1. МІНІСТЕРСТВО ОБОРОНИ УКРАЇНИ
ВІЙСЬКОВИЙ ІНСТИТУТ ТЕЛЕКОМУНІКАЦІЙ
ТА ІНФОРМАТИЗАЦІЇ НТУУ “КПІ”
Наукова робота
на тему:
“Методологія вибору раціонального
варіанту захисту інформації на основі
експертних оцінок”
Автор : студент 171 навчальної групи Гайдук О.С.
Науковий керівник : доцент кафедри №14, к.т.н., Богданов В.В.
2. Актуальність теми полягає у:
• Стрімкий розвиток засобів розвідки та потужної обчислювальної техніки,
які дозволяють значно зменшити час на подолання СЗІ, вимагає від
власника такої системи чітко усвідомлювати її можливості, а також
можливості по її удосконаленню та закриттю слабких місць.
• Пред’явлення до СЗІ різних, інколи протилежних вимог, вибір найкращих
варіантів для реалізації яких є складною задачею призводить до суттєвих
втрат в ефективності та економічності систем, що розробляються та
модернізуються, у порівнянні з потенційно можливими
• Велика невизначеність умов функціонування СЗІ , непередбачуваність
поведінки середовища, а часто і некоректність постановки задачі
вимагають для вирішення питань ЗІ розроблення певної методики, що дала
б можливість систематизувати та оцінити специфіку процесів ЗІ в заданих
динамічних умовах
3. Об’єкт дослідження – комплексна система
захисту і нформації (КСЗІ) в реальних умовах її
функціонування
Предмет дослідження – методологія вибору
раціонального варіанту системи захисту
інформації
Мета роботи: розробка моделі комплексної
оцінки системи захисту інформації
4. Методи рішення багатокритерійних
задач
Головного показника Результуючого показника Лексикографічний
Адитивний показник Мультиплікативний Максимінний
показник показник
5. Вибір методу нечіткої багатокритерійної оптимізації
Експертна інформація про ступінь Метод рішення
переваги чи важливості показників багатокритеріальної задачі
відсутня максимінний метод
показники упорядковані по важливості лексикографічний метод
адитивний показник
визначені вагові коефіцієнти
мультиплікативний показник
показників
максимінний показник
6. Методи вибору варіантів СЗІ
При рівній важливості Правило для вибору найкращого варіанту може бути записано у
вигляді перетину відповідних множин D = C C ... C
вимог 1 2
Як кращий вибирається варіант а*, що має найбільше значення
функції приналежності μ (a )D j
Кожному з варіантів приписується число а j 0 (чим
При різній важливості важливіше вимога, тим більше аi) і загальне
вимог правило вибору приймає вигляд
a a a
D = C1 1 C2 2 ... Cn n
Кращий варіант а* знаходиться із співвідношення μci (a j ) n
Wi , Wj =1
j=1
По адитивному критерію
n
Зважена оцінка і-го варіанту R = W R в даному випадку Rij і Wj є нечіткими числами
i j ij
Значення відповідної функції приналежності інтерпретується як характеристика ступеня
j=1
того, наскільки варіант а є кращим.
8. Визначення важливості ресурсу
Назва Рівень Рівень Рівень Рівень Важливість
(номер) конфіденційності цілісності доступності спостережливості ресурсу
ресурсу ресурсу ресурсу ресурсу ресурсу
1
2
…
п-1
п
9. Рівні реалізації загрози
Рівень Рівень уразливості
загрози Н С В
1 1 1 1
2 1 1 2
3 1 2 3
4 2 3 4
5 2-3 3-4 5
6 3-4 4-5 6
7 4-5 5-6 7
10. Рівні ризику
Важливість Рівень реалізації загрози
ресурсу
1 2 3 4 5 6 7
1 1 2 3 4 5 6 7
2 2 4 6 8 10 12 14
3 3 6 9 12 15 18 21
4 4 8 12 16 20 24 28
5 5 10 15 20 25 30 35
Остаточно рівень ризиків визначається як
добуток важливості ресурсу і рівня
реалізації загрози
12. Блоки показників
ОСНОВИ НАПРЯМКИ ЕТАПИ
О1 – нормативно-правова і H1 – захист об’єктів М1 – визначення інформації,
наукова база; корпоративних систем; що підлягає захисту;
О2 – структура і задачі H2 – захист М2. – виявлення повного
органів; процесів, процедур і програм переліку потенційно-
О3 – організаційні міри і обробки інформації; можливих загроз і каналів
методи (політика безпеки); H3 – захист каналів зв’язку; витоку інформації;
О4. – програмно-технічні H4 – придушення побічних М3. – проведення оцінки
способи і засоби. електромагнітних уразливості і ризиків
випромінювань; інформації при наявній
множині загроз і каналів
H5 – керування системою витоку;
захисту. М4. – визначення вимог до
системи захисту;
М5. – здійснення вибору
засобів ЗІ і їхніх
характеристик;
М6. – впровадження й
організація використання
обраних заходів, способів і
засобів захисту;
М7. – здійснення контролю
цілісності і керування
системою захисту.
13. ЕТАПИ
700
600
500
300
200
100
ризиків
захисту
Визначення
підлягає захисту
управління захистом
ОСНОВИ
Контроль цілісності та
НАПРЯМКИ
Втілення та використання
обраних заходів та засобів
Здійснення вибору засобів
400 Визначення вимог до КСЗІ
інформації,
Виявлення загроз та каналів
витоку інформації (НСД) і НСВ
Проведення оцінки вразливості та
що
711 611 511 411 311 211 111 011 Бази
712 612 512 412 312 212 112 012 Структура
010
Захист
713 613 513 413 313 213 113 013 Заходи
об’єктів ІС
714 614 514 414 314 214 114 014 Засоби
721 621 521 421 321 221 121 021 Бази
722 622 522 422 322 222 122 022 Структура
020
723 623 523 423 323 223 123 023 Заходи
Захист
програм
процесів та
724 624 524 424 324 224 124 024 Засоби
731 631 531 431 331 231 131 031 Бази
732 632 532 432 332 232 132 032 Структура
030
733 633 533 433 333 233 133 033 Заходи
Захист
зв’язку
каналів
734 634 534 434 334 234 134 034 Засоби
741 641 541 441 341 241 141 041 Бази
742 642 542 442 342 242 142 042 Структура
040
743 643 543 443 343 243 143 043 Заходи
ПЕМВН
744 644 544 444 344 244 144 044 Засоби
751 651 551 451 351 251 151 051 Бази
752 652 552 452 352 252 152 052 Структура
050
753 653 553 453 353 253 153 053 Заходи
захисту
системою
Керування
754 654 554 454 354 254 154 054 Засоби
14. У залежності від етапів робіт із створення СЗІ “матриця”
має різний зміст. Іншими словами це однакові за структурою, але
різні по змісту “матриці”:
1. “Матриця” повноти і якості станів елементів СЗІ (“Які з заходів щодо
захисту інформації й у якому обсязі вже виконані?”);
2. “Матриця” вимог до СЗІ (“Якою повинна бути створювана СЗІ?” );
3. “Матриця” оцінок ефективності функціонування елементів СЗІ (““Чи
правильно будується СЗІ?” ” ).
15. Якщо ступінь виконання вимог оцінюється по бальній шкалі, додатково
визначається важливість кожної вимоги то проаналізувавши всі показники за
формулою B = a b ;1 B 5 де 0 a 1; a = 1 ми отримаємо можливість легко перейти
m m
j j j
до якісних оцінок
j=1 j=1
Оцінка якості СЗІ
Інтервальна
Бальна оцінка Лінгвістична оцінка
оцінка
5 – „відмінно” (В) Цілком задовольняє вимогам 0,9 – 1
4 – „добре” (ВС) Майже задовольняє 0,7 – 0,9
3 – „задовільно” (С) Задовольняє в основному 0,5 – 0,7
2 – „незадовільно” (НС) Не задовольняє 0,3 – 0,5
1 – „дуже не задовільно” (Н) Цілком не задовольняє 0 – 0,3