Professional Documents
Culture Documents
DOI 10.28925/2663-4023.2021.13.158157
УДК 004.94:519.21
Шевченко Світлана Миколаївна
канд. пед. наук, доцент,
доцент кафедри інформаційної та кібернетичної безпеки імені професора Володимира Бурячка
Київський університет імені Бориса Грінченка, м. Київ, Україна
ORCID ID: 0000-0002-9736-8623
s.shevchenko@kubg.edu.ua
1. ВСТУП
159
№ 2 (14), 2021
встановлення контексту
спілкування та консультації щодо ризиків
ідентифікація ризику
аналіз ризику
моніторинг та огляд
оцінювання ризику
точка 1 прийняття
Ні
ризику
Так
обробка ризику
точка 2 прийняття
Ні
ризику
обробка Так
прийняття ризику
160
№ 2 (14), 2021
Таблиця 1
Характеристика, переваги та недоліки методів
кількісної оцінки ризиків ІБ
Метод В процесі розглядаються різні Досить висока точність Високі витрати при
побудови варіанти рішення (гілки оцінки, можливість різних великій кількості
дерева рішень дерева), які можуть бути сценаріїв розвитку події. розглядуваних
прийняті. сценаріїв.
161
№ 2 (14), 2021
3. РЕЗУЛЬТАТИ ДОСЛІДЖЕННЯ
3.1. Постановка завдання
162
№ 2 (14), 2021
163
№ 2 (14), 2021
Таблиця 4
Шкала оцінювання рівня впливу (рівня забезпечення)
164
№ 2 (14), 2021
Таблиця 5
Вихідна матриця SWOT-аналізу
165
№ 2 (14), 2021
166
№ 2 (14), 2021
yi
Отже,
- коефіцієнти узагальненої оцінки об’єктів (В)
31, 7 0, 268
21, 73 0,184
y , x
25,56 0, 216
39, 21 0,332
- коефіцієнти компетентності експертів (С)
24, 63 0,198
24, 08 0,194
y 29, 45 , k 0, 237
26,31 0, 212
19, 72 0,159
2) Розрахунок узагальненого ранжування.
Побудуємо матриці ранжування експертів методом порівняння
1, xij xkj ;
yikj
0, xij xkj
O1 O2 O3 O4 O1 O2 O3 O4
O1 1 1 1 1 O1 1 1 1 1
O O
y1 2 0 1 1 1 , y2 2 1 1 1 1 ,
O3 0 1 1 1 O3 1 1 1 1
O4 0 0 0 1 O4 0 0 0 1
O1 O2 O3 O4 O1 O2 O3 O4
O1 1 0 0 1 O1 1 0 0 1
O O
y3 2 1 1 1 1 , y4 2 1 1 0 1 ,
O3 1 0 1 1 O3 1 1 1 1
O4 1 0 0 1 O4 0 0 0 1
167
№ 2 (14), 2021
O1 O2 O3 O4
O1 1 0 0 0
O
1 1 1 1
y5 2
O3 1 0 1 0
O4 1 1 1 1
Узагальнене ранжування отримаємо за формулою
m
1, аik ; m
yik 2 , де аik yikj
0, m
аik j 1
2
O1 O2 O3 O4
O1 1 0 0 1
O отже O2 O3 O1 O4
1 1 1 1
y 2 ,
O3 1 1 1 1
O4 0 0 0 1
Зауваження:
1
1, bik ;
2
1. Якщо враховувати компетентність експертів k j , то yik , де
0, 1
bik
2
m
bik k j yikj
j 1
j 1
де
Hj
n
S ri r
2
–дисперсія,
i 1
168
№ 2 (14), 2021
1 n
r ri – вибіркове середнє.
n i 1
r r
2
E1 E2 E3 E4 E5 ri r i S
O1 1 2 3,5 3 4 13,5 1,5625
O2 2,5 2 1,5 2 1 9 10,5625
12,25 29,25
O3 2,5 2 3 1 2 10,5 3,0625
O1 4 3,5 3,5 4 1 16 14,0625
Hj 1 1 1 0 1
hk 2 3 2 0 2
Tj 6 24 6 0 6
12 29, 25 351 351
W 0, 272 .
5 4 4 5 42 1500 210 1290
2 3
Ймовірність
Актив Загроза Уразливість Рівень ризику
реалізації
Загроза: Відсутність 0.8 * (22000 +
Проникнення шкідливого антивірусного ПО, 15200 +
ПК №1 типу Б ПО відсутність 34800) =
(персональні Джерело загрози: розмежування прав 57600 у. е.
комп’ютери Антропогенне доступу до 0.8 (висока) (високий)
бухгалтерії з Тип загрози: інформаційних
корпусу 1) Внутрішня ресурсів
Порушення властивостей:
К, Ц, Д
Загроза: Відсутність 0.6 * (25000 +
Помилка в роботі бази регламенту 41000) =
Джерело загрози: технічного 39600 у. е.
Антропогенне, техногенне обслуговування, (середній)
База даних 0.6 (середня)
Тип загрози: використання
Внутрішня застарілого ПЗ
Порушення властивостей:
Ц, Д
169
№ 2 (14), 2021
Крок 7. Підрахувати загального ступень ризику 𝑅𝑛 = ∑ 𝑟𝑖𝑗 для кожного інформаційного ресурсу
Крок 8. Порівняти емпіричний ступень ризику зі ступенем критичним, який визначено в
організації.
Якщо 𝑅𝑛 < 𝑅гран , то крок 11, у протилежному випадку – крок 9
Крок 9. Обробити емпіричний ступень ризику та обчислити залишковий ризик 𝑅залишк
Крок 10. Порівняти залишковий ступень ризику зі ступенем критичним.
Якщо 𝑅𝑛 < 𝑅гран , то крок 11, у протилежному випадку – крок 12
Крок 11. Прийняти ризик
Крок 12. Згенерувати сценарій інцидентів за допомогою методу Монте-Карло.
При використанні статистичних методів використовують гіпотези про найбільш ймовірні
закони розподілу випадкових величин, у нашому випадку – інцидентів у сфері ІБ. Є очевидним,
враховуючи те, що нанесення збитків після інциденту по класифікації «низька», «середня»,
«висока» мають великі порядки розбіжності, є очевидним, що випадкова величина у такому
вигляді не є розподіленою по нормальному закону. Тому ми пропонуємо усереднити оцінку
збитків і, враховуючи результати дослідження [13], застосувати метод Монте-Карло для імітації
інциденту. Було вибрано три вибірки інцидентів за 100 днів кожного року і здійснена
статистична обробка за допомогою MathCad (Рис. 3).
Sample 1 Sample 2
Sample 3
170
№ 2 (14), 2021
0.6
1
f1 0.4
0.2
4 4 4 4 4 4
410 510 610 710 810 910
0
. f
171
№ 2 (14), 2021
1 0.6
f1
1
f2 0.4
1
f3
0.2
4 4 4 4 5
0 210 410 610 810 110
0
f
Рис. 5 Загальний інтервал
172
№ 2 (14), 2021
173
№ 2 (14), 2021
Yuliia D. Zhdanovа
PhD, Associate Professor, Associate Professor of the Department of Information and Cyber Security Professor
Vladimir Buriachok
Borys Grinchenko Kyiv University, Kyiv, Ukraine
ORCID ID: 0000-0002-9277-4972
y.zhdanova@kubg.edu.ua
Svitlana M. Shevchenko
PhD, Associate Professor, Associate Professor of the Department of Information and Cyber Security Professor
Vladimir Buriachok
Borys Grinchenko Kyiv University, Kyiv, Ukraine
ORCID ID: 0000-0002-9736-8623
s.shevchenko@kubg.edu.ua
Kateryna V. Kravchuk
master of the Faculty of Information Technology and Management
Borys Grinchenko Kyiv University, Kyiv, Ukraine
ORCID ID: 0000-0002-3589-8784
kvkravchuk.fitu20@kubg.edu.ua
Keywords: information security (IS) risks; SWOT analysis; statistical methods; method of expert
assessments; Monte Carlo method; threats; vulnerabilities; information protection model.
174
№ 2 (14), 2021
This work is licensed under Creative Commons Attribution-noncommercial-sharealike 4.0 International License.
175