SlideShare a Scribd company logo

Hayduk o

Download as PPTX, PDF
G
garasym
1 of 16
МІНІСТЕРСТВО ОБОРОНИ УКРАЇНИ ВІЙСЬКОВИЙ ІНСТИТУТ ТЕЛЕКОМУНІКАЦІЙ ТА ІНФОРМАТИЗАЦІЇ НТУУ “КПІ” Наукова робота на тему: “Методологія вибору раціонального варіанту захисту інформації на основі експертних оцінок” Автор : студент 171 навчальної групи Гайдук О.С. Науковий керівник : доцент кафедри №14, к.т.н., Богданов В.В.
Актуальність теми полягає у: • Стрімкий розвиток засобів розвідки та потужної обчислювальної техніки, які дозволяють значно зменшити час на подолання СЗІ, вимагає від власника такої системи чітко усвідомлювати її можливості, а також можливості по її удосконаленню та закриттю слабких місць. • Пред’явлення до СЗІ різних, інколи протилежних вимог, вибір найкращих варіантів для реалізації яких є складною задачею призводить до суттєвих втрат в ефективності та економічності систем, що розробляються та модернізуються, у порівнянні з потенційно можливими • Велика невизначеність умов функціонування СЗІ , непередбачуваність поведінки середовища, а часто і некоректність постановки задачі вимагають для вирішення питань ЗІ розроблення певної методики, що дала б можливість систематизувати та оцінити специфіку процесів ЗІ в заданих динамічних умовах
Об’єкт дослідження – комплексна система захисту і нформації (КСЗІ) в реальних умовах її функціонування Предмет дослідження – методологія вибору раціонального варіанту системи захисту інформації Мета роботи: розробка моделі комплексної оцінки системи захисту інформації
Методи рішення багатокритерійних задач Головного показника Результуючого показника Лексикографічний Адитивний показник Мультиплікативний Максимінний показник показник
Вибір методу нечіткої багатокритерійної оптимізації Експертна інформація про ступінь Метод рішення переваги чи важливості показників багатокритеріальної задачі відсутня максимінний метод показники упорядковані по важливості лексикографічний метод адитивний показник визначені вагові коефіцієнти мультиплікативний показник показників максимінний показник
Методи вибору варіантів СЗІ При рівній важливості Правило для вибору найкращого варіанту може бути записано у вигляді перетину відповідних множин D = C C ... C вимог 1 2 Як кращий вибирається варіант а*, що має найбільше значення функції приналежності μ (a )D j Кожному з варіантів приписується число а j 0 (чим При різній важливості важливіше вимога, тим більше аi) і загальне вимог правило вибору приймає вигляд a a a D = C1 1 C2 2 ... Cn n Кращий варіант а* знаходиться із співвідношення μci (a j ) n Wi , Wj =1 j=1 По адитивному критерію n Зважена оцінка і-го варіанту R = W R в даному випадку Rij і Wj є нечіткими числами i j ij Значення відповідної функції приналежності інтерпретується як характеристика ступеня j=1 того, наскільки варіант а є кращим.
Застосування критерію ризику
Визначення важливості ресурсу Назва Рівень Рівень Рівень Рівень Важливість (номер) конфіденційності цілісності доступності спостережливості ресурсу ресурсу ресурсу ресурсу ресурсу ресурсу 1 2 … п-1 п
Рівні реалізації загрози Рівень Рівень уразливості загрози Н С В 1 1 1 1 2 1 1 2 3 1 2 3 4 2 3 4 5 2-3 3-4 5 6 3-4 4-5 6 7 4-5 5-6 7
Рівні ризику Важливість Рівень реалізації загрози ресурсу 1 2 3 4 5 6 7 1 1 2 3 4 5 6 7 2 2 4 6 8 10 12 14 3 3 6 9 12 15 18 21 4 4 8 12 16 20 24 28 5 5 10 15 20 25 30 35 Остаточно рівень ризиків визначається як добуток важливості ресурсу і рівня реалізації загрози
