Библиотека
|
ваш профиль |
Программные системы и вычислительные методы
Правильная ссылка на статью:
Корниенко А.А., Поляничко М.А.
Метод обнаружения инсайдерской деятельности в организации
// Программные системы и вычислительные методы.
2019. № 1.
С. 30-41.
DOI: 10.7256/2454-0714.2019.1.29048 URL: https://nbpublish.com/library_read_article.php?id=29048
Метод обнаружения инсайдерской деятельности в организации
DOI: 10.7256/2454-0714.2019.1.29048Дата направления статьи в редакцию: 21-02-2019Дата публикации: 28-02-2019Аннотация: Обнаружение инсайдерских угроз – задача, которую решают аналитики и администраторы информационной безопасности как в коммерческом секторе, так и в государственных организациях. До 75 % инцидентов, связанных с действиями инсайдеров до сих пор обнаруживается в ручном режиме. Обнаружение инсайдерских угроз в организации может быть осуществлено с использованием комплекса организационных и технических мер. Для их выявления в статье предлагается использование поведенческих и технических показателей. Целью работы является повышение результативности противодействия случайным и злонамеренным инсайдерским угрозам информационной безопасности на основе разработки метода обнаружения инсайдерской деятельности в организации. Для достижения поставленной цели применяется теоретико-множественное моделирование, метод анализа иерархий, аппарат нечеткой логики и система нечеткого вывода. В результате проведенного исследования был разработан метод, позволяющий осуществлять обнаружение инсайдерской деятельности в организации, основанный на оценивании предиспозиции сотрудника к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности. Разработанный метод может быть использован при создании автоматизированной системы выявления инсайдеров в организации. Ключевые слова: внутренние угрозы, информационная безопасность, инсайдер, обнаружение инсайдеров, противодействие, угрозы, безопасность, организация, автоматизированные системы, моделированиеAbstract: Detecting insider threats is a task that analysts and information security administrators address in the commercial sector and in government organizations. Up to 75% of incidents involving insider actions are still detected manually. Detection of insider threats in an organization can be carried out using a set of organizational and technical measures. To identify them, the authors propose the use of behavioral and technical indicators. The aim of the article is to increase the effectiveness of countering random and malicious insider information security threats by developing a method for detecting insider activity in an organization. To achieve this goal authors used set-theoretic modeling, a hierarchy analysis method, a fuzzy logic apparatus and a fuzzy inference system. As a result of the study authors developed a method that allows detecting insider activity in an organization based on evaluating an employee's predisposition to insider activity and identifying an insider as a result of recording an information security incident. The developed method can be used to create an automated system for identifying insiders in an organization. Keywords: internal threats, information security, insider, insider detection, counteraction, threats, security, organization, automated systems, modelingОпределение случайных и преднамеренных инсайдерских угроз – задача, которую решают аналитики и администраторы информационной безопасности как в коммерческом секторе, так и в государственных организациях [20]. До 75 % инцидентов, связанных с действиями инсайдеров до сих пор обнаруживается в ручном режиме и только 19 % действий выявляются с помощью сочетания автоматизированных средств и ручных процедур [5, 21]. Вместе с тем, отчеты компаний – разработчиков программных средств обеспечения информационной безопасности показывают, что количество инцидентов, связанных с инсайдерской активностью растет [4, 7]. В данной работе в основу процесса обнаружения инсайдерской деятельности в организации положена парадигма оценивания потенциальной склонности (предиспозиции) сотрудника организации к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности, связанного с инсайдерской деятельностью, и его расследования с учетом рисков предиспозиции. Предиспозиция – готовность, предрасположенность субъекта к поведенческому акту, действию, поступку, их определенной последовательности [12]. Проблемы, связанные с инсайдерскими угрозами сложнее поддаются решению, чем технические проблемы. Люди проявляют себя по-разному (полиморфное поведение), зачастую, они склонны скрывать свои истинные эмоции от окружающих, меняют своё поведение в зависимости от ситуации. Инсайдер будет постоянно анализировать и оценивать риск быть пойманным. В связи с этим, решение задачи выявления потенциальных и реальных инсайдеров требует создание метода, сочетающего в себе технические и организационные меры [17, 18]. Предлагаемый метод обнаружения инсайдерской деятельности комбинирует применение организационных и технических подходов и агрегирует разнородные данные [19]. Для выявления инсайдерской деятельности в организации предлагается следующий метод (Рис. 1): Рис. 1. Метод обнаружения инсайдерской деятельности Метод предполагает анализ трех групп показателей: · Стационарных; · Периодически актуализируемых; · Динамических. Анализ данных показателей позволяет определить, склонен ли работник к совершению нарушения, то есть определяется его предиспозиция. К стационарным показателям относятся психологические и коммуникативные показатели, зависящие от личности человека. Психологические показатели (экстраверсия, способность прийти к согласию, сознательность, невротизм, открытость опыту) определяются на основе пятифакторного личностного опросника «Большая пятерка» (Big five), разработаного американскими психологами Р. МакКрае и П. Коста [6]. Коммуникативные показатели (уровень общительности, склонность к соперничеству, сотрудничеству, компромиссу, склонность к избеганию проблем или приспособлению). Значения стационарных показателей определяются с использованием теста на уровень общительности В.Ф. Ряховского [14] и методики диагностики поведения личности в конфликтной ситуации (опросник Кеннета Томаса «Определение способов регулирования конфликтов»). К периодически актуализируемым относятся личностные показатели, поведенческие показатели, скрининговые показатели (данные полиграфа) и контекстные показатели. Данные показатели представляют собой многомерный набор количественных и качественных показателей, значения которых определяются на основе высказываний экспертов. Для обработки значений применяется нечеткое обобщение метода анализа иерархий [1–3, 8–10, 23]. К динамическим показателям относятся технические показатели (собираются DLP, IDS или SIEM), значения которых могут быть автоматизировано собраны на основе данных вычислительной сети организации и ее информационных систем [11]. Данные показатели отражают события, связанные с печатью документов, осуществлением доступа к ресурсам, скачиванием информации и т. п. Оценки предиспозиции для первых двух групп определяются по следующим показателям: Личностные показатели - Нахождение в состоянии депрессии; - Наличие алкогольной зависимости; - Наличие наркотической зависимости; - Наличие зависимости от азартных игр; - Недавняя смерть близкого человека; - Недовольство условиями труда; - Наличие хронических заболеваний; - Наличие хронических заболеваний у близких; - Нахождение в состоянии расставания или развода. Поведенческие показатели - Нарушение установленных правил и процедур; - Преднамеренное вредительство; - Нарушение трудового распорядка; - Добровольчество, дающее доступ к конфиденциальным данным; - Сверхурочная работа; - Резкие высказывания, шутки или хвастовство; - Проявление агрессии. Контекстные показатели - Участие в деятельности отдельных лиц или групп, выступающих против основных убеждений организации; - Наличие судимости; - Доступ к финансовым активам организации; - Участие в деятельности, которая может вызвать конфликт интересов; - Ведение собственного бизнеса; - Наличие кредитов и иных финансовых обязательств; - Активное присутствие в социальных сетях. Скрининговые показатели - Наличие алкогольной зависимости; - Наличие наркотической зависимости; - Наличие зависимости от азартных игр; - Наличие хронических заболеваний; - Наличие хронических заболеваний у близких; - Кражи по предыдущим местам работы; - Наличие кредитов и иных финансовых обязательств; - Искажение данных о себе (документы, записи в трудовой книжке, анкетные данные) при поступлении на работу; - Наличие связей в криминальном мире; - Передача конфиденциальной информации посторонним лицам; - Совершение противоправных действий, в том числе оставшихся нераскрытыми. Для оценки каждого показателя , влияющего на предиспозицию формируется соответствующий опросный лист с множеством ответов .
