ПРИМЕНЕНИЕ МОДЕЛИ ЗРЕЛОСТИ ДЛЯ ПРОТИВОДЕЙСТВИЯ ИНСАЙДЕРСКИМ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРИМЕНЕНИЕ МОДЕЛИ ЗРЕЛОСТИ ДЛЯ ПРОТИВОДЕЙСТВИЯ ИНСАЙДЕРСКИМ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Научная статья
ORCID: 0000-0002-8817-7921,
ФГБОУ ВО «Петербургский государственный университет путей сообщения Императора Александра I», Санкт-Петербург, Россия
* Корреспондирующий автор (polyanichko[at]pgups.ru)
АннотацияМодели зрелости возможностей (CMMI) используются для поэтапного совершенствования различных процессов в организациях. Уровни зрелости описаны от начального уровня, на котором процессы противодействия инсайдерам в организации не контролируются и происходят хаотично до оптимизируемого уровня, на котором процессы измеряются и контролируются. Приведенные характеристики уровней зрелости позволяют классифицировать возможности организации по выявлению внутренних угроз информационной безопасности и противостоянию им.
Ключевые слова: внутренние угрозы информационной безопасности, инсайдер, CMMI, модель зрелости, управление информационной безопасностью.
APPLICATION OF A MATURITY MODEL TO ACTION AGAINST INTERNALTHREATS TO INFORMATION SECURITY
Research article
Polyanichko M.A.*
1 ORCID: 0000-0002-8817-7921,
FSBEI of HE “Emperor Alexander I St. Petersburg State Transport University,” St. Petersburg, Russia
* Corresponding author (polyanichko[at]pgups.ru)
AbstractCapability Maturity Models (CMMI) are used to gradually improve various processes in organizations. Maturity levels are described from the initial level with the processes of acting against insiders in an organization are not controlled and occur randomly to an optimized level where processes are measured and controlled. The above characteristics of maturity levels allow classifying the organization’s ability to identify internal threats to information security and to act against them.
Keywords: internal threats to information security, insider, CMMI, maturity model, information security management.
Внутренние (инсайдерские угрозы) информационной безопасности — это угрозы, которые исходят от штатных работников организации [8] и работников работающих по подряду. Современные организации не могут существовать без использования информационных технологий и все лица, имеющие доступ к ее информационным активам, представляют потенциальную опасность. Эта ситуация свидетельствует о том, что проблема инсайдеров будет приобретать всё большую актуальность [5]. Инсайдерские угрозы информационной безопасности сложнее поддаются решению, чем технические угрозы. Для их решения требуется сочетание социологических и социально-технических методов [4]. Люди демонстрируют полиморфное поведение, например, они склонны скрывать свои истинные эмоции от окружающих, и они, как правило, меняют своё поведение в зависимости от изменения ситуации [3]. Инсайдер может ждать подходящего момента, чтобы войти в систему и совершить кражу интеллектуальной собственности. Он будет постоянно анализировать и оценивать риск быть пойманным в сопоставлении с вознаграждением за совершение кражи. Обнаружение инсайдеров может осуществляться путем внедрения комплекса организационных и технологических мер .
Применяемый в организации комплекс мер может быть оценен с использованием модели зрелости процессов. Capability Maturity Model Integration (CMMI) – набор моделей (методологий) совершенствования рабочих процессов в организациях. В CMMI содержится набор практических рекомендаций, применение которых в работе может позволить достичь уровня защищенности, необходимого для обеспечения устойчивого функционирования организации в целом или ее отдельных подразделений [7]. Совершенствование процессов подразумевает выполнения процесса, который содержит несколько этапов. Модель CMMI формализует данные этапы. В ней предлагает 5 уровней зрелости (Таблица 1), каждый из которых указывает на зрелость процессов организации.
Таблица 1 – Уровни зрелости управления
Название уровня | Описание |
1. Начальный | Процессы, происходящие в организации формально не определены, и не контролируются. |
2. Интуитивно управляемый | Формально определены единичные процессы. Формализация процессы появляются в ответ на определенные внутренние или внешние воздействия. |
3. Определенный | Процессы формально определены во всей организации. Процессы исполняются заблаговременно. |
4. Управляемый количественно | Процессы измеряются и контролируются. |
5. Оптимизируемый | Совершенствование процессов происходит на постоянной основе. |
Данная статья предлагает многоуровневую модель CMMI применительно к управлению процессом противодействия инсайдерским угрозам в организации. Предлагаемые уровни приведены ниже [7].
Начальный уровень зрелости управления процессами противодействия инсайдерской угрозе
Характеристика уровня:
- Существуют отдельные изолированные процессы или функции.
- Отсутствуют четко определенные роли и обязанности.
- В основном реактивная деятельность с минимальной или вообще без официальной стратегии профилактики.
Результирующее состояние:
- Повышенный уровень проявления инсайдерской угрозы.
- Медленная реакция в случае, если угроза будет реализована.