Оцінки якості СЗІ на основі матриці знань
Блоки показників ОСНОВИ НАПРЯМКИ ЕТАПИ О1 – нормативно-правова і H1 – захист об’єктів М1 – визначення інформації, наукова база; корпоративних систем; що підлягає захисту; О2 – структура і задачі H2 – захист М2. – виявлення повного органів; процесів, процедур і програм переліку потенційно- О3 – організаційні міри і обробки інформації; можливих загроз і каналів методи (політика безпеки); H3 – захист каналів зв’язку; витоку інформації; О4. – програмно-технічні H4 – придушення побічних М3. – проведення оцінки способи і засоби. електромагнітних уразливості і ризиків випромінювань; інформації при наявній множині загроз і каналів H5 – керування системою витоку; захисту. М4. – визначення вимог до системи захисту; М5. – здійснення вибору засобів ЗІ і їхніх характеристик; М6. – впровадження й організація використання обраних заходів, способів і засобів захисту; М7. – здійснення контролю цілісності і керування системою захисту.
ЕТАПИ 700 600 500 300 200 100 ризиків захисту Визначення підлягає захисту управління захистом ОСНОВИ Контроль цілісності та НАПРЯМКИ Втілення та використання обраних заходів та засобів Здійснення вибору засобів 400 Визначення вимог до КСЗІ інформації, Виявлення загроз та каналів витоку інформації (НСД) і НСВ Проведення оцінки вразливості та що 711 611 511 411 311 211 111 011 Бази 712 612 512 412 312 212 112 012 Структура 010 Захист 713 613 513 413 313 213 113 013 Заходи об’єктів ІС 714 614 514 414 314 214 114 014 Засоби 721 621 521 421 321 221 121 021 Бази 722 622 522 422 322 222 122 022 Структура 020 723 623 523 423 323 223 123 023 Заходи Захист програм процесів та 724 624 524 424 324 224 124 024 Засоби 731 631 531 431 331 231 131 031 Бази 732 632 532 432 332 232 132 032 Структура 030 733 633 533 433 333 233 133 033 Заходи Захист зв’язку каналів 734 634 534 434 334 234 134 034 Засоби 741 641 541 441 341 241 141 041 Бази 742 642 542 442 342 242 142 042 Структура 040 743 643 543 443 343 243 143 043 Заходи ПЕМВН 744 644 544 444 344 244 144 044 Засоби 751 651 551 451 351 251 151 051 Бази 752 652 552 452 352 252 152 052 Структура 050 753 653 553 453 353 253 153 053 Заходи захисту системою Керування 754 654 554 454 354 254 154 054 Засоби
У залежності від етапів робіт із створення СЗІ “матриця” має різний зміст. Іншими словами це однакові за структурою, але різні по змісту “матриці”: 1. “Матриця” повноти і якості станів елементів СЗІ (“Які з заходів щодо захисту інформації й у якому обсязі вже виконані?”); 2. “Матриця” вимог до СЗІ (“Якою повинна бути створювана СЗІ?” ); 3. “Матриця” оцінок ефективності функціонування елементів СЗІ (““Чи правильно будується СЗІ?” ” ).
Якщо ступінь виконання вимог оцінюється по бальній шкалі, додатково визначається важливість кожної вимоги то проаналізувавши всі показники за формулою B = a b ;1 B 5 де 0 a 1; a = 1 ми отримаємо можливість легко перейти m m j j j до якісних оцінок j=1 j=1 Оцінка якості СЗІ Інтервальна Бальна оцінка Лінгвістична оцінка оцінка 5 – „відмінно” (В) Цілком задовольняє вимогам 0,9 – 1 4 – „добре” (ВС) Майже задовольняє 0,7 – 0,9 3 – „задовільно” (С) Задовольняє в основному 0,5 – 0,7 2 – „незадовільно” (НС) Не задовольняє 0,3 – 0,5 1 – „дуже не задовільно” (Н) Цілком не задовольняє 0 – 0,3
Hayduk o

