Пилипенко Д. Ю. Модель інституціонального управління і метод оцінювання культури інформаційної безпеки

Об'єкт дослідження - інституціональне управління як явище. Мета дослідження - розробка онтологічних моделей предметної галузі інституту і культури інформаційної безпеки, моделі інституціонального управління діяльністю із захисту інформації і методу оцінювання рівня культури інформаційної безпеки (КІБ), що дозволить зменшити ймовірність виникнення ризиків безпеки, які пов'язані із діяльністю суб'єктів захисту інформації, за рахунок підвищення ефективності керуючих впливів керуючого суб'єкта діяльності із захисту інформації. Методи дослідження: онтологічне моделювання - для побудови онтологічних моделей предметної галузі інституту і культури інформаційної безпеки в нотації UML; методи теорії множин та елементи теорії управління організаційними системами - для побудови моделі інституціонального управління діяльністю із захисту інформації; математичний апарат лінгвістичних змінних - для формалізації якісних характеристик об'єкта оцінювання; методи теорії графів - для побудови дерева комплексного оцінювання. Апаратура - персональний комп'ютер. Теоретичні і практичні результати досліджень - отримані наукові та практичні результати в сукупності вирішують актуальне науково-практичне завдання, пов'язане із зменшенням ймовірності виникнення інцидентів безпеки, причиною яких є діяльність персоналу організації, за рахунок розробки моделі інституціонального управління діяльністю із захисту інформації та методу оцінювання рівня КІБ; розроблений програмний засіб у вигляді системи підтримки прийняття рішень дозволяє підвищити швидкість прийняття рішень особою, що приймає рішення, зменшити ймовірність помилки за рахунок часткової автоматизації процедури генерації матриць згортання та ефективної візуалізації отриманих результатів. Наукова новизна - вперше розроблено онтологічні моделі предметної галузі інституту та культури інформаційної безпеки, які базуються на результатах контент-аналізу, що надає можливість сформувати термінологічне ядро предметної галузі та встановити зв'язки між компонентами культури інформаційної безпеки і суб'єктами діяльності із захисту інформації; набула подальшого розвитку узагальнена модель діяльності із захисту інформації, що на відміну від існуючих розкриває особливості формування керуючих впливів центру безпеки з урахуванням гіпотези раціональної поведінки агента безпеки, що за рахунок моделювання інституціонального управління діяльністю із захисту інформації надає можливість формалізації процесу прийняття рішень центром та агентом безпеки; вперше запропоновано метод оцінювання рівня культури інформаційної безпеки, який ґрунтується на використанні матриць згортання, що дозволяє отримати комплексну оцінку рівня культури інформаційної безпеки за рахунок удосконалень механізму оцінювання на основі матриць згортання та використання способу формування множини показників культури інформаційної безпеки. Результати дисертаційного дослідження знайшли своє практичне застосування на підприємствах ЗАТ "ІІТ" і ЗАТ "VEMARA" (Вільнюс, Литва), а також у навчальному процесі Харківського національного університету радіоелектроніки під час проведення лекцій з дисципліни "Основи управління інформаційною безпекою" (Харків, Україна). Наукові та практичні результати дисертаційної роботи можуть бути використані в організаціях різного профілю з метою зменшення ймовірності виникнення інцидентів безпеки, пов'язаних з діяльністю або поведінкою персоналу.