17 research outputs found
Optimal Investment in Information Security: A Business Value Approach
With increasing level of security threats and constant budget limitations, it is critical for a company to know how much and where to invest in information security. To date, all of the studiesβacademia or practitionerβfocus on risk reduction as the primary effect of security investments, assuming that they generate no direct business benefits. However, some potential business values such as brand reputation and data stability are not only real but also quite important. This study addresses related research questions and extends the existing model to take into account direct business benefits in optimizing security investments, filling a significant research gap. As such, this research makes contribution to both theory development in information security management and management implications in practice
ΠΠ°ΡΠ΅ΠΌΠ°ΡΠΈΡΠ½Ρ ΠΌΠΎΠ΄Π΅Π»Ρ Π΅ΠΊΠΎΠ½ΠΎΠΌΡΡΠ½ΠΎΠ³ΠΎ ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½ΡΡ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΎΡ Π±Π΅Π·ΠΏΠ΅ΠΊΠΈ
ΠΡΠΎΠ²Π΅Π΄Π΅Π½ΠΎ ΠΏΠΎΡΡΠ²Π½ΡΠ»ΡΠ½ΠΈΠΉ Π°Π½Π°Π»ΡΠ· ΠΊΡΠ»ΡΠΊΡΡΠ½ΠΈΡ
ΠΌΠΎΠ΄Π΅Π»Π΅ΠΉ Π΅ΠΊΠΎΠ½ΠΎΠΌΡΡΠ½ΠΎΠ³ΠΎ ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½ΡΡ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΎΡ Π±Π΅Π·ΠΏΠ΅ΠΊΠΈ. ΠΡΡΠ°Π½ΠΎΠ²Π»Π΅Π½ΠΎ ΡΠΌΠΎΠ²ΠΈ, Π·Π° ΡΠΊΠΈΡ
ΡΡΠ»ΡΠΎΠ²Ρ ΡΡΠ½ΠΊΡΡΡ ΡΠΎΠ·Π³Π»ΡΠ½Π΅Π½ΠΈΡ
ΠΌΠΎΠ΄Π΅Π»Π΅ΠΉ ΡΠΏΡΠ²ΠΏΠ°Π΄Π°ΡΡΡ Π°Π±ΠΎ Π΄ΠΎΡΠΈΡΡ Π±Π»ΠΈΠ·ΡΠΊΡ. ΠΠΈΠΊΠΎΠ½Π°Π½Ρ ΡΠΎΠ·ΡΠ°Ρ
ΡΠ½ΠΊΠΈ ΡΠ»ΡΡΡΡΡΡΡΡ ΠΌΠ΅ΡΠΎΠ΄ΠΈΠΊΡ Π²ΠΈΠ·Π½Π°ΡΠ΅Π½Π½Ρ ΠΊΡΠ»ΡΠΊΠΎΡΡΡ Π²ΡΡΠ°ΡΠ΅Π½ΠΎΡ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΡ Π² Π·Π°Π»Π΅ΠΆΠ½ΠΎΡΡΡ Π²ΡΠ΄ ΡΠΏΡΠ²Π²ΡΠ΄Π½ΠΎΡΠ΅Π½Π½Ρ ΡΠ΅ΡΡΡΡΡΠ² Π½Π°ΠΏΠ°Π΄Ρ Ρ Π·Π°Ρ
ΠΈΡΡΡ.ΠΡΠΎΠ²Π΅Π΄Π΅Π½ ΡΡΠ°Π²Π½ΠΈΡΠ΅Π»ΡΠ½ΡΠΉ Π°Π½Π°Π»ΠΈΠ· ΠΊΠΎΠ»ΠΈΡΠ΅ΡΡΠ²Π΅Π½Π½ΡΡ
ΠΌΠΎΠ΄Π΅Π»Π΅ΠΉ ΡΠΊΠΎΠ½ΠΎΠΌΠΈΡΠ΅ΡΠΊΠΎΠ³ΠΎ ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½ΡΠ° ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΠΎΠΉ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΠΈ. ΠΠΎΡΡΠ°Π²Π»Π΅Π½Ρ ΡΡΠ»ΠΎΠ²ΠΈΡ, ΠΏΡΠΈ ΠΊΠΎΡΠΎΡΡΡ
ΡΠ΅Π»Π΅Π²ΡΠ΅ ΡΡΠ½ΠΊΡΠΈΠΈ ΡΠ°ΡΡΠΌΠΎΡΡΠ΅Π½Π½ΡΡ
ΠΌΠΎΠ΄Π΅Π»Π΅ΠΉ ΡΠΎΠ²ΠΏΠ°Π΄Π°ΡΡ ΠΈΠ»ΠΈ Π΄ΠΎΡΡΠ°ΡΠΎΡΠ½ΠΎ Π±Π»ΠΈΠ·ΠΊΠΈ. ΠΡΠΏΠΎΠ»Π½Π΅Π½Π½ΡΠ΅ ΡΠ°ΡΡΠ΅ΡΡ ΠΈΠ»Π»ΡΡΡΡΠΈΡΡΡΡ ΠΌΠ΅ΡΠΎΠ΄ΠΈΠΊΡ ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈΡ ΠΊΠΎΠ»ΠΈΡΠ΅ΡΡΠ²Π° ΡΡΡΠ°ΡΠ΅Π½Π½ΠΎΠΉ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΈ Π² Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ ΠΎΡ ΡΠΎΠΎΡΠ½ΠΎΡΠ΅Π½ΠΈΡ ΡΠ΅ΡΡΡΡΠΎΠ² Π½Π°ΠΏΠ°Π΄Π΅Π½ΠΈΡ ΠΈ Π·Π°ΡΠΈΡΡ.The comparative analysis of the quantitative models of economic management of information security is fulfilled. The conditions under which the target functions of the considered models coincide or sufficiently close are set up. The fulfilled calculations illustrate the methodology of quantity determination depending on attack and defense recourses correlation
ΠΠ°ΡΠ΅ΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΈΠ΅ ΠΌΠΎΠ΄Π΅Π»ΠΈ ΡΠΊΠΎΠ½ΠΎΠΌΠΈΡΠ΅ΡΠΊΠΎΠ³ΠΎ ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½ΡΠ° ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΠΎΠΉ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΠΈ
ΠΡΠΎΠ²Π΅Π΄Π΅Π½ΠΎ ΠΏΠΎΡΡΠ²Π½ΡΠ»ΡΠ½ΠΈΠΉ Π°Π½Π°Π»ΡΠ· ΠΊΡΠ»ΡΠΊΡΡΠ½ΠΈΡ
ΠΌΠΎΠ΄Π΅Π»Π΅ΠΉ Π΅ΠΊΠΎΠ½ΠΎΠΌΡΡΠ½ΠΎΠ³ΠΎ ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½ΡΡ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΎΡ Π±Π΅Π·ΠΏΠ΅ΠΊΠΈ. ΠΡΡΠ°Π½ΠΎΠ²Π»Π΅Π½ΠΎ ΡΠΌΠΎΠ²ΠΈ, Π·Π° ΡΠΊΠΈΡ
ΡΡΠ»ΡΠΎΠ²Ρ ΡΡΠ½ΠΊΡΡΡ ΡΠΎΠ·Π³Π»ΡΠ½Π΅Π½ΠΈΡ
ΠΌΠΎΠ΄Π΅Π»Π΅ΠΉ ΡΠΏΡΠ²ΠΏΠ°Π΄Π°ΡΡΡ Π°Π±ΠΎ Π΄ΠΎΡΠΈΡΡ Π±Π»ΠΈΠ·ΡΠΊΡ. ΠΠΈΠΊΠΎΠ½Π°Π½Ρ ΡΠΎΠ·ΡΠ°Ρ
ΡΠ½ΠΊΠΈ ΡΠ»ΡΡΡΡΡΡΡΡ ΠΌΠ΅ΡΠΎΠ΄ΠΈΠΊΡ Π²ΠΈΠ·Π½Π°ΡΠ΅Π½Π½Ρ ΠΊΡΠ»ΡΠΊΠΎΡΡΡ Π²ΡΡΠ°ΡΠ΅Π½ΠΎΡ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΡ Π² Π·Π°Π»Π΅ΠΆΠ½ΠΎΡΡΡ Π²ΡΠ΄ ΡΠΏΡΠ²Π²ΡΠ΄Π½ΠΎΡΠ΅Π½Π½Ρ ΡΠ΅ΡΡΡΡΡΠ² Π½Π°ΠΏΠ°Π΄Ρ Ρ Π·Π°Ρ
ΠΈΡΡΡ.The comparative analysis of the quantitative models of economic management of information security is fulfilled. The conditions under which the target functions of the considered models coincide or sufficiently close are set up. The fulfilled calculations illustrate the methodology of quantity determination depending on attack and defense recourses correlation.ΠΡΠΎΠ²Π΅Π΄Π΅Π½ ΡΡΠ°Π²Π½ΠΈΡΠ΅Π»ΡΠ½ΡΠΉ Π°Π½Π°Π»ΠΈΠ· ΠΊΠΎΠ»ΠΈΡΠ΅ΡΡΠ²Π΅Π½Π½ΡΡ
ΠΌΠΎΠ΄Π΅Π»Π΅ΠΉ ΡΠΊΠΎΠ½ΠΎΠΌΠΈΡΠ΅ΡΠΊΠΎΠ³ΠΎ ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½ΡΠ° ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΠΎΠΉ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΠΈ. ΠΠΎΡΡΠ°Π²Π»Π΅Π½Ρ ΡΡΠ»ΠΎΠ²ΠΈΡ, ΠΏΡΠΈ ΠΊΠΎΡΠΎΡΡΡ
ΡΠ΅Π»Π΅Π²ΡΠ΅ ΡΡΠ½ΠΊΡΠΈΠΈ ΡΠ°ΡΡΠΌΠΎΡΡΠ΅Π½Π½ΡΡ
ΠΌΠΎΠ΄Π΅Π»Π΅ΠΉ ΡΠΎΠ²ΠΏΠ°Π΄Π°ΡΡ ΠΈΠ»ΠΈ Π΄ΠΎΡΡΠ°ΡΠΎΡΠ½ΠΎ Π±Π»ΠΈΠ·ΠΊΠΈ. ΠΡΠΏΠΎΠ»Π½Π΅Π½Π½ΡΠ΅ ΡΠ°ΡΡΠ΅ΡΡ ΠΈΠ»Π»ΡΡΡΡΠΈΡΡΡΡ ΠΌΠ΅ΡΠΎΠ΄ΠΈΠΊΡ ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈΡ ΠΊΠΎΠ»ΠΈΡΠ΅ΡΡΠ²Π° ΡΡΡΠ°ΡΠ΅Π½Π½ΠΎΠΉ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΈ Π² Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡΠΈ ΠΎΡ ΡΠΎΠΎΡΠ½ΠΎΡΠ΅Π½ΠΈΡ ΡΠ΅ΡΡΡΡΠΎΠ² Π½Π°ΠΏΠ°Π΄Π΅Π½ΠΈΡ ΠΈ Π·Π°ΡΠΈΡΡ
Π Π°ΡΡΠΈΡΠ΅Π½ΠΈΠ΅ ΡΠΊΠΎΠ½ΠΎΠΌΠΈΠΊΠΎ-ΡΡΠΎΠΈΠΌΠΎΡΡΠ½ΡΡ ΠΌΠΎΠ΄Π΅Π»Π΅ΠΉ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ ΡΠΈΡΠΊΠΎΠ² Π·Π° ΡΡΠ΅Ρ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΡ ΡΠΎΡΠΈΠ°Π»ΡΠ½ΠΎ- ΠΏΡΠΈΡ ΠΎΠ»ΠΎΠ³ΠΈΡΠ΅ΡΠΊΠΈΡ ΡΠΈΠΏΠΎΠ² Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠ°
Π ΠΎΠ·Π³Π»ΡΠ΄Π°ΡΡΡΡΡ ΡΠΎΡΡΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΡΡΠ½Ρ Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊΠΈ Π·Π»ΠΎΠ²ΠΌΠΈΡΠ½ΠΈΠΊΠ° ΡΠ° ΡΡ
Π·Π°ΡΡΠΎΡΡΠ²Π°Π½Π½Ρ Π· Π΅ΠΊΠΎΠ½ΠΎΠΌΡΠΊΠΎ-Π²Π°ΡΡΡΡΠ½ΠΈΠΌΠΈ ΠΌΠΎΠ΄Π΅Π»ΡΠΌΠΈ Π· ΠΌΠ΅ΡΠΎΡ ΠΎΡΡΠ½ΡΠ²Π°Π½Π½Ρ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΈΡ
ΡΠΈΠ·ΠΈΠΊΡΠ² Ρ ΠΎΠΏΡΠΈΠΌΠ°Π»ΡΠ½ΠΈΡ
ΡΠ½Π²Π΅ΡΡΠΈΡΡΠΉ Π² ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½Ρ Π±Π΅Π·ΠΏΠ΅ΠΊΡ. ΠΠ»Ρ ΠΏΡΠΎΠ²Π΅Π΄Π΅Π½Π½Ρ Π°Π΄Π΅ΠΊΠ²Π°ΡΠ½ΠΎΠ³ΠΎ ΠΎΡΡΠ½ΡΠ²Π°Π½Π½Ρ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΈΡ
ΡΠΈΠ·ΠΈΠΊΡΠ² ΡΠ° Π²ΠΈΠ·Π½Π°ΡΠ΅Π½Π½Ρ ΠΎΠΏΡΠΈΠΌΠ°Π»ΡΠ½ΠΈΡ
ΡΠ½Π²Π΅ΡΡΠΈΡΡΠΉ Ρ ΡΡΠ΅ΡΡ Π·Π°Ρ
ΠΈΡΡΡ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΡ ΡΡΠ½ΡΡΡΡ Π΅ΠΊΠΎΠ½ΠΎΠΌΡΠΊΠΎ-Π²Π°ΡΡΡΡΠ½Ρ ΠΌΠΎΠ΄Π΅Π»Ρ ΠΏΠΎΡΡΠ΅Π±ΡΡΡΡ ΡΠΎΠ·ΡΠΈΡΠ΅Π½Π½Ρ Π· ΡΡΠ°Ρ
