Method of information and analytical support for information security risk management of information systems

Method of information and analytical support for information security risk management of information systems

It has been tried to combine expert and statistics methods in analyzing information security risk. Author has brought general statements of information security risk management based on international and internal practices as well as proposed own risk analyzing process. The proposed method includes...

Повний опис

Збережено в:
Бібліографічні деталі
Дата:2019
Автор: Rodin, Y.S.
Формат: Стаття
Мова:Ukrainian
Опубліковано: PROBLEMS IN PROGRAMMING 2019
Теми:
risk
information
security
threats
vulnerability
fuzzy
logic
model
UDС 004.02+004.05+005.93+ 510.3
Онлайн доступ:https://pp.isofts.kiev.ua/index.php/ojs1/article/view/337
Теги: Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
Назва журналу:Problems in programming
Завантажити файл: Pdf

Репозитарії

Problems in programming
id pp_isofts_kiev_ua-article-337
record_format ojs
resource_txt_mv ppisoftskievua/aa/1f7892f56b31aedb2229782cb95c28aa.pdf
spelling pp_isofts_kiev_ua-article-3372019-04-18T09:26:31Z Method of information and analytical support for information security risk management of information systems Метод информационно-аналитической поддержки управления рисками безопасности ресурсов ведомственных информационных систем Метод інформаційно-аналітичної підтримки управління ризиками безпеки ресурсів відомчих інформаційних систем Rodin, Y.S. risk; information; security; threats; vulnerability; fuzzy; logic; model UDС 004.02+004.05+005.93+ 510.3 риск; информация; безопасность; угроза; уязвимость; нечеткость; логика; модель УДК 004.02+004.05+005.93+ 510.3 ризик; інформація; безпека; загроза; вразливість; нечіткість; логіка; модель УДК 004.02+004.05+005.93+ 510.3 It has been tried to combine expert and statistics methods in analyzing information security risk. Author has brought general statements of information security risk management based on international and internal practices as well as proposed own risk analyzing process. The proposed method includes topologies of information resources, vulnarabilities, threats, impact, bulding events’ tree. It has been proposed to build agrigated risk over the certain information resource. Author has tried to convert experts’ metrixes into fuzzy mathematical model. Conclusion of the experiments is that self-learning model gives better results but in the environment of uncertaince, both experts’ and statistics data can be used.Problems in programming 2018; 4: 82-92 Рассматриваются вопросы современного моделирования в области оценки рисков информационной безопасности с точки зрения отдельных информационных ресурсов с присущими им связями уязвимостей, угроз, рисков, последствий. Автор предлагает использовать в модели как статистические данные, так и экспертные оценки, представляя экспертные метрики и связи событий и условий понятиями аппарата нечеткой логики. Сравнивая две модели экспертных оценок и статистических данных, автор приходит к выводу, что обученная статистическая модель более достоверна, однако статистических данных недостаточно в реальных условиях, поэтому необходима комбинация моделей и их постоянное обучение.Problems in programming 2018; 4: 82-92 Запропоновано формалізацію вразливостей та загроз за допомогою введення лінгвістичних змінних. Практично використано гібридні моделі та soft computing при побудові залежності рівня ризику виникнення помилок за двома факторами. Запропоновано два варіанти оцінювання впливу вразливостей на рівень ризику результуючого фактора. Запропоновано комбінацію використання статистичних даних та експертних оцінок для аналізу стану інформаційної безпеки організації. Запропоновано визначення сукупного ризику інформаційного ресурсу.Problems in programming 2018; 4: 82-92  PROBLEMS IN PROGRAMMING ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ ПРОБЛЕМИ ПРОГРАМУВАННЯ 2019-02-28 Article Article application/pdf https://pp.isofts.kiev.ua/index.php/ojs1/article/view/337 10.15407/pp2018.04.082 PROBLEMS IN PROGRAMMING; No 4 (2018); 82-92 ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ; No 4 (2018); 82-92 ПРОБЛЕМИ ПРОГРАМУВАННЯ; No 4 (2018); 82-92 1727-4907 10.15407/pp2018.04 uk https://pp.isofts.kiev.ua/index.php/ojs1/article/view/337/356 Copyright (c) 2018 PROBLEMS OF PROGRAMMING
institution Problems in programming
baseUrl_str https://pp.isofts.kiev.ua/index.php/ojs1/oai
datestamp_date 2019-04-18T09:26:31Z
collection OJS
language Ukrainian
topic risk
information
security
threats
vulnerability
fuzzy
logic
model
UDС 004.02+004.05+005.93+ 510.3
spellingShingle risk
information
security
threats
vulnerability
fuzzy
logic
model
UDС 004.02+004.05+005.93+ 510.3
Rodin, Y.S.