Recommended

презентація гуртка
презентація гурткапрезентація гуртка
презентація гуртка030585mev
 
Methods Of Reliability Analysis
Methods Of Reliability AnalysisMethods Of Reliability Analysis
Methods Of Reliability AnalysisSvitlana volkova
 
TIE Magazine #3: CNET
TIE Magazine #3: CNETTIE Magazine #3: CNET
TIE Magazine #3: CNETTIE Kinetix
 
Part3 lecture
Part3 lecturePart3 lecture
Part3 lectureeducw200
 
Cdhu em dubai
Cdhu em dubaiCdhu em dubai
Cdhu em dubaiJNR
 
Peter & The Wolf 1
Peter & The Wolf 1Peter & The Wolf 1
Peter & The Wolf 1Lydia Catherine Clough
 
Alt empordà teo
Alt empordà teoAlt empordà teo
Alt empordà teoJaume Forment Garcia
 
5 Управління ризиками (2016)
5 Управління ризиками (2016)5 Управління ризиками (2016)
5 Управління ризиками (2016)Oleg Nazarevych
 

Recommended

презентація гуртка
презентація гурткапрезентація гуртка
презентація гуртка030585mev
 
Methods Of Reliability Analysis
Methods Of Reliability AnalysisMethods Of Reliability Analysis
Methods Of Reliability AnalysisSvitlana volkova
 
TIE Magazine #3: CNET
TIE Magazine #3: CNETTIE Magazine #3: CNET
TIE Magazine #3: CNETTIE Kinetix
 
Part3 lecture
Part3 lecturePart3 lecture
Part3 lectureeducw200
 
Cdhu em dubai
Cdhu em dubaiCdhu em dubai
Cdhu em dubaiJNR
 
Peter & The Wolf 1
Peter & The Wolf 1Peter & The Wolf 1
Peter & The Wolf 1Lydia Catherine Clough
 
Alt empordà teo
Alt empordà teoAlt empordà teo
Alt empordà teoJaume Forment Garcia
 
5 Управління ризиками (2016)
5 Управління ризиками (2016)5 Управління ризиками (2016)
5 Управління ризиками (2016)Oleg Nazarevych
 
GRA Digest 30.12.2013-13.01.2014
GRA Digest 30.12.2013-13.01.2014GRA Digest 30.12.2013-13.01.2014
GRA Digest 30.12.2013-13.01.2014garasym
 
GRA Digest 23.12-29.12.2013
GRA Digest 23.12-29.12.2013GRA Digest 23.12-29.12.2013
GRA Digest 23.12-29.12.2013garasym
 
GRA Digest 16.12-22.12.2013
GRA Digest 16.12-22.12.2013GRA Digest 16.12-22.12.2013
GRA Digest 16.12-22.12.2013garasym
 
GRA Digest 09.12-15.12.2013
GRA Digest 09.12-15.12.2013GRA Digest 09.12-15.12.2013
GRA Digest 09.12-15.12.2013garasym
 
GRA Digest 02.12-08.12.2013
GRA Digest 02.12-08.12.2013GRA Digest 02.12-08.12.2013
GRA Digest 02.12-08.12.2013garasym
 
GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013garasym
 
GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013garasym
 
E government ukraine-v05_ay
E government ukraine-v05_ayE government ukraine-v05_ay
E government ukraine-v05_aygarasym
 
Isaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_ayIsaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_aygarasym
 
список учасників 2013
список учасників 2013список учасників 2013
список учасників 2013garasym
 
Інформаційне повідомлення 2013
Інформаційне повідомлення 2013Інформаційне повідомлення 2013
Інформаційне повідомлення 2013garasym
 
Інформаційне повідомлення 2013
Інформаційне повідомлення 2013Інформаційне повідомлення 2013
Інформаційне повідомлення 2013garasym
 
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...garasym
 
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїПуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїgarasym
 
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINX
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINXПуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINX
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINXgarasym
 
Lyashenko m.o. (10.04.2012)
Lyashenko m.o. (10.04.2012)Lyashenko m.o. (10.04.2012)
Lyashenko m.o. (10.04.2012)garasym
 
Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)garasym
 
Kolesnikov s. (27.03.2012)
Kolesnikov s. (27.03.2012)Kolesnikov s. (27.03.2012)
Kolesnikov s. (27.03.2012)garasym
 
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)як писати і захищати наукову роботу, статтю, дисертацію (ч.2)
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)garasym
 
Lubiv d. (27.03.2012)
Lubiv d. (27.03.2012)Lubiv d. (27.03.2012)
Lubiv d. (27.03.2012)garasym
 

More Related Content

More from garasym

GRA Digest 30.12.2013-13.01.2014
GRA Digest 30.12.2013-13.01.2014GRA Digest 30.12.2013-13.01.2014
GRA Digest 30.12.2013-13.01.2014garasym
 
GRA Digest 23.12-29.12.2013
GRA Digest 23.12-29.12.2013GRA Digest 23.12-29.12.2013
GRA Digest 23.12-29.12.2013garasym
 
GRA Digest 16.12-22.12.2013
GRA Digest 16.12-22.12.2013GRA Digest 16.12-22.12.2013
GRA Digest 16.12-22.12.2013garasym
 
GRA Digest 09.12-15.12.2013
GRA Digest 09.12-15.12.2013GRA Digest 09.12-15.12.2013
GRA Digest 09.12-15.12.2013garasym
 
GRA Digest 02.12-08.12.2013
GRA Digest 02.12-08.12.2013GRA Digest 02.12-08.12.2013
GRA Digest 02.12-08.12.2013garasym
 
GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013garasym
 
GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013garasym
 
E government ukraine-v05_ay
E government ukraine-v05_ayE government ukraine-v05_ay
E government ukraine-v05_aygarasym
 
Isaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_ayIsaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_aygarasym
 
список учасників 2013
список учасників 2013список учасників 2013
список учасників 2013garasym
 
Інформаційне повідомлення 2013
Інформаційне повідомлення 2013Інформаційне повідомлення 2013
Інформаційне повідомлення 2013garasym
 
Інформаційне повідомлення 2013
Інформаційне повідомлення 2013Інформаційне повідомлення 2013
Інформаційне повідомлення 2013garasym
 
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...garasym
 
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїПуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїgarasym
 
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINX
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINXПуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINX
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINXgarasym
 
Lyashenko m.o. (10.04.2012)
Lyashenko m.o. (10.04.2012)Lyashenko m.o. (10.04.2012)
Lyashenko m.o. (10.04.2012)garasym
 
Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)garasym
 
Kolesnikov s. (27.03.2012)
Kolesnikov s. (27.03.2012)Kolesnikov s. (27.03.2012)
Kolesnikov s. (27.03.2012)garasym
 
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)як писати і захищати наукову роботу, статтю, дисертацію (ч.2)
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)garasym
 
Lubiv d. (27.03.2012)
Lubiv d. (27.03.2012)Lubiv d. (27.03.2012)
Lubiv d. (27.03.2012)garasym
 

More from garasym (20)

GRA Digest 30.12.2013-13.01.2014
GRA Digest 30.12.2013-13.01.2014GRA Digest 30.12.2013-13.01.2014
GRA Digest 30.12.2013-13.01.2014
 
GRA Digest 23.12-29.12.2013
GRA Digest 23.12-29.12.2013GRA Digest 23.12-29.12.2013
GRA Digest 23.12-29.12.2013
 
GRA Digest 16.12-22.12.2013
GRA Digest 16.12-22.12.2013GRA Digest 16.12-22.12.2013
GRA Digest 16.12-22.12.2013
 
GRA Digest 09.12-15.12.2013
GRA Digest 09.12-15.12.2013GRA Digest 09.12-15.12.2013
GRA Digest 09.12-15.12.2013
 
GRA Digest 02.12-08.12.2013
GRA Digest 02.12-08.12.2013GRA Digest 02.12-08.12.2013
GRA Digest 02.12-08.12.2013
 
GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013GRA Digest 25.11-01.12.2013
GRA Digest 25.11-01.12.2013
 
GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013GRA Digest 18.11-22.11.2013
GRA Digest 18.11-22.11.2013
 
E government ukraine-v05_ay
E government ukraine-v05_ayE government ukraine-v05_ay
E government ukraine-v05_ay
 
Isaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_ayIsaca 2010 survey_finding_11_ay
Isaca 2010 survey_finding_11_ay
 
список учасників 2013
список учасників 2013список учасників 2013
список учасників 2013
 
Інформаційне повідомлення 2013
Інформаційне повідомлення 2013Інформаційне повідомлення 2013
Інформаційне повідомлення 2013
 
Інформаційне повідомлення 2013
Інформаційне повідомлення 2013Інформаційне повідомлення 2013
Інформаційне повідомлення 2013
 
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
Пришляк А.І. - Функціональні можливості та практичне застосування тестового м...
 
