Санкт-Петербургский государственный университет
Пономарев Иван Глебович
Выпускная квалификационная работы
Концепция модуля расширения информационно-аналитической платформы на базе SIEMсистемы для повышения внутренней устойчивости предприятия
Уровень образования: Магистратура
Направление 38.04.01 «Экономика»
Основная образовательная программа 38.04.05 «Информационная бизнес-аналитика»
Научный руководитель:
профессор, кафедра Информационных
систем в экономике, д. ф-м. н, Юрков
Александр Васильевич
Рецензент: старший менеджер,
Центр стратегического анализа
производственной конфигурации,
к.э.н., Михаил Игоревич Мелешкин
Санкт-Петербург
2022
Saint Petersburg State University
A concept of the plug-in module of the analytical SIEM-based IT-platform for the
enterprise internal sustainability ensurance
Thesis submitted in partial fulfillment of the requirements
for the degree of
Master of Arts 38.04.01 «Economics»
Information Business-Analytics MA program
I hereby certify
By Ivan G. Ponomarev
that this is entirely my own work
_____________________
unless otherwise stated
Signature
Supervisor
Professor Alexander V. Yurkov
Saint Petersburg
2022
2
СОДЕРЖАНИЕ
ВВЕДЕНИЕ………………………………………………………………………………………………………...4
1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ………………………………………………………………..6
1.1. Внутренняя устойчивость предприятия. Основные понятия………………………………….. .6
1.2. Риски и угрозы в информационной безопасности………………………………………………... 10
1.3. Информационно-аналитическая платформа……………………………………………………….. 13
2.
КОНЦЕПЦИЯ
МОДУЛЯ
РАСШИРЕНИЯ
ИНФОРМАЦИОННО-
АНАЛИТИЧЕСКОЙ ПЛАТФОРМЫ НА БАЗЕ SIEM-СИСТЕМЫ………………………15
2.1. Обзор основных используемых источников……………………………………………………….. 15
2.2. Обзор технических средств обеспечения внутренней устойчивости ……………………….. 20
2.3. Обзор методологических средств обеспечения внутренней устойчивости ……………….. 30
3.
МЕТОДОЛОГИЧЕСКИЕ
РЕКОМЕНДАЦИИ
И
ЭКОНОМИЧЕСКОЕ
ОБОСНОВАНИЕ РАБОТЫ……………………………………………………………………………….. 42
3.1. Методологические рекомендации…………………………………………………………………….. 42
3.2. Экономическое обоснование работы………………………………………………………………… 47
ЗАКЛЮЧЕНИЕ………………………………………………………………………………………………… 51
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ……………………………………………….. 52
3
ВВЕДЕНИЕ
В современных условиях тема обеспечения внутренней безопасности предприятия
становится в значительной степени актуальной, поскольку статистические отчёты последних
лет демонстрируют значительный рост потерь от несанкционированных действий
пользователей.
Таким образом, данные действия напрямую влияют на внутреннюю
устойчивость предприятия, которая характеризует общее финансовое состояние компании,
при котором обеспечивается стабильно высокий результат его функционирования.
Исследователи данной тематики отмечают, что традиционных средств обеспечения
информационной
безопасности,
выступающей
основной
внутренней
устойчивости,
недостаточно, а для повышения эффективности отслеживания потенциально опасного
поведения пользователей необходим новый методологический подход, построенный на
психологическом профилировании сотрудников.
Целью данной работы является формирование непротиворечивой и логичной концепции
модуля расширения информационно-аналитической платформы на базе SIEM-системы для
повышения внутренней устойчивости предприятия. Шаги, необходимые для достижения
поставленной цели можно декомпозировать на следующие задачи:
1. Исследовать предметную область, в том числе – обосновать актуальность данной
работы.
2. Произвести поиск, оценку и анализ научных источников.
3. Сформировать принципы построения концепции и методологические рекомендации.
4. Сформировать концепцию модуля расширения информационно-аналитической
платформы на базе SIEM-системы для повышения внутренней устойчивости предприятия.
5. Обосновать экономическую эффективность данного решения.
Объектом настоящей исследования является негативное влияние человеческого фактора,
как преднамеренное, так и непреднамеренное, на эффективность функционирования
предприятия. Предметом настоящего исследования является методологические и технические
средства и инструменты выявления, купирования и рекреации потенциально опасного
поведения со стороны пользователя информационно-коммуникационной сети предприятия,
чётко идентифицируемого как сотрудник или иной инсайдер.
Научная новизна настоящей работы заключается в отсутствии на отечественном рынке
конкретных тиражируемых решений по предотвращению реализации внутренних угроз с
точки зрения анализа психологического портрета сотрудника и автоматизации самого
процесса тестирования. Более подробно данные вопросы рассмотрены в параграфах 2.2. и 2.3.
4
Как будет продемонстрировано в параграфе 3.2. настоящей работы, методологическое
решение и технический инструментарий его обеспечения имеет прямой финансовый эффект в
формате сокращения издержек на проведение психологического тестирования.
Первый раздел настоящей работы будет посвящён анализу предметной области, в том
числе – определению основных понятий. Во втором разделе будут рассмотрены и описаны
источники, а также – технические и методологические средства обеспечения внутренней
устойчивости предприятия. В третьем разделе будет перечислены методологические
рекомендации и приведен инструментарий, который способен обеспечить выполнение этих
рекомендаций.
Ведущей методологией, на которой основана выпускная квалификационная работа,
является абстрактно-логическая методология. Также следует отметить, что проблематика
будет рассмотрена с точки зрения бизнес-информатики, а именно, преимущественно, с точки
зрения
бизнес-процессов
и
бизнес-значения
описываемых
явлений
и
сущностей.
Статистическая база исследования представлена в параграфе 1.2. настоящей работы,
информационная база – в параграфе 2.1.
Основные методы исследования – системный, построенный на представление об
единстве человека, как пользователя, и информационно-коммуникационной сети, в рамках
информационной системы предприятия, а также – сравнительный подход, позволяющий
выявить необходимые методологические средства и принципы, обеспечивающие внутреннюю
устойчивость предприятия, перечисленные как в отечественных, так и в зарубежных
исследованиях.
5
1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ
1.1. Внутренняя устойчивость предприятия. Основные понятия
Основные понятия в области обеспечения внутренней устойчивости предприятия могут
быть определены как при помощи нормативных документов Российской Федерации, так и при
помощи научных трудов, описывающих области знания, которые по тем или иным причинам
не были учтены в нормативно-правовых актах. При определении подобных понятий
предпочтение будет отдаваться нормативным документам Российской Федерации.
Федеральный закон Российской Федерации «Об информации, информационных
технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ является
основополагающим
документом,
регулирующим
отношения,
возникающие
при
осуществлении права на поиск, получение, передачу, производство и распространение
информации; применении информационно-коммуникационных технологий и обеспечении
защиты информации.
Это означает, что информационные материалы, в том числе и исследования,
производимые и/или осуществляемые на территории Российской Федерации, должны
соответствовать нормам данного федерального закона.
Данный документ также определяет основные термины, используемые для обозначения
описания предметной области исследования. Помимо этого, в данном федеральном законе
приводятся
принципы,
которыми
необходимо
руководствоваться
при
разработке
методологического и/или технического обеспечения внутренней устойчивости предприятия,
в том числе, на концептуальном уровне.
Данный закон определяет критически важные в рамках данной работы понятия, такие
как:
информация – сведения (сообщения, данные) независимо от формы их представления;
информационная система – совокупность содержащейся в базах информации и
обеспечивающих её обработку информационных технологий и технических средств;
информационно-коммуникационная
сеть
–
технологическая
система,
предназначенная для передачи по линиям связи информации, доступ к которой
осуществляется с использованием средств вычислительной техники;
обладатель информации – лицо, самостоятельно создавшее информацию либо
получившее на основании закона или договора право разрешать или ограничивать доступ к
информации, определяемой по каким-либо признакам;
доступ к информации – возможность получения информации и её использования;
6
конфиденциальность
информации
–
обязательное
для
выполнения
лицом,
получившим доступ к определённой информации, требование не передавать такую
информацию третьим лицам без согласия её обладателя;
предоставление информации – действия, направленные на получение информации
определённым кругом лиц или передачу информации определённому кругу лиц;
распространение информации – действия, направленные на получение информации
неопределённым кругом лиц или передачу информации неопределённому кругу лиц.
Из особо важных принципов, описанных в законе, следует привести следующие:
обеспечение безопасности Российской Федерации при создании информационных
систем, их эксплуатации и защите содержащейся в них информации;
неприкосновенность частной жизни, недопустимость сбора, хранения, использования
и распространения информации о частной жизни лица без его согласия.
Также следует привести пункты с 4 по 9 Статьи 9 настоящего закона:
4. Федеральными законами устанавливаются условия отнесения информации к
сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну,
обязательность соблюдения конфиденциальности такой информации, а также ответственность
за ее разглашение.
5. Информация, полученная гражданами (физическими лицами) при исполнении ими
профессиональных обязанностей или организациями при осуществлении ими определенных
видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица
федеральными законами возложены обязанности по соблюдению конфиденциальности такой
информации.
6. Информация, составляющая профессиональную тайну, может быть предоставлена
третьим лицам в соответствии с федеральными законами и (или) по решению суда.
7. Срок исполнения обязанностей по соблюдению конфиденциальности информации,
составляющей профессиональную тайну, может быть ограничен только с согласия гражданина
(физического лица), предоставившего такую информацию о себе.
8. Запрещается
требовать
от
гражданина
(физического
лица)
предоставления
информации о его частной жизни, в том числе информации, составляющей личную или
семейную тайну, и получать такую информацию помимо воли гражданина (физического
лица), если иное не предусмотрено федеральными законами.
9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается
федеральным законом о персональных данных.
7
Указ президента Российской Федерации «О стратегии национальной безопасности
Российской Федерации» от 2 июля 2021 г. № 400 определяет последовательно проводимый
курс, избранный Российской Федерацией в отношении обеспечения национальной
безопасности и, в том числе, в отношении противодействия угрозам информационной и
экономической безопасности.
В частности, в указе президента развитие безопасного информационного пространства
рассматривается как национальный интерес Российской Федерации, а информационная
безопасность – как один из национальных приоритетов.
Также данный документ обозначает использование импортных технологических
решений как уязвимость российских информационных ресурсов. А среди задач по
достижению обеспеченности информационной инфраструктуры Российской Федерации,
перечисляются следующие:
повышение защищённости информационной инфраструктуры Российской Федерации
и устойчивости её функционирования;
развитие
систем
прогнозирования,
выявления
и
предупреждения
угроз
информационной безопасности Российской Федерации, определение источников и их
оперативная ликвидация;
создание условий для эффективного предупреждения, выявления и пресечения
противоправных
действий,
совершаемых
с
использованием
информационно-
коммуникационных технологий;
снижение возможного уровня количества утечек информации ограниченного доступа
и персональных данных;
совершенствование средств и методов обеспечения информационной безопасности на
основе применения передовых технологий.
Таким образом, данный нормативно-правовой акт подтверждает актуальность
проводимого исследования в области обеспечения внутренней устойчивости предприятия, а,
значит, потенциального повышения общего уровня безопасности в экономике.
Помимо терминов, обозначенных в нормативно-правовых актах, имеет место быть ряд
иных понятий, важных для понимания проблематики данной работы. Определения таким
понятиям приведены ниже.
BYOD – принесённые на рабочее место устройства, имеющие встроенные средства и
технологии, обеспечивающие связь в рамках информационно-коммуникационной сети,
которые подключаются к сети предприятия. Важной характеристикой подобных устройств
8
является
несоответствие
политикам
безопасности
предприятия
и
невозможность
проконтролировать соответствие подобным политикам со стороны службы безопасности.
Фреймворк – методологический и/или инструментальный подход к решению
определённой проблемы, либо моделированию определённой ситуации или системы.
Потенциально опасный сотрудник – в данной работе под данным определением будет
пониматься сотрудник, вероятность противоправного, в отношении раскрытия коммерческой
тайны, либо раскрытия конфиденциальной информации, поведения, как преднамеренного, так
и непреднамеренного, рассчитанного при помощи некоторого алгоритма или фреймфорка, в
достаточной степени велика, чтобы определить его причастным к группе риска.
Инцидент – случай нарушения конфиденциальности информации, а также любое,
прогнозируемое при помощи фреймворка или алгоритма, противоправное действие в
отношении предприятия.
SIEM – системы обеспечения безопасности, которые появились в результате развития и
слияния систем SEM и SIM-систем, которые, соответственно, выполняли функции
автоматического мониторинга событий, сбор информации по данным событиям, нахождение
корреляционных правил и последующая генерация предупреждающих сообщений; анализ
накопленной информации со стороны статистики, различных отклонений от нормального
состояния и поведения.
SOAR – набор инструментов, обеспечивающий сведение данных об угроза безопасности
из разных источников с целью их последующего анализа. Состоит из четырёх основных
направлений:
Оркестровка
Автоматизация
Управление инцидентами и взаимодействие
Формирование отчетов
VPN – технологическое решение, обеспечивающее одно или более сетевых соединений
поверх другой сети в форме виртуальной сети.
Интернет вещей – концепция информационно-коммуникационной сети, построенная на
принципе взаимодействия вещей, приспособленных к связи при помощи встроенных средств
и технологий, обеспечивающих передачу сигналов и информации от одного физического
объекта к другому.
Цепочка убийств (уничтожения) – систематический подход к противодействию атаки
и/или вторжения, предполагающий создание набора сценариев для пошагового купирования
9
угрозы. Является производной от военной доктрины США1 и, в базовой версии, включает
следующие последовательные этапы: поиск, исправление, отслеживание, нацеливание,
поражение и оценка.
