Гібридний підхід до управління ризиками інформаційної безпеки

Володимир НАКОНЕЧНИЙ; Микола МОРДВИНЦЕВ; Вікторія ГУСЄВА; Владислав ЛУЦЕНКО

doi:10.17721/ISTS.2025.9.32-41

Автор(и)

Володимир НАКОНЕЧНИЙ Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0000-0002-0247-5400
Микола МОРДВИНЦЕВ Харківський національний університет внутрішніх справ Автор https://orcid.org/0000-0002-7674-3164
Вікторія ГУСЄВА Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0009-0002-1120-1900
Владислав ЛУЦЕНКО Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0000-0002-2377-1858

DOI:

https://doi.org/10.17721/ISTS.2025.9.32-41

Ключові слова:

інформаційна безпека, управління ризиками, методи CRAMM, Монте-Карло, FAIR, показник Герста, оцінювання ризиків

Анотація

Вступ. Розглянуто гібридний підхід до управління ризиками інформаційної безпеки, що поєднує кількісні та якісні методи оцінювання відповідних ризиків. Це дозволяє підвищити точність, зменшити суб'єктивність оцінок і забезпечити автоматизацію процесу управління ризиками. Актуальність теми повязана з постійним зростанням кількості та складності кіберзагроз, що вимагає розроблення та впровадження ефективних інструментів для управління ризиками та зменшення впливу людського фактора.
Методи. Застосовано інтегрований підхід, що базується на методах FAIR, Монте-Карло для кількісної оцінки ймовірностей і CRAMM для якісного аналізу ризиків. Враховано міжнародні стандарти ISO 31000 та ISO/IEC 27005, які регламентують управління ризиками. Проведено ідентифікацію активів, визначено вразливості і класифікацію загроз відповідно до кращих практик інформаційної безпеки. Обґрунтовано застосування методології для формування моделі оцінювання ризиків, яка дозволяє врахувати різні рівні потенційних загроз.
Результати. Результати підтвердили адекватність та ефективність гібридного підходу. Запропонована модель дозволила ідентифікувати критичні активи, оцінити рівень ризиків і розробити рекомендації щодо впровадження контрзаходів. Використано метод Монте-Карло для оцінювання ймовірності успішних атак і розрахунку потенційних збитків. Аналіз за CRAMM дозволив визначити вразливості системи та запропонувати відповідні заходи безпеки. Проведено порівняльний аналіз традиційних методів оцінювання ризиків, що показав переваги інтегрованого підходу в умовах динамічного інформаційного середовища.
Висновки. Запропонований гібридний підхід сприятиме мінімізації впливу людського фактора, підвищенню точності оцінок і автоматизації управління ризиками. Це дозволить оптимізувати ресурси організації та забезпечити стратегічне планування захисту інформації. Подальші дослідження можуть зосередитися на розробленні інструментів автоматизації для інтеграції запропонованого підходу в реальні інформаційні системи. Рекомендовано подальший розвиток методології через адаптацію до різних сценаріїв загроз у межах організацій із різними профілями безпеки.

Завантажити

Дані для завантаження поки недоступні.

Посилання

Богданова, О. В., & Петренко, О. І. (2019). Якісна оцінка ефективності процесу управління ризиками в інформаційній безпеці. Наукові праці Національного університету цивільного захисту України, 2(78), 31–37.

Бучик, С. С., Шалаєв, В. О., & Мельник, С. В. (2017). Методика оцінювання інформаційних ризиків в автоматизованій системі. Проблеми створення, випробування, застосування та експлуатації складних інформаційних систем, 11, 33–43. http://nbuv.gov.ua/UJRN/Psvz_2015_11_6

Кравченко, О. М., Трощинський, І. В., & Іванов, О. В. (2022). Застосування методу Монте-Карло для оцінки ризиків в інформаційній безпеці. Наукові записки ТНТУ ім. Івана Пулюя. Серія: Інформаційні технології та комп'ютерна інженерія, 1(88), 45–52.

Юдін, О. К., & Бучик, С. С. (2015). Державні інформаційні ресурси. Методологія побудови класифікатора загроз. НАУ.

COBRA (Cloud Offensive Breach and Risk Assessment). (n. d.). Introduction to Security Risk Analysis. https://github.com/PaloAlto/Networks/cobra-tool

FAIR Institute. (2022). Factor Analysis of Information Risk (FAIR) – The FAIR Standard. https://www.fairinstitute.org/what-is-fair

Graham, J. B. (2014). Effective Risk Management for Cybersecurity and Information Technology. Auerbach Publications.

ISO/IEC 27005:2022. (2022). Information Technology – Security Techniques – Information Security Risk Management. https://www.iso.org/standard/80585.html

Major, M. (1995). A Practical Guide to the CRAMM Methodology. McGraw-Hill Book Company.

McCumber, J. (2011). Risk Management in Information Security. SANS Institute.

NIST (National Institute of Standards and Technology). (2012). Guide for Conducting Risk Assessments. Special Publication 800-30 Rev. 1. https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final

OCTAVE (2003). Methodology for Information Risk Assessment. https://www.itgovernance.co.uk/files/Octave.pdf

RiskWatch International. (n. d.). The RiskWatch Advantage – Risk Assessment Software. https://www.riskwatch.com/

Wheeler, E. (2014). Information Security Risk Management: Frameworks, Metrics, and Best Practices. Apress.

Wheeler, E. (2015). Security Risk Management: Building an Information Security Risk Management Program from the Ground Up. Syngress.