1.3.7. Об идентификации событий ИБ
1.3.7. Об идентификации событий ИБ
Задача идентификации событий ИБ состоит в выявлении событий ИБ среди полного множества различных событий организации. Трудности идентификации событий ИБ связаны с их косвенным влиянием на базовые риски организации (бизнеса), а также с тем, что отдельные (одиночные) события ИБ в силу их слабого влияния могут быть и вовсе не идентифицированы как события ИБ. Причина этого в том, что риски ИБ проявляются в наступлении событий иных (базовых) рисков. Так, например, отказ сервера (событие операционного риска) может иметь злоумышленную природу, и тогда это событие ИБ. Здесь видно, что почти всегда напрямую факторы рисков ИБ отображаются только на участвующего субъекта в виде факторов его совокупного объема знаний, мотивов, возможностей.
Под идентификацией рисковых событий ИБ будем понимать выявление среди общего потока событий в информационной сфере тех событий, которые прямо или косвенно (в сочетании с другими событиями) приводят к негативным последствиям для бизнеса.
Вследствие указанных выше обстоятельств идентифицировать напрямую рисковое событие как событие ИБ практически всегда невозможно. Исключением являются рисковые события, прямо связанные с работой средств защиты, например зафиксированные в регистрационных журналах попытки НСД. В остальных случаях это будут события базовых рисков, например операционного риска. Квалифицировать эти события как события ИБ (или инциденты ИБ) можно только по результатам расследования.
Тем более сложно оценить с точки зрения влияния на бизнес идентифицированное одиночное событие ИБ. Поэтому должна быть предложена система критериев как по идентификации, так и по оценке событий ИБ. Можно указать на ряд значимых факторов, обусловливающих возникновение событий ИБ:
а) неполная, недостоверная и несвоевременная внутренняя отчетность в организации и связанный с ней конфликт интересов: участвующие субъекты не заинтересованы в предоставлении отчетности, ухудшающей их статус в организации;
б) наличие стохастической составляющей (областей неформализованной деятельности), исключающей какие-либо формы контроля за деятельностью;
в) несовершенство ролей, ответственностей и организационных политик в организации и связанная с ними инсайдерская деятельность;
г) злоумышленная активность персонала;
д) противоборство организации за заимствуемые ресурсы с внешними субъектами;
е) организационное, функциональное и информационное несовершенство информационной сферы организации;
ж) слабости менеджмента в части накопления, обобщения, применения опыта для достижения целей организации;
з) неспрогнозированные изменения негативно влияющих факторов внешней среды, которые привели к увеличению базовых рисков.
Ситуация усугубляется тем, что значительная часть злоумышленников думает вовсе не о нанесении ущерба организации, а только о своей выгоде, и тем, что их деятельность может наносить ущерб третьим лицам, а не организации напрямую; может влиять негативно на какой-нибудь консолидированный показатель типа эффективности деятельности, наступление ущерба от которого солидарно распределяется между всеми участвующими субъектами, что крайне затрудняет идентификацию.
Совершенно понятно, что любой субъект, создающий для своей организации проблемы ИБ, будет препятствовать своей идентификации, создавая (или используя) различные неопределенности. Для этого у него есть целый ряд возможностей. Например, он может:
а) действовать в рамках чужих либо «ничьих» полномочий (ролей);
б) найти в рамках своих штатных полномочий различные непредусмотренные дополнительные возможности и их использовать;
в) исследовать структуру деятельности организации, обнаружить там условия возникновения коллизии (когда все действуют штатно, но возникает событие ИБ) и их инициировать в нужное ему время.
Самый простой и понятный способ идентификации событий ИБ основывается на предварительном анализе и фильтрации всех контролируемых в организации событий по принципу предопределенности в интерпретации события. Например, события, связанные с выявлением проникновения и тем более запуском вредоносного программного кода (вирусов). Очевидно, что иных целей, кроме злоумышленных, тут не может быть. То же можно сказать и о любых нарушениях в используемых технологиях на основе секрета (PIN-коды, пароли, криптографические ключи и т. д.). Нарушения в этой сфере могут содержать признаки злоумышленной активности. Можно указать также на процессы и технологии, связанные с отчуждением информации или получением прав доступа к ней, и на процедуры (процессы) контроля информации (особенно прикладными системами). Например, отбраковка первичного документа приложением «1С-Бухгалтерия» может указать на признаки злоумышленной активности при создании этого документа.
Сформированное таким образом подмножество типов данных дает весьма полезную для безопасности информацию. Однако:
а) это очень незначительная часть реально нужной информации;
б) могут быть проблемы с ее доступностью, достоверностью, полнотой и своевременностью.