Данная иерархия может быть представлена деревом декомпозиции (Рис. 2): Рис. 2. Дерево декомпозиции для i-ой предиспозиции Оценка предиспозиции вычисляется на основе следующего алгоритма [10]: - Шаг 1. Формирование группы экспертов Для каждого эксперта должен быть назначен вес . Количество экспертов равно . В зависимости от того, оценку какой предиспозиции необходимо вычислить в группе экспертов могут включаться работники ИТ отделов, работники, отвечающие за информационную безопасность или отдел кадров. - Шаг 2. Оценка приоритетов важности для вопросов Экспертным путём выполняются попарные сравнения вопросов по отношению к степени их влияния на оценку определяемой предиспозиции . Для каждого эксперта вычисляется вектор приоритетов , вопросов , где номер эксперта – . - Шаг 3. Формирование нечетких приоритетов важности для вопросов Нечеткий приоритет вопроса представляется в виде нечеткого числа . - Шаг 4. Определение нечетких значений баллов – нечеткие значения баллов, отводимые на каждый отдельный вопрос . - Шаг 5. Оценка приоритетов важности для ответов внутри вопросов Аналогично шагу 2 алгоритма. Каждый экспертом выполняются попарные сравнения ответов , и вычисляются векторы приоритетов , где номер эксперта – - Шаг 6. Формирование нечетких приоритетов важности для ответов внутри вопросов - Нечеткий приоритет вопроса представляется в виде нечеткого числа . - Шаг 7. Определение абсолютных значений баллов в виде нечетких чисел, зависящих от выбранного экспертом ответа. Количество баллов . - Шаг 8. Определение значений баллов, влияющих положительно или отрицательно на оценку предиспозиции Отрицательные значения баллов противоположны их абсолютным значениям. - Шаг 9. Получение от эксперта вариантов ответов Эксперты дают ответ на каждый из вопросов . - Шаг 10. Нормирование общего количества баллов Баллы, набранные за ответы на вопросы теста нормируются по следующей формуле:
- Шаг 11. Определение оценки предиспозиции Оценка предиспозиции равняется Для обнаружения инсайдерской деятельности требуется оценивание показателей, характеризующих склонность к случайному и злонамеренному инсайдерскому поведению и обобщенного динамического показателя. Необходимым условием формирования данных оценок и обобщенного технического показателя, является создание лингвистических переменных. Это обусловлено рядом преимуществ использования лингвистических переменных: - лингвистические переменные позволяют оперировать непрерывно изменяющимися во времени динамическими входными данными; - возможность перехода к единой качественной шкале измерений [24]; - проведение качественной оценки как входных данных, так и выходных результатов. Лингвистическая переменная – в теории нечётких множеств, это переменная, которая может принимать значения фраз из естественного или искусственного языка [13, 22]. Лингвистической переменной называется набор [15]: Обнаружение потенциальной инсайдерской деятельности осуществляется на основе последовательного применения баз правил нечеткого вывода для различных показателей: Рис. 3. Схема нечеткого вывода обобщенного показателя Каждая база нечетких правил, которая также может называться лингвистической моделью, состоит из множества нечетких правил , вида
В результате работы предлагаемой схемы вывода, оцениваемый работник организации получает несколько оценок, характеризующих его склонность к случайной или преднамеренной инсайдерской деятельности и оценку обобщенного технического показателя, чувствительного к выполнению подозрительных операций. По каждому работнику вычисляется три оценки: - Оценка склонности к случайному инсайдерскому поведению AccInsider; - Оценка склонности к злонамеренному инсайдерскому поведению MalInsider; - Оценка обобщенного динамического показателя ITSummary. На завершающем этапе метода, все работники приоритезируются по степени актуальности угрозы на основании вычисленных оценок. Для приоритезации работников предлагается использовать критерий Лапласса [16]:
Частный вид критерия Лапласа для случайного инсайдерского поведения:
Частный вид критерия Лапласа для злонамеренного инсайдерского поведения:
Допустим, что по результатам работы метода обнаружения инсайдерской угрозы были получены оценки склонности к случайному инсайдерскому поведению и обобщенный технический показатель для четырех работников:
Таким образом, после вычисления критерия Лапласа будут получены следующие приоритеты:
По результатам работы метода определено, что наибольшую угрозу представляет работник, имеющий оценку склонности к непреднамеренному инсайдерскому поведению выше среднего и самую высокую оценку обобщенного технического показателя. В результате проведенного исследования был разработан метод, позволяющий осуществлять обнаружение инсайдерской деятельности в организации, основанный на оценивании предиспозиции сотрудника к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности. Библиография
1. Anikin I.V. Information Security Risks Assessment Method Based on AHP and Fuzzy Sets // 2nd Intl’ Conference on Advances in Engineering Sciences and Applied Mathematics (ICAESAM’2014) May 4-5, 2014.
2. Dong M. Approaches to group decision making with incomplete information based on power geometric operators and triangular fuzzy AHP / M. Dong, S. Li, H. Zhang // Expert Systems and Applicatinons.-2015.-Vol. 42, Issue 21.-pp. 7846-7857. 3. Fu S., Zhou H. The information security risk assessment based on AHP and fuzzy comprehensive evaluation, 2011 IEEE 3rd International Conference on Communication Software and Networks, Xi’an, 2011, pp. 124-128. 4. Insider Threat Report: 2018-CA Technologies // CA Technologies URL: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (дата обращения: 18.07.2018). 5. Keeney M., Kowalski, E., Cappelli, D., Moore, A., Shimeall, T. and S. Rogers. (2005, May). Insider threat study: Computer system sabotage in critical infrastructure sectors. CMU/SEI and U.S. Secret Service. 6. McCrae R.R., John O.P. An introduction to the five factor model and its applications 1992. (60). C. 175–215. 7. Verizon 2015 Data Breach Investigations Report // Information Security. 2015. C. 1–70. 8. Xuepeng H., Wei X. Method of Information Security Risk Assessment Based on Improved Fuzzy Theory of Evidence Establishing index system of information security risk assessment // International Journal of Online Engineering. 2018. (14). C. 188–196. 9. Аникин А.В. Методика формирования анкет для задач оценки возможности реализации угроз и уязвимостей // Сборник трудов 3-й ежегодной научно-практической конференции «Инфокоммуникационные технологии глобального информационного обещства»: Казань, 8-9 сентября 2005.-С. 333-342. 10. Аникин Игорь Вячеславович. Методы и алгоритмы количественной оценки и управления рисками безопасности в корпоративных информационных сетях на основе нечеткой логики: диссертация ... доктора технических наук, , Казань, 2017. 11. Аникин И.В. Технология интеллектуального анализа данных для выявления внутренних нарушителей в компьютерных системах // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. 2010. №6 (113). 12. Даль В.И. Толковый словарь живого великорусского языка: в 4-х т. Т. 2. Русский язык / В.И. Даль. – М., 1998. – 779 с. 13. Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. — М.: Мир, 1976. 14. Карелин А. А. , Большая энциклопедия психологических тестов, М.: Эксмо, 2007, ISBN 978-5-699-13698-8. 15. Кофман А. Введение в теорию нечетких множеств. — М.: Радио и связь, 1982. — 432 c. 16. Кузнецов Ю. Н., Кузубов В. И., Волощенко А. Б. Математическое программирование — М.: «Высшая школа», 1980, стр. 291. / Кузнецов,. 17. Мамочка Е.А. Типы личности преступника-инсайдера // Территория новых возможностей. Вестник владивостокского государственного университета экономики и сервиса. 2016. № 3. C. 70–78. 18. Поляничко М.А., Королев А.И. Критерии классификации инсайдеров // Естественные и технические науки. 2018.-№9., Выпуск (123).-2018-с. 149-151. 19. Поляничко М.А., Королев А.И. Подход к выявлению инсайдерских угроз в организации // Естественные и технические науки. 2018.-№9., Выпуск (123).-2018-с. 152-154. 20. Поляничко М.А., Пунанова К.В. Основные проблемы практического применения человеко-ориентированного подхода к обеспечению информационной безопасности // «Фундаментальные и прикладные разработки в области технических и физико-математических наук» Сборник научных статей по итогам работы третьего международного круглого стола.-М.: Общество с ограниченной ответственностью «КОНВЕРТ». 2018. C. 57–60. 21. Поляничко М.А. Современное состояние методов обнаружения и противодействия инсайдерским угрозам информационной безопасности // Colloquium-Journal. 2018. № 9–1 (20). C. 44–46. 22. Рутковская Д., Пилиньский М., Рутковский Л. Нейронные сети, генетические алгоритмы и нечеткие системы: Пер. с польск. И.Д. Рудинского, Том 452. — Москва: Горячая линия-Телеком, 2006. 23. Саати Т. Принятие решений. Метод анализа иерархий / Т. Саати. – М.: Радио и связь, 1993. – 278 с. 24. Хованов Н.В. Математические основы теории шкал измерения качества. — Л.: ЛГУ, 1982. References
1. Anikin I.V. Information Security Risks Assessment Method Based on AHP and Fuzzy Sets // 2nd Intl’ Conference on Advances in Engineering Sciences and Applied Mathematics (ICAESAM’2014) May 4-5, 2014.
2. Dong M. Approaches to group decision making with incomplete information based on power geometric operators and triangular fuzzy AHP / M. Dong, S. Li, H. Zhang // Expert Systems and Applicatinons.-2015.-Vol. 42, Issue 21.-pp. 7846-7857. 3. Fu S., Zhou H. The information security risk assessment based on AHP and fuzzy comprehensive evaluation, 2011 IEEE 3rd International Conference on Communication Software and Networks, Xi’an, 2011, pp. 124-128. 4. Insider Threat Report: 2018-CA Technologies // CA Technologies URL: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (data obrashcheniya: 18.07.2018). 5. Keeney M., Kowalski, E., Cappelli, D., Moore, A., Shimeall, T. and S. Rogers. (2005, May). Insider threat study: Computer system sabotage in critical infrastructure sectors. CMU/SEI and U.S. Secret Service. 6. McCrae R.R., John O.P. An introduction to the five factor model and its applications 1992. (60). C. 175–215. 7. Verizon 2015 Data Breach Investigations Report // Information Security. 2015. C. 1–70. 8. Xuepeng H., Wei X. Method of Information Security Risk Assessment Based on Improved Fuzzy Theory of Evidence Establishing index system of information security risk assessment // International Journal of Online Engineering. 2018. (14). C. 188–196. 9. Anikin A.V. Metodika formirovaniya anket dlya zadach otsenki vozmozhnosti realizatsii ugroz i uyazvimostei // Sbornik trudov 3-i ezhegodnoi nauchno-prakticheskoi konferentsii «Infokommunikatsionnye tekhnologii global'nogo informatsionnogo obeshchstva»: Kazan', 8-9 sentyabrya 2005.-S. 333-342. 10. Anikin Igor' Vyacheslavovich. Metody i algoritmy kolichestvennoi otsenki i upravleniya riskami bezopasnosti v korporativnykh informatsionnykh setyakh na osnove nechetkoi logiki: dissertatsiya ... doktora tekhnicheskikh nauk, , Kazan', 2017. 11. Anikin I.V. Tekhnologiya intellektual'nogo analiza dannykh dlya vyyavleniya vnutrennikh narushitelei v komp'yuternykh sistemakh // Nauchno-tekhnicheskie vedomosti SPbGPU. Informatika. Telekommunikatsii. Upravlenie. 2010. №6 (113). 12. Dal' V.I. Tolkovyi slovar' zhivogo velikorusskogo yazyka: v 4-kh t. T. 2. Russkii yazyk / V.I. Dal'. – M., 1998. – 779 s. 13. Zade L. Ponyatie lingvisticheskoi peremennoi i ego primenenie k prinyatiyu priblizhennykh reshenii. — M.: Mir, 1976. 14. Karelin A. A. , Bol'shaya entsiklopediya psikhologicheskikh testov, M.: Eksmo, 2007, ISBN 978-5-699-13698-8. 15. Kofman A. Vvedenie v teoriyu nechetkikh mnozhestv. — M.: Radio i svyaz', 1982. — 432 c. 16. Kuznetsov Yu. N., Kuzubov V. I., Voloshchenko A. B. Matematicheskoe programmirovanie — M.: «Vysshaya shkola», 1980, str. 291. / Kuznetsov,. 17. Mamochka E.A. Tipy lichnosti prestupnika-insaidera // Territoriya novykh vozmozhnostei. Vestnik vladivostokskogo gosudarstvennogo universiteta ekonomiki i servisa. 2016. № 3. C. 70–78. 18. Polyanichko M.A., Korolev A.I. Kriterii klassifikatsii insaiderov // Estestvennye i tekhnicheskie nauki. 2018.-№9., Vypusk (123).-2018-s. 149-151. 19. Polyanichko M.A., Korolev A.I. Podkhod k vyyavleniyu insaiderskikh ugroz v organizatsii // Estestvennye i tekhnicheskie nauki. 2018.-№9., Vypusk (123).-2018-s. 152-154. 20. Polyanichko M.A., Punanova K.V. Osnovnye problemy prakticheskogo primeneniya cheloveko-orientirovannogo podkhoda k obespecheniyu informatsionnoi bezopasnosti // «Fundamental'nye i prikladnye razrabotki v oblasti tekhnicheskikh i fiziko-matematicheskikh nauk» Sbornik nauchnykh statei po itogam raboty tret'ego mezhdunarodnogo kruglogo stola.-M.: Obshchestvo s ogranichennoi otvetstvennost'yu «KONVERT». 2018. C. 57–60. 21. Polyanichko M.A. Sovremennoe sostoyanie metodov obnaruzheniya i protivodeistviya insaiderskim ugrozam informatsionnoi bezopasnosti // Colloquium-Journal. 2018. № 9–1 (20). C. 44–46. 22. Rutkovskaya D., Pilin'skii M., Rutkovskii L. Neironnye seti, geneticheskie algoritmy i nechetkie sistemy: Per. s pol'sk. I.D. Rudinskogo, Tom 452. — Moskva: Goryachaya liniya-Telekom, 2006. 23. Saati T. Prinyatie reshenii. Metod analiza ierarkhii / T. Saati. – M.: Radio i svyaz', 1993. – 278 s. 24. Khovanov N.V. Matematicheskie osnovy teorii shkal izmereniya kachestva. — L.: LGU, 1982.
Результаты процедуры рецензирования статьи
В связи с политикой двойного слепого рецензирования личность рецензента не раскрывается.
Методология исследования основана на сочетании теоретического и модельного подходов с применением методов анализа, алгоритмизации, моделирования, программирования, сравнения, обобщения, синтеза на основе нечёткой логики и нечётких множеств. Актуальность исследования обусловлена важностью обеспечения информационной безопасности современного бизнеса, в частности, предупреждения несанкционированного распространения инсайдерской информации и, соответственно, необходимостью изучения и совершенствования методик выявления лиц, склонных к подобным проступкам, в том числе с использованием средств автоматизации. Научная новизна связана с разработанной авторами методикой обнаружения в организации лиц, склонных к нарушениям в сфере обращения с инсайдерской информацией, основанный на оценивании предиспозиции сотрудника к инсайдерской деятельности и выявление инсайдера по результатам регистрации инцидента информационной безопасности. Показано, что наибольшую угрозу представляет работник, имеющий оценку склонности к непреднамеренному поведению выше среднего и самую высокую оценку обобщенного технического показателя. Стиль изложения научный. Статья написана русским литературным языком. Структура рукописи включает следующие разделы (в виде отдельных пунктов не выделены, не озаглавлены): Введение (определение случайных и преднамеренных инсайдерских угроз, парадигма оценивания потенциальной склонности (предиспозиции), полиморфное поведение), Методика обнаружения инсайдерской деятельности (применение организационных и технических подходов, алгоритм обнаружения инсайдерской деятельности на основании стационарных, периодически актуализируемых, динамических показателей, психологические и коммуникативные показатели личности), опросный лист, дерево декомпозиции для i-ой предиспозиции, алгоритм оценки предиспозиции), Создание лингвистических переменных (преимущества использования лингвистических переменных, теория нечётких множеств), Обнаружение потенциальной инсайдерской деятельности (применение баз правил нечёткого вывода для различных показателей, схема нечёткого вывода обобщённого показателя, оценки AccInsider, MalInsider, ITSummary, критерий Лапласа, пример расчёта, Заключение (выводы), Библиография. Текст содержит три рисунка, две таблицы. Рисунок 1 желательно назвать «Алгоритм обнаружения инсайдерской деятельности». Рисунок 3 следует повернуть на 90 градусов по часовой стрелке, элементы данного рисунка практически не читаются, их обозначения требуют пояснений. Таблицы должны иметь номер, название, ссылку в предшествующем тексте. Содержание в целом соответствует названию. В то же время в формулировке заголовка следует учесть, что речь идёт скорее о методике, нежели о методе обнаружения инсайдерской деятельности. Необходимо пояснить, что понимается под инсайдерской деятельностью, всегда ли (что спорно) понятия «инсайдер», «инсайдерская деятельность» имеют негативную коннотацию. В целом не ясно, каким образом проводилась апробация разработанной методики – имеет она модельный либо практический характер, какие данные, о каких людях, в каких организациях использовались для определения показателей, представленных в таблицах. Следует также указать, какими программными средствами реализовано предлагаемое решение задачи обнаружения инсайдерской деятельности. Библиография включает 24 источника отечественных и зарубежных авторов – монографии, научные статьи, материалы научных мероприятий, диссертации, Интернет-ресурсы. Библиографические описания некоторых источников нуждаются в корректировке в соответствии с ГОСТ и требованиями редакции, например: 1. Anikin I.V. Information Security Risks Assessment Method Based on AHP and Fuzzy Sets // 2nd Intl’ Conference on Advances in Engineering Sciences and Applied Mathematics ICAESAM’2014. – Место издания ??? : Наименование издательства ???, Год издания ???. – Р. ???–???. 2. Dong M., Li S., Zhang H. Approaches to group decision making with incomplete information based on power geometric operators and triangular fuzzy AHP // Expert Systems and Applicatinons. – 2015. – Vol. 42. – № 21. – P. 7846–7857. 4. Insider Threat Report: 2018-CA Technologies. – URL: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (дата обращения: 18.07.2018). 6. McCrae R. R., John O. P. An introduction to the five factor model and its applications //Наименование издания. – 1992. – Vol. 60. – Р. 175–215. 9. Аникин А.В. Методика формирования анкет для задач оценки возможности реализации угроз и уязвимостей // Инфокоммуникационные технологии глобального информационного общества : сборник трудов 3-й ежегодной научно-практической конференции (Казань, 8–9 сентября 2005 г.). – Место издания ??? : Наименование издательства ???, Год издания ???. – С. 333–342. 10. Аникин И. В.. Методы и алгоритмы количественной оценки и управления рисками безопасности в корпоративных информационных сетях на основе нечеткой логики: диссертация ... д-ра техн. наук. – Казань, 2017. – ??? с. 11. Аникин И. В. Технология интеллектуального анализа данных для выявления внутренних нарушителей в компьютерных системах // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. – 2010. – № 6 (113). – С. ???–???. 12. Даль В. И. Толковый словарь живого великорусского языка : в 4 т. – М.: Русский язык, 1998. – Т. 2. – 779 с. 13. Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. – М.: Мир, 1976. – ??? с. 17. Мамочка Е. А. Типы личности преступника-инсайдера // Территория новых возможностей. Вестник Владивостокского государственного университета экономики и сервиса. – 2016. – № 3. – C. 70–78. 18. Поляничко М. А., Королев А. И. Критерии классификации инсайдеров // Естественные и технические науки. – 2018. – № 9. – С. 149–151. 22. Рутковская Д., Пилиньский М., Рутковский Л. Нейронные сети, генетические алгоритмы и нечеткие системы / пер. с польск. И. Д. Рудинского. – М. : Горячая линия – Телеком, 2006. – ??? с. Для источника № 5 нужно указать выходные данные. Номера конкретных цитируемых страниц следует указывать в сносках в основном тексте (например, [16, с. 291]), в библиографическом списке – общее число страниц. Возможно излишнее самоцитирование (Аникин И. В. / Anikin I. V.). Апелляция к оппонентам (Даль В. И., Карелин А. А., Кузнецов Ю. Н., Кузубов В. И., Волощенко А. Б., Мамочка Е. А., Поляничко М. А., Королев А. И., Пунанова К. В., Рутковская Д., Пилиньский М., Рутковский Л., Заде Л., Кофман А., Саати Т., Хованов Н. В., Dong M., Li S., Zhang H., Fu S., Zhou H., Keeney M., Kowalski E., Cappelli, D., Moore A., Shimeall T., Rogers S., McCrae R. R., John O. P., Xuepeng H., Wei X. и др.) имеет место. Замечен ряд опечаток: разработаного американскими психологами Р. МакКрае и П. Коста – разработанного американскими психологами Р. МакКрае и П. Коста; предлагается использовать критерий Лапласа – предлагается использовать критерий Лапласа. Аббревиатуры DLP, IDS, SIEM следует привести полностью. В целом рукопись соответствует основным требования, предъявляемым к научным статьям. Материал представляет интерес для читательской аудитории и после доработки может быть опубликован в журнале «Программные системы и вычислительные методы» (рубрика «Модели и методы управления информационной безопасностью»). |