Using of the Q-analysis for the determining protection of the information system
Наукові журнали Національного Авіаційного Університету
View Archive InfoField | Value | |
Title |
Using of the Q-analysis for the determining protection of the information system
Использование Q-анализа для определения защищенности информационной системы Використання Q-аналізу для визначення захищеності інформаційної системи |
|
Creator |
Козленко, Олег Віталійович; НТУУ «Київський політехнічний інститут імені Ігоря Сікорського»
|
|
Subject |
Information security
Q-analysis; information leakage scenarios; information security culture; information threats; level of information security culture UDC 004.056.53 Информационная безопасность Q-анализ; сценарии утечки информации; культура информационной безопасности; угрозы информации; уровень культуры информационной безопасности УДК 004.056.53 Інформаційна безпека Q-аналіз; сценарії витоку інформації; культура інформаційної безпеки; загрози інформації; рівень культури інформаційної безпеки УДК 004.056.53 |
|
Description |
Article proposes application of methods of structural anal-ysis of systems for the study of the functioning and defini-tion of the information security system with focus on the most common variants of information leakage scenarios and on the features of the information security culture. Verizon annually divides information leakage incidents into nine scenarios that have become the basis for security features and threats sets for this analysis. Human factor is also a great danger, which is not always associated with de-ficiencies or imperfections of security measures, but is al-ways linked to non-compliance with security policy re-quirements. Human factor in information security field is increasingly attracting attention because it has a significant impact on information security as a whole and separately for its insider component. Organizations suffer from acci-dental or deliberate employee errors, despite the availability of security policies and the necessary technologies. Using Q-analysis, the basic principles of constructing a communica-tions model for providing information security in infor-mation system are presented in the example of two sets: set of threats and sets of security measures, numerical values of eccentricities are calculated. The mathematical apparatus of Q-analysis allows to study the topological, informational and functional properties of information security protection in information security. On the basis of the study of structural connectivity of the system there is an opportunity to carry out a formal assessment of its level of functionality, which determines the ability to absorb external adverse factors at the expense of internal resources. The systemic nature al-lowed us to conclude that the elements of the two sets of information security protection in information system are interconnected and form the basis of the system for ensuring their safety. These calculations can be used to further deter-mine the overall formal assessment of the security of the or-ganization and the construction of the information security system in information system should be based on the results of this analysis.
В статье рассмотрено применение методов структур-ного анализа систем для исследования функциониро-вания и определения системы защиты информации в ИТС с ориентацией на наиболее распространенные варианты сценариев утечки информации и особенно-сти культуры информационной безопасности. Компа-ния Verizon ежегодно в своих исследованиях в области безопасности информации делят все инциденты утечки информации на девять сценариев, которые стали основой для построения соответствующей мно-жества элементов защиты и угроз. Опасность также представляет человеческий фактор, который не всегда связан с недостатком или несовершенством мер за-щиты, но всегда связан с несоблюдением требований политики безопасности Исследование человеческих факторов в области информационной безопасности все больше привлекают внимание, так как имеют зна-чительное влияние на информационную безопас-ность в целом и отдельно на инсайдерскую ее состав-ляющую. Организации страдают от случайных или преднамеренных ошибок сотрудников, несмотря на наличие политики безопасности и необходимых тех-нологий. С помощью Q-анализа представлены основ-ные принципы построения модели связанности обес-печения защиты информации в ИТС на примере двух множеств: множества угроз и множеств меры по за-щите, рассчитанные числовые значения эксцентриси-тетов. Математический аппарат Q-анализа позволяет проводить исследования топологических, информа-ционных и функциональных свойств обеспечения за-щиты информации в ИТС. На основе исследования структурной связности системы появляется возмож-ность провести формальную оценку ее уровня функ-циональности, определяет способность к поглоще-нию внешних неблагоприятных