ΡΠ²Π°Π½Π½ΡΠΌ ΡΠΎΡΡΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΡΡΠ½ΠΈΡ
Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊ Π·Π»ΠΎΠ²ΠΌΠΈΡΠ½ΠΈΠΊΠ°, ΡΠΊΡ ΡΡΡΠΎΡΠ½ΠΎ Π²ΠΏΠ»ΠΈΠ²Π°ΡΡΡ Π½Π° ΠΎΡΡΠ½ΡΠ²Π°Π½Π½Ρ ΡΠΈΠ·ΠΈΠΊΡΠ². Π‘ΡΡΠ°ΡΠ½Ρ ΠΌΠ΅ΡΠΎΠ΄ΠΈ ΠΎΡΡΠ½ΡΠ²Π°Π½Π½Ρ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΈΡ
ΡΠΈΠ·ΠΈΠΊΡΠ², ΡΠΊΡ ΡΠΏΠΈΡΠ°ΡΡΡΡΡ Π½Π° ΡΡΠ½ΡΡΡΡ Π½ΠΎΡΠΌΠ°ΡΠΈΠ²Π½ΠΎ-ΠΏΡΠ°Π²ΠΎΠ²Ρ Π΄ΠΎΠΊΡΠΌΠ΅Π½ΡΠΈ, Π½Π΅ Π²ΡΠ°Ρ
ΠΎΠ²ΡΡΡΡ ΡΠΎΡΡΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΡΡΠ½Ρ Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊΠΈ Π·Π»ΠΎΠ²ΠΌΠΈΡΠ½ΠΈΠΊΡΠ², ΡΠΎ ΠΏΡΠΈΠ·Π²ΠΎΠ΄ΠΈΡΡ Π΄ΠΎ Π½Π΅ΠΊΠΎΡΠ΅ΠΊΡΠ½ΠΎΠ³ΠΎ ΠΏΡΠΎΠ²Π΅Π΄Π΅Π½Π½Ρ ΠΎΡΡΠ½ΡΠ²Π°Π½Π½Ρ ΡΠ° Π·ΠΌΠ΅Π½ΡΠ΅Π½Π½Ρ ΡΠΎΡΠ½ΠΎΡΡΡ ΠΎΡΡΠΈΠΌΠ°Π½ΠΈΡ
ΠΎΡΡΠ½ΠΎΠΊ. ΠΠ°ΠΏΡΠΎΠΏΠΎΠ½ΠΎΠ²Π°Π½Π΅ ΡΠΎΠ·ΡΠΈΡΠ΅Π½Π½Ρ Π΅ΠΊΠΎΠ½ΠΎΠΌΡΠΊΠΎ-Π²Π°ΡΡΡΡΠ½ΠΎΡ ΠΌΠΎΠ΄Π΅Π»Ρ Π· ΡΡΠ°Ρ
ΡΠ²Π°Π½Π½ΡΠΌ ΡΠΎΡΡΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΡΡΠ½ΠΈΡ
Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊ Π·Π»ΠΎΠ²ΠΌΠΈΡΠ½ΠΈΠΊΠ° Π΄Π°Ρ ΠΌΠΎΠΆΠ»ΠΈΠ²ΡΡΡΡ ΠΏΡΠ΄Π²ΠΈΡΠΈΡΠΈ ΡΠΎΡΠ½ΡΡΡΡ ΠΎΡΡΠ½ΠΎΠΊ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΈΡ
ΡΠΈΠ·ΠΈΠΊΡΠ² ΡΠ° ΠΎΠΏΡΠΈΠΌΡΠ·ΡΠ²Π°ΡΠΈ ΡΠ½Π²Π΅ΡΡΠΈΡΡΡ Π² ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½Ρ Π±Π΅Π·ΠΏΠ΅ΠΊΡ. ΠΠ°ΠΏΡΠΎΠΏΠΎΠ½ΠΎΠ²Π°Π½ΠΎ 10 ΡΠΎΡΡΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΡΡΠ½ΠΈΡ
ΡΠΈΠΏΡΠ² Π·Π»ΠΎΠ²ΠΌΠΈΡΠ½ΠΈΠΊΠ°, Π²ΠΈΠΊΠΎΡΠΈΡΡΠ°Π½Π½Ρ ΡΠΊΠΈΡ
Π΄ΠΎΠ·Π²ΠΎΠ»ΡΡ ΡΠΎΠ·ΡΠΈΡΠΈΡΠΈ Π·Π°ΡΡΠΎΡΡΠ²Π°Π½Π½Ρ ΡΠ° ΠΏΡΠ΄Π²ΠΈΡΠΈΡΠΈ ΡΠΎΡΠ½ΡΡΡΡ ΠΎΡΡΠ½ΠΊΠΈ Π΅ΠΊΠΎΠ½ΠΎΠΌΡΠΊΠΎ-Π²Π°ΡΡΡΡΠ½ΠΎΡ ΠΌΠΎΠ΄Π΅Π»Ρ ΠΏΡΠΈ ΠΏΡΠΎΠ²Π΅Π΄Π΅Π½Π½Ρ ΠΎΡΡΠ½ΠΊΠΈ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΈΡ
ΡΠΈΠ·ΠΈΠΊΡΠ².In this article we study the socio-psychological characteristics of the attacker and their use with economic-cost model for assessing information risks and optimal investment in information security. An adequate assessment of information risk and determining the optimal investment by existing economic and cost models require expansion with the socio-psychological characteristics of the attacker, which significantly affect the assessment of the risks. Modern methods of estimation of information risks, which are based on existing legal documents doesnβt take into account the socio-psychological characteristics of the attackers, leading to incorrect assessment, reducing its accuracy. The proposed expansion of economic-cost model, taking into account the socio-psychological characteristics
of the attacker, which increases the risk assessment
of information and optimize investment in information
security. We present 10 socio-psychological types of attacker for using with economic-cost modelswhich allows to expand the use and improve the accuracy of estimates of economic-cost model in the evaluation of
information risks.Π Π°ΡΡΠΌΠ°ΡΡΠΈΠ²Π°ΡΡΡΡ ΡΠΎΡΠΈΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΠΈΡΠ΅ΡΠΊΠΈΠ΅ Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊΠΈ Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠ° ΠΈ ΠΈΡ
ΠΏΡΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ c ΡΠΊΠΎΠ½ΠΎΠΌΠΈΠΊΠΎ-ΡΡΠΎΠΈΠΌΠΎΡΡΠ½ΡΠΌΠΈ ΠΌΠΎΠ΄Π΅Π»ΡΠΌΠΈ Π΄Π»Ρ ΠΎΡΠ΅Π½ΠΊΠΈ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ
ΡΠΈΡΠΊΠΎΠ² ΠΈ ΠΎΠΏΡΠΈΠΌΠ°Π»ΡΠ½ΡΡ
ΠΈΠ½Π²Π΅ΡΡΠΈΡΠΈΠΉ Π² ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΡ. ΠΠ»Ρ ΠΏΡΠΎΠ²Π΅Π΄Π΅Π½ΠΈΡ Π°Π΄Π΅ΠΊΠ²Π°ΡΠ½ΠΎΠΉ ΠΎΡΠ΅Π½ΠΊΠΈ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ
ΡΠΈΡΠΊΠΎΠ² ΠΈ ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈΡ ΠΎΠΏΡΠΈΠΌΠ°Π»ΡΠ½ΡΡ
ΠΈΠ½Π²Π΅ΡΡΠΈΡΠΈΠΉ, ΡΡΡΠ΅ΡΡΠ²ΡΡΡΠΈΠ΅ ΡΠΊΠΎΠ½ΠΎΠΌΠΈΠΊΠΎ-ΡΡΠΎΠΈΠΌΠΎΡΡΠ½ΡΠ΅ ΠΌΠΎΠ΄Π΅Π»ΠΈ ΡΡΠ΅Π±ΡΡΡ ΡΠ°ΡΡΠΈΡΠ΅Π½ΠΈΡ Ρ ΡΡΠ΅ΡΠΎΠΌ ΡΠΎΡΠΈΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΠΈΡΠ΅ΡΠΊΠΈΡ
Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊ Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠ°, ΠΊΠΎΡΠΎΡΡΠ΅ ΡΡΡΠ΅ΡΡΠ²Π΅Π½Π½ΠΎ Π²Π»ΠΈΡΡΡ Π½Π° ΠΎΡΠ΅Π½ΠΊΡ ΡΠΈΡΠΊΠΎΠ². Π‘ΠΎΠ²ΡΠ΅ΠΌΠ΅Π½Π½ΡΠ΅ ΠΌΠ΅ΡΠΎΠ΄Ρ ΠΎΡΠ΅Π½ΠΊΠΈ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ
ΡΠΈΡΠΊΠΎΠ², ΠΊΠΎΡΠΎΡΡΠ΅ ΠΎΠΏΠΈΡΠ°ΡΡΡΡ Π½Π° ΡΡΡΠ΅ΡΡΠ²ΡΡΡΠΈΠ΅ Π½ΠΎΡΠΌΠ°ΡΠΈΠ²Π½ΠΎ-ΠΏΡΠ°Π²ΠΎΠ²ΡΠ΅ Π΄ΠΎΠΊΡΠΌΠ΅Π½ΡΡ, Π½Π΅ ΡΡΠΈΡΡΠ²Π°ΡΡ ΡΠΎΡΠΈΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΠΈΡΠ΅ΡΠΊΠΈΠ΅ Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊΠΈ Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ², ΠΏΡΠΈΠ²ΠΎΠ΄ΠΈΡ ΠΊ Π½Π΅ΠΊΠΎΡΡΠ΅ΠΊΡΠ½ΠΎΠΌΡ ΠΏΡΠΎΠ²Π΅Π΄Π΅Π½ΠΈΡ ΠΎΡΠ΅Π½ΠΊΠΈ, ΡΠΌΠ΅Π½ΡΡΠ°Ρ Π΅Π΅ ΡΠΎΡΠ½ΠΎΡΡΡ. ΠΡΠ΅Π΄Π»ΠΎΠΆΠ΅Π½Π½ΠΎΠ΅ ΡΠ°ΡΡΠΈΡΠ΅Π½ΠΈΠ΅ ΡΠΊΠΎΠ½ΠΎΠΌΠΈΠΊΠΎ-ΡΡΠΎΠΈΠΌΠΎΡΡΠ½ΠΎΠΉ ΠΌΠΎΠ΄Π΅Π»ΠΈ Ρ ΡΡΠ΅ΡΠΎΠΌ ΡΠΎΡΠΈΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΠΈΡΠ΅ΡΠΊΠΈΡ
Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊ Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠ° ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ ΠΏΠΎΠ²ΡΡΠΈΡΡ ΠΎΡΠ΅Π½ΠΊΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ
ΡΠΈΡΠΊΠΎΠ² ΠΈ ΠΎΠΏΡΠΈΠΌΠΈΠ·ΠΈΡΠΎΠ²Π°ΡΡ ΠΈΠ½Π²Π΅ΡΡΠΈΡΠΈΠΈ Π² ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΡ. ΠΡΠ΅Π΄Π»ΠΎΠΆΠ΅Π½ΠΎ 10 ΡΠΎΡΠΈΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΠΈΡΠ΅ΡΠΊΠΈΡ
ΡΠΈΠΏΠΎΠ² Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠ°, ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΊΠΎΡΠΎΡΡΡ
ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ ΡΠ°ΡΡΠΈΡΠΈΡΡ ΠΏΡΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ ΠΈ ΠΏΠΎΠ²ΡΡΠΈΡΡ ΡΠΎΡΠ½ΠΎΡΡΡ ΠΎΡΠ΅Π½ΠΊΠΈ ΡΠΊΠΎΠ½ΠΎΠΌΠΈΠΊΠΎ-ΡΡΠΎΠΈΠΌΠΎΡΡΠ½ΠΎΠΉ ΠΌΠΎΠ΄Π΅Π»ΠΈ ΠΏΡΠΈ ΠΏΡΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠΈ ΠΎΡΠ΅Π½ΠΊΠΈ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ
ΡΠΈΡΠΊΠΎΠ²
ΠΠ»ΠΈΡΠ½ΠΈΠ΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ ΠΎΠ±ΡΠ΅ΠΊΡΠΎΠ² Π½Π° ΡΠ΅ΡΠ΅Π½ΠΈΠ΅ ΠΏΡΡΠΌΠΎΠΉ ΠΈ ΠΎΠ±ΡΠ°ΡΠ½ΠΎΠΉ Π·Π°Π΄Π°Ρ ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½ΡΠ° ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΠΎΠΉ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΠΈ
ΠΠΏΡΠΈΠΌΡΠ·Π°ΡΡΡ ΡΠΎΠ·ΠΏΠΎΠ΄ΡΠ»Ρ ΡΠ΅ΡΡΡΡΡΠ² ΠΌΡΠΆ ΠΎΠ±βΡΠΊΡΠ°ΠΌΠΈ Π·Π°Ρ
ΠΈΡΡΡ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΡ Π²Π΅Π΄Π΅ΡΡΡΡ Π½Π° ΠΎΡΠ½ΠΎΠ²Ρ ΠΌΠ°ΡΠ΅ΠΌΠ°ΡΠΈΡΠ½ΠΎΡ ΠΌΠΎΠ΄Π΅Π»Ρ, Π² ΡΠΊΡΠΉ ΡΡΠ»ΡΠΎΠ²Π° ΡΡΠ½ΠΊΡΡΡ Π²ΠΈΠ·Π½Π°ΡΠ°Ρ ΠΊΡΠ»ΡΠΊΡΡΡΡ Π²ΠΈΠ»ΡΡΠ΅Π½ΠΎΡ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΡ. Π ΠΎΠ·Π³Π»ΡΠ½ΡΡΠΎ ΡΠ° Π³ΡΠ°ΡΡΡΠ½ΠΎ ΠΏΡΠΎΡΠ»ΡΡΡΡΠΎΠ²Π°Π½ΠΎ ΡΠΈΡΡΠ°ΡΡΡ, ΠΊΠΎΠ»ΠΈ ΡΠ»ΡΠ΄ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ΠΈΡΠΈ Π²ΡΠ΄ ΠΊΠΎΠ½ΡΠ΅Π½ΡΡΠ°ΡΡΡ ΡΠ΅ΡΡΡΡΡΠ² Π½Π° ΠΎΠ΄Π½ΠΎΠΌΡ Π· ΠΎΠ±βΡΠΊΡΡΠ² Π΄ΠΎ ΡΡ
ΡΠΎΠ·ΠΏΠΎΠ΄ΡΠ»Ρ ΠΌΡΠΆ ΠΎΠ±βΡΠΊΡΠ°ΠΌΠΈ. ΠΠΎΠΊΠ°Π·Π°Π½ΠΎ, ΡΠΊ Π²ΠΏΠ»ΠΈΠ²Π°Ρ ΠΉΠΌΠΎΠ²ΡΡΠ½ΡΡΡΡ Π²ΠΈΠ΄ΡΠ»Π΅Π½Π½Ρ Π½Π°ΠΏΠ°Π΄ΠΎΠΌ ΠΏΠ΅Π²Π½ΠΎΡ ΠΊΡΠ»ΡΠΊΠΎΡΡΡ ΡΠ΅ΡΡΡΡΡΠ² Π½Π° ΠΊΡΠ½ΡΠ΅Π²ΠΈΠΉ ΡΠ΅Π·ΡΠ»ΡΡΠ°Ρ.Optimization of the resources distribution between protection information objects is carried out on the basis of the mathematical model in which the objective function determines the amount of released information. The situations when it should go from resources concentration on one of the objects to their division between two objects were described and shown graphically. The influence of the possibility of delivery by the attack of the definite amount of resources on the ultimate result is shown.ΠΠΏΡΠΈΠΌΠΈΠ·Π°ΡΠΈΡ ΡΠ°ΡΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈΡ ΡΠ΅ΡΡΡΡΠΎΠ² ΠΌΠ΅ΠΆΠ΄Ρ ΠΎΠ±ΡΠ΅ΠΊΡΠ°ΠΌΠΈ Π·Π°ΡΠΈΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΈ ΠΏΡΠΎΠ²ΠΎΠ΄ΠΈΡΡΡ Π½Π° ΠΎΡΠ½ΠΎΠ²Π°Π½ΠΈΠΈ ΠΌΠ°ΡΠ΅ΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΎΠΉ ΠΌΠΎΠ΄Π΅Π»ΠΈ, Π² ΠΊΠΎΡΠΎΡΠΎΠΉ ΡΠ΅Π»Π΅Π²Π°Ρ ΡΡΠ½ΠΊΡΠΈΡ ΠΎΠΏΡΠ΅Π΄Π΅Π»ΡΠ΅Ρ ΠΊΠΎΠ»ΠΈΡΠ΅ΡΡΠ²ΠΎ Π²ΡΡΠ΅ΠΊΠ°Π΅ΠΌΠΎΠΉ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΈ. Π Π°ΡΡΠΌΠΎΡΡΠ΅Π½Ρ ΠΈ Π³ΡΠ°ΡΠΈΡΠ΅ΡΠΊΠΈ ΠΏΡΠΎΠΈΠ»Π»ΡΡΡΡΠΈΡΠΎΠ²Π°Π½Ρ ΡΠΈΡΡΠ°ΡΠΈΠΈ, ΠΊΠΎΠ³Π΄Π° ΡΠ»Π΅Π΄ΡΠ΅Ρ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ΠΈΡΡ ΠΎΡ ΠΊΠΎΠ½ΡΠ΅Π½ΡΡΠ°ΡΠΈΠΈ ΡΠ΅ΡΡΡΡΠΎΠ² Π½Π° ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· ΠΎΠ±ΡΠ΅ΠΊΡΠΎΠ² ΠΊ ΠΈΡ
ΡΠ°ΡΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈΡ ΠΌΠ΅ΠΆΠ΄Ρ ΠΎΠ±ΡΠ΅ΠΊΡΠ°ΠΌΠΈ. ΠΠΎΠΊΠ°Π·Π°Π½ΠΎ, ΠΊΠ°ΠΊ Π²Π»ΠΈΡΠ΅Ρ Π²Π΅ΡΠΎΡΡΠ½ΠΎΡΡΡ Π²ΡΠ΄Π΅Π»Π΅Π½ΠΈΡ Π½Π°ΠΏΠ°Π΄Π°ΡΡΠ΅ΠΉ ΡΡΠΎΡΠΎΠ½ΠΎΠΉ ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅Π½Π½ΠΎΠ³ΠΎ ΠΊΠΎΠ»ΠΈΡΠ΅ΡΡΠ²Π° ΡΠ΅ΡΡΡΡΠΎΠ² Π½Π° ΠΊΠΎΠ½Π΅ΡΠ½ΡΠΉ ΡΠ΅Π·ΡΠ»ΡΡΠ°Ρ
ΠΠΏΠ»ΠΈΠ² Π²ΡΠ°Π·Π»ΠΈΠ²ΠΎΡΡΡ ΠΎΠ±βΡΠΊΡΡΠ² Π½Π° ΡΠΎΠ·Π²βΡΠ·ΠΎΠΊ ΠΏΡΡΠΌΠΎΡ ΡΠ° Π·Π²ΠΎΡΠΎΡΠ½ΠΎΡ Π·Π°Π΄Π°Ρ ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½ΡΡ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΎΡ Π±Π΅Π·ΠΏΠ΅ΠΊΠΈ
ΠΠΏΡΠΈΠΌΡΠ·Π°ΡΡΡ ΡΠΎΠ·ΠΏΠΎΠ΄ΡΠ»Ρ ΡΠ΅ΡΡΡΡΡΠ² ΠΌΡΠΆ ΠΎΠ±βΡΠΊΡΠ°ΠΌΠΈ Π·Π°Ρ
ΠΈΡΡΡ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΡ Π²Π΅Π΄Π΅ΡΡΡΡ Π½Π° ΠΎΡΠ½ΠΎΠ²Ρ ΠΌΠ°ΡΠ΅ΠΌΠ°ΡΠΈΡΠ½ΠΎΡ ΠΌΠΎΠ΄Π΅Π»Ρ, Π² ΡΠΊΡΠΉ ΡΡΠ»ΡΠΎΠ²Π° ΡΡΠ½ΠΊΡΡΡ Π²ΠΈΠ·Π½Π°ΡΠ°Ρ ΠΊΡΠ»ΡΠΊΡΡΡΡ Π²ΠΈΠ»ΡΡΠ΅Π½ΠΎΡ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΡ. Π ΠΎΠ·Π³Π»ΡΠ½ΡΡΠΎ ΡΠ° Π³ΡΠ°ΡΡΡΠ½ΠΎ ΠΏΡΠΎΡΠ»ΡΡΡΡΠΎΠ²Π°Π½ΠΎ ΡΠΈΡΡΠ°ΡΡΡ, ΠΊΠΎΠ»ΠΈ ΡΠ»ΡΠ΄ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ΠΈΡΠΈ Π²ΡΠ΄ ΠΊΠΎΠ½ΡΠ΅Π½ΡΡΠ°ΡΡΡ ΡΠ΅ΡΡΡΡΡΠ² Π½Π° ΠΎΠ΄Π½ΠΎΠΌΡ Π· ΠΎΠ±βΡΠΊΡΡΠ² Π΄ΠΎ ΡΡ
