Методика кількісної оцінки ризиків із застосуванням онтології факторного аналізу інформаційних ризиків
DOI:
https://doi.org/10.33099/2304-2745/2020-2-69/72-78Ключові слова:
Факторний аналіз, інформаційні ризики, розрахунок ризику, частота події, що викликає втрати, магнітуда втрати.Анотація
На відміну від вже звичної схеми розвитку загроз (наприклад, у воєнній сфері), розвиток кіберзагроз відбувається за іншою логікою. У момент виявлення впливу загрози вона вже може спричинити суттєві негативні наслідки. При цьому оперативність роботи системи кібернетичної безпеки, зазвичай, суттєво відстає від темпів зростання матеріальних і нематеріальних збитків від реалізації загрози.
Для нейтралізації кіберзагроз в світовій практиці успішно використовується теорія управління ризиками, або ризик-менеджменту, яка, на жаль, ще рідко застосовується в українських реаліях. Відповідно до кращих сучасних практик кіберзахисту, оптимальна безпека досягається шляхом безперервного процесу ідентифікації, оцінки ризиків та постійної підтримки процесів безпеки у поєднанні з усуненням вразливих місць.
Стаття присвячена удосконаленню методики кількісної оцінки ризиків, яка використовує методи факторного аналізу інформаційних ризиків (ФАІР) шляхом їх декомпозиції, математичний апарат імітаційного моделювання, та дозволяє приймати більш виважені та обґрунтовані рішення щодо попередження настання негативних наслідків у разі реалізації визначених кібернетичних загроз.Наведений алгоритм розрахунку, у разі його реалізації в якості комп’ютерної програми, допоможе в реалізації проактивного реагування на загрози в системі забезпечення кібернетичної безпеки в Збройних Силах України.
В подальшому доцільно проаналізувати джерела отримання найбільш актуальних первинних даних, необхідних для функціонування імітаційної моделі та на основі проведених експериментів з’ясувати найбільш оптимальні шляхи підвищення ефективності функціонування системи забезпечення кібернетичної безпеки в Збройних Силах України та розробити відповідний програмний комплекс з метою розрахунків значень ризику за наведеними формулами.
Посилання
В Україні вперше розпочались курси з кіберзахисту для офіцерів-зв`язківців. Дата оновлення 28.01.2020. Сайт Defense Express. URL: https://defence-ua.com/index.php/home-page/9396-v-ukrayini-vpershe-rozpochalys-kursy-z-kiberzakhystu-dlya-ofitseriv-zv-yazkivtsiv (дата звернення: 28.01.2020).
Кацалап В. О., Устименко О. В Створення, розвиток та захист кібернетичного простору воєнної сфери України. Гілея: науковий вісник. Київ, 2013. Вип. 75 (№ 8). С. 519–521.
Устименко А. В., Кацалап В. О., Сарычев Ю. А. Киберпространство военной сферы. Информационная безопасность в свете Стратегии Казахстан-2050 : сб. трудов I междунар. науч.-практ. конф. (м. Астана, 12 сент. 2013 г.). Астана, 2013. С. 539–545.
Сніцаренко П. М, Саричев Ю. О., Рогов П. Д. Методика оцінки інформаційного впливу на елементи інформаційної інфраструктури держави. Пріоритетні напрямки розвитку телекомунікаційних систем та мереж спеціального призначення : зб. мат. VII наук.-техн. конф. НТТУ ДУТ. (м. Київ, 23 – 24 жовтня 2014 р.). Київ, 2014. С. 88–96.
Телелим В. М, Даник Ю. Г., Зінченко А. О. Модель оцінювання вразливостей систем з критичною кібернетичною інфраструктурою. Збірник наукових праць Центру воєнно-стратегічних досліджень Національного університету оборони України імені Івана Черняховського. Київ, 2018. № 2 (63). С. 63–67.
ВСТ 01.004.004 – 2014 (01). Інформаційна безпека держави у воєнній сфері. Терміни та визначення. Чинний від 2014-02-27. (Військовий стандарт).
ВСТ 01.004.002 – 2019 (02). Воєнна безпека. Стратегічне планування. Терміни та визначення. Чинний від 2020-01-01. (Військовий стандарт).
Jack Freund and Jack Jones “Measuring and Managing Information Risk. A FAIR Approach”. Waltham, MA 02451, USA, 2015. 392c.