Представлення оцінок ризиків інформаційної безпеки картою ризиків

Ескіз

Файли

ITS2018-6-2_08.pdf (785.67 KB)

Дата

2018

Автори

Науковий керівник

Назва журналу

Номер ISSN

Назва тому

Видавець

Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”

Анотація

Розглянуто особливості представлення оцінок ризиків інформаційної безпеки картами ризику. На практиці така карта відображається координатною площино. Її осями позначено параметри ризику інформаційної безпеки. Це ймовірність реалізації загрози та величина втрат. Завдяки цьому визначається прийнятність окремого або групи ризиків інформаційної безпеки. Вона встановлюється шляхом вибору шкали оцінювання (якісної, кількісної або якісно-кількісної); розмірності карти ризику (рівнорозмірна, різнорозмірна). При використанні як рівнорозмірних, так і різнорозмірних карт ризиків інформаційної безпеки здебільшого використовуюється лінгвістичні шкали оцінювання (наприклад, “дуже низька”, “низька”, “середня”, “висока”, “дуже висока”). Такий підхід обмежується складністю зіставлення вірогідних оцінок параметрів ймовірності реалізації загрози та величини втрат. Це призводить до проблематичності визначення прийнятності оцінок ризиків інформаційної безпеки і, як наслідок, прийняття рішення про необхідність їх оброблення. Дане обмеження долається шляхом поєднання лінгвістичних і порядкових шкал. Поєднання шкал дозволяє подолати обмеженість зіставлення оцінок ризиків інформаційної безпеки та встановити чіткі межі на карті. Використання дискретних карт з чіткими (дискретними) межами доповнюється кольоровими позначеннями. Зеленим кольором виокремлюються прийнятні оцінки, червоним – неприйнятні. Рівень прийнятності задається експертом і залежить від його знань, навичок, підготовленості та досвіду. Адекватність використання дискретних карт ризиків інформаційної безпеки визначається її розмірністю. Тому за потреби можливе її підвищення. З одного боку можливе врахування проміжних значень величини ризику інформаційної безпеки. Тоді як, з іншого, призведе до перебору великої кількості пар (ймовірність реалізації загрози, величина втрат), складнощів їх сприйняття і зростання часу для прийняття рішення про доцільність/недоцільність оброблення неприйнятних ризиків інформаційної безпеки. Таким чином, використання дискретних карт обмежене складнощами, по-перше, оцінювання, зіставлення і врахування пар (ймовірність реалізації загрози, величина втрат). Врахування цих складнощів можливе завдяки представленню оцінок ризиків інформаційної безпеки неперервними картами.

Опис

Ключові слова

ризик інформаційної безпеки, оцінка ризику інформаційної безпеки, шкала оцінювання, карта ризиків, дискретна карта ризиків, неперервна карта ризиків, information security risk, information security risk assessment, rating scale, risk map, discrete risk map, continuous risk map, риск информационной безопасности, оценка риска информационной безопасности, шкала оценивания, карта рисков, дискретная карта рисков, непрерывная карта рисков

Бібліографічний опис

Мохор, В. Представлення оцінок ризиків інформаційної безпеки картою ризиків / Володимир Мохор, Олександр Бакалинський, Василь Цуркан // Information Technology and Security. – 2018. – Vol. 6, Iss. 2 (11). – Pp. 94–104. – Bibliogr.: 10 ref.

URI

https://ela.kpi.ua/handle/123456789/33840

DOI

https://doi.org/10.20535/2411-1031.2018.6.2.153494

Зібрання

Information Technology and Security, Vol. 6, Iss. 2 (11)