Застосування СППР у завданняx організаційно-економічного забезпечення захисту інформації
Описано модель організаційно-економічного забезпечення ефективного захисту корпоративної інформації шляхом формалізації процедур формалізації завдання оптимізації системи захисту інформації (СЗІ). Розглянуто контур системи підтримки прийняття рішень.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | украинский |
| Дата добавления | 26.04.2023 |
| Размер файла | 552,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Застосування СППР у завданняx організаційно-економічного забезпечення захисту інформації
Віталій Чубаєвський
кандидат політичних наук, доцент, доцент кафедри інженерії програмного забезпечення та кібербезпеки, Київський національний торговельно-економічний університет, вул. Кіото 19, Київ, Україна
Альона Десятко
доктор філософії "Комп'ютерні науки", доцент кафедри інженерії програмного забезпечення та кібербезпеки, Київський національний торговельно-економічний університет, вул. Кіото 19, м. Київ, Україна
Олена Криворучко
доктор технічних наук, професор, завідувач кафедри інженерії програмного забезпечення та кібербезпеки, Київський національний торговельно-економічний університет, вул. Кіото 19, м. Київ, Україна
Валерій Лахно
доктор технічних наук, професор, завідувач кафедри комп'ютерних систем, мереж та кібербезпеки, Національний університет біоресурсів і природокористування України, вул. Героїв Оброни 16, Київ, Україна
Дмитро Касаткш
кандидат педагогічних наук, доцент, доцент кафедри комп'ютерних систем, мереж та кібербезпеки, Національний університет біоресурсів і природокористування України, вул. Героїв Оброни 16, Київ, Україна,
Андрій Блозва
кандидат педагогічних наук, доцент, доцент кафедри комп'ютерних систем, мереж та кібербезпеки, Національний університет біоресурсів і природокористування України, вул. Героїв Оброни 16, Київ, Україна
Максим Місюра
кандидат технічних наук, доцент, доцент кафедри комп'ютерних систем, мереж та кібербезпеки, Національний університет біоресурсів і природокористування України, вул. Героїв Оброни 16, Київ, Україна
Анотація
Безперервне організаційно-економічне забезпечення процедур інформаційної безпеки (ІБ) компанії може мінімізувати бізнес-ризики, максимізувати віддачу від інвестицій, полегшити можливості для бізнесу, підвищити комерційний імідж та конкурентні переваги компанії. Для забезпечення ефективного захисту інформаційних ресурсів компанії (ІнР) та стабільного управління інформаційною безпекою компанії повинні не тільки періодично виконувати оцінку інформаційної безпеки, а й постійно аналізувати процеси для своїх корпоративних інформаційних систем. Описано модель організаційно-економічного забезпечення ефективного захисту корпоративної інформації шляхом формалізації процедур формалізації завдання оптимізації системи захисту інформації (СЗІ). При цьому, на відміну від існуючих підходів, акцент у запропонованому рішенні робиться на математико-алгоритмічну та комп'ютерну підтримку процедури прийняття рішень у контексті завдань менеджменту інформаційної безпеки компанії. Пропоновані доповнення разом із традиційними підходами дають можливість стороні захисту максимально ефективно, визначати параметри організаційного управління інфраструктурою СЗІ підприємства. Розглянуто контур системи підтримки прийняття рішень (СППР) у процесі розвитку інфраструктури системи захисту інформації компанії. В умовах дефіциту кваліфікованих експертів у галузі інформаційної безпеки компаній, запропоновано доповнення моделі. Дані доповнення дозволяють врахувати вплив кадрових ресурсів експертів у питаннях ІБ на управління інфраструктурою СЗІ компанії. Запропоновано рекомендації та описано відповідне прикладне програмне забезпечення - СППР. Застосування цієї системи підтримки прийняття рішень сприятиме мінімізації ризиків, пов'язаних з відсутністю кваліфікованих експертів з інформаційної безпеки у багатьох компаніях. захист корпоративний інформація
Ключові слова: захист інформації, інформаційна безпека, організаційно-економічне забезпечення, управління інфраструктурою, система підтримки прийняття рішень, мінімізація ризиків.
APPLICATION OF DSS IN THE TASKS OF ORGANIZATIONAL AND ECONOMIC PROVISION OF INFORMATION PROTECTION
Vitaliy CHUBAIEVSKYI
Candidate of Political Sciences, Associate Professor, Associate Professor at the Department of Software Engineering and Cybersecurity, Kyiv National University of Trade and Economics, 19 Kioto str., Kyiv, Ukraine,
Alona DESIATKO
PhD in Computer Sciences, Associate Professor at the Department of Software Engineering and Cybersecurity, Kyiv National University of Trade and Economics, 19 Kioto str, Kyiv, Ukraine,
Olena KRYVORUCHKO
Doctor of Technical Sciences, Professor, Head of the Department of Software Engineering and Cybersecurity, Kyiv National University of Trade and Economics, 19 Kioto str., Kyiv, Ukraine
Valerii LAKHNO
Doctor of Technical Sciences, Professor, Head of the Department of Computer Systems, Networks and Cyber Security, National University of Life and Environmental Sciences of Ukraine, 16 Heroiv Oborony Str., Kyiv, Ukraine,
Dmytro KASATKIN
Candidate of Pedagogical Sciences, Associate Professor, Associate Professor at the Department of Computer Systems, Networks and Cyber Security, National University of Life and Environmental Sciences of Ukraine, 16 Heroiv Oborony Str., Kyiv, Ukraine,
Andrii BLOZVA
Candidate of Pedagogical Sciences, Associate Professor, Associate Professor at the Department of Computer Systems, Networks and Cyber Security, National University of Life and Environmental Sciences of Ukraine, 16 Heroiv Oborony Str., Kyiv, Ukraine,
Maxim MISIURA
Candidate of Technical Sciences, Associate Professor, Associate Professor at the Department of Computer Systems, Networks and Cyber Security, National University of Life and Environmental Sciences of Ukraine, 16 Heroiv Oborony Str., Kyiv, Ukraine,
Continuous organizational and economic support of the company's information security procedures (IS] can minimize business risks, maximize return on investment, facilitate business opportunities, increase the company's commercial image and competitive advantage. To ensure effective protection of information resources of the company (IR] and stable management of information security, companies must not only periodically perform information security assessments but also constantly analyze the processes for their corporate information systems. The model of organizational and economic support of effective protection of corporate information by formalizing the procedures of formalizing the task of optimizing the information protection system (IPS] is described. In this case, in contrast to existing approaches, the emphasis in the proposed solution is on mathematical-algorithmic and computer support of the decision-making procedure in the context of the tasks of information security management of the company. The proposed additions, together with traditional approaches, enable the defense party to determine the parameters of organizational management of the IPS infrastructure of the enterprise as effectively as possible. The outline of the decision support system (DSS] in the process of developing the infrastructure of the company's information protection system is considered. In the conditions of shortage of qualified experts in the field of information security of companies, additions to the model are proposed. These additions allow taking into account the impact of human resources of IS experts on the management of the company's IPS infrastructure. Recommendations are offered and the corresponding application software - DSS is described. The application of this decision support system will help minimize the risks associated with the lack of qualified information security experts in many companies.
Key words: information protection, information security, organizational and economic support, infrastructure management, decision support system, risk minimization.
В умовах глобалізації, кооперації, конкуренції жодна компанія (незалежно від сфери діяльності) не обходиться без розвиненої структури інформаційних технологій та систем (далі, відповідно, IT та ІС), що забезпечують успішність та оперативність, як прийняття окремих управлінських рішень, так і ефективність бізнес процесів компанії загалом.
Динамічний зростання IT-інфраструктури компаній давно подолав перший етап традиційного розростання масштабів комплексів апаратно-програмних засобів, задіяних для автоматизації збору, зберігання, обробки, передачі та отримання інформації. У сучасних умовах пріоритетними стали не стільки кількість і якість IT та ІС, які використовуються в бізнес-процесах суб'єктів господарської діяльності, скільки достовірність та повнота інформації, що сприяють прийняттю оптимальних управлінських рішень. На зміну традиційним ІС для великих компаній прийшли корпоративні інформаційні системи (далі - КІС). Проте, стрімкий розвиток IT та ІС компаній породило таку гостру проблему як забезпечення інформаційної безпеки (далі - ІБ) компаній та збереження їх інформаційних ресурсів (далі - ІнР). Застосування атакуючої стороною все більш складних методів реалізації сценаріїв кібернетичних атак призвело до того, що будь-яка КІС вже на момент початку її функціонування вимагає процесу вживання відповідних заходів, спрямованих на захист корпоративної інформації. Отже, кожне підприємство має забезпечувати високий рівень захисту комерційної інформації, цілісність своїх ІнР [1].
Безперервне організаційно-економічне забезпечення процедур ІБ компанії може мінімізувати бізнес-ризики, максимізувати віддачу від інвестицій, полегшити можливості для бізнесу, підвищити комерційний імідж та конкурентні переваги компанії [1; 2]. Для забезпечення ефективного захисту ІнР та стабільного управління ІБ компанії повинні не тільки періодично виконувати оцінку ІБ, а й постійно аналізувати процеси для своїх КІС.
Світовий досвід незаперечно доводить, що просте збільшення чисельності засобів і заходів захисту інформації (далі - ЗІ) який завжди дають відчутний ефект [2]. Більше того, у низці ситуацій [3] реалізація такого сценарію лише підвищує завантаженість персоналу, який займається питаннями інформаційної безпеки компанії. Більше того, помилки при плануванні ресурсів, які виділяються на забезпечення ІБ компаній, призводять до того, що дорогий захист ІнР з малою цінністю або значущістю для бізнес-процесів фактично виливається на економічну шкоду. Такі збитки можуть бути не завжди фінансово очевидними. У ряді випадків розміри репутаційної шкоди у рази перевищують втрати фінансові від втрати інформації [4]. Те саме можна сказати про недостатньо ефективний захист цінних ІнР компаній. Наприклад, за даними [5] наявність у компанії витоків важливої інформації, яка використовується в бізнес-процесах, обсягах >20 % може призвести до того, що з ймовірністю 60 % компанія стане банкрутом. Більше того, за даними [5; 6] понад 90 % компаній, які були позбавлені доступу до власних ІнР на терміни >10 днів, з високою ймовірністю припиняли свою економічну діяльність.
Резюмуючи вище сказане - існує певна суперечність. Так, з одного боку, суттєві витрати на систему захисту інформації - є обов'язковою складовою витрат практично всіх суб'єктів господарської діяльності. А з іншого боку, так само необхідне і вирішення завдання, пов'язаного з оптимізацією витрат на побудову ефективної СЗІ та організацію ефективних процесів у КІС. Зроблені висновки та визначають релевантність цього дослідження, спрямованого на вдосконалення методів та моделей організаційної підтримки процесів управління IT-інфраструктурою у СЗІ компаній.
Огляд і аналіз літератури. У працях [7; 8] показано, що зростаюча інтенсивність і ускладнення сценаріїв проведення кібернетичних атак роблять актуальними не тільки перманентне вдосконалення апаратно-програмних комплексів СЗІ, але і диктують необхідність вживання інших заходів. До таких заходів, зокрема, належать і заходи, спрямовані на вдосконалення організаційно-економічного забезпечення ефективного захисту корпоративної інформації суб'єктів господарської діяльності. На думку [9; 10] необхідно надати стороні захисту ефективні інтелектуальні системи, здатні полегшити досить рутинну роботу з управління ІБ підприємств.
Необхідність оперативного прийняття рішень, пов'язаних з організаційно-економічним забезпеченням та менеджментом захисту корпоративної інформації, зробила перспективними дослідження з розвитку систем підтримки прийняття рішень (СППР) [11; 12] у цій галузі. У цих працях, а також у працях [13; 14] показано, що в рамках створення подібних СППР відповідний розвиток отримують нові методи, моделі, алгоритми та прикладне програмне забезпечення, що використовується для вирішення подібних завдань. Автори розглянутих праць, однак не наводять вагомих аргументів, що доводять ефективність широкого застосування подібних СППР для більшості суб'єктів господарської діяльності.
Досвід застосування СППР у завданнях менеджменту ІБ окремих компаній розглянуто в [15; 16]. Проте, як зазначено у [16; 17] існуючі комерційні СППР у завданнях забезпечення ІБ компаній мають закритий характер. Автори констатують, що придбання окремими невеликими компаніями такого класу СППР пов'язане із значними фінансовими витратами. Існуючі на ринку прикладного ПЗ некомерційні СППР у завданнях ІБ не володію достатньою функціональністю [17].
Як показано в [18; 19; 20], проблематика комплексного впровадження СППР у завдання організаційно-економічного забезпечення ефективного захисту корпоративної інформації в контексті завдань менеджменту ІБ системно не розглядалися.
Більше половини всіх кібератак націлені на невеликі підприємства та підприємства [21]. Незважаючи на таку гнітючу статистику, як показано в [22], значна частина менеджменту малих та середніх компаній продовжує вважати, що ІБ це зайва стаття витрат. Не менш важливо, що ця думка частково заснована і на тлі дефіциту кваліфікованого кадрового потенціалу, який займається ІБ. Таким чином, невеликі компанії мають більше проблем при моніторингу ефективності ІБ. Як показано [23; 24] звичайною практикою таких невеликих компаній стало застосування формальних та складних процедур, орієнтованих на передбачення та прогнозування інцидентів з ІБ.
Враховуючи висновки, зроблені авторами в [13; 15; 17; 18; 19; 20; 24], залишається невирішеною проблема системної імплементації інтелектуальних СППР у завдання організаційно-економічного забезпечення та менеджменту ІБ компаній. Математико-алгоритмічна та комп'ютерна підтримка процедури прийняття рішень та якісна експертна оцінка дозволяють вирішувати завдання організаційно-економічного забезпечення ефективного захисту корпоративної інформації у контексті завдань менеджменту ІБ найбільш ефективно. Таким чином, концептуально інноваційні підходи можуть базуватись на парадигмі комплексного впровадження СППР у завданнях організаційно-економічного забезпечення ефективного захисту корпоративної інформації у контексті завдань менеджменту ІБ компаній. Вище зазначені причини роблять тематику нашого дослідження актуальним. На наш погляд, доцільно зосередити увагу на питаннях впровадження подібних систем підтримки прийняття рішень у невеликих компаніях, де ситуація з ІБ є найбільш критичною.
Мета роботи та завдання дослідження. Мета роботи - розвиток моделі організаційно-економічного забезпечення та менеджменту ІБ компаній.
Для досягнення мети роботи необхідно вирішити такі завдання:
- розробити модель організаційно-економічного забезпечення та менеджменту інформаційної безпеки компаній з урахуванням мінімізації ризиків, пов'язаних із відсутністю кваліфікованих експертів з інформаційної безпеки;
- розробити та протестувати систем підтримки прийняття рішень для організаційно-економічного забезпечення та менеджменту інформаційної безпеки компаній, які дозволить стороні захисту раціонально використовувати методи та системи захисту інформації.
Методи та моделі. У [25; 26] наголошується, що в умовах глобальної цифровізації економіки багато компаній зіткнулися з дефіцитом кваліфікованих фахівців з кібербезпеки. І якщо більшу частину загроз ІнР вдається блокувати апаратно-технічними системами захисту інформації, то питання організаційно-економічного забезпечення ефективного захисту корпоративної інформації доводиться вирішувати аналітикам з інформаційної безпеки. І тут багато залежить від кваліфікації та досвіду робота конкретного спеціаліста. На наш погляд, може виявитися досить ефективним напрямок, пов'язаний із широким впровадженням у практику вирішення завдань з організаційно-економічного забезпечення систем захисту корпоративної інформації інтелектуальних систем підтримки прийняття рішень.
Такі систему здатні взяти на себе виконання досить рутинних та трудомістких розрахунково-аналітичних завдань, пов'язаних, наприклад, з оптимізацією дозволу окремих СЗІ за контурами ІБ компанії. Також такого роду СППР дозволять оперативно приймати рішення при перерозподілі СЗІ за умов динамічного протистояння атакуючій стороні [27; 28; 31-33].
Імплементація СППР, наприклад, структуру моделі ISP 10 х 10M [27; 28], сприятиме ефективнішої реалізації рекомендацій щодо забезпечення ІБ компанії (див. рис. 2). На рис. 2 показані фактори ІБ відповідно до моделі ISP 10 х 10M. Ті фактори, для яких може бути задіяний потенціал СППР, показані із зеленою заливкою.
Загальноприйнятою практикою у системі управління ІБ (далі СУІБ) компаній є делегування частини завдань, які вимагають досить високої кваліфікації, зовнішнім експертам. Однак такий підхід стає не таким ефективним, коли йдеться про необхідність проведення техніко-економічних розрахунків у завданнях забезпечення ІБ підприємства.
Наприклад, до таких завдань можна віднести багатокритеріальні оптимізаційні завдання, пов'язані з пошуком:
• оптимальних витрат на побудову СЗІ компанії;
• оптимального складу апаратно-програмних засобів захисту за контурами ІБ підприємства;
• динамічного перерозподілу СЗІ за умов цільових кібератак на ІнР компанії.
У таких ситуаціях, на наш погляд, доцільно перекласти рутинні розрахунки та пошук математичних рішень, зазначених оптимізаційних завдань, на СППР. При такому підході процеси аналізу даних аудиту ІБ та результатів математико-економічного моделювання за допомогою СППР, а в ряді випадків та прогнозування ризиків, надається керівництву компанії.
Рис. 2. Структурна схема моделі ISP 10 х 10M (фактори для яких рекомендується використання СППР, відзначені зеленим кольором)
У міру зростання кількості та ускладнення сценаріїв проведення атак, ІБ стає одним із основних управлінських завдань менеджменту компаній. Це з тим що доводиться розглядати управління складної системою. Причому неправильні рішення щодо ІБ компанії можуть призвести до зниження продуктивності всіх бізнес-процесів. Коли фахівці в галузі ІБ компанії компетентні та здатні забезпечити високий рівень безпеки та захисту інформації, вони здебільшого діють ефективно та при вирішенні завдань планування та інвестиційної діяльності в ІБ. Таким чином, загальна ефективність бізнес-процесів компанії найчастіше залежить від узгодженості між плануванням ІБ та бізнес-плануванням.
Розв'язання задач, пов'язаних з оптимізацією СЗІ компанії включає такі етапи [14; 28]:
1) визначити параметри організаційного управління IT-інфраструктурою та СЗІ;
2) мінімізувати витрати на побудову СЗІ;
3) вибрати оптимальний розмір інвестицій СЗІ компанії;
4) виключити (або мінімізувати) можливості витоків інформації у компанії.
Обчислювальне ядро СППР здатне взяти він всі розрахунки з пошуку локальних чи глобальних екстремумів цільових функцій.
Наприклад, пошуку вирішення задачі мінімізації фінансових витрат на СЗІ можна використовувати функцію виду:
при дотриманні наступних граничних умов:
де C.. - розмір витрат на захист j-го ресурсу за допомогою 7-го СЗІ; C. - розмір витрат на безлічі ІнР за допомогою 7-го СЗІ; 1={їг,--, ij; ]={j1, --,jm] - відповідно, безліч СЗІ у компанії та безліч ІнР, які підлягають захисту; т.. - оцінка ефективності захисту j-го ресурсу за допомогою 7-го СЗІ; s. - коефіцієнт важливості j-го ресурсу при комплексній оцінці СЗІ підприємства; а.. - бінарна величина, якщо а.=1 то ї-е СЗІ обрано для захисту j-го ресурсу, а.=0, то ї-е СЗІ використовується для захисту тільки від потенційних загроз; в. - двійкове значення, якщо в=1 тоді /-е IPS можна використовувати, якщо в =0, то ні; PLcd - рівень захисту при витратах на СЗІ у розмірі (C) та погрозах (D).
Якщо йдеться про необхідність максимізувати рівень захисту ІнР компанії, то можна використовувати таку цільову функцію:
при дотриманні наступних граничних умов:
Висока динаміка зміни ландшафту кібернетичних загроз та зовнішнього середовища для сучасних компаній, що будують багато своїх бізнес-процесів на застосуванні ІТ та ІС, диктує свої особливості у питанні формування кадрової політики щодо фахівців, що займаються ІБ. Метою даного дослідження не є детальне вивчення проблеми ефективності використання кадрового потенціалу ІБ у компаніях. Ми лише хочемо наголосити, що це, як і раніше, залишається маловивченим і вимагає пильної уваги керівників компаній.
У загальному вигляді безліч, що формалізує дефіцит кадрових ресурсів в області ІБ компанії можна так:
де ] - безліч ІнР компанії які вимагають уваги з боку персоналу в контексті ІБ; Pr - безліч властивостей, якими повинен мати співробітник, який займається питаннями ІБ для конкретних ІнР; M - мотивація до постійного підвищення рівня професійної кваліфікації; D - безліч загроз, що вимагають реагування співробітника, який має високу кваліфікацію.
Зрозуміло, дана формалізація моделі не враховує всі аспекти проблеми дефіциту кадрів фахівців з ІБ компаній, проте вона ілюструє важливість завдання включення до контуру бізнес процесів інтелектуальних СППР, готових прийняти на себе частину досить рутинної роботи, яку доводиться виконувати персоналу у повсякденній практиці забезпечення ІБ компанії. Окремого моделювання та оцінки потребує і процедура розгляду актуальних загроз та ризиків, пов'язаних із реалізацією цих загроз. Описані вище моделі було реалізовано у ряді програмних продуктів. Наприклад, у СППР "DSS investing in cybersecurity" [29; 30].
СППР DSS investing in cybersecurity призначений для вибору в режимі онлайн оптимальних стратегій інвестування в засоби ІБ компанії. Це завдання вирішується в контексті підвищення захищеності КІС компаній за допомогою інноваційних технологій, що ґрунтуються на використанні інтелектуальних систем підтримки прийняття рішення в контурах захисту КІС.
Не ставлячи пріоритетом даного дослідження розвиток комплексу моделей для вирішення багатокритеріальних оптимізаційних завдань, пов'язаних із забезпеченням ІБ компанії, зауважимо, що вирішення цих завдань може бути ефективним лише на основі синергетичного поєднання досвіду експертів і кібернетичного моделювання. Але в сукупності це забезпечує оперативне прийняття рішень щодо забезпечення ІБ компанії.
Обговорення. Якщо покласти на СППР вирішення завдань, пов'язаних з оптимізацією СЗІ, то фахівцям з ІБ усередині компанії можна зосередитись на вирішенні організаційних завдань.
До таких завдань, наприклад, відносяться заходи щодо резервного копіювання даних; ізоляції найбільш чутливих до загроз інформаційних систем; безпечне та надійне знищення пристроїв та даних; централізованого управління системою та управління конфігурацією та ін. Також зауважимо, що спеціалістам з ІБ у самій компанії набагато простіше ніж зовнішнім спеціалістам відстежить персонал, який має зловмисні мотиви. Не потрібна допомога СППР та при вирішенні завдань, пов'язаних з мотивацією та готовністю співробітників брати участь у процесах навчання з ІБ.
СППР також може бути ефективною при аналізі та оцінці ризиків, планів забезпечення безперервності бізнесу та реагування на інциденти, а також для підвищення оперативності процедур відновлення КІС.
Дані математико-економічного моделювання з допомогою СППР передаються менеджменту підприємства прийняття рішень на стратегічному рівні управління ІБ. Основним завданням керівництва у такій ситуації стає забезпечення розумного підходу до формування політики ІБ. Успішність реалізації політики ІБ вимагає безперервної вертикальної та горизонтальної комунікації та координації потреб усіх зацікавлених сторін - фахівців з ІБ, мережевих адміністраторів, менеджменту та ін. Таким чином, організаційно-економічне забезпечення ефективного захисту корпоративної інформації стає невід'ємною частиною процедур управління ІБ. Такий синергетичний підхід демонструє адекватний рівень зрілості ІБ компанії. Застосування СППР можна назвати та розвивати як окрему бізнес-функцію ІБ. Причому ця бізнес функція разом із традиційними підходами дозволить більш оперативно виявляти слабкі ланки ІБ компанії.
Висновки
Набула подальшого розвитку модель, яка описує процедуру формалізації завдання оптимізації системи захисту інформації (СЗІ) суб'єкта господарської діяльності (компанії). На відміну від існуючих підходів, акцент на даному дослідженні, зроблений на математико-алгоритмічну та комп'ютерну підтримку процедури прийняття рішень у питаннях організаційно-економічного забезпечення ефективного захисту корпоративної інформації в контексті завдань менеджменту інформаційної безпеки (ІБ) компаній.
Пропонований підхід дає можливість стороні захисту максимально ефективно, визначати параметри організаційного управління інфраструктурою СЗІ компанії. Розглянуто контур СППР у процесі розвитку інфраструктури СЗІ підприємства. В умовах дефіциту кваліфікованих експертів у галузі ІБ компаній, запропоновано доповнення до існуючих математичних моделей. Запропоновані доповнення дозволяють врахувати вплив кадрових ресурсів експертів у питаннях ІБ на управління інфраструктурою СЗІ компанії. Запропоновано рекомендації та описано відповідне прикладне програмне забезпечення - СППР. Застосування цієї СППР сприятиме мінімізації ризиків, пов'язаних з відсутністю кваліфікованих експертів з ІБ у багатьох компаніях.
Список використаних джерел
1. Кузнецова Н.В. (2014). Деякі аспекти мінімізації інформаційних ризиків у банківскій діяльності. Системні дослідження та інформаційні технології, (1), 7-19.
2. Гордієнко Н., & Дмитро М. (2019). Захист великих даних та мінімізація ризиків втрати інформації. Логоа. Онлайн. https://www.ukrlogos.in.ua/10.11232-2663-4139.04.32.html
3. Al-Moshaigeh A., Dickins D., & Higgs J.L. (2019). Cybersecurity Risks and Controls: Is the AICPA's SOC for Cybersecurity a Solution? The CPA Journal, 89 (6), 36-41.
4. Amir E., Levi S., & Livne T. (2018). Do firms underreport information on cyber-attacks? Evidence from capital markets. Review of Accounting Studies, 23 (3), 1177-1206.
5. Erokhin Sergey & Petukhov Andrey & Pilyugin Pavel. (2021). Comparison of Information Security Systems for Asymptotic Information Security Management Critical Information Infrastructures. 89-95. 10.23919/FRUCT50888.2021.9347608
6. Alhayani B., Abbas S.T., Khutar D. Z., & Mohammed H.J. (2021). Best ways computation intelligent of face cyber attacks. Materials Today: Proceedings.
7. Dogaru D. I., & Dumitrache I. (2019). Cyber attacks of a power grid analysis using a deep neural network approach. Journal of Control Engineering and Applied Informatics, 21 (1), 42-50.
8. Krundyshev V., & Kalinin M. (2019, September). Hybrid neural network framework for detection of cyber attacks at smart infrastructures. In Proceedings of the 12th International Conference on Security of Information and Networks (pp. 1-7).
9. Цвілій О.О. (2014). Безпека інформаційних технологій: сучасний стан стандартів ISO27k системи управління інформаційною безпекою. Телекомунікаційні та інформаційні технології, (2), 73-79.
