Формализация процессов обработки информации с использованием методов интеллектуального анализа в системах мониторинга рисков информационной безопасности
Введение
Одним из способов обеспечения безопасности информации является проведение постоянного мониторинга состояния активов, которые участвуют в обработке, с целью определения рисков информационной безопасности.
Мониторинг является мощным механизмом способным вовремя просигнализировать владельцу или ответственному за обеспечение безопасности информации (администратору), о наличии «узких» мест в процедурах хранения, передачи и иных видах обработки защищаемой информации, а также определить подвержены ли используемые ресурсы и находящаяся в ней информация компрометации. Этим обусловлено появление и использование DLP-систем [7], SIEM [6] и других продуктов, работа которых построена на использовании алгоритмов мониторинга.
Основной недостаток мониторинга заключается в том, что на основе полученных данных оценка производится с использование несовершенных средств автоматизации, что приводит к ее субъективности. С целью снижения уровня субъективности, а также снижения времени необходимого для анализа полученных данных предлагается повысить эффективность при помощи использования методов интеллектуального анализа.
Аннотация: В статье представлен обзор способов сбора информации в сетевой инфраструктуре, а также алгоритм защиты информационной системы от атак потенциальных нарушителей.
Список литературы:
Howard Что такое SNMP и как он работает? / Howard // SNMP. - (https://community.fs.com/ru/blog/understanding-snmp.html);
Cryptoparty Syslog: Полное руководство / Cryptoparty // Syslog: Полное руководство. - (https://itsecforu.ru/2022/08/19/);
КомСвязьЭнерджи Что такое протокол NETFLOW и как он используется. / КомСвязь Энерджи // NETFLOW. - (https://komsvenergy/solution/chto_takoe_protokol_netflow_i_kak_on_ispolzuetsya);
Alukatsky Flow-протоколы как инструмент мониторинга безопасности внутренней сети / Alukatsky // Flow-протоколы. - (https://habr.com/ru/company/cisco/blog/464601/);
Методы интеллектуального анализа данных. - (http://www.olap.ru/home.asp?artId=2158);
Cloud Network SIEM — управление событиями и инцидентами информационной безопасности / Cloud Network // SEIM. - (https://cloudnetworks.ru/inf-bezopasnost/siem-log-management/);
InfoWatch FAQ. Справочник информационной безопасности. Вопросы и ответы по DLP-системам. / InfoWatch // DLP-системы. - (https://www.infowatch.ru/faq/printsip-raboty-dlp-sistemy);
Малинина Л.А. Основы информатики: учеб. для студентов вузов / Беляев М.А., Лысенко В.В., Малинина Л.А. –М: Феникс, 2006. -204-206 с., URL: https://it.wikireading.ru/48064 (дата обращения: 23.10.2022);
Каждый из рассмотренных способов реализуется по похожему алгоритму: производится одно из возможных действий, либо опрос устройств, либо получение информации об его активности.
При этом работа алгоритма сводится к следующему. Например, работа алгоритма SNMP начинается с того, что при помощи программного обеспечения или консоли задаются необходимые значения (установка значений производится исходя из того, что известно администратору, например, величина температуры в помещении или наименьшее значение заряда батареи устройства), на основании, которых будет проводится опрос сетевых устройств. После установки значений происходит инициация запроса к устройству, в котором производится сравнение установленных и фактических значений. Получив ответ, администратор может определить какие действия необходимо предпринять. Стоит отметить, что порядок необходимых действий может быть сформирован и до получения ответа от устройства