Оценивание риска безопасности информации на основе спектрального подхода

Розглядається використання систем менеджовування безпекою інформації за результатами оцінювання ризику. Для цього через заплановані інтервали часу накопичуються статистичні дані про загрози та збитки внаслідок їх реалізації. Як наслідок, створюються передумови для використання статистичного підходу. Однак, цей підхід до оцінювання ризику обмежується високими вимогами до обсягу статистичних даних, завишенням оцінок ризику, складністю врахування коливань величини збитку, відсутністю єдиного еталону при зіставленні ризиків. Для подолання означених обмежень пропонується спектральний підхід до оцінювання ризику в системах менеджовування безпекою інформації. Визначаються умови його використання, зокрема: накопичення статистичних даних про загрози та збитки внаслідок їх реалізації, врахування динаміки ризику, встановлення еталону для порівняння ризиків.Using information safety managing systems on the results of the risk assessment is considering. Threats and damages statistics is collecting as a result of their implementation through the planned intervals. As a result, preconditions for using the statistical approach are created. However, the approach to risk assessment is limited by high requirements to the amount of statistics, overstated risk assessment, complexity of loss amount variation consideration, lack of a single standard when comparing risks. The risk assessment spectral approach for information safety managing systems is recommended to overcome the aforementioned limitations. Conditions of using the approach are analyzed, including: accumulating of statistics about the risks and losses due to their implementation, taking into account the risk dynamics, setting of standard for risks comparison.Рассматривается использование систем управления безопасностью информации по результатам оценивания риска. Для этого через запланированные промежутки времени накапливаются статистические данные о угрозах и убытках вследствие их реализации. Как следствие, создаются предпосылки для использования статистического подхода. Однако, этот подход к оцениванию риска ограничивается высокими требованиями к объему статистических данных, завышением оценок риска, сложностью учета колебаний величины убытка, отсутствием единого эталона при сравнении рисков. Для преодоления обозначенных ограничений предлагается спектральный подход к оцениванию риска в системах управления безопасностью информации. Определяются условия его применения, в частности: накопление статистических данных о угрозах и убытках вследствие их реализации, учет динамики риска, установление эталона для сравнения рисков

Технологія пошуку сумнівних записів при створенні Єдиного реєстру ідентифікації фізичних осіб України

One of the most effective solutions for protecting personal data when building a Unified Identity Registry is to share end-to-end identifier and hash codes generated from combinations of personal data using one-sided hash functions. This is due to the fact that the stage of creating a unified personal identification register does not involve the use of open personal data and therefore no personal data is allowed on the server and only unique identifiers and hash codes are allowed. In accordance with the principles of creating the above registry, five required and fifteen optional types of personal data stored in the registry were analyzed and used to generate hash codes, as well as possible combinations of personal data fields (ten different combinations of personal data were used in the work) data) built on the types specified. The technology of end-to-end identification has been developed, which has the ability to track errors in the fields with personal data when entering new data and when searching the registry. For the evaluation of the proposed technology, 100,000 simulated individuals were selected with random errors in the appropriate fields that store personal data. These errors are randomly placed in the fields of the created registry database that store personal information of the required and optional types. The efficiency of the proposed technology has also been verified by registering new persons in the registry. The proposed technology has a high tolerance for errors and can correctly identify and associate an individual, even with errors in multiple fields of personal data. Correct personal data, especially in the fields of the database with mandatory personal data, is crucial to avoid erroneous entries in the created registry. In the context of one-sided hash transformation, a doubtful record with personal data can be identified by applying hash operators based on hash codes calculated according to certain combinations of personal data.Одним з найефективніших рішень для захисту персональних даних при побудові Єдиного реєстру ідентифікації фізичних осіб є спільне використання наскрізного ідентифікатора та хеш-кодів, які генеруються з комбінацій персональних даних за допомогою односторонніх хеш-функцій. Це пов’язано з тим, що етап створення єдиного реєстру ідентифікації фізичних осіб не передбачає використання відкритих персональних даних і тому на сервері не дозволяється зберігати персональні дані та допускається лише використання унікальних ідентифікаторів і хеш-кодів. Відповідно до принципів створення вищевказаного реєстру, проаналізовані та використані для генерування хеш-кодів п’ять обов’язкових та п’ятнадцять опціональних типів персональних даних, які зберігаються в реєстрі, а також можливі комбінації полів персональних даних (в роботі використано десять різних комбінацій персональних даних), побудованих на зазначених типах. Розроблено технологію наскрізної ідентифікації особи, яка має можливість відслідковувати помилки в полях з персональними даними при введенні нових даних та при шуканні в реєстрі. Для оцінки запропонованої технології відібрано 100 000 модельованих осіб з випадковими помилками в відповідних полях, що зберігають персональні дані. Ці помилки випадковим чином поміщені в поля бази даних створюваного реєстру, які зберігають персональні дані обов’язкового та опціональних типів. Працездатність запропонованої технології також перевірено шляхом реєстрації нових осіб у реєстрі. Запропонована технологія має високу толерантність до помилок і може правильно ідентифікувати та асоціювати особу, навіть з помилками в декількох полях з персональними даними. Правильні персональні дані, особливо в полях бази даних з персональними даними обов’язкового типу, мають вирішальне значення для уникнення помилкових записів в створюваному реєстрі. У контексті одностороннього хеш-перетворення сумнівний запис з персональними даними може бути ідентифікований шляхом застосування операторів теорії множин на основі хеш-кодів, розрахованих відповідно до визначених комбінацій персональних даних