Дело в том, что в большинстве случаев на практике непосредственное участие безопасности в этих проблемах ограничено созданием нормативной базы. Практическая реализация, а тем более контроль за деятельностью есть предмет соглашения заинтересованных субъектов. В каждой организации это реализуется по-разному, и безопасность лишь частично задействована.
Так, антивирусные средства почти всегда находятся во владении ИТ-подразделения; технологии с применением секрета могут быть замкнуты на бизнес-подразделения организации (в силу причин юридической ответственности исполнителя); контроль сосредоточен, как правило, в системе внутреннего контроля организации. Однако даже эта ограниченная информация уже может дать хороший результат, если обеспечить ее контекстное расширение и использовать накопительный анализ по всему контексту. Для этого для каждого зарегистрированного/задокументированного события необходимо идентифицировать все вовлеченные объекты (активы), процессы, инструменты, субъекты, роли. По всей полученной базе и нужно проводить анализ.
Как еще расширить полезную информацию, по каким критериям?
• На основе анализа расширить область предопределенности, выделив активы, процессы, инструменты, субъекты, роли, существенно влияющие на риск-факторы. Далее для выделенных элементов осуществить накопительный анализ по всем событиям базовых рисков на предмет выявления злоумышленной активности.
• По величине ущерба — если ущерб превысит предустановленный порог, то связанное с ним рисковое событие должно исследоваться на наличие злоумышленной активности.
• На основе анализа непрерывности по пространству и времени информационной сферы организации необходимо выделить точки потенциального разрыва типа: «реальное событие было, но не отобразилось в информационной сфере», «реального события не было, а в информационной сфере отображено» и им подобных. Тогда для любого компонента «А, П, И, С, Р», попавшего в разрыв, дополнив его контекстом, необходимо проводить накопительный анализ по безопасности.
Накопительный анализ основывается на обобщениях, позволяющих выделить состояния (события) — предвестники и события — признаки. Предвестники позволяют понизить риски путем своевременного реагирования. Не менее важна своевременная идентификация событий ИБ, так как наносимый ущерб, как правило, скачкообразно возрастает по завершении логически связанной цепочки событий.
Могут быть использованы статистические критерии на основе выявления неоднородностей. Так, например, пачка однотипных (или близких) событий на коротком интервале времени и позиционированных тем более на ограниченном множестве в пространстве «А, П, И, С, Р» обязательно будет иметь общую причину и, быть может, злонамеренную.
Существуют две области событий, обладающие максимальной (и примерно одинаковой) неопределенностью:
— стохастическая составляющая бизнеса или эквивалентная ей с точки зрения анализа слабо регламентированная или вовсе нерегламентированная область деятельности;
— штатная (разрешенная) деятельность.
В обоих случаях возможен только прямой контроль за целью деятельности. Он основывается на том обстоятельстве, что цель всегда отображается на множество «А, П, И, С, Р» и образует там некоторое отношение порядка. То есть один и тот же субъект в рамках одной и той же назначенной ему роли реализует каждый раз цель либо одним и тем же, либо близким способом.
Для штатной деятельности соответствующие атрибуты активов, процессов, инструментов, отображающие цель деятельности субъекта и роль, могут быть получены в результате анализа; для неформализованной деятельности — в результате наблюдения за деятельностью и сопоставления ее с полученным результатом. Так получают образец «хорошего». Образец может быть далее формализован (представлен в виде модели), атрибуты могут быть представлены статистически (в виде гистограмм) или, например, ранжировок, а затем агрегированы (консолидированы) в оценку. Эта оценка фактически есть числовое (может быть, и пространственное) выражение (отображение) цели деятельности.
Далее такая метрика может быть использована для фильтрации наблюдаемых событий на периодической основе либо в реальном времени. В последнем случае деятельность рассматривается как временной ряд событий, в котором с помощью модели можно прогнозировать реализацию тех или иных событий. По величине отклонений наблюдаемых событий от наиболее вероятных можно судить о «сдвиге» в цели деятельности. Здесь возможен накопительный анализ, т. е. пачка событий предустановленной длины превысила предустановленный порог.
