Методика формирования множества показателей как составляющая метода оценки уровня культуры информационной безопасности

dc.contributor.authorПотий, Александр
dc.contributor.authorПилипенко, Дмитрий
dc.contributor.authorПотій, Олександр
dc.contributor.authorПилипенко, Дмитро
dc.contributor.authorPotii, Aleksandr
dc.contributor.authorPilipenko, Dmitry
dc.date.accessioned2016-10-31T10:08:03Z
dc.date.available2016-10-31T10:08:03Z
dc.date.issued2013
dc.description.abstractenCurrent understanding of Information Security (IS) activities and processes management problems undergoes significant changes. Many researchers and specialists share the common concept that organizational aspects of IS are as important as technical ones. Latest analytical reports (InfoWatch) support this viewpoint, since major financial losses from security incidents relate to data loss. At the same time organizations suffer from their own personnel activities and behavior as bad as from adversaries. Such security incidents do not always occur due to lack or inadequacy of security controls and procedures. Noncompliance is usually the reason, which in its turn stems from poor understanding of security goals and objectives. Interpretation of Information Security Policy (ISP) as an obstacle or inconvenience results in low level of Information Security Culture (ISC). Here we interpret ISC as a set of norms, values and attitudes which create acceptable behavior in terms of IS activities. Any organization member supports ISC which depends on their behavior and activities. Thus we can say that process of fostering ISC is connected with norms and limitations management. In terms of institutional management ISC can be interpreted as an incentive mechanism, while ISP is an enforcement mechanism. Control actions by top management should not be bases on subjective factors exclusively (experience, knowledge, intuition). More valid decisions can be made with the help of security metrics. The purpose of this paper is thus to propose an approach to development of ISC metrics set which should be considered within the method of ISC evaluation. A brief description of method proposed is provided for general understanding, and more particularly about the place of mentioned above approach to ISC metrics development: - in the first phase ISC metrics set is developed; - in the second phase the template of ISC lower-level metric is designed; - in the third phase the dichotomous tree for complex evaluation is build; - in the fourth phase all lower-level metrics are described according to template; - in the fifth phase dimension and type of scale for ISC evaluation is decided; - in the sixth phase convolution matrices are generated with the help of weight coefficients and minimal thresholds estimated by experts; - in the seventh phase the convolution of ISC metrics’ values is done. Analysis of the most popular security metrics systems (Vaughn-Hennig-Siraj, OCTAVE, CISWG, Erkan Kahraman, and NIST) allowed reaching the following conclusion: disregard the fact that security metrics of organizational type are present in each of chosen system; there is no holistic set of metrics which allows evaluating ISC level. The problem of developing such set of metrics is thus requires solving. Analysis of mentioned above security metrics systems allowed forming the basic set of ISC metrics, which was further adjusted. With the help of developed ontology model of ISC subject domain the set of ISC metrics was extended in order to cover all the key ISC features. The final set of ISC metrics represents the minimum quantity of metrics required for ISC evaluation. An approach to development of ISC metrics set is proposed as a component of ISC evaluation method. Based on this approach the final set of 27 unique ISC metrics was developed. This is the minimum quantity of ISC metrics required for comprehensive evaluation of organizational ISC. However, it should be noted that final set of ISC metrics is not a terminal set and can be extended with new metrics.uk
dc.description.abstractruПонимание проблем управления процессами и деятельностью по защите информации (ЗИ) сегодня претерпевает значительные качественные изменения. Многие ученые, исследователи и практики выражают единое мнение о том, что организационные аспекты ЗИ требуют не меньшего внимания, чем технические. В поддержку данной точки зрения служат также последние аналитические ответы (InfoWatch), из которых видно, что основные финансовые потери по причине инцидентов безопасности связаны с утечкой данных. При этом организации страдают от действий собственных сотрудников в той же мере, как и от действий злоумышленников. Подобные инциденты не всегда связаны с нехваткой мер защиты или неадекватностью процедур и практик защиты. Причина чаще заключается в несоблюдении мер защиты и проистекает от неверного понимания целей и задач защиты. Восприятие политики безопасности (ПБ) как ограничения и неудобства приводит к формированию низкого уровня культуры информационной безопасности (КИБ). Здесь под «культурой информационной безопасности» будем понимать набор норм, ценностей и установок, которые формируют допустимое поведение в контексте деятельности по защите информации. Носителями КИБ являются все члены организации, а сама КИБ зависит от их поведения и деятельности, поэтому можно говорить о том, что процесс формирования КИБ связан с управлением нормами и ограничениями. В контексте институционального управления КИБ следует рассматривать как механизм побуждения, в то время как ПБ является механизмом принуждения. Выбор управляющих воздействий руководящим субъектом не должен опираться исключительно на субъективные факторы (опыт, знания, интуицию), поскольку более обоснованные решения могут быть приняты на основе показателей безопасности. Таким образом, целью данной работы является представление методики формирования множества показателей оценки уровня КИБ, которую следует рассматривать в рамках метода оценки уровня КИБ. Краткое описание позволит сформировать общее представление о разработанном методе оценки уровня КИБ и том, такое место занимает в нем методика формирования показателей оценки уровня КИБ: - на первом этапе формируется множество показателей оценки КИБ; - на втором этапе разрабатывается шаблон показателя оценки КИБ нижнего уровня; - на третьем этапе осуществляется построение дихотомического дерева комплексной оценки; - на четвертом этапе происходит описание показателей нижнего уровня; - на пятом этапе определяется размерность и тип шкалы оценки уровня КИБ; - на шестом этапе осуществляется генерация матриц свертки с учетом весовых коэффициентов и минимальных пороговых значений, которые определяются экспертно; - на последнем, седьмом этапе осуществляется сама свертка значений показателей оценки КИБ. На основании анализа наиболее популярных систем показателей безопасности (Vaughn-Hennig-Siraj, OCTAVE, CISWG, Erkan Kahraman, NIST) был сформулирован следующий вывод: несмотря на то, что показатели безопасности организационного характера присутствуют в том или ином виде в каждой из проанализированных систем, целостной системы (набора) показателей, позволяющей количественно или качественно оценить уровень КИБ, на данный момент не существует. Таким образом, возникает задача сформировать целостное множество показателей, позволяющих осуществить комплексную оценку уровня КИБ. В результате анализа существующих систем показателей безопасности было сформировано базовое множество показателей, элементы которого были доработаны, уточнены и обобщены. Опираясь на онтологическую модель предметной области КИБ, было разработано дополнительное множество показателей оценки КИБ, благодаря которому были охвачены аспекты КИБ, не затронутые элементами базового множества. Объединение данных множеств позволило получить множество, содержащее минимально необходимое число показателей для оценки уровня КИБ. Таким образом, в работе предложена методика формирования множества показателей оценки КИБ, которая является составляющей метода оценки уровня КИБ. На основании данной методики было получено итоговое множество показателей оценки КИБ, состоящее из 27 уникальных показателей, которые охватывают все ключевые аспекты КИБ. Однако следует заметить, что полученное итоговое множество показателей не является окончательно определенным и может быть дополнено новыми показателями.uk
dc.description.abstractukРозуміння питань управління процесами та діяльністю із захисту інформації (ЗІ) сьогодні зазнає якісних змін. Багато вчених та практиків поділяють наступну думку: організаційні аспекти ЗІ потребують не меншої уваги, ніж технічні. Про це також свідчать останні аналітичні звіти (InfoWatch), з яких стає зрозумілим, що більшість фінансових втрат відбувається через інциденти безпеки, пов’язані із витоком даних. При цьому організації страждають від дій власних співробітників в тій самій мірі, що й від дій зловмисників. Такі інциденти не завжди пов’язані з нестачею або неадекватністю процедур та практик захисту. Причина частіше полягає у недотриманні заходів захисту через хибне розуміння цілей та задач захисту. Сприйняття політики безпеки (ПБ) як обмеження та незручності призводить до формування низького рівня культури інформаційної безпеки (КІБ). Тут під «культурою інформаційної