ІНТЕГРОВАНЕ ОЦІНЮВАННЯ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ НА ОСНОВІ БАЄСІВСЬКИХ МЕРЕЖ ТА АУДИТУ ЗРІЛОСТІ
DOI:
https://doi.org/10.28925/2663-4023.2026.32.1203Ключові слова:
інформаційна безпека; кібербезпека; ризики інформаційної безпеки; кіберризики; захист інформації; Microsoft Security Assessment Tool (MSAT); програмний комплекс GeNIe Modeler; баєсівські мережі (BN).Анотація
Фундаментальним елементом будь-якої архітектури безпеки є оцінка ризиків, що дозволяє систематизувати потенційні загрози та прогнозувати їхній вплив на конфіденційність, цілісність і доступність інформаційних активів. У даному дослідженні висвітлено питання ймовірнісного моделювання ризиків із застосуванням спеціалізованого інструментарію, зокрема баєсівських мереж (BN) та програмного рішення Microsoft Security Assessment Tool (MSAT). Такий підхід дозволяє не лише візуалізувати топологію загроз, а й математично обґрунтувати причинно-наслідкові зв'язки між уразливостями та можливими втратами. Проведений аналіз наукових джерел дозволив систематизувати існуючі методики, від класичних анкетних опитувань до складних математичних моделей для оцінки ризиків інформаційної безпеки, зокрема SWOT-аналіз, експертний метод, нормативний метод, теорія ігор, нечіткі когнітивні карти, а також використання нейромережевих моделей. Практична значущість дослідження полягає у розробці та апробації комплексної методики оцінки безпеки умовної організації. Дана методика базується на кількісному моделюванні за допомогою програмного комплексу GeNIe Modeler та якісним аудитом зрілості системи захисту Microsoft Security Assessment Tool. Порівняльний аналіз показав, що MSAT виступає надійним інструментом для виявлення прогалин у комплаєнсі та організаційному захисті, тоді як баєсівські мережі забезпечують глибший кількісний аналіз критичності ризиків, дозволяючи моделювати ефективність впровадження конкретних контрзаходів. Результати дослідження мають як теоретичне, так і прикладне значення. Розроблені моделі та методичні рекомендації були впроваджені в освітній процес при підготовці фахівців зі спеціальності F5 «Кібербезпека та захист інформації» в Київському столичному університеті імені Бориса Грінченка. Це підтверджує доцільність використання комбінованих інтелектуальних систем для прийняття обґрунтованих рішень у сфері управління ризиками цифрової інфраструктури.
Завантаження
Посилання
Shevchenko, S. M., Zhdanova, Y. D., Spasiteleva, S. O., & Skladannyi, P. M. (2020). Conducting SWOT analysis of information risk assessment as a means of forming practical skills of cybersecurity students. Cybersecurity: Education, Science, Technique, 2(10), 158–168. https://doi.org/10.28925/2663-4023.2020.10.158168
Shevchenko, H., Shevchenko, S., Zhdanova, Y., Spasiteleva, S., & Nehodenko, O. (2021). Information security risk analysis using SWOT. In Cybersecurity Providing in Information and Telecommunication Systems (Vol. 2923, pp. 309–317). http://ceur-ws.org/Vol-2923/paper34.pdf
Dziuba, L., & Chmyr, O. (2022). Information security risk assessment using mathematical statistics methods. Bulletin of Lviv State University of Life Safety, 26, 47–54. https://doi.org/10.32447/20784643.26.2022.06
Shevchenko, S., Zhdanova, Y., & Kiia, O. (2025). Semi-automated tool for multi-standard cybersecurity maturity assessment based on NIST CSF 2.0, ISO/IEC 27001:2022, COBIT 2019, and CIS Controls v8. Cybersecurity: Education, Science, Technique, 3(31), 43–60. https://doi.org/10.28925/2663-4023.2025.31.1004
Shevchenko, S., Zhdanova, Y., Shevchenko, H., Nehodenko, O., & Spasiteleva, S. (2023). Information security risk management using cognitive modeling. In Cybersecurity Providing in Information and Telecommunication Systems (Vol. 3550, pp. 297–305). https://ceur-ws.org/Vol-3550/short15.pdf
Shevchenko, S., Zhdanova, Y., Kryvytska, O., Shevchenko, H., & Spasiteleva, S. (2024). Fuzzy cognitive mapping as a scenario approach for information security risk analysis. In Cybersecurity Providing in Information and Telecommunication Systems II (Vol. 3826, pp. 356–362). https://ceur-ws.org/Vol-3826/short28.pdf
Shevchenko, S., Zhdanova, Y., Skladannyi, P., & Petrenko, T. (2024). Fuzzy cognitive maps as a tool for visualization of incident response scenarios in security systems. Cybersecurity: Education, Science, Technique, 2(26), 419–429. https://doi.org/10.28925/2663-4023.2024.26.707
Bone, J. (2024). Cognition in cybersecurity situational awareness. https://doi.org/10.13140/RG.2.2.23490.59842
Shevchenko, S. M., Zhdanova, Y. D., & Harkushenko, A. M. (2025). Cognitive modeling of scenarios for cybersecurity risk forecasting. In Technical, agricultural and mathematical sciences: Scientific trends, problems and ways of their development (pp. 178–196). Primedia eLaunch. https://isg-konf.com
Kostiuk, Y., Skladannyi, P., Samoilenko, Y., Khorolska, K., Bebeshko, B., & Sokolov, V. (2025). A system for assessing interdependencies of information system agents in risk management using cognitive maps. In Cyber Hygiene & Conflict Management in Global Information Networks 2024 (Vol. 3925, pp. 249–264).
