IX Международная студенческая научная конференция Студенческий научный форум - 2017

В настоящее время для организаций огромную роль играет информационная безопасность. Информационные активы организации подвержены различного рода атакам, использующим уязвимости операционных систем и программного обеспечения компьютеров. Также все большее значение приобретает работа над угрозами, связанными с человеческими ресурсами организации. Работа по анализу риска состоит в том, чтобы оценить величину рисков, выработать меры по их уменьшению и затем убедиться, что риски заключены в приемлемые рамки. Информационная безопасность достигается проведением соответствующего уровня политки информационной безопасности.

Лучшие мировые практики и ведущие международные стандарты в области информационной безопасности для эффективного управления безопасностью информационной системы требуют внедрения системы анализа и управления рисками. Система защиты информации, построенная на основе анализа информационных рисков, будет эффективной и экономически обоснованной.

Важнейшими задачами риск–ориентированной системы управления информационной безопасностью (СУИБ) информационной системы являются анализ рисков связанных с функционированием информационной системы и определение рекомендаций по снижению рисков.

Анализ риска – процесс нелинейный и взаимосвязанный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему.

Нечеткая логика возникла как наиболее удобный способ построения систем управления метрополитенами и сложными технологическими процессами, а также нашла применение в бытовой электронике, диагностических и других экспертных системах. Нечеткая логика является многозначной логикой, что позволяет определить промежуточные значения для таких общепринятых оценок, как да|нет, истинно|ложно, черное|белое и т.п. [1]. Выражения подобные таким, как слегка теплоили довольно холодно возможно формулировать математически и обрабатывать на компьютерах. Самым главным понятием систем, основанных на нечеткой логике, является понятие нечеткого (под)множества. Из классической математики известно понятие четких (определенных) множеств.

Пример: Рассмотрим множество X всех чисел от 0 до 10, которое назовем универсумом рассуждения. Определим подмножество A множества X всех действительных чисел от 5 до 8: A = [5,8].

Покажем характеристическую функцию множества A, эта функция ставит в соответсвие число 1 или 0 каждому элементу в X, в зависимости от того принадлежит данный элемент подмножеству A или нет.

Можно интерпретировать элементы, которым поставлена в соответствие 1, как элементы, находящиеся вомножестве A, а элементы, которым поставлен в соответствие 0, как элементы, не находящиеся во множестве A. Эта концепция используется во многих областях приложений. Но можно легко обнаружить ситуации, в которых данной концепции будет недоставать гибкости.

В данном примере опишем множество молодых людей. Более формально можно записать так B = {множество молодых людей}.

Так как, вообще, возраст начинается с 0, то нижний предел этого множества должен быть нолем. Верхний предел определить немного сложнее. На первый раз установим верхний предел, скажем, равным 20 годам. Таким образом, получаем B как четко ограниченный интервал, буквально: B = [0,20].

Возникает вопрос: почему кто-то в двадцать лет – молодой, а сразу на следующий день уже не молодой? Очевидно, это структурная проблема, и если передвинуть верхнюю границу в произвольную точку, то можно задаться таким же вопросом.

Более естественный путь получения множества B состоит в ослаблении строгого разделения на молодых и не молодых. Это можно сделать, вынося не только (четкие) суждения, но и более гибкие формулировки: ДА, он|она принадлежит к достаточно молодым людям или Нет, он|она не очень молод|молода.

Базовые операции (действия) над нечеткими множествами аналогичны действиям с обычными множествами: пересечение, объединение и отрицание множеств. В рРаботах ученых по нечетким множествам предложены операторы минимума для пересечения и оператор максимума для объединения двух нечетких множеств. Легко видеть, что эти операторы совпадают с обычными (четкими) объединением и пересечением, только рассматриваются степени принадлежности 0 и 1.

В СУИБ для оценки рисков используется нечеткая логика при определении степени риска: высокого, среднего, низкого.

Каждый ответ в опросе при идентификации угроз и уязвимостей имеет «вес» в интервале (0;1) [2]. Также каждая угроза и каждая уязвимость ранжированы по трем уровням: высокий, средний, низкий.

Правила нечеткой логики, определяющие уровень риска:

1. ЕСЛИ уязвимость – низкая И угроза – низкая, ТО риск = низкий;

2. ЕСЛИ уязвимость – низкая И угроза – средняя, ТО риск = низкий;

3. ЕСЛИ уязвимость – низкая И угроза – высокая, ТО риск = низкий;

4. ЕСЛИ уязвимость – средняя И угроза – низкая, ТО риск = низкий;

5. ЕСЛИ уязвимость – средняя И угроза – средняя, ТО риск = средний;

6. ЕСЛИ уязвимость – средняя И угроза – высокая, ТО риск = средний;

7. ЕСЛИ уязвимость – высокая И угроза – низкая, ТО риск = низкий;

8. ЕСЛИ уязвимость – высокая И угроза – средняя, ТО риск = средний;

9. ЕСЛИ уязвимость – высокая И угроза – высокая, ТО риск = высокий.

С помощью правил нечеткой логики воспроизводится качественная оценка риска (рис.1).

Рис.1 Использование нечеткой логики в СУИБ

Большинство организаций на собственном опыте осознали актуальность и важность проблем информационной безопасности. Важным аспектом должен стать количественный подход к их решению, основанный на управлении рисками. Первым этапом в этом процессе является сбор данных о расходах на безопасность, об имевших место нарушениях информационной безопасности и ущербе от них. Базируясь на этих данных, организация может построить количественную модель рисков для своей информационной системы, запланировать меры по усилению защиты слабых мест, сформировать обоснованный бюджет для защитных мероприятий.

Регулярная переоценка рисков позволит поддерживать данные о безопасности информационной системы организации в актуальном состоянии, оперативно выявлять новые опасные риски и нейтрализовывать их экономически целесообразным образом.

Список использованной литературы

1. Информационно-безопасные системы. Анализ проблемы: Уч.пособие/ Алешин И.В. и др. – СПб.:Изд-воС.-Петерб. гос.техн.университета, 1996.

2. Комплексная защита информации в компьютерных системах. М.: Логос, 2001.

Код для цитирования: Скопировать