1.2. Риски и угрозы в информационной безопасности
Исследования в рамках информационной безопасности со второй половины прошлого
десятилетия сходятся на том, что наибольшую угрозу для конфиденциальности информации
несёт внутренний пользователь системы.
Согласно отчёту Cybersecurity Insiders за 2017 год2, 90% опрошенных организаций
считают себя уязвимыми по отношению к внутренним угрозам, 56% назвали внутреннюю
угрозу вызывающей наибольшее беспокойство. Риски усугубляются в связи с тем, что, на
данный момент, значительная часть усилий по обеспечению безопасности предпринимается в
плоскости технических средств. Так, согласно исследователю К. Колвиллу, 94%
правительственных
учреждений
Великобритании
имеют
шифрование
данных
для
беспроводных сетей, 97% используют внутреннюю защиту firewall и 95% используют
сканирование электронной почты для защиты от внешних угроз. При этом, 70% инцидентов,
связанных с мошенничеством, были вызваны инсайдерами, но 90% мер защиты направлены
на внешнюю угрозу.
В соответствии со статистическим отчётом информационного агентства InfoWatch3, в
России три из четырёх утечек информации происходят вследствие действий внутреннего
злоумышленного пользователя. Поэтому, в первую очередь, для учёта российской специфики,
следует говорить о противодействии инцидентам информационной безопасности, вызванным
умышленным поведением сотрудников.
Степень угрозы, которую представляет сотрудник для предприятия, зависит от того, в
какой роли он выступает в рамках инцидента. В глобальном смысле он может выступать в
трёх ипостасях: как неаккуратный пользователь, как посредник и как злоумышленник.
В первом случае пользователь осуществляет непреднамеренное распространение
информации вследствие собственной ошибки, либо по неосторожности.
Во втором случае сотрудник выступает посредником между злоумышленником и
информационно-коммуникационной сетью предприятия, либо передавая конфиденциальную
информацию преступнику, либо же помогая ему с занесением вредоносного программного
E. M. Hutchins, M. J. Cloppert, and R. M. Amin, “Intelligence-driven computer network defense informed by
analysis of adversary campaigns and intrusion kill chains,” Leading Issues in Information Warfare & Security Research,
vol. 1, p. 80, 2011.
2
Insider threat 2018 report // Cybersecurity Insiders, 2017.
3
Утечки информации ограниченного доступа: отчет за 9 месяцев 2020 г. // Экспертно-аналитический
центр InfoWatch. 2020 г.
1
10
обеспечения в систему. В данном случае пользователь не представляет угрозы сам по себе, но
может помогать источнику угрозы.
В третьем случае злоумышленник, как внешний, так и внутренний, сам является
источником угрозы. При этом он может как воспользоваться неаккуратностью пользователя,
так и использовать нелояльного, или, скомпрометированного сотрудника для достижения
своих целей.
Из перечисленных ранее трёх типов угрозы со стороны пользователей информационнокоммуникационной сети предприятия, можно вынести три глобальных группы риска:
риски, связанные с некомпетентностью или неаккуратностью сотрудников;
риски, связанные с нелояльностью сотрудников;
риски, связанные со компетенциями в сфере информационных технологий и
программирования.
В соответствии с исследованием организации Ponemon Institute4, частота реализации и
стоимость ущерба от внутренних угроз предприятия возросла на 31% с 2018 по 2020 годы.
Так, в 2018 году средняя стоимость внутренней угрозы была равна 8,76 миллионов долларов,
а в 2020 году – 11,45 миллионов. При этом число инцидентов выросло на 47% - с 3200 в 2018
году, до 4716 в 2020.
Наиболее частой причиной реализации внутренней угрозы оказался неаккуратный
сотрудник, наиболее дорогостоящей – кража учётных данных. Средняя стоимость инцидента
в этих случаях – 307 тыс. долларов и 4,58 млн. долларов соответственно.
Помимо
репутационных
издержек
и
потенциальных
убытков
от
раскрытия
конфиденциальной информации, предприятие несёт затраты по следующим статьям:
мониторинг и наблюдение;
расследование;
эскалация;
реагирование на инциденты;
сдерживание;
последующий анализ;
рекультивация.
В среднем, по каждой из перечисленных выше статей, затраты с 2018 по 2020 год
выросли на 60%. Стоит отметить, что сумма затрат растёт прямо пропорционально
длительности локализации инцидента информационной безопасности. В частности,
наименьших затрат требовали инциденты, локализовать которые удалось менее, чем за 30
4
2020 Cost of Insider Threats Global Report // Ponemon Institute, 2020.
11
дней, наибольших – те, на локализацию которых потребовалось более 90. При этом следует
отметить, что в среднем требуется 77 дней, то есть, в среднем траты ближе к верхней границе,
чем к нижней.
Данное исследование также предоставляет свою классификацию внутренних угроз:
небрежный сотрудник или подрядчик;
преступный или злонамеренный инсайдер;
похититель учетных данных.
Как будет видно из дальнейшего описания предметной области, существуют различные
классификации внутренней угрозы, которые зависят от точки зрения, с которой моделируется
ситуация.
Отдельным риском для предприятия называют так называемые BYOD-устройства (bring
your own device), которые подключаются к информационно-коммуникационной сети
предприятия через VPN-канал. Риск заключается в том, что данное устройство не находится
под контролем системы, а мониторинг может осуществляться только частично5.
Одним из перспективных рисков для конфиденциальности информации является
уязвимость узлов интернета вещей. Уникальной характеристикой данного риска является
множество устройств с низкими вычислительными мощностями. Такими, как: градусники в
офисных аквариумах, чайники в комнатах отдыха, принтеры и тому подобные устройства.
Подобные узлы интернета вещей особо уязвимы как ко внешним, так и ко внутренним
атакам, если их защита не обеспечена или устройство не настроено должным образом6.
Частично, данный риск может усугубляться упомянутыми ранее BYOD-устройствами,
принесёнными в офис.
Если обобщать информацию о рисках и угрозах информационной безопасности, то
можно
сказать
следующее:
сфера
информационной
безопасности,
в
отношении
конфиденциальности данных, сталкивается с рядом новых вызовов, к наиболее важным из
которых можно отнести уязвимость узлов интернета вещей, уязвимость рабочих устройств
сотрудников, подключающихся к информационно-коммуникационной сети предприятия и
преобладание средств защиты от внешних угроз в противовес защите от внутренних. Данные
риски усугубляются внутренними угрозами, такими, как некомпетентность, нелояльность или
даже враждебность сотрудников. При этом именно внутреннюю угрозу, способную
5
A.S. McGough, D. Wall, J. Brennan, G. Theodoropoulos, E. RuckKeene, B. Arief, C. Gamble, J. Fitzgerald,
A. van Moorsel, S. Alwis, “Insider threats: identifying anomalous human behaviour in heterogeneous systems using
beneficial intelligent software (benware),” Proceedings of the 7th ACM CCS International Workshop on Managing
Insider Security Threats. New York, USA: ACM, 2015.
6
A. Mudgerikar, P. Sharma, E. Bertino Edge-Based Intrusion Detection for IoT devices (2020) ACM
Transactions on Management Information Systems, 11 (4), статья № 18.
12
полностью нивелировать усилия в построении внешнего контура защиты, следует
рассматривать как представляющую наибольшую опасность.
О средствах защиты от внутренней угрозы речь пойдёт в разделе 2 настоящей работы.
1.3. Информационно-аналитическая платформа
Информационно-аналитическая платформа может рассматриваться как разновидность
системы поддержки принятия решений, в широком смысле. В соответствии с приведённой в
источнике7 классификацией, информационно-аналитическую платформу на базе третьего
поколения SIEM-систем можно определить следующим образом: это система поддержки
принятия решений, обеспечивающая автоматизированное реагирование на инциденты
информационной
безопасности
в
рамках
информационно-коммуникационной
сети
предприятия.
Подобная информационно-аналитическая платформа, с учётом масштабируемости
программных модулей, поставляющих ей данные для дальнейшей обработки и анализа,
способна обеспечить реализацию необходимого функционала для удовлетворения запроса на
обеспечение внутренней устойчивости предприятия. Однако, следует отметить, что, на
данный момент, технические средства обеспечения внутренней безопасности и аналитики
инцидентов безопасности оказываются недостаточными. Анализ исключительно технических
данных – о манипуляциях с информационными объектами, сеансах пользователей и иных
активностях в рамках информационной сети, позволяет в некотором роде прогнозировать
противоправное поведение со стороны сотрудника. Но он не учитывает психологический
фактор его состояния. Более подробно данные аспекты будут описаны в разделе 2 настоящей
работы.
Помимо этого, следует отметить, что в настоящий момент, SIEM-системы имеют
встроенный функционал обнаружения аномалий8,однако, при изменении процессов
прогнозирования и обнаружения аномалий, данный программный модуль потребует
доработки. Современные и фундаментальные подходы к обнаружению аномалий будут
описаны в параграфе 2.2. данной работы.
Для обеспечения запроса на обеспечение информационной безопасности и внутренней
устойчивости предприятия, в соответствии с классификацией, приведённой в ранее
обозначенном источнике, система поддержки принятия решений должна обладать
следующими классификационными признаками: по результатам функционирования –
7
В.Г. Халин, Г.В. Чернова, А.В. Юрков, Укрупнённая классификация систем поддержки принятия
решений // Прикладная информатика – Journal of applied informatics, 2016 том 11, № 1 (61), с. 114-126.
8
С.Г. Фомичева Функциональные особенности siem-решений нового поколения // Завалишинские
чтения'21. XVI Международная конференция по электромеханике и робототехнике. Санкт-Петербург, 2021. С.
327-333.
13
управленческие решения, предлагаемые системой как окончательные; по степени участия
человека – экспертная система; по степени охвата методологической информации – система
поддержки принятия решений (СППР) в «широком смысле», предназначенная для
информационной и методологической поддержки подготовки управленческого решения.
Информационно-аналитические системы, как СППР в широком смысле, состоят из трёх
подсистем: блока общей и специализированной информационной поддержки, блока
методологической и инструментальной поддержки принятия решений и блока, описывающего
конкретные задачи предметной области.
В связи с описанным выше, следует заключить, что система поддержки принятия
решений в широком смысле, а именно – информационно-аналитическая платформа,
обеспечиваемая функциями как SIEM-систем, так и специализированного программного
обеспечения, предназначенного для обнаружения аномалий, способна обеспечивать
соблюдение и реализацию политик по сохранению состояния внутренней устойчивости
предприятия перед внутренними угрозами.
14
2. КОНЦЕПЦИЯ МОДУЛЯ РАСШИРЕНИЯ ИНФОРМАЦИОННОАНАЛИТИЧЕСКОЙ ПЛАТФОРМЫ НА БАЗЕ SIEM-СИСТЕМЫ
2.1. Обзор основных используемых источников
Первостепенной задачей в рамках написания выпускной квалификационной работы был
поиск и отбор источников, составляющих базу исследования. Для поиска статей и иной
информации, необходимой для проведения данного исследования были выбраны следующие
информационные базы:
1.
eLibrary:
2.
WoS:
3.
SCOPUS:
4.
Science Direct:
5.
Google Scholar:
6.
Библиотека РФФИ:
7.
Библиотеки/Журналы ведущих университетов:
8.
Журналы передовых компаний;
9.
СПАРК;
10. LexisNexis;
11. Scientific Journal Raiting.
Для обеспечения актуальности, получаемой из статей и иных источников, найденных в
перечисленных выше базах, информации были использованы следующие критерии отбора
конечных источников:
1.
Цитируемость (не ниже 20), если статья была опубликована в 2018 году и ранее;
2.
Индексация в SCOPUS;
3.
Квартиль журнала, в котором была напечатана статья;
4.
Данные в СПАРК (если предприятие);
5.
Данные в LexisNexis (если иностранное предприятие);
6.
Индекс Хирша (не ниже 5);
7.
Иные, заслуживающие внимания, факторы.
Для поиска релевантных для целей исследования первоначально были выделены
следующие ключевые слова и словосочетания: personnel security, information security, internet
of things, anomaly detection, insider threats, attack tree, artificial intelligence и human resource
management, SIEM и framework.
Следует отметить, что первые три критерия отбора источников в полной мере
соблюдались для первого пула источников, определённого осенью 2020 года. Источники,
15
отобранные позднее могут не соответствовать данным критериям полностью. С причинами,
по которым они были включены в исследование, можно ознакомиться при просмотре таблицы
2.3.
В таблице 2.1 приведена характеристика основных источников, использованных при
написании выпускной квалификационной работы.
Таблица 2.1.
Основные использованные источники*
№
Наименование
1
Modern
Information
Technologies in HRM:
Conept
of
Personnel
Security
Understanding
Insider
Threat: A Framework for
Characterising Attacks
Deep
Learning
for
Unsupervised
Insider
Threat
Detection
in
Structured Cybersecurity
Data Streams
Insider Threats: Identifying
Anomalous
Human
Behaviour
in
Heterogeneous
Systems
Using
Beneficial
Intelligent Software (Benware)
Smart
sewing
work
measurement system using
IoT-based
power
monitoring device and
approximation algorithm
Intelligence-Driven
Computer
Network
Defense Informed by
Analysis of Adversary
Campaigns and Intrusion
Kill Chains
Anomaly detection in
Industrial Control Systems
using Logical Analysis of
Data
IoT Devices in the
Workplace:
Assessing
Emerging Challenges for
the Enterprises - A
Systematic Meta-Analysis
Edge-Based
Intrusion
Detection for IoT devices
2
3
4
5
6
7
8
9
Год
Наличие
в
базе
SCOPUS
Цитируемость
2019
+
1
Данные в SJR
отсутствуют
2014
+
221
Данные за 2014 год отсутствуют
SJR
2014
+
277
Данные в SJR отсутствуют
2015
+
22
Данные в SJR
отсутствуют
5
2020
+
10
Q1
142
2011
+
1086
2020
+
27
2020
+
-
Данные за 2020 год отсутствуют
SJR
2020
+
5
Q1 (Computer
Science)
16
Квартиль
журнала
(минимальный
за последние 3
года)
Индекс
Хирша
5
Данные в SJR отсутствуют
Q1
92
29
№
Наименование
10
Detecting potential insider
threat: Analyzing insiders’
sentiment exposed in social
media.
