Статья: Применение модели зрелости для противодействия инсайдерским угрозам информационной безопасности

Применение модели зрелости для противодействия инсайдерским угрозам информационной безопасности

Модели зрелости возможностей (CMMI) используются для поэтапного совершенствования различных процессов в организациях. Уровни зрелости описаны от начального уровня, на котором процессы противодействия инсайдерам в организации не контролируются и происходят хаотично до оптимизируемого уровня, на котором процессы измеряются и контролируются. Приведенные характеристики уровней зрелости позволяют классифицировать возможности организации по выявлению внутренних угроз информационной безопасности и противостоянию им.

Внутренние (инсайдерские угрозы) информационной безопасности -- это угрозы, которые исходят от штатных работников организации [8] и работников работающих по подряду. Современные организации не могут существовать без использования информационных технологий и все лица, имеющие доступ к ее информационным активам, представляют потенциальную опасность. Эта ситуация свидетельствует о том, что проблема инсайдеров будет приобретать всё большую актуальность [5]. Инсайдерские угрозы информационной безопасности сложнее поддаются решению, чем технические угрозы. Для их решения требуется сочетание социологических и социально-технических методов [4]. Люди демонстрируют полиморфное поведение, например, они склонны скрывать свои истинные эмоции от окружающих, и они, как правило, меняют своё поведение в зависимости от изменения ситуации [3]. Инсайдер может ждать подходящего момента, чтобы войти в систему и совершить кражу интеллектуальной собственности. Он будет постоянно анализировать и оценивать риск быть пойманным в сопоставлении с вознаграждением за совершение кражи. Обнаружение инсайдеров может осуществляться путем внедрения комплекса организационных и технологических мер .

Применяемый в организации комплекс мер может быть оценен с использованием модели зрелости процессов. Capability Maturity Model Integration (CMMI) - набор моделей (методологий) совершенствования рабочих процессов в организациях. В CMMI содержится набор практических рекомендаций, применение которых в работе может позволить достичь уровня защищенности, необходимого для обеспечения устойчивого функционирования организации в целом или ее отдельных подразделений [7]. Совершенствование процессов подразумевает выполнения процесса, который содержит несколько этапов. Модель CMMI формализует данные этапы. В ней предлагает 5 уровней зрелости (Таблица 1), каждый из которых указывает на зрелость процессов организации.

Таблица 1 - Уровни зрелости управления

Данная статья предлагает многоуровневую модель CMMI применительно к управлению процессом противодействия инсайдерским угрозам в организации. Предлагаемые уровни приведены ниже [7].

Начальный уровень зрелости управления процессами противодействия инсайдерской угрозе

Характеристика уровня:

· Существуют отдельные изолированные процессы или функции.

· Отсутствуют четко определенные роли и обязанности.

· В основном реактивная деятельность с минимальной или вообще без официальной стратегии профилактики.

Результирующее состояние:

· Повышенный уровень проявления инсайдерской угрозы.

· Медленная реакция в случае, если угроза будет реализована.

Интуитивно управляемый уровень зрелости управления процессами противодействия инсайдерской угрозе

Характеристика уровня:

· Используются существующие процессы или функции безопасности для предотвращения инсайдерской угрозы, формальная программа противодействия инсайдерской угрозе отсутствует.

· Отсутствует формализованное обучение для сотрудников или поставщиков.

· Связность процедур неразвита.

Результирующее состояние:

· Ограниченные возможности обнаружения.

· Непоследовательность в реагировании, в зависимости от характера инцидента.

· Неадекватные процедуры управления последствиями.

Определенный уровень зрелости управления процессами противодействия инсайдерской угрозе

Характеристика уровня:

· Существует формальная программа противодействия инсайдерской угрозе со специализированными политиками и процессами, которые согласуются с существующими программами информационной и корпоративной безопасности.

· Принята стратегия обнаружения инсайдерских угроз.

· Созданы планы реагирования на инциденты, включающие обработку событий внутренних угроз.

· Введены официальные процедуры управления последствиями.

· Созданы информационные ресурсы, посвященные инсайдерской угрозе.

· Разработана учебная программа для сотрудников и поставщиков.

· Отсутствует полное понимания важнейших активов организации.

Результирующее состояние:

· Общеорганизационная осведомленность об инсайдерских угрозах.

· Повышенная способность обнаруживать инсайдерские угрозы с помощью традиционных технологий информационной безопасности, таких как защита от потери данных, мониторинг конечных точек и т. д.