Tymoshyn, A., Kalienichenko, L., Hnusov, Y., Khavina, I., Tsuranov, M., & Dovhan, I. (2025). Integrated information security risk management model based on AHP and Bayesian networks. Innovative Technologies and Scientific Solutions for Industries, 3(33), 166–179. https://doi.org/10.30837/2522-9818.2025.3.166
Wang, J., Neil, M., & Fenton, N. (2020). A Bayesian network approach for cybersecurity risk assessment implementing and extending the FAIR model. Computers & Security, 89. https://doi.org/10.1016/j.cose.2019.101659
Khosravi-Farmad, M., & Ghaemi-Bafghi, A. (2020). Bayesian decision network-based security risk management framework. Journal of Network and Systems Management, 28, 1794–1819. https://doi.org/10.1007/s10922-020-09558-5
Flores, M., Heredia, D., Andrade, R., & Ibrahim, M. (2022). Smart home IoT network risk assessment using Bayesian networks. Entropy, 24(5), 668. https://doi.org/10.3390/e24050668
Chockalingam, S., Pieters, W., Teixeira, A., & van Gelder, P. (2017). Bayesian network models in cybersecurity: A systematic review. In H. Lipmaa et al. (Eds.), Secure IT Systems (pp. 105–122). Springer.
Palko, D., & Myrutenko, L. (2024). Method for comprehensive cybersecurity risk assessment in distributed information systems. Cybersecurity: Education, Science, Technique, 2(26), 487–502. https://doi.org/10.28925/2663-4023.2024.26.731
Barlybayev, A., Sharipbay, A., Shakhmetova, G., & Zhumadillayeva, A. (2024). Development of a flexible information security risk model using machine learning and ontologies. Applied Sciences, 14(21), 9858. https://doi.org/10.3390/app14219858
Bebeshko, B., Malyukov, V., Lakhno, M., Skladannyi, P., Sokolov, V., Shevchenko, S., & Zhumadilova, M. (2022). Application of game theory, fuzzy logic, and neural networks for risk assessment. Journal of Theoretical and Applied Information Technology, 100(24), 7390–7404
Bayes Server. (n.d.). Introduction to risk modeling with Bayesian networks. https://www.bayesserver.com/docs/modeling/risk/
BayesFusion. (n.d.). GeNIe Modeler: Complete modeling freedom. https://www.bayesfusion.com/genie/
Microsoft. (n.d.). Microsoft Security Assessment Tool 4.0. https://www.microsoft.com/en-us/download/details.aspx?id=12273
Bidiuk, P. I., & Kuznietsova, N. V. (2007). Main stages of construction and application of Bayesian networks. System Research & Information Technologies, 4.
Moe, S. J., Carriger, J. F., & Glendell, M. (2021). Increased use of Bayesian networks in environmental risk assessment. Integrated Environmental Assessment and Management, 17(1), 53–61. https://doi.org/10.1002/ieam.4369
Verkhovna Rada of Ukraine. (1999). Law of Ukraine “On accounting and financial reporting in Ukraine”. https://zakon.rada.gov.ua/laws/show/996-14#Text
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2026 Світлана Шевченко, Юлія Жданова, Валерія Стороженко, Валерія Рашевська, Володимир Горбач
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
