Record Details

ЗАСТОСУВАННЯ ЕКОНОМІКО- ВАРТІСНИХ МОДЕЛЕЙ ІНФОРМАЦІЙНИХ РИЗИКІВ ДЛЯ ОЦІНЮВАННЯ ГРАНИЧНОГО ОБСЯГУ ІНВЕСТИЦІЙ В БЕЗПЕКУ ІНФОРМАЦІЇ

Наукові журнали Національного Авіаційного Університету

View Archive Info
 
 
Field Value
 
Title ЗАСТОСУВАННЯ ЕКОНОМІКО- ВАРТІСНИХ МОДЕЛЕЙ ІНФОРМАЦІЙНИХ РИЗИКІВ ДЛЯ ОЦІНЮВАННЯ ГРАНИЧНОГО ОБСЯГУ ІНВЕСТИЦІЙ В БЕЗПЕКУ ІНФОРМАЦІЇ
APPLICATION OF ECONOMIC-COST MODEL OF INFORMATION RISKS FOR EVALUATION LIMITЕВ VOLUME OF INVESTMENT IN INFORMATION SECURITY
ПРИМЕНЕНИЕ ЭКОНОМИКО-СТОИМОСТНЫХ МОДЕЛЕЙ ИНФОРМАЦИОННЫХ РИСКОВ ДЛЯ ОЦЕНИВАНИЯ ПРЕДЕЛЬНЫХ ОБЪЕМОВ ИНВЕСТИЦИЙ В БЕЗОПАСНОСТЬ ИНФОРМАЦИИ
 
Creator Архипов, Александр Евгеньевич; НТУУ «КПІ»
 
Subject Інформаційна безпека
ризик; моделювання ризиків; економіко-вартісні моделі; діапазон розумних инвестицій.
УДК 004.056.53
Information Security
risk; risk modeling; economic and cost models; the range of reasonable investment.
UDC 004.056.53
Информационная безопасность
риск; моделирование рисков; экономико-стоимостные модели; диапазон разумных инвестици.
УДК 004.056.53
 
Description Розглядаеться проблема визначення максимального розміру інвестицій в систему захисту інформації.Здійснено аналіз публікацій, що містять матеріали,пов'язані з дослідженням та розвитком підходу Гордона-Лоеба, в якому обґрунтовується граничний обсягінвестицій у безпеку інформації. Показано, що даний підхід не дозволяє отримати однозначну відповідь:суб'єктивний формально-апроксимативних спосіб завдання моделі, на якій базується одержуване рішення, породжує множинність можливих моделей і, як наслідок, - множинність рішень. Запропоновано підхід до вирішення завдання визначення обсягу інвестицій в систему захисту інформації, заснований на дослідженні моделі інформаційних ризиків. Формуванняїї структури і параметрів базується на використаннівідомостей про реальні механізми розвитку та реалізації інформаційних загроз, зокрема, на економіко-вартісній моделі, що використовується для оцінюван-ня ймовірності успішної реалізації атак вразливостей інформаційної системи. За результатами дослідженняотримана оцінка максимального обсягу інвестицій всистему захисту інформації, яка дорівнює 25% вартості інформаційного ресурсу, який підлягає захисту (абовтрат, зумовлених реалізацією загрози щодо цьогоресурсу). Відзначено, що при застосуванні в системі захисту інформації високоефективних рішень рівень інвестування може бути зменшений до 11-13%. Розглянуто перспективи застосування в дослідженнях моделей, які грунтуються на мотиваційних та ресурсних відносинах, характерних для ситуації «атака-захист» вінформаційній сфері.
The article analyzes the problem of determination of themaximum amount of investment in information security. Itis studied the approach of Gordon-Loeb, which justifiedthe limit investment in information security. It is analyzedthe publications containing materials related to the exposureand the development of this approach. It is shownthat this approach does not ensure univocal answer. Thereason for this is a subjective formal-approximation way ofdefining of a model, which is basis for the solution. Thisway gives multiplicity of possible models and, as the resulting,multiplicity of solutions. It is offered an approach tosolving the problem of determining the amount of investmentin the system of protection of information, which isbased on study of the model of information risks. Formationof its structure and parameters are based on the useof information about the actual mechanisms of the developmentand implementation of information threats. It isapplied economic-cost model, which is used to estimate theprobability of successful implementation of the attack ofinformation system vulnerability. The paper proposes theestimation of the maximum amount of investment in informationsecurity. This investment amounts to 25% of thevalue of the protected information resource (or losses arising from the implementation of the threat to this resource).It is noted that the in the case of application of highperformancetechnology/decisions in the system of informationsecurity level of investment may be reduced to 11-13%. It is considered the prospects of application of modelsbased on motivational and resource relations which arecharacteristic to of the situation "attack-defense" in theinformation sphere.
Рассмотривается проблема определения максимального размера инвестиций в систему защиты информации. Осуществлен анализ публикаций, содержащих материалы, связанные с исследованием и развитием подхода Гордона-Лоеба, в котором обосновывается предельный объем инвестиций в безопасность информации. Показано, что данный подход не позволяет получить однозначный ответ: субъективный формально-аппроксимативных способ задания моде-ли, на которой базируется получаемое решение, порождает множественность возможных моделей и, как следствие, множественность решений. Предложен подход к решению задачи определения объема инвестиций в систему защитыинформации, основанный на исследовании модели информационных рисков. Формирование ее структуры и парамет-ров базируется на использовании сведений о реальных механизмах развития и реализации информационных угроз, вчастности, на экономико-стоимостной модели, используемой для оценивания вероятности успешной реализации атакуязвимостей информационной системы. По результатам исследования получена оценка максимального объема инвестиций в систему защиты информации, составляющая 25% стоимости защищаемого информационного ресурса (или потерь, обусловленных реализацией угрозы относительно этого ресурса). Отмечено, что при применении в системезащиты информации высокоэффективных решений уровень инвестирования может быть уменьшен до 11-13%. Рас-смотрены перспективы применения в исследованиях моделей, основывающихся на мотивационных и ресурсных отношениях, характерных для ситуации «атака-защита» в информационной сфере.
 
Publisher National Aviation University
 
Contributor


 
Date 2015-09-25
 
Type


 
Format application/pdf
application/pdf
application/pdf
 
Identifier http://jrnl.nau.edu.ua/index.php/ZI/article/view/9517
10.18372/2410-7840.17.9517
 
Source Ukrainian Information Security Research Journal; Том 17, № 3 (2015); 211-218
Защита информации; Том 17, № 3 (2015); 211-218
Захист інформації; Том 17, № 3 (2015); 211-218
 
Language ru
 
Rights Authors who publish with this journal agree to the following terms: Authors retain copyright and grant the journal right of first publication with the work simultaneously licensed under a Creative Commons Attribution License that allows others to share the work with an acknowledgement of the work's authorship and initial publication in this journal.Authors are able to enter into separate, additional contractual arrangements for the non-exclusive distribution of the journal's published version of the work (e.g., post it to an institutional repository or publish it in a book), with an acknowledgement of its initial publication in this journal.Authors are permitted and encouraged to post their work online (e.g., in institutional repositories or on their website) prior to and during the submission process, as it can lead to productive exchanges, as well as earlier and greater citation of published work (See The Effect of Open Access).
Авторы, публикующие в данном журнале, соглашаются со следующим: Авторы сохраняют за собой авторские права на работу и предоставляют журналу право первой публикации работы на условиях лицензии Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным сохранением ссылок на авторов оригинальной работы и оригинальную публикацию в этом журнале.Авторы сохраняют право заключать отдельные контрактные договоронности, касающиеся не-эксклюзивного распространения версии работы в опубликованном здесь виде (например, размещение ее в институтском хранилище, публикацию в книге), со ссылкой на ее оригинальную публикацию в этом журнале.Авторы имеют право размещать их работу в сети Интернет (например в институтском хранилище или персональном сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению и большему количеству ссылок на данную работу (См. The Effect of Open Access).
Автори, які публікуються у цьому журналі, погоджуються з наступними умовами: Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).
 

Технічна підтримка: НДІІТТ НАУ