Models and algorithms for identifying current threats based on an expert approach

Cover Page

Cite item

Full Text

Abstract

The task of identifying current security threats is becoming increasingly important, due to the increase in the volume of processed information of limited access, an increase in the number of all kinds of threats, and an increase in the potential of violators. At enterprises and organizations in various sectors of the economy, specialists regularly conduct information security audits in order to identify vulnerabilities and ultimately to prevent possible negative consequences. To build a rational information security system at the facility, it is important to organize protection against actual threats, since it is impossible to build protection against all threats, and it is impractical. The article proposes models and algorithms for determining current threats based on an expert approach, which can become the basis for the development of an automated system for making reliable decisions in the tasks of protecting informatization objects.

Full Text

Введение

Для определения актуальных угроз используют различные методы [2; 3; 7; 9], учитывают особенности для конкретных сфер деятельности [5], существуют также автоматизированные системы на основе программных продуктов [12]. Все эти методы основаны на положениях методики оценки угроз безопасности федеральной службы по техническому и экспортному контролю (ФСТЭК) России от 2021 года. Учитывается необходимость проведения основных этапов этого процесса: анализа защищаемых объектов, определения негативных последствий, характеристики нарушителя, составления сценариев реализации угроз.

Предлагаемые модели и алгоритмы

Модель угроз разрабатывается группой экспертов, у которых есть опыт в сфере информационной безопасности, есть доступ к аппаратным и программным средствам информационных систем предприятия, доступ к активам, для осуществления оценки как ценности защищаемых ресурсов, так и уровня защищенности их на данном объекте. Эксперт при разработке модели угроз основывается на объективных данных, таких как требования и положения нормативно-правовых документов ФСТЭК России, проведенном аудите инфраструктуры предприятия, сведении об актуальных уязвимостях в системном и прикладном программном обеспечении. В роли экспертов могут выступать сотрудники организации с соответствующей квалификацией в области информационной безопасности или сторонние специалисты. В первом случае эксперты хорошо знакомы с инфраструктурой предприятия, особенностями бизнес-процессов, реальной ситуацией, при этом могут проводить оценку субъективно. Сторонние специалисты, наоборот, при независимой оценке могут недостаточно учитывать специфику и особенности деятельности организации. Экспертный подход основан на сборе, анализе и ранжировании оценок экспертов. На рисунке 1 представлена классификация методов экспертного подхода.

 

Рисунок 1. Классификация методов экспертного подхода

 

  1. Методы группового опроса экспертов. Метод Паттерн предполагает коллективную работу экспертов, обсуждение мнений, совещаний, проводимых в несколько раундов, на каждом этапе опросов экспертов не меняют. Для метода Делфи главной особенностью является независимость экспертов и отсутствие влияния на их оценку, при этом каждый раз привлекают новых экспертов. Результаты такой работы подвергаются обработке методами статистического анализа, и формируется конечная оценка.
  2. Математико-статистические методы обработки экспертных оценок основаны на проведении корреляционной оценки, расчете дисперсии, различного рода распределений и подразделяются на: ранжирование, метод парных сравнений, метод последовательных предпочтений, метод непосредственной оценки и другие.
  3. Методы экспертной оценки показателей качества основаны на определении весомости того или иного критерия качества продукции или услуги. Применение данных методов целесообразно, если показателями качества выбраны конкретные физические величины и в наличии присутствуют измерительные приборы с заданными метрологическими параметрами.

Для нашего исследования был выбран класс математико-статистических методов обработки экспертных оценок, конкретно метод анализа иерархий (МАИ).

На первом этапе решения задачи с применением МАИ следует задать критерии оценки угроз. На втором этапе эксперты должны определить степень значимости критериев попарным сравнениям по 9-балльной шкале. Преимущество этого метода заключается в предоставлении возможности учета различных факторов, несопоставимых друг с другом, для этого проводится сравнение каждого критерия с каждым [3; 5].