10. Sarker I. H., Kayes A. S. M., Badsha S., Alqahtani H., Watters P., & Ng A. (2020). Cybersecurity data science: an overview from machine learning perspective. Journal of Big data, 7 (1), 1-29.
11. Akhmetov B., Lakhno V., Akhmetov B., & Alimseitova Z. (2018, September). Development of sectoral intellectualized expert systems and decision making support systems in cybersecurity. In Proceedings of the Computational Methods in Systems and Software (pp. 162-171). Springer, Cham.
12. Naseer H., Maynard S. B., & Desouza K. C. (2021). Demystifying analytical information processing capability: The case of cybersecurity incident response. Decision Support Systems, 143, 113476.
13. Couce-Vieira A., Insua D. R., & Kosgodagan A. (2020). Assessing and forecasting cybersecurity impacts. Decision Analysis, 17 (4), 356-374.
14. Adla Abdelkader & Frendi Mohammed. (2021). A Decision Support Systemfor Commercial Lending. 326-331. DOI: 10.1109/DASA53625.2021.9682296
15. Хох В.Д., Мелешко Є. В., & Смірнов О.А. (2017). Дослідження методів аудиту систем управління інформаційною безпекою. Системи управління, навігації та зв'язку, (1), 38-42.
16. Donaldson S. E., Siegel S. G., Williams C. K., & Aslam A. (2015). Measuring a Cybersecurity Program. In Enterprise Cybersecurity (pp. 213-229). Apress, Berkeley, CA.
17. Ekstedt M., Johnson P., Lagerstrom R., Gorton D., Nydren J., & Shahzad K. (2015). Securi cad by foreseeti: A cad tool for enterprise cyber security management. In 2015 IEEE 19th International Enterprise Distributed Object Computing Workshop (pp. 152-155). IEEE.
18. Radziwill N. M., & Benton M. C. (2017). Cybersecurity cost of quality: Managing the costs of cybersecurity risk management. arXiv preprint arXiv: 1707.02653.
19. Al-Dhahri S., Al-Sarti M., & Abdul A. (2017). Information security management system. International Journal of Computer Applications, 158 (7), 29-33.
20. Lakhno V.A. (2017). Development of a support system for managing the cyber security. Radio Electronics, Computer Science, Control, (2), 109-116. https://doi.org/10.15588/1607-3274-2017-2-12
21. Business Advantage. The State of Industrial Cybersecurity 2017. 2017. Available: https://go.kaspersky.com/ rs/802-IJN-240/images/ICSWHITE PAPER.pdf
22. Senseon. The State of Cyber Security-SME Report 2019. 2019. Available: https://www.cbronline.com/wp-content/ uploads/dlm_uploads/2019/08/
23. Cassar G., & Gibson B. (2007). Forecast rationality in small firms. Journal of Small Business Management, 45 (3), 283-302.
24. Chang S. E., & Ho C. B. (2006). Organizational factors to the effectiveness of implementing information security management. Industrial Management & Data Systems.
25. Burrell D.N. (2020). An exploration of the cybersecurity workforce shortage. In Cyber Warfare and Terrorism: Concepts, Methodologies, Tools, and Applications (pp. 1072-1081). IGI Global.
26. Ohta T., Takenaka M., Katou M., Masuoka R., Kayama K., Fukushima N., & Imai H. (2018). Cybersecurity solutions for major international events. FUJITSU SCIENTIFIC & TECHNICAL JOURNAL, 54 (4), 57-65.
27. Prislan K., Mihelic A., & Bernik I. (2020). A real-world information security performance assessment using a multidimensional socio-technical approach. PloS one, 15 (9), e0238739.
28. Bernik I., & Prislan K. (2016). Measuring information security performance with 10 by 10 model for holistic state evaluation. PloS one, 11 (9), e0163050.
29. Akhmetov B., Lakhno V., Yagaliyeva B., Kydyralina L., Oshanova N., Adilzhanova S. Conceptual Diagram of an Intelligent Decision Support System in the Process of Investing in Cybersecurity Systems, (2021) Journal of Theoretical and Applied Information Technology, 99 (18), pp. 4297-4310.
30. Lakhno V., Malyukov V., Kasatkin D., Blozva A., Zhyrova T., Kotenko N., Kotova M. Model for Supporting Decisions of Investors, Taking into Consideration Multifactoriality and Turnover, (2021) Communications in Computer and Information Science, 1388 CCIS, pp. 525-535.
31. Bebeshko B., Khorolska K., Kotenko N., Kharchenko O., & Zhyrova T. (2021). Use of neural networks for predicting cyberattacks. Paper presented at the CEUR Workshop Proceedings,, 2923, 213-223.
32. Lakhno V., Akhmetov B., Ydyryshbayeva M., Bebeshko B., Desiatko A., Khorolska K. (2021) Models for Forming Knowledge Databases for Decision Support Systems for Recognizing Cyberattacks. In: Vasant P., Zelinka I., Weber G. W. (eds) Intelligent Computing and Optimization. ICO 2020. Advances in Intelligent Systems and Computing, vol. 1324. Springer, Cham. https://doi.org/10.1007/978-3-030-68154-8_42
33. Khorolska K., Lazorenko V., Bebeshko B., Desiatko A., Kharchenko O., Yaremych V. (2022) Usage of Clustering in Decision Support System. In: Raj J. S., Palanisamy R., Perikos I., Shi Y. (eds) Intelligent Sustainable Systems. Lecture Notes in Networks and Systems, vol. 213. Springer, Singapore. https://doi.org/10.1007/978-981-16-2422-3_49
34. References:
35. Kuznyetsova, N.V. (2014). Deyaki aspekty minimizatsiyi informatsiynykh ryzykiv u bankivskiy diyal'nosti. [Some points of minimizing informational risks in banking]. System research and information technologies, (1), 7-19. [in Ukrainian]
36. Gordienko, N., & Dmitry, M. (2019). Zakhyst velykykh danykh ta minimizatsiya ryzykiv vtraty informatsiyi [Big Data Protection And Minimization of Risks of Loss of Information]. Aoroa. online. (https://www.ukrlogos.in.ua/10.11232-2663-4139.04.32.html). [in Ukrainian]
37. Al-Moshaigeh, A., Dickins, D., & Higgs, J.L. (2019). Cybersecurity Risks and Controls: Is the AICPA's SOC for Cybersecurity a Solution? The CPA Journal, 89 (6), 36-41.
