Використання Q-аналізу для визначення захищеності інформаційної системи
DOI:
https://doi.org/10.18372/2410-7840.20.12805Ключові слова:
Q-аналіз, сценарії витоку інформації, культура інформаційної безпеки, загрози інформації, рівень культури інформаційної безпекиАнотація
У статті розглянуто застосування методів структурного аналізу систем для дослідження функціонування та визначення системи захисту інформації в ІТС з орієнтацією на найбільш поширені варіанти сценаріїв витоку інформації та на особливості культури інформаційної безпеки. Компанія Verizon щорічно у своїх дослідженнях в області безпеки інформаціїі ділять усі інциденти витоку інформації на дев’ять сценаріїв, які стали основою для побудови відповідної множини елемен-тів захисту та загроз. Небезпеку також становить людський фактор, який не завжди пов’язаний з нестачею або недоско-налістю заходів захисту, але завжди пов’язан з недотриманням вимог політики безпеки Дослідження людських чинників в області інформаційної безпеки все більше привертають увагу, тому що мають значний вплив на інформаційну безпеку в цілому і окремо на інсайдерську її складову. Організації страждають від випадкових або навмисних помилок співробітників, незважаючи на наявність політики безпеки і необхідних технологій. За допомогою Q-аналізу представлені основні прин-ципи побудови моделі зв'язаності забезпечення захисту інформації в ІТС на прикладі двох множин: множини загроз і множин заходів щодо захисту, розраховані числові значення ексцентриситетів. Математичний апарат Q-аналізу дозволяє здійснювати дослідження топологічних, інформаційних і функціональних властивостей забезпечення захисту інформації в ІТС. На основі дослідження структурної зв'язності системи з'являється можливість провести формальну оцінку її рівня функціональності, що визначає здатність до поглинання зовнішніх несприятливих факторів за рахунок внутрішніх ресурсів. Системний характер дозволив зробити висновок, що елементи двох множин забезпечення захисту інформації в ІТС - взаємопов'язані і складають основу системи забезпечення їх безпеки. Дані розрахунки можуть бути використані подаль-шого визначення загальної формальної оцінки захищеності організації і побудова системи захисту інформації в ІТС повинна рахуватися за результатами даного аналізу.
Посилання
О. Архипов, "Щодо методики iдентифiкацiї та оцінювання активiв системи iнформацiйних технологiй", Захист iнформацiї, №1 (50), C.42-47, 2011.
G. Dhillon, Managing information system security, London: Macmillan, 1997.
A. Goicoechea, D. Hansen, L. Duckstein, Multiobjective Decision Analysis with Engineering and Business Applications, IWiley, New York, 1982.
T. Helokunnas, R. Kuusisto, "Information security culture in a value net", In: Engineering Management Con-ference, IEMC‘03 on Managing Technologically Driven Or-ganizations: The Human Side of Innovation and Change, New York: IEEE Press, P. 190-194, 2003.
K. Mitnick, W. Simon, The art of deception: controlling the human element of security, Wiley Publishing, P. 3, 2002.
A. Potiy, D. Pilipenko, I. Rebriy, "The prerequisites of information security culture development and an approach to complex evaluation of its level", Радіоелектронні і комп’ютерні системи, no. 5, P. 72-77, 2012.
M. Siponen, "Five dimensions of information security awareness", Computers and Society, 2001.
Y. Svirezhev, D. Logofet, Stability of Biological Commu-nities, Mir, Moscow ,1978.
F. Szidarovszky, M. Gershon, L. Duckstein, Techniques for Multiobjective Decision Making in Systems Management, Elsevier, New York, 1986.
J. Van Niekerk, R. Von Solms, "Information security culture: A management perspective", Computers & Security, p.478, 2010.
Data Breach Investigation Report, Verizon Enterprise Solutions, 2013
Data Breach Investigation Report, Verizon Enterprise Solutions, 2014
##submission.downloads##
Опубліковано
Номер
Розділ
Ліцензія
Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:- Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.
- Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.
- Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).