Method of information and analytical support for information security risk management of information systems
topic_facet risk
information
security
threats
vulnerability
fuzzy
logic
model
UDС 004.02+004.05+005.93+ 510.3
риск
информация
безопасность
угроза
уязвимость
нечеткость
логика
модель
УДК 004.02+004.05+005.93+ 510.3
ризик
інформація
безпека
загроза
вразливість
нечіткість
логіка
модель
УДК 004.02+004.05+005.93+ 510.3
format Article
author Rodin, Y.S.
author_facet Rodin, Y.S.
author_sort Rodin, Y.S.
title Method of information and analytical support for information security risk management of information systems
title_short Method of information and analytical support for information security risk management of information systems
title_full Method of information and analytical support for information security risk management of information systems
title_fullStr Method of information and analytical support for information security risk management of information systems
title_full_unstemmed Method of information and analytical support for information security risk management of information systems
title_sort method of information and analytical support for information security risk management of information systems
title_alt Метод информационно-аналитической поддержки управления рисками безопасности ресурсов ведомственных информационных систем
Метод інформаційно-аналітичної підтримки управління ризиками безпеки ресурсів відомчих інформаційних систем
description It has been tried to combine expert and statistics methods in analyzing information security risk. Author has brought general statements of information security risk management based on international and internal practices as well as proposed own risk analyzing process. The proposed method includes topologies of information resources, vulnarabilities, threats, impact, bulding events’ tree. It has been proposed to build agrigated risk over the certain information resource. Author has tried to convert experts’ metrixes into fuzzy mathematical model. Conclusion of the experiments is that self-learning model gives better results but in the environment of uncertaince, both experts’ and statistics data can be used.Problems in programming 2018; 4: 82-92
publisher PROBLEMS IN PROGRAMMING
publishDate 2019
url https://pp.isofts.kiev.ua/index.php/ojs1/article/view/337
work_keys_str_mv AT rodinys methodofinformationandanalyticalsupportforinformationsecurityriskmanagementofinformationsystems
AT rodinys metodinformacionnoanalitičeskojpodderžkiupravleniâriskamibezopasnostiresursovvedomstvennyhinformacionnyhsistem
AT rodinys metodínformacíjnoanalítičnoípídtrimkiupravlínnârizikamibezpekiresursívvídomčihínformacíjnihsistem
first_indexed 2025-07-17T10:00:19Z
last_indexed 2025-07-17T10:00:19Z
_version_ 1850411089645273088
fulltext Програмні системи захисту інформації © Є.С. Родін, 2018 82 ISSN 1727-4907. Проблеми програмування. 2018. № 4 УДК 004.02+004.05+005.93+ 510.3 https://doi.org/10.15407/pp2018.04.082 Є.С. Родін МЕТОД ІНФОРМАЦІЙНО-АНАЛІТИЧНОЇ ПІДТРИМКИ УП- РАВЛІННЯ РИЗИКАМИ БЕЗПЕКИ РЕСУРСІВ ВІДОМЧИХ ІНФОРМАЦІЙНИХ СИСТЕМ Запропоновано формалізацію вразливостей та загроз за допомогою введення лінгвістичних змінних. Практично використано гібридні моделі та soft computing при побудові залежності рівня ризику виник- нення помилок за двома факторами. Запропоновано два варіанти оцінювання впливу вразливостей на рівень ризику результуючого фактора. Запропоновано комбінацію використання статистичних даних та експертних оцінок для аналізу стану інформаційної безпеки організації. Запропоновано визначення су- купного ризику інформаційного ресурсу. Ключові слова: ризик, інформація, безпека, загроза, вразливість, нечіткість, логіка, модель. Вступ Актуальність досліджень у галузі управління ризиком інформаційної безпе- ки зумовлена: - ростом кількості інцидентів ін- формаційної безпеки як в державному, так і в бізнес-секторі України; - нестачею спеціалістів в області інформаційної безпеки; - нестачею автоматизованих ме- тодів визначення та управління ризиками інформаційної безпеки. Насамперед об’єктом даного дослі- дження є процес інформаційно-аналітичної підтримки управління ризиками безпеки ресурсів інформаційних систем. Предмет дослідження – це метод інформаційно- аналітичної підтримки процесів аналізу та оцінювання ризиків безпеки ресурсів відом- чих інформаційних систем. Етапи методу оцінювання ризику Метод управління ризиком інфор- маційної безпеки ресурсу (рис. 1) перед- бачає: - аналіз інфраструктури та опис інформаційних ресурсів за встановленими характеристиками; - побудову дерева варіантів; - перетворення елементів дерева варіантів (вразливостей, загроз, наслідків) на лінгвістичні змінні та нечіткі правила; - побудову моделі впливу враз- ливостей, загроз, наслідків на рівень ризи- ку [1]. Згідно з нормативними документами ДСТУ, НД ТЗІ 1.1-003-99, ISO, NIST, на- ведемо визначення базових понять. Ризик – функція ймовірності вико- ристання загрозою вразливості та величи- ни збитку від події (наслідку), що сталася внаслідок цього використання [2]. Загроза – подія, що веде до втрат. Джерела загроз: природні, людські, ото- чення [3]. Вразливість – слабкість організації, що проявляється в організаційній структу- рі, процедурах функціонування організації, в програмному забезпеченні, матеріально- му забезпеченні. Відповідно до статистики NIST (https://nvd.nist.gov/), наразі налічу- ється більше ніж 94000 вразливостей інфо- рмаційної безпеки [2]. Наслідок – якісна та кількісна вели- чина, що характеризується втратою конфі- денційності, цілісності, доступності [4]. Управління ризиком являє собою сукупність заходів щодо оцінювання ризи- ку, вибору, реалізації і впровадження захо- дів безпеки, спрямованих на досягнення прийнятного рівня залишкового ризику. Управління ризиком передбачає три про- цеси: оцінювання ризику, зменшення ри- зику (прийняття ризику), оцінювання за- ходів щодо зменшення ризику [5]. Оцінювання ризику складається з таких етапів: 1) опис системи; 2) визначення загроз; 3) визначення вразливостей; http://dx.doi.org/10.7124/bc.000027 https://nvd.nist.gov/ Програмні системи захисту інформації 83 Перелік інформаційних ресурсів, вимоги до їх стану, пересування ресурсів, складові інфраструктури (ПЗ, ТЗ), статистика інцидентів, причин, наслідків. Складання профілю ресурсів, вразливостей, загроз, варіантів подій і наслідків. Статистичних даних достатньо для визначення стану вразливостей, загроз, наслідків на момент виникнення інциденту або побудови взаємозв'язків. Збір експертних даних визначення термів станів вразливостей, загроз, наслідків. Представлення станів вразливостей, загроз, ризиків, наслідків нечіткими змінними Ні Так Статистичних даних достатньо для побудови бази нечітких правил. Збір експертних даних визначення нечітких правил Побудова моделі взаємозвязку вразливостей, загроз, наслідків. Оцінка параметрів моделі, навчання моделі. Нечіткі виводи стану ризику ресурсу. Виникає можливість змоделювати зниження рівня ризику, змінюючи терми певних вразливостей й загроз Ні Так Рис. 1. Процесна схема методу інформаційно-аналітичної підтримки управління ризиками безпеки ресурсів відомчих інформаційних систем Програмні системи захисту інформації 84 4) аналіз системи контролю безпе- ки, визначення ймовірності використання загрозою вразливості, аналіз наслідку, ви- значення ризику; 5) розробка рекомендацій; 6) документування результатів [6]. Сучасні підходи оцінювання ризику Існуючі методи оцінювання ризику можна охарактеризувати такими тезами: - аналіз системи контролю безпеки забезпечується проходженням перевірочного списку максимальної кількості вимог; - визначення ймовірності вико- ристання загрозою вразливості забезпечу- ється експертним методом, здебільшого − наданням трьох рівнів ступеня ймовірності; - аналіз наслідку забезпечується експертним методом, здебільшого − наданням трьох рівнів ступеня можливих втрат; - визначення ризику забезпечу- ється експертним методом складання мат- риці перетину рейтингів ймовірності та наслідку; - ризик приймається, якщо ви- трати ймовірного порушника перевищу- ють його ймовірний заробіток або якщо передбачувані втрати не перевищують до- пустимий поріг [7]. Сучасні фреймворки з управління ризиками інформаційної безпеки базують- ся на засадах NIST і ISO та відтворені в однойменних продуктах: - OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation); - COBIT (Control Objectives for Information and Related Technologies); - CRAMM (CCTA Risk Analysis and Management Method); - FRAP (Facilitated Risk Analysis Process); - RiskWatch [7]. Важливу проблематику сучасних досліджень у галузі інформаційної безпеки становлять підходи щодо формалізації уп- равління ризиком. Наразі найбільш поши- реними підходами є Soft computing (неод- нозначні обчислення) або Hybrid models (гібридні моделі). Soft computing базується на викори- станні: - Machine learning (машинне нав- чання, моделі, що здатні навчатися); - нечітка логіка; - еволюційні обчислення (штуч- ний інтелект); - ймовірнісні обчислення [8]. Основою гібридних моделей є Ана- літичний ієрархічний процес (Analytic hierarchy process, AHP). Приклад застосування методу Комбінуючи досвід сучасних підхо- дів щодо оцінювання ризику інформацій- ної безпеки та намагаючись націлити оці- нювання ризику на конкретні інформаційні ресурси системи, можна запропонувати такий перелік завдань, що забезпечить по- дальше моделювання взаємодії вразливос- тей, загроз, ризиків, наслідків, протидій: - визначити профіль інформацій- них ресурсів; - визначити ролі суб’єктів (у то- му числі порушників); - визначити шляхи пересування інформаційних ресурсів (ІР); - ідентифікувати вразливості по кожному ІР; - ідентифікувати загрози по кож- ному ІР; - визначити фактори впливу (вразливості, загрози, наслідки) на величи- ни ризику (вагомості) реалізації кожної загрози; - визначити рівень ризику по ко- жній загрозі [4]. Наведемо приклад визначення рівня ризику ресурсу «Клієнтська база даних». Виконання завдань 15 забезпечується проходженням перевірочного переліку характеристик інформаційного ресурсу, що консолідується в анкеті ресурсу [9]. Інформаційний ресурс: база даних клієнтів. 1. Форма представлення: електрон- на база CRM, документ у форматі ms- excel. 2. Статичність: ресурс переміщу- ється. 3. Оригінальність: оригінал на зов- нішній CRM, є декілька експортних копій. 4. Місце появи: на персональних пристроях (ПК, флеш-накопичувач, мобі- Програмні системи захисту інформації 85 льний телефон), на серверах зовнішньої мережі (зовнішня CRM, хмарне сховище). 5. Шляхи пересування: на флеш- накопичувачі, електронна пошта, через ча- ти, доступ на хмарі. 6. Варіанти доступу: обмежений доступ для внутрішнього персоналу. Уп- равління доступом мають генеральний директор та директор з маркетингу. Права читання та редагування мають: генераль- ний директор, директор з маркетингу, ме- неджер з продажів. 7. Загрози ресурсу: a) при порушенні конфіденцій- ності: i) втрата репутації перед клієн- тами (так, ні, вірогідність), ii) порушення договору про не- розголошення – грошовий штраф (так, ні, вірогідність), iii) можлива втрата клієнта – втрата доходу (так, ні, вірогідність); b) при порушенні цілісності: є копії; c) при порушенні доступності: є копії; d) при порушенні керованості: простій у роботі відділу продажів, веде до порушення a, b, c; e) порушення відновлюваності: втрата клієнтів, доходу, репутації, простій у роботі відділу продажів. Вразливості першого рівня ресурсу: - збереження та пересування на флеш-накопичувач; - пересування електронною по- штою; - помилки при керуванні правами доступу; - вразливості настроювання вну- трішньої сітки та наявність фаєрвол, IDS. Вразливості другого рівня: - рівень кваліфікації персоналу; - рівень якості Політики інфор- маційної безпеки; - рівень надійності внутрішнього серверного ПЗ; - рівень надійності внутрішнього серверного ТЗ; - ненадійна зовнішня CRM; - відсутність