DEVELOPMENT OF THE AUTOMATED INFORMATION SYSTEM FOR ORGANIZATION’S INFORMATION SECURITY CULTURE LEVEL ASSESSMENT

Vitalii Lytvynov; Mariia Dorosh; Iryna Bilous; Mariia Voitsekhovska; Valentyn Nekhai

doi:10.25140/2411-5363-2020-1(19)-124-132

Автор(и)

Vitalii Lytvynov Chernihiv National University of Technology, Україна https://orcid.org/0000-0001-9622-3871
Mariia Dorosh Chernihiv National University of Technology, Україна https://orcid.org/0000-0001-6537-9857
Iryna Bilous Chernihiv National University of Technology, Україна https://orcid.org/0000-0003-3092-678X
Mariia Voitsekhovska Chernihiv National University of Technology, Україна https://orcid.org/0000-0002-1711-101X
Valentyn Nekhai Chernihiv National University of Technology, Україна https://orcid.org/0000-0002-6209-5661

DOI:

https://doi.org/10.25140/2411-5363-2020-1(19)-124-132

Ключові слова:

культура, інформаційна безпека, організація, персонал, інформаційна система

Анотація

Актуальність теми дослідження. Забезпечення ефективності впровадженої СЗІБ вимагає створення відповідної культури інформаційної безпеки співробітників організації з метою зниження ризиків, пов’язаних із людським чинником.

Постановка проблеми. Наявні сьогодні методики оцінки ІБ-ризиків випускають з поля зору людину як джерело потенційної вразливості. Враховуючи роль персоналу в СЗІБ організації, випливає необхідність у створенні автоматизованих систем оцінки людино-машинної взаємодії через рівень КІБ персоналу, а також інтегральний показник КІБ організації.

Аналіз останніх джерел і публікацій. Розглянуто публікації у вільному доступі, присвячені проблемам інтеграції культури інформаційної безпеки в корпоративну культуру організації як інструмента забезпечення належного рівня інформаційної безпеки бізнес-процесів.

Виділення недосліджених частин загальної проблеми. Аналіз джерел виявив відсутність формалізованих моделей оцінки рівня КІБ організації, а також автоматизованого процесу її оцінки.

Постановка завдання. Мета статті полягає в описі процесу отримання оцінки рівня КІБ організації за допомогою функціональної моделі в нотації IDEF0, архітектури та бази даних системи оцінки КІБ з метою підтримки СЗІБ організації.

Виклад основного матеріалу. Згідно з функціональними вимогами розроблено концептуальну модель бізнеспроцесу «Визначити рівень КІБ організації». Визначені вхідна інформація, керуючі елементи системи, елементи та механізми виконання, а також вихідна інформація. Для реалізації поставлених завдань запропоновано архітектуру та базу даних інформаційної системи оцінки рівня КІБ організації.

Висновки відповідно до статті. Запропоновано функціональну модель бізнес-процесів верхнього рівня. Сформовані функціональні вимоги стали основою для розробки архітектури інформаційної системи з описом її модулів та структури бази даних.

Біографії авторів

Vitalii Lytvynov, Chernihiv National University of Technology

Doctor of Technical Sciences, Professor

Mariia Dorosh, Chernihiv National University of Technology

Doctor in Technical Sciences, Professor

Iryna Bilous, Chernihiv National University of Technology

PhD in Technical Sciences, Associate Professor

Mariia Voitsekhovska, Chernihiv National University of Technology

PhD student

Valentyn Nekhai, Chernihiv National University of Technology

assistant

Посилання

Lomakov, Iu. A. (2013). Metodiki otsenivaniia riskov i ikh programmnye realizatsii v kompiuternykh setiakh [Methods of risk assessment and their software implementation in computer networks]. Molodoi uchenyi – Young scientist, 2, 43–46. URL: https://moluch.ru/archive/49/6279.

Begun, V. V., Shirokov, S. V., Begun, S. V., Pismenniy, E. M., Litvinov, V. V., Kazachkov, I. V. (2012). Kultura bezpekу v yadernіі energetitsi [Culture of safety in nuclear power]. Kyiv [in Ukrainian].

Da Veiga, A., & Eloff, J. H. P. (2010). A framework and assessment instrument for information security culture. Computers & Security, 29(2), 196–207. DOI: 10.1016/j.cose.2009.09.002.

Schlienger, Thomas & Teufel, Stephanie. (2003). Information security culture: From analysis to change. South African Computer Journal, 31, 46-52.

Van Niekerk, J. F., & Von Solms, R. (2010). Information security culture: A management perspective. Computers & Security, 29(4), 476–486. DOI: 10.1016/j.cose.2009.10.005.

Furnell, S., & Thomson, K. L. (2009). From culture to disobedience: Recognising the varying user acceptance of IT security. Computer Fraud and Security, 2009 (2), 5–10. DOI: 10.1016/S13613723(09)70019-3.

Flores, W., Antonsen, E. & Ekstedt, M. (2014). Information security knowledge sharing in organizations: Investigating the effect of behavioural information security governance and national culture. Computers & Security, 2014 (43), 90–110. DOI: 10.1016/j.cose.2014.03.004.

Alhogail, Areej & Mirza, A. (2014). A framework of information security culture change. Journal of Theoretical and Applied Information Technology, 64, 540–549.

Dubeikovskii, V. I. (2007). Effektivnoe modelirovanie s AllFusion Process Modeler [Effective modeling with AllFusion Process Modeler]. Moscow [in Russian].

Holota, Ya. Ya. (1992). O formalizatsii logiki nepolnykh znanii (logiki antonimov) [On the formalization of the logic of incomplete knowledge (the logic of antonyms)]. Logika i razvitie nauchnogo znaniia – Logic and development of scientific knowledge (рр. 92-112). St Petersburg University [in Russian].

Saaty, Thomas L. (2008-06). Relative Measurement and its Generalization in Decision Making: Why Pairwise Comparisons are Central in Mathematics for the Measurement of Intangible Factors – The Analytic Hierarchy/Network Process (PDF). RACSAM (Review of the Royal Spanish Academy of Sciences, Series A, Mathematics), 102 (2), 251–318.

Bellman, R. E., Zadeh, L. A. (1970). Decision-making in a fuzzy environment. Management Science, 17 (4), 141-164. DOI: 10.1287/mnsc.17.4.B141.

Shkarlet, S., Lytvynov, V., Dorosh, M., Trunova, E., Voitsekhovska, M. (2020). The Model of Information Security Culture Level Estimation of Organization. Mathematical Modeling and Simulation of Systems. MODS 2019. Advances in Intelligent Systems and Computing, 1019, 249-258. DOI: https://doi.org/10.1007/978-3-030-25741-5_25.

Pro informatsiiu [On information]. № 2657-XII (October 02, 1992). URL: https://zakon.rada. gov.ua/cgi-bin/laws/main.cgi?nreg=2657-12.

Pro zakhyst personalnykh danykh [On Protection of Personal Data]. № 2297-VI (June 01, 2010). URL: https://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=2297-17.

Pro osnovni zasady zabezpechennia kiberbezpeky Ukrainy [On basic principles of cyber security in Ukraine]. № 2163-VIII (October 05, 2017). URL: https://zakon.rada.gov.ua/laws/main/2163-19.

Pro zakhyst informatsii v informatsiino-telekomunikatsiinykh systemakh [On Protection of Information in Automated Systems]. № 80/94-VR (July 05, 1994). URL: https://zakon.rada.gov.ua/laws/ show/80/94-%D0%B2%D1%80.

Pro elektronni dokumenty ta elektronnyi dokumentoobih [On Electronic Documents and Electronic Documents Circulation]. № 851-IV (May 22, 2003). URL: https://zakon.rada.gov.ua/laws/show/851-15.

Informatsiyni tekhnologiyi. Metody zakhystu. Zvid pravyl dlya upravlinnya informatsiynoyu bezpekoyu (ISO/IEC 27002:2005, MOD): GSTU SUIB 2.0/ISO/IEC 27002:2010 [Information technology – Security techniques – Code of practice for information security management (ISO/IEC 27002:2005, MOD): Branch standard of Ukraine ISMS 2.0/ISO/IEC 27002:2010] (2010). Kyiv: National bank of Ukraine [in Ukrainian].

РОЗРОБКА АВТОМАТИЗОВАНОЇ ІНФОРМАЦІЙНОЇ СИСТЕМИ ОЦІНКИ РІВНЯ КУЛЬТУРИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ОРГАНІЗАЦІЇ

Автор(и)

DOI:

Ключові слова:

Анотація

Біографії авторів

Vitalii Lytvynov, Chernihiv National University of Technology

Mariia Dorosh, Chernihiv National University of Technology

Iryna Bilous, Chernihiv National University of Technology

Mariia Voitsekhovska, Chernihiv National University of Technology

Valentyn Nekhai, Chernihiv National University of Technology

Посилання

##submission.downloads##

Опубліковано

Як цитувати

Номер

Розділ

Ліцензія

Інформація

##plugins.block.developedBy.blockTitle##

Мова