Архив статей журнала
Целью исследования является разработка подхода к выявлению и обработке недопустимых событий на объектах критической информационной инфраструктуры (КИИ) на основе концепции таксономии и категоризации. Подход направлен на решение задачи повышения эффективности идентификации, классификации и управления инцидентами информационной безопасности (ИБ). В статье рассматриваются актуальные задачи обеспечения требуемого уровня защищенности КИИ и минимизации негативных последствий от инцидентов информационной безопасности, являющихся следствием недопустимых событий, идентификация которых связана со сложностью их выявления, необходимостью обработки больших объемов данных, недостаточной оперативностью обнаружения событий ИБ, а также ограничениями технологического характера. Актуальность выявления и классификации недопустимых событий в области информационной безопасности, особенно для объектов КИИ обусловлена необходимостью своевременного выявления и реагирования на инциденты, которые могут привести к негативным последствиям. Понимание природы и характеристик таких событий позволяет эффективно обеспечить защиту систем и предотвратить существенный ущерб. С целью повышения эффективности обеспечения результативной безопасности требуется выявлять класс недопустимых событий среди множества событий информационной безопасности с учетом признаков, которыми характеризуются недопустимые события. Новизна предлагаемого подхода заключается в решении задачи выявления класса недопустимых событий информационной безопасности на основе методов таксономии, предусматривающих использование инструментов категоризации событий с использованием атрибутов недопустимых событий. Материалы и методы исследования. Для решения поставленной задачи использован подход к выявлению недопустимых событий на объектах КИИ, основанный на принципах таксономии событий информационной безопасности. Показано, что выявление недопустимых событий информационной безопасности напрямую связано с решением задачи поиска и анализа их атрибутов, которые представляют собой характеристики или параметры, используемые для описания и классификации инцидентов безопасности. На основе ключевых принципов таксономии разработана модель структуры множества недопустимых событий для определения признаков, которые могут положены в основу классификации недопустимых событий. Процесс выявления недопустимых событий информационной безопасности включает цепочку этапов: таксономию, категорирование и классификация, на каждом из которых реализуются соответствующие методы и инструменты. Результаты: Проанализированы подходы к выявлению недопустимых событий на объектах КИИ. Рассмотрены проблемы, связанные с большим объемом данных, сложностью обработки событий, достаточно длительным временем их обнаружения и ограничениями технологических решений. Показано, что концепция таксономии и категоризации позволяет эффективно идентифицировать и классифицировать инциденты информационной безопасности, обеспечивая эффективные процессы обработки и реагирования на них. Обоснована целесообразность применения таксономии для описания и идентификации атрибутов недопустимых событий, что способствует разработке эффективных стратегий защиты и обеспечивает повышение уровня безопасности. Предложена обобщенная схема обработки недопустимых событий, включающая совокупность взаимосвязанных этапов идентификации, категоризации, оценки влияния, реагирования, документирования и анализа. Разработан алгоритм структурированного описания и классификации инцидентов, что позволяет более точно и оперативно реагировать на угрозы информационной безопасности. Заключение: Полученные результаты позволяют повысить эффективность решения задачи классификации инцидентов информационной безопасности за счет идентификации недопустимых событий, что позволяет снизить уровень негативных последствий инцидентов и повысить безопасность объектов КИИ.