И. М. Ажмухамедов, О. М. Князева, “Унификация подходов к управлению уровнем информационной безопасности в организациях различного профиля”, Вестн. Астрахан. гос. техн. ун-та. Сер. управление, вычисл. техн. информ., 2015, номер 1,страницы 66

Эта публикация цитируется в 2 статьях

УПРАВЛЕНИЕ В СОЦИАЛЬНЫХ И ЭКОНОМИЧЕСКИХ СИСТЕМАХ

Унификация подходов к управлению уровнем информационной безопасности в организациях различного профиля

И. М. Ажмухамедов^a, О. М. Князева^b

^a Астраханский государственный технический университет
^b ООО «UpGrade»

Аннотация: Разработана унифицированная методика управления уровнем информационной безопасности, которая включает в себя два этапа: оценку текущего уровня информационной безопасности на основе нечетких продукционных правил и синтез управляющих решений на основе применения нечеткого когнитивного моделирования для вывода сервисов информационной безопасности на необходимый целевой уровень. Алгоритм оценки уровня информационной безопасности представлен в виде итерационного процесса, включающего в себя следующие этапы: вербальная оценка уровня повреждений; поиск соответствующих правил в базе знаний; оценка состояния сервисов безопасности на текущем уровне иерархии согласно найденным правилам; идентификация и исключение из рассмотрения блоков, содержащих повреждения, уровень которых не позволяет идентифицировать повреждения некоторых блоков на следующем уровне; вычисление интегральной оценки сервисов безопасности и обобщенного показателя информационной безопасности объекта информатизации в целом. Методика оценки уровня информационной безопасности не предусматривает решение задачи выработки управляющих решений для вывода сервисов информационной безопасности на необходимый целевой уровень, поскольку в ней не содержится информация о причинно-следственных связях между наблюдаемыми повреждениями информационных активов и средств защиты информации и угрозами и уязвимостями, сделавшими возможной реализацию атак, которые привели к наблюдаемым повреждениям. Для решения задачи второго этапа была построена модель, отражающая связи между повреждениями информационных активов и средств защиты информации, угрозами и уязвимостями. Оценка уровня информационной безопасности на основе нечетких продукционных правил дает возможность лицу, принимающему решения, вырабатывать обоснованное суждение о необходимости синтеза управляющих решений для вывода сервисов безопасности на заданный целевой уровень, а нечеткая когнитивная модель позволяет синтезировать данные управляющие решения. Методика управления уровнем информационной безопасности была апробирована в ряде организаций. Результаты апробации позволили сделать вывод о возможности использования методики в организациях различного профиля деятельности.

Ключевые слова: информационная безопасность, сервисы безопасности, угрозы, уязвимости, повреждения, меры защиты, лингвистическая переменная, нечеткие числа.

УДК: 004.056

Поступила в редакцию: 05.12.2014
Исправленный вариант: 12.12.2014