Методи та підходи аналізу проєктування штучного інтелектудля стратегії реального часу

The research provides a detailed analysis of approaches to creating AI in video games. The main area of research is AI for real-time strategies, as this genre is characterized by the complexity of the game environment and the practice of creating a comprehensive AI, consisting of several agents responsible for a particular aspect of the game. The analysis shows that the main areas of use of AI methods in strategies are strategic and tactical decisions, as well as analysis of the current situation and forecasting the enemy and his chosen strategy. Among the analyzed approaches to tactical AI, reinforcement, game tree search, Bayesian model, precedent-based solutions and neural networks are most often used. Popular approaches to building strategic AI are precedent-based decision-making, hierarchical planning, and autonomousachievement of goals. When creating a module for research and determination of plans, the most popular methods are deductive, abduction, probabilistic and precedent. In addition to the considered methods, others are used in the development, but they are not as popular as above, due to problems with speed or specific implementation, which does not allow to adapt them to the standard rules of genre games. Comparison of algorithms and implementations of AI in the framework of commercial and scientific developments. Among the main differences are the high cost of commercial development of complex agents, as well as the specifics of the scientific approach, which aims to create the most effective agent in terms of game quality, rather than maximizing positive impressions of players, which is the basis of commercial development. The reasons for insufficiently active development of scientific research in the field of AI for games in general and the genre of real-time strategies in particular are described.Дослідження містить детальний аналіз підходів до створення штучного інтелекту у відеоіграх. Основним напрямом досліджень є штучний інтелект для стратегій реального часу. Це обумовлено тим, що даний жанр характеризується складністю ігрового середовища та практикою створення комплексного штучного інтелекту, який складається з кількох агентів, відповідальних за певний аспект гри. Основними сферами використання методів штучного інтелекту в стратегіях є стратегічні та тактичні рішення, а також аналіз поточної ситуації та прогнозування дій противника та обраної ним стратегії. Серед проаналізованих підходів до тактичного штучного інтелекту найчастіше використовуються підкріплення, пошук дерева ігор, байєсівська модель, прецедентні рішення та нейронні мережі. Популярними підходами до побудови стратегічного штучного інтелекту є прийняття рішень на основі прецедентів, ієрархічне планування та автономне досягнення цілей. Тоді як при створенні модуля дослідження та визначення планів найпопулярнішими методами є дедуктивний, абдукційний, ймовірнісний та прецедентний. Крім розглянутих методів, у розробці використовуються й інші. Однак, їхня застосовність обмежується швидкістю або специфічністю реалізації. Цим ускладнюється адаптування до стандартних правил жанрових ігор. Наведено порівняння алгоритмів і реалізацій штучного інтелекту в рамках комерційних і наукових розробок. Серед основних відмінностей–висока вартість комерційної розробки комплексних агентів, а також специфіка наукового підходу, який спрямований на створення найбільш ефективного агента з точки зору якості гри, а не максимізацію позитивних вражень гравців, що є основою комерційного розвитку. Описано причини недостатньо активного розвитку наукових досліджень у галузі штучного інтелекту для ігор загалом та жанру стратегій реального часу зокрема

Модель розподілу ресурсів критичної ІТ-інфраструктури з чіткими параметрами на основі генетичного алгоритму

