МОДЕЛЬ ЗАХИСТУ ІНФОРМАЦІЇ НА ОСНОВІ ОЦІНКИ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЛЯ МАЛОГО ТА СЕРЕДНЬОГО БІЗНЕСУ

Ключові слова: ризики інформаційної безпеки (ІБ); SWOT-аналіз; статистичні методи; метод експертних оцінок; метод Монте-Карло; загрози; уразливості; модель захисту інформації.

Анотація

Дане дослідження присвячене проблемі захисту інформаційних ресурсів на засадах ризик-орієнтованого підходу для малого та середнього бізнесу з наголосом на оцінці ризиків інформаційної безпеки (ІБ). Аналіз наукових джерел дозволив охарактеризувати сутність ризико-орієнтованого підходу і сформулювати основні положення для створення моделі захисту інформації на основі даної технології. Змістова лінія моделі акцентує увагу на проведення якісної та кількісної оцінки ризику ІБ, а саме, SWOT-аналіз, статистичний метод, метод експертних оцінок та метод Монте-Карло. Описано покрокову процедуру здійснення етапів аналізу та впровадження даних методів для оцінки ризиків ІБ. Для отримання цілісної карти відносно ризиків ІБ на початковому етапі пропонується провести  SWOT-аналіз, зокрема виділити слабкі сторони бізнесу та зовнішні і внутрішні загрози. Для обчислення кількісної оцінки ризику ІБ застосувати статистичний метод, якщо є достатня кількість аналітичних звітів. У протилежному випадку реалізувати метод експертних оцінок. На заключному кроці згенерувати сценарій методом Монте-Карло. Для ефективного опису контексту кожного інформаційного ресурсу скористатися технологією формування множини пар «загроза – уразливість».

Обґрунтовано актуальність та можливості використання даної моделі в якості методології заисту інформації для малого та середнього бізнесу.    

Посилання

Shepherd, M. (2019). 30 Surprising Small Business Cyber Security Statistics (2021) - Fundera Ledger. Fundera: Compare Your Best Small Business Loan and Credit Card Options. https://www.fundera.com/resources/small-business-cyber-security-statistics

Catteddu, D., & Hogben, G. (2009). Cloud Computing: Benefits, risks and recommendations for information security. ENISA.

Alali, M., Almogren, A., Hassan, M. M., Rassan, I. A. L., Bhuiyan, M. Z. A. (2018). Improving risk assessment model of cyber security using fuzzy logic inference system. Computers & Security, 74, 323–339. https://doi.org/10.1016/j.cose.2017.09.011

Shin, J., Son, H., Heo, G. (2017). Cyber Security Risk Evaluation of a Nuclear I&C Using BN and ET. Nuclear Engineering and Technology, 49(3), 517–524. https://doi.org/10.1016/j.net.2016.11.004

Savelieva, T. V., Panasko, O. M., Pryhodiuk, O. M. (2018). Analiz metodiv i zasobiv dlia realizatsii ryzyk-oriientovanoho pidkhodu v konteksti zabezpechennia informatsiinoi bezpeky pidpryiemstva. Visnyk Cherkaskoho derzhavnoho tekhnolohichnoho universytetu. Seriia: Tekhnichni nauky, 1(1), 81–89. https://doi.org/10.24025/2306-4412.1.2018.153279

Arkhypov, O., Muratov, O., Brovko, V. (2019). Osnovy teorii ryzykiv: navchalnyi posibnyk. NA SB Ukrainy.

Akhmetov, B., Korchenko, A., Arkhypov, A., & Kazmyrchuk, S. (2018). Postroenye system analyza y otsenyvanyia ryskov ynformatsyonnoi bezopasnosty. Teoryia y praktycheskye reshenyia. redaktsyonno-yzdatelskyi otdel KHUTY ym. Sh. Esenova. https://er.nau.edu.ua/handle/NAU/40479?locale=uk

Shevchenko, H., Shevchenko, S., Zhdanova, Yu., Spasiteleva, S., Negodenko, O. Information Security Risk Analysis SWOT. Cybersecurity Providing in Information and Telecommunication Systems, 2923, 309-317.

Informatsiini tekhnolohii. Metody zakhystu. Upravlinnia ryzykamy informatsiinoi bezpeky (DSTU ISO/IEC 27005:2019). (2019).

Polozhennia, Postanova №95 ot 28.09.2017, Pro zatverdzhennia Polozhennia pro orhanizatsiiu zakhodiv iz zabezpechennia informatsiinoi bezpeky v bankivskii systemi Ukrainy. Zakonodavstvo Ukrainy - Zakonodatelstvo Ukrayny. http://search.ligazakon.ua/l_doc2.nsf/link1/PB17146.html

Stephenson, P. R. (2004). A formal model for information risk analysis using colored petri nets. У Proceedings of the Fifth Workshop and Tutorial on Practical Use of Coloured Petri Nets and the CPN Tools (с. 167–184). DAIMI PB - 570 / Kurt Jensen (Ed.).

Nevoit, Ya. V. (2016). Metod otsiniuvannia stanu zakhyshchenosti informatsiinykh resursiv na osnovi doslidzhennia dzherel zahroz informatsiinii bezpetsii [Dys. kand. tekhn. nauk, DUT]. http://www.dut.edu.ua/uploads/p_1539_26349739.pdf

Shevchenko, S., Zhdanova, Yu., Spasitielieva, S., Adamovych, O. (2017). Statystychna obrobka eksperymentalnykh danykh yak odna z form naukovo-doslidnoi roboty studentiv spetsialnosti «Kiberbezpeka». Suchasnyi zakhyst informatsii, 2(30), 95-103.

Buriachok, V. L., Tolubko, V. B., Khoroshko, V. O., Toliupa, S. V. (2015). Informatsiina ta kiberbezpeka: sotsiotekhnichnyi aspekt : pidruchnyk. DUT.


Переглядів анотації: 32
Завантажень PDF: 22
Опубліковано
2021-12-30
Як цитувати
Shevchenko, S., ZhdanovаY., & Kravchuk, K. (2021). МОДЕЛЬ ЗАХИСТУ ІНФОРМАЦІЇ НА ОСНОВІ ОЦІНКИ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЛЯ МАЛОГО ТА СЕРЕДНЬОГО БІЗНЕСУ. Електронне фахове наукове видання "Кібербезпека: освіта, наука, техніка", 2(14), 158-175. https://doi.org/10.28925/2663-4023.2021.14.158175