Models and algorithms for identifying current threats based on an expert approach

Anastasia A. Rychkova; Рычкова Анастасия Александровна; Nikita A. Dolgushev; Долгушев Никита Александрович; Elena V. Burkova; Бурькова Елена Владимировна; Andrey L. Konnov; Коннов Андрей Леонидович

doi:10.18469/ikt.2023.21.3.05

Модели и алгоритмы определения актуальных угроз на основе экспертного подхода

Авторы: Рычкова А.А.¹, Долгушев Н.А.¹^,2, Бурькова Е.В.¹, Коннов А.Л.¹^,3
Учреждения:
1. Оренбургский государственный университет
2. Оренбургский филиал ООО «Уральский центр систем безопасности»
3. Оренбургский филиал Поволжского государственного университета телекоммуникаций и информатики
Выпуск: Том 21, № 3 (2023)
Страницы: 27-35
Раздел: Технологии компьютерных систем и сетей
URL: https://journals.eco-vector.com/2073-3909/article/view/633721
DOI: https://doi.org/10.18469/ikt.2023.21.3.05
ID: 633721

Цитировать

Полный текст

Аннотация
Полный текст
Об авторах
Список литературы
Дополнительные файлы
Статистика

Аннотация

Задача определения актуальных угроз безопасности приобретает все большее значение, что обусловлено ростом объемов обрабатываемой информации ограниченного доступа, увеличением количества всевозможных угроз, повышением потенциала нарушителей. На предприятиях и в организациях разных сфер экономики специалисты регулярно проводят аудит информационной безопасности с целью выявления уязвимостей и в конечном итоге для предотвращения возможных негативных последствий. Для построения рациональной системы безопасности информации на объекте важно организовать защиту именно от актуальных угроз, так как от всех угроз построить защиту невозможно, да и нецелесообразно. В статье предложены модели и алгоритмы определения актуальных угроз на основе экспертного подхода, которые могут стать базисом для разработки автоматизированной системы принятия достоверных решений в задачах защиты объектов информатизации.

Ключевые слова

угроза безопасности, метод анализа иерархий, иерархическая модель

Полный текст

Введение

Для определения актуальных угроз используют различные методы [2; 3; 7; 9], учитывают особенности для конкретных сфер деятельности [5], существуют также автоматизированные системы на основе программных продуктов [12]. Все эти методы основаны на положениях методики оценки угроз безопасности федеральной службы по техническому и экспортному контролю (ФСТЭК) России от 2021 года. Учитывается необходимость проведения основных этапов этого процесса: анализа защищаемых объектов, определения негативных последствий, характеристики нарушителя, составления сценариев реализации угроз.

Предлагаемые модели и алгоритмы

Модель угроз разрабатывается группой экспертов, у которых есть опыт в сфере информационной безопасности, есть доступ к аппаратным и программным средствам информационных систем предприятия, доступ к активам, для осуществления оценки как ценности защищаемых ресурсов, так и уровня защищенности их на данном объекте. Эксперт при разработке модели угроз основывается на объективных данных, таких как требования и положения нормативно-правовых документов ФСТЭК России, проведенном аудите инфраструктуры предприятия, сведении об актуальных уязвимостях в системном и прикладном программном обеспечении. В роли экспертов могут выступать сотрудники организации с соответствующей квалификацией в области информационной безопасности или сторонние специалисты. В первом случае эксперты хорошо знакомы с инфраструктурой предприятия, особенностями бизнес-процессов, реальной ситуацией, при этом могут проводить оценку субъективно. Сторонние специалисты, наоборот, при независимой оценке могут недостаточно учитывать специфику и особенности деятельности организации. Экспертный подход основан на сборе, анализе и ранжировании оценок экспертов. На рисунке 1 представлена классификация методов экспертного подхода.

Рисунок 1. Классификация методов экспертного подхода

Методы группового опроса экспертов. Метод Паттерн предполагает коллективную работу экспертов, обсуждение мнений, совещаний, проводимых в несколько раундов, на каждом этапе опросов экспертов не меняют. Для метода Делфи главной особенностью является независимость экспертов и отсутствие влияния на их оценку, при этом каждый раз привлекают новых экспертов. Результаты такой работы подвергаются обработке методами статистического анализа, и формируется конечная оценка.
Математико-статистические методы обработки экспертных оценок основаны на проведении корреляционной оценки, расчете дисперсии, различного рода распределений и подразделяются на: ранжирование, метод парных сравнений, метод последовательных предпочтений, метод непосредственной оценки и другие.
Методы экспертной оценки показателей качества основаны на определении весомости того или иного критерия качества продукции или услуги. Применение данных методов целесообразно, если показателями качества выбраны конкретные физические величины и в наличии присутствуют измерительные приборы с заданными метрологическими параметрами.

Для нашего исследования был выбран класс математико-статистических методов обработки экспертных оценок, конкретно метод анализа иерархий (МАИ).

На первом этапе решения задачи с применением МАИ следует задать критерии оценки угроз. На втором этапе эксперты должны определить степень значимости критериев попарным сравнениям по 9-балльной шкале. Преимущество этого метода заключается в предоставлении возможности учета различных факторов, несопоставимых друг с другом, для этого проводится сравнение каждого критерия с каждым [3; 5].

Нами была разработана иерархическая модель определения актуальных угроз с использованием МАИ (рисунок 2).

Рисунок 2. Иерархическая модель определения актуальных угроз

На первом уровне представлены этапы процесса оценки угроз безопасности в соответствии с Методикой оценки угроз безопасности информации ФСТЭК России от 5 февраля 2021 года: негативные последствия, которые могут привести к ущербу для предприятия, перечень угроз, перечень объектов воздействия этих угроз, среди которых автоматизированные рабочие места, серверное оборудование, сетевые, интерфейсные компоненты и другие.

На втором уровне необходимо выделить критерии, уровень значимости которых должны оценить эксперты.

Третий уровень включает непосредственные значения оценки критериев в процентном отношении.

Согласно Методике ФСТЭК для определения угроз, актуальных для данной организации, необходимо определить источник угроз по возможному нарушителю, провести инвентаризацию всех активов для понимания объектов воздействия, рассмотреть все возможные уязвимости, реальные атаки на компьютерные системы, доступные из различных открытых источников, оценить возможные риски (ущерб) для владельцев информационных активов [1; 4]. Угрозу безопасности информации (УБИ) составляют следующие компоненты:

УБИi = [нарушитель (источник угрозы), объект воздействия, способы реализации угрозы; негативные последствия].

Модель угроз разрабатывается, как правило, группой экспертов, мнения которых могут не совпадать. При коллективном оценивании достоверность принятых решений следует обеспечить согласованностью с исключением необъективных завышенных или заниженных прогнозов.

Для решения возможных проблем оценки согласованности мнений экспертов применение только метода анализа иерархий является недостаточным. Необходимо определить согласованность оценок экспертов для достижения наибольшей достоверности принятого решения. Субъективные психологические факторы могут исказить полученные в ходе оценки результаты. Чтобы оценить уровень согласованности экспертных оценок предлагается вычислить для ранжированных данных коэффициент конкордации. При переходе этого коэффициента за заданный предел формируется результат о неслучайной согласованности оценок группы экспертов.

На рисунке 3 представлены алгоритмы определения согласованности экспертных мнений, включающие обработку полученных экспертных оценок в виде матрицы рангов, расчет коэффициента конкордации и расчет статистической значимости.

Рисунок 3. Алгоритмы определения согласованности экспертных мнений

Приведенный выше алгоритм включает несколько ключевых этапов:

Формирование экспертной группы.
Определение показателей оценки и получение в соответствии с ними экспертного мнения.
Расчет математических показателей степени согласованности экспертного мнения.
Формирование результатов.

Первым этапом предлагаемого алгоритма является вопрос формирования экспертной группы. Этап требует четкой постановки задач в зависимости от рассматриваемого объекта защиты. Эксперты должны обладать достаточными компетенциями в различных аспектах информационной безопасности с учетом применяемых на объекте технических решений. Критерии отбора должны учитывать профессиональные квалификации и опыт.

Определение показателей оценки служит ключевым этапом в формировании мнения об актуальности угроз информационной безопасности [10]. На данном этапе должны быть выделены наиболее значимые характеристики субъекта оценки, совокупность которых будет являться основой для выработки стратегий защиты. Для предложенного алгоритма мнение экспертов выражается в количественной оценке, что позволяет провести обработку полученной информации с помощью математического метода.

На третьем этапе объективную оценку результата обеспечивает расчет коэффициента конкордации. Выбор граничного значения коэффициента напрямую влияет на результаты проведения опроса – значение коэффициента прямо пропорционально степени согласованности экспертного мнения. При расчете статистических показателей также важно выполнение проверки результатов на вероятность случайного возникновения. Гипотеза о случайности полученных результатов проверяется в соответствии со значением критерия Пирсона, пороговое значение которого зависит от количества экспертов в опрашиваемой группе [6].

Результатами проведения опроса экспертной группы является обобщенный перечень актуальных угроз для рассматриваемого объекта защиты, а также результат оценки согласованности экспертных мнений. Предлагаемый алгоритм позволяет не только выполнить оценку угроз по выбранным характеристикам, но и сформировать единое экспертное мнение с допустимой степенью согласованности, основанное на компетенциях специалистов разных направлений в области информационной безопасности.

В соответствии с разработанными алгоритмами было проведено моделирование определения степени согласованности экспертных оценок, реализация осуществляется в программном средстве.

В качестве примера рассматривается группа из 4 экспертов. Для вывода результатов оценки сформирована шкала ранжирования из 4 значений: очень низкий, низкий, средний и высокий уровни. Далее выполняется опрос экспертов по каждому из четырех критериев: уровень подготовки нарушителя, критичность отказа в работе компонентов, вероятность реализации угрозы, уровень негативных последствий. Для разработки программного средства был проведен анализ аналогичных разработок, определены особенности, выявлены достоинства и недостатки, определены требования к разработке авторского программного средства. Новый раздел банка угроз ФСТЭК позволяет в интерактивном режиме осуществить формирование угроз безопасности по актуальной Методике [4]. На пересечении множеств угроз безопасности, объектов (компонентов) воздействий и способов реализации (нарушители) формируется УБИ. При этом отсутствует возможность провести коллективную оценку и проверить согласованность и достоверность мнений экспертов. Для автоматизации данных решений создана функциональная модель процесса определения актуальных угроз на основе экспертного подхода, которая позволяет учесть поступающие на вход данные об объекте защиты получить результат наряду с перечнем актуальных УБИ, формировать отчет о согласованности экспертного мнения и дальнейшие рекомендации по корректировке действий экспертов [8]. Общая функциональная модель IDEF0 представлена на рисунке 4.

Рисунок 4. Общая функциональная модель разрабатываемого метода

Декомпозиция процесса определения актуальных угроз включает пять последовательных этапов, первые четыре из которых проходит каждый эксперт отдельно, что позволяет осуществить дистанционный сбор мнений и результаты опроса загрузить в разрабатываемую программную систему.

На первом шаге производится выбор перечня объектов воздействия угроз, на основе которого определяется вероятный нарушитель и перечень характерных для него угроз. Затем определяются способы реализации выявленных на предыдущем этапе угроз. После этого выявляются сценарии воздействия угроз на объекты информатизации для сопоставления угроз и объектов воздействий. Для полученного списка угроз каждый эксперт определяет негативные последствий по уровню ущерба для каждой угрозы. Составленные каждым экспертом по отдельности перечни векторов угроз являются входными данными для определения согласованности экспертного мнения.

Расчет коэффициента конкордации является заключительным этапом и позволяет определить согласованность мнений экспертов и уровень значимости для принятия объективного решения.

На экранной форме разработанного программного средства представлены результаты расчета коэффициента конкордации, значения которого превышают критическое значение (0,7) и результаты расчета уровня значимости (рисунок 5).

Рисунок 5. Экранная форма вывода результата опроса экспертной группы

Вывод

Были разработаны иерархическая модель определения актуальных угроз с использованием экспертного подхода, а также алгоритмы определения степени согласованности экспертных оценок в задаче определения актуальных угроз объекта информатизации, что позволило повысить эффективность построения рациональной системы безопасности информации именно от актуальных угроз, так как от всех угроз построить защиту невозможно, да и нецелесообразно. Предложенный подход позволяет уменьшить процент потенциально неучтенных угроз за счет использования классификации информационных активов и проверки согласованности экспертного мнения. На основе представленных моделей и алгоритмов разработано программное средство для автоматизированной оценки угроз информационной безопасности и определения согласованности полученных результатов.

Об авторах

Анастасия Александровна Рычкова

Оренбургский государственный университет

Автор, ответственный за переписку.
Email: rnansy@yandex.ru

к.п.н., доцент кафедры вычислительной техники и защиты информации (ВТиЗИ)

Россия, Оренбург

Никита Александрович Долгушев

Оренбургский государственный университет; Оренбургский филиал ООО «Уральский центр систем безопасности»

Email: dolgushevn1@yandex.ru

студент кафедры ВТиЗИ ОГУ; системный инженер Оренбургского филиала ООО «Уральский центр систем безопасности»

Россия, Оренбург; Оренбург

Елена Владимировна Бурькова

Оренбургский государственный университет

Email: tulpan63@bk.ru

к.п.н., доцент, доцент кафедры ВТиЗИ

Россия, Оренбург

Андрей Леонидович Коннов

Оренбургский государственный университет; Оренбургский филиал Поволжского государственного университета телекоммуникаций и информатики

Email: andrey_konnov@mail.ru

к.т.н., доцент, доцент кафедры ВТиЗИ ОГУ. доцент кафедры математических и естественно-научных дисциплин Оренбургского филиала Поволжского государственного университета телекоммуникаций и информатики.

Россия, Оренбург; Оренбург

Список литературы

Банк данных угроз безопасности информации. Федеральная служба по техническому и экспортному контролю. URL: https://bdu.fstec.ru/threat (дата обращения: 17.01.2024).
Дивина Т.В., Петракова Е.А., Вишневский М.С. Основные методы анализа экспертных оценок. Экономика и бизнес: теория и практика. 2019. №7. С. 42–44.
Бурькова Е.В., Рычкова А.А. Методика принятия решений при выборе средств физической защиты на основе метода анализа иерархий // Научно-технический вестник Поволжья. 2021. № 5. С. 119–123.
Методика оценки угроз безопасности информации: методический документ. Москва: ФСТЭК. URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g (дата обращения: 17.01.2024).
Рычкова А.А., Клиндух В.О. Оценка эффективности защитных мер персональных данных в учебном заведении на основе метода анализа иерархий // Новые импульсы развития: вопросы научных исследований. 2021. С. 58–66.
Письменская А.А., Гостюнин Ю.А., Давидюк Н.В. Согласованность мнений экспертов при оценке рисков информационной безопасности с применением АВС-анализа // Математические методы в технике и технологиях (ММТТ). 2020. № 7. С. 55–57.
Смирнов Р.А., Новиков С.Н. Анализ методик оценки угроз безопасности информации // Телекоммуникации. 2023. № 7. С. 24–27.
Степанов В.А., Андреев Н.Д. Моделирование угроз безопасности информации по новой методике ФСТЭК, используя средства автоматизации // Информационные технологии. Проблемы и решения. 2021. № 4 (17). С. 95–101.
Филиппов Н.В., Киреева Н.В., Поздняк И.С. Подход к созданию экспертной системы оценки информационной безопасности телекоммуникационных систем // Электросвязь. 2022. № 2. С. 61–66.
Kotenko I., Parashchuk I. Analysis of threats to information security of industrial automation systems using euclidean and hamming distances between fuzzy sets // Conference Proceedings: International Russian Automation Conference (RusAutoCon). 2023. P. 13–18.