Анотація до роботи:

Лєншин А.В. Методи та моделі оцінювання зрілості процесів захисту інформації. – Рукопис.

Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 05.13.21 – Системи захисту інформації – Харківський національний університет радіоелектроніки, Харків, 2006.

Дисертаційна робота присвячена питанням удосконалення організаційних методів захисту інформації шляхом розробки методів та моделей оцінювання зрілості процесів захисту інформації (ПЗІ). Розробляється модель та аналітичний вираз оцінки цільової зрілості ПЗІ, метод визначення відносної зрілості ПЗІ, що можуть мати різну цільову зрілість та складатися з довільної кількості підпроцесів, критерії черговості підвищення зрілості ПЗІ.

Розробляється метод розв’язання задач контролю зрілості на основі використання методів комбінаторно-множинного аналізу. Обґрунтовується можливість врахування степеня невизначеності в експертних оцінках (ЕО) зрілості ПЗІ за рахунок використання теорії суб’єктивної логіки (СЛ). Розробляється метод оцінювання поточної зрілості ПЗІ. Обґрунтовується можливість надання ЕО та отримання узагальнених оцінок природною мовою завдяки розбиттю множини ЕО на підмножини за співвідношенням рівнів довіри, недовіри та невизначеності та розбиттям вимог зрілості на складові. Вперше будуються функції належності до зон базових думок у просторі СЛ.

Виконується аналіз принципів побудови систем підтримки прийняття рішень у сфері захисту інформації. Визначаються функції, якими має володіти система експертного оцінювання зрілості ПЗІ, використання якої дозволяє автоматизувати діяльність з оцінювання зрілості ПЗІ на основі розроблених методів та моделей оцінювання зрілості ПЗІ.

У роботі зроблено акцент на вдосконалення організаційних методів захисту інформації, що здійснюється на основі процесного підходу. Розроблені методи та моделі дозволяють розв’язувати низку наукових та практичних задач оцінювання зрілості ПЗІ. Отримані в роботі результати носять самостійне значення. Проведені дослідження дозволяють зробити такі висновки.

1. Моделювання процесів OCTAVE-S за допомогою методології ARIS визначило шляхи вдосконалення зазначеної методики за рахунок інтеграції процесів оцінювання зрілості ПЗІ до етапу збору первинної інформації. Вдосконалена OCTAVE-S є методичною основою оцінювання зрілості ПЗІ.

2. Розроблена модель та аналітичний вираз для визначення цільових рівнів зрілості дозволяють забезпечити адекватність витрат на досягнення цільового рівня зрілості та важливості інформації, що захищається за допомогою цих ПЗІ. Задачу розв’язано шляхом урахування взаємозв’язків між критичністю інформації, що циркулює в АС, відносною значущістю напрямків захисту та рівнями зрілості, що визначаються для них.

3. Розв’язано задачу визначення відповідності поточної зрілості цільовим орієнтирам шляхом розробки: методу впорядкування ПЗІ на основі використання маркеру зрілості ПЗІ, методу перевірки відповідності цільовим орієнтирам, що дозволило порівнювати профілі зрілості різних підрозділів організації, визначати відповідність цільових і реальних обсягів заходів з підвищення зрілості ПЗІ та планомірності їх здійснення тощо.

4. Розроблений метод оцінювання поточної зрілості ПЗІ (Акт впровадження) дозволяє підвищити точність та наочність ЕО, щодо наявності властивостей зрілості в ПЗІ. Це мета досягається завдяки урахуванню чинника невизначеності експерта на основі застосування вдосконалених положень теорії СЛ. Метод забезпечує ефективність роботи експерта щодо оцінювання поточної зрілості ПЗІ шляхом:

забезпечення можливості надання вихідних оцінок та отримання узагальненої оцінки природною мовою, що є більш зрозумілим для експерта;

спрощення процедури оцінювання поточної зрілості ПЗІ, яке полягає в позбавлені від необхідності надавати дробові значення параметрів кожного вектора оцінки, що призводило до значного навантаження на експерта.

5. Розроблені критеріальні показники відповідності поточної зрілості цільовим орієнтирам є удосконаленням методів підтримки прийняття рішень щодо управління зрілістю ПЗІ. Удосконалення полягає в забезпеченні особи, яка приймає рішення, більш повними вихідними даними та формалізованими способами їх обробки і отже підвищує часову ефективність управління зрілістю ПЗІ. Значення критеріальних показників розраховуються за допомогою розроблених методів: визначення відносної зрілості ПЗІ; впорядкування ПЗІ на основі використання маркеру зрілості ПЗІ; перевірки відповідності цільовим орієнтирам при здійсненні контролю.

6. Складність оцінювання зрілості ПЗІ знижується за рахунок автоматизації обчислень та знятті з експерта значної долі рутинної роботи щодо обробки даних. Застосування СЕО „Радник” дозволяє оцінювати зрілість ПЗІ в умовах невизначеності шляхом використання методів та моделей оцінювання зрілості ПЗІ (Акт впровадження).

7. Сформульовані рекомендації щодо застосування СЕО „Радник” дозволяють вирішувати задачі проектування КСЗІ, моніторингу зрілості ПЗІ та навчальні задачі підготовки фахівців з напрямку «Інформаційна безпека» (Акт впровадження).