факторов за счет внутренних ресурсов. Системный характер позволил сделать вывод, что элементы двух множеств обеспече-ния защиты информации в ИТС - взаимосвязаны и со-ставляют основу системы обеспечения их безопасно-сти. Данные расчеты могут быть использованы даль-нейшего определения общей формальной оценки за-щищенности организации и построение системы за-щиты информации в ИТС должна считаться по ре-зультатам данного анализа. У статті розглянуто застосування методів структурного аналізу систем для дослідження функціонування та визначення системи захисту інформації в ІТС з орієнтацією на найбільш поширені варіанти сценаріїв витоку інформації та на особливості культури інформаційної безпеки. Компанія Verizon щорічно у своїх дослідженнях в області безпеки інформаціїі ділять усі інциденти витоку інформації на дев’ять сценаріїв, які стали основою для побудови відповідної множини елемен-тів захисту та загроз. Небезпеку також становить людський фактор, який не завжди пов’язаний з нестачею або недоско-налістю заходів захисту, але завжди пов’язан з недотриманням вимог політики безпеки Дослідження людських чинників в області інформаційної безпеки все більше привертають увагу, тому що мають значний вплив на інформаційну безпеку в цілому і окремо на інсайдерську її складову. Організації страждають від випадкових або навмисних помилок співробітників, незважаючи на наявність політики безпеки і необхідних технологій. За допомогою Q-аналізу представлені основні прин-ципи побудови моделі зв'язаності забезпечення захисту інформації в ІТС на прикладі двох множин: множини загроз і множин заходів щодо захисту, розраховані числові значення ексцентриситетів. Математичний апарат Q-аналізу дозволяє здійснювати дослідження топологічних, інформаційних і функціональних властивостей забезпечення захисту інформації в ІТС. На основі дослідження структурної зв'язності системи з'являється можливість провести формальну оцінку її рівня функціональності, що визначає здатність до поглинання зовнішніх несприятливих факторів за рахунок внутрішніх ресурсів. Системний характер дозволив зробити висновок, що елементи двох множин забезпечення захисту інформації в ІТС - взаємопов'язані і складають основу системи забезпечення їх безпеки. Дані розрахунки можуть бути використані подаль-шого визначення загальної формальної оцінки захищеності організації і побудова системи захисту інформації в ІТС повинна рахуватися за результатами даного аналізу. |
|
Publisher |
National Aviation University
|
|
Contributor |
—
— — |
|
Date |
2018-09-28
|
|
Type |
—
— — |
|
Format |
application/pdf
application/pdf application/pdf |
|
Identifier |
http://jrnl.nau.edu.ua/index.php/ZI/article/view/12805
10.18372/2410-7840.20.12805 |
|
Source |
Ukrainian Information Security Research Journal; Том 20, № 3 (2018); 155-160
Защита информации; Том 20, № 3 (2018); 155-160 Захист інформації; Том 20, № 3 (2018); 155-160 |
|
Language |
uk
|
|
Rights |
Authors who publish with this journal agree to the following terms: Authors retain copyright and grant the journal right of first publication with the work simultaneously licensed under a Creative Commons Attribution License that allows others to share the work with an acknowledgement of the work's authorship and initial publication in this journal.Authors are able to enter into separate, additional contractual arrangements for the non-exclusive distribution of the journal's published version of the work (e.g., post it to an institutional repository or publish it in a book), with an acknowledgement of its initial publication in this journal.Authors are permitted and encouraged to post their work online (e.g., in institutional repositories or on their website) prior to and during the submission process, as it can lead to productive exchanges, as well as earlier and greater citation of published work (See The Effect of Open Access).
Авторы, публикующие в данном журнале, соглашаются со следующим: Авторы сохраняют за собой авторские права на работу и предоставляют журналу право первой публикации работы на условиях лицензии Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным сохранением ссылок на авторов оригинальной работы и оригинальную публикацию в этом журнале.Авторы сохраняют право заключать отдельные контрактные договоронности, касающиеся не-эксклюзивного распространения версии работы в опубликованном здесь виде (например, размещение ее в институтском хранилище, публикацию в книге), со ссылкой на ее оригинальную публикацию в этом журнале.Авторы имеют право размещать их работу в сети Интернет (например в институтском хранилище или персональном сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению и большему количеству ссылок на данную работу (См. The Effect of Open Access). Автори, які публікуються у цьому журналі, погоджуються з наступними умовами: Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access). |
|