Нечітка модель оцінки ризиків інформаційної безпеки та підтримки рівня захищеності ERP-систем
DOI: 10.31673/2412-4338.2020.011451
Анотація
Робота присвячена питанню використання нечіткої моделі для оцінки ризиків інформаційної безпеки та підтримки рівня захищеності ERP-систем. Розглянуто вимоги до інформаційної безпеки ERP-систем та проаналізовано проблеми їх безпеки та вразливості. Визначено основні фактори, що впливають на оцінку ризиків.. Зважаючи на якісний, неточний та значною мірою не визначений, або неповний характер інформації про більшість факторів, запропоновано використання лінгвістичного підходу для їх опису. Такий підхід забезпечує можливість отримання кількісного опису елементів моделі за умов наявності лише нечіткої інформації про значення факторів ризику інформаційної безпеки і дозволяє спростити подальший процес ранжування факторів ризиків та чисельного розрахунку значень їх наслідків. Розроблена нечітка продукційна модель оцінки ризиків інформаційної безпеки ERP-систем, що дозволяє виконувати оцінку ризику за чотирма факторами: цінність ресурсу, вплив наслідку на ресурс, ймовірність виникнення загрози та вразливість ресурсу. База нечітких продукційних правил має структуру MISO. Зазначену модель реалізовано з використанням пакету прикладних програм MATLAB та пакету розширення Fuzzy Logic Toolbox. Для нечіткого виведення використано алгоритм Сугено. Результати моделювання процесу отримання оцінок ризиків інформаційної безпеки та аналізу отриманих результатів продемонстрували достатньо високу точність запропонованої моделі у порівнянні з експертними оцінками. Запропоновані підходи щодо оцінки ризиків можуть бути використані як для оцінки конкретних видів ризиків інформаційної безпеки ресурсів ERP-системи, так і загального ризику інформаційної безпеки ERP-системи.
Ключові слова: ERP-система, загрози інформаційної безпеки, ризики інформаційної безпеки, нечітка модель, продукційна модель, нечітке логічне виведення.
Список використаної літератури
1. Leighton J. Security Controls Evaluation, Testing, and Assessment Handbook / J. Leighton, Syngress, 2016. 678 p.
2. Методи захисту системи управління інформаційною безпекою: ДСТУ ISO/IEC 27001:2015. – 2016. – Чин. 2017.01.01. – Київ.: ДП «УкрНДНЦ», 2016. – 22c.
3. Abhishek kumar srivastav, Irman Ali, Shani Fatema. A Quantitative Measurement Methodology for calculating Risk related to Information Security. IOSR Journal of Computer Engineering (IOSR-JCE). Volume 16, Issue 1, Ver. IX (Feb. 2014), PP 17-20.
4. Ехлаков Ю.П. Нечеткая модель оценки рисков продвижения программных продуктов / Ю. П. Ехлаков // Бизнес-информатика. – 2014. – №3 (29). – C. 69-78.
5. Гладыш С.В. Представление знаний об управлении инцидентами информационной безопасности посредством нечетких временных раскрашенных сетей Петри / С.В. Гладыш // Міжнародний науково-технічний журнал «Інформаційні технології та комп’ютерна інженерія». – 2010. – №1 (17), 2010. – C. 57-64.
6. Nieto-Morote A.A. Fuzzy approach to construction project risk assessment / A. Nieto-Morote, F. Ruz-Vila. // International Journal of Project Management. – 2011. – Vol. 29, Issue 2. – P. 220–231.
7. Інформаційна безпека України в умовах євроінтеграції. Поняття загроз інформаційній безпеці. Види загроз інформаційної безпеки [Електронний ресурс] // Навчальні матеріали онлайн (pidruchniki.website). – Режим доступу: https://pidruchniki.com/12800528/politologiya/ponyattya_zagroz_informatsiyniy_bezpetsi.
8. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу [Текст]: НД ТЗІ 2.5-004-99. – 1999. – Чин. 1999.07.01. – К. : ДСТСЗІ СБ України, 1999. – 57 с.
9. Шевченко В. Л. Несанкціонований доступ до інформаційних ресурсів ERP-системи [Електронний ресурс] / В. Л. Шевченко, В. І. Кулажський, О. С. Кульчицький // Збірник наукових праць Центру воєнно-стратегічних досліджень Національного університету оборони України імені Івана Черняховського. – 2014. – № 1. – С. 9-12.
10. Круглов В.В. Нечеткие модели и сети / В.В. Круглов, В. В. Борисов, А.С. Федулов – М.: Горячая линия–Телеком, 2012. – 284c.: ил.
11. Common Vulnerability Scoring System version 3.1: Specification Document. CVSS Version 3.1 Release [Електронний ресурс] // Forum of Incident Response and Security Teams. – Режим доступу: https://www.first.org/cvss/ specification-document.
12. National vulnerability database Release [Електронний ресурс] // National Institute of Standards and Technology. – Режим доступу: https://nvd.nist.gov.
13. National vulnerability database Release. Vulnerability Metrics [Електроний ресурс] // National Institute of Standards and Technology. – Режим доступу: https://nvd.nist.gov/vuln-metrics/cvss.