«Экономические науки», подсекция 8.

Мельник Г.

(Чернівецький національний університет ім. Юрія Федьковича)

МОДЕЛЮВАННЯ ПРОЦЕСУ УПРАВЛІННЯ ІНФОРМАЦІЙНИМИ РИЗИКАМИ ІЗ ЗАСТОСУВАННЯМ ТЕХНОЛОГІЇ ОЦІНЮВАННЯ МОЖЛИВИХ ЗАГРОЗ ТА ВРАЗЛИВОСТІ ІНФОРМАЦІЙНОЇ СИСТЕМИ

Процес управління інформаційними ризиками ототожнюється здебільшого з інформаційною безпекою, для організації якої в інформаційних системах (ІС) використовується ряд методів та механізмів.

Автор пропонує поглянути на задачу аналізу інформаційних ризиків з моменту створення ІС. Інформаційний ризик розглядається як вірогідна частота і вірогідна величина майбутньої втрати, що виникає внаслідок комбінації загрози, вразливості і особливості інформаційного активу [1]. Саме така позиція дозволяє аналізувати інформаційний ризик за наступними факторами:

·        частота виникнення загрози – ймовірна частота дії агенту загрози в межах певного часового інтервалу. Під агентом загрози слід розуміти довільний чинник виникнення ризику (недбалість оператора комп’ютерної техніки, програму-«вірус», аварійне вимкнення електричного живлення та ін.);

·        здатність загрози – вірогідний рівень сили, з якою агент загрози діятиме на актив;

·        сила контролю – очікувана ефективність засобів контролю впродовж відведеного часового інтервалу, яка вимірюється відносно загального рівня дії агенту загрози;

·        вразливість – ймовірність того, що актив не здатний протистояти дії агенту загрози;

·        частота подій втрат – ймовірна частота протягом визначеного часового інтервалу, з якою агент загрози завдає шкоди активу.

Як правило, для оцінки загроз і вразливості використовуються різні методи, в основі яких можуть лежати: експертні оцінки, статистичні дані.

Один з можливих підходів до розробки подібних методик – накопичення статистичних даних про події, аналіз і класифікація   їх причин, виявлення чинників, від яких вони залежать. На основі цієї інформації можна оцінити загрози і вразливості інформаційних систем, що знаходяться на стадії проектування.

Практичні труднощі в реалізації цього підходу наступні:

По-перше, повинен бути більш ніж достатній за обсягом матеріал про події в цій галузі.

По-друге, якщо інформаційна система міститиме багато елементів, буде розташована на величезній території або використовує найновіші технології (для яких поки немає достовірної статистики). Оцінки загроз і вразливості можуть виявитися недостовірними.

Автор пропонує модель оцінки загроз і вразливості з врахуванням чинників, що впливають на їх рівні. Такий підхід дозволяє абстрагуватися від малоістотних технічних деталей, врахувати не тільки програмно-технічні, але і інші аспекти.

Для оцінки загроз вибрані наступні непрямі чинники:

·   Статистика по зареєстрованих інцидентах.

·   Тенденції в статистці за подібними порушеннями.

·   Наявність в системі інформації, що представляє інтерес для потенційних внутрішніх або зовнішніх порушників.

·   Моральні якості персоналу.

·   Можливість отримати вигоду із зміни оброблюваної в системі інформації.

·   Наявність альтернативних способів доступу до інформації.

·   Статистика по подібних порушеннях в інших інформаційних системах організації.

Рівень загроз може бути представлений у вигляді:

                        .                                   (1)

Для оцінки вразливості вибрані наступні непрямі чинники:

·   Кількість робочих місць (користувачів) в системі.

·   Розмір робочих груп.

·   Обізнаність керівництва про дії співробітників (різні аспекти).

·   Характер що використовується на робочих місцях устаткування і ПО.

·   Повноваження користувачів.

Рівень вразливості представляється у вигляді:

                        .                                             (2)

На основі розрахованих значень груп показників проводиться визначення рівня загроз та вразливості системи:

                                  .                                                        (3)

В результаті отримано модель, що являє, по суті, нейронечітку мережу. Її вхідні, проміжні та вихідні параметри, незалежно від своєї природи, розглядаються як лінгвістичні змінні, що задані на своїх універсальних множинах і оцінюються за допомогою нечітких термів: VH - «дуже високий» рівень, H - «високий», M - «середній», L - «низький», VL – «дуже низький». Визначається можливий діапазон змінювання контрольованих параметрів X₁, X₂ та вихідної змінної Y. Задається вигляд функцій належності нечітких термів для різних контрольованих параметрів. Наступним етапом аналізу є формування системи нечітких знань для визначення кожного з рівнів: , де a_i - нечіткий терм.

Такий підхід дозволяє формувати модель управління інформаційними ризиками з врахуванням специфіки конкретного підприємства, для якого проектується інформаційна система.

1.                         Jack A. Jones. An Introduction to FAIR. - Trustees of Norwich University, 2005.

2.                         Л. Заде. Понятие лингвистической переменной и ее применение к принятию приближенных решений. – М.: Мир, 1976.