«Экономические
науки» подсекция 8
Мельник Г.
(Чернівецький національний університет ім. Юрія Федьковича)
РОЗРОБКА МЕТОДУ ОЦІНЮВАННЯ ВРАЗЛИВОСТІ ІНФОРМАЦІЙНОЇ СИСТЕМИ
Вразливість інформаційної системи є
результуючою впливу факторів вірогідного рівня сили загрози та ефективності
засобів контролю, що здатні протидіяти цій загрозі [1]. Аналіз
ефективності засобів контролю проводиться за наступними критеріями оцінки
здатності протидіяти загрозам [2]:
º конфіденційність: загрози, що стосуються несанкціонованого ознайомлення
з інформацією, становлять загрози конфіденційності;
º цілісність: загрози, що стосуються несанкціонованої модифікації
інформації, становлять загрози цілісності;
º доступність: загрози, що стосуються порушення можливості
використання комп'ютерних систем або оброблюваної інформації, становлять
загрози доступності;
º спостереженість: ідентифікація і контроль за діями користувачів,
керованість комп'ютерною системою становлять предмет послуг спостереженості і
керованості.
Пропонується підхід до аналізу рівня
ефективності засобів контролю захисту інформаційної системи із використанням
нечітких описів. На першому етапі необхідно сформувати набір окремих показників
. Для випадку оцінки ефективності засобів контролю 
, тобто отримуємо наступний набір 
критеріїв:
o для оцінювання ефективності за
критерієм конфіденційності:
, (1)
де : 
- довірча конфіденційність; 
- адміністративна конфіденційність; 
- повторне використання об’єктів; 
- аналіз прихованих каналів; 
- конфіденційність при обміні;
o для оцінки ефективності за
критерієм цілісності:
, (2)
де 
- довірча цілісність; 
- адміністративна цілісність; 
- забезпечення послуги відкату; 
- цілісність при обміні;
o для оцінки ефективності за критерієм
доступності:
, (3)
де 
- використання ресурсів; 
- стійкість до відмов; 
- забезпечення послуги гарячої заміни; 
- здатність до відновлення після збоїв;
o для оцінки ефективності за
критерієм спостережності:
, (4)
де 
- забезпечення послуги реєстрації; 
- забезпечення послуги ідентифікації й
автентифікації; 
- гарантованість вірогідного каналу; 
- забезпечення послуги розподілу обов’язків; 
- цілісність комплексу засобів захисту; 
- самотестування; 
- забезпечення послуги ідентифікації й
автентифікації при обміні; 
- забезпечення послуги автентифікації
відправника; 
- забезпечення послуги автентифікації
одержувача;
На основі розрахованих значень
груп показників проводиться визначення рівня ефективності засобів контролю інформаційної системи:
. (5)
Для того, щоб мати
змогу оцінювати та обробляти лінгвістичні показники X1, X2,
X3 та X4 сформуємо шкалу з п’яти якісних термів [1]: VH - «дуже
високий» рівень, H -
«високий», M
- «середній», L
- «низький», VL – «дуже низький». Взявши за
основу зорієнтованість на середню здатності агентів загрози, приймається
базовий рівень ефективності контролю за кожним з критеріїв [1].
Для оцінки значень
вихідної лінгвістичної змінної Y, що
являє собою повну множину ступенів ефективності
комплексу засобів контролю, будемо використовувати терми: VH - «дуже висока» ефективність, H - «висока», M - «середня», L - «низька», VL – «дуже низька».
Визначається можливий діапазон змінювання контрольованих
параметрів X1, X2, X3 та X4
та вихідної змінної Y. Задається
вигляд функцій належності нечітких термів для різних контрольованих параметрів.
Терм-множина вхідних змінних в загальному вигляді представляється у вигляді:
E = { VH, H, M, L, VL } (6)
Для того, щоб мати змогу оцінювати та обробляти лінгвістичні
показники X1, X2, X3, X4., формуємо шкалу з п’яти якісних термів [3]: VH – «дуже високий»
рівень, H – «високий», M – «середній», L – «низький», VL – «дуже низький». А терм-множина вихідної
змінної Y записується у вигляді:
Z = {VH, H, M, L, VL }, (7)
де VH – «дуже високий» рівень ефективності контролю, H – «високий», M – «середній», L – «низький», VL – «дуже низький» рівень загрози.
Систему нечітких знань для опису моделі оцінювання рівня ефективності
засобів захисту за i-м критерієм можна записати у
вигляді:
(8)
де 
- функція належності
вектора вхідних змінних 
значенню вихідної
змінної X1=zl з множини (7); 
- кількість
комбінацій значень змінних 
, для яких вихідна змінна приймає значення dl ; ξim – ваговий коефіцієнт для відповідної m-ї
комбінації; 
- функція належності
вхідної змінної 
до нечіткого терму 
(
за (6)).
Для опису загального рівня ефективності контролю комплексу засобів
захисту сформуємо базу нечітких знань.
Математична форма запису вирішального правила для визначення ефективності
контролю рівня zl матиме вигляд:
(9)
де 
- функція належності
вектора вхідних змінних 
значенню вихідної
змінної Y=fl з
множини (6); 
- кількість
комбінацій значень змінних 
, для яких вихідна змінна приймає значення fl ; 
– ваговий коефіцієнт для відповідної m-ї комбінації; 
- функція належності
вхідної змінної 
до нечіткого терму 
(
за (17)) і вона подається в (8).
Тоді оцінка вразливості
розглядається як результуюча впливу факторів вірогідного рівня сили загрози та ефективності
засобів контролю.
Таким чином ми формуємо всю базу знань з використанням експертних
даних та виводимо систему нечітких логічних рівнянь. Даний підхід дозволяє
формувати модель оцінювання рівня вразливості інформаційної системи.
Література
1.
Jack A. Jones. An
Introduction to FAIR. – Trustees of
Norwich University, 2005.
2. Вертузаєв М.С., Юрченко О.М. Захист інформації
в комп’ютерних системах від несанкціонованого доступу: Навч. посібник / За
ред..С.Г.Лаптєва.- К.: Вид-во Європ. Ун-ту, 2001.- 321 с.
3.
Л. Заде. Понятие лингвистической переменной и ее
применение к принятию приближенных решений. – М.: Мир, 1976.