APPLICATION OF DATA CLUSTERING METHOD FOR SOLVING THE RISK ASSESSMENT PROBLEM INFORMATION SECURITY
Abstract and keywords
Abstract (English):
The classification was built and the analysis of information security risk assessment methods was carried out. The characteristic of the data clustering method in the context of risk assessment is given. A mathematical model of the clustering method for risk assessment has been developed. An example of the application of this method is considered.

Keywords:
risk analysis, classification of methods, data clustering, mutual information
Text
Publication text (PDF): Read Download

В условиях роста количества и степени опасности угроз утечки информации проблема обеспечения информационной безопасности приобретает все большую значимость для предприятий и организаций. По данным аналитического центра InfoWatch процент утечек в первом полугодии 2018 года по сравнению с 2017 годом вырос на 12% (рис. 1) [1]. В связи с повышением опасности реализации угроз актуализируется задача проведения аудита безопасности на объектах и проведение модернизации системы защиты информации с целью предотвращения возможного ущерба. Оценка рисков является начальным этапом проектирования системы защиты на объектах и позволяет: определить критический уровень безопасности защищаемых активов информационной системы; обнаружить уязвимости в системе защиты информации; провести оценку эффективности мер по защите информации; выработать рекомендации по совершенствованию системы защиты. На сегодняшний день в данной области отсутствуют единые методы оценки, учитывающие специфику каждого предприятия. Существует проблема сбора достаточного объема статистических данных о вероятности реализации той или иной угрозы. В связи с названными факторами задача оценки рисков информационной безопасности является актуальной. Согласно ГОСТ ИСО/МЭК 27005-2010, риск информационной безопасности - возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации [2]. Для того чтобы оценить риск необходимо провести идентификацию угроз, уязвимостей и активов. Идентификация угрозы состоит из определения частоты возникновения угрозы, идентификация уязвимости определяется степенью тяжести данной уязвимости информационной системы, актив - определяется его ценностью. Существует ряд проблем, которые ставят перед специалистами задачу разработки новых методов оценки, такими проблемами являются: отсутствие единой методики расчета информационных рисков; неадекватность нечетких и лингвистических данных, полученных от экспертов во время диалога; проблема построения списка актуальных угроз и уязвимостей в рамках данного предприятия [3]. Проблема оценки рисков информационной безопасности рассматривалась многими учеными и ими были применены различные методы: логиковероятностный, метод теории игр, нечеткой логики и другие [3, 4, 5, 6]. Нами была построена классификация методов оценки рисков информационной безопасности (рис. 2). Методы оценки рисков подразделяются на количественные и качественные. Количественной оценкой риска называют процесс присвоения значений вероятности и последствий риска. Качественные оценки риска позволяют выявить риски и их факторы, однако данную оценку приводят к количественным характеристикам, например, ущерб от рисков, таким образом, появляются комбинированные методы, в которых вербальные характеристики степени риска дополняются значениями ущерба. Экспертные методы - способ сбора исходной информации для построения модели риска выполняется экспертами, имеющими для этого необходимые знания. Статистические методы - накопление статистических данных о реализации угроз и последующих денежных потерях, имевших место на данном предприятии. Аналитические методы - заключается в построении кривой риска, сложный и доступен только профессионалам, проводят оценку рисков на уровне бизнес-процессов. Обычно выбирается показатель чувствительность которого вычисляется в зависимости от различных факторов. Метод аналогов применяют, когда другие методы не дают результатов, проводят построение базы аналогичных объектов, определение общих связей и перенос результатов на исследуемый объект. В нашей работе для оценки рисков рассматривается метод кластеризации данных. Кластеризация - процесс разбиения заданной выборки объектов на непересекающиеся подмножества, называемые кластерами, так, чтобы каждый кластер состоял из схожих объектов, а объекты разных кластеров существенно отличались. Цель кластеризации: упрощение обработки данных для принятия решений, применяя к каждому кластеру свой метод анализа. Также благодаря кластеризации можно обнаружить нетипичные объекты, которые не удается присоединить ни к одному из кластеров [8]. Рассмотрим алгоритм кластерного анализа в контексте информационной безопасности. Предполагается прохождение нескольких этапов. Определение защищаемых активов. Под активом понимаются база данных поставщиков (клиентов), данные матрицы доступа, политика безопасности организации и другая конфиденциальная информация. Активы и центры кластеров