Визначення вагових коефіцієнтів класів загроз безпеці інформації

На сьогоднішній день існує безліч методів визначення коефіцієнта відносної важливості вимог до параметрів систем забезпечення безпеки інформації (СЗБІ).

Дослідження [1] дає підстави зробити висновок про складність їх реалізації та практичного застосування. Зокрема, методи, досліджені в [2], потребують якісної вхідної експертної інформації про параметри системи, яка досліджується або проектується. Це, в свою чергу, породжує проблеми й труднощі, які можуть призвести до великих похибок результуючих характеристичних величин [3].

Крім того, застосування більшості методів оцінювання вагових коефіцієнтів вимагає визначення степенів взаємозв’язків та взаємовідношень між параметрами СЗБІ (наприклад, їх залежності чи незалежності один від одного), виходячи з чого експерт приймає рішення про застосування відповідного метода. На нього також мають великий вплив складність та трудоємкість експертизи, що визначається реальними умовами та можливістю проведення.

Раніше проведений детальний аналіз загроз інформації інформа-ційної системи (ІС), їх властивостей та характеристик [4]. Також обґрунтовано необхідність окремого врахування загроз, атака яких направлена безпосередньо на СЗБІ, яка, по суті, й визначає рівень безпеки інформації ІС. Класифікацію загроз ІС здійснено на чотири класи: І – апаратні (техногенні), ІІ – програмні, ІІІ – природні (стихійні), IV – людські (антропогенні). При цьому клас IV поділено на два підкласи: IV.І – суб’єктивні (навмисні) та IV.ІІ – об’єктивні (ненавмисні) загрози. В результаті одержано вагові характеристики кожного з чотирьох класів загроз, які характеризують величину завданого збитку ІС загрозою відповідного класу : , , , ( ) [4].

Прийнявши одержану величину за показник, який характеризує рівень необхідності протидії загрозі даного класу, отримуємо досить ефективний і, в той же час, надзвичайно простий у практичному застосуванні метод визначення вагових характеристик параметра СЗБІ, який забезпечує протидію даній загрозі. Величину назвемо коефіцієнтом класу загроз (ККЗ) безпеці інформації ІС.

Таким чином, для визначення вагової характеристики параметра СЗБІ необхідно ідентифікувати загрози, яким він протидіє, та присвоїти ККЗ значення ваги відповідного класу загроз ІС, тобто при , . Якщо він забезпечує захист відразу від загроз декількох класів, то його вага визначається сумою коефіцієнтів відповідних класів. Як показали дослідження [1; 3], більшість систем оцінювання показника якості СЗБІ реалізовані програмно.

З цього випливає, що і методи, застосовані для реалізації системи, повинні бути максимально простими й зручними для представлення і введення експертом вхідних експертних даних та виведення йому вихідних даних. Запропонований метод визначення ККЗ відповідає цим вимогам, що є свідченням його ефективності та практичної цінності.

Розглянуто алгоритм практичної реалізації запропонованого метода, розроблений програмний модуль застосування ККЗ та його практичне застосування в системі оцінювання якості СЗБІ ІС. Крім того, наводяться нові результати аналізу класифікації [4], зокрема виявлені числові та функціональні залежності між класами загроз безпеці інформації ІС. Пропонуються можливі напрямки подальшого дослідження й застосування.

Література:
1. Доренський О. П. Метод визначення коефіцієнтів відносної важливості вимог до параметрів системи забезпечення безпеки інфор-мації // Захист інформації. – №4(36). – К.: ДУІКТ, 2007. – С. 45-52.
2. Анохин А.М. Методы определения коэффициентов важности критериев / А. М. Анохин, В. А. Глотов, В. В. Павельев, А. М. Черкашин // Автоматика и телемеханика. – 1997. – №8. – С.3-36.
3. Доренський О.П. До питання визначення часткових показників матриці оцінок та коефіцієнтів відносної важливості вимог до параметрів системи забезпечення безпеки інформації / О. П. Доренський, С. Б. Воропай // Системи обробки інформації. – Вип. 8 (66). – Харків: ХУПС., 2007. – С. 95-99.
4. Доренський О. П. Дослідження потенційних загроз безпеці інформації інформаційної системи та аналіз їх класифікаційного поділу Зб. наук. пр. Кіровоградського національного технічного університету. – Вип. 19. – Кіровоград: КНТУ, 2007. – С. 55-61.

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы