Інформаційна безпека

Размещено на http://www.allbest.ru/

1. Аналіз інформаційної безпеки об'єкту захисту

1.1 Дослідження структури об'єкту захисту

Об'єкт захисту курсової роботи - продуктовий магазин. В продуктовому магазині для контролю за всіма грошовими оборотами та за продажем продукції використовують ЕОМ.

Як показав досвід вітчизняних та закордонних користувачів, найбільш успішним є використання декількох ЕОМ. ЕОМ з'єднуються між собою системою зв'язку.

Загальна кількість працівників в магазині - 10 чоловік. Організаційна структура магазина складається в залежності від об'єму, складності роботи та характеру виконуваних робіт.

В склад магазину входять продавці, ремонтні групи (слюсар, механік), оператори.

Головний ЕОМ виконує найважливішу роботу, в ньому фіксуються всі процеси, які виконуються на всіх комп'ютерах магазину. Цей ЕОМ планує завантаження всіх потрібних даних в систему та збір інформації з інших комп'ютерів.

В відділ операторів входять оператори, які працюють на зовнішніх приладах. Ці оператори переносять інформації з рукописних документів на машинні носії. В їх роботу входить контроль за робою всього магазину.

На сьогоднішній день практично весь документообіг існує в подвійному вигляді: у фізичному та електронному. І якщо методи захисту фізичних документів вже устоялися і увійшли в загальновизнану практику, то з електронною документацією справа йде інакше. З одного боку інформаційна безпека та захист інформації, що зберігається в електронному вигляді може зажадати відчутних витрат, а з іншого, досі не вироблені єдині методи захисту таких даних.



1.2 Опис небезпечних чинників

1.2.1 Опис загроз

Розвиток і впровадження практично у всі сфери діяльності інформаційних технологій суттєво змінює структуру суспільства, а також трансформує міжнародні відносини. Одним з найважливіших напрямів цієї трансформації стає реалізація національних інтересів щодо забезпечення національної безпеки. Існує велика кількість загроз інформаційної безпеки.

Важливе місце серед загроз посідають загрози, пов'язані з персоналом, а саме: ненадійні працівники, крадіжка обладнання, ворожа розвідка, фінансове шахрайство, людський фактор. Уникнути подібних загроз допоможе база даних ненадійних працівників. Коли ви плануєте підбір працівників, вам потрібно ознайомитися із труднощами, які частенько з'являються, якщо в будинку ненадійний працівник і від подібного людини треба захистити не тільки інформаційну системи, але й інших людей. На жаль, між персоналом і господарями нерідко відбуваються ексцеси, часом і кримінального характеру.

Крадіжка комп'ютерного обладнання - найбільш очевидною формою комп'ютерних злочинів є крадіжка комп'ютерного обладнання та компонентів з місць їх виробництва, продажу або експлуатації. Злодії викрадають комп'ютери, принтери та інше обладнання, щоб нажитися на їх перепродажі. Вкрадені вироби зазвичай продаються на чорному ринку. Комп'ютерна техніка та мікросхеми мають високу вартість. Один лише мікропроцесор, інтегральна схема або група мікросхем, призначених для обробки інформації, можуть коштувати 100 доларів і більше. Мікропроцесори та інші комп'ютерні мікросхеми не мають заводських номерів, що ускладнює їх відстеження. Висока цінність таких мікросхем і трудність ідентифікації роблять їх мішенню злочинних організацій, які часто продають викрадені мікросхеми на ринках в лічені години після розкрадання. Значне місце серед загрози посідають загрози пов'язані з програмним і технічним забезпеченням. Серед них перехую найбільш небезпечні. Комп'ютерні злочини - будь-яка протиправна дія, при якій комп'ютер виступає або як об'єкт, проти якого скоюється злочин, або як інструмент, використовуваний для здійснення злочинних дій. До комп'ютерним злочинам відноситься широке коло дій, які можна розділити на чотири категорії: крадіжка комп'ютерного обладнання; комп'ютерне піратство (незаконна діяльність у сфері програмного забезпечення); несанкціонований доступ до комп'ютерної системи в цілях пошкодження або руйнування інформації; використання комп'ютера для здійснення протизаконних або шахрайських дій . Оскільки комп'ютерні системи отримують все більш широке поширення, а ділові кола у все більшій мірі покладаються на комп'ютери і часто зберігають на них конфіденційну інформацію, злочинці знаходять все більше шляхів використання комп'ютерів для вчинення протиправних дій.

Програмний вірус - це комп'ютерна програма, розрахована на те, щоб порушити нормальне функціонування комп'ютера. Зазвичай вірусна програма вбудовується в іншу зовні цілком нешкідливу програму, наприклад таку, як утиліта для обробки тексту, яку можна безкоштовно отримати з мережі інтернет або з якої-небудь іншої комп'ютерної системи з електронною дошкою оголошень. Коли така утиліта виповнюється на комп'ютері, він звільняє вірус, який виконує ті неправедні справи, на які його запрограмували. Деякі віруси швидше дріб'язкові або фривольні, ніж шкідливі. Вони можуть відтворити на екрані ексцентричне повідомлення і потім стерти його з пам'яті комп'ютера, щоб можна було простежити їх походження. Однак багато вірусів ушкоджують основні характеристики комп'ютера або дані. Відомі віруси, що копіюють себе в пам'ять комп'ютера, що викликає уповільнення роботи комп'ютера, аж до його граничної перевантаження вірусом і неможливості виконання своїх завдань. Вірус може також стерти важливі комп'ютерні файли або зруйнувати і навіть знищити дані на жорсткому диску. Більшість вірусних програм написано здатними програмістами в якості ефектних трюків, які демонструють високий рівень їх технічних знань. Щоб протидіяти таким вірусам, компанії розробляють програми виявлення вірусів, які розпізнають і видаляють віруси із заражених комп'ютерів, а також захищають комп'ютери від інфікування.

Комп'ютерне шахрайство - комп'ютери можуть бути використані і в якості інструментів для здійснення різних злочинів, починаючи від поширення протизаконних матеріалів і закінчуючи сприянням бізнесу, заснованому на шахрайстві.

Апаратні збої - за статистикою жорсткі диски є найменш надійними пристроями в комп'ютері тому в них присутні механічна, програмна і електронна частини. Випадки, при яких відновлення файлів фізично неможливо провести:

- коли інформація повністю переписана поверху іншою інформацією;

- коли магнітні пластини диска фізично пошкоджені (погнуті або подряпані головками);

- коли пластини розмагнічені за допомогою системи знищення інформації.

Після сильного нагріву (наприклад, при пожежі), коли температура досягає точки Кюрі і впорядкованість магнітних доменів руйнується через сильні теплових коливань атомів усередині ферромагнетика.

Витік інформації по технічним каналам - будь-який електронний пристрій під впливом високочастотного електромагнітного поля стає як би перевипромінювачем, вторинним джерелом випромінювання високочастотних коливань. Такий сигнал прийнято називати інтермодуляційним випромінюванням, а в практиці фахівців побутує поняття "високочастотне нав'язування". Інтермодуляційні випромінювання - це побічна радіовипромінювання, що виникає в результаті впливу на нелінійний елемент високочастотного електромагнітного поля та електромагнітного поля електронного пристрою. Інтермодуляційне випромінювання в подальшому може бути перевипромінюване на гармоніках 2 і 3 порядку або наведено на дроти і лінії зв'язку. Але в будь-якому випадку воно здатне вийти за межі контрольованої зони у вигляді електромагнітного випромінювання.

Комп'ютерний вірус - комп'ютерна програма, яка має здатність до прихованого саморозмноження. Одночасно зі створенням власних копій віруси можуть завдавати шкоди: знищувати, пошкоджувати, викрадати дані, знижувати або й зовсім унеможливлювати подальшу працездатність операційної системи комп'ютера. Розрізняють файлові, завантажувальні та макро-віруси. Можливі також комбінації цих типів. Нині відомі десятки тисяч комп'ютерних вірусів, які поширюються через мережу інтернет по всьому світу.

«Троянські» віруси - програми, що записують всі натискання клавіш на терміналі або мишці, здатні записувати screenshot'и і передавати ці дані віддаленого господареві. Якщо на ЕОМ виявився встановленим загальновідомий троянський кінь, машина стає вразливою. Саме з цим пов'язане сканування хакерами номерів портів відомих троянських коней. Багато сучасні віруси і черв'яки можуть завантажувати в заражену ЕОМ троянського коня (або програму spyware), метою якого може бути не тільки отримання паролів, але також номера кредитної карти і PIN-коду.

Exploit - програми, в яких містяться дані або виконуваний код, що дозволяють використати одну або декілька уразливостей в програмному забезпеченні на локальному або виділеному комп'ютері зі свідомо шкідливою метою. Зазвичай експлойти використовуються зловмисниками для проникнення на комп'ютер- жертву з метою подальшого впровадження туди шкідливого коду. Також експлойти активно використовують програми типу Net -Worm для проникнення на комп'ютер-жертву без участі користувача.

Нелегальні копії ПЗ - найбільш типовими і поширеними видами нелегального ПЗ є копії програм, записані на піратських компакт-дисках, представлені без згоди правовласника, відтворювані кінцевими користувачами без укладання з правовласником ліцензійного договору (угоди). Тільки набуваючи легальну копію ПЗ, користувач отримує гарантовано повний і цілісний продукт, укомплектований необхідною документацією. У нелегально поширюваних копіях ПЗ може:

- бракувати тих чи інших ключових компонентів і документації;

- вони можуть містити дефекти або бути непридатні до використання через браку у виробництві;

- для таких копій високий ризик зараження вірусами, які потенційно;

- здатні пошкодити жорсткий диск комп'ютерної системи і записану на ньому інформацію.

1.2.2 Опис вразливостей

Вразливість - недолік в комп'ютерній системі, використання якого, призводити до порушення цілісності системи та некоректній роботі. Уразливість з'являються в результаті помилок програмування, недоліків, які допускалися при проектуванні системи, ненадійних паролів, шкідливих програм, скриптових і SQL-ін'єкцій. Уразливість дозволяє атакуючому порушити коректну роботу додатка, наприклад, за допомогою впровадження даних незапланованим способом; виконання команди на системі, на якій виконується даний додаток; або, використовуючи бездіяльність, що дозволяє отримати доступ до пам'яті для виконання коду на рівні привілеїв програми. Запис даних в буфер, без перевірки його кордонів, призводить до переповнення буферу і як результат відбувається виконання довільного коду. Це також є уразливістю. В результаті недостатньої перевірки даних, що вводяться користувачем, виникає вразливість.

В даний час широкий розвиток отримали такі загрози інформаційної безпеки, такі як розкрадання баз даних, зростання інсайдерських погроз, застосування інформаційного впливу на різні інформаційні системи, зріс збиток завдається зловмисником. Серед внутрішніх загроз безпеці інформації виділяють порушення конфіденційності інформації, спотворення, втрата інформації, збої в роботі обладнання та інформаційних систем, крадіжка устаткування. І знову ж таки, спираючись на статистику, найбільше поширення мають порушення конфіденційності та брак механізмів моніторингу.

