Выбор и обоснование комплексного решения информационной безопасности на основе метода анализа иерархий
Изложение предлагаемой методики принятия комплексных решений в области информационной безопасности. Оценка ее достоинств и недостатков. Рассмотрение предпосылок для создания процедуры оценки рисков, построенной на основе метода анализа иерархий.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 18.12.2017 |
| Размер файла | 77,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Аннотация
Выбор и обоснование комплексного решения ИБ на основе метода анализа иерархий
Проснеков Станислав Анатольевич, аспирант кафедры вычислительных систем и программирования, Санкт-Петербургский государственный экономический университет, г. Санкт-Петербург, Российская Федерация.
В статье изложено описание предлагаемой методики выбора и обоснования комплексных решений в области информационной безопасности на основе метода анализа иерархий. Рассмотрены предпосылки для создания такой методики, ее достоинства и недостатки.
Ключевые слова: информационная безопасность, метод анализа иерархий, комплексные решения информационной безопасности.
Содержание статьи
С каждым годом зависимость производства и предпринимательской деятельности от информационных становится все сильнее. Если еще недавно, можно было представить организацию, не использующую в своей деятельности каких-либо составляющих информационных технологий, то сейчас это невозможно [2]. Соответственно, внедрение в бизнес-процессы новой составляющей приносит и новые проблемы, в частности вопросы обеспечения информационной безопасности. Для разумной и правильной организации ИБ на предприятии необходимо подходить к этому вопросу с практической точки зрения, т.е. необходимо знать, что защищать, как защищать и насколько существующая или планируемая защита будет эффективна в рамках своих задач, для этого используются процедуры оценки.
Во время оценки эффективности и необходимости вложений в информационную безопасность всегда остро встает вопрос выбора и обоснования средств и методов защиты от угроз и снижения рисков. Т.к. информационная безопасность одна из тех сфер, в которой существует множество решений одной проблемы (организационные, методические и технические средства и методы защиты) соответственно крайне важен вопрос правильного выбора средств, которые смогут обеспечить приемлемый уровень рисков при приемлемых затратах. Концепция приемлемых рисков получила широкое распространение в сфере ИБ, т.к. фактически невозможно построить абсолютно надежную систему защиты, а тем более невозможно это сделать в рамках разумного бюджета.
При этом тема анализа рисков информационной безопасности, как составной части комплексного подхода к обеспечению информационной безопасности, достаточно широко освещена в целом ряде нормативных и методических документов, а также международных стандартов. При этом основное внимание уделяется организационным вопросам проведения процедуры. Применение результатов описанных процедур затруднительно в задачах управления деятельностью предприятия, так как они имеют качественный характер и не позволяют оценить реальные ожидаемые потери организации в результате инцидентов, связанных с информационной безопасностью.
Т.е. в результате процедуры аудита, организация не получает никакого конкретного плана действий, не говоря уж о средствах и методах закрытия уязвимостей. Эти решения остаются на совести аудитора (команды аудиторов) и требует их высокой квалификации для принятия правильных решений. Зачастую эти решения не обоснованы ничем кроме как личным мнением специалиста, и никак не обоснованы для представителей организации.
Соответственно для облегчения выбора и обоснования необходима прозрачная и понятная процедура, которая позволит однозначно определить решение или комплекс решений, подходящих для каждой конкретной ситуации. информационная безопасность решение иерархия
Метод анализа иерархий хорошо подходит для решения неформализованных задач такого плана с неравными альтернативами [3]. МАИ хорошо показывает себя в случаях, когда надо выбрать одну альтернативу из множества, но метод не учитывает возможности создания комплексного решения из комбинации альтернатив для достижения максимального эффекта и/или экономии средств [1]. Из-за этого складывается ситуация, когда при большом выборе альтернатив, часто отсеиваются альтернативы имеющие лучшие характеристики по некоторым критериям ввиду того, что общий коэффициент превосходства такой альтернативы может быть меньше чем у решения с более низкими, но более равными коэффициентами превосходства по всем критериям.
