Телефон: +7 (383)-202-16-86

Статья опубликована в рамках: Научного журнала «Инновации в науке» № 5(81)

Рубрика журнала: Информационные технологии

Скачать книгу(-и): скачать журнал

Библиографическое описание:
Вовченко Р.А., Гайворонский Г.В., Ермолаев Д.В. ИСПОЛЬЗОВАНИЕ ПОДХОДА «OODA LOOP» В УПРАВЛЕНИИ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ // Инновации в науке: научный журнал. – № 5(81). – Новосибирск., Изд. АНС «СибАК», 2018. – С. 11-12.

ИСПОЛЬЗОВАНИЕ ПОДХОДА «OODA LOOP» В УПРАВЛЕНИИ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Вовченко Руслан Андреевич

студент, КЭ-470 Южно-Уральский государственный университет,

РФ, г.Челябинск

Гайворонский Глеб Викторович

студент, КЭ-470 Южно-Уральский государственный университет,

РФ, г.Челябинск

Ермолаев Дмитрий Вячеславович

студент, КЭ-470 Южно-Уральский государственный университет,

РФ, г.Челябинск

К вопросу управления инцидентами существует множество подходов: от стандартов до методик отдельных компаний. Каждый подход имеет свои уникальные особенности, обусловленные множественными факторами.

В этой статье мы поставили цель отразить применение цикла Бойда в вопросе управления инцидентами информационной безопасности.

OODA Loop (цикл НОРД) - это концепция, разработанная в 1995 году полковником авиации США Джоном Бойдом. [1] OODA это аббревиатура : O – observe, O – orient, D – decide, A – act (в переводе Н – наблюдение, О – ориентация, Р – решение, Д – действие). По мнению полковника Бойда, все процессы, происходящие в реальности, действуют в непрерывном цикле, постоянно взаимодействуя с окружающей средой и соответственно изменяясь. Изначально этот цикл был изобретен для применения в военных целях. Фактически, при рассмотрении реальной ситуации с применением цикла, получается спираль, на каждом уровне которой происходит воздействие на противника и взаимодействие с внешней средой. До сих пор в армии США петля НОРД рассматривается в качестве единой типовой модели цикла принятия решений для систем командования и управления, как своих войск, так и войск противника.

Однако со временем, другие отрасли признали универсальность и междисциплинарность цикла Бойда: он применялся в экономике, бизнесе, спорте и т.д. И в последнее время на западе появляется тенденция к применению цикла Бойда в кибербезопасности. Отличительной чертой цикла от других циклических моделей, применяемых в ИБ, состоит в том, что наличие противника предполагается всегда и противник также действует и принимает решения в рамках своей аналогичной петли. Учитывая, что современная киберпреступность (не говоря уже о кибервойсках) мало чем отличается по своим возможностям от корпоративных служб ИБ (а часто и превосходит их), то применение цикла Бойда в кибербезопасности вполне оправданно и обосновано.

Рассмотрим же этапы петли Бойда в процессе управления инцидентами безопасности (рис.1). Для этого мы предлагаем использовать этапы управления инцидентами ИБ из ISO/IEC 27035-2016, [2] как наиболее актуального стандарта по этой теме на сегодняшний день. Причем раскладывать каждый из этапов по циклу.

Этапы реагирования:

  1. Планирование и подготовка
  2. Обнаружение и уведомление
  3. Оценка и решение
  4. Реагирование
  5. Получение уроков

 

Рисунок 1. OODA Loop [3]

 

 

1. OBSERVE (НАБЛЮДЕНИЕ)

Это процесс сбора информации, необходимой для принятия решения в данном конкретном случае. Использование инструментов мониторинга для определения событий ИБ, могущих оказаться инцидентами. На этой фазе строится все остальное. В этой фазе, чем больше сделано и задокументировано наблюдений, тем эффективнее будет реагирование и защита. Происходящие действия в зависимости от этапа:

  1. Планирование и подготовка; Сбор информации о состоянии ИБ, инфраструктуры информационной системы и так далее
  2. Обнаружение и уведомление; Сбор признаков, индикаторов событий и инцидентов
  3. Оценка и решение; Сбор всей имеющейся информации о произошедшем инциденте
  4. Реагирование; Постоянный сбор информации о состоянии ИС, зараженных машин, действиях злоумышленника
  5. Получение уроков; Сбор всей имеющейся информации и комментариев, об инциденте, действиях специалистов и сотрудников, реакциях оборудования и так далее

2. Orientation (Ориентация)

Это самый важный этап петли Бойда, который в свою очередь разделяется на два подэтапа - разрушение (destruction) и созидание (creation). Разрушение подразумевает декомпозицию ситуации на более мелкие части, для каждой из которых существует свой сценарий или план действий. В области управления инцидентами ИБ это могут быть различные руководства и инструкции. На этапе созидания все эти небольшие планы объединяются в общий план действий, который позволяет решить сложившуюся ситуацию.

  1. Планирование и подготовка; Разложение и структуризация собранной информации, поиск существующих планов по улучшению системы управления инцидентами
  2. Обнаружение и уведомление; Разложение и структуризация собранной информации об индикаторов, приведение всех собранных данных по инциденту в один документ
  3. Оценка и решение; Синтез имеющейся информации: об инциденте, существующем положении компании и прочих факторов, создание стратегий по решению
  4. Реагирование; Быстрое создание новых планов по разрешению новых инцидентов
  5. Получение уроков; Создание стратегий по улучшению ситуации в компании

3. Decide (Решение)

На данном этапе принимается решение о реализации плана, сформированного на предыдущем этапе (если план один), или выбираем из альтернатив лучшую. Приоритизация и выбор стратегии.

  1. Планирование и подготовка; Выбор стратегии по внедрению ИБ
  2. Обнаружение и уведомление; Выбор лиц для уведомления,
  3. Оценка и решение; Приоритизация инцидентов
  4. Реагирование; Выбор стратегии по реагированию
  5. Получение уроков; Выбор стратегии по внедрению изменений в ИС компании

4. Act (Действие)

Реализация выбранного плана действий.

  1. Планирование и подготовка; Внедрение и изменение ИС компании
  2. Обнаружение и уведомление; Уведомление ответственных лиц, рассылка предупреждений
  3. Оценка и решение; Выбор стратегии по реагированию
  4. Реагирование; Борьба с инцидентом, реализация стратегии
  5. Получение уроков; Внедрение и изменение ИС компании

Таким образом, 5 фаз из стандарта теперь представляют собой спираль, когда на каждой фазе действует свой цикл Бойда. Это помогает структурировать производимые на каждом этапе действия и, самое главное, осуществлять взаимодействие с внешней средой чаще, что поможет вовремя вносить корректировки в процесс управления инцидентом ИБ.

Цикл Бойда видится эффективным и масштабируемым до любого количества требований, можно порекомендовать его применение на практике.

 

Список литературы:

  1. Цикл НОРД // URL: https://ru.wikipedia.org/wiki/Цикл_НОРД (дата обращения: 24.04.2018).
  2. ISO/IEC 27035:2016. Information technology. Security techniques. Information security incident management: IEEE, 2016
  3. Incident Response Methodology: The OODA Loop/ James Fritz // URL: https://www.alienvault.com/blogs/security-essentials/incident-response-methodology-the-ooda-loop (дата обращения: 24.04.2018).

Оставить комментарий