Так чи інакше, витік інформації відбувається по каналах витоку. Більшу частину в даному аспекті являє, так званий «людський фактор». Тобто співробітники організації, що не дивно, тому що хто, як не вони мають достатньо повноважень і можливостей для заволодіння інформацією. Але зовсім не обов'язково викрадати інформацію з метою, наприклад, подальшого продажу. Якщо співробітникові захочеться зіпсувати репутацію компанії, або завдати якої-небудь шкоди в силу якихось обставин (пониження за посадою, скорочення, розбіжності з керівництвом і т.д.), у повніше достатньо спотворити інформацію представляє цінність для організації, в наслідок чого, дана інформація може втратити свою актуальність і цінність, або ж виявиться просто недостовірною, не справжньої, що може обернутися, наприклад, обдуреними клієнтами, партнерами. Серед вразливостей, які пов'язані з персоналом виділяють: недостатнє навчання безпеці, неправильне використання програмного забезпечення і обладнання, недоліки розуміння безпеки, недоліки політики для правильного використання носіїв. На щастя, таких співробітників не так багато. Якщо ж говорити про мотиви, що спонукали людину, співробітника організації до таких кроків, перше місце займає крадіжка грошей з електронних рахунків (зміна програм з нарахування заробітної плати та зарахуванню її на індивідуальні рахунки, створення файлів з вигаданими вкладниками, вилучення у сховищах кредитно-фінансових установ банківських карт і PIN кодів до них, фальсифікацію в базі даних фірм інформації про клієнтів). Але й не обходиться без фальсифікації інформації, або пошкодження програмного забезпечення, вивід з роботи сайтів та інше. Найбільш небезпечним є ненавмисні дії персоналу. Прикладом може бути, вже буденна річ для сучасної людини - «флешка», або USB накопичувач на основі Flash-memory. Нерідко, співробітники організації використовують «флешки» в роботі. Або з найкращих спонукань, людина, може взяти деяку інформацію додому, для того щоб попрацювати над нею (наприклад, підготовка якої або звітності чи інших документів). В даному випадку великий відсоток витоку інформації через втрату самого носія - «флешки», в силу її габаритних характеристик.

Найкращі умови для несанкціонованого проникнення являють системи керування вмістом. Хакери постійно шукають вразливості в CMS, і знаходять їх в великій кількості.

Неавторизована зміна даних - до цього типу відносяться вразливості, які дозволяють атакуючому справити зміна даних, не маючи необхідних привілеїв доступу, наприклад, використовуючи SQL-ін'єкцію в додатку.

Недостатній захист на транспортному рівні - до цього типу впливу ставляться уразливості, які дозволяють зловмиснику обійти певні механізми безпеки додатка.

Передача паролів у відкритому вигляді - до цього типу відносяться вразливості, які дозволяють зловмиснику отримати системні дані (версію ОС, запущені служби, місцерозташування файлів на системі).

Витік даних - даний тип впливу використовується для визначення вразливостей, які дозволяють атакуючому отримати доступ до документів, файлів, облікових даних користувачів або іншої потенційно важливої інформації.

Недостатнє обслуговування носіїв даних - до цього типу впливу ставляться вразливості, які дозволяють зловмиснику порушити коректну роботу і вплинути на доступність додатка або ОС.



2. Побудова оптимальної системи для задач оцінки рівня інформаційної безпеки

2.1 Ранжування загроз

Аналіз вхідних даних проводиться з використанням логіко-ймовірнісної моделі, реалізованої у вигляді дерева ризику-відмов. Однією із суттєвих переваг даного методу є те, що існує можливість оцінювання як у чіткому (чисельному) вигляді, так і у вигляді лінгвістичних оцінок, що в більшості випадків притаманно експертним оцінкам. Результатом розв'язання задачі аналізу є ймовірності щодо виникнення тієї чи іншої події. Ймовірність виникнення події є, безумовно, важливою оцінкою і в подальшому, дозволить розрахувати відповідні ризики, а ранг події визначає її значущість у системі позиції рівня захищеності.

Ймовірності появи загроз, згідно з варіантом, наведені в таблиці 2.1.

Таблиця 2.1 - Вхідні дані для моделювання загроз:

Назва загрози	Ймовірність
Загрози, пов'язані з персоналом
Неякісна політика інформаційної безпеки	0,4
Ненадійні працівники	0,5
Крадіжка обладнання	0,05
Ворожа розвідка	0,25
Фінансове шахрайство	0,03
Людський фактор	0,05
Злодійство та пошкодження носіїв інформації	0,15
Нестача ресурсів захисту	0,1
Несумлінне виконання обв`язків	0,04
Електронне шпигунство	0,01
Помилки персоналу	0,45
Загрози, пов'язані з технічними засобами
Апаратні збої	0,03
Віддалене проникнення	0,02
Розпізнавання інформації	0,04
Витік інформації по технічним каналам	0,1
Загрози, пов'язані з програмним забезпеченням
Комп'ютерні віруси	0,04
«Троянські» віруси	0,35
Нелегальні копії ПЗ	0,07
Зовнішні загрози	0,4
Exploit	0,03

Для аналізу даних табл. 2.1 розроблено модель дерева ризику-відмов для загроз. Загрози поділяються на 3 групи. На вершині дерева знаходиться головна подія. За умови незалежності дерева розрахунок відбувається знизу дерева до верху.

Загрози пов'язані з програмним забезпеченням

Розрахунок внутрішніх загроз:

= 1 - (1 - 0,35) = 0,35 (1)

Розрахунок можливості мережевої атаки:

= 1 - (( 1 - 0,35) (2)

Розрахунок мережевої атаки:

(3)

Розрахунок активних атак:



Розрахунок загроз пов'язаних з програмним забезпеченням:

(4)

Розрахунок загроз, пов'язаних з технічними засобами:

Розрахунок внутрішнього проникнення:

= 1 - ( 1- 0,1) = 0,1 (5)

Розрахунок проникнення:

= 0,1 0,02 = 0,002 (6)

Розрахунок втручання в інформацію:

= 1 - (1 - 0,04) = 0,04 (7)

Розрахунок загроз, пов'язаних з технічними засобами:

= 1 - ( 1- 0,002) . (8)

Загрози пов'язані з персоналом. Розрахунок намірів конкурентів:

= 1- ( 1 - 0,25) (9)



Розрахунок недоліків в системі об'єкта:

= 1 - ( 1 - 0,4) (10)

Розрахунок загроз, які виникли з втручанням людини:

1 - (( 1 - 0,45) - (1 - 0,5) - (1- 0,5) - (1 - 0,04) = 0,868 (11)

Розрахунок загроз, які пов'язані з персоналом:

(12)

=

Визначення ймовірності появи головної події:

(13)

Р

Проведу розрахунки для визначення ймовірності головної події за умови вилучення і-тої події, по черзі для кожної з 20 загроз. Також визначу різницю ймовірностей появи головної події та її ймовірності у випадку вилучення і-тої події:

1) Комп'ютерні віруси: ,

( 1 - 0,61)

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,714 = 0,246.

2) Нелегальні копії ПЗ:

Р_ПЗ = ((1-0,0244) (1-0,03)) = 0,05;

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,722= 0,74.

3) "Троянські" віруси:

Р_ПЗ = 1- ((1-0,016) (1-0,07) (1-0,03)) = 0,11;

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,27= 0,69.

4) Зовнішні загрози:

Р_ПЗ = 1-((1-0,14) (1-0,071) (1-0,03)) = 0,24;

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,58= 0,38.

5) Exploit:

Р_ПЗ = 1-((1-0,0244) (1-0,07)) = 0,1;

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,737= 0,223.

6) Помилки персоналу:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,997= 0,037.

7) Ненадійні працівники:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,965= 0,005.

8) Людський фактор:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,965= 0,005.

9) Несумлінне виконання обов'язків:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,966= 0,004.

10) Неякісна політика безпеки:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,65= 0,31.

11) Нестача ресурсів захисту:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,964= 0,004.

12) Ворожа розвідка:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,964= 0,004.

13) Електронне шпигунство:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,9635= 0,0035.

14) Неякісна політика безпеки:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,9638= 0,0038.

15) Крадіжка обладнання:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,96359= 0,00354.

16) Фінансове шахрайство:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної:

;

ДР_і = 0,96 - 0,96354 = 0,00354.

17) Витік інформації по технічним каналам:

Р_тз.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,998= 0,038.

18) Віддалене проникнення:

Р_тз.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,994= 0,034.

19) Розпізнавання інформації:

Р_тз.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,999= 0,039.

20) Апаратні збої:

Р_тз.

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,96 - 0,998= 0,038.

Провівши розрахунки ймовірності появи головної події і ймовірності появи головної події за умови вилучення і-тої події виконала ранжування різниць і в результаті отримала таблицю 2.2.



Таблиця 2.2 - Розрахунки рангів загроз:

Назва події	ДРі	Ранг
Нелегальні копії ПЗ	0,74	1
«Троянські» віруси	0,69	2
Зовнішні загрози	0,38	3
Неякісна політика інформаційної безпеки	0,31	4
Комп'ютерні віруси	0,246	5
Exploit	0,223	6
Розпізнавання інформації	0,039	7
Апаратні збої	0,38	8
Витік інформації по технічним каналам	0,38	8
Віддалене проникнення	0,034	9
Ненадійні працівники	0,005	10
Людський фактор	0,005	10
Ворожа розвідка	0,004	11
Нестача ресурсів захисту	0,004	11
Несумлінне виконання обов'язків	0,004	11
Злодійство та пошкодження носіїв інформації	0,038	12
Помилки персоналу	0,0037	13
Електронне шпигунство	0,0035	14
Крадіжка обладнання	0,0035	14
Фінансове шахрайство	0,0035	14

У табл. наведені загрози у порядку зростання рангу. Ранг визначається таким чином, що максимальна різниця відповідає найвищому рангу:

max (ДP_i) > max (Rng_i), (14).

Де Rng_i - ранг і-тої події.

ДP_i - ймовірність події, ранг якої розраховується.

2.3 Ранжування вразливостей

Ранжування вразливостей проводиться аналогічно до ранжування загроз. Ймовірності появи загроз, згідно з варіантом, наведені в таблиці 2.3. Для аналізу даних табл. 2.3 розроблено модель дерева ризику-відмов для вразливостей. Вразливості поділяються на 3 групи. На вершині дерева знаходиться головна подія. За умови незалежності дерева розрахунок відбувається знизу дерева до верху.

Таблиця 2.3 - Вхідні дані для моделювання вразливостей:

Назва вразливості	Ймовірності
Вразливості, пов'язані з апаратними засобами
Незахищене зберігання носіїв та документів	0,05
Недостатнє обслуговування носіїв даних	0,01
Вразливості, пов'язані з ПЗ
Відсутність чи недостатнє програмне тестування	0,03
Передача чи багатократне використання носіїв даних без належного видалення	0,02
Неправильний розподіл прав доступу	0,02
Недоліки в документації	0,3
Некоректні дані	0,2
Вразливості, пов'язані з персоналом
Недостатнє навчання по безпеці	0,2
Неправильне використання ПЗ і обладнання	0,02
Недоліки розуміння безпеки	0,5
Брак механізмів моніторингу	0,01
Неконтрольована робота зовнішнім штатом чи прибиральним персоналом	0,05
Недоліки політики для правильного використання носіїв передачі даних і обміну повідомленнями	0,3
Порушення конфіденційності інформації	0,2
Вразливості, пов'язані з мережею
Передача паролів у відкритому вигляді	0,04
Витік інформації	0,1
Недостатній захист на транспортному рівні	0,1
Неавторизована заміна даних	0,05
Система керування вмістом (CMS)	0,02
Неадекватний менеджмент мережі	0,2

Вразливості пов'язані з апаратними забезпеченням

(15)

Розрахунок вразливостей, пов'язаних з програмним забезпеченням:



Р_ПЗ (16)

Р_ПЗ

Розрахунок вразливостей, які пов'язані з персоналом:

=

Р_перс. (17)

Р_перс.

Розрахунок вразливостей, які пов'язані з мережею:

Розрахунок мережної втрати інформації:

(18)

(19)

(20)

Визначення ймовірності появи головної події визначається аналогічно,я к і у випадку з загрозами (13): Р . Далі проведу визначення ймовірності головної події за умови вилучення і-тої події, по черзі для кожної з 20 вразливостей. Також визначу різницю ймовірностей появи головної події та її ймовірності у випадку вилучення і-тої події:

1) Незахищене зберігання носіїв та документів:

Р_ПЗ

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,849 - 0,841= 0,008.

2) Недостатнє обслуговування носіїв даних:

Р_ПЗ

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,849 - 0,847= 0,002.

3) Неправильний розподіл прав доступу:

Р_ПЗ

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,849 - 0,926= 0,077.

4) Недоліки в документації:

Р_ПЗ

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,849 - 0,8827= 0,0337.

5) Некоректні дані:

Р_ПЗ

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,849 - 0,89= 0,041.

6) Відсутнє чи недостатнє програмне тестування:

Р_ПЗ

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,849 - 0,848= 0,001.

7) Передача чи багатократне використання носіїв даних:

Р_ПЗ

Ймовірність появи головної події, за умови вилучення даної:

.

ДР_і = 0,849 - 0,= 0,0007.

8) Неконтрольована робота з зовнішнім штатом і прибиральним персоналом:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,023.

9) Недоліки розуміння безпеки:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,093.

10) Неправильне використання ПЗ і обладнання:

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,027.

11) Недостатнє навчання безпеці:

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,001.

12) Порушення конфіденційності інформації:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,0001.

13) Недоліки політики для правильного використання носіїв передачі даних і обміну повідомленнями:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,011.

14) Брак механізмів моніторингу:

Р_перс.

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,029.

15) Витік інформації:

Р_мереж.

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,0025.

16) Передача паролів у відкритому вигляді:

Р_мереж.

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,012.

17) Системи керуванням вмістом:

Р_мереж.

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,004.

18) Неавторизована зміна даних:

Р_мереж.

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,001.

19) Неадекватний менеджмент мережі:

Р_мереж.

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,29.

20) Недостатній захист на транспортному рівні:

Р_мереж.

Ймовірність появи головної події, за умови вилучення даної події:

.

ДР_і = 0,849 - 0,= 0,009.

У табл. 2.4 наведені вразливості у порядку зростання рангу. Ранг визначається таким чином, що максимальна різниця відповідає найвищому рангу, як і у випадку з загрозами відповідно до формули.

Таблиця 2.4 - Розрахунки рангів вразливостей:

Назва події	ДРі	Ранг
Неадекватний менеджмент мережі	0,29	1
Недоліки розуміння безпеки	0,093	2
Неправильний розподіл прав доступу	0,077	3
Некоректні дані	0,041	4
Недоліки в документації	0,0337	5
Неавторизована зміна даних	0,4	6
Брак механізмів моніторингу	0,029	6
Недоліки в документації	0,0337	5
Неавторизована зміна даних	0,4	6
Брак механізмів моніторингу	0,029	6
Недоліки в документації	0,0337	5
Неавторизована зміна даних	0,4	6
Брак механізмів моніторингу	0,029	6
Неправильне використання ПЗ і обладнання	0,027	7
Неконтрольована робота зовнішнім штатом чи прибиральним персоналом	0,023	8
Недоліки для правильного використання носіїв передачі і обміну повідомленнями	0,012	9
Передача паролів у відкритому вигляді	0,012	9
Недостатній захист на транспортному рівні	0,009	10
Незахищене зберігання носіїв та документів	0,008	11
Система керування вмістом (CMS)	0,004	12
Недостатнє обслуговування носіїв даних	0,002	13
Витік інформації	0,002	13
Передача чи багатократне використання носіїв даних без належного видалення	0,001	14
Недостатнє навчання по безпеці	0,001	14
Відсутність чи недостатнє програмне тестування	0,001	14
Неавторизована заміна даних	0,001	14



3. Побудова нечіткої експертної системи для задач оцінки рівня інформаційної безпеки

Побудова динамічної моделі складної системи часто є єдиним доступним способом отримання інформації про її поведінку. Методи моделювання динамічних систем залежать від ступеня інформативності поведінки системи та її складності. Деякі системи допускають представлення у вигляді диференціальних рівнянь, що описують які-небудь закони збереження, діючі в них. У цьому випадку основним завданням моделювання є підбір коефіцієнтів, що входять в рівняння, які забезпечують адекватність математичної моделі. При дослідженні складних систем, особливо економічних, дуже часто не представляється можливим отримати достовірну математичну модель через великої невизначеності взаємодій елементів системи. Тому в більшості випадків доводиться обмежуватися деякими статистичним аналізом з використанням апарату математичної статистики. Розвиваються останнім часом методи видобування знань з даних дозволяють зробити ще один крок у напрямку моделювання складних систем. Для опису подібних систем можна застосувати методи нечіткої логіки. Для цього представимо динамічну систему у вигляді нечіткої мережі, що складається з елементів, з'єднаних між собою зв'язками. Серед елементів системи виділяються вхідні і вихідні змінні, між елементами можуть бути присутніми зворотні зв'язки. Методи нечіткого управління можуть бути застосовані в різних практичних додатках, в яких вирішується завдання досягнення мети.

Нечіткі моделі, побудовані за принципом «сірого ящика», по суті, являють собою моделі реальних систем з певною безліччю вхідних і вихідних змінних, для формалізації яких використовується лінгвістичний підхід, а залежність «виходу» від «входів» описується на якісному рівні у формі умовних висловлювань-продукційних правил. Такі моделі також називаються нечіткими системами (НС), а найпростіші з них реалізовані у пакетах MatLab і Fuzzy Tech. НС є універсальними аппроксіматорамі і реалізуються як експертні системи (ЕС), а до їх основним компонентів відносяться база знань і механізм нечіткого логічного висновку. НС з прямим логічним висновком дозволяє за заданим значенням вхідних змінних визначити значення вихідної змінної, а система із зворотним виведенням вирішує зворотну задачу визначення значень вхідних змінних за заданим значенням вихідний. Відомо, що точність апроксимації на основі НС з прямим логічним висновком залежить від вибору функціонального представлення нечітких логічних зв'язок, операцій агрегування і дефазифікації.

Слід відмітити, що моделювання складної системи у формі НС не вимагає знання структури системи. Однак в задачах, пов'язаних з оцінкою якості функціонування системи, що складається з ряду підсистем, або в задачі оцінки ступеня досягнень цілей, які взаємодіють, наприклад, на основі дерева цілей, нечітка модель повинна враховувати структуру системи. У цьому випадку інструментом моделювання є апарат нечіткої логіки та, зокрема, одне з його основних понять - функція нечітких змінних. Однак існуючі алгоритми для «роботи» з такими функціями не орієнтовані для практичного використання.

Для оцінки рівня експертної системи потрібно провести моделювання, для цього оберемо програму Fuzzy Tech. Ця програмна оболонка призначена для налаштування експертних систем на базі нечіткої логіки. Програма призначена для проектування та налаштування експертних систем на базі нечіткої логіки. Завдання програми полягає в зборі, зберіганні та використанні знань, отриманих від експертів, з метою вирішення прикладних задач ідентифікації і прийняття рішень. Fuzzy Tech складається з двох основних частин: програмного середовища, що дозволяє створювати експертні системи в обраній предметній області, і власне експертної системи, яка є кінцевим продуктом.

Співвідношення рангів загроз з термами наведене в табл. 3.1



Таблиця 3.1 - Співвідношення термів загроз з рангами:

Ранг загрози	Відповідний терм
1	дуже велика
2	дуже велика
3	велика
4	велика
5	помірно велика
6	помірно велика
7	середня
8	середня
9	помірно мала
10	помірно мала
11	мала
12	мала
13	дуже мала
14	дуже мала

Співвідношення рангів вразливостей з термами наведене в табл. 3.2

Таблиця 3.2 - Співвідношення термів вразливостей з рангами:

Ранг загрози	Відповідний терм
1	дуже висока
2	дуже висока
3	висока
4	висока
5	помірно висока
6	помірно висока
7	середня
8	середня
9	помірно низька
10	помірно низька
11	низька
12	низька
13	дуже низька
14	дуже низька

Для проведення моделювання задаю три вхідні змінні: загрози, вразливості, вартість і відповідні їм терми.

Вихідною величиною задається коефіцієнт стійкості системи, (див. рис. 3.1, рис. 3.2)

Рисунок 3.1 - Терми загроз для моделювання:

Рисунок 3.2 - Терми вразливостей для моделювання:

Рисунок 3.3 - Терми вартості для моделювання:



Вихідною величиною задається коефіцієнт стійкості системи, рис. 3.4. В залежності від коефіцієнта стійкість системи визначається такими термами:

Дуже стійка; помірно стійка; стійка; середньо стійка; нестійка; помірно нестійка; нестійка; дуже нестійка.

Рисунок 3.4 - Терми коефіцієнта стійкості системи для моделювання:

Створюю один блок правил, який містить 20 правил, рис. 3.5.

Рисунок 3.5 - Блок з 20 правил:



Для кращого розуміння роботи моделі вона візуалізується, її зображення в 3D, представлено на рис. 3.6.

Рисунок 3.6 - Досліджувана модель, представлена в 3D:



4. Вибір політики інформаційної безпеки

Основними цілями політики інформаційної безпеки є:

- забезпечення збереження, цілісності інформаційних ресурсів та надання доступу до них в суворій відповідності до встановлених пріоритетів і правилами розмежування доступу;

- забезпечення захисту підсистем, задач і технологічних процесів, від загроз інформаційній безпеці, описаних вище в цьому документі;

- забезпечення захисту керуючої інформації від загроз інформаційній безпеці, описаних вище в цьому документі;

- забезпечення захисту каналів зв'язку від загроз з боку каналів зв'язку.

Основою створення підсистеми інформаційної безпеки (ПІБ) є політика інформаційної безпеки, під якою розуміється набір правил і практичних рекомендацій, на яких будується забезпечення інформаційної безпеки, управління і розподіл засобів захисту інформації на об'єктах інформатизації.

Політика інформаційної безпеки повинна представляти сукупність вимог, правил, положень та прийнятих рішень, що визначають:

- порядок доступу до інформаційних ресурсів;

- необхідний рівень (клас і категорію) захищеності об'єктів інформатизації;

- організацію захисту інформації в цілому;

- додаткові вимоги щодо захисту окремих компонент;

- основні напрямки і способи захисту інформації.

Забезпечення комплексної безпеки є необхідною умовою функціонування будь-якого об'єкту. Ця "комплексність" полягає, перш за все, в продуманості, збалансованості захисту, розробці чітких організаційно-технічних заходів та забезпечення контролю над їх виконанням.

Важливим елементом політики є розподіл відповідальності. Політика не може передбачити все, однак, вона повинна для кожного виду проблем знайти відповідального. Зазвичай виділяються кілька рівнів відповідальності. На першому рівні кожен користувач зобов'язаний працювати у відповідності з політикою безпеки (захищати свій рахунок), підкорятися розпорядженням осіб, відповідальних за окремі аспекти безпеки, ставити до відома керівництво про всі підозрілі ситуаціях. Системні адміністратори відповідають за захист відповідних інформаційно-обчислювальних підсистем. Адміністратори мереж повинні забезпечувати реалізацію організаційно-технічних заходів, необхідних для проведення в життя політики безпеки. Керівники підрозділів відповідають за доведення і контроль положень політики безпеки. З практичної точки зору, політику безпеки доцільно розділити на кілька рівнів. Як правило, виділяють два-три рівня.

Верхній рівень носить загальний характер і визначає політику організації в цілому. Тут основна увага приділяється: порядком створення та перегляду політики безпеки; цілям, які переслідуються організацією в області інформаційної безпеки; питань виділення та розподілу ресурсів; принципам технічної політики в області вибору методів і засобів захисту інформації; координуванню заходів безпеки; стратегічного планування та контролю; зовнішнім взаємодіям та інших питань, які мають загально організаційний характер. На вказаному рівні формулюються головні цілі в області інформаційної безпеки (визначаються сферою діяльності підприємства): забезпечення конфіденційності, цілісності та / або доступності.

Середній рівень політики безпеки виділяють в разі структурної складності організації або при необхідності позначити специфічні підсистеми організації. Це стосується ставлення до перспективних, ще не достатньо апробованими технологіям. Наприклад, використання нових сервісів Internet, організація зв'язку і обробка інформації на домашніх і портативних комп'ютерах, ступінь дотримання положень комп'ютерного права та ін. Крім того, на середньому рівні політики безпеки можуть бути виділені особливо значущі контури організації, наприклад, обробка секретної або критично важливої інформації. За розробку і реалізацію політики безпеки верхнього і середнього рівнів відповідають керівник служби безпеки, адміністратори безпеки, адміністратор корпоративної мережі.

Нижній рівень політики безпеки відноситься до конкретних служб або підрозділів організації та деталізує верхні рівні політики безпеки. Даний рівень необхідний, коли питання безпеки конкретних підсистем потребують вирішення на управлінському, а не тільки на технічному рівні. Зрозуміло, що на даному рівні визначаються конкретні цілі, приватні критерії та показники інформаційної безпеки, визначаються права конкретних груп користувачів, формулюються відповідні умови доступу до інформації і т. п. Тут з конкретних цілей виводяться (зазвичай формальні) правила безпеки, що описують, хто, що і за яких умов може робити або не може. Більш детальні і формальні правила спростять впровадження системи і настройку засобів ПБІ.

В залежності від коефіцієнта стійкості системи об'єкта потрібно запроваджувати різну політику інформаційної безпеки відповідно до ГОСТ ІСО/МЕК 27001-2006.

Якщо система «дуже стійка» потрібно продовжувати використовувати ту політику інформаційної безпеки, яка вже використовується, але можна й додати декілька пунктів:

- Перевірка достовірності вхідних даних - вхідні дані для додатків повинні бути піддані процедурі підтвердження з метою встановлення їх достовірності;

- Максимальне використання існуючих засобів захисту.

Коли коефіцієнт захищеності достатньо високий і система «стійка» потрібно внести такі обов'язки:

- Координація задач забезпечення інформаційної безпеки - дії по забезпеченню інформаційної безпеки повинні координуватися представниками різних підрозділів організації, які мають відповідні функції і обов'язки;

- Володіння активами - всі активи, пов'язані з засобами обробки інформації повинні бути назначені в керування представниками організації;

- Безпечність системної документації - системна документація повинна бути захищена від несанкціонованого доступу.

Для «помірно стійкої» системи слід застосувати:

- Обов'язки керівництва по забезпеченню інформаційної безпеки - керівництво організації повинно постійно підтримувати заданий рівень інформаційної безпеки, шляхом введення системи менеджменту, а також шляхом розподілення обов'язків і відповідальності персоналу за її забезпечення;

- Політика контролю доступу - політика контролю доступу повинна бути встановлена і задокументована з врахуванням потреб бізнесу і безпеки інформації.;

- Електронна торгівля - інформація, яка використовується в електронній торгівлі, яка проходить по загальнодоступним мережах, повинна бути захищена від шахрайства, спростовування договорів, а також від несанкціонованого розголошення і модифікації;

- Контроль маршрутизації в мережі - повинні бути внесені засоби керування і контролю маршрутизації з метою виключити порушення правил контролю доступу для бізнес-додатків, які викликані з'єднаннями і потоками інформації;

- Інвентаризація активів - опис всіх важливих активів організації повинна бути кладена і актуалізована;

- Перевірка при прийнятті на роботу - перевірка всіх кандидатів на постійну роботу, підрядчиків і користувачів сторонньої організації повинна бути проведена в відповідності з законом, інструкціями і правилами етики, з врахуванням потреб бізнесу, характеру інформації, до якої буде їх допущено, і пропонованих ризиків.

Для «стійкої» системи потрібно використати наступні цілі і міри керування:

- Взаємодія з компонентами організації - керівництво організації повинно підтримати взаємодію з відповідними компетентними органами;

- Виніс майна за територію організації - обладнання, інформацію чи програмне забезпечення дозволяється виносити з приміщення організації тільки на основі відповідного рішення;

- Використання паролів - користувачі повинні дотримуватись правил безпеки при виборі і використанні паролів;

- Безпечність мережевих сервісів - міри забезпечення безпеки, рівні обслуговування для всіх мережних послуг і вимоги керування повинні бути визначені і включені в будь-який договір про мережеві услуги, незалежно від того, надаються ці услуги своїми силами чи сторонньою організацією;

- Засоби контролю мережі - мережі повинні бути адекватно керовані і контрольовані в намірах захисту від загроз і підтримання безпечності системи і додатків, які використовуються мережею, включаючи інформацію, яка передається по мережах;

- Маркування і обробка інформації - в відповідності з прийнятою в організації системи класифікації повинна бути розроблена і реалізована сукупність процедур маркування і обробки інформації.

«Середньостійка» система потребує наступних мір захисту:

- Процедура отримання доступу на використання засобів обробки інформації - керівництво повинно визначити і ввести процедури отримання дозволу на використання нових засобів обробки інформації;

- Периметр зони, яка охороняються - для захисту зон, де тримається інформація і засоби обробки інформації, повинні бути використані периметри зон, які охороняються;

- Контроль доступу в зону, яка охороняється - зона, яка охороняється повинна бути захищена відповідними засобами контролю входу, які дають впевненість в тому, що лише авторизований персонал може отримати доступ;

- Умови трудового договору - співробітники, підрядчики і користувача сторонніх організацій повинні узгодити і підписати умови свого трудового договору, в якому встановлені їх відповідальність і відповідальність організації відносно інформаційної безпеки;

- Дисциплінарна практика - до співробітників, які скоїли порушення вимог безпеки, повинна бути застосована дисциплінарна практика, встановлена в організації;

- Анулювання прав доступу - права доступу до інформації і засобам обробки інформації співробітників, підрядчиків і користувачів сторонніх організацій повинні бути анульовані чи уточнені по закінченню дії трудового договору (звільненні);

- Основні принципи класифікації - інформація повинна бути класифікована виходячи з правових вимог, її конфіденційності,а також цінності і критичності для організації.

Для «нестійкої» системи необхідне наступне:

- Приймання систем - повинні бути визначені категорії прийнятих нових і модернізованих інформаційних систем, нових версій програмного забезпечення, а також проведено тестування систем в процесі їх розробки і прийому;

- Резервування інформації - резервні копії інформації і програмного забезпечення повинні створюватись на регулярній основі в відповідності з прийнятими термінами резервування;

- Засоби контролю мережі - мережі повинні бути адекватно керовані і контрольовані з метою захисту від загроз і підтримку безпеки мереж системи і додатків, які використовують мережу, враховуючи інформацію, яка передається по мережі;

- Утилізація носіїв інформації - носії інформації, коли в них більше немає необхідності, повинні бути надійно і безпечно утилізовані за допомогою форматуючих процедур;

- Процедури обробки інформації - для забезпечення захисту інформації від несанкціонованого відкриття чи неправильного використання необхідно встановити процедури обробки і зберігання інформації;

- Безпечність системної документації - системна документація повинна бути захищена від несанкціонованого доступу;

- Моніторинг використаних засобів обробки інформації - повинні бути встановлені процедури, які дозволяють вести моніторинг і постійний аналіз результатів моніторинг, використовуючи засоби обробки інформації.

