NAU Harvester System
Information risk: research methods and techniques, models and methods of risk identification
Наукові журнали Національного Авіаційного Університету
View Archive Info| Field | Value | |
| Title |
Information risk: research methods and techniques, models and methods of risk identification
Информационные риски: методы и способы исследования, модели рисков и методы их идентификации Інформаційні ризики: методи та способи дослідження, моделі ризиків і методи їх ідентифікації |
|
| Creator |
Архіпов, Олександр Євгенійович; НТУУ «КПІ»
Скиба, Андрій Володимирович; НТУУ «КПІ» |
|
| Subject |
Information Security
Information security; standards of risk management of information security; risk assessment methods; research investment in information security; psycho of attackers UDK 004.056 Информационная безопастность Информационная безопасность; стандарты по менеджменту рисков информационной безопасности; методы оценки рисков; исследование инвестиций в информационную безопасность; психотипы злоумышленников УДК 004.056 Інформаційна безпека інформаційна безпека; стандарти з менеджменту ризиків інформаційної безпеки; методи оцінювання ризиків; дослідження інвестицій в інформаційну безпеку; психотипи зловмисників УДК 004.056 |
|
| Description |
Legal documents in the field of information security, information risk assessment methods are considered, including economic-cost models to identify the probability parameters and structure of information risks, and applying these models to analyze investment in information security. Of course, for an adequate assessment of information risks and optimizing investments in information security used approaches and procedures, which are based on existing international standards of information security risk management. Unfortunately, these standards are more conceptual and advisory in nature. Based on this situation, many factors aren’t considered into account, which significantly affects the accuracy and objectivity of risk assessment. Economic-cost approach for analysis of risks, including well-known model of Gordon-Loeb, is focused mainly on the study of optimization aspects of risk management, but virtually eliminates the possibility of considering into account the specificity of these studies, the risk of a real object. It’s suggested that models, which use heuristic cost-motivational mechanisms to determine the parameters and structure of risks. These models allow combining methods of analysis and risk assessment methods, which are set out in international standards, with the possibilities of optimization researches of risk, inherent in the Gordon-Loeb model. In order to ensure more adequacy of these models to requirements of practical application, it’s proposed to input into their structure the psycho - social characteristics of the attacker.
Рассматриваются нормативно-правовые документы в области информационной безопасности, методы оценки информационных рисков, в частности экономико-стоимостные модели для идентификации вероятностных параметров и структуры информационных рисков, применение этих моделей для анализа инвестиций в информационную безопасность. Обычно для проведения адекватного оценивания информационных рисков и оптимизация объемов инвестиций в информационную безопасность применяются подходы и процедуры, опирающиеся на существующие международные стандарты по менеджменту рисков информационной безопасности. К сожалению, эти стандарты имеют преимущественно концептуально рекомендательный характер и не учитывают многих факторов, которые существенно влияют на точность и объективность оценки рисков. Экономико-стоимостной подход к анализу рисков, в частности известная модель Гордона-Лоэба, ориентированы преимущественно на исследование оптимизационных аспектов управления рисками, однако практически исключают возможность учета в этих исследованиях конкретики реального объекта риска. Предложены модели, которые используют эвристические мотивационно-стоимостные механизмы определения параметров и структуры рисков. Данные модели позволяют объединить изложенные в международных стандартах методы анализа и оценки рисков с возможностями оптимизационных исследований риска, заложенных в модели Гордона- Лоэба. Для обеспечения большей адекватности этих моделей требованиям практического применения предусмотрено введение в их структуру информации о психо-социальные характеристики злоумышленника. Розглядаються нормативно-правові документи в області інформаційної безпеки, методи оцінювання інформаційних ризиків, зокрема економіко-вартісні моделі для ідентифікації ймовірнісних параметрів та структури інформаційних ризиків, застосування цих моделей для аналізу інвестицій в інформаційну безпеку. Звичайно для проведення адекватного оцінювання інформаційних ризиків та оптимізації обсягів інвестицій в інформаційну безпеку застосовуються підходи та процедури, що спираються на існуючі міжнародні стандарти з менеджменту ризиків інформаційної безпеки. Нажаль, ці стандарти мають переважно концептуально-рекомендаційний характер і не враховують багатьох факторів, котрі суттєво впливають на точність та об’єктивність оцінювання ризиків. Економіко-вартісний підхід до аналізу ризиків, зокрема відома модель Гордона-Лоеба, орієнтована переважно на дослідження оптимізаційних аспектів управління ризиками, проте практично виключає можливість врахування у цих дослідженнях конкретики реального об’єкту ризику. Запропоновано моделі, які використовують евристичні мотиваційно-вартісні механізми визначення параметрів та структури ризиків. Дані моделі дозволяють об’єднати викладені в міжнародних стандартах методи аналізу та оцінювання ризиків з можливостями оптимізаційних досліджень ризику, закладених в моделі Гордона-Лоеба. Задля забезпечення більшої адекватності цих моделей вимогам практичного застосування до їх структури передбачено введення інформації про психо-соціальні характеристики зловмисника. |
|
| Publisher |
National Aviation University
|
|
| Contributor |
—
— — |
|
| Date |
2013-12-20
|
|
| Type |
—
— — |
|
| Format |
application/pdf
|
|
| Identifier |
http://jrnl.nau.edu.ua/index.php/ZI/article/view/5731
10.18372/2410-7840.15.5731 |
|
| Source |
Ukrainian Information Security Research Journal; Том 15, № 4 (2013); 366-375
Защита информации; Том 15, № 4 (2013); 366-375 Захист інформації; Том 15, № 4 (2013); 366-375 |
|
| Language |
uk
|
|
| Rights |
Authors who publish with this journal agree to the following terms: Authors retain copyright and grant the journal right of first publication with the work simultaneously licensed under a Creative Commons Attribution License that allows others to share the work with an acknowledgement of the work's authorship and initial publication in this journal.Authors are able to enter into separate, additional contractual arrangements for the non-exclusive distribution of the journal's published version of the work (e.g., post it to an institutional repository or publish it in a book), with an acknowledgement of its initial publication in this journal.Authors are permitted and encouraged to post their work online (e.g., in institutional repositories or on their website) prior to and during the submission process, as it can lead to productive exchanges, as well as earlier and greater citation of published work (See The Effect of Open Access).
Авторы, публикующие в данном журнале, соглашаются со следующим: Авторы сохраняют за собой авторские права на работу и предоставляют журналу право первой публикации работы на условиях лицензии Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным сохранением ссылок на авторов оригинальной работы и оригинальную публикацию в этом журнале.Авторы сохраняют право заключать отдельные контрактные договоронности, касающиеся не-эксклюзивного распространения версии работы в опубликованном здесь виде (например, размещение ее в институтском хранилище, публикацию в книге), со ссылкой на ее оригинальную публикацию в этом журнале.Авторы имеют право размещать их работу в сети Интернет (например в институтском хранилище или персональном сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению и большему количеству ссылок на данную работу (См. The Effect of Open Access). Автори, які публікуються у цьому журналі, погоджуються з наступними умовами: Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access). |
|