Мохор, Володимир ВолодимировичБакалинський, Олександр ОлеговичЦуркан, Василь Васильович2020-05-282020-05-282018Мохор, В. Представлення оцінок ризиків інформаційної безпеки картою ризиків / Володимир Мохор, Олександр Бакалинський, Василь Цуркан // Information Technology and Security. – 2018. – Vol. 6, Iss. 2 (11). – Pp. 94–104. – Bibliogr.: 10 ref.https://ela.kpi.ua/handle/123456789/33840Розглянуто особливості представлення оцінок ризиків інформаційної безпеки картами ризику. На практиці така карта відображається координатною площино. Її осями позначено параметри ризику інформаційної безпеки. Це ймовірність реалізації загрози та величина втрат. Завдяки цьому визначається прийнятність окремого або групи ризиків інформаційної безпеки. Вона встановлюється шляхом вибору шкали оцінювання (якісної, кількісної або якісно-кількісної); розмірності карти ризику (рівнорозмірна, різнорозмірна). При використанні як рівнорозмірних, так і різнорозмірних карт ризиків інформаційної безпеки здебільшого використовуюється лінгвістичні шкали оцінювання (наприклад, “дуже низька”, “низька”, “середня”, “висока”, “дуже висока”). Такий підхід обмежується складністю зіставлення вірогідних оцінок параметрів ймовірності реалізації загрози та величини втрат. Це призводить до проблематичності визначення прийнятності оцінок ризиків інформаційної безпеки і, як наслідок, прийняття рішення про необхідність їх оброблення. Дане обмеження долається шляхом поєднання лінгвістичних і порядкових шкал. Поєднання шкал дозволяє подолати обмеженість зіставлення оцінок ризиків інформаційної безпеки та встановити чіткі межі на карті. Використання дискретних карт з чіткими (дискретними) межами доповнюється кольоровими позначеннями. Зеленим кольором виокремлюються прийнятні оцінки, червоним – неприйнятні. Рівень прийнятності задається експертом і залежить від його знань, навичок, підготовленості та досвіду. Адекватність використання дискретних карт ризиків інформаційної безпеки визначається її розмірністю. Тому за потреби можливе її підвищення. З одного боку можливе врахування проміжних значень величини ризику інформаційної безпеки. Тоді як, з іншого, призведе до перебору великої кількості пар (ймовірність реалізації загрози, величина втрат), складнощів їх сприйняття і зростання часу для прийняття рішення про доцільність/недоцільність оброблення неприйнятних ризиків інформаційної безпеки. Таким чином, використання дискретних карт обмежене складнощами, по-перше, оцінювання, зіставлення і врахування пар (ймовірність реалізації загрози, величина втрат). Врахування цих складнощів можливе завдяки представленню оцінок ризиків інформаційної безпеки неперервними картами.С. 94-104ukризик інформаційної безпекиоцінка ризику інформаційної безпекишкала оцінюваннякарта ризиківдискретна карта ризиківнеперервна карта ризиківinformation security riskinformation security risk assessmentrating scalerisk mapdiscrete risk mapcontinuous risk mapриск информационной безопасностиоценка риска информационной безопасностишкала оцениваниякарта рисковдискретная карта рисковнепрерывная карта рисковArticlehttps://doi.org/10.20535/2411-1031.2018.6.2.153494004.056.53