Практичні аспекти оцінювання ризиків реалізації загроз в інформаційних системах

Автор(и)

  • Андрей Владимирович Скиба НТУУ «КПІ»
  • Александр Евгеньевич Архипов НТУУ «КПІ»

DOI:

https://doi.org/10.18372/2410-7840.16.7538

Ключові слова:

ризик, інтегральний (узагальнений) ризик, сумарний ризик, ризик атак (загроз), механізм виникнення ризику, імовірнісний параметр ризику

Анотація

Одна з нагальних проблем дослідження та експлуатації систем захисту інформації (СЗІ) – оцінювання узагальненого показника захищеності СЗІ, в якості якого часто виступає так званий інтегральний ризик. Це скалярний показник, що є відображенням набору часткових ризиків (ризиків атак, ризиків загроз, ризиків вразливостей окремих елементів інформаційних систем (ІС)). У статті сформульовані умови коректного відображення часткових ризиків в інтегральний. Розглянуто механізми виникнення ризиків, зокрема, процеси розвитку деструктивних наслідків реалізації загроз і утворення втрат. Досліджено проблеми, що виникають при оцінюванні імовірнісного параметра ризику і визначення рівня втрат у випадку множинних загроз. Запропоновано методику пріоритезации інформаційних активів ІВ за ступенем їх вразливості.

Біографії авторів

Андрей Владимирович Скиба, НТУУ «КПІ»

аспірант

Александр Евгеньевич Архипов, НТУУ «КПІ»

доктор технічних наук, професор кафедри інформаційної безпеки

Посилання

. Архипов А.Е. Применение среднего риска для оценивания эффективности защиты информационных систем. // Правове, нормативне та метрологічне забезпечення системи захисту

інформації в Україні. // науково-техн. зб. – Київ, 2007. – Вип.1(14). – с.60-67.

. Архипов А.Е. Экспертно-аналитический подход к оцениванию информационных рисков. // Інтелектуальні системи прийняття рішень та проблеми обчислювального інтелекту: Матеріали

міжнародної наукової конференції (ISDMSI'2009). Том 1. – Херсон: ХНТУ, 2009. – 288с, с.246-249.

. ДСТУ ISO/IEC TR13335-3:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом інформаційних технологій.

. ISO / IEC 27005 – Information security risk management.

. Архипов О.Є. Критерії визначення можливої шкоди національній безпеці України у разі розголошення інформації, що охороняється державою: моногр. / О.Є.Архипов, О.Є.Муратов. – К.: Наук.-вид. відділ НА СБ України, 2011. – 195с.

. Архипов О.Є., Касперський І.П. Застосування методології передбачення для оцінювання шкоди, заподіяної витоком секретної інформації. // Правове, нормативне та метрологічне забезпе-

чення системи захисту інформації в Україні. Київ-2007р, випуск 2(15). – С. 13-19.

. Архипов О.Є. Щодо методики ідентифікації та оцінювання активів системи інформаційних технологій //Захист інформації. – 2011. – №1(50), C. 42-47.

. Архипов А.Е. Технология построения комбинированных измерительных шкал для оценивания значимости информации. // Сб. «Адаптивні системи автоматичного управління», Київ: Техніка, №13(33), 2008. – С. 153-158.

##submission.downloads##

Опубліковано

2015-02-04

Як цитувати

Скиба, А. В., & Архипов, А. Е. (2015). Практичні аспекти оцінювання ризиків реалізації загроз в інформаційних системах. Захист інформації, 16(3), 215–222. https://doi.org/10.18372/2410-7840.16.7538

Номер

Том 16 № 3 (2014)

Розділ

Статті

Ліцензія

Науковий журнал дотримується принципів відкритого доступу (Open Access) та забезпечує вільний, негайний і постійний доступ до всіх опублікованих матеріалів без фінансових, технічних або юридичних обмежень для читачів.

Усі статті публікуються у відкритому доступі відповідно до ліцензії Creative Commons Attribution 4.0 International (CC BY 4.0).

Авторські права

Автори, які публікують свої роботи в журналі:

  • зберігають за собою авторські права на свої публікації;

  • надають журналу право на перше опублікування статті;

  • погоджуються на поширення матеріалів за ліцензією CC BY 4.0;

  • мають право повторно використовувати, архівувати та поширювати свої роботи (у тому числі в інституційних та тематичних репозитаріях) за умови посилання на первинну публікацію в журналі.