Information Technology and Security, Vol. 8, Iss. 2 (15)

Постійне посилання зібрання

https://ela.kpi.ua/handle/123456789/54311

Переглянути

Перегляд Information Technology and Security, Vol. 8, Iss. 2 (15) за Автор "Безштанько, Віталій Михайлович"

Зараз показуємо 1 - 1 з 1
  • Ескіз
    ДокументВідкритий доступ
    Інтерпретаційна модель оцінювання граничних ризиків інформаційноїбезпеки
    (Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”, 2020) Безштанько, Віталій Михайлович; Зінченко, Ярослав Вікторович
    Внесення змін до законодавства України дозволяє будувати, впроваджувати та проводити атестації систем захисту інформації, що є власністю держави, або вимоги щодо захисту якої встановлені Законом. При цьому рекомендується використовувати вимоги та/або настанови міжнародних практик, які передбачають використання ризик-орієнтованого підходу. Так, імплементований в Україні міжнародний стандарт ISO/IEС27001 рекомендує обрати або розробити метод оцінювання ризиків інформаційної безпеки. Разом з тим, за результатами аналізування відкритих джерел встановлено відсутність моделей і методів кількісного оцінювання їх граничних значень. Під інформаційними будемо розуміти ризики, пов’язані з можливістю виникнення втрат в результаті порушення властивостей конфіденційності, цілісності, доступності інформації. Тому метою даної статті є розроблення інтерпретаційної моделі, яка дозволить отримувати граничні значення ризиків інформаційної безпеки. Їхні кількісні значення можливо використовувати в якості критеріїв на етапі формування вимог до комплексної системи захисту інформації та/або системи управління інформаційної безпеки. За основу для розрахунку величини граничного значення ризику взято середньоквадратичне відхилення недоотриманого організацією прибутку за визначений період. Якщо прибуток перевищує запланований, то гіпотетично за період аналізу не було інцидентів, які б впливали на організацію. Оскільки інформаційні ризики є складовою ризиків організації, то відповідно до рекомендацій ISO/IEС 27005. За ним ризик визначається як ефект невизначеності щодо досягнення цілей. У даному випадку ефект –це позитивне чи негативне відхилення від очікуваного результату. Тоді гіпотетично отримане середнє квадратичне значення відхилення можна вважати оцінкою впливу інформаційної невизначеності адитивних інформаційних ресурсів на економічні результати, а отже і оцінкою прийнятного граничного значення інформаційного ризику організації. З огляду на це, запропоновано інтерпретаційну модель оцінювання граничних ризиків інформаційної безпеки та допустимих втрат за окремими складовими загроз порушення властивостей інформації як формалізацію впливу інформаційної невизначеності на економічні наслідки. Це дозволило кількісно визначати ці оцінки на підставі наявних фактичних економічних/вартісних показників функціонування організації.