Запис Детальніше

Інформаційні ризики: методи та способи дослідження, моделі ризиків і методи їх ідентифікації

Наукові журнали НАУ

Переглянути архів Інформація
 
 
Поле Співвідношення
 
Title Інформаційні ризики: методи та способи дослідження, моделі ризиків і методи їх ідентифікації
Information risk: research methods and techniques, models and methods of risk identification
Информационные риски: методы и способы исследования, модели рисков и методы их идентификации
 
Creator Архіпов, Олександр Євгенійович; НТУУ «КПІ»
Скиба, Андрій Володимирович; НТУУ «КПІ»
 
Subject Інформаційна безпека
інформаційна безпека; стандарти з менеджменту ризиків інформаційної безпеки; методи оцінювання ризиків; дослідження інвестицій в інформаційну безпеку; психотипи зловмисників
УДК 004.056
Information Security
Information security; standards of risk management of information security; risk assessment methods; research investment in information security; psycho of attackers
UDK 004.056
Информационная безопастность
Информационная безопасность; стандарты по менеджменту рисков информационной безопасности; методы оценки рисков; исследование инвестиций в информационную безопасность; психотипы злоумышленников
УДК 004.056
 
Description Розглядаються нормативно-правові документи в області інформаційної безпеки, методи оцінювання інформацій­них ризиків, зокрема економіко-вартісні моделі для ідентифікації ймовірнісних параметрів та структури інфо­рмаційних ризиків, застосування цих моделей для аналізу інвестицій в інформаційну безпеку. Звичайно для прове­дення адекватного оцінювання інформаційних ризиків та оптимізації обсягів інвестицій в інформаційну безпеку застосовуються підходи та процедури, що спираються на існуючі міжнародні стандарти з менеджменту ризиків інформаційної безпеки. Нажаль, ці стандарти мають переважно концептуально-рекомендаційний характер і не враховують багатьох факторів, котрі суттєво впливають на точність та об’єктивність оцінювання ризиків. Економіко-вартісний підхід до аналізу ризиків, зокрема відома модель Гордона-Лоеба, орієнтована переважно на дослідження оптимізаційних аспектів управління ризиками, проте практично виключає можливість врахування у цих дослідженнях конкретики реального об’єкту ризику. Запропоновано моделі, які використовують евристичні мотиваційно-вартісні механізми визначення параметрів та структури ризиків. Дані моделі дозволяють об’єд­нати викладені в міжнародних стандартах методи аналізу та оцінювання ризиків з можливостями оптиміза­ційних досліджень ризику, закладених в моделі Гордона-Лоеба. Задля забезпечення більшої адекватності цих моде­лей вимогам практичного застосування до їх структури передбачено введення інформації про психо-соціальні ха­рактеристики зловмисника.
Legal documents in the field of information security, information risk assessment methods are considered, including economic-cost models to identify the probability parameters and structure of information risks, and applying these models to analyze investment in information security. Of course, for an adequate assessment of information risks and optimizing investments in information security used approaches and procedures, which are based on existing international standards of information security risk management. Unfortunately, these standards are more conceptual and advisory in nature. Based on this situation, many factors aren’t considered into account, which significantly affects the accuracy and objectivity of risk assessment. Economic-cost approach for analysis of risks, including well-known model of Gordon-Loeb, is focused mainly on the study of optimization aspects of risk management, but virtually eliminates the possibility of considering into account the specificity of these studies, the risk of a real object. It’s suggested that models, which use heuristic cost-motivational mechanisms to determine the parameters and structure of risks. These models allow combining methods of analysis and risk assessment methods, which are set out in international standards, with the possibilities of optimization researches of risk, inherent in the Gordon-Loeb model. In order to ensure more adequacy of these models to requirements of practical application, it’s proposed to input into their structure the psycho - social characteristics of the attacker.
Рассматриваются нормативно-правовые документы в области информационной безопасности, методы оценки информационных рисков, в частности эконо­мико-стоимостные модели для идентификации веро­ятностных параметров и структуры информационных рисков, применение этих моделей для анализа инве­стиций в информационную безопасность. Обычно для проведения адекватного оценивания информаци­онных рисков и оптимизация объемов инвестиций в информационную безопасность применяются под­ходы и процедуры, опирающиеся на существующие международные стандарты по менеджменту рисков ин­формационной безопасности. К сожалению, эти стан­дарты имеют преимущественно концептуально реко­мендательный характер и не учитывают многих факто­ров, которые существенно влияют на точность и объ­ективность оценки рисков. Экономико-стоимостной подход к анализу рисков, в частности известная модель Гордона-Лоэба, ориентированы преимущественно на исследование оптимизационных аспектов управления рисками, однако практически исключают возмож­ность учета в этих исследованиях конкретики реаль­ного объекта риска. Предложены модели, которые ис­пользуют эвристические мотивационно-стоимостные механизмы определения параметров и структуры рис­ков. Данные модели позволяют объединить изложен­ные в международных стандартах методы анализа и оценки рисков с возможностями оптимизационных исследований риска, заложенных в модели Гордона- Лоэба. Для обеспечения большей адекватности этих моделей требованиям практического применения предусмотрено введение в их структуру информации о психо-социальные характеристики злоумышленника.
 
Publisher Національний авіаційний університет
 
Contributor


 
Date 2014-02-14
 
Type


 
Format application/pdf
 
Identifier http://jrnl.nau.edu.ua/index.php/ZI/article/view/5731
 
Source Защита информации; Том 15, № 4 (2013); 366-375
Захист інформації; Том 15, № 4 (2013); 366-375
Ukrainian Information Security Research Journal; Том 15, № 4 (2013); 366-375
 
Language uk
 
Rights Автори, які публікуються у цьому журналі, погоджуються з наступними умовами: Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).
Авторы, публикующие в данном журнале, соглашаются со следующим: Авторы сохраняют за собой авторские права на работу и предоставляют журналу право первой публикации работы на условиях лицензии Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным сохранением ссылок на авторов оригинальной работы и оригинальную публикацию в этом журнале.Авторы сохраняют право заключать отдельные контрактные договоронности, касающиеся не-эксклюзивного распространения версии работы в опубликованном здесь виде (например, размещение ее в институтском хранилище, публикацию в книге), со ссылкой на ее оригинальную публикацию в этом журнале.Авторы имеют право размещать их работу в сети Интернет (например в институтском хранилище или персональном сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению и большему количеству ссылок на данную работу (См. The Effect of Open Access).
Authors who publish with this journal agree to the following terms: Authors retain copyright and grant the journal right of first publication with the work simultaneously licensed under a Creative Commons Attribution License that allows others to share the work with an acknowledgement of the work's authorship and initial publication in this journal.Authors are able to enter into separate, additional contractual arrangements for the non-exclusive distribution of the journal's published version of the work (e.g., post it to an institutional repository or publish it in a book), with an acknowledgement of its initial publication in this journal.Authors are permitted and encouraged to post their work online (e.g., in institutional repositories or on their website) prior to and during the submission process, as it can lead to productive exchanges, as well as earlier and greater citation of published work (See The Effect of Open Access).