Для «помірно нестійкої» потрібно застосувати:

- Безпечні процедури реєстрації - контроль доступу до операційних систем повинен бути забезпечений безпечною процедурою реєстрації;

- Обмеження доступу до інформації - доступ до інформації і функціям прикладних систем користувачів і обслуговуючого персоналу повинен бути представлений тільки в відповідності з визначеними політиками контролю доступу;

- Цілісність повідомлень - повинні бути визначені вимоги для забезпечення автентичності і захисту цілісності повідомлень в додатках, а також реалізовані відповідні засоби контролю;

- Підтвердження достовірності вихідних даних - дані. Котрі виводяться з додатку, необхідно піддавати перевірці на коректність, щоб забезпечити впевненість в тому, що обробка інформації виконана вірно;

- Системи бізнес-інформації - вимоги і процедури повинні бути розроблені і внесені для захисту інформації, пов'язаної з взаємодією систем бізнес-інформації;

- Захист даних тестування системи - дані тестування слід щільно відбирати, захищати і контролювати;

- Керування технічними вразливостями - необхідно отримувати своєчасну інформацію про технічні вразливості використовуваних систем, оцінювати небезпечність таких вразливостей і приймати відповідні міри по влаштуванню ризику, пов'язаного з цим;

- Визначення норм, які використовуються - всі норми, які використовуються та встановлені виконавчими органами влади, вимоги договірних обов'язків і порядок їх виконання слід чітко визначати, документувати і підтримувати на актуальному рівні для кожної інформаційної системи і організації.

Для «дуже нестійкої» системи слід застосувати наступні міри:

- Відповідність політикам і стандартам безпеки - керівники повинні забезпечити, щоб всі процедури безпеки в їх сфері відповідальності були виконані правильно і відповідали політикам і стандартам безпеки;

- Перевірка технічної відповідності до вимог безпеки - інформаційні системи потрібно регулярно перевіряти на відповідність вимогам стандартів безпеки;

- Попередження нецільового використання засобів обробки інформації - повинні бути застосовані міри для попередження нецільового використання засобів обробки інформації;

- Регулярне використання засобів криптографічного захисту - засоби криптографічного захисту повинні використовуватись в відповідності з законом, нормативними актами, і відповідними домовленостями;

- Структура плана забезпечення безперервного бізнесу - повинна бути створена єдина структура планів безперервного бізнесу, яка дозволяє забезпечити несуперечливість всіх планів для послідовного виконання всіх вимог до інформаційної безпеки і для визначення пріоритетів при тестуванні і обслуговуванні;

- Відповідальність і процедури - повинні бути встановлені відповідальність керівництва і процедури, які б дозволяли забезпечити бистре, ефективне і послідовне реагування на інциденти інформаційної безпеки;

- Оповіщення про недоліки безпеки - всі працівники, підрядчики та користувачі сторонніх організацій, які користуються інформаційними системами і послугами, повинні одразу ж повідомляти про будь-які помічені чи можливі порушення безпеки в системах чи послугах.



Висновки

Інформаційна безпека організації це її цілеспрямована діяльність, її органів та посадових осіб з використанням дозволених сил і засобів по досягненню стану захищеності інформаційного середовища організації, що забезпечує її нормальне функціонування і динамічний розвиток. Велике значення в роботі всіх дрібних і крупних компаній має інформаційна безпека. Попадання даних фірми в чужі руки загрожує багатьма неприємними наслідками, тому краще запобігти цьому, чим в майбутньому розбиратися з наслідками. комп'ютерний моделювання інформаційний

Забезпечення безпеки інформаційних ресурсів підприємства складне і комплексне завдання. Управління інформаційною безпекою вимагає розробки та постійного проведення різнопланових заходів: починаючи від систематичного інструктажу персоналу, фізичної охорони приміщень, контролю доступу, протипожежної безпеки, і закінчуючи складними, територіально розподіленими системами резервного зберігання даних і систем.

Своє місце в даному переліку по праву займає інформаційна безпека, яка, в свою чергу, є багатогранною і різнобічної. Контроль безпеки інформаційної безпеки - це системний процес отримання об'єктивних якісних і кількісних оцінок поточного стану безпеки інформаційної системи, комплексна оцінка рівня інформаційної безпеки клієнта з урахуванням трьох основних факторів: персоналу, процесів і технологій. Порівняльний аналіз поточного стану інформаційної системи, яка визначається за підсумками анкетування, з тестовою моделлю вимог стандарту ISO 27001.

Необхідність проведення регулярного контролю інформаційної безпеки полягає в оцінці реального стану захищеності ресурсів та її змозі протистояти зовнішнім і внутрішнім загрозам інформаційної безпеки, які постійно змінюються і адаптуються. Виходячи з вищесказаного потрібно проводити контроль інформаційної безпеки на об'єктах інформаційної діяльності з метою визначення стану захищеності системи, засобами якої обробляється фінансова чи інша критична інформація та її відповідності стандартам та нормативним документам у державному, комерційному та банківському секторі ринку інформаційних технологій.

Під час виконання курсової роботи було проведено аналіз захисту продуктового магазину, проаналізовано та описано загрози та вразливості, які можуть зашкодити коректній роботі магазину. Було побудовано дерева ризиків-відмов для вразливостей та загроз за допомогою логіко-ймовірнісної ідеї та проведено ранжування даних загроз та вразливостей.

В програмі нечіткої логіки Fuzzy Tech побудовано нечітку експертну систему для задач оцінки рівня інформаційної безпеки. Теорія нечітких множин - це розширення класичної теорії множин, але в нечіткій логіці допускається градуйоване розуміння відповідності елемента до множин. Проводячи моделювання задавалось три вхідні зміни: змінні, загрози і вартість, вихідною змінною є коефіцієнт стійкості системи, який і визначає ступінь стійкості системи. Для більш широкого розуміння результатів моделювання було візуалізовано отриману модель в формат 3D.