Нами была разработана иерархическая модель определения актуальных угроз с использованием МАИ (рисунок 2).

 

Рисунок 2. Иерархическая модель определения актуальных угроз

 

На первом уровне представлены этапы процесса оценки угроз безопасности в соответствии с Методикой оценки угроз безопасности информации ФСТЭК России от 5 февраля 2021 года: негативные последствия, которые могут привести к ущербу для предприятия, перечень угроз, перечень объектов воздействия этих угроз, среди которых автоматизированные рабочие места, серверное оборудование, сетевые, интерфейсные компоненты и другие.

На втором уровне необходимо выделить критерии, уровень значимости которых должны оценить эксперты.

Третий уровень включает непосредственные значения оценки критериев в процентном отношении.

Согласно Методике ФСТЭК для определения угроз, актуальных для данной организации, необходимо определить источник угроз по возможному нарушителю, провести инвентаризацию всех активов для понимания объектов воздействия, рассмотреть все возможные уязвимости, реальные атаки на компьютерные системы, доступные из различных открытых источников, оценить возможные риски (ущерб) для владельцев информационных активов [1; 4]. Угрозу безопасности информации (УБИ) составляют следующие компоненты:

УБИi = [нарушитель (источник угрозы), объект воздействия, способы реализации угрозы; негативные последствия].

Модель угроз разрабатывается, как правило, группой экспертов, мнения которых могут не совпадать. При коллективном оценивании достоверность принятых решений следует обеспечить согласованностью с исключением необъективных завышенных или заниженных прогнозов.

Для решения возможных проблем оценки согласованности мнений экспертов применение только метода анализа иерархий является недостаточным. Необходимо определить согласованность оценок экспертов для достижения наибольшей достоверности принятого решения. Субъективные психологические факторы могут исказить полученные в ходе оценки результаты. Чтобы оценить уровень согласованности экспертных оценок предлагается вычислить для ранжированных данных коэффициент конкордации. При переходе этого коэффициента за заданный предел формируется результат о неслучайной согласованности оценок группы экспертов.

На рисунке 3 представлены алгоритмы определения согласованности экспертных мнений, включающие обработку полученных экспертных оценок в виде матрицы рангов, расчет коэффициента конкордации и расчет статистической значимости.

 

Рисунок 3. Алгоритмы определения согласованности экспертных мнений

 

Приведенный выше алгоритм включает несколько ключевых этапов:

  1. Формирование экспертной группы.
  2. Определение показателей оценки и получение в соответствии с ними экспертного мнения.
  3. Расчет математических показателей степени согласованности экспертного мнения.
  4. Формирование результатов.

Первым этапом предлагаемого алгоритма является вопрос формирования экспертной группы. Этап требует четкой постановки задач в зависимости от рассматриваемого объекта защиты. Эксперты должны обладать достаточными компетенциями в различных аспектах информационной безопасности с учетом применяемых на объекте технических решений. Критерии отбора должны учитывать профессиональные квалификации и опыт.

Определение показателей оценки служит ключевым этапом в формировании мнения об актуальности угроз информационной безопасности [10]. На данном этапе должны быть выделены наиболее значимые характеристики субъекта оценки, совокупность которых будет являться основой для выработки стратегий защиты. Для предложенного алгоритма мнение экспертов выражается в количественной оценке, что позволяет провести обработку полученной информации с помощью математического метода.

На третьем этапе объективную оценку результата обеспечивает расчет коэффициента конкордации. Выбор граничного значения коэффициента напрямую влияет на результаты проведения опроса – значение коэффициента прямо пропорционально степени согласованности экспертного мнения. При расчете статистических показателей также важно выполнение проверки результатов на вероятность случайного возникновения. Гипотеза о случайности полученных результатов проверяется в соответствии со значением критерия Пирсона, пороговое значение которого зависит от количества экспертов в опрашиваемой группе [6].