The detailed analysis of researches of methods and algorithms of allocation of resources of virtualized IT-infrastructures is carried out. The classic model of cloud services, which consists of three layers, is considered. It is shown that the specificity of tasks performed in critical IT infrastructures puts the developer with increased requirements for reliability, security and availability. It is determined that it is expedient to use the service IaaS for implementation of the created model. The main providers of this cloud service were analyzed, their advantages and disadvantages were determined, the best candidate for implementation was selected. The following is a detailed description of the mathematical model of resource allocation of a critical IT infrastructure with clear parameters and its use in conjunction with the genetic algorithm. The following article describes the virtual machine management model for server virtualization. The example shows how it is used to solve the problem and how it can be optimized and accelerated. Subsequently, the article details the genetic algorithm, the principle of constructing a fitness function and its main operations to solve the problem. The proposed genetic algorithm is more similar to traditional genetic algorithms. At the beginning of the algorithm, an initial population of decision-individuals is created randomly. Next, each iteration of the algorithm calculates the value of the fitness function of each individual, for each individual in the population a couple is selected to generate individuals of the next population. After that, a mutation operation is applied. In addition, the search for the best individual of the new population is searched and compared with the best individual of the previous population. Finally, for the constructed model, a number of refinements are given that allow us to use this model for a critical IT infrastructure, taking into account high availability requirements such as fault tolerance (the ability of the system to continue working after the failure of one of its elements), continuous availability (the ability of the system to continuous maintenance, regardless of the time of failure of the system's nodes) and high availability (the ability of the system to further work after the failure of one of the nodes, with possible breaks in the work). The last part of the article presents experimental researches of the proposed model of distribution of resources of critical IT infrastructure with clear parameters based on the genetic algorithm.Проведен детальный анализ исследований методов и алгоритмов размещения ресурсов виртуализированных ИТ-инфраструктур. Рассмотрена классическая модель облачных сервисов, которая состоит из трех слоев. Показано, что специфика задач, выполняемых в критических ИТ-инфраструктурах, ставит перед разработчиком повышенные требования по надежности, безопасности, доступности. Определено, что целесообразно использовать для реализации создаваемой модели сервис IaaS. Проанализированы основные поставщики данного облачного сервиса, определены их преимущества и недостатки, избран лучший кандидат для реализации. Далее приведено детальное описание математической модели распределения ресурсов критической ИТ-инфраструктуры с четкими параметрами и ее использование в сочетании с генетическим алгоритмом. Следующим в статье описано модель управления виртуальными машинами при серверной виртуализации. На примере показано, каким образом она используется для решения поставленной проблемы и каким образом ее можно оптимизировать и ускорить ее работу. В дальнейшем, в статье подробно расписан генетический алгоритм, принцип построения фитнес-функции и его основные операции для решения поставленной задачи. Предложенный генетический алгоритм в большей степени похож на традиционные генетические алгоритмы. В начале работы алгоритма случайным образом создается начальная популяция решений-индивидов. Далее, на каждой итерации алгоритма вычисляется значение функции приспособленности каждого индивида, для каждого индивида в популяции выбирается пара для генерации индивидов следующей популяции. После этого применяется операция мутации. Кроме того, выполняется поиск наилучшего индивиду новой популяции и сравнивается с лучшим индивидом предыдущей популяции. И в завершение, для построенной модели приведен ряд уточнений, которые позволяют использовать данную модель для критической ИТ-инфраструктуры с учетом требований высокой доступности, таких как отказоустойчивость (способность системы к дальнейшей работе после отказа одного из ее элементов), непрерывная доступность (способность системы к непрерывному обслуживанию, независимо от времени отказа узлов системы) и высокодоступность (способность системы к дальнейшей работе после отказа одного из узлов, с возможными перерывами в работе). В последней части статьи приведены экспериментальные исследования предложенной модели распределения ресурсов критической ИТ-инфраструктуры с четкими параметрами на базе генетического алгоритма.Проведено детальний аналіз методів та алгоритмів розміщення ресурсів віртуалізованих ІТ-інфраструктур. Розглянуто класичну модель хмарних сервісів, яка складається з трьох шарів. Показано, що специфіка задач, що виконуються в критичних ІТ-інфрастуктурах, ставить перед розробником підвищені вимоги щодо надійності, безпеки, доступності. Встановлено доцільність використання для реалізації створюваної моделі сервісу IaaS. Проаналізовано основних постачальників даного хмарного сервісу, визначено їх переваги та недоліки, обрано найкращого кандидата для реалізації. Наведено детальний опис математичної моделі розподілу ресурсів критичної ІТ-інфраструктури з чіткими параметрами та її використання у поєднанні з генетичним алгоритмом. Описано модель управління віртуальними машинами при серверній віртуалізації з метою подальшого розподілу ресурсів. На прикладі показано, яким чином вона використовується для вирішення поставленої проблеми та як можна оптимізувати та пришвидшити її роботу. Розкрито розписаний генетичний алгоритм, принцип побудови фітнес-функції та його основні операції для розв’язання поставленої задачі. Запропонований генетичний алгоритм у більшій мірі схожий на традиційні генетичні алгоритми. На початку роботи алгоритму випадковим чином створюється початкова популяція рішень-індивідів. Далі, на кожній ітерації алгоритму обчислюється значення функції пристосованості кожного індивіду, для кожного індивіда у популяції вибирається пара для генерації індивідів наступної популяції. Після цього застосовується операція мутації. Окрім того, виконується пошук найкращого індивіду нової популяції та порівнюється із найкращим індивідом попередньої популяції. І на завершення, для побудованої моделі наведено ряд уточнень, які дозволяють використати дану модель для критичної ІТ-інфраструктури з врахуванням вимог високої доступності, таких як відмовостійкість (здатність системи до подальшої роботи після відмови одного із її елементів), неперервна доступність (здатність системи до безперервного обслуговування, незалежно від часу відмови вузлів системи) та високодоступність (здатність системи до подальшої роботи після відмови одного із вузлів, з можливими перервами у роботі). В останній частині статті наведено експериментальні дослідження запропонованої моделі розподілу ресурсів критичної ІТ-інфраструктури з чіткими параметрами на базі генетичного алгоритму