Интуитивно управляемый уровень зрелости управления процессами противодействия инсайдерской угрозе
Характеристика уровня:
- Используются существующие процессы или функции безопасности для предотвращения инсайдерской угрозы, формальная программа противодействия инсайдерской угрозе отсутствует.
- Отсутствует формализованное обучение для сотрудников или поставщиков.
- Связность процедур неразвита.
Результирующее состояние:
- Ограниченные возможности обнаружения.
- Непоследовательность в реагировании, в зависимости от характера инцидента.
- Неадекватные процедуры управления последствиями.
Определенный уровень зрелости управления процессами противодействия инсайдерской угрозе
Характеристика уровня:
- Существует формальная программа противодействия инсайдерской угрозе со специализированными политиками и процессами, которые согласуются с существующими программами информационной и корпоративной безопасности.
- Принята стратегия обнаружения инсайдерских угроз.
- Созданы планы реагирования на инциденты, включающие обработку событий внутренних угроз.
- Введены официальные процедуры управления последствиями.
- Созданы информационные ресурсы, посвященные инсайдерской угрозе.
- Разработана учебная программа для сотрудников и поставщиков.
- Отсутствует полное понимания важнейших активов организации.
Результирующее состояние:
- Общеорганизационная осведомленность об инсайдерских угрозах.
- Повышенная способность обнаруживать инсайдерские угрозы с помощью традиционных технологий информационной безопасности, таких как защита от потери данных, мониторинг конечных точек и т. д.
- Оперативная эффективность, достигнутая благодаря скоординированным усилиям всех заинтересованных сторон.
- Согласованность мониторинга и защиты активов.
- Единообразие в обработке инцидентов.
- Некоторые критически важные активы более подвержены инсайдерским угрозам, чем другие.
Управляемый количественно уровень зрелости управления процессами противодействия инсайдерской угрозе
Характеристика уровня:
- Созданы ключевые показатели эффективности для оценки эффективности программы.
- Внедрен итеративный подход, обеспечивающий непрерывное улучшение.
- Сильная дисциплина управления информацией, лежащей в основе программы противодействия инсайдерским угрозам.
- Существуют отдельные индикаторы риска, разработанные для мониторинга критических активов.
- Использует технологии анализа данных, такие как поведенческий анализ, для выявления скрытых связей и мотивов.
Результирующее состояние:
- Разностороннее понимание важнейших активов организации и рисков, которые с ними связаны.
- Расширенные возможности мониторинга и устранения внутренних угроз.
- Непрерывное совершенствование программы.
- Захватывает ранее пропущенные признаки, указывавшие на наличие потенциальной инсайдерской угрозы.
- Измеримое снижение количества инцидентов с участием инсайдерских угроз.
Оптимизируемый уровень зрелости управления процессами противодействия инсайдерской угрозе
Характеристика уровня:
- Программа противодействия инсайдерским угрозам полностью интегрирована в стратегию управления рисками предприятия.
- Упреждающей защите и реагированию на инсайдерские угрозы уделено повышенное внимание.
- Развернута инфраструктура Big Data, обеспечивающая доступ и интеграцию всех необходимых источников данных в организации.
- Расширенный набор индикаторов риска с использованием платформы больших данных, передовых технологий анализа данных и организационных знаний.
Результирующее состояние:
- Значительное снижение случаев реализации инсайдерской угрозы.
- Расширяет преимущества программы противодействия инсайдерским угрозам на другие бизнес-императивы, такие как управление рисками, внутренний контроль и управление талантами.
- Повышение защищенности процессов внутреннего контроля и потенциала управления рисками организации.
- Своевременное реагирование на судебные и нормативные запросы о предоставлении данных.
Модели зрелости эффективно применяются в качестве инструмента объективной оценки степени повторяемости, последовательности и эффективности определенных видов деятельности или процессов в различных областях деятельности [7]. Инсайдерская угроза не является новым риском, но применение человеко-ориентированного подхода при обеспечении информационной безопасности является достаточно новой практикой [10], [11], [12]. Приведенные характеристики уровней зрелости могут позволить классифицировать возможности организации по выявлению внутренних угроз информационной безопасности и противостоянию им.
Конфликт интересов Не указан. | Conflict of Interest None declared. |
Список литературы / References
- Chinchani R. Towards a theory of insider threat assessment / Chinchani R. // International Conference In Dependable Systems and Networks. 2005. C. 108–117.
- Force A.I.R. Countering Insider Threats – Handling Insider Threats Using Dynamic / Force A.I.R., Directorate I. , Run-Time Forensics 2007. № October.
- Greitzer F.L. Modeling Human Behavior to Anticipate Insider Attacks / Greitzer F.L., Hohimer R.E.// Journal of Strategic Security. 2011. № 2 (4). C. 25–48.
- Hunker J. Insiders and insider threats—an overview of definitions and mitigation techniques / Hunker J., Probst C. // Journal of Wireless Mobile Networks, Ubiquitous …. 2011. C. 4–27.
