МАТЕМАТИЧНА МОДЕЛЬ ОЦІНКИ РИЗИКУ НЕСАНКЦІОНОВАНОГО ДОСТУПУ ДО ІНФОРМАЦІЇ КОРИСТУВАЧАМИ ІНФОРМАЦІЙНО-ТЕЛЕКОМУНІКАЦІЙНОЇ СИСТЕМИ

Олег Сергійович Бойченко; Ігор Володимирович Гуменюк; Роман Іванович Гладич

doi:10.46972/2076-1546.2019.16.12

Автор(и)

Олег Сергійович Бойченко Житомирський військовий інститут імені С. П. Корольова, Ukraine
Ігор Володимирович Гуменюк Житомирський військовий інститут імені С. П. Корольова, Ukraine
Роман Іванович Гладич Житомирський військовий інститут імені С. П. Корольова, Ukraine

DOI:

https://doi.org/10.46972/2076-1546.2019.16.12

Ключові слова:

внутрішні загрози, модель порушника, несанкціонований доступ, потенційні збитки, ризик.

Анотація

Стаття присвячена вирішенню актуального науково-практичного завдання – розробці математичної моделі оцінки ризику несанкціонованого доступу до інформації користувачами інформаційно-телекомунікаційної системи. Наведено тлумачення таких понять: несанкціонований доступ до інформації, ризик та оцінка ризику, – які застосовують у ході досліджень внутрішніх загроз. Визначено ознаки користувача інформаційно-телекомунікаційної системи, які впливають на величину ймовірності несанкціонованого доступу до інформації. Показано, що врахування теоретичних та практичних знань користувача інформаційно-телекомунікаційної системи характеристик фізичного середовища, обчислювальної системи, оброблюваної інформації, які він може використовувати для свідомого порушення правил розмежування доступу з метою отримання несанкціонованого доступу до інформації, дозволить більш точно оцінити даний ризик. Проведено перевірку адекватності розробленої математичної моделі оцінки ризику несанкціонованого доступу до інформації користувачами інформаційно-телекомунікаційної системи за допомогою спеціального програмного забезпечення. Встановлено, що користувачі, які мають найбільший стаж і досвід роботи з інформаційно-телекомунікаційними системами (не тільки в установі, що розглядається), найвищий рівень допуску до інформації з обмеженим доступом, займають відповідальні посади та є недисциплінованими, становлять найбільш імовірну внутрішню загрозу щодо несанкціонованого доступу до інформації. Саме використання математичної моделі оцінки ризику несанкціонованого доступу до інформації користувачами інформаційно-телекомунікаційної системи дозволить удосконалити комплексну систему захисту інформації відповідної інформаційно-телекомунікаційної системи.

Біографії авторів

Олег Сергійович Бойченко, Житомирський військовий інститут імені С. П. Корольова

O. S. Boychenko

Ігор Володимирович Гуменюк, Житомирський військовий інститут імені С. П. Корольова

I. V. Gumenyuk

Роман Іванович Гладич, Житомирський військовий інститут імені С. П. Корольова

R. I. Hladych

Посилання

Terminolohiia v haluzi zakhystu informatsii v komp’iuternykh systemakh vid nesanktsionovanoho dostupu. ND TZI 1.1-003-99: nakaz Departamentu spetsialnykh telekomunikatsiinykh system ta zakhystu informatsii Sluzhby bezpeky Ukrainy vid 28.04.1999 № 22 [Terminology for the protection of information on computer systems against unauthorized access. NDI TZI 1.1-003-99: Order of the Department of Special Telecommunication Systems and Information Protection of the Security Service of Ukraine from April 28, 1999 No. 22]. Retrieved from http:// dsszzi.gov.ua/dsszzi/control/uk/publish/article?showHidden-1&art_id-102106&cat_id=46556&ctime=1344502446343 [in Ukrainian].

Zahalni polozhennia shchodo zakhystu informatsii v komp’iuternykh systemakh vid nesanktsionovanoho dostupu. ND TZI 1.1-002-99: nakaz Departamentu spetsialnykh telekomunikatsiinykh system ta zakhystu informatsii Sluzhby bezpeky Ukrainy vid 28.04.1999 № 22 [General information about protecting information on computer systems from unauthorized access. NI TZI 1.1-002-99: Order of the Department of Special Telecommunication Systems and Information Protection of the Security Service of Ukraine from April 28, 1999 No. 22]. Retrieved from http:// dsszzi.gov.ua/dsszzi/doccatalog/document?id=106340 [in Ukrainian].

Vymohy iz zakhystu sluzhbovoi informatsii vid nesanktsionovanoho dostupu pid chas obroblennia v avtomatyzovanykh systemakh klasu 2. ND TZI 2.5-008-2002: nakaz Departamentu spetsialnykh telekomunikatsiinykh system ta zakhystu informatsii Sluzhby bezpeky Ukrainy vid 13.12.2002 № 84 [Requirements for the protection of official information from unauthorized access during processing in automated systems of class 2. ND TZI 2.5-008-2002: order of the Department of Special Telecommunication Systems and Information Protection of the Security Service of Ukraine from December 13, 2002 No. 84]. Retrieved from https://www.dsszzi.gov.ua/dsszzi/doccatalog/document/id=106343 [in Ukrainian].

Klasyfikatsiia avtomatyzovanykh system i standartni funktsionalni profili zakhyshchenosti obrobliuvanoi informatsii vid nesanktsionovanoho dostupu. ND TZI 2.5-005-99: nakaz Departamentu spetsialnykh telekomunikatsiinykh system ta zakhystu informatsii Sluzhby bezpeky Ukrainy vid 28.04.1999 № 22 [Classification of automated systems and standard functional profiles of the security of the processed information against unauthorized access. NDI TZI 2.5-005-99: Order of the Department of Special Telecommunication Systems and Information Protection of the Security Service of Ukraine from April 28, 1999 No. 22]. Retrieved from http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article?showHidden=1&art_id=101870&cat_id=89734&ctime=1344501089407 [in Ukrainian].

Kryterii zakhyshchenosti informatsii v komp’iuternykh systemakh vid nesanktsionovanoho dostupu. ND TZI 2.5-004-99: nakaz Departamentu spetsialnykh telekomunikatsiinykh system ta zakhystu informatsii Sluzhby bezpeky Ukrainy vid 28.04.1999 № 22 [Criteria for securing information on computer systems against unauthorized access. ND TZI 2.5-004-99: Order of the Department of Special Telecommunication Systems and Information Protection of the Security Service of Ukraine from April 28, 1999 No. 22]. Retrieved from https://www.dsszzi.gov.ua/dsszzi/doccatalog/document/id=106342 [in Ukrainian].

Rowe, W. (1997). Ananatomy of risk. New York : Iohn Wiley.

Kachynskyi, A. (2004). Bezpeka, zahrozy i ryzyk: naukovi kontseptsii ta matematychni metody [Security, Threats and Risk: Scientific Concepts and Mathematical Methods]. Kyiv: Polihrafkonsaltinh [in Ukrainian].

Managing information security risk: organization, mission, and information system view. Joint task force transformation initiative. (n.d.). Retrieved from http://csrc.nist.gov/publications/detail/sp/800-39/final

Panchenko, V. O. (2018). Mekhanizm protydii insaideram u systemi kadrovoi bezpeky [The mechanism of counteraction to insiders in the personnel security system]. Naukovyi visnyk Lviv. derzh. un-tu vnutrishnikh sprav [Bulletin of the Lviv State University of Internal Affairs], 1, 219–227 [in Ukrainian].

Rak, Yu. P., & Sukach, R. Yu. (2015). Matematychna model otsinky ryzyku v proektakh zakhystu ob’iektiv potentsiinoi nebezpeky [Mathematical model of risk assessment in projects for protection of potential danger objects]. Upravlinnia proektamy ta rozvytok vyrobnytstva [Project management and production development], 2 (54), 12–17 [in Ukrainian].

Romaniukov, M. H. (2015). Kryterii otsinky ymovirnosti vytoku informatsii cherez tekhnichni kanaly [Criteria for estimating the likelihood of information leaking through technical channels]. Informatyka ta matematychni metody v modeliuvanni [Informatics and mathematical methods in modeling], 5 (3), 240–248 [in Ukrainian].