Оцінювання ризику безпеки інформації на основі спектрального підходу

Using information safety managing systems on the results of the risk assessment is considering. Threats and damages statistics is collecting as a result of their implementation through the planned intervals. As a result, preconditions for using the statistical approach are created. However, the approach to risk assessment is limited by high requirements to the amount of statistics, overstated risk assessment, complexity of loss amount variation consideration, lack of a single standard when comparing risks. The risk assessment spectral approach for information safety managing systems is recommended to overcome the aforementioned limitations. Conditions of using the approach are analyzed, including: accumulating of statistics about the risks and losses due to their implementation, taking into account the risk dynamics, setting of standard for risks comparison.Keywords: information security, risk, signal information security risk, risk assessment, spectral approach, information security management system.Рассматривается использование систем управления безопасностью информации по результатам оценивания риска. Для этого через запланированные промежутки времени накапливаются статистические данные о угрозах и убытках вследствие их реализации. Как следствие, создаются предпосылки для использования статистического подхода. Однако, этот подход к оцениванию риска ограничивается высокими требованиями к объему статистических данных, завышением оценок риска, сложностью учета колебаний величины убытка, отсутствием единого эталона при сравнении рисков. Для преодоления обозначенных ограничений предлагается спектральный подход к оцениванию риска в системах управления безопасностью информации. Определяются условия его применения, в частности: накопление статистических данных о угрозах и убытках вследствие их реализации, учет динамики риска, установление эталона для сравнения рисков.Ключевые слова: безопасность информации, риск, сигнал риска безопасности информации, оценивание риска, спектральный подход, система управления безопасностью информации.Розглядається використання систем менеджовування безпекою інформації за результатами оцінювання ризику. Для цього через заплановані інтервали часу накопичуються статистичні дані про загрози та збитки внаслідок їх реалізації. Як наслідок, створюються передумови для використання статистичного підходу. Однак, цей підхід до оцінювання ризику обмежується високими вимогами до обсягу статистичних даних, завишенням оцінок ризику, складністю врахування коливань величини збитку, відсутністю єдиного еталону при зіставленні ризиків. Для подолання означених обмежень пропонується спектральний підхід до оцінювання ризику в системах менеджовування безпекою інформації. Визначаються умови його використання, зокрема: накопичення статистичних даних про загрози та збитки внаслідок їх реалізації, врахування динаміки ризику, встановлення еталону для порівняння ризиків.Ключові слова: безпека інформації, ризик, сигнал ризику безпеки інформації, оцінювання ризику, спектральний підхід, система менеджовування безпекою інформації

Conceptualization of knowledge about information security management system

The use of ISO / IEC 27000 and ISO Guide 73 standards as glossaries of terms regarding the information security management system is considered. The establishment of correlation between terms on the ontological approach is shown. Attention is drawn to its applicability to the presentation of organizational guidelines and deadlines for risk. Against this background, conceptualized knowledge about the ontology information security management system, taking into account the systematic approach. This system is presented as a complete entity with stable structural and functional links between its elements.The use of ISO / IEC 27000 and ISO Guide 73 standards as glossaries of terms regarding the information security management system is considered. The establishment of correlation between terms on the ontological approach is shown. Attention is drawn to its applicability to the presentation of organizational guidelines and deadlines for risk. Against this background, conceptualized knowledge about the ontology information security management system, taking into account the systematic approach. This system is presented as a complete entity with stable structural and functional links between its elements

Аналіз проблем побудови критичної іт-інфраструктури міністерства

The problems of creating a critical IT infrastructure of the ministry are analyzed. The classic model of cloud services, which consists of three layers, is considered. It has been shown that the specificity of the tasks performed by the ministries (departments) puts the developer with increased requirements for reliability, safety, availability in the automation of their processes. As a result, it has been shown that the use of only these three layers to create a critical IT infrastructure of ministries (departments), even as a private cloud, is no longer sufficient. Several additional layers are proposed for the classical cloud service model, such as BaaS and XaaS. The first layer, Business as a Service (BaaS), includes automation of process management at the organizational level, including monitoring of performance indicators, analytical reports, data consolidation and centralized enterprise level integration. The second layer - everything as a service (XaaS), provides total automation of the industry level, including the introduction of industry standards, the automation of cross-integration of many enterprises. A further analysis of the developed model has been carried out and it has been determined that in order to create a single information space of the ministry (agencies) as an object of informatization with a critical IT infrastructure, it is necessary to put in its implementation a number of new possibilities. They stipulate the need to upgrade both the hardware infrastructure, both system and application software. Therefore, the creation of critical IT infrastructure with these capabilities requires the implementation of new specialized means of data transmission and storage of information. These tools are characterized by a number of key characteristics such as interactivity, multi-tieredness, heterogeneity, distribution, and dynamic modification of data structures during the lifecycle of critical IT infrastructure information systems in accordance with meta-models of the subject area based on metadata interpretation. All of the above points to the need to put into the model another GaaS last layer (the transition to global integration as a service). The last part of the article provides an analysis of the requirements for constructing a critical IT infrastructure.Проанализированы проблемы создания критической ИТ-инфраструктуры министерства. Рассмотрена классическая модель облачных сервисов, которая состоит из трех слоев. Показано, что специфика задач, выполняемых министерствами (ведомствами), ставит перед разработчиком повышенные требования по надежности, безопасности, доступности при автоматизации их процессов. Как следствие, показано, что использование только этих трех слоев для создания критической ИТ-инфраструктуры министерств (ведомств), даже в виде частного облака, уже не является достаточным. Предложено еще несколько дополнительных слоев для классической модели облачных сервисов, таких как BaaS и XaaS. Первый слой - бизнес как сервис (BaaS), включает автоматизацию управления процессами на организационном уровне, включая мониторингом показателей эффективности, аналитическими отчетами, консолидацией данных и централизованной интеграцией уровня предприятия. Второй слой - все как сервис (XaaS), предусматривает тотальную автоматизацию отраслевого уровня, включая введение отраслевых стандартов, автоматизацию сквозной интеграции многих предприятий. Проведен дальнейший анализ образованной модели и определено, что для создания единого информационного пространства министерства (ведомства) как объекта информатизации с критической ИТ-инфраструктурой нужно заложить в ее реализацию целый ряд новых возможностей. Они обусловливают необходимость модернизировать как аппаратную инфраструктуру, так системную и прикладную части программного обеспечения. Поэтому для создания критической ИТ-инфраструктуры с этими возможностями необходима реализация новых специализированных средств передачи и хранения информации. Эти средства характеризуются рядом ключевых характеристик таких как, интерактивность, многоверсионность, гетерогенность, распределенность и динамическая модификация структур данных во время жизненного цикла информационных систем критической ИТ-инфраструктуры в соответствии с метамоделей предметной области на базе интерпретации метаданных. Все вышеперечисленное указывает на необходимость закладки в модель еще одного последнего слоя GaaS (перехода к глобальной интеграции в виде сервиса). В последней части статьи приведен анализ требований к построению критической ИТ-инфраструктуры.Проаналізовано проблеми створення критичної ІТ-інфраструктури міністерства. Розглянуто класичну модель хмарних сервісів, яка складається з трьох шарів. Показано, що специфіка задач, що виконуються міністерствами (відомствами), ставить перед розробником підвищені вимоги щодо надійності, безпеки, доступності при автоматизації їх процесів. Як наслідок, показано, що використання тільки цих трьох шарів для створення критичної ІТ-інфраструктури міністерств (відомств), навіть у вигляді приватної хмари, вже не є достатнім. Запропоновано ще декілька додаткових шарів для класичної моделі хмарних сервісів, таких як BaaS та XaaS. Перший шар – бізнес як сервіс (BaaS), включає автоматизацію керування процесами на організаційному рівні, включно з моніторингом показників ефективності, аналітичними звітами, консолідацією даних та централізованою інтеграцією рівня підприємства. Другий шар – все як сервіс (XaaS), передбачає тотальну автоматизацію галузевого рівня, включно із введенням галузевих стандартів, автоматизації наскрізної інтеграції багатьох підприємств. Проведено подальший аналіз утвореної моделі та визначено, що для створення єдиного інформаційного простору міністерства (відомства) як об’єкта інформатизації з критичною ІТ-інфраструктурою потрібно закласти в її реалізацію цілий ряд нових можливостей. Вони обумовлюють необхідність модернізувати як апаратну інфраструктуру, так системну і прикладну частини програмного забезпечення. Тому для створення критичної ІТ-інфраструктури з цими можливостями необхідна реалізація нових спеціалізованих засобів передачі та зберігання інформації. Ці засоби характеризуються рядом ключових характеристик таких як, інтерактивність, багатоверсійність, гетерогенність, розподіленість і динамічна модифікація структур даних під час життєвого циклу інформаційних систем критичної ІТ-інфраструктури відповідно до метамоделей предметної області на базі інтерпретації метаданих. Все вищезазначене вказує на необхідність закладення в модель ще одного останнього шару GaaS (переходу до глобальної інтеграції у вигляді сервісу). В останній частині статті наведено аналіз вимог до побудови критичної ІТ-інфраструктури