резервної копії. Завдання 6 виконується побудовою зв’язків впливу вразливостей, загроз та нас- лідків на сумарний рівень ризику (рис. 2). Сумарний рівень ризику пошкодження або втрати бази даних клієнтів Наслідок: порушення конфіденційності Наслідок: Втрата репутації перед клієнтами (так, ні, вірогідність) Наслідок: Порушення NDA – грошовий штраф (так, ні, вірогідність) Наслідок: Можлива втрата клієнта – втрата доходу (так, ні, вірогідність) Наслідок: порушення цілісності Вразливість: наявність (відсутність) копії Наслідок: порушення доступності Наслідок: порушення відновлюваності Наслідок: втрата клієнтів, доходу, репутації, простій в роботі відділу продажів Вразливість: Збереження та пересування на флеш накопичувач Вразливість: Пересування електронною поштою Вразливість: Помилки при керуванні правами доступу Вразливість: настроювання внутрішньої сітки та наявність: фаєрвол, IDS, мілітаризованої зони Вразливість: кваліфікація персоналу Вразливість: Ненадійна зовнішня CRM Вразливість: Політика інформаційної безпеки Вразливість: Рівень надійності внутрішнього серверного ПЗ Вразливість: Рівень надійності внутрішнього серверного ТЗ Наслідок: Помилка в листуванні документів, порушення конфіденційності клієнта. Наслідок: Простій в роботі відділу продажів. Загроза: порушення властивості відновлюваності Загроза: порушення доступності Загроза: порушення цілісності Загроза: порушення конфіденційності Рис. 2. Зв’язки впливу вразливостей, загроз та наслідків на сумарний рівень ризику ресурсу База даних клієнтів Програмні системи захисту інформації 86 Завдання 7 розбивається на послі- довне визначення впливу окремих вразли- востей і загроз на величину ризику. Розглянемо задачу побудови моделі впливу вразливостей другого рівня Рівень кваліфікації персоналу та Рівень якості Політики інформаційної безпеки на враз- ливість першого рівня Помилки при керу- ванні правами доступу. Постановка задачі така: - Побудова моделі взаємозв’язку трьох вразливостей за статистичними да- ними. - Навчання моделі. - Побудова моделі взаємозв’язку трьох вразливостей за експертними дани- ми. - Порівняння моделей. Представлення вразливостей лінгві- стичними змінними наведено в табл. 1. Таблиця 1. Представлення вразливостей лінгвістичними змінними Лінгвістична змінна – Рівень якості політики інформаційної безпеки b1 Стани якості документа політики ІБ (терми) Універсальна множина (рейтинг якості 0–10) Значення функції належності =1 документ політики відсутній 0 0 документ є в наявності, але не доско- налий 1–3 2 документ досконалий, але не оновлю- ється 4–7 5.5 документ повний та оновлюється що- року 7–10 10 Лінгвістична змінна – Рівень квалі- фікації персоналу b2 Терми рівня кваліфікації Універсальна множина: процент співробітників з досвідом роботи більше 5 років (0–100 %) Значення функції належності =1 персонал слабо кваліфікований 0–40 20 персонал середньо кваліфікований 41–70 55.5 персонал достатньо кваліфікований 71–100 85.5 Лінгвістична змінна – Помилки при керуванні правами доступу b8 Стани події: кількість помилок за останній рік (терми) Універсальна множина (кі- лькість помилок за рік 0–10) Значення функції належності =1 Недопустимо багато помилок 5–10 7.5 Помірна кількість помилок 1–4 2.5 Немає помилок 0 0 Програмні системи захисту інформації 87 Будуємо ANFIS-модель за статис- тичними даними, а також функції належ- ності шляхом використання методу нечіт- кої кластеризації к-середніх (Fuzzy C-Means Clustering) і статистичних даних (рис. 3, 4). Формуємо систему нечітких правил (рис. 5) [10]. За Sugeno: кожен терм змін- ної b1 і кожен терм змінної b2 мають дава- ти терм змінної b8. Отже, маємо 12 термів для b8. Будуємо 12 кластерів для b8 за ста- тистичними даними. Для Sugeno функції належності не потрібні – лише центри кла- стерів. Зв’язок між термами змінних b1, b2 та b8 встановлюється також по центрах кластерів (шукаємо за статистичними да- ними відповідне значення b8 і найближчий центр кластера, за яким і визначаємо необ- хідний терм b8). Рис. 3. Функція належності рівня якості політики інформаційної безпеки Рис. 4. Функція належності рівня кваліфікації персоналу Рис. 5. Система нечітких правил Програмні системи захисту інформації 88 Проводимо навчання моделі (рис. 6). Навчання ANFIS відбувається за допомогою гібридного методу, який базу- ється на рекурсивному МНК та градієнт- ному спуску. Перевіряємо побудову моделі роз- рахунком b8 до кожної пари b1, b2 та порі- внюємо зі статистичними даними (сині кола на рис. 7). Спробуємо визначити функцію на- лежності b8 за побудованою моделлю. Генеруємо всі нечіткі виводи за побудо- ваною моделлю ANFIS та ділимо їх на три групи вже згідно з експертними правила- ми [11]. Виконуємо процедуру оцінювання функції належності за частотами. Будуємо гістограми (рис. 8). Рис. 6. Крива помилок Рис. 7. Графік порівняння моделей Програмні системи захисту інформації 89 Рис. 8. Оцінювання функцій належності Із гістограм видно, що функції на- лежності близькі до функцій Гаусса. Отже, оцінимо їх параметри: середнє та диспер- сію: середнє дисперсія 6.1631 2.1658 2.5439 1.2682 1.2130 1.4284 Результуючі функції належності для b8, отримані за моделлю ANFIS із викори- станням припущення щодо їх гауссовості, показано на рис. 9. Будуємо модель за допомогою апара- та нечіткої логіки експертних оцінок, а також функції належності b1, b2, b8 від- повідно до методу прямого рейтингу (рис. 10). Будуємо модель Mamdani за експер- тними нечіткими правилами (рис. 11). Порівняємо побудовані моделі, бу- дуючи графіки нечітких виводів b8 при фік- сації однієї змінної для всіх значень іншої (рис. 12). Рис. 9. Результуючі функції належності для b8 Програмні системи захисту інформації 90 Рис. 10. Функції належності b1, b2, b8 Рис. 11. Результуючі правила за моделлю Mamdani Рис. 12. Порівняння моделей за ANFIS та Mamdani Програмні системи захисту інформації 91 Порівняємо достовірність моделей. Отримаємо нечіткі виводи двох моделей за тестовими даними. Середньоквадратичні помилки (Mean Square Error): -ANFIS: 2.4681, -Expert: 5.0442. Відносні процентні помилки (Relative Percentage Error): -ANFIS: -4.0967 %, -Expert: -13.5927 %. Отже, експертне оцінювання пока- зує гірші результати, ніж самонавчальна модель за статистичними даними. Висновки 1. Існуючі методи управління ри- зиком інформаційної безпеки передбача- ють певну послідовність кроків, направ- лених на оцінювання системи, її вразли- востей, загроз та наслідків випадку з без- пеки. У роботі пропонується метод, який передбачає моделювання взаємодії та впливу вразливостей і загроз для стану ризику ресурсу. Це дозволить відстежи- ти, які саме вразливості та загрози пев- ною мірою впливають на стан безпеки ресурсу. 2. Існуючі методи управління ри- зиком інформаційної безпеки передбача- ють вимірювання рівня ризику за значен- ням вірогідності небезпечного випадку загрози та рівня наслідку небезпечного випадку. У роботі пропонується вимірювати рівень ризику для конкретного інформа- ційного ресурсу за сумарними рівнями ризику небезпечних подій з дерева подій, що відображає багатофакторність впливу вразливостей та загроз. 3. За допомогою апарату нечіткої логіки та підходів щодо побудови самона- вчальних моделей у роботі пропонується будувати адаптивні моделі впливу факто- рів вразливостей та загроз на кількість та якість небезпечних випадків. Література 1. Боровська О.М., Сініцин І.П., Родін Є.С. Порівняння національного та міжнародно- го підходів побудови системи захисту ін- формації в грід. Проблеми програмуван- ня. 2011. № 5. С. 99−109. 2. Information Security Handbook: A Guide for Managers. National Institute of Standards and Technology. https://nvlpubs.nist.gov/nistpubs/legacy/sp/nis tspecialpublication800-100.pdf. 3. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціоно- ваного доступу. НД ТЗІ 1.1-003-99. http://dstszi.kmu.gov.ua. 4. International standard BS ISO/IEC 27005:2008, 2008-06-15. 5. Загородній А.Г., Боровська О.М., Свісту- нов С.Я., Сініцин І.П., Родін Є.