ОГЛЯД НАЯВНИХ МЕТОДІВ ОЦІНКИ ЕФЕКТИВНОСТІ РОБОТИ СИСТЕМ ЗАХИСТУ СЕРВІСІВ ЕЛЕКТРОННОЇ КОМЕРЦІЇ
DOI:
https://doi.org/10.35546/kntu2078-4481.2023.3.13Ключові слова:
електронна комерція, інформаційна безпека, система, показники ефективності, моделюванняАнотація
Оцінка ефективності роботи систем захисту інформаційних систем та, зокрема, сервісі електронної комерції є актуальної задачею, що потребує постійного вдосконалення та розвитку. В даній роботі проведено огляд існуючих методів оцінки ефективності роботи систем захисту, а також розглянуто наявні підходи для побудови моделей безпекових ризиків інформаційних систем. Однією з основних вимог до оцінки ефективності роботи систем захисту є послідовність та безперервність проведення заходів направлених на виявлення потенційних загроз та вразливих елементів системи. Такий підхід забезпечує своєчасну реакцію на безпекові інциденти та мінімізацію їх наслідків. Важливу роль у цьому процесі відіграє автоматизація, що дозволяє пришвидшити прийняття рішень щодо безпекових інцидентів та виключити або мінімізувати вплив людського фактору. Для забезпечення ширшого охоплення автоматизації процесів оцінки ефективності роботи систем захисту, постає нагальною потреба у формалізації процесів, що відбуваються в середині інформаційної системи та побудови відповідних моделей цих процесів, які в свою чергу дозволяють відпрацьовувати різноманітні сценарії прийняття рішень при виникненні безпекових інцидентів. Окрім цього це надає можливість визначити ключові показники ефективності роботи систем захисту значення яких репрезентують загальний стан системи та допомагають провести якісну оцінку ефективності її роботи. Одним із підходів до оцінки ефективності роботи системи безпеки, що пропонують дослідники, є використання системи економетрики кібербезпеки (Cyberspace Security Econometrics System (CSES). Особливістю даної системи оцінки ефективності роботи системи безпеки є урахування економічних ризиків при виникненні безпекових інцидентів, що в свою чергу дозволяє оцінити фінансовий вплив на роботу інформаційної системи у разі відмови систем захисту. Невід’ємною частиною оцінки ефективності роботи систем захисту є моделювання атак на систему у контрольованих умовах. Це дозволяє отримувати інформацію щодо відповідності системи захисту сучасним загрозам та визначати її елементи, що потребують вдосконалення чи модернізації. Слід зазначити, що існують різні стандарти та фреймворки для моделювання атак на інформаційні системи. Таке різноманіття зумовлене відмінностями безпекових стандартів у різних галузях та цілях, що переслідуються при моделювання атак.
Посилання
Bernik I, Prislan K. Measuring information security performance with 10 by 10 model for holistic state evaluation. PLoS ONE. 2016. Vol. 11, no. 9. URL: https://doi.org/10.1371/journal.pone.0163050.
Sheldon F. Evaluating security controls based on key performance indicators and stakeholder mission. proceedings of the 4th annual workshop on cyber security and informaiton intelligence research developing strategies to meet the cyber security and information intelligence challenges ahead. Cyber security and information intelligence research workshop. 2008.
Conklin L., Drake V., Strittmatter S. Threat modeling process | OWASP foundation. OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation. URL: https://owasp.org/www-community/Threat_Modeling_Process.
What is threat modeling and how does it work? | synopsys. Synopsys | EDA Tools, Semiconductor IP and Application Security Solutions. URL: https://www.synopsys.com/glossary/what-is-threat-modeling.html.
Rencelj Ling E., Ekstedt M. A threat modeling language for generating attack graphs of substation automation systems. International journal of critical infrastructure protection. 2023. Vol. 41. P. 100601. URL: https://doi.org/10.1016/j.ijcip.2023.100601.
Introduction to bowtie | civil aviation authority. Civil Aviation Authority. URL: https://www.caa.co.uk/safetyinitiatives-and-resources/working-with-industry/bowtie/about-bowtie/introduction-to-bowtie/.
The CORAS Method. The CORAS Method. URL: https://coras.sourceforge.net/.
Kirvan P. Pen testing guide: Types, steps, methodologies and frameworks | TechTarget. Security. URL: https://www.techtarget.com/searchsecurity/tip/Pen-testing-guide-Types-steps-methodologies-and-frameworks.
Nicholls M. Penetration testing methodologies – the top 5 | redscan. Redscan. URL: https://www.redscan.com/news/top-five-penetration-testing-methodologies.
WSTG – latest | OWASP foundation. OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation. URL: https://owasp.org/www-project-web-security-testing-guide/latest/3-The_OWASP_Testing_Framework/1-Penetration_Testing_Methodologies.
A systematic method for measuring the performance of a cyber security operations centre analyst / E. Agyepong et al. Computers & security. 2022. P. 102959. URL: https://doi.org/10.1016/j.cose.2022.102959.
Current state and trends in the development of e-commerce software protection systems / V. Pleskach et al. CEUR workshop proceedings. 2021. No. 3179. P. 79–88.
Cyber security risk modeling in distributed information systems / D. Palko et al. Applied sciences. 2023. Vol. 13, no. 4. P. 2393. URL: https://doi.org/10.3390/app13042393.
An integrated conceptual model for information system security risk management supported by enterprise architecture management / N. Mayer et al. Software & systems modeling. 2018. Vol. 18, no. 3. P. 2285–2312. URL: https://doi.org/10.1007/s10270-018-0661-x.
Security risk assessments: modeling and risk level propagation / D. Angermeier et al. ACM transactions on cyberphysical systems. 2022. URL: https://doi.org/10.1145/3569458 (date of access: 24.09.2023).
