Adaptation of a Risk-Based Approach to the Tasks of Building and Functioning of Information Security Systems

Розглянуто основні аспекти та перспективи використання принципу адаптації (насамперед ризик-орієнтованої адаптації) для побудови та функціонування системи захисту інформації. Пропонується реалізація ризик-орієнтованого підходу з урахуванням властивостей і характеристик інформації, що захищається, її суспільної значущості та важливості, що передбачає побудову об’єктивної моделі зловмисника, оцінку його потенціалу та ступеня зацікавленості в успішності реалізованої атаки. Досліджено особливості та можливості практичного застосування прагматичних аспектів захисту. Проаналізовано зміст основних концепцій адаптивного управління ІКС на різних етапах розвитку інформаційних технологій. Показано ретроспективу розвитку деструктивних дій у кіберпросторі та ретроспективу парадигм захисту («цифрова фортеця», передбачуваний злам та проактивний захист). Як альтернативу популярним нині методам побудови ІКС пропонується використовувати адаптивний підхід, суть якого полягає у використанні інформації про характеристики та поведінку обох сторін конфлікту при створенні та управлінні ІКС. Представлено математичні моделі рефлексивних ризиків, структура та набір яких визначаються обраними типовими сценаріями розвитку ситуації «напад/захист». Аналіз та дослідження моделей надає оціночну інформацію, яка дозволяє забезпечити ефективне та раціональне інвестування в інформаційну безпеку організації, збалансовуючи фінансово-економічні можливості організації з її вимогами та можливостями у сфері захисту інформації.The main aspects and prospects of using the adaptation principle (primarily risk-oriented adaptation) for the construction and functioning of the information security system (ISS) are considered. It is proposed to implement a risk-oriented approach, taking into account the properties and characteristics of the protected information, its social significance and importance, which implies building an objective model of the attacker, assessing his potential and the degree of interest in the successful implementation of the attack. The features and possibilities of practical application of pragmatic aspects of protection are investigated. The content of the basic concepts of adaptive management of the ISS at various stages of information technology development is analyzed. A retrospective of the development of destructive actions in cyberspace and a retrospective of defense paradigms ("digital fortress", alleged violation and proactive defense) are shown. As an alternative to the currently popular methods of building an ISS, it is proposed to use an adaptive approach, the essence of which is to use information about the characteristics and behavior of both parties to the conflict when creating and managing ISS. Mathematical models of reflexive risks are presented, the structure and set of which are determined by the selected typical scenarios for the development of the "attack / defense" situation. Analysis and research of models provides evaluative information that allows to ensure effective and rational investment in the organization's information security, balancing the financial and economic capabilities of the organization with its requirements and capabilities in the field of information security

Application of a risk-based approach using reflexive risk models in building information security systems

The risk-based approach (RBA) provides certain advantages in the construction and operation of information security management systems, therefore, the most frequently applied standards in this area are based on it. But the practical application of RBA for protection against cyber threats is fraught with a number of difficulties and limits. It is shown that application of a detailed risk assessment to assess the information security in organization intensively using the Internet and other IT in its activities, require a lengthy work to investigate vulnerabilities, calculating the private risks, reducing them into risks of threat. Taking into account the extremely high labor costs of this procedure, it is relevant to solve the problem by assessing high-level risks. Four verbal specifications of the attacker are introduced, describing various aspects of his behavior and skills, the socio-psychological context of his actions, the target settings of these actions, affecting the choice of the attacker's strategy, methods and ways to implement information threats. On the basis of these specifications reflexive risk models are formed. These are mathematical models whose structure and parameters reflect the characteristics of the attacker contained in its specification. Each of these models can be tailored to its own security policy to minimize losses to the organization. The study of reflexive models in a number of cases made it possible to determine the maximum volume of investments in the information security system and reveal the limitations in the application of the RBA to the construction of the information security system

Проблематика определения инвестиций в информационную безопасность на основе экономико-стоимостных моделей

