работы систем информационной безопасности. Характеристика разновидностей защиты баз данных. Особенности UML-моделирования: оценка основных функций и процесс работы, пути реализации информационной системы.
курсовая работа [158,7 K], добавлен 15.06.2013Понятие информационной системы. Этапы развития информационных систем. Процессы в информационной системе. Информационная система по отысканию рыночных ниш, по снижению издержек производства. Структура информационной системы. Техническое обеспечение.
реферат [340,3 K], добавлен 17.11.2011