ΡΠΎΠ·ΠΏΠΎΠ΄ΡΠ»Ρ ΠΌΡΠΆ ΠΎΠ±βΡΠΊΡΠ°ΠΌΠΈ. ΠΠΎΠΊΠ°Π·Π°Π½ΠΎ, ΡΠΊ Π²ΠΏΠ»ΠΈΠ²Π°Ρ ΠΉΠΌΠΎΠ²ΡΡΠ½ΡΡΡΡ Π²ΠΈΠ΄ΡΠ»Π΅Π½Π½Ρ Π½Π°ΠΏΠ°Π΄ΠΎΠΌ ΠΏΠ΅Π²Π½ΠΎΡ ΠΊΡΠ»ΡΠΊΠΎΡΡΡ ΡΠ΅ΡΡΡΡΡΠ² Π½Π° ΠΊΡΠ½ΡΠ΅Π²ΠΈΠΉ ΡΠ΅Π·ΡΠ»ΡΡΠ°Ρ.ΠΠΏΡΠΈΠΌΠΈΠ·Π°ΡΠΈΡ ΡΠ°ΡΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈΡ ΡΠ΅ΡΡΡΡΠΎΠ² ΠΌΠ΅ΠΆΠ΄Ρ ΠΎΠ±ΡΠ΅ΠΊΡΠ°ΠΌΠΈ Π·Π°ΡΠΈΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΈ ΠΏΡΠΎΠ²ΠΎΠ΄ΠΈΡΡΡ Π½Π° ΠΎΡΠ½ΠΎΠ²Π°Π½ΠΈΠΈ ΠΌΠ°ΡΠ΅ΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΎΠΉ ΠΌΠΎΠ΄Π΅Π»ΠΈ, Π² ΠΊΠΎΡΠΎΡΠΎΠΉ ΡΠ΅Π»Π΅Π²Π°Ρ ΡΡΠ½ΠΊΡΠΈΡ ΠΎΠΏΡΠ΅Π΄Π΅Π»ΡΠ΅Ρ ΠΊΠΎΠ»ΠΈΡΠ΅ΡΡΠ²ΠΎ Π²ΡΡΠ΅ΠΊΠ°Π΅ΠΌΠΎΠΉ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΈ. Π Π°ΡΡΠΌΠΎΡΡΠ΅Π½Ρ ΠΈ Π³ΡΠ°ΡΠΈΡΠ΅ΡΠΊΠΈ ΠΏΡΠΎΠΈΠ»Π»ΡΡΡΡΠΈΡΠΎΠ²Π°Π½Ρ ΡΠΈΡΡΠ°ΡΠΈΠΈ, ΠΊΠΎΠ³Π΄Π° ΡΠ»Π΅Π΄ΡΠ΅Ρ ΠΏΠ΅ΡΠ΅Ρ
ΠΎΠ΄ΠΈΡΡ ΠΎΡ ΠΊΠΎΠ½ΡΠ΅Π½ΡΡΠ°ΡΠΈΠΈ ΡΠ΅ΡΡΡΡΠΎΠ² Π½Π° ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· ΠΎΠ±ΡΠ΅ΠΊΡΠΎΠ² ΠΊ ΠΈΡ
ΡΠ°ΡΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈΡ ΠΌΠ΅ΠΆΠ΄Ρ ΠΎΠ±ΡΠ΅ΠΊΡΠ°ΠΌΠΈ. ΠΠΎΠΊΠ°Π·Π°Π½ΠΎ, ΠΊΠ°ΠΊ Π²Π»ΠΈΡΠ΅Ρ Π²Π΅ΡΠΎΡΡΠ½ΠΎΡΡΡ Π²ΡΠ΄Π΅Π»Π΅Π½ΠΈΡ Π½Π°ΠΏΠ°Π΄Π°ΡΡΠ΅ΠΉ ΡΡΠΎΡΠΎΠ½ΠΎΠΉ ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅Π½Π½ΠΎΠ³ΠΎ ΠΊΠΎΠ»ΠΈΡΠ΅ΡΡΠ²Π° ΡΠ΅ΡΡΡΡΠΎΠ² Π½Π° ΠΊΠΎΠ½Π΅ΡΠ½ΡΠΉ ΡΠ΅Π·ΡΠ»ΡΡΠ°Ρ.Optimization of the resources distribution between protection information objects is carried out on the basis of the mathematical model in which the objective function determines the amount of released information. The situations when it should go from resources concentration on one of the objects to their division between two objects were described and shown graphically. The influence of the possibility of delivery by the attack of the definite amount of resources on the ultimate result is shown
Π ΠΠΠ¨ΠΠ ΠΠΠΠ― ΠΠΠΠΠΠΠΠΠ-ΠΠΠ Π’ΠΠ‘ΠΠΠ₯ ΠΠΠΠΠΠΠ ΠΠΠ€ΠΠ ΠΠΠ¦ΠΠΠΠΠ₯ Π ΠΠΠΠΠΠ ΠΠ Π ΠΠ₯Π£ΠΠΠ ΠΠΠΠΠ ΠΠ‘Π’ΠΠΠΠ― Π‘ΠΠ¦ΠΠΠΠ¬ΠΠ-ΠΠ‘ΠΠ₯ΠΠΠΠΠΠ§ΠΠΠ₯ Π’ΠΠΠΠ ΠΠΠΠΠΠΠ‘ΠΠΠΠ
In this article we study the socio-psychological characteristicsof the attacker and their use with economic-costmodel for assessing information risks and optimal investmentin information security. An adequate assessmentof information risk and determining the optimal investmentby existing economic and cost models require expansionwith the socio-psychological characteristics of theattacker, which significantly affect the assessment of therisks. Modern methods of estimation of information risks,which are based on existing legal documents doesnβt takeinto account the socio-psychological characteristics of theattackers, leading to incorrect assessment, reducing itsaccuracy. The proposed expansion of economic-costmodel, taking into account the socio-psychological characteristicsof the attacker, which increases the risk assessmentof information and optimize investment in informationsecurity. We present 10 socio-psychologicaltypes of attacker for using with economic-cost modelswhich allows to expand the use and improve the accuracyof estimates of economic-cost model in the evaluation ofinformation risks.Π Π°ΡΡΠΌΠ°ΡΡΠΈΠ²Π°ΡΡΡΡ ΡΠΎΡΠΈΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΠΈΡΠ΅ΡΠΊΠΈΠ΅ Ρ
Π°ΡΠ°ΠΊ-ΡΠ΅ΡΠΈΡΡΠΈΠΊΠΈ Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠ° ΠΈ ΠΈΡ
ΠΏΡΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ c ΡΠΊΠΎ-Π½ΠΎΠΌΠΈΠΊΠΎ-ΡΡΠΎΠΈΠΌΠΎΡΡΠ½ΡΠΌΠΈ ΠΌΠΎΠ΄Π΅Π»ΡΠΌΠΈ Π΄Π»Ρ ΠΎΡΠ΅Π½ΠΊΠΈ ΠΈΠ½ΡΠΎΡ-ΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ
ΡΠΈΡΠΊΠΎΠ² ΠΈ ΠΎΠΏΡΠΈΠΌΠ°Π»ΡΠ½ΡΡ
ΠΈΠ½Π²Π΅ΡΡΠΈΡΠΈΠΉ Π² ΠΈΠ½-ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΡ. ΠΠ»Ρ ΠΏΡΠΎΠ²Π΅Π΄Π΅Π½ΠΈΡ Π°Π΄Π΅ΠΊ-Π²Π°ΡΠ½ΠΎΠΉ ΠΎΡΠ΅Π½ΠΊΠΈ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ
ΡΠΈΡΠΊΠΎΠ² ΠΈ ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅-Π½ΠΈΡ ΠΎΠΏΡΠΈΠΌΠ°Π»ΡΠ½ΡΡ
ΠΈΠ½Π²Π΅ΡΡΠΈΡΠΈΠΉ ΡΡΡΠ΅ΡΡΠ²ΡΡΡΠΈΠ΅ ΡΠΊΠΎΠ½ΠΎ-ΠΌΠΈΠΊΠΎ-ΡΡΠΎΠΈΠΌΠΎΡΡΠ½ΡΠ΅ ΠΌΠΎΠ΄Π΅Π»ΠΈ ΡΡΠ΅Π±ΡΡΡ ΡΠ°ΡΡΠΈΡΠ΅Π½ΠΈΡ ΡΡΡΠ΅ΡΠΎΠΌ ΡΠΎΡΠΈΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΠΈΡΠ΅ΡΠΊΠΈΡ
Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊΠ·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠ°, ΠΊΠΎΡΠΎΡΡΠ΅ ΡΡΡΠ΅ΡΡΠ²Π΅Π½Π½ΠΎ Π²Π»ΠΈΡΡΡ Π½Π°ΠΎΡΠ΅Π½ΠΊΡ ΡΠΈΡΠΊΠΎΠ². Π‘ΠΎΠ²ΡΠ΅ΠΌΠ΅Π½Π½ΡΠ΅ ΠΌΠ΅ΡΠΎΠ΄Ρ ΠΎΡΠ΅Π½ΠΊΠΈ ΠΈΠ½ΡΠΎΡ-ΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ
ΡΠΈΡΠΊΠΎΠ², ΠΊΠΎΡΠΎΡΡΠ΅ ΠΎΠΏΠΈΡΠ°ΡΡΡΡ Π½Π° ΡΡΡΠ΅ΡΡ-Π²ΡΡΡΠΈΠ΅ Π½ΠΎΡΠΌΠ°ΡΠΈΠ²Π½ΠΎ-ΠΏΡΠ°Π²ΠΎΠ²ΡΠ΅ Π΄ΠΎΠΊΡΠΌΠ΅Π½ΡΡ Π½Π΅ ΡΡΠΈΡΡ-Π²Π°ΡΡ ΡΠΎΡΠΈΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΠΈΡΠ΅ΡΠΊΠΈΠ΅ Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊΠΈΠ·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ², ΠΏΡΠΈΠ²ΠΎΠ΄ΠΈΡ ΠΊ Π½Π΅ΠΊΠΎΡΡΠ΅ΠΊΡΠ½ΠΎΠΌΡ ΠΏΡΠΎΠ²Π΅-Π΄Π΅Π½ΠΈΡ ΠΎΡΠ΅Π½ΠΊΠΈ, ΡΠΌΠ΅Π½ΡΡΠ°Ρ Π΅Π΅ ΡΠΎΡΠ½ΠΎΡΡΡ. ΠΡΠ΅Π΄Π»ΠΎΠΆΠ΅Π½Π½ΠΎΠ΅ΡΠ°ΡΡΠΈΡΠ΅Π½ΠΈΠ΅ ΡΠΊΠΎΠ½ΠΎΠΌΠΈΠΊΠΎ-ΡΡΠΎΠΈΠΌΠΎΡΡΠ½ΠΎΠΉ ΠΌΠΎΠ΄Π΅Π»ΠΈ Ρ ΡΡΠ΅-ΡΠΎΠΌ ΡΠΎΡΠΈΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΠΈΡΠ΅ΡΠΊΠΈΡ
Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊ Π·Π»ΠΎ-ΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠ° ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ ΠΏΠΎΠ²ΡΡΠΈΡΡ ΠΎΡΠ΅Π½ΠΊΡ ΠΈΠ½ΡΠΎΡΠΌΠ°-ΡΠΈΠΎΠ½Π½ΡΡ
ΡΠΈΡΠΊΠΎΠ² ΠΈ ΠΎΠΏΡΠΈΠΌΠΈΠ·ΠΈΡΠΎΠ²Π°ΡΡ ΠΈΠ½Π²Π΅ΡΡΠΈΡΠΈΠΈ Π²ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΡ. ΠΡΠ΅Π΄Π»ΠΎΠΆΠ΅Π½ΠΎ 10ΡΠΎΡΠΈΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΠΈΡΠ΅ΡΠΊΠΈΡ
ΡΠΈΠΏΠΎΠ² Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠ°,ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΊΠΎΡΠΎΡΡΡ
ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ ΡΠ°ΡΡΠΈΡΠΈΡΡ ΠΏΡΠΈΠΌΠ΅-Π½Π΅Π½ΠΈΠ΅ ΠΈ ΠΏΠΎΠ²ΡΡΠΈΡΡ ΡΠΎΡΠ½ΠΎΡΡΡ ΠΎΡΠ΅Π½ΠΊΠΈ ΡΠΊΠΎΠ½ΠΎΠΌΠΈΠΊΠΎ-ΡΡΠΎΠΈΠΌΠΎΡΡΠ½ΠΎΠΉ ΠΌΠΎΠ΄Π΅Π»ΠΈ ΠΏΡΠΈ ΠΏΡΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠΈ ΠΎΡΠ΅Π½ΠΊΠΈ ΠΈΠ½-ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΡΡ
ΡΠΈΡΠΊΠΎΠ².Π ΠΎΠ·Π³Π»ΡΠ΄Π°ΡΡΡΡΡ ΡΠΎΡΡΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΡΡΠ½Ρ Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊΠΈ Π·Π»ΠΎΠ²ΠΌΠΈΡΠ½ΠΈΠΊΠ° ΡΠ° ΡΡ
Π·Π°ΡΡΠΎΡΡΠ²Π°Π½Π½Ρ Π· Π΅ΠΊΠΎΠ½ΠΎΠΌΡΠΊΠΎ-Π²Π°ΡΡΡΡΠ½ΠΈΠΌΠΈ ΠΌΠΎΠ΄Π΅-Π»ΡΠΌΠΈ Π· ΠΌΠ΅ΡΠΎΡ ΠΎΡΡΠ½ΡΠ²Π°Π½Π½Ρ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΈΡ
ΡΠΈΠ·ΠΈΠΊΡΠ² Ρ ΠΎΠΏΡΠΈΠΌΠ°Π»ΡΠ½ΠΈΡ
ΡΠ½Π²Π΅ΡΡΠΈΡΡΠΉ Π² ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½Ρ Π±Π΅Π·ΠΏΠ΅ΠΊΡ. ΠΠ»Ρ ΠΏΡΠΎΠ²Π΅Π΄Π΅Π½Π½ΡΠ°Π΄Π΅ΠΊΠ²Π°ΡΠ½ΠΎΠ³ΠΎ ΠΎΡΡΠ½ΡΠ²Π°Π½Π½Ρ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΈΡ
ΡΠΈΠ·ΠΈΠΊΡΠ² ΡΠ° Π²ΠΈΠ·Π½Π°ΡΠ΅Π½Π½Ρ ΠΎΠΏΡΠΈΠΌΠ°Π»ΡΠ½ΠΈΡ
ΡΠ½Π²Π΅ΡΡΠΈΡΡΠΉ Ρ ΡΡΠ΅ΡΡ Π·Π°Ρ