В случае, когда альтернатив немного, лицо принимающее решение (ЛПР) может самостоятельно вручную, проанализировать различные комбинации альтернатив и в случае наличия более эффективной и/или менее затратной комбинации отдать предпочтение ей. Но что делать в случае если альтернатив много, например, для 10 альтернатив количество уникальных сочетаний из 2 элементов равно 10, из 3 элементов 120, а из 4-210. При таких объемах вручную анализировать каждую комбинацию становится слишком дорого. Это ограничивает гибкость и применимость данного метода, особенного учитывая тот факт, что в ИБ как нигде ценится комплексность решений. В данной статье будет рассмотрено, предложенное автором решение по выбору и обоснованию комбинаций альтернатив на основе МАИ. Для это рассмотрим предложенный метод на примере:
Имеется иерархия из 7 критериев и 5 альтернатив:
Для определения приоритета всех элементов, элементы сравниваются попарно с помощью матриц сравнения, начиная с матрицы весов критериев. Каждая матрица может быть получена не от одного эксперта, а от нескольких в таком случае значения матриц усредняются.
Матрица попарных сравнений размерности n x n:
Процесс свертки происходит поэтапно, аналогично вычислению весовых коэффициентов критериев. Заполняются матрицы сравнения по каждому из критериев. Для каждой из матриц сравнения вычисляется собственный вектор. Затем полученные по каждому из критериев значения превосходства нормируются на максимум, умножаются на весовые коэффициенты критериев и получают финальную таблицу с коэффициентами превосходства по каждому критерию.
После проведения всех этапов МАИ, итоговая таблица коэффициентов превосходства выглядит так:
|
Критерий 1 |
Критерий 2 |
Критерий 3 |
Критерий 4 |
Критерий 5 |
Критерий 6 |
Критерий 7 |
Приоритет |
||
|
Альтернатива 1 |
0.059 |
0.003 |
0.006 |
0.098 |
0.014 |
0.008 |
0.013 |
0.204 |
|
|
Альтернатива 2 |
0.031 |
0.016 |
0.002 |
0.098 |
0.007 |
0.004 |
0.004 |
0.165 |
|
|
Альтернатива 3 |
0.061 |
0.007 |
0.003 |
0.098 |
0.01 |
0.004 |
0.008 |
0.196 |
|
|
Альтернатива 4 |
0.035 |
0.038 |
0.011 |
0.027 |
0.028 |
0.024 |
0.024 |
0.189 |
|
|
Альтернатива 5 |
0.146 |
0.007 |
0.002 |
0.015 |
0.06 |
0.005 |
0.006 |
0.244 |
Из таблицы видно, что решение с наибольшим общим приоритетом (суммой локальных приоритетов) является лучшим только по двум критериям из 7. А остальные варианты фактически отбрасываются, несмотря на то что, например, комбинация максимальных значений локальных приоритетов "альтернативы 1" и "альтернативы 4" суммарно больше чем глобальный приоритет "альтернативы 5" в целом.
Но напрямую суммировать все локальные коэффициенты превосходства по двум альтернативам нельзя т.к. не для всех критериев возможно улучшение показателей путем суммирования альтернатив. Для таких критериев необходимо учитывать только максимальное значение коэффициента превосходства среди всех альтернатив проверяемой комбинации. Т.е. в рассматриваемом примере для комбинации "альтернативы 1" и "альтернативы 4" это будет выглядеть так (см. табл. 2).
|
Критерий 1 |
Критерий 2 |
Критерий 3 |
Критерий 4 |
Критерий 5 |
Критерий 6 |
Критерий 7 |
суммарный приори-тет |
||
|
Альтернатива 1 |
0,059 |
0,003 |
0,006 |
0,098 |
0,014 |
0,008 |
0,013 |
0,282 |
|
|
Альтернатива 4 |
0,035 |
0,038 |
0,011 |
0,027 |
0,028 |
0,024 |
0,024 |
Нельзя не учитывать тот факт, что возможно существование критериев, для которых будет допустимо суммирование локальных приоритетов по отдельным критериям, в этом случае суммарный приоритет может быть еще больше и превосходство его над приоритетом отдельной альтернативы еще существеннее. Отсюда можно сделать вывод, что необходимо до начала процедуры оценки приоритетов комбинированного решений, заранее определить для всех критериев допустимо или не допустимо суммирование локальных приоритетов при оценке комбинаций альтернатив.