· Оперативная эффективность, достигнутая благодаря скоординированным усилиям всех заинтересованных сторон.

· Согласованность мониторинга и защиты активов.

· Единообразие в обработке инцидентов.

· Некоторые критически важные активы более подвержены инсайдерским угрозам, чем другие.

Управляемый количественно уровень зрелости управления процессами противодействия инсайдерской угрозе

Характеристика уровня:

· Созданы ключевые показатели эффективности для оценки эффективности программы.

· Внедрен итеративный подход, обеспечивающий непрерывное улучшение.

· Сильная дисциплина управления информацией, лежащей в основе программы противодействия инсайдерским угрозам.

· Существуют отдельные индикаторы риска, разработанные для мониторинга критических активов.

· Использует технологии анализа данных, такие как поведенческий анализ, для выявления скрытых связей и мотивов.

Результирующее состояние:

· Разностороннее понимание важнейших активов организации и рисков, которые с ними связаны.

· Расширенные возможности мониторинга и устранения внутренних угроз.

· Непрерывное совершенствование программы.

· Захватывает ранее пропущенные признаки, указывавшие на наличие потенциальной инсайдерской угрозы.

· Измеримое снижение количества инцидентов с участием инсайдерских угроз.

Оптимизируемый уровень зрелости управления процессами противодействия инсайдерской угрозе

Характеристика уровня:

· Программа противодействия инсайдерским угрозам полностью интегрирована в стратегию управления рисками предприятия.

· Упреждающей защите и реагированию на инсайдерские угрозы уделено повышенное внимание.

· Развернута инфраструктура Big Data, обеспечивающая доступ и интеграцию всех необходимых источников данных в организации.

· Расширенный набор индикаторов риска с использованием платформы больших данных, передовых технологий анализа данных и организационных знаний.

Результирующее состояние:

· Значительное снижение случаев реализации инсайдерской угрозы.

· Расширяет преимущества программы противодействия инсайдерским угрозам на другие бизнес-императивы, такие как управление рисками, внутренний контроль и управление талантами.

· Повышение защищенности процессов внутреннего контроля и потенциала управления рисками организации.

· Своевременное реагирование на судебные и нормативные запросы о предоставлении данных.

Модели зрелости эффективно применяются в качестве инструмента объективной оценки степени повторяемости, последовательности и эффективности определенных видов деятельности или процессов в различных областях деятельности [7]. Инсайдерская угроза не является новым риском, но применение человеко-ориентированного подхода при обеспечении информационной безопасности является достаточно новой практикой [10], [11], [12]. Приведенные характеристики уровней зрелости могут позволить классифицировать возможности организации по выявлению внутренних угроз информационной безопасности и противостоянию им.

Список литературы

угроза информационный безопасность

1.Chinchani R. Towards a theory of insider threat assessment / Chinchani R. // International Conference In Dependable Systems and Networks. 2005. C. 108-117.

2.Force A.I.R. Countering Insider Threats - Handling Insider Threats Using Dynamic / Force A.I.R., Directorate I. , Run-Time Forensics 2007. № October.

3.Greitzer F.L. Modeling Human Behavior to Anticipate Insider Attacks / Greitzer F.L., Hohimer R.E.// Journal of Strategic Security. 2011. № 2 (4). C. 25-48.

4.Hunker J. Insiders and insider threats--an overview of definitions and mitigation techniques / Hunker J., Probst C. // Journal of Wireless Mobile Networks, Ubiquitous …. 2011. C. 4-27.

5.Insider Threat Report: 2018 - CA Technologies // CA Technologies [Электронный ресурс] URL: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (дата обращения: 18.07.2018).

6.Udoeyop A.W. Cyber Profiling for Insider Threat Detection 2010. C. 70.

7.Денис М. Ахен, CMMI: Комплексный подход к совершенствованию процессов. Практическое введение в модель / Денис М. Ахен, Арон Клауз, Ричард Тернер. -- М: «МФК», 2005, 300 с. ISBN 5-85389-082-4.

8.Поляничко М.А. Предметно-ориентированная онтология представления инсайдерской угрозы / Поляничко М.А. // Естественные и технические науки. 2018. - №12., Выпуск (126). - 2018 - с. 453 - 458.

9.Поляничко М.А. Внутренние угрозы информационным системам на транспорте / Поляничко М.А. // Интеллектуальные системы на транспорте Сборник материалов Первой международной научно-практической конференции. - СПб.