Risk assessment and analysis for threats and vulnerabilities of the corporate infrastructure information system
| dc.contributor.author | Smirnov, Serhii | |
| dc.contributor.author | Polutsyhanova, Viktoriia | |
| dc.date.accessioned | 2026-01-26T13:43:00Z | |
| dc.date.available | 2026-01-26T13:43:00Z | |
| dc.date.issued | 2025 | |
| dc.description.abstract | This article presents a methodological approach to assessing risks associated with the threats and vulnerabilities of the information system of a corporate infrastructure object (ISCIO). The relevance of this topic is due to the growing number and complexity of cyber threats and the need for more accurate risk assessment tools that account for the structure of interdependencies between potential vulnerabilities and attacks.The main problem addressed in the study is the insufficient precision of traditional risk assessment methods that do not reflect the composite nature of threats within complex systems. To solve this issue, the authors employ an extended Q-analysis methodology, which considers the structural relationships between threats and vulnerabilities to form a more detailed risk model.The purpose of the study is to apply the theoretical foundations of extended Q-analysis to a practical example using real expert data. As part of this, the authors construct an incidence matrix between threats and vulnerabilities, form a simplex complex, and build a structural tree to visualize interdependencies. Based on these models, calculations are performed to estimate the loss values associated with each threat and their combinations (“gluing”). Using optimization methods, including the Lagrange method, the authors identify conditions for maximum and minimum risk, analyze the behavior of the risk function under different probability distributions, and construct comparative graphs.The results demonstrate that the refined methodology allows a reduction in overall risk by up to 23.3% compared to linear models, depending on the threat distribution. The findings confirm the practical value of the proposed approach, offering more accurate risk estimates and improved decision-making support in cybersecurity management of complex information systems | |
| dc.description.abstractother | У статті представлено методологічний підхід до оцінювання ризиків, пов’язаних із загрозами та вразливостями інформаційної системи об’єкта корпоративної інфраструктури (ІСКІО). Актуальність теми зумовлена зростанням кількості та складності кіберзагроз, а також потребою у точніших інструментах оцінювання ризиків, що враховують структуру взаємозалежностей між потенційними вразливостями та атаками.Основною проблемою дослідження є недостатня точність традиційних методів оцінювання ризиків, які не відображають складної структури загроз у комплексних системах. Для вирішення цієї проблеми автори використовують розширений Q-аналіз, який дозволяє враховувати структурні зв’язки між загрозами та вразливостями з метою формування більш деталізованої моделі ризиків.Метою дослідження є практичне застосування теоретичних основ розширеного Q-аналізу на прикладі з використанням реальних експертних даних. У рамках дослідження сформовано матрицю інцидентності між загрозами та вразливостями, побудовано симплекс-комплекс і структурне дерево для візуалізації взаємозв’язків. На основі цих моделей виконано розрахунки величин втрат для кожної загрози та їх комбінацій (так званих «склеювань»). Із застосуванням методів оптимізації, зокрема методу Лагранжа, визначено умови досягнення максимуму та мінімуму ризику, проаналізовано поведінку функції ризику залежно від розподілу ймовірностей та побудовано порівняльні графіки.Результати свідчать, що запропонована методика дозволяє зменшити загальний ризик до 23,3% у порівнянні з лінійними моделями, залежно від профілю загроз. Отримані висновки підтверджують практичну цінність підходу та підвищують точність оцінювання ризиків для підтримки прийняття рішень у сфері кіберзахисту складних інформаційних систем | |
| dc.format.pagerange | P. 192-203 | |
| dc.identifier.citation | Smirnov, S. Risk assessment and analysis for threats and vulnerabilities of the corporate infrastructure information system / Serhii Smirnov, Viktoriia Polutsyhanova // Information Technology and Security. – 2025. – Vol. 13, Iss. 2 (25). – P. 192-203. – Bibliogr.: 8 ref. | |
| dc.identifier.doi | https://doi.org/10.20535/2411-1031.2025.13.2.344595 | |
| dc.identifier.orcid | 0000-0003-4190-5204, | |
| dc.identifier.orcid | 0000-0002-9729-5786 | |
| dc.identifier.uri | https://ela.kpi.ua/handle/123456789/78437 | |
| dc.language.iso | en | |
| dc.publisher | Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute” | |
| dc.publisher.place | Kyiv | |
| dc.relation.ispartof | Information Technology and Security, Vol. 13, Iss. 2 (25) | |
| dc.rights.uri | https://creativecommons.org/licenses/by/4.0/ | |
| dc.subject | risk assessment | |
| dc.subject | infrastructure | |
| dc.subject | Q-analysis | |
| dc.subject | information system | |
| dc.subject | оцінювання ризику | |
| dc.subject | інфраструктура | |
| dc.subject | Q-аналіз | |
| dc.subject | інформаційна система | |
| dc.subject.udc | 004.056 | |
| dc.title | Risk assessment and analysis for threats and vulnerabilities of the corporate infrastructure information system | |
| dc.title.alternative | Оцінювання та аналіз ризиків для загроз та вразливостей інформаційної системи корпоративної інфраструктури | |
| dc.type | Article |
Файли
Контейнер файлів
1 - 1 з 1
Ліцензійна угода
1 - 1 з 1
Ескіз недоступний
- Назва:
- license.txt
- Розмір:
- 8.98 KB
- Формат:
- Item-specific license agreed upon to submission
- Опис: