Комплексная оценка информационных рисков. i: краткий обзор подходов и методов

Обложка

Цитировать

Полный текст

Аннотация

Сложные информационные системы (в частности, системы Интернета вещей) характеризуются различными видами неопределённости. Среди них можно выделить неопределённость значений отдельных факторов оценки состояния системы в целом, неопределённость взаимного влияния элементов системы друг на друга, а также неопределённости зависимости риска системы в целом от значений локальных рисков как характерные для этого класса систем. Существующие методы оценки информационных рисков сложных систем не учитывают перечисленные типы неопределённости одновременно. В то же время, поскольку именно неопределённость является причиной отклонения системы от целевого режима функционирования, необходимость учитывать хотя бы основные её виды при оценке рисков очевидна. Предлагаемая статья содержит краткий обзор существующих подходов к оценке рисков информационных систем, а также анализ возможности учета перечисленных выше видов неопределенности в рамках каждого из них. По итогам анализа в качестве перспективного был выбран метод комплексной оценки, изначально разработанный для механизма комплексного оценивания организационных систем и в последние годы все чаще использующийся для оценки рисков, в том числе в информационных системах.

Об авторах

Анастасия Сергеевна Рей

ФГБУН Институт проблем управления им. В.А. Трапезникова РАН

Email: a.rey@ipu.ru
Москва

Андрей Олегович Калашников

ФГБУН Институт проблем управления им. В.А. Трапезникова РАН

Email: aokalash@ipu.ru
Москва

Список литературы

  1. АЛЕКСЕЕВ А.О. Исследование устойчивости механиз-мов комплексного оценивания к стратегическому пове-дению агентов (на примере согласования политики ор-ганизации в области риск-менеджмента) // Прикладная математика и вопросы управления. – 2019. – №4. – С. 136–154.
  2. АЛЕКСЕЕВ А.О., КАТАЕВА Т.А. Применение механиз-мов комплексного оценивания и матричных неанонимных обобщенных медианных механизмов согласования инте-ресов агентов // Вестник Южно-Уральского государ-ственного университета. Серия «Компьютерные техно-логии, управление, радиоэлектроника». – 2021. – №3. – С. 75–89.
  3. АЛЕСКЕРОВ Ф.Т., ЯКУБА В.И. Метод порогового агре-гирования трехградационных ранжировок // Доклады академии наук. – 2007. – Т. 413, №2. – С. 181–183
  4. БАКЕЕВ Д.Ш., ТИШИНА Н.А. Программная реализация оценки рисков безопасности информации на основе ги-бридного метода // Приоритетные направления иннова-ционной деятельности в промышленности. Сборник научных статей по итогам пятой международной науч-ной конференции. – 2020. – Т. 2. – С. 6–12.
  5. БАРКАЛОВ С.А., НОВИКОВ Д.А., НОВОСЕЛЬЦЕВ В.И. и др. Модели управления конфликтами и рисками / Под ред. Д.А. Новикова. – Воронеж: Научная книга, 2008. – 495 с.
  6. БЕЗЗАТЕЕВ С.В., ЕЛИНА Т.Н., МЫЛЬНИКОВ В.А. и др. Методика оценки рисков информационных систем на основе анализа поведения пользователей и инцидентов информационной безопасности // Научно-технический вестник информационных технологий, механики и опти-ки. – 2021. – Т. 21, №4. – С. 553–561.
  7. ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем. – Официальное издание. – М.: ИПК Изд-во стандартов, 2002 год.
  8. ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения. – Официальное издание. – М.: Стандартинформ, 2019 год.
  9. ЗИМА В.М., КРЮКОВ Р.О., КРАВЧУК А.В. Методика оценивания информационных рисков на основе анализа уязвимостей // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. – 2019. – №11–12. – С. 36–46.
  10. КАЛАШНИКОВ А.О., АНИКИНА Е.В. Модели управле-ния информационными рисками сложных систем // Ин-формационная безопасность. – 2020. – Т. 23, №2. – С. 191–202.
  11. КАЛАШНИКОВ А.О. Управление информационными рисками организационных систем: механизмы комплекс-ного оценивания // Информационная безопасность. – 2016. – Т. 3, №1. – С. 315–322.
  12. КИСЕЛЕВА Т.В., МАСЛОВА Е.В. Классификация рис-ков ИТ-сервисов и способы оценивания вероятностей их возникновения // ИТНОУ: информационные технологии в науке, образовании и управлении. – 2020. – №1 (15). – С. 67–71.
  13. КОЛОСОК И.Н., ГУРИНА Л.А. Оценка рисков управле-ния киберфизической ЭЭС на основе теории нечетких множеств // Методические вопросы исследования надежности больших систем энергетики. – 2019. – Т. 1, №70. – С. 238–247.
  14. НОВИКОВ Д.А. «Когнитивные игры»: линейная импуль-сная модель // Проблемы управления. – 2008. – №3. – С. 14–22.
  15. AKINROLABU O., NURSE J.R.C., MARTIN A. et al. Cyber risk assessment in cloud provider environments: Current models and future needs // Computers & Security. – 2019. – Vol. 87. – P. 101600.
  16. ALHAJRI R.M., ALSUNAIDI S.J., ZAGROUBA R. et al. Dynamic interpretation approaches for information security risk assessment // Int. Conf. on Computer and Information Sciences (ICCIS-2019). – IEEE, 2019. – P. 1–6.
