Information security risk assessment system – «RISK-CALCULATOR»

Authors

  • Александр Григорьевич Корченко Национальный авиационный университет, Украина
  • Берик Бахытжанович Ахметов Международный казахско-турецкий университет им. Ясави, Республика Казахстан
  • Светлана Владимировна Казмирчук Национальный авиационный университет, Украина
  • Егор Анатольевич Часновский Национальный авиационный университет, Украина

DOI:

https://doi.org/10.18372/2225-5036.23.11824

Keywords:

risk, risk assessment, information security risk assessment, risk assessment system, risk calculator, risk characteristics, information security systems resources, CVSS metrics

Abstract

In order to ensure the reliability of information processing procedures and to achieve the required level of information security, risk management of basic characteristics violations of information security system resources has a special place, such as confidentiality, integrity and accessibility. At the moment, to ensure that most existing systems of information security risks assessment function effectively, an expert support is required. As a result, it increases the cost and time of realization of the specified process. Therefore, it is relevant to develop such systems that will allow to automate the process of information security risks assessment, for example, by using the input values necessary for the operation (for example, CVSS metrics) from the relevant databases. In this regard, the structural-parametric model of the risk assessment system is proposed – “RISK-CALCULATOR”, which, due to the basic structural components (subsystems of primary and secondary data formation), allows to minimize the expert's participation and maximizes the process of formation of the parameters necessary for the assessment. Based on this, a basic algorithm and a software tool have been developed, which, unlike the known ones, uses as input the estimated parameters as CVSS metrics. This provides high flexibility and convenience when assessing the risks of information security systems resources in real time without involving experts in the relevant subject area.

Author Biographies

Александр Григорьевич Корченко, Национальный авиационный университет, Украина

Год и место рождения: 1961 год, г. Киев, Украина.

Образование: Киевский институт инженеров гражданской авиации (с 2000 года ‑ Национальный авиационный университет), 1983 год.

Должность: заведующий кафедрой безопасности информационных технологий с 2004 года, визит-профессор Университета в Бельско-Бялой (Гуманитарно-техническая академия в Бельско-Бялой, г. Бельско-Бяла, Польша), ведущий научный сотрудник Национальной академии СБ Украины.

Научные интересы: информационная и авиационная безопасность.

Публикации: более 300 научных публикаций, среди которых монографии, словари,

энциклопедия, учебники, учебные пособия, научные статьи и патенты на изобретения и др.

Берик Бахытжанович Ахметов, Международный казахско-турецкий университет им. Ясави, Республика Казахстан

Год и место рождения: 1985 год, г. Алматы, Казахстан.

Образование: Казахский национальный университет имени аль-Фараби, 2009 г.

Должность: Вице-президент по учебно-методической работе.

Научные интересы: информационная безопасность, бизнес-аналитика,

применение ИКТ в образовании.

Публикации: более 40 научных статьей в национальных и международных базах.

Светлана Владимировна Казмирчук, Национальный авиационный университет, Украина

Год и место рождения: 1985 год, г. Алматы, Казахстан.

Образование: Национальный авиационный университет, 2006 год.

Должность: доцент кафедры безопасности информационных технологий с 2012 года.

Научные интересы: информационная безопасность, системы менеджмента информационной безопасности, защита программного обеспечения, комплексные системы защиты информации, управление информационными рисками.

Публикации: более 90 публикаций, среди которых монографии, учебные пособия, учебно-методические комплексы дисциплин, научные статьи, материалы и тезисы докладов конференций.

Егор Анатольевич Часновский, Национальный авиационный университет, Украина

Год и место рождения: 1996 год, с. Ольшаница, Киевская обл., Ракитнянский р-н., Украина.

Образование: Национальный авиационный университет, 2017 год.

Должность: студент кафедры безопасности информационных технологий с 2013 года.

Научные интересы: информационная безопасность, программирование.

Публикации: материалы и тезисы докладов на научных конференциях.

References

А. Корченко, Построение систем защиты информации на нечетких множествах. Теория и практические решения, К.: МК-Пресс, 2006, с.320.

«Порядок проведення робіт із створення комплексної системи захисту інформації в інфор-маційно-телекомунікаційній системі [Текст]», НД ТЗІ 3.7-003.2005, Чин. 2005.11.08, К., ДСТСЗІ СБ Укра-їни, 2005, с. 12.

«Information technology. Security tech-niques. Information security management systems. Requirements», ISO/IEC 27001:2013, International Or-ganization for Standardization (ISO) and the Interna-tional Electrotechnical Commission (IEC), 2013, р. 34.

«International standard Risk management. Principles and guidelines», ISO/FDIS 31000:2009(E), International Organization for Standardization, JISC, 2009, р. 24.

«Common Vulnerability Scoring System v3.0: User Guide» [Electronic resource], Forum of Inci-dent Response and Security Teams, Morrisville, 2016, [Online]. Access mode: http://www.first.org/cvss/us er-guide.

С. Казмирчук, А. Гололобов, А. Арджо-мандифард, «Синтез систем оценивания рисков безопасности ресурсов информационных систем», Вісник Інженерної академії наук, №3, c. 78-81. 2016.

А. Корченко, А. Архипов, С. Казмирчук, Анализ и оценивание рисков информационной безопасности. Монография, Киев: ООО «Лазурит-Полиграф», 2013, с. 275.

А. Корченко, С. Казмирчук, «Качествен-но-количественный метод оценивания рисков ин-формационной безопасности», Захист інформації, №2, c. 157-170, 2016.

А. Корченко, С. Казмирчук, «Метод оце-нивания рисков информационной безопасности на основе открытых баз данных уязвимостей», Безпека інформації, №2, c. 216-226, 2016.

А. Корченко, С. Казмирчук, Ю. Дрейс, А. Гололобов, «Бистабильная интегрированная кортежная модель характеристик риска», Защита информации, №4, c. 314-323, 2016.

А. Корченко, С. Казмирчук, «Метод пре-образования интервалов в нечеткие числа для си-стем анализа и оценивания рисков», Правовое, нор-мативное и метрологическое обеспечение системы за-щиты информации в Украине, № 1(31), c. 57-64, 2016.

А. Корченко, Б. Ахметов, С. Казмирчук, Н. Сейлова, А. Гололобов, «Метод n-кратного по-нижения числа термов лингвистических перемен-ных в задачах анализа и оценивания рисков», За-хист інформації, Т. 16, №. 4, c. 284-291, 2014.

А. Корченко, Б. Ахметов, С. Казмирчук, М. Жекамбаева, «Метод n-кратного инкрементиро-вания числа термов лингвистических переменных в задачах анализа и оценивания рисков», Безпека ін-формації, Т.21, №2, c. 191-200, 2015.

Downloads

How to Cite

Корченко, А. Г., Ахметов, Б. Б., Казмирчук, С. В., & Часновский, Е. А. (2017). Information security risk assessment system – «RISK-CALCULATOR». Ukrainian Scientific Journal of Information Security, 23(2), 145–152. https://doi.org/10.18372/2225-5036.23.11824

Issue

Vol. 23 No. 2 (2017)

Section

Information Security Management

License

The scientific journal "Information Security" adheres to the principles of open science and provides free, free and permanent access to all published materials. The goal of the policy is to increase the visibility, citation and impact of the results of scientific research in the field of information security. The journal works according to the principles of Open Access and does not charge a fee for access to published articles.

All articles are published in Open Access under the Creative Commons Attribution 4.0 International (CC BY 4.0) license.

Copyright

Authors who publish their works in the journal “Information Security”:

  • retain the copyright to their publications;

  • grant the journal the right of first publication of the article;

  • agree to the distribution of their materials under the CC BY 4.0 license;

  • have the right to reuse, archive, and distribute their works (including in institutional and subject repositories), provided that proper reference is made to the original publication in the journal.