Также важно понимать, что, комбинируя альтернативы для получения лучших результатов, мы переносим в комбинированное решение, не только плюсы каждой отдельной альтернативы, но и минусы, которые при применении МАИ обычно явно не указываются.
Вопрос применимости такого подхода и адекватности выдаваемых им результатов так или иначе остается в зоне ответственности специалиста, проводящего оценку, в данном случае специалиста по информационной безопасности. Важно понимать, что специалист должен обладать необходимой квалификацией для применения методики (даже в случае классического метода анализа иерархии) и четко понимать вопросы проведения оценки.
Список литературы
1. Минаков В.Ф. Метод анализа многомерных иерархий // Nauka-rastudent.ru. - 2015. - № 7 (19). - С. 31. / [Электронный ресурс]- Режим доступа. - URL: http://nauka-rastudent.ru/19/2803/.
2. Путькина Л.В. Эволюция концепций применения ИТ в управлении бизнес-процессами//Международный научно-исследовательский журнал. 2014. №12-2 (31). С. 31-32.
3. Саати Т. Принятие решений. Метод анализа иерархий. М.: Радио и связь, 1993.
Размещено на Allbest.ru
...Подобные документы
Анализ проблемных аспектов построения и функционирования системы физической защиты информации предприятия. Модель угроз информационной безопасности. Разработка и обоснование модели и процедур выбора средств СФЗИ на основе метода анализа иерархий.
дипломная работа [2,6 M], добавлен 01.07.2011Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.
дипломная работа [207,4 K], добавлен 02.08.2012Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.
курсовая работа [2,2 M], добавлен 17.09.2010Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.
курсовая работа [190,1 K], добавлен 25.11.2013Описание метода анализа иерархий и программно-апаратных средств аутентификации: электронных ключей и идентификаторов. Анализ рынка программно-аппаратных средств аутентификации и выбор наилучшего средства при помощи построения иерархической структуры.
курсовая работа [407,6 K], добавлен 07.05.2011Метод анализа иерархий. Система для хранения больших объемов информации является база данных. База данных в наибольшей степени удовлетворяет всем выделенным критериям. Она обеспечивает быстрый поиск нужной информации (оперативность).
контрольная работа [326,9 K], добавлен 10.06.2004Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Оценка акустической защищённости на основе "метода формантной разборчивости" с использованием инструментальных средств. Расчет значений октавного уровня соотношения "сигнал/шум" на основе исходных данных. Определение словесной разборчивости речи.
курсовая работа [721,0 K], добавлен 28.05.2015Существенные признаки понятия конфиденциальности. Понятие информационной безопасности государства. Нормативные документы в данной области. Органы, обеспечивающие ИБ. Направления защиты информационной системы. Этапы создания средств защиты информации.
презентация [63,6 K], добавлен 21.05.2015Обоснование выбора оптимальных сетевых решений на базе многозадачных операционных систем для построения компьютерной сети стандартов Fast Ethernet с учетом необходимых требований к сети. Методы расчета спроектированной конфигурации сети на корректность.
курсовая работа [3,1 M], добавлен 06.12.2012Этапы развития информационной системы и происходящие в ней процессы. Виды, инструментарий, составляющие информационных технологий. Производство информации для ее анализа человеком и принятия на его основе решения как цель информационной технологии.
контрольная работа [2,7 M], добавлен 18.12.2009Методика исследования и анализа средств аудита системы Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин. Анализ угрозы информационной безопасности. Алгоритм работы программного средства.
дипломная работа [2,9 M], добавлен 28.06.2011Разработка самообучающейся интеллектуальной информационной системы для анализа кредитоспособности заемщика и оценки кредитных рисков на основе подхода иммунокомпьютинга. Применение процедур кластеризации, классификации и формирования оценок рисков.
курсовая работа [822,3 K], добавлен 09.06.2012Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
курсовая работа [30,4 K], добавлен 03.02.2011Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Анализ рисков информационной безопасности. Идентификация уязвимостей активов. Оценка существующих и планируемых средств защиты. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности.
дипломная работа [1,1 M], добавлен 03.04.2013