Для вибору моделі визначення оптимальних інвестицій в інформаційну безпеку компанії автори приводять аналіз двох економіко-вартісних моделей. Не зважаючи на абсолютно різні підходи, на яких базуються ці моделі, вони дають доволі близькі результати, але мають ключові відмінності. Автори проводять порівняльний аналіз популярної для визначення інвестицій в інформаційну безпеку моделі американських дослідників Гордона і Лоеба, а також економіко-вартісну модель, яка набула широкого застосування для визначення комплексної оцінки загального стану захищеності інформаційної безпеки компанії. Результат аналізу двох моделей на однаковій вибірці даних прозоро показує, як на практиці застосовується американська модель з формальним характером та явно вираженим наголосом на економіці та економіко-вартісна модель, яка ґрунтується на результатах аналізу реальних показників рівня захищеності інформаційної системи організації, потреб інформаційної безпеки, що вимагають використання реальних механізмів управління інформаційними ризиками, з урахування економічних тенденцій. Використовуючи обидві моделі можна отримати об’єктивні результати; але слід зауважити, що, як показує практичне застосування моделей, досягнення більш об’єктивних результатів при проведенні оцінки оптимального обсягу інвестицій в систему захисту інформації дають ті моделі, в яких максимально враховані показники рівня захищеності, що впливають на стан безпеки підприємства.Authors analyze two economic-cost models for determine optimal investment in information security of the company. Despite the very different approaches, which these models are based on, they both give quite similar results, but with key differences. The analysis of two models on the same sample data transparently shows how in practice the american model with formal and explicit focus on the economy and economic-cost model, which is based on an analysis of actual indicators of information security system, information security needs that require the usage of information risk management mechanisms with taking into account economic trends, are used. Objective results are achieved using both models in research, but it should be noted that as the practical usage of models to achieve a more objective results of the evaluation of optimal investments in information security is preferred the model, which takes into account most indicators which affects information security.Для выбора модели определения оптимальных инвестиций в информационную безопасность компании авторы приводят анализ двух экономико-стоимостных моделей. Несмотря на совершенно разные подходы, на которых базируются эти модели, они обе дают довольно близкие результаты, но имеют ключевые отличия. Авторы проводят сравнительный анализ популярной для определения инвестиций в информационную безопасность модели американских исследователей Гордона и Лоэба, а также экономико-стоимостную модель, которая получила широкое применение для определения комплексной оценки общего состояния защищенности информационной безопасности компании. Результат анализа двух моделей на одинаковой выборке данных прозрачно показывает, как на практике применяется американская модель с формальным характером и явно выраженным акцентом на экономике и экономико-стоимостная модель, которая основывается на результатах анализа реальных показателей уровня защищенности информационной системы организации, потребностей информационной безопасности, требующих использования реальных механизмов управления информационными рисками, с учетом экономических тенденций. Используя обе модели можно получить объективные результаты; но следует заметить, что, как показывает практическое применение моделей, достижения более объективных результатов при проведении оценки оптимального объема инвестиций в систему защиты информации дают те модели, в которых максимально учтены показатели уровня защищенности, влияющие на состояние безопасности предприятия

Methodology of using mobile apps with augmented reality in students' vocational preparation process for transport industry

In the paper, the current state and trends of the use of AR technologies in the transport industry and in future specialists' vocational training processes have been reviewed and analyzed. The essence and content of the AR technologies relevant to the transport industry have been clarified. The main directions of the AR introduction for the various spheres of the transport industry including design and tuning, mechanical and automotive engineering, marketing and advertising, maintenance and operation, diagnostics and repair of cars have been determined. The AR mobile apps market and the features of the mobile apps with AR have been outlined. The pedagogical terms of effective organizing the students' cognitive activity for transport industry via AR technologies have been determined and researched, namely: to provide each student with the position of an active actor of study and cognitive activity, to switch the study information in a mode of the project activity, the educational content professionalization and to teach students to use the modern ICT purposefully, to manage students' cognitive process by means of ICT. The methodology of using mobile apps with AR in students' vocational preparation process for the transport industry has been presented. It covers the system of educational tasks, updated content of lectures, practical and laboratory classes for specialized disciplines