- Insider Threat Report: 2018 - CA Technologies // CA Technologies [Электронный ресурс] URL: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (дата обращения: 18.07.2018).
- Udoeyop A.W. Cyber Profiling for Insider Threat Detection 2010. C. 70.
- Денис М. Ахен, CMMI: Комплексный подход к совершенствованию процессов. Практическое введение в модель / Денис М. Ахен, Арон Клауз, Ричард Тернер. — М: «МФК», 2005, 300 с. ISBN 5-85389-082-4.
- Поляничко М.А. Предметно-ориентированная онтология представления инсайдерской угрозы / Поляничко М.А. // Естественные и технические науки. 2018. - №12., Выпуск (126). - 2018 - с. 453 - 458.
- Поляничко М.А. Внутренние угрозы информационным системам на транспорте / Поляничко М.А. // Интеллектуальные системы на транспорте Сборник материалов Первой международной научно- практической конференции. - СПб.: Петербургский государственный университет путей сообщения Императора Александра I. (2011).
- Поляничко М.А. Подход к выявлению инсайдерских угроз в организации / Поляничко М.А., Королев А.И. // Естественные и технические науки. 2018. - №9., Выпуск (123). - 2018 - с. 152 - 154.
- Поляничко М.А. Человеко-ориентированный подход к обеспечению кибербезопасности / Поляничко М.А., Пунанова К.В. // Естественные и технические науки. 2018. - №12., Выпуск (126). - 2018 - с. 458 - 462.
- Поляничко М.А. О возможностях применения имитационного моделирования для обнаружения инсайдерских угроз / оляничко М.А., Хазбиев А.О. // Естественные и технические науки. 2019. - № 1., Выпуск (129). - 2019 - с. 155 - 158.
Список литературы на английском языке / References in English
- Chinchani R. [et al.]. Towards a theory of insider threat assessment // International Conference In Dependable Systems and Networks. 2005. P. 108–117.
- Force A.I.R., Directorate I. Countering Insider Threats – Handling Insider Threats Using Dynamic, Run-Time Forensics 2007. No. October.
- Greitzer F.L., Hohimer R.E. Modeling Human Behavior to Anticipate Insider Attacks // Journal of Strategic Security. 2011. No. 2 (4). P. 25–48.
- Hunker J., Probst C. Insiders and insider threats—an overview of definitions and mitigation techniques // Journal of Wireless Mobile Networks, Ubiquitous …. 2011. P. 4–27.
- Insider Threat Report: 2018 - CA Technologies // CA Technologies URL: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (accessed: 18.07.2018).
- Udoeyop A.W. Cyber Profiling for Insider Threat Detection 2010. C. 70.
- Denis M. Aachen, Aaron Clause, Richard Turner CMMI: Kompleksnyi podkhod k sovershenstvovaniyu protsessov [Integrated Approach to Process Improvement]. Practical Introduction to the Model. - M: "IFC," 2005, 300 p. ISBN 5-85389-082-4. [In Russian]
- Polyanichko M.A. Predmetno-Orientirovannaya ontologiya predstavleniya insaiderskoi ugrozy [Domain-specific Ontology of the Insider Threat Presentation] // Yestestvennyye i tekhnicheskiye nauki [Natural and Technical Sciences]. 2018. - No.12., Issue (126). - 2018 - P. 453 - 458. [In Russian]
- Polyanichko M.A. Vnutrennie ugrozy informatsionnym sistemam na transporte [Internal Threats to Transport Information Systems] // Intellectual Systems in Transport. Collection of Materials of the First International Research-to-Practice Conference. - SPb.: Petersburg State University of Communications of Emperor Alexander I. (2011). [In Russian]
- Polyanichko M.A., Korolev A.I. Podkhod k vyiavleniyu insaiderskikh ugroz v organizatsii [Approach to Identifying Insider Threats in an Organization] // Yestestvennyye i tekhnicheskiye nauki [Natural and Technical Sciences]. 2018. - No.9., Issue (123). - 2018 - p. 152 - 154. [In Russian]
- Polyanichko M.A., Punanova K.V. Cheloveko-orientirovannyi podkhod k obespecheniyu kiberbezopasnosti [Human-Centered Approach to Cybersecurity] // Yestestvennyye i tekhnicheskiye nauki [Natural and Technical Sciences]. 2018. - No.12., Issue (126). - 2018 - p. 458 - 462. [In Russian]
- Polyanichko M.A., Khazbiev A.O. O vozmozhnostyakh primeneniya imitatsionnogo modelirovaniya dlia obnaruzheniya insaiderskikh ugroz [On the Possibilities of Using Simulation to Detect Insider Threats] // Yestestvennyye i tekhnicheskiye nauki [Natural and Technical Sciences]. 2019. - No. 1., Release (129). - 2019 - p. 155 - 158. [In Russian]