на тему:

“Методологія вибору раціонального

варіанту захисту інформації на основі

експертних оцінок”

МІНІСТЕРСТВО ОБОРОНИ УКРАЇНИ

ВІЙСЬКОВИЙ ІНСТИТУТ ТЕЛЕКОМУНІКАЦІЙ

ТА ІНФОРМАТИЗАЦІЇ НТУУ “КПІ”

Наукова робота

Автор : студент 171 навчальної групи Гайдук О.С.

Науковий керівник : доцент кафедри №14, к.т.н., Богданов В.В.

• Стрімкийрозвитокзасобіврозвідки та потужноїобчислювальноїтехніки, які дозволяютьзначно зменшитичас на подолання СЗІ, вимагаєвідвласникатакої системичітко усвідомлюватиїї можливості, а такожможливостіпо її удосконаленнюта закриттюслабких місць.

Актуальність теми полягає у:

• Пред’явлення до СЗІ різних, інколи протилежних вимог, вибір найкращих варіантів для реалізації яких є складною задачею призводить до суттєвих втрат в ефективності та економічності систем, що розробляються та модернізуються, у порівнянні з потенційно можливими

• Велика невизначеністьумов функціонуванняСЗІ , непередбачуваністьповедінкисередовища, а часто і некоректністьпостановки задачівимагаютьдля вирішенняпитаньЗІ розробленняпевної методики, що дала б можливістьсистематизуватита оцінити специфікупроцесівЗІ в заданихдинамічнихумовах

Об’єкт дослідження – комплексна система

захисту і нформації (КСЗІ) в реальних умовах її

функціонування

Предмет дослідження – методологія вибору

раціонального варіанту системи захисту

інформації

Мета роботи: розробка моделі комплексної

оцінки системи захисту інформації

Мультиплікативний

показник

Максимінний

показник

Адитивний показник

Методи рішення багатокритерійних

задач

Головного показника Результуючого показника Лексикографічний

Експертна інформація про ступінь

переваги чи важливості показників

Метод рішення

багатокритеріальної задачі

відсутня максимінний метод

показники упорядковані по важливості лексикографічний метод

визначені вагові коефіцієнти

показників

адитивний показник

мультиплікативний показник

максимінний показник

Вибір методу нечіткої багатокритерійної оптимізації

Методи вибору варіантів СЗІ

При рівній важливості вимог

При різній важливості вимог

По адитивному критерію

Правило для вибору найкращого варіанту може бути записано у вигляді перетину відповідних множин Як кращий вибирається варіант а*, що має найбільше значенняфункції приналежності

CCC=D 1 ...2

)(aμ jD

Кожному з варіантівприписуєтьсячисло (чим

важливішевимога, тим більшеаi) і загальне

правило вибору приймає вигляд

0jа

na

n

a1

a

1 CCC=D ...22

Кращийваріанта* знаходиться із співвідношення )(aμ ji

c

Зважена оцінка і-го варіанту в даному випадку Rij і Wj є нечіткими числами

Значення відповідної функції приналежності інтерпретується як характеристика ступеня

того, наскільки варіант а є кращим.

n

j=

ji =W,W1

1

n

=j

ijji RW=R1

Застосування критерію

ризику

Назва

(номер)

ресурсу

Рівень

конфіденційності

ресурсу

Рівень

цілісності

ресурсу

Рівень

доступності

ресурсу

Рівень

спостережливості

ресурсу

Важливість

ресурсу

1

2

…

п-1

п

Визначення важливості ресурсу

Рівень

загрози

Рівень уразливості

Н С В

1 1 1 1

2 1 1 2

3 1 2 3

4 2 3 4

5 2-3 3-4 5

6 3-4 4-5 6

7 4-5 5-6 7

Рівні реалізації загрози

Важливість

ресурсу

Рівень реалізації загрози

1 2 3 4 5 6 7

1 1 2 3 4 5 6 7

2 2 4 6 8 10 12 14

3 3 6 9 12 15 18 21

4 4 8 12 16 20 24 28

5 5 10 15 20 25 30 35

Рівні ризику

Остаточно рівень ризиків визначається як

добуток важливості ресурсу і рівня

реалізації загрози

Оцінки якості СЗІ на основі

матриці знань

ОСНОВИ ЕТАПИНАПРЯМКИ

Блоки показників

О1 – нормативно-правова інаукова база;О2 – структура і задачіорганів;О3 – організаційні міри іметоди (політика безпеки);О4. – програмно-технічніспособи і засоби.

H1 – захист об’єктівкорпоративних систем;H2 – захистпроцесів, процедур і програмобробки інформації;H3 – захист каналів зв’язку;H4 – придушення побічнихелектромагнітнихвипромінювань;H5 – керування системоюзахисту.

М1 – визначення інформації,що підлягає захисту;М2. – виявлення повногопереліку потенційно-можливих загроз і каналіввитоку інформації;М3. – проведення оцінкиуразливості і ризиківінформації при наявніймножині загроз і каналіввитоку;М4. – визначення вимог досистеми захисту;М5. – здійснення виборузасобів ЗІ і їхніххарактеристик;М6. – впровадження йорганізація використанняобраних заходів, способів ізасобів захисту;М7. – здійснення контролюцілісності і керуваннясистемою захисту.

ЕТ

АП

И

НАПРЯМКИ

010 020 030 040 050

Захист

об’єктів ІС

Захист

процесів та

програм

Захист

каналів

зв’язку

ПЕМВН

Керування

системою

захисту

ОСНОВИ

Баз

и

Стр

укту

ра

Зах

од

и

Зас

об

и

Баз

и

Стр

укту

ра

Зах

од

и

Зас

об

и

Баз

и

Стр

укту

ра

Зах

од

и

Зас

об

и

Баз

и

Стр

укту

ра

Зах

од

и

Зас

об

и

Баз

и

Стр

укту

ра

Зах

од

и

Зас

об

и

011

01

2

01

3

01

4

02

1

02

2

02

3

02

4

03

1

03

2

03

3

03

4

04

1

04

2

04

3

04

4

05

1

05

2

05

3

05

4

100Визначення інформації, що

підлягає захисту 111

11

2

11

3

11

4

12

1

12

2

12

3

12

4

13

1

13

2

13

3

13

4

14

1

14

2

14

3

14

4

15

1

15

2

15

3

15

4

200Виявлення загроз та каналів

витоку інформації (НСД) і НСВ2

11

21

2

21

3

21

4

22

1

22

2

22

3

22

4

23

1

23

2

23

3

23

4

24

1

24

2

24

3

24

4

25

1

25

2

25

3

25

4

300Проведення оцінки вразливості та

ризиків 311

31

2

31

3

31

4

32

1

32

2

32

3

32

4

33

1

33

2

33

3

33

4

34

1

34

2

34

3

34

4

35

1

35

2

35

3

35

4

400 Визначення вимог до КСЗІ

411

41

2

41

3

41

4

42

1

42

2

42

3

42

4

43

1

43

2

43

3

43

4

44

1

44

2

44

3

44

4

45

1

45

2

45

3

45

4

500Здійснення вибору засобів

захисту 511

51

2

51

3

51

4

52

1

52

2

52

3

52

4

53

1

53

2

53

3

53

4

54

1

54

2

54

3

54

4

55

1

55

2

55

3

55

4

600Втілення та використання

обраних заходів та засобів

611

61

2

61

3

61

4

62

1

62

2

62

3

62

4

63

1

63

2

63

3

63

4

64

1

64

2

64

3

64

4

65

1

65

2

65

3

65

4

700Контроль цілісності та

управління захистом 711

71

2

71

3

71

4

72

1

72

2

72

3

72

4

73

1

73

2

73

3

73

4

74

1

74

2

74

3

74

4

75

1

75

2

75

3

75

4

У залежності від етапів робіт із створення СЗІ “матриця”

має різний зміст. Іншими словами це однакові за структурою, але

різні по змісту “матриці”:

1. “Матриця” повноти і якості станів елементів СЗІ (“Які з заходів щодо

захисту інформації й у якому обсязі вже виконані?”);

2. “Матриця” вимог до СЗІ (“Якою повинна бути створювана СЗІ?” );

3. “Матриця” оцінок ефективності функціонування елементів СЗІ (““Чи

правильно будується СЗІ?” ” ).

Бальна оцінка Лінгвістична оцінкаІнтервальна

оцінка

5 – „відмінно” (В) Цілком задовольняє вимогам 0,9 – 1

4 – „добре” (ВС) Майже задовольняє 0,7 – 0,9

3 – „задовільно” (С) Задовольняє в основному 0,5 – 0,7

2 – „незадовільно” (НС) Не задовольняє 0,3 – 0,5

1 – „дуже не задовільно” (Н) Цілком не задовольняє 0 – 0,3

Оцінка якості СЗІ

511

B;ba=Bm

=j

jj 1101

=a;am

=j

j

Якщо ступінь виконання вимог оцінюється по бальній шкалі, додатково

визначається важливість кожної вимоги то проаналізувавши всі показники за

формулою де ми отримаємо можливість легко перейти

до якісних оцінок