находятся в N-мерном пространстве. N-количество факторов риска, рассматриваемые на предприятии. Центры кластеров можно устанавливать несколькими способами. Установим для начала центры произвольным образом. Ассоциация между активами и уровнями риска на основе определения евклидового расстояния от каждого элемента до текущего центра кластера; Вычисление новых центров кластеров. Повторение данных шагов до того, пока центр не перестанет изменяться или не произойдет количество заданных итераций. Кластеризация данных при оценке рисков информационной безопасности в примере будет проводится по следующим уровням: высокая безопасность, средняя безопасность, опасно. Иллюстрация кластеризации показана на рисунке 3. Математическая модель метода представлена в таблице 1. Совместно с методом кластеризации используется понятие взаимной информации для определения статистической степени корреляции между значениями фактора риска и уровнем риска, определяется по формуле , где - взаимная информация - конкретное значение фактора риска d - один из уровней риска (центр кластера) - отношения числа появления во всех факторах оценки подготовительных данных и общего количества значений факторов оценки. - вероятность подготовительных данных - условная вероятность (вероятность наступления значения фактора при условии, что фактор принадлежит уровню d); Отношение числа выборочных данных, значение которых , и уровень риска принадлежит уровню d к общему числу выборочных данных, чей уровень принадлежит d. - представляет собой вероятность появления , в то время как данные с атрибутом принадлежат уровню риска d [9]. Рассмотрим пример на основе математической модели, построенной ранее. Для начала сформируем множества активов и факторов риска. Таблица 2 Входные данные для анализа Активы Факторы риска А١ - информационная система персональных данных R1 - кража информации А٢ - база данных поставщиков R2 - внедрение вредоносных программ А٣ - данные матрицы доступа R3 - отказ в обслуживании А٤ - парольная информация R4 - угроза ошибочных действий администратора безопасности Далее эксперту необходимо сформировать матрицу факторов риска (таблица 3), в которой указаны вероятности реализации угроз. Таблица 3 Матрица факторов риска R1 R2 R3 R4 L A1 0.1 0.3 0.3 0.2 ? A2 0.5 0.3 0.4 0.3 ? A3 0.3 0.6 0.5 0.7 ? A4 0.5 0.3 0.3 0.5 ? Последний столбец указывает на уровень безо- пасности, то есть указывает эксперту наименее защищенный актив. Для формирования данных уровней воспользуемся мерой взаимной информации, чтобы определить центр каждого из четырех кластеров. Пример для вычисления взаимной информации между значением риска 0.1 и центром кластера L1. Аналогично проводятся вычисления для других значений и центров. Следующий этап - вычисление расстояния от актива до центра, для определения принадлежности к кластерам. Актив с наибольшими вероятностями атак (A3) находится на самом большом расстоянии от центра L1 и является самым слабозащищенным. Результат показан в таблице ٤. Таблица 4 Результат работы метода R1 R2 R3 R4 L A1 0.1 0.3 0.3 0.2 L1 A2 0.5 0.3 0.4 0.3 L2 A3 0.3 0.6 0.5 0.7 L4 A4 0.5 0.3 0.3 0.5 L3 При добавлении новых данных центры необходимо пересчитать. В результате данный актив наименее защищен, эксперт должен предложить рекомендации по защите данных. Таким образом, применение данного метода позволяет определить наименее защищенные активы с целью выработки рекомендаций по совершенствованию системы защиты для обеспечения высокого уровня защищенности объекта информатизации. Рисунок 1 - Число утечек информации в первом полугодии 2006 - 2018 гг. Рис 1_Класификация.jpg Рисунок 2 - Классификация методов оценки Рисунок 3 - Демонстрация работы кластеризации Таблица 1 Математическая модель метода Этапы оценки Формальное представление Характеристика данных Результат этапа Этап ١. Идентификация активов, угроз и уязвимостей ИС A = {a1, a2 … an} Множество активов, подлежащих защите аn - защищаемый актив n - количество активов Перечень активов T = {t1, t2 … tm} Множество угроз информационной безопасности tm - угроза ИБ m - количество угроз Перечень угроз безопасности V = {v1, v2 … vz} Множество уязвимостей информационной безопасности vz - уязвимость ИБ z - количество уязвимостей Перечень уязвимостей информационной безопасности Этап ٢. Определение актуальных угроз и уязвимостей ИС R = T∩V R = {r1, r2 … rj} Множество факторов риска rj - фактор риска j - количество факторов риска Перечень факторов риска ИС Этап ٣. Формирование центров кластеров. Взаимная информация между значением фактора риска и уровнем риска Начальные центры кластеров Этап ٤. Определение принадлежности активов к центрам и установка нового центра кластеров L = {l1, l2, l3, l4} L1 - высокая безопасность L2 - средняя безопасность L3 - подозрительно L4 - опасно Xi - точка данных (факторов риска актива) Ci - центр кластера N - количество факторов риска Принадлежность активов к центрам Этап ٥. Выявление наименее защищенных активов Формирование таблицы распределения активов по уровням риска
References

1. Analiticheskiy centr InfoWatch. Global'noe issledovanie utechek konfidencial'nosti informacii v I polugodii 2018 goda

2. GOST R ISO/MEK 27005-2010. Informacionnaya tehnologiya. Metody i sredstva obespecheniya bezopasnosti. Menedzhment riska informacionnoy bezopasnosti. [Elektronnyy resurs] - Rezhim dostupa: http://docs.cntd.ru/document/gost-r-iso-mek-27005-2010 (data obrascheniya 16.03.2019)

3. Bur'kova, E. V., Gayfullina D.A., Hakimova E.R. Prikladnaya programma ocenki fizicheskoy zaschischennosti ob'ekta na osnove logiko-veroyatnostnogo podhoda. Materialy VI Mezhdunarodnoy nauchno-prakticheskoy konferencii «Informacionnye resursy i sistemy v ekonomike, nauke i obrazovanii». Penza: Obschestvo «Znanie» Rossii, Privolzhskiy dom znaniy. - 2016. - S. 10-14

4. Atkina V.S., Vorob'ev A.E. Podhod k ocenke riskov narusheniya informacionnoy bezopasnosti s ispol'zovaniem ierarhicheskogo podhoda k ranzhirovaniyu resursov predpriyatiya // Informacionnye sistemy i tehnologii. - 2015. - № 1 (87). - S. 125-131.

5. Cherezov D.S., Tyukachev N.A. Obzor osnovnyh metodov klassifikacii i klasterizacii dannyh // Vestnik Voronezhskogo gosudarstvennogo universiteta. Seriya: Sistemnyy analiz i informacionnye tehnologii. -2009. - № 2. - S. 25-29.

6. Yur'ev V.N. Igrovoy podhod k ocenke riska i formirovaniyu byudzheta informacionnoy bezopasnosti predpriyatiya // Prikladnaya informatika. - 2015. - T.10. - №2(56). - S. 121-126

7. Volosenkov V.O., Gavrilova T.N. Sposoby ocenki riskov informacionnoy bezopasnosti raspredelennyh vychislitel'nyh sistem // Problemy bezopasnosti rossiyskogo obschestva. - 2015. - № 1. - S. 69-74.

8. Prudkovskiy N.S. Klasterizaciya dannyh metodom K-srednih. Bezopasnye informacionnye tehnologii // Sbornik trudov Vos'moy vserossiyskoy nauchno-tehnicheskoy konferencii. NUK «Informatika i sistemy upravleniya». Pod. red. M. A. Basaraba. - 2017. - S. 347-350.

9. Kozlova E. A. Ocenka riskov informacionnoy bezopasnosti s pomosch'yu metoda nechetkoy klasterizacii i vychisleniya vzaimnoy informacii // Molodoy uchenyy. - 2013. - № 5. - S. 154-161

Login or Create
* Forgot password?