Метод концептуалізування системних досліджень систем управління інформаційною безпекою

The use of ISO / IEC 27000 and ISO Guide 73 standards as glossaries of terms regarding the information security management system is considered. Information security management systems are developed using the terms and definitions of ISO / IEC 27000. At the same time, this glossary is supplemented by terms on risk and risk management in general. Both documents are focused on creating a unified approach to defining and interpreting the concepts of information security management system. Attention is drawn to its applicability to the presentation of organizational guidelines and deadlines for risk. Against this background, conceptualized knowledge about the ontology information security management system, taking into account the systematic approach. This system is presented as a complete entity with stable structural and functional links between its elements. Its use makes it possible to establish relationships between security concepts and standards, in particular, ISO / IEC 27001. A characteristic feature of such relationships is the orientation either to the attainment of organizational guidelines or to terms regarding risk (asset, vulnerability, threat, risk). Information security management systems are developed using the terms and definitions of ISO / IEC 27000. At the same time, this glossary is supplemented by terms on risk and risk management in general. Both documents are focused on creating a unified approach to defining and interpreting the concepts of information security management system.Розглянуто використання стандартів ISO/IEC 27000 та ISO Guide 73 як словників термінів стосовно системи управління інформаційною безпекою. Система управління інформаційною безпекою розробляються зі застосуванням термінів і визначень за стандартом ISO/IEC 27000. Водночас цей словник доповнюється термінами стосовно ризику та менеджменту ризиків загалом. Обидва документи орієнтовані на створення єдиного підходу до визначення і тлумачення понять системи управління інформаційною безпекою. Зосереджено увагу на його застосовності для представлення організаційних настанов і термінів стосовно ризику. З огляду на це, концептуалізовано знання про систему управління інформаційною безпекою онтологією з урахуванням системного підходу. Його використання дозволяє встановити співвідношення між поняттями безпеки та стандартами, зокрема, ISO/IEC 27001. Характерною особливістю таких співвідношень є орієнтованість або на реалізованість організаційних настанов, або на терміни стосовно ризику (актив, уразливість, загроза, ризик). Знання про систему управління інформаційною безпекою концептуалізуються за системним підходом. Вона розглядається як цілісний об’єкт, що складається з сукупності структурно та функціонально взаємопов’язаних елементів. Цілісність об‘єкта забезпечується сукупністю стійких зв‘язків між елементами, що утворюють структуру системи управління інформаційною безпекою

Порівняльний аналіз платформ проектування архітектури критичної ІТ-інфраструктури