Анализ на признаки злоумышленной активности проводится для всех пространственно-временных областей деятельности, давших при оценке превышение предустановленных значений цели деятельности. Таким образом, практически все рисковые события (базовых рисков) организации могут иметь злоумышленную природу (с точки зрения ИБ). Отсюда следует, что практически все из них должны исследоваться безопасностью. Однако ясно, что информативность событий существенно разная. Учитывая, что анализ в большинстве случаев накопительный, т. е. размерность задачи большая, становится важным осуществлять этот анализ как можно более целенаправленно. Для этого могут быть использованы два механизма:
— предварительного анализа, позволяющего выявить наиболее информативные с точки зрения ИБ пространственно-временные области деятельности;
— на основе накопления и обобщения реальных практик, т. е. на основе моделей Деминга — Шухарта.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
В центре событий
В центре событий Еще одним важным аспектом торгового центра является его размещение в районе, где кипит жизнь и происходят какие-то события. Я не имею в виду, что он должен находиться в квартале ночных клубов. Достаточно, чтобы рядом с ним размещались какие-то
Пример 1. Поиск баланса между нормами БОД/БФТ в отношении идентификации клиентов и доступностью финансовым услугам для малообеспеченных слоев населения
Пример 1. Поиск баланса между нормами БОД/БФТ в отношении идентификации клиентов и доступностью финансовым услугам для малообеспеченных слоев населения Во многих случаях у малообеспеченных клиентов остутствуют определенные документы, таких как свидетельства с
11.4.3. Подтверждение намеченных событий
11.4.3. Подтверждение намеченных событий Для введенных событий, по которым не были еще отмечено их выполнение (возвраты из отпусков, увольнение временно работающих и т.п.), можно произвести групповое подтверждение исполнения. Эта операция может производиться периодически,
2 Понятие событий после отчетной даты
2 Понятие событий после отчетной даты 3. Событием после отчетной даты признается факт хозяйственной деятельности, который оказал или может оказать влияние на финансовое состояние, движение денежных средств или результаты деятельности организации и который имел место в
Глава 2 Варианты развития событий
Глава 2 Варианты развития событий Еще два года назад финансовые эксперты и аналитики призвали нас готовиться к новому кризису. С каждым днем информации о приближении нового кризиса становится все больше и больше. Ежедневно мы наблюдаем предкризисные «симптомы» – растут
Развертывание событий
Развертывание событий Если вы распрощаетесь с прошлым, зависимостью от других и потребностью в поддержании некоего публичного имиджа, если вы сумеете жить, фокусируясь на задачах и абстрагируясь от ожиданий, то мир превратится в место, где возможно буквально все, где
Будьте в курсе событий
Будьте в курсе событий В современном мире информация является очень важным ресурсом для достижения профессионального успеха. Знание о событиях, происходящих в мире, в целом, в вашей организации, в Вашем коллективе, помогают Вам легко ориентироваться во всех делах и не
Теория событий
Теория событий Эта теория помогает PR-менеджерам создавать эффективные события. Событие, пожалуй, самый важный компонент в процессе распространения информации.Для чего же нужны события? То ради чего вы проводите PR-кампанию, является распространение информации. Но та
Ветви негативного развития событий
Ветви негативного развития событий Когда вы вносите изменения в существующее положение вещей, ситуация улучшается, не меняется вообще или ухудшается. Причем первое желательно, второе приемлемо, а вот третьего варианта развития событий нельзя допустить (если, конечно, вы
Ветвь нежелательного развития событий
Ветвь нежелательного развития событий Ветвь нежелательного развития событий (негативная ветвь) – еще один «конек» дерева будущей реальности, который поможет избежать проблем в ходе реализации идеи.Выстраивание негативной ветви – разновидность проверки
Хронология событий
Хронология событий При решении сложной проблемы главный и самый трудный вопрос – это «С чего начать?». Ответ находим в ДП. Кроме определения препятствий и способов их преодоления, еще одна важная функция ДП – выстраивание последовательности действий (промежуточных
13.4.1. Механизмы идентификации аномально низких предложений
13.4.1. Механизмы идентификации аномально низких предложений Рабочая группа по АНП Европейской комиссии (1999 г.) предложила статистический метод для идентификации АНП. Он состоит в статистическом анализе прежних заявок, подававшихся на подобных проектах. Идея в том,
Можно ли предотвратить негативный сценарий развития событий?
Можно ли предотвратить негативный сценарий развития событий? Чтобы предотвратить катастрофу, следует выполнять два основных правила:1) отслеживать разрушительные несоответствия в процессе интервью при приеме на работу;2) относиться к задаче интегрирования сотрудника
Смешение событий и уязвимости
Смешение событий и уязвимости Этот довод возвращает нас к заблуждению «зеленого леса». Событие «Черный лебедь» и его последствия – воздействие на ваши финансы, эмоции, причиняемый им вред, – это не одно и то же. Проблема коренится глубоко в природе стандартных реакций;
Типичный ход событий
Типичный ход событий Если вам удастся побороть свои заблуждения, вы начнете замечать вокруг себя, как многие карьеры развиваются в реальности. Анника. Сканером я была с самого детства, и каждый доступный курс в колледже и университете приводил меня в такое