безпеки» розумітимемо набір норм, цінностей та настанов, що формують припустиму поведінку у контексті діяльності із захисту інформації. Носіями КІБ виступають всі члени організації, а сама КІБ залежить від їхньої поведінки і діяльності, що дозволяє говорити про те, що питання формування КІБ пов’язані з управлінням нормами та обмеженнями. У контексті інституціонального управління КІБ слід розглядати в першу чергу як механізм спонукання, у той час як ПБ є механізмом змушення. Вибір керуючих впливів керівним суб’єктом не повинен спиратися лише на суб’єктивні фактори (досвід, знання, інтуїцію), оскільки більш обґрунтовані рішення можуть бути сформовані за допомогою показників безпеки. Таким чином, метою даної роботи є представлення методики формування множини показників оцінювання рівня КІБ, яку слід розглядати в контексті методу оцінювання рівня КІБ. Стислий опис дозволить сформувати загальну уяву про розроблений метод оцінювання рівня КІБ і про те, яке місце посідає в ньому запропонована методика: - на першому етапі формується множина показників оцінювання КІБ; - на другому етапі розробляється шаблон показника оцінки КІБ нижнього рівня; - на третьому етапі здійснюється побудова дихотомічного дерева комплексного оцінювання; - на четвертому етапі здійснюється опис показників нижнього рівня згідно з шаблоном; - на п’ятому етапі визначається розмірність и тип шкали оцінювання рівня КІБ; - на шостому етапі здійснюється генерація матриць згортання з урахуванням вагових коефіцієнтів та мінімальних порогових значень, що визначаються експертом; - на сьомому етапі здійснюється згортання значень показників безпосередньо. Спираючись на результати аналізу найбільш популярних систем показників безпеки (Vaughn-HennigSiraj, OCTAVE, CISWG, Erkan Kahraman, NIST) було сформульовано наступний висновок: незважаючи на те, що показники організаційного характеру присутні у тому чи іншому вигляді в кожній із проаналізованих систем, цілісної системи (набору) показників, що дозволили б кількісно або якісно оцінити рівень КІБ, на даний момент не існує. Таким чином, виникає задача сформувати цілісну множину показників, що дозволяють здійснити комплексне оцінювання рівня КІБ. В результаті аналізу існуючих систем показників безпеки було сформовано базову множину показників, елементи якої було уточнено та узагальнено. Спираючись на онтологічну модель предметної галузі КІБ було розроблено додаткову множину показників оцінювання КІБ, завдяки якому було охоплено аспекти КІБ, які не було враховано елементами базової множини. Об’єднання цих множин дозволило отримати множину, що містить мінімально необхідну кількість показників для оцінювання рівня КІБ. Таким чином, в роботі запропоновано методику формування множини показників оцінювання КІБ, що входить до складу методу оцінювання рівня КІБ. Використання вказаної методики дозволило отримати фінальну множину з 27 унікальних показників, що охоплюють усі основні аспекти КІБ. Проте слід зазначити, що отримана в результаті множина показників не є остаточно визначеною і може буті доповнена новими показниками.uk
dc.format.pagerangeС. 15-21uk
dc.identifier.citationПотий А. Методика формирования множества показателей как составляющая метода оценки уровня культуры информационной безопасности/ Александр Потий, Дмитрий Пилипенко // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні : науково-технічний збірник. – 2013. – Вип. 2(26). – С. 15-21. – Бібліогр.: 11 назв.uk
dc.identifier.urihttps://ela.kpi.ua/handle/123456789/17897
dc.language.isoruuk
dc.publisherНТУУ "КПІ"uk
dc.publisher.placeКиївuk
dc.source.nameПравове, нормативне та метрологічне забезпечення системи захисту інформації в Україні: науково-технічний збірникuk
dc.status.pubpublisheduk
dc.subjectПоказатель безопасностиuk
dc.subjectсистема показателей безопасностиuk
dc.subjectоцениваниеuk
dc.subjectкультура информационной безопасностиuk
dc.subject.udc681.3.06uk
dc.titleМетодика формирования множества показателей как составляющая метода оценки уровня культуры информационной безопасностиuk
dc.title.alternativeМетодика формування множини показників як складова методу оцінювання рівня культури інформаційної безпекиuk
dc.title.alternativeAn approach to set of metrics development as a component of information security culture evaluation methoduk
dc.typeArticleuk
thesis.degree.levelmasteruk

Файли

Контейнер файлів
Зараз показуємо 1 - 1 з 1
Вантажиться...
Ескіз
Назва:
26_p15.pdf
Розмір:
294.39 KB
Формат:
Adobe Portable Document Format
Ліцензійна угода
Зараз показуємо 1 - 1 з 1
Ескіз недоступний
Назва:
license.txt
Розмір:
7.71 KB
Формат:
Item-specific license agreed upon to submission
Опис: