Методика оценки риска на базе нечеткой логики в

УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы
А.С. МОНИН
Санкт-Петербургский государственный политехнический университет
МЕТОДИКА ОЦЕНКИ РИСКА НА БАЗЕ НЕЧЕТКОЙ ЛОГИКИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
Предлагается категорирование методик оценки рисков, и методика оценки
рисков информационных систем на базе нечеткой логики
В последние годы большое внимание уделяется вопросам анализа информационных рисков. Для управления информационными рисками разработаны специальные методики на базе международных стандартов ISO
15408, ISO 17799 (BS7799), BSI; а также национальных стандартов. В этих
стандартах можно выделить три категории методик анализа рисков:
Первую категорию методик составляют качественные методики
управления рисками на основе требований ISO 17999 (COBRA и RA
Software Tool).
Вторую категорию методик управления рисками составляют количественные методики, актуальность которых обусловлена необходимостью
решения различных оптимизационных задач, возникающих в реальной
жизни организации.
К третьей категории относятся методики, которые включают в себя частично автоматизированные методы, что позволяет гибко и эффективно
анализировать и оценивать информационные риски организации. Эти методики хороши тем, что помимо качественных характеристик риска, дают
и количественные величины, что важно для решения оптимизационных
задач проведения анализа рисков.
В числе вышеперечисленных категорий методик особый интерес представляет использование аппарата нечеткой логики. Нечеткие описания в
структуре метода анализа риска появляются в связи с неуверенностью
эксперта, что возникает в ходе различного рода классификаций. Нечеткие
описания в структуре метода анализа риска появляются в связи с неуверенностью эксперта, что возникает в ходе различного рода классификаций.
Определяется переменная g (риск) - принимает значения от нуля до
единицы по определению. Для произвольного отдельного показателя Хi
задаем лингвистическую переменную Вi «Уровень показателя Хi» на нижеследующем терм-множестве значений.
ISBN 5-7262-0711-4. XIV Всероссийская научная конференция
102
УДК 004.056:378(06) Проблемы информационной безопасности в системе высшей школы
Строится набор отдельных показателей X={Хi} общим числом N (в
нашем случае N=2, X={Х1=«Величина воздействия», Х2=«Вероятность
реализации угрозы»}), которые, влияют на оценку риска.
Далее каждому показателю Хi сопоставляется уровень его значимости
для анализа ri. Чтобы оценить этот уровень, нужно расположить все показатели по порядку убывания значимости.
Если система показателей проранжирована в порядке убывания их
значимости, то значимость i-го показателя ri можно определять по правилу Фишберна.
Cтроится классификация текущего значения g показателя степени риска как критерий разбиения этого множества на нечеткие подмножества и
классификацию текущих значений x показателей Х как критерий разбиения полного множества их значений на нечеткие подмножества вида В.
Затем проводится классификация текущих значений хi по критерию
значений x. Результатом проведенной классификации являются уровни
принадлежности носителя хi нечеткому подмножеству Вj
В результате применения данного подхода получаются лингвистическое описание степени риска и степень уверенности эксперта в правильности построенной классификации. Тем самым вывод о степени риска
приобретает не только лингвистическую форму, но и характеристику качества высказанных утверждений.
Объединение оценок рисков по всем ресурсам дает общую величину
риска при имеющейся архитектуре информационной системы и внедренной в нее системы защиты информации.
Методика позволяет оценивать величину риска с учетом любого числа
входных параметров, а также адекватно использовать качественные и количественные оценки входных параметров. Используемый в методике
механизм получения оценок риска на основе нечеткой логики позволяет
учитывать качество входной и полученной информации. Так, например,
результатом оценки риска являются не только численное значение риска и
лингвистическое описание степени риска, но и степень уверенности эксперта в правильности построенной классификации. Тем самым вывод о
степени риска приобретает не только лингвистическую форму, но и характеристику качества высказанных утверждений.
ISBN 5-7262-0711-4. XIV Всероссийская научная конференция
103