Використання Q-аналізу для визначення захищеності інформаційної системи

Олег Віталійович Козленко

Анотація


У статті розглянуто застосування методів структурного аналізу систем для дослідження функціонування та визначення системи захисту інформації в ІТС з орієнтацією на найбільш поширені варіанти сценаріїв витоку інформації та на особливості культури інформаційної безпеки. Компанія Verizon щорічно у своїх дослідженнях в області безпеки інформаціїі ділять усі інциденти витоку інформації на дев’ять сценаріїв, які стали основою для побудови відповідної множини елемен-тів захисту та загроз. Небезпеку також становить людський фактор, який не завжди пов’язаний з нестачею або недоско-налістю заходів захисту, але завжди пов’язан з недотриманням вимог політики безпеки Дослідження людських чинників в області інформаційної безпеки все більше привертають увагу, тому що мають значний вплив на інформаційну безпеку в цілому і окремо на інсайдерську її складову. Організації страждають від випадкових або навмисних помилок співробітників, незважаючи на наявність політики безпеки і необхідних технологій. За допомогою Q-аналізу представлені основні прин-ципи побудови моделі зв'язаності забезпечення захисту інформації в ІТС на прикладі двох множин: множини загроз і множин заходів щодо захисту, розраховані числові значення ексцентриситетів. Математичний апарат Q-аналізу дозволяє здійснювати дослідження топологічних, інформаційних і функціональних властивостей забезпечення захисту інформації в ІТС. На основі дослідження структурної зв'язності системи з'являється можливість провести формальну оцінку її рівня функціональності, що визначає здатність до поглинання зовнішніх несприятливих факторів за рахунок внутрішніх ресурсів. Системний характер дозволив зробити висновок, що елементи двох множин забезпечення захисту інформації в ІТС - взаємопов'язані і складають основу системи забезпечення їх безпеки. Дані розрахунки можуть бути використані подаль-шого визначення загальної формальної оцінки захищеності організації і побудова системи захисту інформації в ІТС повинна рахуватися за результатами даного аналізу.


Ключові слова


Q-аналіз; сценарії витоку інформації; культура інформаційної безпеки; загрози інформації; рівень культури інформаційної безпеки

Посилання


О. Архипов, "Щодо методики iдентифiкацiї та оцінювання активiв системи iнформацiйних технологiй", Захист iнформацiї, №1 (50), C.42-47, 2011.

G. Dhillon, Managing information system security, London: Macmillan, 1997.

A. Goicoechea, D. Hansen, L. Duckstein, Multiobjective Decision Analysis with Engineering and Business Applications, IWiley, New York, 1982.

T. Helokunnas, R. Kuusisto, "Information security culture in a value net", In: Engineering Management Con-ference, IEMC‘03 on Managing Technologically Driven Or-ganizations: The Human Side of Innovation and Change, New York: IEEE Press, P. 190-194, 2003.

K. Mitnick, W. Simon, The art of deception: controlling the human element of security, Wiley Publishing, P. 3, 2002.

A. Potiy, D. Pilipenko, I. Rebriy, "The prerequisites of information security culture development and an approach to complex evaluation of its level", Радіоелектронні і комп’ютерні системи, no. 5, P. 72-77, 2012.

M. Siponen, "Five dimensions of information security awareness", Computers and Society, 2001.

Y. Svirezhev, D. Logofet, Stability of Biological Commu-nities, Mir, Moscow ,1978.

F. Szidarovszky, M. Gershon, L. Duckstein, Techniques for Multiobjective Decision Making in Systems Management, Elsevier, New York, 1986.

J. Van Niekerk, R. Von Solms, "Information security culture: A management perspective", Computers & Security, p.478, 2010.

Data Breach Investigation Report, Verizon Enterprise Solutions, 2013

Data Breach Investigation Report, Verizon Enterprise Solutions, 2014


Повний текст: PDF

Посилання

  • Поки немає зовнішніх посилань.


ISSN 2410-7840 (Online), ISSN 2221-5212 (Print)

Ліцензія Creative Commons
Цей твір ліцензовано за ліцензією Creative Commons Із зазначенням авторства - Некомерційна - Без похідних творів 3.0 Неадаптована

РИНЦ SSM WorldCat BASE Національна бібліотека ім. Вернадського Науково-технічна бібліотека НАУ Ulrich's Periodicals Directory

Ulrich's Periodicals Directory