ЗАСТОСУВАННЯ ЕКОНОМІКО- ВАРТІСНИХ МОДЕЛЕЙ ІНФОРМАЦІЙНИХ РИЗИКІВ ДЛЯ ОЦІНЮВАННЯ ГРАНИЧНОГО ОБСЯГУ ІНВЕСТИЦІЙ В БЕЗПЕКУ ІНФОРМАЦІЇ

Автор(и)

  • Александр Евгеньевич Архипов НТУУ «КПІ»

DOI:

https://doi.org/10.18372/2410-7840.17.9517

Ключові слова:

ризик, моделювання ризиків, економіко-вартісні моделі, діапазон розумних инвестицій.

Анотація

Розглядаеться проблема визначення максимального розміру інвестицій в систему захисту інформації.Здійснено аналіз публікацій, що містять матеріали,пов'язані з дослідженням та розвитком підходу Гордона-Лоеба, в якому обґрунтовується граничний обсягінвестицій у безпеку інформації. Показано, що даний підхід не дозволяє отримати однозначну відповідь:суб'єктивний формально-апроксимативних спосіб завдання моделі, на якій базується одержуване рішення, породжує множинність можливих моделей і, як наслідок, - множинність рішень. Запропоновано підхід до вирішення завдання визначення обсягу інвестицій в систему захисту інформації, заснований на дослідженні моделі інформаційних ризиків. Формуванняїї структури і параметрів базується на використаннівідомостей про реальні механізми розвитку та реалізації інформаційних загроз, зокрема, на економіко-вартісній моделі, що використовується для оцінюван-ня ймовірності успішної реалізації атак вразливостей інформаційної системи. За результатами дослідженняотримана оцінка максимального обсягу інвестицій всистему захисту інформації, яка дорівнює 25% вартості інформаційного ресурсу, який підлягає захисту (абовтрат, зумовлених реалізацією загрози щодо цьогоресурсу). Відзначено, що при застосуванні в системі захисту інформації високоефективних рішень рівень інвестування може бути зменшений до 11-13%. Розглянуто перспективи застосування в дослідженнях моделей, які грунтуються на мотиваційних та ресурсних відносинах, характерних для ситуації «атака-захист» вінформаційній сфері.

Біографія автора

Александр Евгеньевич Архипов, НТУУ «КПІ»

доктор технічних наук, професор кафедри інформаційної безпеки НТУУ «КПІ».

Посилання

Лукацкий А. В. Процент безопасности [Электронный ресурс]. – 2013. – Режим доступа:http://www.it-world.ru/safety/58323.html

Петренко С. А Управление информационными рисками / С. А. Петренко, С. В. Симонов. – М.: Компания АйТи, ДМК Пресс, 2004. – 384 с.

Gordon L.A., Loeb M.P. The Economics of Information Security Investment // ACM Transaction on Information and System Security –

– Vol.5. – No4. – pp. 438-457.

Hausken K. Returns to Information Security Investment: The Effect of Alternative Information Security Breach Functions on Optimal Investment

and Sensitivity to Vulnerability // Information Systems Frontiers. – 2006. – No. 5(8). – pp. 338-349.

Willemson J. On the Gordon & Loeb Model for Information Security Investment // Proceedings of The Fifth Workshop on the Economics of

Information Security (WEIS 2006), 2006. pp.101-112

Willemson J. Extending the Gordon&Loeb Model for Information Security Investment // Fifth International Conference on Availability, Reliability,

and Security (ARES 2010), 2010. pp 258-261.

Gordon, L.A., and Loeb, M.P. and Lucyshyn, W. and Zhou, L. Externalities and the Magnitude of Cyber Security Underinvestment by Private Sector Firms: A Modification of the Gordon-Loeb Model // Journal

of Information Security, 2015, vol. 6, pp.24-30

Архипов А.Е. Применения мотивационно-стоимостных моделей для описания вероятностных соотношений в системе «атака-защита»/ А.Е. Архипов, С.А. Архипова //Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні – 2008. – вип. 1(16). – С. 57-61.

Архипов А.Е. Применение экономико-мотивационных соотношений для оценивания вероятностных параметров информационных рисков

// Захист інформації – 2011. – №2 (51) – С. 69-76.

Архипов О.Є. Інформаційні ризики: методи та способи дослідження, моделі ризиків і методи їх ідентифікації / О.Є. Архипов, А.В. Скиба // Захист інформації. – 2013. – Том15, №4. – С.366-375.

Архипов А.Е. Применение затратно-стоимостных моделей для оценивания вероятностных параметров информационных рисков /

А.Е.Архипов, С.А.Архипова, А.В. Скиба // Інформаційна безпека. – 2013. – №2(10). – C.11-18.

Архипов О. Є. Критерії визначення можливої шкоди національній безпеці України у разі розголошення інформації, що охороняється державою: моногр. / О.Є. Архипов, О.Є. Муратов. – К:

Наук.-вид. відділ НА СБ України, 2011. – 195 с.

##submission.downloads##

Опубліковано

2015-11-03

Номер

Том 17 № 3 (2015)

Розділ

Статті

Ліцензія

Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:

  1. Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.

  2. Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.

  3. Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).