38. Amir, E., Levi, S., & Livne, T. (2018). Do firms underreport information on cyber-attacks? Evidence from capital markets. Review of Accounting Studies, 23 (3), 1177-1206.
39. Erokhin, Sergey & Petukhov, Andrey & Pilyugin, Pavel. (2021). Comparison of Information Security Systems for Asymptotic Information Security Management Critical Information Infrastructures. 89-95. 10.23919/FRUCT50888.2021.9347608
40. Alhayani, B., Abbas, S. T., Khutar, D. Z., & Mohammed, H. J. (2021). Best ways computation intelligent of face cyber attacks. Materials Today: Proceedings.
41. Dogaru, D. I., & Dumitrache, I. (2019). Cyber attacks of a power grid analysis using a deep neural network approach. Journal of Control Engineering and Applied Informatics, 21 (1), 42-50.
42. Krundyshev, V., & Kalinin, M. (2019, September). Hybrid neural network framework for detection of cyber attacks at smart infrastructures. In Proceedings of the 12th International Conference on Security of Information and Networks (pp. 1-7).
43. Tsviliy, O. O. (2014). Bezpeka informatsiynykh tekhnolohiy: suchasnyy stan standartiv ISO27k systemy upravlinnya informatsiynoyu bezpekoyu. [Information security: the current state of ISO27k standards of information security management system]. Telecommunication and Information Technologies, (2), 73-79. [in Ukrainian]
44. Sarker, I. H., Kayes, A. S. M., Badsha, S., Alqahtani, H., Watters, P., & Ng, A. (2020). Cybersecurity data science: an overview from machine learning perspective. Journal of Big data, 7 (1), 1-29.
45. Akhmetov, B., Lakhno, V., Akhmetov, B., & Alimseitova, Z. (2018, September). Development of sectoral intellectualized expert systems and decision making support systems in cybersecurity. In Proceedings of the Computational Methods in Systems and Software (pp. 162-171). Springer, Cham.
46. Naseer, H., Maynard, S. B., & Desouza, K. C. (2021). Demystifying analytical information processing capability: The case of cybersecurity incident response. Decision Support Systems, 143, 113476.
47. Couce-Vieira, A., Insua, D. R., & Kosgodagan, A. (2020). Assessing and forecasting cybersecurity impacts. Decision Analysis, 17 (4), 356-374.
48. Adla, Abdelkader & Frendi, Mohammed. (2021). A Decision Support Systemfor Commercial Lending. 326-331. DOI: 10.1109/DASA53625.2021.9682296
49. Hoch, V.D., Meleshko, E.V., & Smirnov, O.A. (2017). Doslidzhennya metodiv audytu system upravlinnya informatsiynoyu bezpekoyu. [Research of methods of audit of information security management systems]. Control, Navigation and Communication Systems, (1), 38-42. [in Ukrainian]
50. Donaldson, S. E., Siegel, S. G., Williams, C. K., & Aslam, A. (2015). Measuring a Cybersecurity Program. In Enterprise Cybersecurity (pp. 213-229). Apress, Berkeley, CA.
51. Ekstedt, M., Johnson, P., Lagerstrom, R., Gorton, D., Nydren, J., & Shahzad, K. (2015). Securi cad by foreseeti: A cad tool for enterprise cyber security management. In 2015 IEEE 19th International Enterprise Distributed Object Computing Workshop (pp. 152-155). IEEE.
52. Radziwill, N. M., & Benton, M. C. (2017). Cybersecurity cost of quality: Managing the costs of cybersecurity risk management. arXiv preprint arXiv: 1707.02653.
53. Al-Dhahri, S., Al-Sarti, M., & Abdul, A. (2017). Information security management system. International Journal of Computer Applications, 158 (7), 29-33.
54. Lakhno, V.A. (2017). Development of a support system for managing the cyber security. Radio Electronics, Computer Science, Control, (2), 109-116. https://doi.org/10.15588/1607-3274-2017-2-12
55. Business Advantage. The State of Industrial Cybersecurity 2017. 2017. Available: https://go.kaspersky.com/ rs/802-IJN-240/images/ICSWHITE PAPER.pdf
56. Senseon. The State of Cyber Security-SME Report 2019. 2019. Available: https://www.cbronline.com/wp-content/ uploads/dlm_uploads/2019/08/White_paper_1.pdf%0A
57. Cassar, G., & Gibson, B. (2007). Forecast rationality in small firms. Journal of Small Business Management, 45 (3), 283-302.
58. Chang, S. E., & Ho, C. B. (2006). Organizational factors to the effectiveness of implementing information security management. Industrial Management & Data Systems.
59. Burrell, D. N. (2020). An exploration of the cybersecurity workforce shortage. In Cyber Warfare and Terrorism: Concepts, Methodologies, Tools, and Applications (pp. 1072-1081). IGI Global.