ΠΈΡΡΡ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΡΡΡΠ½ΡΡΡΡ Π΅ΠΊΠΎΠ½ΠΎΠΌΡΠΊΠΎ-Π²Π°ΡΡΡΡΠ½Ρ ΠΌΠΎΠ΄Π΅Π»Ρ ΠΏΠΎΡΡΠ΅Π±ΡΡΡΡ ΡΠΎΠ·ΡΠΈΡΠ΅Π½Π½Ρ Π· ΡΡΠ°Ρ
ΡΠ²Π°Π½Π½ΡΠΌ ΡΠΎΡΡΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΡΡΠ½ΠΈΡ
Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊΠ·Π»ΠΎΠ²ΠΌΠΈΡΠ½ΠΈΠΊΠ°, ΡΠΊΡ ΡΡΡΠΎΡΠ½ΠΎ Π²ΠΏΠ»ΠΈΠ²Π°ΡΡΡ Π½Π° ΠΎΡΡΠ½ΡΠ²Π°Π½Π½Ρ ΡΠΈΠ·ΠΈΠΊΡΠ². Π‘ΡΡΠ°ΡΠ½Ρ ΠΌΠ΅ΡΠΎΠ΄ΠΈ ΠΎΡΡΠ½ΡΠ²Π°Π½Π½Ρ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΈΡ
ΡΠΈΠ·ΠΈΠΊΡΠ², ΡΠΊΡΡΠΏΠΈΡΠ°ΡΡΡΡΡ Π½Π° ΡΡΠ½ΡΡΡΡ Π½ΠΎΡΠΌΠ°ΡΠΈΠ²Π½ΠΎ-ΠΏΡΠ°Π²ΠΎΠ²Ρ Π΄ΠΎΠΊΡΠΌΠ΅Π½ΡΠΈ, Π½Π΅ Π²ΡΠ°Ρ
ΠΎΠ²ΡΡΡΡ ΡΠΎΡΡΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΡΡΠ½Ρ Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊΠΈ Π·Π»ΠΎΠ²ΠΌΠΈΡΠ½ΠΈΠΊΡΠ², ΡΠΎ ΠΏΡΠΈΠ·Π²ΠΎΠ΄ΠΈΡΡ Π΄ΠΎ Π½Π΅ΠΊΠΎΡΠ΅ΠΊΡΠ½ΠΎΠ³ΠΎ ΠΏΡΠΎΠ²Π΅Π΄Π΅Π½Π½Ρ ΠΎΡΡΠ½ΡΠ²Π°Π½Π½Ρ ΡΠ° Π·ΠΌΠ΅Π½ΡΠ΅Π½Π½Ρ ΡΠΎΡΠ½ΠΎΡΡΡ ΠΎΡΡΠΈΠΌΠ°Π½ΠΈΡ
ΠΎΡΡΠ½ΠΎΠΊ. ΠΠ°ΠΏΡΠΎ-ΠΏΠΎΠ½ΠΎΠ²Π°Π½Π΅ ΡΠΎΠ·ΡΠΈΡΠ΅Π½Π½Ρ Π΅ΠΊΠΎΠ½ΠΎΠΌΡΠΊΠΎ-Π²Π°ΡΡΡΡΠ½ΠΎΡ ΠΌΠΎΠ΄Π΅Π»Ρ Π· ΡΡΠ°Ρ
ΡΠ²Π°Π½Π½ΡΠΌ ΡΠΎΡΡΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΡΡΠ½ΠΈΡ
Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊ Π·Π»ΠΎΠ²ΠΌΠΈΡΠ½ΠΈΠΊΠ°Π΄Π°Ρ ΠΌΠΎΠΆΠ»ΠΈΠ²ΡΡΡΡ ΠΏΡΠ΄Π²ΠΈΡΠΈΡΠΈ ΡΠΎΡΠ½ΡΡΡΡ ΠΎΡΡΠ½ΠΎΠΊ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΈΡ
ΡΠΈΠ·ΠΈΠΊΡΠ² ΡΠ° ΠΎΠΏΡΠΈΠΌΡΠ·ΡΠ²Π°ΡΠΈ ΡΠ½Π²Π΅ΡΡΠΈΡΡΡ Π² ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½Ρ Π±Π΅Π·ΠΏΠ΅ΠΊΡ. ΠΠ°ΠΏΡΠΎΠΏΠΎΠ½ΠΎΠ²Π°Π½ΠΎ 10 ΡΠΎΡΡΠ°Π»ΡΠ½ΠΎ-ΠΏΡΠΈΡ
ΠΎΠ»ΠΎΠ³ΡΡΠ½ΠΈΡ
ΡΠΈΠΏΡΠ² Π·Π»ΠΎΠ²ΠΌΠΈΡΠ½ΠΈΠΊΠ°, Π²ΠΈΠΊΠΎΡΠΈΡΡΠ°Π½Π½Ρ ΡΠΊΠΈΡ
Π΄ΠΎΠ·Π²ΠΎΠ»ΡΡ ΡΠΎΠ·ΡΠΈΡΠΈΡΠΈ Π·Π°ΡΡΠΎΡΡ-Π²Π°Π½Π½Ρ ΡΠ° ΠΏΡΠ΄Π²ΠΈΡΠΈΡΠΈ ΡΠΎΡΠ½ΡΡΡΡ ΠΎΡΡΠ½ΠΊΠΈ Π΅ΠΊΠΎΠ½ΠΎΠΌΡΠΊΠΎ-Π²Π°ΡΡΡΡΠ½ΠΎΡ ΠΌΠΎΠ΄Π΅Π»Ρ ΠΏΡΠΈ ΠΏΡΠΎΠ²Π΅Π΄Π΅Π½Π½Ρ ΠΎΡΡΠ½ΠΊΠΈ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΠΉΠ½ΠΈΡ
ΡΠΈΠ·ΠΈΠΊΡΠ²
The compliance budget: Managing security behaviour in organisations
A significant number of security breaches result from employeesβ failure to comply with security policies. Many organizations have tried to change or influence security behaviour, but found it a major challenge. Drawing on previous research on usable security and economics of security, we propose a new approach to managing employee security behaviour. We conducted interviews with 17 employees from two major commercial organizations, asking why they do or donβt comply with security policies. Our results show that key factors in the compliance decision are the actual and anticipated cost and benefits of compliance to the individual employee, and perceived cost and benefits to the organization. We present a new paradigm β the Compliance Budget - as a means of understanding how individuals perceive the costs and benefits of compliance with organisational security goals, and identify a range of approaches that security managers can use to influence employeeβs perceptions (which, in turn, influence security behaviour). The Compliance Budget should be understood and managed in the same way as any financial budget, as compliance directly affects, and can place a cap on, effectiveness of organisational security measures