  17. BOLBOT V., THEOTOKATOS G., BOULOUGOURIS E. et al. A novel cyber-risk assessment method for ship systems // Safety Science. – 2020. – P. 104908.
  18. ERSHADI M.J., FOROUZANDEH M. Information Security Risk Management of Research Information Systems: A hy-brid approach of Fuzzy FMEA, AHP, TOPSIS and Shannon Entropy // J. Digit. Inf. Manag. – 2019. – Vol. 17, No. 6. – P. 321.
  19. GUNES B., KAYISOGLU G., BOLAT P. Cyber security risk assessment for seaports: A case study of a container port // Computers & Security. – 2021. – Vol. 103. – P. 102196.
  20. HÄCKEL B. Assessing IT availability risks in smart factory networks // Business Research. – 2019. – Vol. 12., No. 2. – P. 523–558.
  21. HAN C.H., HAN C.H. Semi-quantitative cybersecurity risk assessment by blockade and defense level analysis // Process Safety and Environmental Protection. – 2021. – Vol. 155. – P. 306–316.
  22. HE W., LI H., LI J. Unknown vulnerability risk assessment based on directed graph models: a survey // IEEE Access. – 2019. – Vol. 7. – P. 168201–168225.
  23. ISO/IEC 27005:2022(EN) Information security, cybersecuri-ty and privacy protection — Guidance on managing infor-mation security risks [Электронный ресурс]. – Режим до-ступа: https://www.iso.org/obp/ui/en/#iso:std:iso-iec:27005:ed-4:v1:en.
  24. ISO/IEC 31010:2019(EN) Risk management – Risk assess-ment techniques [Электронный ресурс]. – Режим доступа: https://www.iso.org/obp/ui/ru/#!iso:std:72140:en.
  25. KIOSKLI K., POLEMI N. A Socio-Technical Approach to Cyber-Risk Assessment // World Academy of Science, Engi-neering and Technology Int. Journal of Electrical and Com-puter Engineering. – 2020. – Vol. 14, No. 10. – P. 305–309.
  26. KORNEEV N.V., KORNEEVA J.V., YURKEVICHYUS S.P. et al. An Approach to Risk Assessment and Threat Prediction for Complex Object Security Based on a Predicative Self-Configuring Neural System // Symmetry. – 2022. – Vol. 14, No. 1. – P. 102.
  27. KRISPER M., DOBAJ J., MACHER G. et al. RISKEE: a risk-tree based method for assessing risk in cyber security // Eu-ropean Conf. on Software Process Improvement. – 2019. – P. 45–56.
  28. NTAFLOUKAS K., MCCRUM D.P., PASQUALE L. A So-cio-Technical Approach to Cyber-Risk Assessment // A Cyber-Physical Risk Assessment Approach for Internet of Things Enabled Transportation Infrastructure. – 2022. – Vol. 12, No. 18. – P. 9241.
  29. PALKO D., BABENKO T., BIGDAN A. et al. Cyber Securi-ty Risk Modeling in Distributed Information Systems // Appl. Sci. – 2023. – Vol. 13, No. 4. – P. 2393.
  30. RIOS E., REGO A., ITURBE E. et al. Continuous quantita-tive risk management in smart grids using attack defense trees // Sensors. – 2020. – Vol. 20. – P. 4404.
  31. SCHMITZ C., PAPE S. LiSRA: Lightweight security risk as-sessment for decision support in information security // Computers & Security. – 2020. – Vol. 90. – P. 101656.
  32. SHIROKY A., KALASHNIKOV A. Influence of the Internal Structure on the Integral Risk of a Complex System on the Example of the Risk Minimization Problem in a “Star” Type Structure // Mathematics. – 2023. – Vol. 11(4). – e998.
  33. SUBRIADI A.P., NAJWA N.F. The consistency analysis of failure mode and effect analysis (FMEA) in information technology risk assessment // Heliyon. – 2020. – Vol. 6, No. 1. – e03161.
  34. TUSHER H.M., MUNIM Z.H., NOTTEBOOM T.E. et al. Cyber security risk assessment in autonomous shipping // Maritime Economics & Logistics. – 2022. – Vol. 24, No. 2. – P. 208–227.
  35. TUSHER H.M., MUNIM Z.H., NOTTEBOOM T.E. et al. De-velopment of the mechanism of assessing cyber risks in the internet of things projects // Internet of Things, Smart Spac-es, and Next Generation Networks and Systems. 12th Conf., ruSMART-2019. St. Petersburg: Springer International Pub-lishing. – 2019.– P. 481–494.
  36. WANG Y., WANG Y.-H., QIN H. et al. A systematic risk assessment framework of automotive cybersecurity // Auto-motive Innovation. – 2021. – Vol. 4. – P. 253–261.
  37. WANG Y., XUE W., ZHANG A. Application of Big Data Technology in Enterprise Information Security Management and Risk Assessment // Journal of Global Information Man-agement. – 2023. – Vol. 31, No. 3. – P. 1–16.

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать


Creative Commons License
Эта статья доступна по лицензии Creative Commons Attribution-NonCommercial 4.0 International License.

Согласие на обработку персональных данных

 

Используя сайт https://journals.rcsi.science, я (далее – «Пользователь» или «Субъект персональных данных») даю согласие на обработку персональных данных на этом сайте (текст Согласия) и на обработку персональных данных с помощью сервиса «Яндекс.Метрика» (текст Согласия).