Інтерпретаційна модель оцінювання граничних ризиків інформаційноїбезпеки

Скорочена інформація про документ
dc.contributor.authorБезштанько, Віталій Михайлович
dc.contributor.authorЗінченко, Ярослав Вікторович
dc.date.accessioned2023-04-07T19:47:53Z
dc.date.available2023-04-07T19:47:53Z
dc.date.issued2020
dc.description.abstractВнесення змін до законодавства України дозволяє будувати, впроваджувати та проводити атестації систем захисту інформації, що є власністю держави, або вимоги щодо захисту якої встановлені Законом. При цьому рекомендується використовувати вимоги та/або настанови міжнародних практик, які передбачають використання ризик-орієнтованого підходу. Так, імплементований в Україні міжнародний стандарт ISO/IEС27001 рекомендує обрати або розробити метод оцінювання ризиків інформаційної безпеки. Разом з тим, за результатами аналізування відкритих джерел встановлено відсутність моделей і методів кількісного оцінювання їх граничних значень. Під інформаційними будемо розуміти ризики, пов’язані з можливістю виникнення втрат в результаті порушення властивостей конфіденційності, цілісності, доступності інформації. Тому метою даної статті є розроблення інтерпретаційної моделі, яка дозволить отримувати граничні значення ризиків інформаційної безпеки. Їхні кількісні значення можливо використовувати в якості критеріїв на етапі формування вимог до комплексної системи захисту інформації та/або системи управління інформаційної безпеки. За основу для розрахунку величини граничного значення ризику взято середньоквадратичне відхилення недоотриманого організацією прибутку за визначений період. Якщо прибуток перевищує запланований, то гіпотетично за період аналізу не було інцидентів, які б впливали на організацію. Оскільки інформаційні ризики є складовою ризиків організації, то відповідно до рекомендацій ISO/IEС 27005. За ним ризик визначається як ефект невизначеності щодо досягнення цілей. У даному випадку ефект –це позитивне чи негативне відхилення від очікуваного результату. Тоді гіпотетично отримане середнє квадратичне значення відхилення можна вважати оцінкою впливу інформаційної невизначеності адитивних інформаційних ресурсів на економічні результати, а отже і оцінкою прийнятного граничного значення інформаційного ризику організації. З огляду на це, запропоновано інтерпретаційну модель оцінювання граничних ризиків інформаційної безпеки та допустимих втрат за окремими складовими загроз порушення властивостей інформації як формалізацію впливу інформаційної невизначеності на економічні наслідки. Це дозволило кількісно визначати ці оцінки на підставі наявних фактичних економічних/вартісних показників функціонування організації.uk
dc.description.abstractotherAmendments to the legislation of Ukraine allow building, implementing, and conducting certifications of information protection systems owned by the state, or the requirements for the protection of which are established by law. It is recommended to use the requirements and/or guidelines of international practices that provide for the use of a risk-oriented approach. Thus, the international standard ISO/IES 27001 implemented in Ukraine recommends choosing or developing a method for assessing information security risks. At the same time, the results of the analysis of open sources revealed the absence of models and methods for quantifying their limit values. By informational, we mean the risks associated with the possibility of losses as a result due to violationsof the properties of confidentiality, integrity, availability of information. Therefore, the purpose of this article is to develop an interpretive model that will provide the limit values of information security risks. Their quantitative values could be used as criteria at the stage of formation requirements for a comprehensive information security system and / or information security management system. The basis for calculating the value of the risk limit value is the standard deviation of the uncollected profit for the period. If the profit exceeds the planned, then hypothetically during the analysis period there were no incidents that would affect resources. Information risks are a component of the organization's risks. According to the recommendations of ISO/IES 27005, where risk is the effect of uncertainty on the achievement of goals, and the effect is a positive or negative deviation from the expected, the hypothetically obtained standard deviation can be considered an assessment of the impact of information uncertainty of additive information resources on economic results. In addition, assessing the acceptable threshold of information risk of the organization. Thus, an interpretive model for estimating the marginal risks of information security and allowable losses on individual components of threatsto the information properties as a formalization of the impact of information uncertainty on financial consequences. This made it possible toquantify these estimates based on available actual economic / cost indicators of information activity in the organization.uk
dc.format.pagerangePp. 224-231uk
dc.identifier.citationБезштанько, В. Інтерпретаційна модель оцінювання граничних ризиків інформаційноїбезпеки / Безштанько Віталій Михайлович, Зінченко Ярослав Вікторович // Information Technology and Security. – 2020. – Vol. 8, Iss. 2 (15). – Pp. 224–231. – Bibliogr.: 15 ref.uk
dc.identifier.doihttps://doi.org/10.20535/2411-1031.2020.8.2.222610
dc.identifier.issn2411-1031
dc.identifier.orcid0000-0002-7998-246Xuk
dc.identifier.orcid0000-0001-9574-3947uk
dc.identifier.urihttps://ela.kpi.ua/handle/123456789/54397
dc.language.isoukuk
dc.publisherInstitute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”uk
dc.publisher.placeKyivuk
dc.relation.ispartofInformation Technology and Security : Ukrainian research papers collection, 2020, Vol. 8, Iss. 2 (15)uk
dc.rights.urihttps://creativecommons.org/licenses/by/4.0/
dc.subjectrisk analysisuk
dc.subjectrisk assessmentuk
dc.subjectinformation securityuk
dc.subjectrisk limitsuk
dc.subjectinterpretive modeluk
dc.subjectаналіз ризиківuk
dc.subjectоцінка ризиківuk
dc.subjectінформаційна безпекаuk
dc.subjectграничні значення ризиківuk
dc.subjectінтерпретаційна модельuk
dc.subject.udc004[056.53+413.4]::511.521uk
dc.titleІнтерпретаційна модель оцінювання граничних ризиків інформаційноїбезпекиuk
dc.title.alternativeInterpretation model of assessments boundary information security risksuk
dc.typeArticleuk

Файли

Контейнер файлів
Зараз показуємо 1 - 1 з 1
Ескіз
Назва:
222610-533872-1-10-20210603.pdf
Розмір:
568.96 KB
Формат:
Adobe Portable Document Format
Опис:
Завантажити
Ліцензійна угода
Зараз показуємо 1 - 1 з 1
Ескіз недоступний
Назва:
license.txt
Розмір:
9.1 KB
Формат:
Item-specific license agreed upon to submission
Опис:
Завантажити

Зібрання

Information Technology and Security, Vol. 8, Iss. 2 (15)