Security
and
Communication Networks.
N-baiot—network-based
detection of IoT botnet
attacks
using
deep
autoencoders
Automated
Biometric
Personal
IdentificationTechniques
and
Applications
The role of deterrability for
the effect of multi-level
sanctions
on
information security policy
compliance: Results of a
multigroup analysis
Client-specific
anomaly
detection
for
face
presentation
attack
detection
A Multi-Tiered Framework
for
Insider
Threat
Prevention
Sustainable development
goals: conceptualization,
communication
and
achievement synergies in a
complex
network
framework
Построение
психологического
портрета человека с
применением технологий
обработки естественного
языка
Прогнозирование
психологических
характеристик человека
на
основании
его
цифровых следов
Методика оценки рисков
информационных систем
на
основе
анализа
поведения пользователей
и
инцидентов
информационной
безопасности
Психометрика
русскоязычной версии
big five inventory-2
Integration
of
cyber
security
frameworks,
models and approaches for
11
12
13
14
15
16
17
18
19
20
21
Год
Наличие
в
базе
SCOPUS
Цитируемость
Квартиль
журнала
(минимальный
за последние 3
года)
2018
+
21
Q3
43
2018
+
588
Q2
101
2020
+
2
2021
+
9
Q1
168
2021
+
18
Q1
210
2021
+
4
Данные за 2021 в SJR
отсутствуют
2022
+
-
Q2
2021
+
2
2020
+
5
2021
+
-
2021
+
6
Q4
4
2018
+
37
Нет данных в
SJR
50
17
Индекс
Хирша
Данные за 2020 год отсутствуют
SJR
13
Нет данных по журналу в SJR
Q4
4
Нет данных по журналу в SJR
№
22
Наименование
building design principles
for the internet-of-Things
in industry 4.0
IoT
security
a
comprehensive life cycle
framework
Год
Наличие
в
базе
SCOPUS
Цитируемость
2019
+
5
Квартиль
журнала
(минимальный
за последние 3
года)
Индекс
Хирша
Нет данных по конференции в
SJR
*Составлено на основании источников: «URL: https://www.scimagojr.com/ (Дата
обращения: 11.05.2022) – сайт международного научного рейтинга журналов и стран.» и
«URL: https://scholar.google.com/ (Дата обращения: 11.05.2022) – сайт Академии Google.»
В таблице 2.2. представлены статистические сборники и отчёты, используемые для
обоснования актуальности работы и расчёта экономических показателей эффективности
внедрения решения.
Таблица 2.2.
Статистические сборники и отчёты
Название
Организация
2020 Cost of Insider Threats Global
Report
Оплата труда в Санкт-Петербурге
и Ленинградской области в
январе-июне 2021 года
Ponemon Institute
Insider threat 2018 report
Утечки
информации
ограниченного доступа: отчет за 9
месяцев 2020 г.
Средняя заработная плата одного
работника в Санкт-Петербурге,
начисленная за февраль 2022 года
Источник
информации
организации
LexisNexis
Управление Федеральной службы
государственной статистики по г.
Санкт-Петербургу
и
Ленинградской области
Cybersecurity Insiders
АО «ИнфоВотч»
Сайт «Петростат»
Управление Федеральной службы
государственной статистики по г.
Санкт-Петербургу
и
Ленинградской области
Сайт «Петростат»
об
LexisNexis
СПАРК
Дополнительные источники информации, используемые по причинам, не связанным с
наукометрическими характеристиками, представлены в таблице 2.3.
Таблица 2.3.
Дополнительные источники информации
№
Наименование
Причина включения в список
1
Коробченко А., Черницын И. (2020)
Ценность данных // Сибирская нефть №
169, сс. 54-58
Статья подчёркивает актуальность расширения
возможностей искусственного интеллекта со стороны
крупного бизнеса.
18
№
Наименование
Причина включения в список
2
Об информации, информационных
технологиях и о защите информации:
Федеральный закон Российской
Федерации от 27 июля 2006 г. № 149-ФЗ (с
изм. и доп., вступ. в силу с 01.01.2022).
Является нормативно-правовым актом, определяющим
основные понятия и правовые нормы в области
информационного права и безопасности.
3
О стратегии национальной безопасности
Российской Федерации: Указ президента
Российской Федерации от 2 июля 2021 г.
№ 400.
Является нормативно-правовым актом, определяющим
цели и приоритеты развития национальной
безопасности Российской Федерации.
5
В.Н. Дружкова, Н.Л. Грязнова Анализ и
оценка состояния трудовых ресурсов,
определяющих кадровую безопасность,
как составляющую экономической
безопасности организации // Техника и
технология пищевых производств. 2017.
№2.
В статье уточняются параметры оценки степень
кадровой безопасности с точки зрения исследования
трудовых ресурсов.
6
С.Г. Фомичева Функциональные
особенности siem-решений нового
поколения // Завалишинские чтения'21.
XVI Международная конференция по
электромеханике и робототехнике. СанктПетербург, 2021. С. 327-333.
Статья представляет обобщённый обзор актуального
уровня SIEM-систем.
7
В.Г. Халин, Г.В. Чернова, А.В. Юрков,
Укрупнённая классификация систем
поддержки принятия решений //
Прикладная информатика – Journal of
applied informatics, 2016 том 11, № 1 (61),
с. 114-126.
Является источником, посвящённым классификации
система поддержки принятия решений. На основе
данного материала возможно определить
принадлежность системы к тому или иному классу
систем поддержки принятия решения.
8
Т.Л. Крюкова Методы изучения
совладающего поведения: три копингшкалы. 2-е изд., исправленное,
дополненное. Кострома: КГУ им. Н.А.
Некрасова, 2010. 62 с.
Монография посвящена методологии выявления
стратегий человека по защите от стресса, является
признанной адаптацией иностранный методики.
9
Ю.В. Щербатых Психология стресса и
методы коррекции. 2-е изд., исправленное,
дополненное. СПб: Питер, 2012. 330 с.
Книга посвящена психологии стресса, в том числе –
методов определения уровня стресса.
10
URL: https://www.infowatch.ru/ (Дата
обращения: 08.05.2022) – сайт
информационного агентства InfoWatch.
Данный сайт предоставляет информацию о
функционировании отечественного решения по
предотвращению утечек конфиденциальных данных
на предприятии.
11
URL: https://spb.hh.ru/ (Дата обращения:
10.05.2022) – сайт группы компаний
HeadHunter.
Данный сайт предоставляет информацию об
актуальных расценках по заработной плате для
различных позиций штатного расписания.
12
URL: https://nenuda.ru/ (Дата обращения:
11.05.2022) – сайт центрального комитета
профсоюза работников здравоохранения.
Данный сайт предоставляет широкий спектр
информации о деятельности профсоюза работников
здравоохранения и о смежных темах.
13
URL: https://www.scimagojr.com/ (Дата
обращения: 11.05.2022) – сайт
международного научного рейтинга
журналов и стран.
Данный сайт предоставляет информацию о рейтинге
журналов, которая необходима для оценки
релевантности источников.
19
№
Наименование
Причина включения в список
14
URL: https://scholar.google.com/ (Дата
обращения: 11.05.2022) – сайт Академии
Google.
Данный сайт предоставляет информацию о
цитируемости исчтоников.
2.2. Обзор технических средств обеспечения внутренней устойчивости
Как было определено в разделе 1 данной работы, одной из важнейших задач в области
обеспечения внутренней устойчивости предприятия является определение эффективных
средств мониторинга, анализа и сдерживание деятельности потенциально опасного
сотрудника, которые невозможно реализовать исключительно за счёт технических средств.
Однако, первостепенной задачей по-прежнему остаётся обеспечение выполнения
базовых требований со стороны конфиденциальности информации, в том числе – защита от
внутренних угроз, вредоносного программного обеспечения и техническое решение вопросов
внутренней безопасности.
В данном параграфе будут рассмотрены технические средства, которые обеспечивают
соблюдение первого принципа формируемой концепции, указанного в параграфе 3.1. с одной
стороны,
а
также
технические
решения,
позволяющие
обеспечить
реализацию
методологического подхода.
В источнике9 приводится пример интеллектуальной системы обеспечения безопасности
информационно-коммуникационной сети предприятия. В рамках данного исследования
центральным элементом системы обнаружения вторжения называется «индикатор» - любая
единица информации, которая однозначно описывает вторжение. Всего авторы выделяют три
типа индикаторов:
атомарные – неделимые единицы, сохраняющие своё значение в рамках анализа
вторжения, к ним могут относиться ip-адреса, идентификаторы электронной почты и иные
идентификаторы уязвимостей;
вычисляемые – показатели, полученные при помощи обработки исторической
информации;
поведенческие - комбинация атомарных и вычислительных индикаторов, иными
словами – некоторые правила, обличённые в единицу фреймворка.
E. M. Hutchins, M. J. Cloppert, and R. M. Amin, “Intelligence-driven computer network defense informed by
analysis of adversary campaigns and intrusion kill chains,” Leading Issues in Information Warfare & Security Research,
vol. 1, p. 80, 2011.
9
20
Последовательность элементов работы с индикаторами образуют жизненный цикл
индикатора, позволяющий совершенствовать аналитическую модель по работе с вторжением.
Составляющие жизненного цикла индикатора представлены на рисунке 2.2.
Рисунок 2.2. Жизненный цикл индикатора
Составлено по: E. M. Hutchins, M. J. Cloppert, and R. M. Amin, “Intelligence-driven computer
network defense informed by analysis of adversary campaigns and intrusion kill chains,” Leading
Issues in Information Warfare & Security Research, vol. 1, p. 80, 2011.
Далее авторы рассматривают свой подход в рамках понятия цепочки убийств,
определённого в параграфе 1.1. настоящей работы. Однако, в данной работе этапы цепочки
уничтожения включает иные этапы, конкретизированные с точки зрения внешней угрозы:
1. Разведка – исследование исторической информации с целью идентификации и выбора
конкретных угроз.
2. Вооружение – создание вредоносного программной единицы, позволяющий получить
удалённый доступ к информационно-коммуникационной сети предприятия.
3. Доставка – передача вредоносной программной единицы в информационнокоммуникационную сеть предприятия.
4. Эксплуатация – использование уязвимых мест программной среды.
5. Установка – активация вредоносной программной единицы.
6. Управление и контроль – управление действиями вредоносной программной
единицы.
7. Действия по достижению целей – осуществление противоправных действий со
стороны злоумышленника.
21
При моделировании цепочки убийств определение последовательности действий
злоумышленника с максимальной конкретизацией шагов на каждом из этапов позволяет
эффективно противостоять угрозам внутренней устойчивости предприятия, как эндогенным,
так и экзогенным. Следует также отметить, что в случае с заражением информационнокоммуникационной
сети
предприятия
вредоносной
программной
единицей
последовательность действий в зависимости от направления угрозы не слишком различается.
Важнейшими отличиями в данном случае являются: во-первых, повышенная уязвимость к
внутренней угрозе, во-вторых, возможность спрогнозировать противоправное действие со
стороны пользователя, как это было описано в параграфе 1.2. и будет более подробно
разобрано в настоящем и следующем параграфах.
Следует обратить внимание на то, что важнейшей функцией цепочки убийств авторы
называют обеспечение структуры анализа. Как и в случае с алгоритмами проникновения
злоумышленника в информационно-коммуникационную сеть предприятия, определённое
сочетание психологических характеристик, сопоставляемое с наблюдаемым поведением или
же в отрыве от него, может быть рассмотрено как сигнал о потенциальной угрозе со стороны
сотрудника. Сложность в данном случае состоит в том, что, в отличие от внешней угрозы,
деятельность сотрудника следует блокировать только в случаях достижения потенциальной
угрозы со стороны пользователя некоего порогового уровня, в противном случае, при любом
подобном «сигнале» предприятие будет терпеть убытки, связанные отсутствием возможности
у сотрудника работать до проведения разбирательства. Технологические и методологические
средства определения как уровня угрозы, так и конкретизации подобных сигналов будут
приведены далее.
На данный момент одним из средств противодействия, в том числе, внутренним угрозам
являются SIEM-системы10. В данном случае следует понимать под SIEM-решением систему
управления информацией и событиями в области безопасности. На данный момент актуально
третье поколение подобных систем, данный этап развития предоставляет потенциальному
потребителю следующие возможности:
1. идентификацию сложных угроз – обеспечивается автоматическим поведенческим
профилированием,
которое
позволяет
обнаруживать
угрозы,
не
регистрируемые
корреляционными правилами;
С.Г. Фомичева Функциональные особенности siem-решений нового поколения // Завалишинские
чтения'21. XVI Международная конференция по электромеханике и робототехнике. Санкт-Петербург, 2021. С.
327-333.