60. Ohta, T., Takenaka, M., Katou, M., Masuoka, R., Kayama, K., Fukushima, N., & Imai, H. (2018). Cybersecurity solutions for major international events. FUJITSU SCIENTIFIC & TECHNICAL JOURNAL, 54 (4), 57-65.
61. Prislan, K., Mihelic, A., & Bernik, I. (2020). A real-world information security performance assessment using a multidimensional socio-technical approach. PloS one, 15 (9), e0238739.
62. Bernik, I., & Prislan, K. (2016). Measuring information security performance with 10 by 10 model for holistic state evaluation. PloS one, 11 (9), e0163050.
63. Akhmetov, B., Lakhno, V., Yagaliyeva, B., Kydyralina, L., Oshanova, N., Adilzhanova, S. Conceptual Diagram of an Intelligent Decision Support System in the Process of Investing in Cybersecurity Systems, (2021) Journal of Theoretical and Applied Information Technology, 99 (18), pp. 4297-4310.
64. Lakhno, V., Malyukov, V., Kasatkin, D., Blozva, A., Zhyrova, T., Kotenko, N., Kotova, M. Model for Supporting Decisions of Investors, Taking into Consideration Multifactoriality and Turnover, (2021) Communications in Computer and Information Science, 1388 CCIS, pp. 525-535.
65. Bebeshko, B., Khorolska, K., Kotenko, N., Kharchenko, O., & Zhyrova, T. (2021). Use of neural networks for predicting cyberattacks. Paper presented at the CEUR Workshop Proceedings, 2923, 213-223.
66. Lakhno, V., Akhmetov, B., Ydyryshbayeva, M., Bebeshko, B., Desiatko, A., Khorolska, K. (2021) Models for Forming Knowledge Databases for Decision Support Systems for Recognizing Cyberattacks. In: Vasant P., Zelinka I., Weber G. W. (eds) Intelligent Computing and Optimization. ICO 2020. Advances in Intelligent Systems and Computing, vol. 1324. Springer, Cham. https://doi.org/10.1007/978-3-030-68154-8_42
67. Khorolska, K., Lazorenko, V., Bebeshko, B., Desiatko, A., Kharchenko, O., Yaremych, V. (2022) Usage of Clustering in Decision Support System. In: Raj J. S., Palanisamy R., Perikos I., Shi Y. (eds) Intelligent Sustainable Systems. Lecture Notes in Networks and Systems, vol. 213. Springer, Singapore. https://doi.org/10.1007/978-981-16-2422-3_49
Размещено на Allbest.ru
Подобные документы
Принципи, цілі та завдання, напрямки робіт із захисту інформації. Суб'єкти системи захисту інформації у Російській Федерації. Основні організаційно-технічні заходи, об'єкти та засоби захисту інформації. Види загроз безпеки, матеріальні носії інформації.
реферат [23,6 K], добавлен 27.03.2010Акт категоріювання. Акт обстеження. Наказ на контрольовану зону. Модель загроз. Технічний захист інформації. Комплексна система захисту інформації. Перелік вимог з захисту інформації. Об'єкти, що підлягають категоріюванню.
курсовая работа [17,6 K], добавлен 19.07.2007Вразливість інформації в автоматизованих комплексах. Концепція захисту інформації. Комплекс основних задач при розробці політики безпеки. Стратегія та архітектура захисту інформації. Політика безпеки інформації. Види забезпечення безпеки інформації.
реферат [243,2 K], добавлен 19.12.2010Функції систем захисту інформації, основні терміни та визначення. Введення в криптологію, нормативно-правова база захисту інформації. Впровадження новітніх інформаційних телекомунікаційних системи. Використання та здійснення електронного документообігу.
реферат [24,0 K], добавлен 03.10.2010Проблеми побудови цілісної системи захисту інформації з обмеженим доступом для малого підприємства. Основні етапи планування та моделювання комплексної системи захисту інформації, негативні чинники, що можуть завадити проведенню якісної її побудови.
статья [131,1 K], добавлен 27.08.2017Мета і призначення комплексної системи захисту інформації. Загальна характеристика автоматизованої системи установи та умов її функціонування. Формування моделей загроз інформації та порушника об'єкта інформаційної діяльності. Розробка політики безпеки.
курсовая работа [166,9 K], добавлен 21.03.2013Забезпечення захисту інформації. Аналіз системи інформаційної безпеки ТОВ "Ясенсвіт", розробка моделі системи. Запобігання витоку, розкраданню, спотворенню, підробці інформації. Дослідження та оцінка ефективності системи інформаційної безпеки організації.
курсовая работа [1,6 M], добавлен 27.04.2014Побудова комплексної системи захисту інформації на OOO "Віпіком". Забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації. Своєчасне виявлення і протидія загрозам безпеці інформації з обмеженим доступом.
курсовая работа [343,5 K], добавлен 05.01.2014Комп’ютерні інформаційні системи СППР (системи підтримки прийняття рішень). Призначення, переваги, компоненти, архітектура. Приклади використовуваних СППР, їх основні види і опис. Нейронні мережі та СППР. Чинники, які сприяють сприйняттю і поширенню СППР.
курсовая работа [323,7 K], добавлен 28.12.2010Розробка комплексної системи захисту об’єкту: системи контролю та управління; охоронного телебачення; пожежної сигналізації; комплексний захист корпоративної мереж. Організаційно-технічні заходи по підтримці функціонування комплексної системи захисту.
курсовая работа [986,3 K], добавлен 17.11.2012
