Розглянуто проблемні питання аналізу властивостей зрілості процесів захисту інформації. На підставі використання онтологічного підходу до аналізу, розроблено та запропоновано онтологічні моделі властивостей зрілості. Надано визначення основних властивостей.

Розглянуто сутність методів оцінювання ризиків Magerit та MEHARI. Сформульовано принципи системного підходу, що можуть використовуватися за умов оцінювання ризиків безпеки інформації. Описано методи системного аналізу, що використовуються у методах Magerit та MEHARI. Наведено результати порівняння досліджуваних методів та сформульовано пропозиції щодо синтезу вдосконаленого методу оцінки ризиків безпеки інформації.

Проведено аналіз вимог нормативних документів в частині формування профілів захищеності. Визначено недоліки існуючого підходу до формування профілю захищеності. Сформульовано вимоги до методу формування профілів захищеності, надано його опис. Показано, що розроблений метод відповідає вимогам із: часової складності, стандартизованості підходу (повторюваність і порівнюваність результатів), несуперечності нормативним документам, зрозумілості проміжних результатів та їх впливів на остаточний вибір, а також можливості самоперевірки особи, що використовує метод.

Запропоновано методи оцінки зрілості процесів захисту інформації на базі використання математичного апарату суб'єктивної логіки та експертних оцінок.

Розглянуто питання удосконалення організаційних методів захисту інформації. Розроблено методи та моделі оцінки зрілості процесів захисту інформації (ПЗІ). Створено модель та аналітичний вираз оцінки цільової зрілості ПЗІ, метод визначення відносної зрілості ПЗІ, які можуть мати різну цільову зрілість та складатися з довільної кількості підпроцесів, встановлено критерії черговості підвищення зрілості ПЗІ. Розроблено метод розв'язання задач контролю зрілості на базі використання методів комбінаторно-множинного аналізу. Обгрунтовано можливість врахування ступеня невизначеності в експертних оцінках (ЕО) зрілості ПЗІ за рахунок використання теорії суб'єктивної логіки (СЛ). Запропоновано метод оцінки поточної зрілості ПЗІ. Обгрунтовано можливість надання ЕО й одержання узагальнених оцінок природною мовою завдяки розбиттю множини ЕО на підмножини за співвідношенням рівнів довіри, недовіри та невизначеності та розбиття вимог зрілості на складові. Вперше побудовано функції залежності до зон базових думок у просторі СЛ. Проаналізовано принципи формування систем підтримки прийняття рішень у сфері захисту інформації. Визначено функції, що мають бути в системі експертної оцінки зрілості ПЗІ, використання якої дозволяє автоматизувати діяльність з оцінки зрілості ПЗІ на базі розроблених методів і моделей.

Обгрунтовано можливість використання апарату суб'єктивної логіки для оцінки зрілості систем забезпечення безпеки інформації. Розглянуто алгоритми формування думок у просторі суб'єктивної логіки. Запропоновано новий метод, заснований на використанні зон базових думок, та обговорено особливості його застосування.

Запропоновано методику визначення цільового профілю зрілості з урахуванням вимог до конфіденційності, цілісності та доступності критичних інформаційних ресурсів.

Запропоновано методику формування вербальних оцінок зрілості процесів із забезпечення безпеки інформації. Використано математичний апарат суб'єктивної логіки та зони базових думок.

Запропоновано підхід до побудови функцій належності експертних оцінок щодо зрілості процесів захисту інформації до зон базових думок у просторі суб'єктивної логіки.

Запропоновано модель управління процесами захисту інформації, що дозволяє впроваджувати у практику захисту інформації вимоги стандарту ISO/IEC 27001. Визначено два контури управління - контур управління за результативністю та контур управлінця за зрілістю.