МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ РАСЧЕТА ЧИСЛЕННОСТИ И КВАЛИФИКАЦИИ ПЕРСОНАЛА СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Е. В. Корчагина*, Н. А. Андреева*, Л. В. Бутова**, И. В. Рогов**

* Воронежский институт ФСИН России ** ВУНЦ ВВС «ВВА им. профессора Н. Е. Жуковского и Ю. А. Гагарина»

Для поддержки процессов системы ИБ необходима команда опытных и квалифицированных специалистов. Для обслуживания и использования системы ИБ необходимо наличие персонала со следующими ролями:

  • - Оператор мониторинга и первичного реагирования, выполняющий регламентные операции, обработку потока событий ИБ, реагирование на инциденты и их эскалацию;
  • - Старший оператор мониторинга, выполняющий разбор и оценку событий ИБ, имеющих признаки инцидента, обработку инцидентов, требующих выполнения ранее не регламентированных операций, выявление новых типов инцидентов, не идентифицированных ранее;
  • - Эксперт по расследованию инцидентов ИБ, проводящий расследования по инцидентам ИБ.

Совмещение роли Оператора мониторинга и первичного реагирования и роли Старшего оператора мониторинга не рекомендуется, поскольку при необходимости обработки большого количества инцидентов (из-за повышения требований к объему мониторинга, росту объемов событий) решение типовых и регламентированных задач по реагированию Старшим оператором мониторинга, обладающим высоким уровнем компетенции, не является эффективным.

Важно понимать, что при обработке инцидентов Оператором мониторинга и первичного реагирования в случае необходимости пополняются соответствующие справочники системы (например, «Белый список сетевых адаптеров») и модифицируются соответствующие настройки отчетов, которые в дальнейшем автоматически учитываются и позволяют сократить время на проведение мониторинга, исключив из него часть событий.

При описании действий Оператора мониторинга и первичного реагирования для определения объектов расследования используются формулировки «наиболее часто» или «наибольшее количество», для того чтобы в условиях ограниченного времени ответственных специалистов добиться максимального улучшения показателей статистического отчета или повышения уровня защищенности узлов системы передачи данных (далее - СПД) с минимальными затратами.

Расчет трудозатрат Оператора мониторинга и первичного реагирования приведен в таблице 1.

Необходимая численность операторов мониторинга и первичного реагирования Системы находится в прямой зависимости от:

  • - ТБ - времени, затрачиваемого в месяц на выполнение всех функций по обеспечению ИБ данным лицом,и в обратной зависимости от:
  • - и - процента рабочего времени, которое сотрудник непосредственно тратит на выполнение функций;
  • - А - доступности сотрудника (сотрудник может быть в отпуске или болеть);
  • - ЬШ - количества часов в месяце.

Тогда N - необходимое количество сотрудников - определяется формулой:

При проведении расчетов учитывалось, что:

=166 часов; и = 0,8 часа;

  • - А = 0, 75 часа;
  • - ТБ = 55 часов.

Итого получилось N = 0,55.

Таблица 1

Расчет трудозатрат Оператора

Оператор мониторинга и первичного реагирования

Действия по мониторингу и первичному реагированию

Периодичность действия (в мес.)

Время на действие (час.)

Итого трудозатраты час./мес.

Расследование 3 наиболее часто срабатывающих сигнатур и атакующих узлов сети

1

3

3

Расследование пяти наиболее подозрительных узлов сети по количеству типов сработавших правил выявления подозрительной активности

4

2

8

Расследование 2 наиболее часто встречающихся причин ошибок аутентификации М8 Ас^уеБп'еЫюгу и двух учетных записей, наиболее часто создающих ошибки аутентификации

2

2

4

Подготовка материалов для проведения организационных мероприятий в отношении 5 лиц, хранящих на ПК наибольшее количество непроизводственной информации

4

1

4

Расследование двух узлов сети, создающих наибольшую активность по сканированию портов в СПД

2

2

4

Расследование двух лиц, создающих наибольшее количество нарушений

2

4

8

Рассылка материалов в причастные подразделения по активным ПК в домене с неустановленным или некорректно настроенным антивирусом. Рассылка материалов в причастные подразделения по ПК с необ- новленными антивирусными базами

4

1

4

Расследование по ПК с выявленным несанкционированным изменением конфигурации

2

4

8

Расследование по ПК с выявленным несанкционированным ПО

2

4

8

Итого:

55

Т.е. для обслуживания автоматизированной системы корреляции событий информационной безопасности необходим один Оператор мониторинга и первичного реагирования.

В случае необходимости частота и объем проверок могут быть увеличены с пропорциональным увеличением трудозатрат. При необходимости работы могут быть разделены на большее количество сотрудников с одновременным уменьшением доли работ в ТЕ, поскольку работа Оператора мониторинга и первичного реагирования не требует специальной подготовки и может быть выполнена после небольшого вводного инструктажа.

В целях эффективного использования времени сотрудников с более высокими компетенциями задачей Старшего оператора мониторинга при выявлении новых типов инцидентов является как можно скорее типизировать и регламентировать операции реагирования на данный тип инцидента и передать их на исполнение Оператору мониторинга и первичного реагирования. В случае возникновения спорных моментов или значительного количества ложных срабатываний правил выявления инцидентов Старший оператор мониторинга подготавливает предложения по изменению логики правил.

Расчет трудозатрат Старшего оператора мониторинга проводитсяаналогично.

При проведении расчетов учитывалось, что:

  • - ИН = 166 часов;
  • - и = 0,8 часа;
  • - А = 0, 75 часа;
  • - ТБ = 48 часа.

Итого получилось N = 0,48.

Т.е. для обслуживания автоматизированной системы корреляции событий ИБ необходим один Старший оператор мониторинга.

Общее количество трудозатрат персонала системы ИБ приведено в таблице 2.

Таблица 2

Общее количество трудозатрат персонала системы ИБ_

Роль

Итого трудозатра- ты(час./мес.)

N - необходимоеколичествосотруд- ников

Оператор мониторинга и первичного реагирования

55

0,55

Старшийоператормониторинга

48

0,48

Итого:

103

1,03

Расчет трудозатрат Эксперта по расследованию инцидентов ИБ не выполняется, поскольку объем его работы и трудозатраты зависят от организационных процедур, сроков сбора объяснений, объема необходимых для приобщения к результатам расследования материалов и прочих работ, не связанных с работой автоматизированной системы корреляции событий информационной безопасности.

Приведенные в настоящей статье расчеты трудозатрат необходимо регулярно актуализировать в связи с тем, что с течением времени возможны изменения в периодичности и/или во времени на выполнение реагирования по инциденту в связи с изменениями в организационной структуре или информационных системах, а также в связи со сменой приоритетов области контроля автоматизированной системы корреляции событий ИБ.

ЛИТЕРАТУРА

  • 1. Застрожнов И. И. Оптимизация параметров подсистемы защиты информационного ресурса в системе электронного документооборота / И. И. Застрожнов, Е. А. Рогозин, Е. Ю. Никулина // Вестник Воронежского института ФСИН России. - 2015. - № 3. - С. 44-50.
  • 2. Никулин С. А. Разработка методик и алгоритмов обеспечения безопасности информации в автоматизированных системах управления специального назначения / С. А. Никулин , С. С. Никулин // Вестник Воронежского института ФСИН России. - 2015. - № 1. -С. 57-64.

УДК 351.814.334: 621.39

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >