Анализ и оценка рисков информационной безопасности с использованием нечёткой логики
ВВЕДЕНИЕ
Одна из самых глобальных проблем, которая сталкивается современное общество является информационная безопасность. Широкое использование информации в автоматизированных средствах тому причина.
Защита информации состоит из главных элементов:
Конфиденциальность.
Доступность.
Целостность.
Задача, которая ставится при проектировании системы безопасности состоит в разработке процессов информационной безопасности, а также в представление модели системы, которая позволяла бы на основе научных методов аппарата и оценки эффективности защиты информации решать поставленные проблемы.
Модель – это некий объект-заместитель, который в определённой степени заменяет объект-оригинал, воспроизводя интересующие нас свойства и характеристики оригинала, причем по сравнению с оригиналом модель имеет существенные преимущества для определённого вида работы с ней, а именно: наглядность, доступность испытаний и ряд других.
Главной задачей модели является научное обеспечение процес
ОГЛАВЛЕНИЕ
СПИСОК СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ…………………...6
ВВЕДЕНИЕ…………………………………………………………………………..7
ГЛАВА 1 АНАЛИЗ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ………………………………………………………………….10
1.1 Понятие систем проектирования и разработки защиты информации………10
1.2 Обзор современных средств анализа ИБ……………………………………...19
Вывод по главе 1……………………………………………………………………44
ГЛАВА 2 АНАЛИЗ И ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ИСПОЛЬЗОВАНИЕМ НЕЧЁТКОЙ ЛОГИКИ…………..45
2.1 Методика анализа и оценка рисков информационной безопасности с использованием нечёткой логики…………………………………………………45
2.2 Определение рисков угроз на основе нечёткой логики…......……………….52
Вывод по главе 2……………………………………………………………………63
ЗАКЛЮЧЕНИЕ……………………………………………………………………..64
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ………………………………65
ПРИЛОЖЕНИЯ…………………………………………………………………….70
Приложение А. Применение метода рисков нечёткой логики на основе объекта информатизации……………………………………………………………………70
Приложение Б. Инструкция пользователя………………………………………..85
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Методы защиты системы управления информационной безопасностью: ISO / IEC 27001: 2017. — 2018. — Дейст. 2017.01.01. — М., 2018. — 22 c.
2. Информационная технология (ИТ). Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания ГОСТ 34.601-90. Электронный текст документа подготовлен АО «Кодекс» и сверен по: официальное издание М.: Стандартинформ, 2009.
3. Abhishek kumarsrivastav, Irman Ali, Shani Fatema. A Quantitative Measurement Methodology for calculating Risk related to Information Security. IOSR Journal of Computer Engineering (IOSR-JCE). Volume 16 Issue 1, Ver. IX (Feb. 2017), PP 17–20.
4. Бабаш А.В. Моделирование системы защиты информации. Практикум : учебное пособие / Е.К. Баранова, А.В. Бабаш. — 3-е изд., перераб. и доп. — Москва : РИОР : ИНФРА-М, 2021. — 320 с. + Доп. материалы [Электронный ресурс].
5. Астахов А. Искусство управления информационными рисками. – М.: ДМК Пресс, GlobalTrust, 2010. – ISBN 5-94074-574-1; 978-5-94074-574-7.
6. Электронное издание на основе: Системный подход к обеспечению информационной безопасности предприятия (фирмы): Монография / В.А. Трайнев. - 3-е изд. - М.: Издательско-торговая корпорация «Дашков и К°», 2021. - 332 с. - ISBN 978-5-394-03750-4.
7. Ехлаков Ю.П. Нечёткая модель оценки рисков продвижения программных продуктов / Ю.П. Ехлаков // Бизнес-информатика. — 2017. — № 3 (29). — C. 69–78.
8. Гладышев С. В. Представление знаний об управлении инцидента информационной безопасности посредством нечётко временных раскрашенных сетей Петри / С.В. Гладышев // Международный научно-технический журнал «Информационные технологии и компьютерная инженерия». — 2020. — № 1 (17), 2010. — C. 57–64.
9. Nieto-Morote A.A. Fuzzy approach to construction project risk assessment / A. Nieto-Morote, F. Ruz-Vila. // International Journal of Project Management. — 2017. — Vol. 29 Issue 2. — P. 220–231.
10. Информационная безопасность России. Понятие угроз информационной безопасности. Виды угроз информационной безопасности [Электронный ресурс] // Учебные материалы онлайн (pidruchniki.website). — Режим доступа: https://pidruchniki.com/12800528/politologiy.
11. Методика оценки угроз безопасности информации [Текст]: Утверждён ФСТЭК России 5 февраля 2021 г. – Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g.
12. Шевченко В.Л. Несанкционированный доступ к информационным ресурсам ERP-cистемы [Электронный ресурс] / В.Л. Шевченко, В.И. Калужский // Сборник научных трудов Центра военностратегических исследований Национального университета обороны Российской Федерации.— 2017. — № 1. — с. 9–12.
13. Методики управления рисками информационной безопасности и их оценки (Часть 2) [Текст]: Обзор методики Microsoft, автор Константин Коротнев от 22 мая 2018 г.
14. Современные методы и средства анализа и контроля рисков информационных систем компаний [Текст]: CRAMM, RiskWatch и ГРИФ. – Режим доступа: https://www.ixbt.com/cm/informationsystem-risks012004.shtml.
15. Барабанова Е.А., Мальцев Д.Б., Еса
При этом качественный подход используется для быстрого упорядочивания перечня всех рисков информационной безопасности, а количественный подход позволяет в дальнейшем выполнить более глубокий анализ наиболее значимых рисков. Это даёт возможность сформировать относительно небольшой перечень основных рисков, требующих глубокого изучения, и сконцентрировать усилия на этих рисках.
На рисунке 3 продемонстрированы четыре этапа данной методики [13].
Рисунок 3 – Этапы методики Microsoft управления рисками информационной безопасности
Методология управления рисками информационной безопасности, предложенная корпорацией Microsoft, содержит детальное описание инструкций по реализации каждого из перечисленных этапов управления рисками, обзор ключевых факторов успеха, а также типовые перечни ИТ-активов, угроз, уязвимостей и шаблоны документов, необходимых для реализации процесса управления рисками информационной безопас