Побудова нечіткої онтології для аналізу системи захисту інформації в ІТС
DOI:
https://doi.org/10.18372/2225-5036.24.12973Ключові слова:
онтологія, нечітка онтологія, сценарії витоку інформації, культура інформаційної безпеки, загрози інформації, рівень культури інформаційної безпекиАнотація
У статті пропонується варіант нечіткої онтології для аналізу комплексних систем захисту інформації в ІТС, яка орієнтується на найбільш поширені варіанти сценаріїв витоку інформації та на особливості культури інформаційної безпеки. Результати реалізації загрози можуть впливати на інформацію як безпосередньо, так і опосередковано. Аналіз систем захисту інформації в ІТС спирається на багато факторів (сценарії атак на систему та інше) серед яких також можуть бути не тільки технічні засоби. Зазвичай загрози інформації в інформаційній системі залежать від характеристик внутрішньої системи, фізичного середовища, персоналу і оброблюваної інформації. Загрози можуть мати як об'єктивну складову (зміна умов фізичного середовища, відмова елементів взаємодії системи) так і суб'єктивну - «людський фактор», який не завжди пов’язаний з нестачею або недосконалістю заходів захисту, але він завжди пов’язан з недотриманням вимог політики безпеки. Звичайні помилки та нерозуміння визначення інцидентів безпеки та як на них реагувати теж грає важливу роль. Отже, для базової захищеності системи потрібно визначити багато факторів і структура, де буде визначено фактори, сценарії та зв’язок між елементами захисту для подальшого використання буде значно спрощувати розуміння та побудову системи захисту інформації в ІТС. Саме такі особливості властиві онтологічному аналізу, що базується на понятті «онтології». Але онтології за класичним визначенням не можуть використовуватися в областях, де є нечітка інформація через неможливість оперувати відношеннями без чітких рамок. Одним з варіантів вирішення цієї проблеми є використання нечіткої онтології, яка містить в собі елементи нечіткої логіки у множинах концептів та відношень. Дана онтологія може бути використана для сценаріїв витоку інформації з урахуванням культури інформаційної безпеки та для подальшого визначення загальної формальної оцінки захищеності організації.
Посилання
О. Архипов, "Щодо методики iдентифiкацiї та оцінювання активiв системи iнформацiйних технологiй", Захист iнформацiї, № 1 (50), С. 42-47, 2011.
G. Dhillon, Managing information system security, London: Macmillan, 1997.
T. Gruber, "Toward principles for the design of ontologies used for knowledge sharing", Int. J. Hum.Comput. Stud., no. 43(5-6), pp. 907-928, 1995.
T. Helokunnas, R. Kuusisto, "Information security culture in a value net. In: Engineering Management Conference, IEMC‘03 on Managing Technologically Driven Organizations: The Human Side of Innovation and Change", New York: IEEE Press, pp. 190-194, 2003.
C.S. Lee, Z.W. Jian, L.K. Huang, "A fuzzy ontology and its application to news summarization", IEEE Transactions on Systems, Man and Cybernetics (Part B), vol. 35(5), pp. 859-880, 2005.
K.D. Mitnick, W.L. Simon, "The art of deception: controlling the human element of security", Wiley Publishing, pp. 3-4, 2002.
A. Potiy, D. Pilipenko, I. Rebriy, "The prerequisites of information security culture development and an approach to complex evaluation of its level", Радіоелектронні і комп’ютерні системи, vol. 5, pp. 72-77.
M. Siponen, "Five dimensions of information security awareness", Computers and Society, pp. 24-29, 2001.
T. Tafazzoli, S. Sadjadi, "Malware fuzzy ontology for semantic web", International Journal of Computer Science and Network Security, vol. 8, pp. 157-159, 2008.
Q. Tho, S. Hui, A. Fong, T. Cao, "Automatic fuzzy ontology generation for semantic web", IEEE
Transactions on Knowledge and Data Engineering, vol. 18(6), pp. 842-856, 2006.
J.F. Van Niekerk, R. Von Solms, "Information security culture: A management perspective", Computers & Security, pp.478-479, 2010.
J. Zhou, Y. Liang, "Fuzzy Ontology Model for Knowledge Management", pp. 2-3, 2006.
Data Breach Investigation Report, Verizon Enterprise Solutions, 2013.
Data Breach Investigation Report, Verizon Enterprise Solutions, 2014.
Data Breach Investigation Report, Verizon Enterprise Solutions, 2015.
Data Breach Investigation Report, Verizon Enterprise Solutions, 2016.