С. Ство- рення комплексної системи захисту інфор- маційних ресурсів у національній ґрід- інфраструктурі України. К.: Сталь, 2014. 373 с. 6. Боровська О.М., Свістунов С.Я., Сініцин І.П., Шилін В.П., Родін Є.С. Підходи до створення комплексної системи захисту інформації в Національній грід- інфраструктурі. К., 2010. 51 с. (Препр. / НАНУ. Ін-т теоретичної фізики ім. Боголю- бова М.М.). 7. Родін Є.С. Процесні підходи до моделю- вання у сфері управління ризиками інфор- маційної безпеки. Математичні машини і системи. 2012. № 4. С. 142−148. 8. Ming-Chang Lee. Information Security Risk Analysis Methods and Research Trends: AHP and Fuzzy Comprehensive Method. International Journal of Computer Science & Information Technology (IJCSIT). 2014. Vol. 6, N 1. 9. Integrated Site Security for Grids. https://isseg-training.web.cern.ch/ISSeG- training/ 10. Zadeh L.A. The concept of linguistic varia- ble and its application to approximate rea- soning. Information sciences. 1975. № 8. Р. 199−249. 11. Малышев Н.Г., Берштейн Л.С., Боженюк А.В. Нечеткие модели для экспертных сис- тем в САПР. М.: Энергоатомиздат, 1991. 136 с. https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-100.pdf https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-100.pdf http://dstszi.kmu.gov.ua/ http://www.isseg.eu/ https://isseg-training.web.cern.ch/ISSeG-training/ https://isseg-training.web.cern.ch/ISSeG-training/ Програмні системи захисту інформації 92 References 1. Borovska O., Sinitsyn I., and Rodin Y. (2011). Comparing national and worldwide approaches in developing grid information security system. Programming Problems. 5, P. 99–109. (In Ukrainian) 2. Information Security Handbook: A Guide for Managers. National Institute of Standards and Technology. https://nvlpubs.nist.gov/nistpubs/legacy/sp/nis tspecialpublication800-100.pdf. 3. Тerminology in the field of information security in computer systems from unauthorized access. ND TZI 1.1-003-99. http://dstszi.kmu.gov.ua. (In Ukrainian) 4. International standard BS ISO/IEC 27005:2008, 2008-06-15. 5. Zagorodnyy A., Borovska O., Svistunov S., Sinitsyn I., Rodin Y. (2014) Сreation of an integrated information resource protection system in the national grid infrastructure. K.: Stal, 373 p. (In Ukrainian) 6. Borovska O., Svistunov S., Sinitsyn I., Shi- lin V., Rodin Y. (2010). Approaches in developing information security system in the national grid infrastructure. Kyiv: Bogolyubov Institute for Theoretical Physics, 51 p. (In Ukrainian) 7. Rodin Y. (2012). Processing approaches in the field of information security risk management modeling. Mathematical Machines and Systems, 4, Р. 142–148. 8. Ming-Chang Lee. (2014). Information Security Risk Analysis Methods and Research Trends: AHP and Fuzzy Comprehensive Method. International Journal of Computer Science & Information Technology (IJCSIT). Vol. 6, N 1. 9. Integrated Site Security for Grids. − https://isseg-training.web.cern.ch/ISSeG- training/ 10. Zadeh L. (1975). The concept of linguistic variable and its application to approximate reasoning. Information sciences, 8, P. 199−249. 11. Malyshev N., Bershtein L., Bozhenyuk A. (1991). Fuzzy modeling for experts systems in SAPR. Moscow: Energoatomizdat, p. 136. (In Russian) Одержано 28.09.2018 Про автора: Родін Євген Сергійович, молодший науковий співробітник. Кількість наукових публікацій в українських виданнях – 6. http://orcid.org/0000-0003-2416-8572. Місце роботи автора: Інститут програмних систем НАН України. 03187, м. Київ-187, проспект Академіка Глушкова, 40. Тел.: (044) 526 5507. Моб. тел.: (067) 407 0962. E-mail: yevheniy.s.rodin@gmail.com https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-100.pdf https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-100.pdf http://dstszi.kmu.gov.ua/ http://www.isseg.eu/ https://isseg-training.web.cern.ch/ISSeG-training/ https://isseg-training.web.cern.ch/ISSeG-training/ javascript:void(0) mailto:yevheniy.s.rodin@gmail.com

Схожі ресурси