Результатами проведения опроса экспертной группы является обобщенный перечень актуальных угроз для рассматриваемого объекта защиты, а также результат оценки согласованности экспертных мнений. Предлагаемый алгоритм позволяет не только выполнить оценку угроз по выбранным характеристикам, но и сформировать единое экспертное мнение с допустимой степенью согласованности, основанное на компетенциях специалистов разных направлений в области информационной безопасности.

В соответствии с разработанными алгоритмами было проведено моделирование определения степени согласованности экспертных оценок, реализация осуществляется в программном средстве.

В качестве примера рассматривается группа из 4 экспертов. Для вывода результатов оценки сформирована шкала ранжирования из 4 значений: очень низкий, низкий, средний и высокий уровни. Далее выполняется опрос экспертов по каждому из четырех критериев: уровень подготовки нарушителя, критичность отказа в работе компонентов, вероятность реализации угрозы, уровень негативных последствий. Для разработки программного средства был проведен анализ аналогичных разработок, определены особенности, выявлены достоинства и недостатки, определены требования к разработке авторского программного средства. Новый раздел банка угроз ФСТЭК позволяет в интерактивном режиме осуществить формирование угроз безопасности по актуальной Методике [4]. На пересечении множеств угроз безопасности, объектов (компонентов) воздействий и способов реализации (нарушители) формируется УБИ. При этом отсутствует возможность провести коллективную оценку и проверить согласованность и достоверность мнений экспертов. Для автоматизации данных решений создана функциональная модель процесса определения актуальных угроз на основе экспертного подхода, которая позволяет учесть поступающие на вход данные об объекте защиты получить результат наряду с перечнем актуальных УБИ, формировать отчет о согласованности экспертного мнения и дальнейшие рекомендации по корректировке действий экспертов [8]. Общая функциональная модель IDEF0 представлена на рисунке 4.

 

Рисунок 4. Общая функциональная модель разрабатываемого метода

 

Декомпозиция процесса определения актуальных угроз включает пять последовательных этапов, первые четыре из которых проходит каждый эксперт отдельно, что позволяет осуществить дистанционный сбор мнений и результаты опроса загрузить в разрабатываемую программную систему.

На первом шаге производится выбор перечня объектов воздействия угроз, на основе которого определяется вероятный нарушитель и перечень характерных для него угроз. Затем определяются способы реализации выявленных на предыдущем этапе угроз. После этого выявляются сценарии воздействия угроз на объекты информатизации для сопоставления угроз и объектов воздействий. Для полученного списка угроз каждый эксперт определяет негативные последствий по уровню ущерба для каждой угрозы. Составленные каждым экспертом по отдельности перечни векторов угроз являются входными данными для определения согласованности экспертного мнения.

Расчет коэффициента конкордации является заключительным этапом и позволяет определить согласованность мнений экспертов и уровень значимости для принятия объективного решения.

На экранной форме разработанного программного средства представлены результаты расчета коэффициента конкордации, значения которого превышают критическое значение (0,7) и результаты расчета уровня значимости (рисунок 5).

 

Рисунок 5. Экранная форма вывода результата опроса экспертной группы

 

Вывод

Были разработаны иерархическая модель определения актуальных угроз с использованием экспертного подхода, а также алгоритмы определения степени согласованности экспертных оценок в задаче определения актуальных угроз объекта информатизации, что позволило повысить эффективность построения рациональной системы безопасности информации именно от актуальных угроз, так как от всех угроз построить защиту невозможно, да и нецелесообразно. Предложенный подход позволяет уменьшить процент потенциально неучтенных угроз за счет использования классификации информационных активов и проверки согласованности экспертного мнения. На основе представленных моделей и алгоритмов разработано программное средство для автоматизированной оценки угроз информационной безопасности и определения согласованности полученных результатов.

×

About the authors

Anastasia A. Rychkova

Orenburg State University

Author for correspondence.
Email: rnansy@yandex.ru

Associate Professor of Computer Science and Information Security Department, PhD in Pedagogical Sciences

Russian Federation, Orenburg

Nikita A. Dolgushev

Orenburg State University; Orenburg Branch of the Ural Center of Security Systems

Email: dolgushevn1@yandex.ru

Student of Computer Science and Information Security Department. System engineer.

Russian Federation, Orenburg; Orenburg

Elena V. Burkova

Orenburg State University

Email: tulpan63@bk.ru

Associate Professor of Computer Science and Information Security Department, PhD in Pedagogical Sciences

Russian Federation, Orenburg

Andrey L. Konnov

Orenburg State University; Orenburg Branch of the Povolzhskiy State University of Telecommunications and Informatics

Email: andrey_konnov@mail.ru

Associate Professor of Computer Science and Information Security Department, PhD in Technical Sciences. Associate Professor of Mathematical and Natural Science Disciplines Department.

Russian Federation, Orenburg; Orenburg

References

  1. Database of information security threats. federal service for technical and export control. URL: https://bdu.fstec.ru/threat (accessed: 17.01.2024). (In Russ.)
  2. Divina T.V., Petrakova E.A., Vishnevsky M.S. Basic methods of analysis of expert assessments. Ekonomika i biznes: teoriya i praktika, 2019, no. 7, pp. 42–44. (In Russ.)
  3. Burkova E.V., Rychkova A.A. Method of decision-making system for the selection of physical protection means based on the hierarchy analysis method. Nauchno-tekhnicheskij Vestnik Povolzh’ya, 2021, no. 5, pp. 119–123. (In Russ.)
  4. Methodology for Assessing Information Security Threats: Methodological Document. Moscow: FSTEC. URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g (accessed: 17.01.2024). (In Russ.)
  5. Rychkova A.A., Klindukh V.O. Evaluation of the effectiveness of protective measures of personal data in an educational institution based on the method of hierarchy analysis. Novye impul’sy razvitiya: voprosy nauchnyh issledovanij, 2021, pp. 58–66. (In Russ.)
  6. Pishevskaya A.A., Gostyunin Yu.A., Davidyuk N.V. Agreement of opinions of experts in the assessment of risks of information security with application of abc analysis. Matematicheskie metody v tekhnike i tekhnologiyah (MMTT), 2020, no. 7, pp. 55–57. (In Russ.)
  7. Smirnov R.A., Novikov S.N. Analysis of assessment methods of information security threats. Telekommunikacii, 2023, no. 7, pp. 24–27. (In Russ.)
  8. Stepanov V.A., Andreev N.D. Modeling information security threats using the new FSTEC methodology using automation tools. Informacionnye tekhnologii. Problemy i Resheniya, 2021, no. 4 (17), pp. 95–101. (In Russ.)
  9. Filippov N.V., Kireeva N.V., Pozdnyak I.S. Approach to creating an expert system for assessing the information security of telecommunication systems. Elektrosvyaz’, 2022, no. 2, pp. 61–66. (In Russ.)
  10. Kotenko I., Parashchuk I. Analysis of threats to information security of industrial automation systems using euclidean and hamming distances between fuzzy sets. Conference Proceedings: International Russian Automation Conference (RusAutoCon), 2023, pp. 13–18. (In Russ.)

Supplementary files

Supplementary Files
Action
1. JATS XML
Download
2. Figure 1. Classification of expert approach methods

Download (350KB)
Indexing metadata
3. Figure 2. Hierarchical model for identifying current threats

Download (305KB)
Indexing metadata
4. Figure 3. Algorithms for determining the consistency of expert opinions

Download (412KB)
Indexing metadata
5. Figure 4. General functional model of the developed method

Download (249KB)
Indexing metadata
6. Figure 5. Screen form for displaying the results of the expert group survey

Download (793KB)
Indexing metadata

Copyright (c) 2024 Rychkova A.A., Dolgushev N.A., Burkova E.V., Konnov A.L.

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies