Формат данных включает в себя: количество и описания всех узлов в системе, количества, описания и текущие состояния настроек каждого узла; а также количество инцидентов, количества затронутых систем и их перечисление для каждого инцидента.

Во-вторых, был написан скрипт на языке программирования Python (версии 3.6), реализующий предобработку данных и содержащий функции для расчёта вероятности возникновения инцидентов, функции для расчёта основных параметров вероятностных моделей, функции с расчётом ограничений данных в рамках модели и функции для расчёта ограничений по затратам.

На основе хранимой модели были проведены тесты по численной оптимизации модели с ограничениями (имеются в виду вычислительные методы в противоположность аналитическим) методом линейного приближения COBYLA (Constrained Optimization BY Linear Approximation) с помощью соответствующих модулей для среды программирования [8]. Использовались модули NymPy и SciPy [35] для численного анализа и Matplotlib для вывода графиков функций вероятностей. Используемый метод COBYLA отличается тем, что не требует знания производной целевой функции. Исходный код скрипта приведён в приложении 1 с краткими комментариями по сути работы функций и используемых переменных.

В-третьих, были сформированы входные данные. В качестве исходного набора данных (см. приложение 3) была задана информация о 4-х устройствах локальной сети (узлах) и некоторых их параметрах в качестве примера.

Для примера введена информация: о компьютере (с параметрами: глубина сканирования антивируса, минимальная длина пароля, наличие автоматических обновлений), сервере (с параметрами: количество открытых портов, таймаут ожидания ответа, максимальное количество пакетов данных в секунду и количество параллельно открытых соединений) и двух роутерах (с параметрами: минимальная длина пароля, максимальная скорость передачи данных, максимальная рабочая температура), см. Таблицу 2.

Таблица 2 Таблица входных данных модели

Узел	Параметр	Текущее значение	Значение от	Значение до	Вес вклада	Вклад от	Вклад до
Роутер 1	Минимальная длина пароля	6	4	8	3	0,6	0,8
	Максимальная скорость передачи данных	3	1	10	1	0,3	0,4
	Максимальная рабочая температура	45	40	60	2	0,8	0,9
Роутер 2	Минимальная длина пароля	6	4	8	3	0,6	0,8
	Максимальная скорость передачи данных	15	10	100	1	0,3	0,4
	Максимальная рабочая температура	45	40	60	2	0,8	0,9
Сервер	Количество открытых портов	300	100	1000	2	0,2	0,4
	Таймаут ожидания ответа	1900	500	2000	1	0,3	0,6
	Максимальное количество пакетов данных в секунду	40	10	50	2	0,6	0,9
	Количество параллельно открытых соединений	43	3	50	2,5	0,1	0,4
Компьютер	Глубина сканирования антивируса	2	1	3	3	0,05	0,3
	Минимальная длина пароля	6	4	8	2	0,6	0,8
	Наличие автоматических обновлений	0	0	1	2	0,1	0,4

Также были заданы последующие изменения конфигурации в виде отказа работы части устройств:

1. Роутер 2,

2. Сервер,

3. Роутер 2 и сервер,

4. Роутер 2 и компьютер.

В-четвертых, с помощью скрипта была смоделирована заданная ситуация и проведены тесты. В результате работы скрипта были получены результаты (см. приложение 4), позволяющие сделать вывод о необходимости корректировки определённых параметров в системах при изменении конфигурации.

В-пятых, были выведены графики, иллюстрирующие прогноз повышения вероятности возникновения инцидента с течением времени (см. приложение 5) в зависимости от набора настроек. Для наглядности приведено сравнение вероятностей возникновения инцидентов для текущего и предлагаемого набора с соответствующей вероятностью для ситуации отсутствия инцидентов.

Надо отметить, что для ситуаций 1-3 оптимальная точка была найдена; для ситуации 4 заданные ограничения по затратам не позволили получить даже минимальный уровень эффективности.



2.4 Полученные практические результаты

В результате практической работы было создано рабочее приложение для анализа моделей информационных комплексов с точки зрения информационной безопасности. Сделан вывод о возможности реализации системы автоматической настройки параметров защиты сети.

Также было сделано несколько наблюдений:

· Возможна реализация простых моделей с помощью языков программирования и численными методами оптимизации (нахождения оптимума функции) с помощью открытых библиотек;

· В целом обработка информации, связанной с поиском инцидентов информационной безопасности, требует глубокого анализа;

· Тестирование модели в созданной системе показало корректные результаты, однако необходимо более глубокое изучение поведения модели для удостоверения в оптимальности рекомендуемых параметров;

· Необходимо отметить и проблемы, которые могут возникнуть. В первую очередь, затруднения могут вызвать первоначальные подсчёты вероятностей для компонентов и определение функций эффективности. При небольшом количестве параметров это не должно занимать много времени, но если параметров более десятка, то изначальная настройка и балансировка потребует времени. Кроме того, проблемой будет и обработка имеющихся статистических данных по связям инцидентов и настроек систем из-за большой неоднородности, поэтому подобные системы автоматизации необходимо внедрять постепенно.

В целом поставленные задачи по составлению математической модели, написанию алгоритмов выполнены. Было решено не тестировать с помощью более громоздких моделей с большим числом параметров из-за сложностей с проверкой и интерпретацией результатов, поэтому тестирование не является всеобъемлющим. Нагрузочные тестирования для оценки возможностей системы по памяти и скорости не проводились.

ГЛАВА 3. ПРИМЕНИМОСТЬ НА ПРАКТИКЕ

3.1О выполнении аналитической части

В рамках предыдущих глав были получены теоретические анализы текущих средств анализа информационной безопасности и предложена программная реализация моделей с возможностью построения прогнозов по возникновению инцидентов ИБ в системах.

На основе обзорного анализа имеется представление о том, что текущие средства обеспечения информационной безопасности сильно завязаны на человеческом факторе. При этом сбор информации об инцидентах ИБ, агрегация и анализ производится вручную, после чего составляются рекомендации, требования, различные регламенты, внутренние политики и правила по обеспечению ИБ. Существует заметный временной зазор между непосредственным обнаружением инцидента и принятием решений по перенастройке каждой системы в соответствии с изменившимся окружением. Это происходит даже в случае, если мероприятия по непосредственному отлову и исправлению всех последствий наступления инцидента для организации в процессе выполнения (например, в случае фишинговой спам-рассылки администраторы безопасности могут отозвать сообщение и провести действия по нейтрализации последствий сработанных вложений).

В главе ниже будут описаны как юридические тонкости, так и особенности применения средств автоматизации при анализе инцидентов информационной безопасности в целом. В рамках аналитической главы исследования будет рассматриваться возможность применения инструментов, реализация которых была продемонстрирована во второй главе, в рамках комплексов обеспечения безопасности, упоминавшихся в первой главе диссертации.

В результате будет возможно оценить, насколько действительно необходимо применять средства автоматизации и численные методы анализа в рамках SIEM-систем, и реализуемо ли это в правовом поле.

3.2 Перечень задач

Были поставлены следующие задачи:

· Изучить юридическое регулирование на предмет возможных тонкостей в легитимизации вопроса автоматизации анализа инцидентов безопасности;

· Проанализировать возможность использования инструментов поддержки принятия решений по информационной безопасности в рамках существующих систем, проверить целесообразность с экономической точки зрения;

· Изучить, насколько методика может быть востребована на практике.

Для выполнения задач необходимо убедиться, что полученные инструменты действительно позволяют изменить ситуацию с информационной безопасностью ИТ-инфраструктуры и оценить возможности применения подобных инструментов поддержки принятия решений.

На текущий день в России деятельность по разработке и производству средств защиты конфиденциальной информации и деятельность по непосредственной технической защите конфиденциальной информации регулируется ФСТЭК России соответствующими административными регламентами [11, 12].

Отметим также, что требованиями ФСТЭК регулируются такие аспекты обеспечения информационной безопасности, как управление угрозами, управление событиями, управление инцидентами, моделирования исполнения принимаемых данных в тестовой виртуальной среде (так называемая «песочница»).

Подробнее про перечисленные аспекты:

Управление угрозами - анализ актуальных текущих угроз информационной безопасности, соответствующих защищаемым объектам. Это могут быть как внешние угрозы нарушения защищённости данных, так и внутренние угрозы от человеческой ошибки до злонамеренных действий, также это могут быть чрезвычайные ситуации, которые могут повлиять на целостность и доступность информации.

Управление событиями - деятельность по учёту и анализу происходящих с системой событий, которые могут прямо или косвенно быть связанными с обеспечением защищённости систем. Управление событиями подразумевает, что собирается необходимый набор данных в рамках имеющихся возможностей (конечно, в рамках данной работы не рассматривается вопрос об экономической эффективности и целесообразности сбора определённых данных, но следует помнить, что этот вопрос может также оказать влияние на методы управления инцидентами в режиме реального времени).

Управление инцидентами - деятельность по учёту возникающих инцидентов информационной безопасности, анализу причин возникновения, начальной подготовке рекомендаций по изменению параметров систем защиты для повышения эффективности, анализу последствий инцидентов и их взаимосвязей.

Моделирование исполнения принимаемых данных в тестовой виртуальной среде («песочнице») - это процедуры по запуску, к примеру, вложений из электронной почты и входящих загрузок из Интернета, принимаемых на внешних носителях файлов на фактически тестовых стендах с копиями рабочих систем.

Отметим, что деятельность по обеспечению средствами информационной безопасности должна осуществляться в соответствии с требованиями ФСТЭК, ФСБ и других контролирующих органов, при этом соответствовать принятым международным стандартам в области обеспечения информационной безопасности.

3.3 Правовые вопросы

Необходимо затронуть юридическую сторону вопроса реализации автоматизированных средств защиты.

Информационные коммуникации, задействованные в работе средств защиты, должны быть обеспечены шифрующими средствами, и эти средства должны быть сертифицированы регулирующим органом.

Отдельно отметим, что система поддержки принятия решений в области информационной безопасности в любом случае будет входить в класс SIEM, то есть систем управления событиями и инцидентами безопасности. Это важно, поскольку регулирование подобных систем более подробное и жесткое, чем регулирование обычных систем поддержки принятия решений, используемых бизнесом для решения текущих задач планирования деятельности.

Таким образом, рассматриваемые системы поддержки принятия решений относятся к п. 26 «Средства управления инцидентами информационной безопасности» (и частично к п. 25 «Средства управления событиями безопасности информации», Таблица 3) перечня средств контроля защищённости ФСТЭК для работ по технической защите информации [37].

Таблица 3 Выдержка из перечня контроля средств защищённости

№	Наименование	Технические и (или) функциональные характеристики
22.	Средства (системы) контроля (анализа) защищенности информационных систем	Автоматизированная инвентаризация ресурсов информационных систем (сбор информации об узлах информационных систем и об используемом в них программном обеспечении), выявление уязвимостей (кода, конфигурации и архитектуры) в них, анализ и управление выявленными уязвимостями с учетом угроз. Должны иметь сертификаты соответствия ФСТЭК России
23.	Замкнутые среды предварительного выполнения программ («песочницы»)	Среды безопасного выполнения программ в целях анализа их влияния на безопасность информации. Должны иметь формуляры, оформленные разработчиками (производителями) данных сред. В случае невозможности оформления формуляров разработчиками (производителями) данных сред (свободнораспространяемое программное обеспечение) формуляры оформляются лицензиатами (соискателями лицензии)
24.	Средства управления информацией об угрозах безопасности информации	Автоматизированный сбор и анализ информации, поступающей из различных источников, об угрозах безопасности информации. Должны иметь формуляры, оформленные разработчиками (производителями) данных средств. В случае невозможности оформления формуляров разработчиками (производителями) данных средств (свободнораспространяемое программное обеспечение) формуляры оформляются лицензиатами (соискателями лицензии)
25.	Средства управления событиями безопасности информации	Автоматизированный сбор, анализ и корреляция данных о событиях безопасности информации, регистрируемых компонентами информационных систем, идентификация по заданным индикаторам типовых инцидентов информационной безопасности и их локализация. Должны иметь сертификаты соответствия ФСТЭК России
26.	Средства управления инцидентами информационной безопасности	Автоматизированная регистрация информации об инцидентах информационной безопасности информационных систем, предоставление рекомендаций по реагированию на них, формирование и модификация шаблонов инцидентов информационной безопасности, в том числе рекомендаций по реагированию на них. Должны иметь формуляры, оформленные разработчиками (производителями) данных средств. В случае невозможности оформления формуляров разработчиками (производителями) данных средств (свободнораспространяемое программное обеспечение) формуляры оформляются лицензиатами (соискателями лицензии)
27.	Средства защиты каналов передачи данных	Должны обеспечивать конфиденциальность и целостность данных, передаваемых по каналам связи между информационной системой, используемой для управления информационной безопасностью, и информационными системами, в отношении которых осуществляется мониторинг. Должны иметь сертификаты соответствия ФСБ России
28.	Системы защиты информации информационных систем, используемых для мониторинга информационной безопасности	Системы защиты информации информационных систем, используемых для оказания услуг по мониторингу информационной безопасности информационных систем, должны соответствовать Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. № 17, применительно к первому классу защищенности государственных информационных систем

Также отметим регулирование деятельности по разработке средств защиты положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации ФСТЭК [36]. Системы поддержки принятия решений по безопасности могут быть частью программных (программно-технических) средств контроля защищенности информации.

Необходимо принять в внимание, что по информационной безопасности в России в целом существует множество регулирующих законодательных актов [29]. Управление информационной безопасностью в части мониторинга регулируется стандартами [19-25]:

· ISO 27002 «Информационная технология - Технологии безопасности - Практические правила менеджмента информационной безопасности»,

· ISO 27003 «Информационная технология - Методы и средства обеспечения безопасности - Системы менеджмента информационной безопасности»,

· ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология - Методы и средства обеспечения безопасности - Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»,

· ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология - Практические правила управления информационной безопасностью»,

· ГОСТ Р ИСО/МЭК 18044-2007 «Информационная технология - Методы и средства обеспечения безопасности - Менеджмент инцидентов информационной безопасности».

· ISO 27005-2010 «Информационная технология - Методы и средства обеспечения безопасности - Менеджмент риска информационной безопасности»,

· ISO 27007-2014 «Информационная технология - Методы и средства обеспечения безопасности - Руководства по аудиту систем менеджмента информационной безопасности»

Дополнительно многие аспекты регулируются иными органами, например, в области финансовых организаций требования дополнительно устанавливаются Банком России. Например, требования содержатся в требованиях к защите информации при осуществлении денежных переводов [39], положении о внутреннем учёте участников рынка ценных бумаг [40], группе стандартов о непрерывном обеспечении информационной безопасности банковской системы [27], стандартах безопасности платежей по картам от Visa и MasterCard [26] и вспомогательных положениях [38, 42].

Согласно Постановлению Правительства РФ от 3 февраля 2012 г. N 79 «О лицензировании деятельности по технической защите конфиденциальной информации», изменения в котором Постановлением Правительства РФ от 15.06.2016 N 541 вступили в силу с июня 2017 года [41], услуги по мониторингу информационной безопасности средств и систем информатизации являются лицензируемым видом деятельности, лицензия выдаётся ФСТЭК России.

Остаётся открытым вопрос о распределении ответственности в случаях, когда критическое с точки зрения безопасности решение принимается автоматически. Такие ситуации, несомненно, возможны. И в случаях, когда подобные решения приводят к возникновению угроз для системы или даже приводит к убытком, остро встанет вопрос: виновен ли в этом разработчик системы, внедряющая организация (либо подразделение) или эксплуатирующая организация (либо непосредственно ответственное за использование системы защиты подразделение). Если некорректное поведение системы обнаружено и при этом настройки ограничиваются выставлением параметров в системе, то зона ответственности обычно четко определена и находится между внедряющей и эксплуатирующей стороной, но если проблема на стороне производителя - то последний понесёт свою часть ответственности (например, репутационные потери вследствие поставки ПО, не соответствующего принятым требованиям по обеспечению защиты).

3.4 Анализ применимости автоматизации

Поскольку системы поддержки принятия решений по информационной безопасности лежат в области регулирования систем менеджмента событий и инцидентов ИБ, необходимо убедиться, что применение автоматизации поможет в решении актуальных проблем.

Изучение методов нахождения оптимумов функции позволяют сделать следующие наблюдения:

· Численные методы работают достаточно быстро на современных компьютерах, поэтому затраты на вычислительные мощности, вероятно, будут не больше, чем затраты на аналитические методы с привлечением дополнительных специалистов и использованием дополнительных мощностей;

· Возможность автоматической настройки параметров безопасности систем в режиме реального времени позволяет снизить расходы в долгосрочной перспективе, поскольку неоптимальный уровень настроек в периоде с момента наступления инцидента до его закрытия или изменения настроек вручную невыгоден с точки зрения затрат;

· Обработка информации, связанной с инцидентами информационной безопасности, позволяет при необходимости дополнять иные методы анализа защищённости средствами быстрого функционального моделирования.

Таким образом, средства автоматизации обработки информации, связанной с поиском инцидентов ИБ, действительно позволяют сэкономить на иных средствах обеспечения безопасности и на отсутствии потерь за счёт неэффективной работы средств защиты в периоды после сбоев.

информационный безопасность автоматизация

3.5 Выводы по применимости автоматизации

Были сделаны следующие выводы. Автоматизация процессов управления информационной безопасностью возможна, если реализовывать её в виде систем поддержки принятия решений, ориентированных на помощь специалистам в принятии решений. Следует отметить, что под наблюдением специалиста СППР должна иметь возможность автоматически разрешать инциденты или менять уровень настроек систем безопасности.

В рамках правового поля стоит отметить, что системы автоматизации в области управления инцидентами информационной безопасности будут входить в SIEM-системы и регулироваться ФСТЭК России. При этом как и деятельность по мониторингу и сбору информации, так и деятельность по разработке и реализации средств мониторинга лицензируется ФСТЭК, что требует соблюдения жёстких рамок при реализации подобных приложений. В целом разворачивание полноценной СППР является задачей, сопоставимой с созданием полноценного центра безопасности (SOC).

Численные методы анализа и нахождения экстремумов достаточно быстры, и вместе с возможностью автоматической настройки параметров безопасности в режиме реального времени они позволяют снизить расходы за счёт оптимизации настроек в периоде с момента наступления сбоя до его устранения.

В рамках COBIT также предполагается, что менеджмент информационных технологий должен использовать управление информационной безопасностью для повышения эффективности ИТ-процессов организации. Таким образом, автоматизация обработки информации об инцидентах хорошо вписывается в комплекс мероприятий по качественному обеспечению ИТ-процессов фирмы с точки зрения экономической целесообразности.



ЗАКЛЮЧЕНИЕ

В работе были проведены: обзор текущих средств обеспечения защиты информации, исследование предпосылок для автоматизации обработки информации, связанной с поиском инцидентов информационной безопасности, проверка технической реализуемости средств поддержки принятия решений в виде функциональной модели информационных систем и инцидентов ИБ в них с вычислительным нахождением оптимума, анализ юридических и иных особенностей при создании подобных инструментов на практике в России.

Основные задачи работы были решены. В рамках поставленных задач были сделаны нижеследующие выводы.

В проанализированных компаниях реализованы базовые методы и средства защиты, которые обеспечивают основу их информационной безопасности. Однако средства мониторинга и управления инцидентами применяются в крупных компаниях лишь в рамках регламентированных процедур мониторинга событий с ручным анализом и вводом изменений в настройки ИБ. Автор пришёл к выводу, что наряду с мониторингом событий информационной безопасности в компаниях должны использовать механизмы автоматической обработки информации об инцидентах ИБ, включая выдачу аналитики по ним, и автоматизировать процессы управления ИБ в дальнейшем.

Как было продемонстрировано, автоматический поиск и предсказание возникновения инцидентов возможно проводить специализированными средствами, в том числе и основанными на численных методах оптимизации, показывающими приемлемый уровень производительности. В рамках практической реализации приложения для функционального моделирования ИТ-инфраструктуры с точки зрения ИБ, было создано приложение на языке Python. С помощью разработанного средства на примере модели связанных локальной сетью систем были успешно проведены тесты по имитации инцидентов с автоматической выдачей рекомендаций по изменению настроек информационной безопасности (оптимизация вектора настроек с учётом ограниченных затрат) и прогнозов по уровням защищённости в разных точках. Автором были сделаны выводы о доступности и эффективности средств анализа и проектирования, которые можно использовать для процессов автоматической настройки уровня ИБ. Подобные средства, к сожалению, пока не нашли применения в бизнесе из-за сложностей с первоначальной наладкой и занесением вероятностных показателей.

Мониторинг событий при внедрении средств автоматизации поиска инцидентов ИБ оптимально проводить в рамках SIEM-систем (Security information and event management). SIEM-система представляет из себя объединение сфер управления информационной безопасностью и управления событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий безопасности, исходящих от имеющихся сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для логирования данных и генерации отчетов. Выходные отчеты SIEM-систем возможно использовать как исходные данные для систем по автоматической настройке уровня защищенности. Все эти системы в идеальном случае должны функционировать в рамках единой SOC.

Решения по автоматической настройке защищенности следует запускать в рамках комплексного внедрения SOC (Security operations center), который должен состоять из ситуационного центра ИБ, включающего центр мониторинга инцидентов ИБ. Внедрение SOC должно охватывать все сферы, в том числе подготовку персонала, организацию процессов и наладку необходимых технических инструментов, периодические проверки всех процессов.

При этом необходимо отметить, что работа SOC систем должна быть максимально, насколько это возможно, автоматизирована, чтобы решения принимались по заданным алгоритмам с минимальным задействованием человека в рамках процесса. Это позволит действительно минимизировать траты на простой сервисов с некорректными настройками безопасности в случае наступления хаоса после очередного инцидента.

Внедрение SOC должно происходить с соблюдением всех требований стандартов и законов. Основным регулятором для систем мониторинга является ФСТЭК, который выдаёт соответствующие лицензии.

Данная работа имеет ограниченную область исследования и не претендует на всеобъемлемость. В частности, в работе не изучены досконально все типы систем защиты и применяемые в организациях системы авторизации, выборка состоит только из крупных организаций. Разработанное приложение не тестировалось в «полевых» условиях, поэтому может рассматриваться лишь как ознакомительная реализация средства моделирования с тестовыми данными.

Автоматизированный мониторинг событий информационной безопасности предоставляет много возможностей как для создания новых подходов к реализации ИБ, так и для улучшения существующих процессов. В целом, мониторинг событий и инцидентов ИБ является связующим звеном между современными средствами защиты информации и инструментами управления информационной безопасностью.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1) Cisco Global Cloud Index: Forecast and Methodology, 2016-2021 [Электронный ресурс]. URL: https://www.cisco.com/c/en/us/solutions/collateral/service-provider/global-cloud-index-gci/white-paper-c11-738085.html

2) Clark, Jeffrey. The Priсe of Data Сenter Availability - How muсh availability do you need? // The Data Сenter Journal, 2011

3) Computer Security Incident Handling Guide (NIST SP 800-61) [Электронный ресурс]. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

4) Gartner 2017 Magic Quadrant for SIEM [Электронный ресурс]. URL: https://www.gartner.com/reviews/market/security-information-event-management

5) Infowatch. Решение для защиты от внутренних угроз и неправомерных действий сотрудников [Электронный ресурс]. URL: https://www.infowatch.ru/products/traffic_monitor

6) Kaspersky Security Bulletin: Kaspersky lab threat predictions for 2018 [Электронный ресурс]. URL: https://securelist.com/ksb-threat-predictions-for-2018/83169/

7) Open Web Application Security Project Top 10 [Электронный ресурс]. URL: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

8) Powell, M J D. A direct search optimization method that models the objective and constraint functions by linear interpolation // Advances in Optimization and Numerical Analysis, eds. S. Gomez and J-P Hennart, Kluwer Academic (Dordrecht), 1994, стр. 51-67

9) Schneier B. Attack Trees [Электронный ресурс]. URL: http://www.schneier.com/paper-attacktrees-ddj-ft.html

10) А.Ю. Щеглов. Выбор СЗИ от НСД [Электронный ресурс]. URL: http://ais.khstu.ru/Electr_Books/books/zashita_informacii.pdf

11) Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации [Электронный ресурс]. URL: https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/123-prikazy

12) Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации [Электронный ресурс]. URL: https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/123-prikazy

13) Баранова Е.К., Бабаш А.В. Информационная безопасность и защита информации. // М.: РИОР: ИНФРА-М, 2015

14) Баранова Е.К., Бабаш А.В. Практикум по моделированию системы защиты информации. Учебное пособие, М: РИОР, 2014

15) Гатчин Ю.А., Климова Е.В. Введение в комплексную защиту объектов информатизации: учебное пособие. - СПб: НИУ ИТМО, 2011. - 112 с

16) Гатчин Ю.А., Климова Е.В. Введение в комплексную защиту объектов информатизации: учебное пособие. - СПб: НИУ ИТМО, 2011. - 112 с

17) Герасименко В. А. Защита информации в автоматизированных системах обработки данных: развитие, итоги, перспективы // Зарубежная радиоэлектроника, 2003, № 3

18) Герасименко В. А. Защита информации в автоматизированных системах обработки данных: развитие, итоги, перспективы // Зарубежная радиоэлектроника, 2003, № 3

19) ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология - Методы и средства обеспечения безопасности - Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» [Электронный ресурс]. URL: http://docs.cntd.ru/document/1200048398

20) ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология - Практические правила управления информационной безопасностью» [Электронный ресурс]. URL: http://docs.cntd.ru/document/1200044724

21) ГОСТ Р ИСО/МЭК 18044-2007 «Информационная технология - Методы и средства обеспечения безопасности - Менеджмент инцидентов информационной безопасности» [Электронный ресурс]. URL: http://docs.cntd.ru/document/1200068822

22) ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология - Технологии безопасности - Практические правила менеджмента информационной безопасности» [Электронный ресурс]. URL: http://docs.cntd.ru/document/1200103619

23) ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология - Методы и средства обеспечения безопасности - Системы менеджмента информационной безопасности» [Электронный ресурс]. URL: http://docs.cntd.ru/document/1200103165

24) ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология - Методы и средства обеспечения безопасности - Менеджмент риска информационной безопасности» [Электронный ресурс]. URL: http://docs.cntd.ru/document/1200084141

25) ГОСТ Р ИСО/МЭК 27007-2014 «Информационная технология - Методы и средства обеспечения безопасности - Руководства по аудиту систем менеджмента информационной безопасности» [Электронный ресурс]. URL: http://docs.cntd.ru/document/1200112881

26) Группа стандартов безопасности данных индустрии платежных карт (от Visa и MasterCard) - PCI DSS [Электронный ресурс]. URL: https://www.pcisecuritystandards.org/

27) Группа стандартов ЦБ о непрерывном обеспечении ИБ банковской системы (СТО БР ИББС) [Электронный ресурс]. URL: http://www.cbr.ru/credit/gubzi_docs/

28) Д. А. Полянский. Оценка защищенности: учеб. пособие; Вла-дим. гос. ун-т. - Владимир : Изд-во Владим. гос. ун-та, 2005. - 80 с

29) Законодательство в сфере обработки персональных данных, раздел на портале Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций [Электронный ресурс]. URL: http://pd.rkn.gov.ru/law/

30) ИБ. НПА. Новые требования к лицензиатам ФСТЭК - мониторинг [Электронный ресурс]. URL: https://www.securitylab.ru/blog/personal/sborisov/339732.php

31) Казимир В. В., Серая А. А. Метод построения моделей информационных атак // ММС. 2010. №4 [Электронный ресурс]. URL: https://cyberleninka.ru/article/n/metod-postroeniya-modeley-informatsionnyh-atak

32) Курилов Ф. М. Моделирование систем защиты информации. Приложение теории графов [Текст] // Технические науки: теория и практика: материалы III Междунар. науч. конф. (г. Чита, апрель 2016 г.). - Чита: Издательство Молодой ученый, 2016. - С. 6-9

33) Курилов Ф. М. Моделирование систем защиты информации. Приложение теории графов [Текст] // Технические науки: теория и практика: материалы III Междунар. науч. конф. (г. Чита, апрель 2016 г.). - Чита: Издательство Молодой ученый, 2016. - С. 6-9

34) Мазуров В.А. Уголовно-правовые аспекты информационной безопасности. - Барнаул: Издательство Алтайского Университета, 2004. - С. 92. - 288 с

35) Официальная документация модулей NymPy и SciPy [Электронный ресурс]. URL: https://docs.scipy.org/doc/scipy/reference/index.html

36) Перечень контрольно-измерительного и испытательного оборудования, программных (программно-технических) средств, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 марта 2012 г. N 171 [Электронный ресурс]. URL: https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/1383-perechen-utverzhden-direktorom-fstek-rossii-29-avgusta-2017-g

37) Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации [Электронный ресурс]. URL: https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/438-perechen-utverzhden-direktorom-fstek-rossii-3-aprelya-2012-g

38) Положение Банка России № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» [Электронный ресурс]. URL: http://base.garant.ru/584330/

39) Положение Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» [Электронный ресурс]. URL: https://minjust.consultant.ru/documents/2545

40) Положение Банка России от 31 января 2017 г. № 577-П «О правилах ведения внутреннего учета профессиональными участниками рынка ценных бумаг, осуществляющими брокерскую деятельность, дилерскую деятельность и деятельность по управлению ценными бумагами» [Электронный ресурс]. URL: http://www.cbr.ru/statichtml/file/14065/577-p.pdf

41) Постановление Правительства Российской Федерации от 3 февраля 2012 г. N 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (в ред. Постановления Правительства РФ от 15.06.2016 N 541, вступает в силу с июня 2017) [Электронный ресурс]. URL: https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/75-postanovleniya/225-postanovlenie-pravitelstva-rossijskoj-federatsii-ot-3-fevralya-2012-g-n-79

42) Федеральный закон от 27.06.2011 N 161-ФЗ «О национальной платежной системе» [Электронный ресурс]. URL: http://www.consultant.ru/document/cons_doc_LAW_115625/



ПРИЛОЖЕНИЯ

Приложение 1. Исходные коды

Ниже приведён исходный код практической части (реализация на Python версии 3.6.4 под Windows).

Также использованы модули NymPy и SciPy для численного анализа и модуль Matplotlib для вывода графиков.

Исходный код:

import sys

import os

import math

import functools

import numpy

import scipy.optimize

import matplotlib.pyplot

if input()!='=SYSTEMS=':

print('=SYSTEMS= part not found!')

sys.exit()

global systems_list

systems_names = []

systems_list = []

sys_count = list(map(int, input().split(' ')))[0]

# считываем данные по системам

for i in range(sys_count):

sys_name = list(map(str, input().split(' ')))[0]

systems_names.append(sys_name)

# считываем данные по параметрам в системах

sys_param_count = list(map(int, input().split(' ')))[0]

sys_params = []

for j in range(sys_param_count):

sys_param_cur = [i, list(map(str, input().split(' ')))[0]] + \

[list(map(float, input().split(' ')))[0]] + \

list(map(float, input().split(' ')))[0:2] + \

list(map(int, input().split(' ')))[0:2] + \

[list(map(int, input().split(' ')))[0]]

sys_params.append(sys_param_cur)

systems_list.append(sys_params)

# вывод входных данных для проверки

#print('Systems:', systems_names, 'Input data by systems:', systems_list)

# возвращаем вклад показателя по его реальному значению

def realvalue_to_param(x, par):

return (par[4]*(x-par[5]) + par[3]*(par[6]-x))/(par[6]-par[5])

# возвращаем реальное значение показателя по его вкладу

def param_to_realvalue(x, par):

return (par[6]*(x-par[3]) + par[5]*(par[4]-x))/(par[4]-par[3])

# функция для задания ограничения снизу

def c_min(a, b):

return a[b[0]]-b[1]

# функция для задания ограничения сверху

def c_max(a, b):

return b[1]-a[b[0]]

# функция для расчета полезности

def u_fun(args, pows):

pows_mult=functools.reduce(lambda x, y: x+y, pows)

pows_norm=list(map(lambda x: x/pows_mult, pows))

args_norm=list(map(lambda x: x*10000, args))

args_pow=list(map(lambda x: (x[0])**x[1], zip(args_norm, pows_norm)))

res=-functools.reduce(lambda x, y: x*y, args_pow)

return res

# функция для проверки соответствия полезности

def c_u_fun(args, pows_and_opt):

res=u_fun(args, pows_and_opt[0])

return res

# функция для проверки ограничений по затратам

def c_bo(args, opts_pows, opts_x0, opts_range):

vals=[opts_pows[i]*(opts_x0[i]-args[opts_range[0]+i])/opts_x0[i] \

for i in range(opts_range[1]-opts_range[0])]

res=functools.reduce(lambda x, y: x+y, vals)

return res

if input()!='=INCIDENTS=':

print('=INCIDENTS= part not found!')

sys.exit()

forecast_len = 10

inc_count = list(map(int, input().split(' ')))[0]

inc_cur = []

# функция для вычисления оптимального значения

def sci_calculate(inc_systems):

inc_constraints = []

start_x0 = []

u_powers = []

c_all_bo_args=[[],[],[]]

for sys_cur_ind in range(len(systems_list)):

if True:

c_bo_args=[[],[],[]]

min_index=len(start_x0)

# добавляем ограничения на параметры

for param_cur in systems_list[sys_cur_ind]:

# считаем вклад параметра

param_realvalue=realvalue_to_param(param_cur[7],param_cur)

# добавляем элементы в x0 (начальные вклады параметров)

if not inc_systems[sys_cur_ind]:

start_x0.append(param_realvalue)

else:

start_x0.append(param_cur[4]) # фиксируем значение на максимуме

# запоминаем степень (коэффициент полезности)

u_powers.append(param_cur[2])

# добавляем ограничение на параметр снизу

if not inc_systems[sys_cur_ind]:

inc_constraints.append({'type':'ineq', 'fun':c_min, \

'args':[[len(start_x0)-1, param_cur[3]]]})

else:

# фиксируем значение на максимуме, если инцидент в этой системе

inc_constraints.append({'type':'ineq', 'fun':c_min, \

'args':[[len(start_x0)-1, param_cur[4]]]})

# добавляем ограничение на параметр сверху

inc_constraints.append({'type':'ineq', 'fun':c_max, \

'args':[[len(start_x0)-1, param_cur[4]]]})

# добавляем степень (коэффициент полезности) в ограничение затрат

c_bo_args[0].append(param_cur[2])

# добавляем соответствующее значение вклада x0

c_bo_args[1].append(param_realvalue)

# плоскость ограничений по затратам!

max_index=len(start_x0)

c_all_bo_args[0].extend(c_bo_args[0])

c_all_bo_args[1].extend(c_bo_args[1])

c_all_bo_args[2]=[0,len(start_x0)]

inc_constraints.append({'type':'ineq', 'fun':c_bo, 'args':c_all_bo_args})

utility_req = u_fun(start_x0, u_powers)

# вызов оптимизации, используется встроенный метод 'COBYLA'

# (Constrained Optimization BY Linear Approximation)

sci_res = scipy.optimize.minimize(c_u_fun, start_x0, \

[u_powers, utility_req], method='COBYLA', constraints=inc_constraints)

return sci_res

# вывод результатов

def print_result(sci_res, inc_cur):

ind=0

for sys_cur_ind in range(len(systems_list)):

if not inc_cur[sys_cur_ind]:

print(' Parameters for ' + systems_names[sys_cur_ind] + ':')

# выводим параметры

for param_cur in systems_list[sys_cur_ind]:

if abs(sci_res.x[ind]-realvalue_to_param(param_cur[7], param_cur))<0.0001:

res_val_cur = param_cur[7]

else:

res_val_cur_tmp = param_to_realvalue(sci_res.x[ind], param_cur)

if param_cur[5]>param_cur[6]:

res_val_cur = math.ceil(res_val_cur_tmp)

if res_val_cur>param_cur[5]: res_val_cur=res_val_cur-1

else:

res_val_cur = math.floor(res_val_cur_tmp)

if res_val_cur<param_cur[5]: res_val_cur=res_val_cur+1

print(' ' + \

(('+' if res_val_cur>param_cur[7] else '-') \

if res_val_cur!=param_cur[7] else ' ') + \

str(param_cur[1]) + ' = ' + str(res_val_cur) + \

' (from interval [' + str(min(param_cur[5:7])) + \

', ' + str(max(param_cur[5:7])) + '], ' + \

'initial ' + str(param_cur[7]) + ').')

ind=ind+1

else:

print(' There was an incident on ' + systems_names[sys_cur_ind] + \

', parameters are unstable.')

ind=ind+len(systems_list[sys_cur_ind])

# функция расчёта вероятности

def p_eval(inc_cur, p, tm):

st = 1

ind=0

for sys_cur_ind in range(len(systems_list)):

if not inc_cur[sys_cur_ind]:

st_par = 0

st_div = 0

for param_cur in systems_list[sys_cur_ind]:

st_par = st_par + param_cur[2]*p[ind]

st_div = st_div + param_cur[2]

ind=ind+1

st_par = st_par / st_div

st = st * st_par

else:

ind=ind+len(systems_list[sys_cur_ind])

return -math.expm1(-st*tm)

# функция сохранения графика

def save_pic(name):

pwd = os.getcwd()

iPath = './pictures/{}'.format(fmt)

if not os.path.exists(iPath):

os.mkdir(iPath)

os.chdir(iPath)

plt.savefig(name + '.png')

os.chdir(pwd)

#plt.close()

# расчёт без инцидентов

sci_res=sci_calculate([False for j in range(sys_count)])

base_x=sci_res.x

print('Initial values (' + str(round(sci_res.fun,4)) + ' at ' + \

str(sci_res.nfev) + ' steps taken).')

points_base = list( map(lambda x: round(x,4), \

[p_eval([False for j in range(sys_count)], \

sci_res.x, j) for j in range(1,10)]) )

print(' Forecast at T=[1,10] is:')

print(' ' + str(points_base))

print_result(sci_res, [False for j in range(sys_count)])

# вывод предсказаний по каждому заданному сценарию произошедших инцидентов

for i in range(inc_count):

if input()!='=':

print('= at the beginning of incident ' + str(i) + ' description not found!')

sys.exit()

inc_cur = [False for j in range(sys_count)]

inc_sys_count = list(map(int, input().split(' ')))[0]

for j in range(inc_sys_count):

inc_cur[int(input())-1] = True

# вызов расчёта с инцидентами на заданных системах

sci_res=sci_calculate(inc_cur)

# вывод результата

print()

print('Incident #' + str(i+1) + ' ' + str(inc_cur) + ':')

points_new = list( map(lambda x: round(x,4), \

[p_eval(inc_cur, sci_res.x, j) for j in range(1,forecast_len)]))

points_old = list( map(lambda x: round(x,4), \

[p_eval(inc_cur, base_x, j) for j in range(1,forecast_len)]))

if sci_res.success:

print(' Optimum found (' + str(round(sci_res.fun,4)) + \

' at ' + str(sci_res.nfev) + ' steps taken).')

print(' Forecast in new point at T=[1,' + str(forecast_len) + '] is:')

print(' ' + str(points_new))

print(' Forecast in old point at T=[1,' + str(forecast_len) + '] is:')

print(' ' + str(points_old))

print_result(sci_res, inc_cur)

else:

print(' Optimization failed within constraints!')

print(' Current optimum: ' + str(round(sci_res.fun,4)))

print(' Violation: ' + str(round(sci_res.maxcv)))

print(' Forecast in new point at T=[1,' + str(forecast_len) + '] is:')

print(' ' + str(points_new))

print(' Forecast in old point at T=[1,' + str(forecast_len) + '] is:')

print(' ' + str(points_old))

# вывод графиков

f=matplotlib.pyplot.figure()

f_axis=matplotlib.pyplot.axis([1.,float(forecast_len-1),0.,1.])

f_old=matplotlib.pyplot.plot(range(1,forecast_len),points_base,'y',\

label='Base forecast')

f_old=matplotlib.pyplot.plot(range(1,forecast_len),points_old,\

'r'+('--' if not sci_res.success else ''),label='Old forecast')

f_new=matplotlib.pyplot.plot(range(1,forecast_len),points_new,\

'b'+('--' if not sci_res.success else ''),label='New forecast')

matplotlib.pyplot.legend()

matplotlib.pyplot.ylabel('Incident probability')

matplotlib.pyplot.xlabel('Time')

matplotlib.pyplot.title('Incident ' + str(i+1))

matplotlib.pyplot.savefig('inc_' + str(i+1) + '.png')



Приложение 2. Формат входных данных

Входные данные для скрипта должны быть представлены в следующем формате:

1. =SYSTEMS=

2. Количество узлов

(Далее параметры узлов отдельными строками)

2.1. Название узла

2.2. Количество параметров

(Далее описания параметров отдельными строками)

2.2.1. Название параметра

2.2.2. Вес параметра

2.2.3. Минимальный вклад параметра в промежутке [0; 1] при соответствующем значении параметра и максимальный вклад параметра в промежутке [0; 1] при соответствующем значении параметра (через пробел, вклад будет считаться как линейная комбинация вкладов параметров между минимальным и максимальным значениями параметра, и наоборот)

2.2.4. Значение параметра для минимального вклада и значение параметра для максимального вклада (через пробел)

2.2.5. Текущее значение параметра (текущее значение будет считаться оптимальным на данный момент времени)

(Функция лямбды от параметров в нашем случае будет задаваться как произведение вкладов параметров)

3. =INCIDENTS=

4. Количество инцидентов

(Далее описания инцидентов отдельными строками)

4.1. =

4.2. Количество узлов, на которых произошли инциденты

(Далее номера узлов отдельными строками)

4.2.1. Номер узла с инцидентом

Приложение 3. Пример входных данных

Пример входных данных, используемых для скрипта:

1	=SYSTEMS=
2	4
3	Router1
4	3
5	Password_length
6	3
7	0.6 0.8
8	8 4
9	6
10	Max_speed
11	1
12	0.3 0.4
13	1 10
14	3
15	Max_temperature
16	2
17	0.8 0.9
18	40 60
19	45
20	Router2
21	3
22	Password_length
23	3
24	0.6 0.8
25	8 4
26	6
27	Max_speed
28	1
29	0.3 0.4
30	10 100
31	15
32	Max_temperature
33	2
34	0.8 0.9
35	40 60
36	45
37	Server
38	4
39	Open_ports_count
40	2
41	0.2 0.4
42	100 1000
43	300
44	Response_timeout
45	1
46	0.3 0.6
47	500 2000
48	1900
49	Data_packets_per_second
50	2
51	0.6 0.9
52	10 50
53	40
54	Parallel_connections
55	2.5
56	0.1 0.4
57	3 50
58	43
59	Computer
60	3
61	Antivirus_scanning_level
62	3
63	0.05 0.3
64	1 3
65	2
66	Password_length
67	2
68	0.6 0.8
69	4 8
70	6
71	Automatic_updates
72	2
73	0.1 0.4
74	0 1
75	0
76	=INCIDENTS=
77	4
78	=
79	1
80	2
81	=
82	1
83	3
84	=
85	2
86	2
87	3
88	=
89	2
90	2
91	4



Приложение 4. Пример выходных данных

Пример в...