This paper investigates the concept of architecture by examining 10 Enterprise Architecture Frameworks (EAF) for critical IT infrastructure (CITI) design such as Zachman’s, TOGAF, FEAF, DoDAF, BMDAF, NATOAF, TEAF, GEAF, RM-DOP, SOA. Architecture plays a major role in the development of information systems. The act of architecture design in the development cycle is generally understood to be systematic analysis and design of related information to provide a model for guiding the actual development of information systems.To date, there are more than 100 platforms for the development of architecture, which are divided for use in defense, government, open-source, proprietary. The platform helps to improve the understanding of the topic by providing systematic approaches to architectural design and development, but many aspects of architecture remain ambiguous. The uncertainty concerns the following: architecture (whether the architecture should cover only the software components or include other aspects of the development of critical IT infrastructure), the role of the architect (the role of the architect in the lifecycle of critical IT infrastructure development is often unclear), the results (which should be the result of architectural work – business function documents or a detailed project of critical IT infrastructure), architectural activities (includes design and modeling, but what level of detail is required use and when detailed design starts), architecture testing (how much we need to evaluate, check architecture design results), system requirements (size and complexity, whether systems of different sizes and complexity have the same system requirements for architectural design results), architecture level (which the relationship between the architecture of critical infrastructure enterprise and the stand-alone architecture of the critical IT infrastructure). For the architecture of a complex system such as critical IT infrastructure, there are provided considerations, which consist of several dimensions such as business requirements, technical requirements, criteria, current architecture and future architecture. We propose to analyze AF from different points of view. At first, we analyze AF in terms of their goals, inputs and outcomes. At second, each EAF was analyzed in the terms of Concepts, Modeling, and Process. As a third and fourth point of view, we use some qualitative and quantitative metrics for AF analysis.Исслеловано концепцию архитектуры критической информационной инфраструктуры путем анализа десяти корпоративных архитектурных платформ: Захмана, TOGAF, FEAF, DoDAF, BMDAF, NATOAF, TEAF, GEAF, RM-DOP, SOA. Арихитектура отыгрывает важную роль для разивития информационных систем. Акт создания архитектуры в цикле разработки, как правило, понимается як систематичный анализ и обработка соответствующей информации с целью создания модели для управления фактическим развитием информационных систем. На сегодняшний день существует более ста платформ для разработки архитектуры, которые делятся по использованию на оборонные, правительственные, открытого типа, проприетарные. Платформа помогает улучшить понимание темы путем предоставления систематические подходов к проектированию и развитию архитектуры, но много аспектов архитектуры остаются неоднозначными. Неясность состоит в следующем: осягаемость архитектуры (должна ли архитектура охватывать только программные компоненты или  включать другие аспекты развития критически важной ИТ-инфраструктруры, роль архитектора (роль архитектора в жизненном цикле разивития критической ИТ-инфраструктуры часто непонятна), результаты (что должно быть результатом работы с архитектурой – документы бизнес-функций или детальные проект критической ИТ-инфраструктуры), архитектурная деятельность (включает в себя проектирование и моделирование, но какой уровень детализации нужно использовать и когда начинается детальное проектирование), проверка архитектуры (насколько должны оценивать, проверять результаты проектирования архитектуры), системные требования (размер и сложность, могут ли системы различных размеров и сложности иметь одинаковые системные требования к результатам проектирования архитектуры), уровень архитектуры (какая взаимосвязь между архитектурой предприятия критической инфраструктуры и автономной архитектурой критической ИТ-инфраструктуры). Для архитектуры сложной системы, такой как критическая ИТ-инфраструктуры, изложены подходы, которые состоят из таких аспектов как бизнес-требования, технические требования, критерии, текущая и будущая архитектуры. Предлагается анализ платформ с различных точек зрения. Во-первых, они анализируются с точки зрения их целей, вкладов и результатов. Во-вторых, каждая платформа пронализирована в понятиях концепций, моделей и процесов. В качестве третьей и четвертой точе зрения использовано качественные и количественные показатели анализа приведенные платформ.Досліджено концепцію архітектури критичної інформаційної інфраструктури шляхом аналізування десяти корпоративних архітектурних платформ: Захмана, TOGAF, FEAF, DoDAF, BMDAF, NATOAF, TEAF, GEAF, RM-DOP, SOA. Архітектура відіграє важливу роль у розвитку інформаційних систем. Акт створення архітектури в циклі розробки, як правило, розуміється як систематичний аналіз та опрацювання відповідної інформації з метою створення моделі для керування фактичним розвитком інформаційних систем. На сьогоднішній день існує понад сто платформ для розробки архітектури, які поділяються за використанням на оборонні, урядові, відкритого типу, пропрієтарні. Платформа допомагає покращити розуміння теми шляхом надання систематичних підходів до проектування та розвитку архітектури, але багато аспектів архітектури залишаються неоднозначними. Неясність полягає в наступному: осяжність архітектури (чи повинна архітектура охоплювати лише програмні компоненти або включати інші аспекти розвитку критично важливої ІТ-інфраструктури), роль архітектора (роль архітектора в життєвому циклі розвитку критичної ІТ-інфраструктури часто незрозуміла), результати (що має бути результатом роботи з архітектурою - документи бізнес-функцій чи детальний проект критичної ІТ-інфраструктури), архітектурна діяльність (включає в себе проектування та моделювання, але який рівень деталізації потрібно використати та коли починається детальне проектування), перевірка архітектури (наскільки ми повинні оцінювати, перевіряти результати проектування архітектури), системні вимоги (розмір та складність, чи можуть системи різних розмірів та складності мати однакові системні вимоги до результатів проектування архітектури), рівень архітектури (який взаємозв'язок між архітектурою підприємства критичної інфраструктури та автономною архітектурою критичної ІТ-інфраструктури). Для архітектури складної системи, такої як критична ІТ-інфраструктура, представлені міркування, які складаються з таких аспектів, як бізнес-вимоги, технічні вимоги, критерії, поточна архітектура та майбутня архітектура. Ми пропонуємо аналізувати платформи з різних точок зору. Спочатку платформи аналізуються з точки зору їх цілей, внесків та результатів. По друге, кожна платформа проаналізована в поняттях концепцій, моделей та процесів. У якості третьої та четвертої точок зору використано деякі якісні та кількісні показники для аналізу наведених платформ