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформаціїПуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
Пуля П.А. - Особливості використання квадрокоптерів у сфері захисту інформації
 
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINX
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINXПуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINX
Пуля П.А. - Функціональні можливості тестових плат на базі ПЛІС ALTERA та XILINX
 
Lyashenko m.o. (10.04.2012)
Lyashenko m.o. (10.04.2012)Lyashenko m.o. (10.04.2012)
Lyashenko m.o. (10.04.2012)
 
Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)
 
Kolesnikov s. (27.03.2012)
Kolesnikov s. (27.03.2012)Kolesnikov s. (27.03.2012)
Kolesnikov s. (27.03.2012)
 
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)як писати і захищати наукову роботу, статтю, дисертацію (ч.2)
як писати і захищати наукову роботу, статтю, дисертацію (ч.2)
 
Lubiv d. (27.03.2012)
Lubiv d. (27.03.2012)Lubiv d. (27.03.2012)
Lubiv d. (27.03.2012)
 

Hayduk o

  • 1. МІНІСТЕРСТВО ОБОРОНИ УКРАЇНИ ВІЙСЬКОВИЙ ІНСТИТУТ ТЕЛЕКОМУНІКАЦІЙ ТА ІНФОРМАТИЗАЦІЇ НТУУ “КПІ” Наукова робота на тему: “Методологія вибору раціонального варіанту захисту інформації на основі експертних оцінок” Автор : студент 171 навчальної групи Гайдук О.С. Науковий керівник : доцент кафедри №14, к.т.н., Богданов В.В.
  • 2. Актуальність теми полягає у: • Стрімкий розвиток засобів розвідки та потужної обчислювальної техніки, які дозволяють значно зменшити час на подолання СЗІ, вимагає від власника такої системи чітко усвідомлювати її можливості, а також можливості по її удосконаленню та закриттю слабких місць. • Пред’явлення до СЗІ різних, інколи протилежних вимог, вибір найкращих варіантів для реалізації яких є складною задачею призводить до суттєвих втрат в ефективності та економічності систем, що розробляються та модернізуються, у порівнянні з потенційно можливими • Велика невизначеність умов функціонування СЗІ , непередбачуваність поведінки середовища, а часто і некоректність постановки задачі вимагають для вирішення питань ЗІ розроблення певної методики, що дала б можливість систематизувати та оцінити специфіку процесів ЗІ в заданих динамічних умовах
  • 3. Об’єкт дослідження – комплексна система захисту і нформації (КСЗІ) в реальних умовах її функціонування Предмет дослідження – методологія вибору раціонального варіанту системи захисту інформації Мета роботи: розробка моделі комплексної оцінки системи захисту інформації
  • 4. Методи рішення багатокритерійних задач Головного показника Результуючого показника Лексикографічний Адитивний показник Мультиплікативний Максимінний показник показник
  • 5. Вибір методу нечіткої багатокритерійної оптимізації Експертна інформація про ступінь Метод рішення переваги чи важливості показників багатокритеріальної задачі відсутня максимінний метод показники упорядковані по важливості лексикографічний метод адитивний показник визначені вагові коефіцієнти мультиплікативний показник показників максимінний показник
  • 6. Методи вибору варіантів СЗІ При рівній важливості Правило для вибору найкращого варіанту може бути записано у вигляді перетину відповідних множин D = C C ... C вимог 1 2 Як кращий вибирається варіант а*, що має найбільше значення функції приналежності μ (a )D j Кожному з варіантів приписується число а j 0 (чим При різній важливості важливіше вимога, тим більше аi) і загальне вимог правило вибору приймає вигляд a a a D = C1 1 C2 2 ... Cn n Кращий варіант а* знаходиться із співвідношення μci (a j ) n Wi , Wj =1 j=1 По адитивному критерію n Зважена оцінка і-го варіанту R = W R в даному випадку Rij і Wj є нечіткими числами i j ij Значення відповідної функції приналежності інтерпретується як характеристика ступеня j=1 того, наскільки варіант а є кращим.
  • 8. Визначення важливості ресурсу Назва Рівень Рівень Рівень Рівень Важливість (номер) конфіденційності цілісності доступності спостережливості ресурсу ресурсу ресурсу ресурсу ресурсу ресурсу 1 2 … п-1 п
  • 9. Рівні реалізації загрози Рівень Рівень уразливості загрози Н С В 1 1 1 1 2 1 1 2 3 1 2 3 4 2 3 4 5 2-3 3-4 5 6 3-4 4-5 6 7 4-5 5-6 7
  • 10. Рівні ризику Важливість Рівень реалізації загрози ресурсу 1 2 3 4 5 6 7 1 1 2 3 4 5 6 7 2 2 4 6 8 10 12 14 3 3 6 9 12 15 18 21 4 4 8 12 16 20 24 28 5 5 10 15 20 25 30 35 Остаточно рівень ризиків визначається як добуток важливості ресурсу і рівня реалізації загрози
  • 11. Оцінки якості СЗІ на основі матриці знань
  • 12. Блоки показників ОСНОВИ НАПРЯМКИ ЕТАПИ О1 – нормативно-правова і H1 – захист об’єктів М1 – визначення інформації, наукова база; корпоративних систем; що підлягає захисту; О2 – структура і задачі H2 – захист М2. – виявлення повного органів; процесів, процедур і програм переліку потенційно- О3 – організаційні міри і обробки інформації; можливих загроз і каналів методи (політика безпеки); H3 – захист каналів зв’язку; витоку інформації; О4. – програмно-технічні H4 – придушення побічних М3. – проведення оцінки способи і засоби. електромагнітних уразливості і ризиків випромінювань; інформації при наявній множині загроз і каналів H5 – керування системою витоку; захисту. М4. – визначення вимог до системи захисту; М5. – здійснення вибору засобів ЗІ і їхніх характеристик; М6. – впровадження й організація використання обраних заходів, способів і засобів захисту; М7. – здійснення контролю цілісності і керування системою захисту.
  • 13. ЕТАПИ 700 600 500 300 200 100 ризиків захисту Визначення підлягає захисту управління захистом ОСНОВИ Контроль цілісності та НАПРЯМКИ Втілення та використання обраних заходів та засобів Здійснення вибору засобів 400 Визначення вимог до КСЗІ інформації, Виявлення загроз та каналів витоку інформації (НСД) і НСВ Проведення оцінки вразливості та що 711 611 511 411 311 211 111 011 Бази 712 612 512 412 312 212 112 012 Структура 010 Захист 713 613 513 413 313 213 113 013 Заходи об’єктів ІС 714 614 514 414 314 214 114 014 Засоби 721 621 521 421 321 221 121 021 Бази 722 622 522 422 322 222 122 022 Структура 020 723 623 523 423 323 223 123 023 Заходи Захист програм процесів та 724 624 524 424 324 224 124 024 Засоби 731 631 531 431 331 231 131 031 Бази 732 632 532 432 332 232 132 032 Структура 030 733 633 533 433 333 233 133 033 Заходи Захист зв’язку каналів 734 634 534 434 334 234 134 034 Засоби 741 641 541 441 341 241 141 041 Бази 742 642 542 442 342 242 142 042 Структура 040 743 643 543 443 343 243 143 043 Заходи ПЕМВН 744 644 544 444 344 244 144 044 Засоби 751 651 551 451 351 251 151 051 Бази 752 652 552 452 352 252 152 052 Структура 050 753 653 553 453 353 253 153 053 Заходи захисту системою Керування 754 654 554 454 354 254 154 054 Засоби
  • 14. У залежності від етапів робіт із створення СЗІ “матриця” має різний зміст. Іншими словами це однакові за структурою, але різні по змісту “матриці”: 1. “Матриця” повноти і якості станів елементів СЗІ (“Які з заходів щодо захисту інформації й у якому обсязі вже виконані?”); 2. “Матриця” вимог до СЗІ (“Якою повинна бути створювана СЗІ?” ); 3. “Матриця” оцінок ефективності функціонування елементів СЗІ (““Чи правильно будується СЗІ?” ” ).
  • 15. Якщо ступінь виконання вимог оцінюється по бальній шкалі, додатково визначається важливість кожної вимоги то проаналізувавши всі показники за формулою B = a b ;1 B 5 де 0 a 1; a = 1 ми отримаємо можливість легко перейти m m j j j до якісних оцінок j=1 j=1 Оцінка якості СЗІ Інтервальна Бальна оцінка Лінгвістична оцінка оцінка 5 – „відмінно” (В) Цілком задовольняє вимогам 0,9 – 1 4 – „добре” (ВС) Майже задовольняє 0,7 – 0,9 3 – „задовільно” (С) Задовольняє в основному 0,5 – 0,7 2 – „незадовільно” (НС) Не задовольняє 0,3 – 0,5 1 – „дуже не задовільно” (Н) Цілком не задовольняє 0 – 0,3