Державний університет телекомунікацій Навчально-науковий Інститут захисту інформації Кафедра управління інформаційною безпекою

Затвержую: Завідувач кафедрою УІБ Д.т.н., проф. В.Ю.Богданович «___»____2014р.

Навчальна дисципліна «Технології підтримки та прийняття рішень»

Практине заняття (4 години )

Тема: Реалізація інтелектуальної системи керування інцидентами інформаційної безпеки та підтримки прийняття рішень.

Для студентів заочної форми навчання ДУТ

кандидат технічних наук,

доцент Гордієнко С.Б.

Розглянуто та ухвалено

на засіданні кафедри УІБ

" 11 "травня 2014 р.

Протокол № 10

К и ї в- 2014

Тема 2. Реалізація інтелектуальної системи керування інцидентами інформаційної безпеки та підтримки прийняття рішень.

ЗМІСТ

1. Підтримка прийняття рішень щодо керування інцидентами інформаційної безпеки в організаційно-технічних системах.

2. Загальні принципи автоматизації підтримки прийняття рішень

3. Функції інтелектуальної системи підтримки прийняття рішень у рамках процесного підходу ICO/IEC та моделі РDCA.

Жодна політика інформаційної безпеки (ПІБ) чи комплексна система захисту інформації (КСЗІ) не може гарантувати стовідсоткового захисту телекомунікаційної мережі (ТМ). Навіть після впровадження КСЗІ все одно залишаються залишкові ризики, які роблять можливим виникнення інцидентів інформаційної безпеки (ІБ) ТМ. Несистематична та неістотна підготовка оператора телекомунікацій до інцидентів ІБ ТМ призводить до того, що на практиці реагування виявляється хаотичним та невпорядкованим, і через це – неефективним. Без своєчасної реакції на інциденти ІБ та усунення їхніх наслідків неможливо ефективне функціонування КСЗІ.

В Україні більшість національних операторів зв’язку мають в своєму складі службу безпеки (електрозв’язку), службу технічного захисту інформації (ТЗІ) та (або) службу IT Security. За необхідності у складі підприємства електрозв’язку тимчасово може існувати загальна група з подолання криз будь-якого типу. Коли виникає інцидент безпеки ТМ, він обробляється в режимі, який може бути застосовано до даного випадку, тобто працівник, що виявив інцидент безпеки ТМ, бере на себе відповідальність за його обробку найкращим для нього чином. У деяких операторів є тенденція забувати про інциденти безпеки ТМ і приховувати їх, оскільки вони можуть вплинути на продуктивність, готовність і доходи. Може трапитись, що при виявленні інциденту безпеки ТМ працівник не знатиме, кого повідомити про це. Це може призвести до використання адміністратором дії, яка не відповідатиме ПІБ. Адміністратор не має делегованих повноважень, часу або досвіду для виправлення системи таким чином, щоб інцидент безпеки не повторився.

На сьогоднішній день стало актуальним створення у складі існуючих систем технічної експлуатації вітчизняних операторів телекомунікацій спеціалізованих інтелектуальних систем підтримки прийняття рішень (ІСППР) щодо керування ІБ ТМ.

Підтримка прийняття рішень щодо керування інцидентами інформаційної безпеки в організаційно-технічних системах

Інциденти інформаційної безпеки (ІБ) є окремим підкласом кризових і надзвичайних ситуацій, що можуть відбутися в інфо-соціо-технічній інфраструктурі держави, і, як окремий випадок, — в організаційно-технічних системах (ОТС) та інфокомунікаційних мережах (ІКМ), впливаючи на стан державних інформаційних ресурсів і національної безпеки.

Підтримку прийняття рішень під час інцидетів ІБ в такому аспекті можна розглядати як частину більш загальної проблеми підтримки прийняття управлінських рішень у кризових ситуаціях . В Україні останнє завдання вирішується згідно з створенням відповідної урядової інформаційно-аналітичної системи. У дослідженні описано результати роботи ІПРІ НАН України в данному напрямку. Дослідженню процесів реагування, обробки, керування інцидентами ІБ присвячено багато публікацій, зокрема науково-теоретичного, науково-прикладного та виробничо-практичного змісту. Існує стандартизована міжнародна нормативно-методологічна база. Відмітимо, що найбільшу кількість стандартів, рекомендацій і технічних звітів у цій проблемній підгалузі розробленов США. Стосовно України детально проаналізовано й оцінено як недостатній стан робіт, пов’язаних зі створенням відповідних нормативно-методологічних засад й організаційно-технічних інфраструктур, які повинні дозволяти на загальнодержавному, галузевому та/або відомчому (корпоративному) рівнях вирішувати завдання, пов’язані з інцидентами ІБ. Державою поступово здійснюються окремі організаційні, правові та технічні заходи, частково спрямовані на підготовку до реагування, обробки та ліквідації наслідків інцидентів ІБ, керування телекомунікаційними мережами (ТМ) в умовах надзвичайних ситуацій, надзвичайного та воєнного стану. Зокрема, в рамках Адміністрації Держспецзв’язку України створено підрозділ — Державний центр безпеки інформаційно-телекомунікаційних систем (український аналог CSIRT), діяльність якого має бути спрямована на вирішення завдань реагування та обробки інцидентів, що порушили безперебійне функціонування ІКМ органів державної влади . Але на сьогодні все ще існує цілий ряд наукових, технічних, організаційних і нормативно-правових завдань, які є недостатньо вирішеними.

Як в Україні, так і в світовій практиці завдання підтримки прийняття рішень й автоматизації керування інцидентами ІБ потребує подальшого дослідження. В жодному з міжнародних чи вітчизняних нормативно-технічних документах, які частково торкаються або повністю присвячені керуванню інцидентами ІБ, не визначено, що саме можна/треба розуміти під автоматизацією процесу, з яких функцій та елементів ця автоматизація повинна складатися, та як її проводити.