Використання ентропійного підходу для оцінювання ризиків безпеки інформації

The risk of information security as an influence of uncertainty on the achievement of goals is considered. In achieving the goals meant to ensure the confidentiality, integrity and availability of information. Estimation of such influence is carried out by the elimination of entropy as a measure of uncertainty. The state of uncertainty is described by the final scheme.  The variety of threats for information security and loss resulting from their implementation is set for its definition. It takes into account the existence of different threats that lead to the same losses, and threats, due to the implementation of which there are no losses. At the same time, the distribution of likelihood of damage as a result of the implementation of threats for information security is considered as known. The correctness of that approach is confirmed by the implementation of the entropy characteristics. Therefore, the use of an entropy approach allows to construct an intuitively more correct basis for quantitative risk assessment of information security. It is associated with a fact of operating the form of the distribution of a random variable but not its specific values. In this case, the advantages and disadvantages of the entropy approach are established. The using of fuzzy set theory and likelihood is offered to overcome the identified shortcomings in prospect.Рассматривается риск безопасности информации как влияние неопределенности на достижение целей. Под достижением целей понимается обеспечение конфиденциальности, целостности и доступности информации. Оценивание такого влияния осуществляется благодаря выбору энтропии в качестве меры неопределенности. Состояние неопределённости описывается конечной схемой. Для ее определения задаются множества угроз безопасности информации и ущерба вследствие их реализации. При этом учитывается существование отличных между собой угроз, которые приводят к одинаковому ущербу, а также угроз, вследствие реализации которых отсутствует ущерб. Тем не менее считается известным распределение вероятностей нанесения ущерба вследствие реализации угроз безопасности информации. Корректность данного подхода подтверждается выполнением свойств энтропии. Поэтому использование энтропийного подхода позволяет построить интуитивно более корректную базу количественного оценивания рисков безопасности информации. Это обусловлено тем, что оперируют формой распределения случайной величины, а не ее конкретными значениями. При этом устанавливаются преимущества и недостатки энтропийного подхода. Для преодоления установленных недостатков в перспективе предлагается использование теорий нечетких множеств и возможности.Розглядається ризик безпеки інформації як вплив невизначеності на досягнення цілей. Під досягненням цілей розуміється забезпечення конфіденційності, цілісності та доступності інформації. Оцінювання такого впливу здійснюється завдяки обиранню ентропії як міри невизначеності. Стан невизначеності описується кінцевою схемою. Для її визначення задаються множини загроз безпеці інформації та збитки внаслідок їх реалізації. При цьому враховується існування відмінних між собою загроз, що призводять до однакових збитків, а також загроз, унаслідок реалізації яких збитки відсутні. Водночас вважається відомим розподіл імовірностей нанесення збитків унаслідок реалізації загроз безпеці інформації. Коректність означеного підходу підтверджується виконанням властивостей ентропії. Тому використання ентропійного підходу дозволяє побудувати інтуїтивно більш коректну базу кількісного оцінювання ризиків безпеки інформації. Це обумовлено оперуванням формою розподілу випадкової величини, а не її конкретними значеннями. При цьому встановлюються переваги та недоліки ентропійного підходу. Для подолання означених недоліків у перспективах пропонується використання теорій нечітких множин і вірогідності