10
22
2. «боковое
обнаружение»
-
анализ
данных
совокупной
информационно-
коммуникационной сети предприятия с целью обнаружения смены IP-адресов, учетных
данных и виртуальных, а также реальных, машин злоумышленником;
3. анализ поведения объекта – изучение уникального поведения критических элементов
и активов сети предприятия с целью дальнейшего выявления аномалий;
4. обнаружение угроз без правил или сигнатур – использование машинного обучения
для обнаружения инцидентов без существовавших ранее определений;
5. автоматическое реагирование на инцидент – подготовка моделей поведения SIEMсистемы для реагирования на определённые типы инцидентов.
Предоставление данных возможностей обеспечивается при помощи элементов SIEMсистемы и структуры их связей, представленных на рисунке 2.1.
Рисунок 2.1. Схематическое изображение элементов SIEM-систем 3-го поколения
Составлено по: С.Г. Фомичева Функциональные особенности siem-решений нового
поколения // Завалишинские чтения'21. XVI Международная конференция по
электромеханике и робототехнике. Санкт-Петербург, 2021. С. 327-333.
В
качестве
обеспечивающих
программных
приложений
SIEM-системы
могут
использовать различные программные средства обеспечения и мониторинга безопасности, в
том числе:
DPL-системы – собирают данные о попытка спровоцированных изнутри утечек и
нарушения прав доступа;
23
IDS/IPS-системы – хранят данные о происходивших атаках, изменениях в
конфигурациях и доступе пользователей к устройствам;
антивирусные
приложения
–
формируют
базу
событий
безопасности
и
работоспособности программного обеспечения, баз данных, конфигураций и политик, а также
– данные о вредоносном коде;
журналы событий серверов и рабочих станций – обеспечивают контроль и
непрерывность доступа, соблюдение политик информационной безопасности;
межсетевые экраны – осуществляют фильтрацию сетевого трафика и сбор сведений
об атаках и вредоносном программном обеспечении;
сетевое активное оборудование – предназначено для контроля доступа и учёта
сетевого трафика;
сканеры уязвимостей – предоставляют данные об активах, сервисах, их уязвимостях
и топологической структуре;
системы инвентаризации – осуществляют поставку данных для контроля активов, как
старых, так и новых;
системы веб-фильтрации – осуществляют мониторинг посещения сотрудниками
потенциально опасных или запрещённых, в соответствии с политиками безопасности, вебсайтов.
Исторические данные об инцидентах, политиках и, в целом, событиях безопасности
могут занимать значительные объёмы жёсткой памяти в хранилищах предприятий, так,
крупным компаниям может требоваться до 10 терабайт свободного места на носителях
ежемесячно. В таких условиях важным преимуществом SIEM-систем становятся стратегии
сокращения объёмов журналов:
серверы системного журнала – выступает стандартом, позволяющим отсекать
ненужную информацию, что обеспечивает сжатие журналов и сохранение важной
исторической информации;
графики удаления – обеспечивают автоматическую очистку старых журналов,
которые более не являются релевантным источником;
фильтрация журналов – обеспечивает определение и следование правилам и
требованиям соответствия для журналов;
реферирование данных – поддерживает обогащение данных для сохранения важных
данных, в том числе подсчёт событий, уникальные IP-адреса и т.д.;
исторические журналы – предназначены для аудита правил безопасности, судебной
экспертизы и глубокого поведенческого анализа.
24
Автор статьи отмечает, что в будущем процессы сбора данных о событиях безопасности
могут стать полностью автоматическими, что будет достигнуто за счёт инкапсуляции
механизмов
мониторинга
и
реагирования
в
базовый
функционал
корпоративных
информационных систем.
Следует
считать, что
соблюдение принципа обеспечения
«базового
уровня»
безопасности достигается использованием рыночных решений в сфере информационной
безопасности, таких, как корпоративные SIEM-системы и их источники данных, в сочетании
с использованием как рыночных, так и индивидуальных разработок по усовершенствованию
поиска
аномалий
поведения
программ
и
процессов
в
рамках
информационно-
коммуникационной сети предприятия.
Но, как было указано в параграфе 1.2. данной работы, программных средств,
направленных на анализ исключительно технической информации, продуцируемой и
поставляемой программными продуктами и поведением пользователей в информационной
среде, недостаточно для обеспечения информационной безопасности предприятия, а, значит,
и его внутренней устойчивости. Для прогнозирования и предупреждения противоправного
поведения со стороны внутреннего пользователя, в соответствии с методологическими
средствами, обозначенными в параграфе 2.2., требуется применение обеспечивающих
применение методологий технических средств, которые будут рассмотрены далее.
В источнике11 рассматривается построение модели анализа «органических» отчётов при
помощи обработки естественного языка для определения внутренних рисков предприятия.
Построение конечной модели происходит в четыре этапа:
1. Сбор данных:
1.1. Сбор случаев внутренних угроз, взятых из открытых источников;
1.2. Сбор отчётов, относящихся к конкретному случаю внутренней угрозы,
написанные как формальным, так и неформальным языком.
Важно, чтобы на втором шаге первого этапа был создан корпус источников, которые бы
по-разному, в том числе стилистически, описывали бы конкретную произошедшую ситуацию.
Данные материалы послужили базисом для воссоздания ситуации в трёх сюжетах, которые,
затем, было предложено проанализировать специалистам.
2. Создание помеченных отчётов – разделение текстов на отдельные предложения,
каждое из которых относится к тому или иному аспекту проведения атаки, в соответствии с
11
K. Paxton-Fear, D. Hodges, O. Buckley Understanding insider threat attacks using natural language
processing: Automatically mapping organic narrative reports to existing insider threat frameworks (2020) Lecture Notes
in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics),
12210 LNCS, pp. 619-636.
25
элементами, приведёнными в источнике, который более подробно будет рассмотрен в
параграфе 2.3.12.
3. Создание и оптимизация вычислительных моделей – формирование пула тем из
обозначаемых в ранее обозначенных промаркированных предложениях, а также удаление
лишних слов, не несущих для метода обработки естественного языка практической пользы.
4. Применение и отображение вычислительной модели – присвоение каждому из
предложений одной из тем, определённых на шаге 3, с последовательным сопоставлением
предложений, с уже присвоенной темой, с элементами фреймворка.
Полученная модель позволяет автоматизировать когнитивные усилия аналитиков в
области исследования внутренней угрозы и изучения как внутренних, так и внешних отчётов.
Помимо этого, это расширяет потенциальную базу исследуемых источников, поскольку
подобные исследования более не будут оттягивать трудовые ресурсы.
Авторы
считают,
что
данную
модель
можно
использовать
для
построения
гипотетических моделей, представляющих повседневные уязвимости: непреднамеренные
нарушения или ошибки со стороны сотрудников.
В ином источнике13 приводится пример системы обнаружения аномалий в поведении
сотрудника в рамках информационно-коммуникационной сети предприятия. Данный
источник формирует общее представление о том, при помощи каких алгоритмов расчёта и
методов использования искусственного интеллекта может быть построена система
обнаружения аномалий.
Общий алгоритм работы системы можно описать следующим образом: необработанные
события из пользовательских журналов системы обрабатываются, за счёт чего производится
построение вектора поведения для каждого сотрудника на каждый день; затем данные векторы
вводятся в нейронную сеть, формируя подсистему нейросетей для каждого из пользователей;
осуществляется моделирование «нормального» поведения сотрудника. Аномалия, в данном
случае,
рассматривается
пропорционально
установленной
допустимой
ошибке
прогнозирования.
Данный алгоритм, в целом, характеризует последовательность профилирования
сотрудников по каждому из направлений: как техническому, так и по поведенческому, или
психологическому. Об особенностях приведённых направлений профилирования будет
рассказано в параграфе 2.2.
12
J.R. Nurse, O. Buckley, P.A. Legg, M. Goldsmith, S. Creese, G.R. Wright, M. Whitty, “Understanding insider
threat: a framework for characterising Attacks,” Security and Privacy Workshops (SPW), pp. 214-228, 2014.
13
A. Tuor, S. Kaplan, B. Hutchinson, N. Nichols, S. Robinson, “Deep learning for unsupervised insider threat
detection in structured cybersecurity data streams,” The AAAI-17 Workshop on Artificial Intelligence for Cyber Security,
pp. 224-231, 2014.
26
На первом этапе алгоритма система извлекает две категории данных:
категориальные функции пользователя – роль, подразделение, отдел, прямой
руководитель, проект и команда;
исчислимые категории – подсчёт некоторого множества действий, к которым авторы
относят: открытие, изменение, копирование и удаление файла, получение и отправка
электронных сообщений, взаимодействие с интернет-страницами, в том числе – посещение,
загрузка и скачивание файлов, вход и выход из системы, подключение и отсоединение
устройств. Приведённые ниже формулы составлены на основе: A. Tuor, S. Kaplan, B.
Hutchinson, N. Nichols, S. Robinson, “Deep learning for unsupervised insider threat detection in
structured cybersecurity data streams,” The AAAI-17 Workshop on Artificial Intelligence for Cyber
Security, pp. 224–231, 2014.
На втором этапе первого шага происходит обучение с использованием модели глубокой
нейронной сети по формуле 2.1:
𝑢
𝑢
ℎ𝑙,𝑡
= 𝑔(𝑊𝑡 ℎ𝑙−1,𝑡
+ 𝑏𝑙 )
Формула 2.1. Модель глубокой нейронной сети
где ℎ𝑙𝑢 – скрытый вектор, u – идентификационный номер пользователя, t – значение
отметки временного ряда, W – значение весовой матрицы, b – вектор смещения, g –
нелинейная активирующая функция.
На втором этапе происходит анализ наблюдаемого поведения, авторы использовали для
этого долгую краткосрочную память, для которых применялись следующие формулы:
𝑢
𝑢
𝑢
ℎ𝑙,𝑡
= 𝑜𝑙,𝑡
∗ tan ℎ (𝑐𝑙,𝑡
)
Формула 2.2. Скрытый вектор в рекуррентной нейронной сети
𝑢
𝑢
𝑢
𝑢
𝑢
𝑐𝑙,𝑡
= 𝑓𝑙,𝑡
∗ 𝑐𝑙,𝑡−1
+ 𝑖𝑙,𝑡
∗ 𝑔𝑙,𝑡
Формула 2.3. Ячейка долговременной памяти в рекуррентной нейронной сети
𝑢
𝑔𝑙,𝑡
= tan ℎ (𝑊𝑙
(𝑔,𝑥) 𝑢
(𝑔,ℎ) 𝑢
𝑔
ℎ𝑙−1,𝑡 + 𝑊𝑙
ℎ𝑙,𝑡−1 + 𝑏𝑙 )
Формула 2.4. Нелинейная активирующая функция в рекуррентной нейронной сети
𝑢
𝑓𝑙,𝑡
= 𝜎(𝑊𝑙
(𝑓,𝑥) 𝑢
(𝑓,ℎ) 𝑢
ℎ𝑙−1,𝑡 + 𝑊𝑙
ℎ𝑙,𝑡−1 + 𝑏𝑙𝑖 )
Формула 2.5. Модель передачи информации о состоянии ячейки во времени
𝑢
𝑖𝑙,𝑡
= 𝜎(𝑊𝑙
(𝑖,𝑥) 𝑢
(𝑖,ℎ) 𝑢
ℎ𝑙−1,𝑡 + 𝑊𝑙
ℎ𝑙,𝑡−1 + 𝑏𝑙𝑖 )
Формула 2.6 Модель включения ввода в ячейку состояния
𝑢
𝑜𝑙,𝑡
= 𝜎(𝑊𝑙
(𝑜,𝑥) 𝑢
(𝑜,ℎ) 𝑢
ℎ𝑙−1,𝑡 + 𝑊𝑙
ℎ𝑙,𝑡−1 + 𝑏𝑙𝑜
Формула 2.7 Модель соотнесения скрытого состояния с состоянием ячейки
27
На этапе разложения вероятностей авторы предлагают использовать формулу 2.8.
𝑢
𝑎𝑡𝑢 = log 𝑃𝜃 (𝑥𝑡𝑢 |ℎ𝑡−1
)
Формула 2.8. Разложение вероятности
где 𝑥𝑡𝑢 – следующий момент исследования, 𝑎𝑡𝑢 – аномалия для пользователя u в момент
𝑢
времени t, ℎ𝑡−1
– скрытое состояние во время прошлого исследования.
Данная формула вероятности должна быть уточнена с поправкой на категориальные
функции пользователя, обозначенные ранее. Уточнение по категориальным функциям
представлено формулой 2.9.
𝑢 )
𝑢
𝑃𝜃 (𝑥𝑡𝑢 |ℎ𝑡−1
= 𝑃𝜃 (𝑥𝑡𝑢 , 𝑅𝑡𝑢 … 𝑆𝑡𝑢 |ℎ𝑡−1
)
Формула 2.9. Уточняющая формула
где R – роль, P – проект, F – подразделение, D – департамент, T – команда, S – прямой
руководитель.
Авторы отмечают, что для моделирования аномального поведения требуется
значительный объём исторической информации для релевантного определения аномалии в
действиях пользователя в рамках информационно-коммуникационной сети предприятия.
Помимо этого, следует учитывать контекст конкретного дня, в рамках которого производится
мониторинг действий пользователя. Это, в первую очередь, связано с наличием «аномальных»
дней, в которых общие показатели в целом будут аномальными.
Данный источник предоставляет обобщённую модель поиска аномалий в поведении
пользователей на уровне технического наблюдения. В рамках «категориальных функций
пользователя» даётся общее представление о том, что качественные показатели позиции
пользователя также следует учитывать. Помимо этого, данное исследование подчёркивает
необходимость учёта «не-технических» факторов, позволяющих судить о потенциальной
опасности сотрудника, поскольку
Источник14 приводит вариант проведения психологического тестирования пользователя
на основе речевого поведения при помощи технологии обработки естественного языка.
Методологией психологического тестирования в данном исследовании был выбран тест
Майерс-Бриггс, определяющий тип личности человека по 4 шкалам: ИнтроверсияЭкстраверсия, Ощущение-Интуиция, Мышление-Чувство и Суждение-Восприятие. Всего
Т.М. Татарникова, П.Ю. Богданов Построение психологического портрета человека с применением
технологий обработки естественного языка // Научно-технический вестник информационных технологий,
механики и оптики. 2021. №1.
14
28
возможно шестнадцать результатов. В рамках данного теста респонденту присваивается
некоторое значение по каждой из приведённых шкал и, в зависимости от данного значения,
ему присуждается та или иная качественная категория, представленная по каждой шлаке
парами.
Данная методология в достаточной мере схематична, однако, позволяет получить
обобщённое представление о личности респондента и его возможных склонностях.
Тренировочным набором данных послужили записи речи людей, переведённые в формат
текста с приложенными к ним результатами классического тестирования и комментариями
известных людей, принадлежащих к каждому из шестнадцати психотипов. Технология
предобработки текста схожа с аналогичным методом в источнике15. Приведённые ниже
формулы
составлены
на
основе:
Т.М.
Татарникова,
П.Ю.
Богданов
Построение
психологического портрета человека с применением технологий обработки естественного
языка // Научно-технический вестник информационных технологий, механики и оптики. 2021.
№1.
Принцип обработки данных при помощи вектора параметров строится на формуле 2.10.
𝑇𝐹 − 𝐼𝐷𝐹(𝑡, 𝑑, 𝐷) = 𝑇𝐹(𝑡, 𝑑)𝐼𝐷𝐹(𝑡, 𝐷)
Формула 2.10. Вектор параметров теста Майерс-Бриггс
где TF – частота слова t в каждом из экземпляров d выборки D электронных документов;
IDF – вес редких слов.
TF рассчитывается по формуле 2.11.
𝑇𝐹(𝑡, 𝑑) =
𝑛𝑡
∑𝐾
𝑘−1 𝑛𝑘
Формула 2.11. Частота слова в выборке экземпляров
где 𝑛𝑡 – сумма случаев обнаружения слова t в документе d, K – сумма слов в конкретном
документе.
Формула оценки IDF – 2.12.
𝐼𝐷𝐹(𝑡, 𝐷) = log
𝐷
𝐷𝐹(𝑡)
Формула 2.12. Вес редких слов
15
K. Paxton-Fear, D. Hodges, O. Buckley Understanding insider threat attacks using natural language
processing: Automatically mapping organic narrative reports to existing insider threat frameworks (2020) Lecture Notes
in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics),
12210 LNCS, pp. 619-636.
29
где D – количество экземпляров в выборке, DF(t) – количество экземпляров, содержащих
слово t.
Для классификации респондентов при помощи анализа речи авторы применили метод
глубокого обучения на базе рекуррентной нейросети типа LSTM, долгой краткосрочной
памяти.
При первичном проведении обучения полученная точность прогноза составила 37%.
После перехода модели к бинарному определению по указанным выше шкалам точность
прогноза возросла до 83%, что может считаться удовлетворительным результатом.
Данный источник является важным для исследования, поскольку, во-первых, позволяет
сделать вывод о том, что психологическое тестирование, проводимое при помощи
автоматизированного механизма, использующего технологию обработки естественного
языка, может быть в достаточной мере релевантным, а во-вторых, позволяет выдвинуть
гипотезу о том, что в случаях применения методологий психологического тестирования,
использующих бинарные шкалы, более эффективным будет применение бинарной
классификации сетей LSTM.
2.3.
Обзор
методологических
средств
обеспечения
внутренней
устойчивости
Центральным вопросом исследований в области информационной безопасности в
прошлом был вопрос о том, как защититься от внешних угроз. На данный момент, более
актуален вопрос о том, как защититься от угроз внутренних, в том числе, таким образом
обезопасив себя от внешних воздействий, которые могут быть реализованы через внутренних
агентов, внедрённых на предприятие и/или подкупленных/привлечённых к сотрудничеству с
внешним злоумышленником иным путём.
Ряд исследователей сходится во мнении, что технические средства обеспечения
безопасности в достаточной степени совершенны и, на данный момент, основным способом
осуществления противоправных действий по отношению к конфиденциальной информации
становится поиск уязвимостей в актуальных версиях программного обеспечения. Вопрос
состоит в первую очередь в том, кто обнаружит уязвимость первым: злоумышленник или
поставщик программного продукта.
При этом, факторы, выходящие за рамки информационной системы в техническом её
выражении, становятся основным источником уязвимостей, которые позволяют обходить
защиту предприятия даже при соблюдении юридическим лицом всех технических норм
обеспечения
безопасности.
Иными
словами,
30
главной
уязвимостью
современных
информационных систем и, шире, информационно-коммуникационных сетей, становится
человеческий фактор.
Для противодействия внутренней угрозы, на протяжении последних 10 лет, был
разработан ряд фреймворков, которые будут приведены ниже. Они, определённым образом,
различаются, но их можно свести к некоей общей сущности, которая будет описана в
параграфе 3.1.
Основополагающим фреймворком, нацеленным на противодействие внутренней угрозе,
на который, прямо или косвенно, будут ссылаться приведённые дальше исследования, можно
назвать фреймворк, описанный в источнике16.
В данном источнике рассматривается схема, при помощи которой возможно
моделировать внутреннюю атаку. Для представления внутренней атаки используются 4
группы характеристик: катализатор, характеристика исполнителя, характеристика атаки и
характеристика организации.
Катализатор представлен единственной характеристикой – провоцирующим событием,
которое способно перевести инсайдера из статуса гипотетической, не заслуживающей
серьёзного внимания, угрозы, в статус потенциальной угрозы.
В свою очередь, характеристика исполнителя представлена группой параметров:
психологическое
состояние
–
представляет
психоэмоциональное
состояние
исполнителя, к подобным состояниям относятся: недовольство, стресс, страх, отсутствие
признания, чувства права, чувство оппортунизма, небрежность, скука и неудовлетворённость.
наблюдаемое физическое поведение – фиксирует актуальное поведение исполнителя
при нахождении в офисе, общении с коллегами, отношение к имуществу компании и иное;
наблюдаемое поведение в информационной среде – связано с действиями
исполнителя в информационно-коммуникационной среде: при использовании интернета,
электронной почты или вычислительных устройств;
историческое
поведение
–
задокументированные,
значительные
для
целей
наблюдения, события прошлого, в том числе: вредные привычки, прецеденты нарушения
правил, криминальное прошлое или проблемы с психикой;
персональные характеристики – включает психологические черты и склонности
исполнителя, основанные как на его врождённом «я», так и приобретённые, данный параметр
может включать в себя результаты различного рода психологического тестов, таких, как
J.R. Nurse, O. Buckley, P.A. Legg, M. Goldsmith, S. Creese, G.R. Wright, M. Whitty, “Understanding insider
threat: a framework for characterising Attacks,” Security and Privacy Workshops (SPW), pp. 214-228, 2014.
16
31
Большая пятёрка ценностей или Тёмная триада, а также зрелость, агрессивность, проблемы с
социальными навыками, поверхностность, самоуважение и личная целостность;
отношение к работе – может быть описано различными степенями лояльности;
мотивация к атаке – отражает причину, по которой исполнитель становится
потенциально
опасным:
финансовую,
политическую,
из
мести,
любопытства
или
удовольствия, жажды власти, конкурентного преимущества или жажды признания;
набор навыков – представляет собой способности исполнителя, необходимые для
проведения атаки, в первую очередь – это опыт в разработке программного обеспечения и
навыки программирования;
возможность – конкретизирует шанс инициации атаки со стороны исполнителя, в том
числе доступ к информационными или иным активам, необходимый для осуществления атаки;
роль в системе предприятия – зависит от должностных прав и обязанностей той или
иной должности на предприятии, в целом, описывает потенциальные направления атаки,
которые зависят, в том числе, от должностных полномочий;
тип исполнителя – описывает формат отношений между предприятием и
исполнителем: сотрудник, подрядчик или консультант, клиент или заказчик, партнёр,
поставщик, внешний злоумышленник;
состояние отношений – может быть представлено четырьмя статусами: текущие
отношения, бывшие (с уволенными сотрудниками), переходное (от текущих к бывшим, в
частности – состояние после уведомления сотрудника о грядущем увольнении) и временное
(срочный трудовой договор).
Характеристика атаки состоит из следующих параметров:
атака – действие, осуществляемое исполнителем, оказывающее негативное влияние,
может быть как преднамеренным, так и случайным;
цель атаки – как правило, может быть представлен в виде: финансовой выгоды,
личной выгоды, политической выгоды и ущерба организации;
шаг атаки – подробно определяет какие конкретные действия предпринимаются
исполнителем для проведения атаки на каждом из этапов;
цель шага атаки – соответствующее шагу атаку назначение, логически и
непротиворечиво поддерживающее общую последовательность действий.
Характеристика предприятия представлена двумя категориями:
активы – имущество, представляющее ценность для предприятия и потенциально
являющееся интересом атаки;
32
уязвимости – слабые места в системе управления или активах предприятия: простые
пароли, незащищённые веб-сервисы, отсутствие эффективных систем безопасности
обеспечения доступа на территорию предприятия.
Как группы, так и сами параметры могут влиять друг на друга и понимание данного
взаимодействия позволяет упростить моделирование атаки. Взаимодействие элементов,
продемонстрированное на рисунке 2.3.
Рисунок 2.3. Взаимодействие элементов фреймворка по определению внутренней атаки
Составлено по: J.R. Nurse, O. Buckley, P.A. Legg, M. Goldsmith, S. Creese, G.R. Wright, M.
Whitty, “Understanding insider threat: a framework for characterising Attacks,” Security and
Privacy Workshops (SPW), pp. 214-228, 2014.
Авторы отмечают, что данный фреймворк может быть использован для построения
модели в среде системной динамики, которая, за счёт сочетания положительных и
отрицательных
причинно-следственных
связей,
позволяет
анализировать
актуальное
состояние сотрудника и прогнозировать какие решения могут уменьшить или увеличить
риски, связанные с ним.
По предположению, указанному в исследовании, данный фреймворк в первую очередь
предназначен для анализа исторических сведений об атаках, что позволит выявлять
33
закономерности, слабые места и уязвимости системы, а также точки роста обеспечения
конфиденциальности информации.
В источнике17 рассматривается универсализированный фреймворк для противодействия
внутренним угрозам. Данный фреймворк базируется на биометрическом и ресурсном
подходах, которые, в свою очередь, выражаются, в первом случае: в поведенческой и
психологической биометрии; во втором – в подходе, основанном на доступе к базам данных,
на доступе к сетям и на комбинированной модели двух предыдущих. Обобщённый принцип
действия данного фреймворка представлен на рисунке 2.4.
Рисунок 2.4. Обобщённый принцип действия основополагающего фреймворка по
противодействию внутренней угрозе
Составлено по: R.A. Alsowai, T.A Al-Shehari multi-tiered framework for insider threat prevention
(2021) Electronics (Switzerland), 10 (9), статья № 1005.
Фреймворк представляет внутреннюю угрозы как совокупность предупредительных
мер, мер купирования атаки и мер рекультивации после осуществления атаки, функции
предупреждения внутренней угрозы и подсистемы поддержки принятия решений.
Комплект предупредительных мер включает в себя:
17
R.A. Alsowai, T.A Al-Shehari multi-tiered framework for insider threat prevention (2021) Electronics
(Switzerland), 10 (9), статья № 1005.
34
проверку инсайдеров – принцип вовлечения функции предупреждения внутренней
угрозы на этапе найма, в том числе: проверка криминального прошлого, психологических и
личностных черт; для инсайдеров с более высоким уровнем привилегий – данные об
интеллектуальной собственности, проведённые или проводимые им исследования и
разработки, учётные записи, финансовые активы и иное;
детализация прав доступа и привилегий – разграничение прав и привилегий
пользователей информационно-коммуникационной сети предприятия, основываясь на
результатах этапа проверки инсайдеров, роли инсайдера, значении и навыках принципах
максимальной детализации прав в соответствии с функциональной или ролевой
необходимостью;
проведение тренингов по кибербезопасности – осведомление сотрудников о методах
взлома и сопутствующих ему мероприятий, данная мера, в первую очередь, направлена на
минимизацию «непреднамеренной» угрозы.
Меры купирования атаки включают в себя:
техническое профилирование – формирование профиля сотрудника на основе его
взаимодействия с информационными ресурсами предприятия, в том числе: операций по
аутентификации, операциями с файлами, процессами, сообщениями ядра;
психологическое и поведенческое профилирование – предназначено для снижения
доли ложноположительных результатов и принятия более точных решений, а также – для
предоставления контекстуальной информации.
Авторы отмечают, что психологическое профилирование сотрудников требует
дополнительных мероприятий: анкетирования, мониторинга поведения со стороны коллег и
психологов, отслеживание деятельности в социальных сетях и т.д.
Индикатором потенциально опасного для предприятия сотрудника должно служить
аномальное поведение сотрудника, т.е. отклонение их поведения от политики организации.
Оценивать отклоняющееся поведение сотрудников, в свою очередь, предлагается по
следующим пунктам:
1. Использование активов без разрешения организации.
2. Переадресация работы без разрешения.
3. Занятие собственными делами вместо работы на организацию.
4. Обсуждение конфиденциальной информации.
5. Грубое поведение по отношению к коллегам.
6. Разжигание ненависти на этнической, религиозной или расовой почве на рабочем
месте.
35
7. Распускание слухов и/или сплетен о начальнике или коллегах.
Следует отметить, что данный список не окончателен и может быть подвергнут
изменению.
Также следует учитывать такие факторы как уровень стресса, характеризуемый, к
примеру, финансовыми причинами, болезнью членов семьи, конфликтами, угрозами
увольнения, несправедливое продвижение по службе коллег и т.д., а также – уровня рабочей
нагрузки.
Общую склонность сотрудника к злонамеренным неправомерным действиям можно
оценить при помощи следующих параметров:
исторические случаи несанкционированного доступа к информации;
способность сотрудника имитировать и копировать идеи;
степень податливости под влияние извне;
интенсивность связей сотрудника со своими друзьями;
отношение окружения сотрудника к незаконной деятельности;
мнение сотрудника о вероятности быть пойманным за незаконную деятельность;
воспринимаемое наказание и награждение;
степень морального отчуждения;
отношение к коллективной ответственности;
инциденты с очернением, обесцениванием и обвинением жертвы;
социально-демографические данные сотрудника.
Рекреационные меры представляют собой комплекс мер по обеспечению безопасности в
период после получения сотрудником уведомления об увольнении и после завершения данной
процедуры. К данным мерам относятся:
применение более строгих правил при мониторинге активности пользователя –
злонамеренный
сотрудник
может
активизировать
попытки
копирования
и/или
распространения конфиденциальных данных, принадлежащих предприятию в период
подготовки к увольнению;
поддержание лояльности сотрудника – несмотря на то, что соглашение о
неразглашении коммерческой тайны является классической составляющей трудового
договора на данный момент, бывшие сотрудники распространять достоверную информацию,
разглашение которой является угрозой конкурентоспособности предприятия, в данном случае,
снижение рисков, связанных с нелояльностью по отношению к уже бывшему работодателю
способно уберечь от распространения информации, представляющей коммерческую тайну;
последовательный анализ и улучшение принимаемых мер.
36
Компонентом фреймворка, объединяющий меры в логическое целое является механизм
предотвращения внутренней угрозы, представляющий собой команду, обеспечивающую
выработку политик применения указанных выше мер.
В частности, данные политики, в соответствии с описанным фреймворком, должны
определять критерии отнесения к качественной оценке следующих категория:
мотивации – перекрёстное влияние компонентов аттестации навыков, уровня стресса
и неправомерных тенденций в наблюдаемом поведении;
возможности – взаимодействие компонентов аномального поведения, восприятия
приманки и роли на предприятии;
способности – совокупность изощрённости и продемонстрированной способности к
реализации противоправных действий.
Система поддержки принятия решений, на основе определённых в механизме
предотвращения
внутренней
угрозы
политик,
определяет
степень
представляемой
потенциально опасным сотрудником угрозы и, в зависимости от уровня угрозы
предпринимает следующие действия:
отсутствие угрозы – никаких специальных действий не требуется;
низкая угрозы – усиление мониторинга со стороны системы;
средняя угроза – вынесения предупреждение о необходимости сдерживания;
высокая угроза – автоматизированное применение мер сдерживания.
Данный фреймворк исчерпывающе, в соответствии с запросами, изложенными в разделе
1, описывает предметную область противодействия внутренней угрозе предприятия, поэтому
данный фреймворк следует воспринимать как основополагающий для разработки
методических рекомендаций, которые будут описаны в параграфе 3.1.
Источник18 рассматривает проблему потенциально опасного для информационной
безопасности сотрудника с точки зрения прогнозирования несомых им рисков при помощи
анализа постов в социальных сетях.
Данная работа, в первую очередь, базируется на утверждении, что психологические
характеристики негативного отношения тесно связаны с проявлениями злонамеренного
поведения злоумышленника.
Процесс анализа постов в социальных сетях и определения потенциально опасного
сотрудника, приведённый в данной работе, выглядит следующим образом:
18
V. Rai, K. Mehta, J. Jatin, D. Tiwari, R. Chaurasia Automated Biometric Personal Identification-Techniques
and Applications (2020) Proceedings of the International Conference on Intelligent Computing and Control Systems,
ICICCS 2020, статья № 9120896, pp. 1023-1030.
37
1. Предварительная обработка – включает сбор информации в разрезе категорий:
пользователь, дата, пост и настроение поста, а также очистку постов от лишних слов.
2. Анализ общего настроения сотрудников – на этом этапе определяется общий
эмоциональный фон постов, рассчитывается среднее значение и происходит деление на зоны,
в рамках которых посты будут определены, как позитивные, нейтральные или негативные.
3. Выбор потенциально опасного сотрудника – для выбора используются уровни,
определённые на шаге 2, по данным уровням анализируются все посты каждого из
сотрудников и вычисляется доля негативных.
4. Машинное обучение – выбранный в рамках исследования метод обнаружения
опасных сотрудников, исследователи отмечают, что могут быть выбраны и иные методы.
4.1. Отбор особенностей – на данном этапе отбираются отрицательные слова по
частоте их использования в общей выборке.
4.2. Контролируемое обучение – согласно данному исследованию, для целей
подобного анализа наибольшую точность контролируемого обучения обеспечивает
метод Дерева решений.
4.3. Обучение без учителя – для обучения без учителя наибольшую точность
обеспечивает применение метода K-Means.
5. Определение часто используемых слов – используется тематическое моделирование
и ранжирование по частоте употребления с применением библиотек анализа естественного
языка.
6. Отбор потенциально опасных сотрудников – для определения потенциально опасных
сотрудников используется критерии, определённые на ранних этапах анализа, при этом
абсолютное количество постов не должно быть меньше некоторого количества, которое было
бы способно обеспечить релевантность исследования (в статье таким числом обозначено
число 45).
Следует отметить, что исследование было проведено на специфической иностранной
площадке, поэтому, для использования наработок данной статьи будет необходимо
адаптировать выводы, инструменты и методы для отечественных социальных сетей. Или же
для внутренней информационно-коммуникационной среды компании. В первом случае анализ
может столкнуться с трудностями, с вязанными с получением согласия сотрудника на
обработку его постов в социальных сетях.
С другой стороны, не стоит забывать о том, что многие специалисты в настоящее время
стараются минимизировать информационный след, оставляемый ими в социальных сетях,
поэтому подобные фреймворки, скорее всего, имеют наибольшие перспективы в отношении
анализа общения в рабочих чатах и с использованием корпоративной почты. Это также
38
нивелирует проблемы, связанные с получением разрешения на обработку информационного
следа в социальных сетях, поскольку при устройстве на работу сотрудник даёт согласие на
обработку персональных данных.
В источнике19 описывается жизненный цикл системы безопасности для информационнокоммуникационных сетей, построенных на основе технологий интернета вещей. Согласно
данному фреймворку, цикл обеспечения безопасности информационно-коммуникационной
сети на базе технологии интернета вещей состоит из следующих 4 этапов:
1. Подготовка и предотвращение.
2. Мониторинг и обнаружение.
3. Диагностика и понимание.
4. Реагирование, рекреация и исправление.
Данный фреймворк, во-первых, не противоречит выводам основополагающих
источников исследования, во-вторых, концентрирует внимание на проблеме базового уровня
безопасности и уязвимости сетей со множеством узлов связи. В частности, подчёркивается
важность определение и следование непротиворечивым и всеобъемлющим политикам
безопасности в отношении всех устройств, подключённых к сети предприятия, от серверов до
«умных» чайников. Следует подчеркнуть, что в данном случае риски усугубляются низкой
вычислительной способностью отдельных участников сети, что, потенциально, делает
затруднительным своевременное реагирование на внешние и внутренние угрозы.
Источник20 изучает возможности оценки рисков информационной системы при помощи
поведенческого анализа пользователей. Данное исследование более подробно рассматривает
вопрос построения психологического профиля сотрудника, как личности. В качестве
источника данных авторы предлагают использовать DLP-систему, что соотносится с
концепцией использования SIEM-системы как аналитической платформы для реализации
рекомендаций ранее приведённых фреймворков, предназначенных для противодействия
внутренней угрозе. Как средство – обозначенную ранее в настоящей работе технологию
обработки естественного языка.
Профайлинг с целью анализа действий сотрудника предполагает использование
следующих категорий:
внешнее невербальное проявление поведения;
структура и характер речи;
19
E. Bertino, IoT security a comprehensive life cycle framework (2019) Proceedings - 2019 IEEE 5th
International Conference on Collaboration and Internet Computing, CIC 2019, статья № 8998486, pp. 196-203.
20
С.В. Беззатеев, Т.Н. Елина, В.А. Мыльников, И.И. Лившиц Методика оценки рисков информационных
систем на основе анализа поведения пользователей и инцидентов информационной безопасности // Научнотехнический вестник информационных технологий, механики и оптики. 2021. №4.
39
система ролей и социального взаимодействия.
Система комплексных показателей и их составляющих близка к описанным ранее,
поэтому не будет приведена в полном объёме, однако, как новую для выпускной
квалификационной работы информацию, стоит воспринимать анализ уровня амбиций со
стороны сотрудника, который включает следующие категории: предъявление высоких
требований к окружению; самооценка, желание самореализации и стремление проявить себя;
возможность нарушения политик безопасности и стандартов вследствие невозможности
самореализации.
Также в данной статье конкретизируются характеристики информационных активов по
уровню приоритетности мониторинга взаимодействия с ними пользователей системы: уровень
конфиденциальности; уровень целостности и уровень доступности.
Предлагаемая
авторами
сеть,
отвечающая
за
предотвращение
инцидентов
информационной безопасности, состоит из следующих трёх модулей:
психологической оценки сотрудников, получаемой при помощи обработки действий
пользователей в информационно-коммуникационной сети предприятия, проведения опросов
и тестирования;
оценки пороговых значений характеристик, относящихся к инцидентам;
анализа исторических данных с целью поиска уязвимостей и паттернов поведения
нарушителей.
Данное исследование свидетельствует о том, что для эффективного отслеживания
намеренных инцидентов безопасности требуется сочетание использования технических и
методологических средств противодействий внутренней угрозе, на ряду с фиксируемой в
системных
журналах
информацией,
должны
учитываться
личностные
особенности
сотрудников, их предрасположенности и ценности.
Также заслуживает внимания, с методологической точки зрения, подход, изложенный в
источнике21. В этой статье описывается принцип отслеживания деятельности сотрудника на
предприятии текстильной промышленности при помощи сопоставления видеоматериалов и
напряжения в электросети.
В соответствии с изложенным подходом, средство видеосъёмки размещали таким
образом, чтобы оно фиксировало некоторую активность объекта исследования – сотрудника.
Также к сети электропитания подключали устройство, считывающее напряжение сети.
Полученные данные размещали на временной линии. На первом этапе происходило обучение:
21
W.-K. Jung, H. Kim, Y.-C. Park, J.-W. Lee, S.-H. Ahn Smart sewing work measurement system using IoTbased power monitoring device and approximation algorithm (2020) International Journal of Production Research, 58
(20), pp. 6202-6216.
40
поиск паттернов движения сотрудника при переменном напряжении сети, т.е. тех характерных
активностей, которые бы могли считываться как работа со стороны сотрудника. Затем,
полученные результаты исследования сравнивали с новыми видеозаписями с целью поиска
несоответствий временного ряда видеоматериалов и данным считывающего устройства.
Подобная аномалия позволяет сделать вывод о недобросовестном исполнении сотрудником
должностных обязанностей.
Данный подход, именно с методологической точки зрения, а именно: использование
узлы информационно-коммуникационной сети, построенной на технологии интернета вещей,
позволяет определять паттерны наблюдаемого поведения того или иного типа, что требуется
для анализа сотрудника как в категориях основных фреймворков.
Иным источником, затрагивающем тему политики в отношении удовлетворённости
сотрудников работой, является источник22. В нём представлены метаданные о направлениях
развития внутренней политики предприятий для повышения удовлетворённости статусом
сотрудника компании. Данное исследование подчёркивает важность 17 целей устойчивого
развития, обозначенных Организацией объединённых наций в 2012 году. Выводы данного
исследования способствуют написанию методологических рекомендаций для повышения
внутренней стабильности предприятия.
В совокупности, представленные источники, содержащие информацию как по
техническим, так и по методологическим средствам обеспечения внутренней устойчивости
предприятия, связанную, в рамках данной работы, в первую очередь с предотвращением
инцидентов информационной безопасности, позволяют сделать промежуточный итог,
который будет раскрыт в следующем разделе настоящей выпускной квалификационной
работы: для обеспечения внутренней устойчивости предприятия необходима реализация
средств защиты, в первую очередь, от внешних угроз, что, в целом, на данный момент,
реализуется, и во вторую очередь, защита от злонамеренных и ненамеренных внутренних
угроз при помощи совокупности разработанных фреймворков и обеспечивающих реализацию
предлагаемых в их рамках методик технических, в том числе – программных, средств.
22
L. Bellantuono, A. Monaco, N. Amoroso, V. Aquaro, A. Lombardi, S. Tangaro, R. Bellotti Sustainable
development goals: conceptualization, communication and achievement synergies in a complex network framework
(2022) Applied Network Science, 7 (1), статья № 14.
41
3. МЕТОДОЛОГИЧЕСКИЕ РЕКОМЕНДАЦИИ И ЭКОНОМИЧЕСКОЕ
ОБОСНОВАНИЕ РАБОТЫ
3.1. Методологические рекомендации
Основополагающими принципами, выведенными при помощи приведённых в
предыдущем параграфе источникам, которым необходимо следовать при написании
выпускной квалификационной работы, были определены следующие:
1. Любое дополнительное средство обеспечения внутренней устойчивости должно
основываться на методологической и технической базе, обеспечивающей «базовый уровень
безопасности» информационно-коммуникационной сети предприятия.
2. Профилирование сотрудников, являющееся основой методологического анализа
внутренней угрозы, должно базироваться на валидных методиках психологического
тестирования, результаты которых, в совокупности, должны давать многомерную картину,
специфическим образом описывающую объект изучения.
3. Все методологические рекомендации и/или методы проведения исследования,
приведённые в качестве возможных путей получения и обработки информации, должны
строго
соответствовать
законодательству
Российской
Федерации
и,
не
быть
затруднительными в применении в отношении легализации данных методов сбор и обработки
информации.
Под «базовым уровнем безопасности» в данном случае стоит понимать такую
совокупность
технических
и
методологических
средств
обеспечения
внутренней
устойчивости предприятия, а именно, способности защититься от внешних и внутренних
угроз, которая способна обеспечить соответствующий современным требованиям.
В первую очередь, методики психологического тестирования должны закрывать
минимальные потребности в определении: психологического фона конкретного сотрудника,
его ценностных ориентиров и уровня стресса, поскольку данные показатели, или производные
от них, являются основой для анализа сотрудника в рамках основополагающих фреймворков.
Принцип, в соответствии с которым совокупность методик психологического
тестирования должно представлять многомерную картину состояния человека связано, в
первую очередь, с многосторонней природой человеческой личности и отсутствием
возможности однозначного суждения о личности человека по одному или даже трём
психологическим
тестам.
Помимо
этого,
необходимо
наблюдение
результатов
психологического тестирования с учётом изменений во времени. Ручная обработка, в том
числе с привлечением внешнего психоаналитика, требует значительных финансовых затрат,
42
как это будет показано в параграфе 3.2., однако, в свою очередь, процесс психологического
тестирования может быть автоматизирован, согласно результатам исследования23.
Обобщённая структура системы концепции представлена на рисунке 3.1.
Рисунок 3.1. Обобщённая структура предлагаемого решения
Результат автора, ранее не публиковался.
С одной стороны, для построения цифровой модели поведения пользователя могут быть
использованы обширные системные журналы действий пользователя, что позволит
дополнительно использовать данные, поставляемые SIEM-системе. Если описывать в
приведённых в данной работе терминах, данная мера позволит обеспечить «базовый уровень
безопасности». Обработанные векторы поведения пользователя позволяют обнаруживать
аномалии в его цифровом поведении и идентифицировать момент нарушения внутреннего
регламента предприятия.
С другой стороны, психологической профиль сотрудника, являющегося пользователем,
может быть использован как для определения статистических границ разброса поведения
пользователя, т.е. для минимизации ложных срабатываний идентификации аномального
поведения, так и для приоритезации мониторинга, а также – иных кадровых операций, для
которых традиционно проводится психологическое тестирование.
Т.М. Татарникова, П.Ю. Богданов Построение психологического портрета человека с применением
технологий обработки естественного языка // Научно-технический вестник информационных технологий,
механики и оптики. 2021. №1.
23
43
Однако, для обеспечения «базового уровня безопасности» со стороны предприятие
потребуется выполнение следующих рекомендаций в части обеспечения информационной
безопасности предприятия:
1. Формирование
непротиворечивых
и
достаточных
политик
обеспечения
информационной безопасности. Достаточность в данном случае обозначает соответствие
следующим пунктам:
1.1. Соответствие
запросам
информационно-коммуникационной
сети
предприятия, учитывая топологию сети, количество и вычислительную способность
узлов данной сети, а также количество управляющих рабочих машин и пользователей,
обладающих правами администратора.
1.2. Обеспечение воспроизводимости обозначенных политик безопасности при
помощи проведения внутренних или внешних тренингов.
1.3. Обеспечение соблюдения обозначенных политик безопасности на всех
устройствах сети каждого из классов устройств (электронно-вычислительные машины,
смартфоны, офисная и бытовая техника, а также иные классы электронновычислительных устройств).
2. Минимизация присутствия в информационно-коммуникационной сети предприятия
BYOD-устройств. В том числе – личных смартфонов сотрудников.
3. Стандартизация и унификация используемого на предприятии программного
обеспечения.
4. Централизованное
предоставление
доступа
персоналу
к
лицензионному
программному обеспечению со стороны предприятия.
5. Централизованное предоставление аппаратного обеспечения персоналу, в том числе,
при необходимости – корпоративных средств связи.
6. Использование программного комплекса средств, обеспечивающих внутреннюю
устойчивость предприятия, в первую очередь – SIEM-систем и программного обеспечения,
осуществляющего поиск аномалий поведения объектов информационно-коммуникационной
сети.
7. Проведение
психологического
тестирования
для
идентификации
тенденций
противоправного поведения, а также формирования плана по использованию контрмер и
купирования угрозы.
В соответствии с первым обозначенным в данной выпускной квалификационной работе
принципом, для обеспечения базового уровня безопасности предприятия рекомендуется
использовать
совокупность
возможностей
информационных
система
обеспечения
информационной безопасности, в частности – SIEM-системы со встроенным функционалом
44
обнаружения аномалий, либо с выделенным внешним средством обнаружения поведенческих
аномалий информационных объектов и/или процессов.
Следует
отметить, что
обозначенная
в источнике24
методология
проведения
психологического тестирования, во-первых, достаточно обобщённое описывает личность
сотрудника, во-вторых, является методологией, основанной на типологии Карла Густава
Юнга, релевантность которой подвергается сомнению в сообществе профессиональных
психологов.
Поэтому небезосновательным является рекомендация о включении в перечень
методологий психологического тестирования, следующих:
Большой пятёрки ценностей – модель личности, отображающая межличностные
отношения в плоскости отношения одного человека к другому, данная тест особо важен для
формирования представления о возможности сотрудника работы в коллективе и вероятных
его проблема во взаимодействии с окружающими;
Тёмной триады – группа негативных качеств человека, включающих неклинический
нарциссизм, макиавеллизм и психопатию, предназначен для выявления манипулятивных
наклонностей со стороны личности;
Способы совладающего поведения25 – модель защитных механизмов, используемых
человеком для преодоления стресса, особо важная методика психологического тестирования
для сопоставления с уровнем стресса сотрудника, которая позволяет прогнозировать
поведение личности при понижении и повышении уровня стресса, а также конкретизировать
купирующее воздействие;
Определение
уровня
стресса26
–
методика
диагностики
уровня
стресса,
идентифицирующего интеллектуальные, поведенческие, физиологические и эмоциональные
признаки стресса.
Приведённые
выше
тесты
должна
сформировать
базисное
представление,
соответствующее второму принципу данной выпускной квалификационной работы. В данном
случае следует учитывать, что увеличение количества методологий исследования, с одной
стороны, безусловно увеличит релевантность составленного портрета, но, с другой стороны,
Т.М. Татарникова, П.Ю. Богданов Построение психологического портрета человека с применением
технологий обработки естественного языка // Научно-технический вестник информационных технологий,
механики и оптики. 2021. №1.
25
Т.Л. Крюкова Методы изучения совладающего поведения: три копинг-шкалы. 2-е изд., исправленное,
дополненное. Кострома: КГУ им. Н.А. Некрасова, 2010. 62 с
26
Ю.В. Щербатых Психология стресса и методы коррекции. 2-е изд., исправленное, дополненное. СПб:
Питер, 2012. 330 с.
24
45
во-первых, удорожит разработку программного продукта, во-вторых, усложнит работу с ним
в части доработок, учёта специфики предприятия и иных изменений.
В соответствии с описанными выше изменениями, бизнес-процессы предприятия, для
обеспечения реализации данных процессов, будут неминуемо изменены. Подлежащие
изменению бизнес-процессы приведены ниже:
Рисунок 3.2. Бизнес-процесс «Проведение психологического тестирования» as is. Описан
в нотации BPMN 2.0 (Studio Creatio)
Результат автора, ранее не публиковался.
Рисунок 3.3. Бизнес-процесс «Проведение психологического тестирования» as to be.
Описан в нотации BPMN 2.0 (Studio Creatio)
Результат автора, ранее не публиковался.
Как можно заметить, исходя из моделей, представленных на рисунках 3.2. и 3.3.,
автоматизация тестирования в значительной степени сокращает участие человека в
46
организации и проведении психологического тестирования, а, значит, сокращает затраты на
проведение, что будет показано в параграфе 3.2.
3.2. Экономическое обоснование работы
Экономическое обоснование работы будет представлено в двух частях:
1. Оценка
стоимости
проведения
психологического
тестирования
вручную
и
автоматизировано.
2. Представление оценки эффективности разработки.
Как было отмечено в параграфе 3.1., автоматизация проведения психологического
тестирования для предприятия будет означать сокращение издержек, поскольку резко
сократит участие человека в данном процессе, как со стороны менеджмента, так и со стороны
персонала. Поскольку на данный момент стандартизированное программное обеспечение по
обработке естественного языка для построения психологического портрета отсутствует,
аналогом разработки
Формула расчёта стоимости осуществления психологического тестирования для
предприятия:
1
𝐶𝑝𝑡 = 𝑣 ∗ ∑(𝑡𝑡𝑛 ∗ 𝑥) ∗ 𝑦 + 𝑣𝑝 ∗ 𝑡𝑝
𝑛
Формула 3.1. Расчёт ежегодных затрат на осуществление психологического
тестирования
Результат автора, ранее не публиковался.
где Cpt – общая стоимость психологического тестирования в год; v – средняя заработная
плата сотрудника на предприятии в час; t 𝑡𝑛 - время проведения конкретного теста; n –
количество тестов; x – количество сотрудников на предприятии; y - количество тестирований
в год; vp – почасовая стоимость услуг психолога-аналитика; t p – рассчитанное время работы
психолога.
Для расчёта конкретных цифр были избраны следующие цифры: средняя номинальная
начисленная заработная плата в час, равная 450,92 рублям27; среднее время, затрачиваемое
сотрудником на один тест, равное получасу; количество сотрудников будет принято, как
количественные значения границ классификации размеров предприятия по численности
персонала; количество тестирований, равное двум в год; для упрощения расчёта затрат на
Средняя заработная плата одного работника в Санкт-Петербурге, начисленная за февраль 2022 года //
Управление Федеральной службы государственной статистики по г. Санкт-Петербургу и Ленинградской области,
2021.
27
47
услуги психолога аналитика, будет принято, что средняя стоимость его услуг, в расчёте на
сотрудника, будет равна 1500 рублей.
Упрощённая форма расчёта представлена как формула 3.2.
𝐶𝑝𝑡 = 2176,39 ∗ 𝑥 ∗ 𝑦
Формула 3.2. Упрощённый расчёт ежегодных затрат
Результат автора, ранее не публиковался.
Результаты расчётов представлены в таблице 3.1.
Таблица 3.1.
Ежегодные затраты на проведение тестирования*
Входные данные
15 сотрудников
100 сотрудников
250 сотрудников
2 тестирования
65291.7
435278
1088195
4 тестирования
130583.4
870556
2176390
8 тестирований
261166.8
1741112
4352780
*Составлено в соответствии с расчётами по данным, приведённым параграфом выше.
Данный расчёт был в значительной мере упрощён для демонстрации роста затрат. Как
видно из представленных выше результатов расчётов, поддержание актуальными результатов
тестирования увеличивает затраты на проведение тестирования в геометрической прогрессии.
В свою очередь, автоматизация психологического тестирования не только позволяет
сократить затраты на его проведение, но и повысить эффективность. В классическом варианте
тестирования есть значительная проблема, связанная, в первую очередь, с осведомлённостью
респондента о проведении тестирования, что может исказить результаты, а, значит,
исследователь получит недостоверную информацию. При проведении тестирования по
электронным документам и сообщениям, продуцируемым респондентом, снижается степень
контроля испытуемого над ситуацией, поскольку, в таком случае, он не может предугадать,
какое его действие будет истолковано как «негативное», по его мнению, или «позитивное».
Если он в принципе будет осведомлён о подобной процедуре.
Во-вторых, автоматизированное тестирование позволит наблюдать за респондентом в
режиме «он-лайн», что в значительной мере увеличит релевантность данных и объём
исторической информации, с которой возможно сравнивать актуальный результат.
Следует отметить, что целевым потребителем данной системы, как следует полагать,
являются либо средние и крупные предприятия, либо предприятия, основой штатного
расписания
которых
являются
ИТ-специалисты.
48
Исходя
из
этого,
экономическая
эффективность
будет
рассчитана
для
среднего
предприятия
(250
сотрудников),
принадлежащего к ИТ-отрасли, при этом, как количество тестов будет взято равным четырём,
в соответствии с методологическими рекомендациями, представленными в параграфе 3.1.
Поскольку проект подобного программного продукта не предполагает внушительного
масштаба, следует считать, что данный проект можно завершить в течение одного года. Если
исходить из того, что для реализации проекта нужны три программиста, один руководитель
проекта, один бизнес-аналитик, один аналитик-психолог и один системный. Из которых 3
программиста и один руководитель проекта находятся на окладной форме платы, а остальные
– на почасовой, то затраты на осуществление проекта можно оценить таким образом, исходя
из годичного срока реализации, как это представлено в таблице 3.2. Ориентировочная
заработная плата взята с информационного ресурса28.
Таблица 3.2.
Оценка затрат на реализацию проекта*
Позиция штатного расписания
Программист (3)
Руководитель проекта
Бизнес-аналитик
Психолог-аналитик
Системный архитектор
Часов по штатному расписанию Часовая оплата
Сумма выплат
2 160 000
1 440 000
528
890
469 920
176
600
105 600
352
900
316 800
*Составлено в соответствии с расчётами по данным, приведённым параграфом выше.
Итоговая стоимость разработки со стороны фонда оплаты труда составляет 4 492 320
рублей. С учётом социальных выплат – 4 833 736,32 руб.
Это означает, что предприятие, разрабатывающее подобную программную продукцию,
за счёт экономии средств, учитывая необходимость затрат трудовых ресурсов на
обслуживание подобной системы, в размере 16 часов в месяц со стороны системного
администратора, подобный программный продукт окупит разработку за 2,36 года. Однако,
стоит учитывать, что предприятие, осуществляющее разработку подобного передового
продукта, с учётом тенденций рынка, сможет сбывать подобную программную продукцию,
дополнительно получая средства от сбыта продукции. Уточнённые цифры доходов от сбыта
продукции зависят от установленной рынком цен на подобного рода программные продукты.
28
URL: https://spb.hh.ru/ (Дата обращения: 10.05.2022) – сайт группы компаний HeadHunter.
49
Следует также отметить, что при сравнении средней начисленной номинальной
заработной платой, использованной для расчёта и средней начисленной номинальной
заработной платой на начало 2021 года29, отмечается рост показателя на 10,3% (71 264 рубля
для периода январь-март в 2021 году и 79 363 рубля для февраля 2022 года). Что, в целом,
соответствует показателям динамики, представленным в отчёте за 2021 год. На основании
данного факта можно сделать вывод о том, что в будущем затраты на ручное тестирования, в
связи с ростом заработной, а также в связи с общероссийской тенденцией к росту заработной
платы, будут расти.
Для систематизации семантических данных об эффективности разработки подобного
продукта, была составлена таблица 3.3.
Таблица 3.3.
Оценка эффективности разработки
Показатели оценки
эффективности
Сфера проведения
Сфера использования объекта
Научно-технические
Научный эффект
Технический эффект
Адаптация иностранного решения для отечественного рынка с учётом
специфики российских тонкостей психологического тестирования и
методологического обеспечения информационной безопасности
Повышение технологичности анализа психологических характеристик
сотрудников
Организационной эффект
Повышение устойчивости организации как к внешним, так и ко
внутренним угрозам
Социальный эффект
Изменение уровня автоматизации, изменение профессионального
состава персонала, либо снижение зависимости от подрядчиков
Экономические
Общие
Трудоемкость и продолжительность выполнения работ этапа проведения
цикла психологического тестирования сокращается в значительной мере
Результирующие
Рассчитанные показатели позволяют выполнить сравнительную оценку
эффективности разработки и внедрения подобной системы
автоматизированного тестирования, что, в свою очередь, демонстрирует
значительное сокращение затрат на реализацию психологического
тестирования
Исходя из представленной выше информации, можно сделать следующий вывод:
разработка и эксплуатация подобного программного продукта позволяет в значительной мере
сократить затраты на реализацию психологического тестирования, которое требуется для
реализации методических рекомендаций, данных в параграфе 3.2.
Средняя заработная плата одного работника в Санкт-Петербурге, начисленная за январь-март 2021
года // Управление Федеральной службы государственной статистики по г. Санкт-Петербургу и Ленинградской
области, 2021.
29
50
ЗАКЛЮЧЕНИЕ
В процессе написания выпускной квалификационной работы был проведён анализ
предметной области информационных угроз, информационно-аналитических средств и
внутренней устойчивости предприятия. Были определены основные понятия и угрозы, с
которыми сталкиваются современные предприятия. Также были изучены материалы
исследований, связанных с обеспечением внутренней устойчивости предприятия к
потенциальным угрозам со стороны персонала, как со стороны средств обеспечения
информационной безопасности, так и со стороны анализа и прогнозирования поведения
сотрудников в информационной и физических средах.
Важнейшей угрозой для внутренней устойчивости предприятия следует назвать
уязвимость информационной среды к внутреннему пользователю, который может, как сам
быть злоумышленником, так и действовать в интересах злоумышленника.
Были
определены
инструменты
обеспечения
базового
уровня
безопасности,
позволяющего реализовать комплекс политик и мер, которые ложатся в основу внутренней
устойчивости
предприятия.
Этими
инструментами
являются
SIEM-системы
и
специализированное программное обеспечение, расширяющее возможности поиска аномалий
в поведении информационных сущностей в рамках информационно-коммуникационной сети
предприятия с целью идентификации угроз.
Также
была
сформирована
концепция
модуля
расширения
информационно-
аналитической платформы на базе SIEM-системы для повышения внутренней устойчивости
предприятия,
соответствующая
ранее
обозначенным
методическим
рекомендациям,
предназначенным на минимизацию угрозы со стороны потенциально опасного сотрудника
и/или инсайдера.
Подводя итог проведённого исследования, а также – суммируя ранее сказанное в данном
разделе, можно сделать следующий вывод: поставленные задачи были выполнены, а цель –
достигнута.
51
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
Нормативно-правовые акты
1. Об
информации,
информационных
технологиях
и
о защите информации:
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ (с изм. и доп., вступ.
в силу с 01.01.2022).
2. О стратегии национальной безопасности Российской Федерации: Указ президента
Российской Федерации от 2 июля 2021 г. № 400.
Книги
3. Т.Л. Крюкова Методы изучения совладающего поведения: три копинг-шкалы. 2-е
изд., исправленное, дополненное. Кострома: КГУ им. Н.А. Некрасова, 2010. 62 с.
4. Ю.В. Щербатых Психология стресса и методы коррекции. 2-е изд., исправленное,
дополненное. СПб: Питер, 2012. 330 с.
Статьи в журналах
5. А. Коробченко, И. Черницын (2020) Ценность данных // Сибирская нефть № 169, сс.
54-58.
6. А.Ю. Калугин, С.А. Щебетенко, А.М. Мишкевич, К. Дж. Сото, О. П. Джон
Психометрика русскоязычной версии big five inventory-2 // Психология. Журнал ВШЭ. 2021.
№1.
7. В.Г. Халин, Г.В. Чернова, А.В. Юрков, Укрупнённая классификация систем
поддержки принятия решений // Прикладная информатика – Journal of applied informatics, 2016
том 11, № 1 (61), с. 114-126.
8. В.В. Латынов, В.В. Овсянникова Прогнозирование психологических характеристик
человека на основании его цифровых следов // Психология. Журнал ВШЭ. 2020. №1.
9. В.Н. Дружкова, Н.Л. Грязнова Анализ и оценка состояния трудовых ресурсов,
определяющих кадровую безопасность, как составляющую экономической безопасности
организации // Техника и технология пищевых производств. 2017. №2.
10. С.В. Беззатеев, Т.Н. Елина, В.А. Мыльников, И.И. Лившиц Методика оценки рисков
информационных систем на основе анализа поведения пользователей и инцидентов
информационной безопасности // Научно-технический вестник информационных технологий,
механики и оптики. 2021. №4.
11. С.Г. Фомичева Функциональные особенности siem-решений нового поколения //
Завалишинские чтения'21. XVI Международная конференция по электромеханике и
робототехнике. Санкт-Петербург, 2021. С. 327-333.
52
12. Т.М. Татарникова, П.Ю. Богданов Построение психологического портрета человека
с применением технологий обработки естественного языка // Научно-технический вестник
информационных технологий, механики и оптики. 2021. №1.
13. A. Mudgerikar, P. Sharma, E. Bertino Edge-Based Intrusion Detection for IoT devices
(2020) ACM Transactions on Management Information Systems, 11 (4), статья № 18.
14. A. Shaikh IoT Devices in the Workplace: Assessing Emerging Challenges for the
Enterprises - A Systematic Meta-Analysis (2020) SIGMIS-CPR 2020 - Proceedings of the 2020
Computers and People Research Conference, pp. 52-58.
15. A.S. McGough, D. Wall, J. Brennan, G. Theodoropoulos, E. RuckKeene, B. Arief, C.
Gamble, J. Fitzgerald, A. van Moorsel, S. Alwis, “Insider threats: identifying anomalous human
behaviour in heterogeneous systems using beneficial intelligent software (benware),” Proceedings of
the 7th ACM CCS International Workshop on Managing Insider Security Threats. New York, USA:
ACM, 2015.
16. A. Tuor, S. Kaplan, B. Hutchinson, N. Nichols, S. Robinson, “Deep learning for
unsupervised insider threat detection in structured cybersecurity data streams,” The AAAI-17
Workshop on Artificial Intelligence for Cyber Security, pp. 224-231, 2014.
17. E. Bertino, IoT security a comprehensive life cycle framework (2019) Proceedings - 2019
IEEE 5th International Conference on Collaboration and Internet Computing, CIC 2019, статья №
8998486, pp. 196-203.
18. E. M. Hutchins, M. J. Cloppert, and R. M. Amin, “Intelligence-driven computer network
defense informed by analysis of adversary campaigns and intrusion kill chains,” Leading Issues in
Information Warfare & Security Research, vol. 1, p. 80, 2011.
19. J.R. Nurse, O. Buckley, P.A. Legg, M. Goldsmith, S. Creese, G.R. Wright, M. Whitty,
“Understanding insider threat: a framework for characterising Attacks,” Security and Privacy
Workshops (SPW), pp. 214-228, 2014.
20. K. Paxton-Fear, D. Hodges, O. Buckley Understanding insider threat attacks using natural
language processing: Automatically mapping organic narrative reports to existing insider threat
frameworks (2020) Lecture Notes in Computer Science (including subseries Lecture Notes in
Artificial Intelligence and Lecture Notes in Bioinformatics), 12210 LNCS, pp. 619-636.
21. L. Bellantuono, A. Monaco, N. Amoroso, V. Aquaro, A. Lombardi, S. Tangaro, R. Bellotti
Sustainable development goals: conceptualization, communication and achievement synergies in a
complex network framework (2022) Applied Network Science, 7 (1), статья № 14.
22. L. Jaeger, A. Eckhardt, J. Kroenung The role of deterrability for the effect of multi-level
sanctions on information security policy compliance: Results of a multigroup analysis (2021)
Information and Management, 58 (3), статья № 103318.
53
23. P. Radanliev, D. De Roure, J.R.C. Nurse, R. Nicolescu, M. Huth, S. Cannady, R.M.
Montalvo Integration of cyber security frameworks, models and approaches for building design
principles for the internet-of-Things in industry 4.0 (2018) IET Conference Publications, 2018
(CP740).
24. R.A. Alsowai, T.A Al-Shehari multi-tiered framework for insider threat prevention (2021)
Electronics (Switzerland), 10 (9), статья № 1005.
25. S. Fatemifar, S.R. Arashloo, M. Awais, J. Kittler Client-specific anomaly detection for face
presentation attack detection (2021) Pattern Recognition, 112, статья № 107696.
26. T.K. Das, S. Adepu, J. Zhou, Anomaly detection in Industrial Control Systems using
Logical Analysis of Data (2020) Computers and Security, 96, статья № 101935.
27. Y. Meidan, M. Bohadana, Y. Mathov, Y. Mirsky, A. Shabtai, D. Breitenbacher, Y. Elovici
(2018). N-baiot—network-based detection of IoT botnet attacks using deep autoencoders. IEEE
Pervasive Computing, 17(3), 12-22.
28. V. Rai, K. Mehta, J. Jatin, D. Tiwari, R. Chaurasia Automated Biometric Personal
Identification-Techniques and Applications (2020) Proceedings of the International Conference on
Intelligent Computing and Control Systems, ICICCS 2020, статья № 9120896, pp. 1023-1030.
29. W. Park, Y. You, K. Lee, Detecting Potential Insider Threat: Analyzing Insiders' Sentiment
Exposed in Social Media (2018) Security and Communication Networks, 2018, статья № 7243296.
30. W.-K. Jung, H. Kim, Y.-C. Park, J.-W. Lee, S.-H. Ahn Smart sewing work measurement
system using IoT-based power monitoring device and approximation algorithm (2020) International
Journal of Production Research, 58 (20), pp. 6202-6216.
Статистические сборники и отчеты
31. 2020 Cost of Insider Threats Global Report // Ponemon Institute, 2020.
32. Средняя заработная плата одного работника в Санкт-Петербурге, начисленная за
февраль 2022 года // Управление Федеральной службы государственной статистики по г.
Санкт-Петербургу и Ленинградской области, 2022.
33. Средняя заработная плата одного работника в Санкт-Петербурге, начисленная за
январь-март 2021 года // Управление Федеральной службы государственной статистики по г.
Санкт-Петербургу и Ленинградской области, 2021.
34. Утечки информации ограниченного доступа: отчет за 9 месяцев 2020 г. // Экспертноаналитический центр InfoWatch. 2020 г.
35. Insider threat 2018 report // Cybersecurity Insiders, 2017.
Интернет-ресурсы и электронные базы данных
36. URL:
https://www.infowatch.ru/
(Дата
информационного агентства InfoWatch.
54
обращения:
08.05.2022)
–
сайт
37. URL: https://spb.hh.ru/ (Дата обращения: 10.05.2022) – сайт группы компаний
HeadHunter.
38. URL: https://nenuda.ru/ (Дата обращения: 11.05.2022) – сайт центрального комитета
профсоюза работников здравоохранения.
39. URL:
https://www.scimagojr.com/
(Дата
обращения:
11.05.2022)
–
сайт
международного научного рейтинга журналов и стран.
40. URL: https://scholar.google.com/ (Дата обращения: 11.05.2022) – сайт Академии
Google.
55
