Application of a risk-based approach using reflexive risk models in building information security systems

The risk-based approach (RBA) provides certain advantages in the construction and operation of information security management systems, therefore, the most frequently applied standards in this area are based on it. But the practical application of RBA for protection against cyber threats is fraught with a number of difficulties and limits. It is shown that application of a detailed risk assessment to assess the information security in organization intensively using the Internet and other IT in its activities, require a lengthy work to investigate vulnerabilities, calculating the private risks, reducing them into risks of threat. Taking into account the extremely high labor costs of this procedure, it is relevant to solve the problem by assessing high-level risks. Four verbal specifications of the attacker are introduced, describing various aspects of his behavior and skills, the socio-psychological context of his actions, the target settings of these actions, affecting the choice of the attacker's strategy, methods and ways to implement information threats. On the basis of these specifications reflexive risk models are formed. These are mathematical models whose structure and parameters reflect the characteristics of the attacker contained in its specification. Each of these models can be tailored to its own security policy to minimize losses to the organization. The study of reflexive models in a number of cases made it possible to determine the maximum volume of investments in the information security system and reveal the limitations in the application of the RBA to the construction of the information security system

Adaptation of a Risk-Based Approach to the Tasks of Building and Functioning of Information Security Systems

Розглянуто основні аспекти та перспективи використання принципу адаптації (насамперед ризик-орієнтованої адаптації) для побудови та функціонування системи захисту інформації. Пропонується реалізація ризик-орієнтованого підходу з урахуванням властивостей і характеристик інформації, що захищається, її суспільної значущості та важливості, що передбачає побудову об’єктивної моделі зловмисника, оцінку його потенціалу та ступеня зацікавленості в успішності реалізованої атаки. Досліджено особливості та можливості практичного застосування прагматичних аспектів захисту. Проаналізовано зміст основних концепцій адаптивного управління ІКС на різних етапах розвитку інформаційних технологій. Показано ретроспективу розвитку деструктивних дій у кіберпросторі та ретроспективу парадигм захисту («цифрова фортеця», передбачуваний злам та проактивний захист). Як альтернативу популярним нині методам побудови ІКС пропонується використовувати адаптивний підхід, суть якого полягає у використанні інформації про характеристики та поведінку обох сторін конфлікту при створенні та управлінні ІКС. Представлено математичні моделі рефлексивних ризиків, структура та набір яких визначаються обраними типовими сценаріями розвитку ситуації «напад/захист». Аналіз та дослідження моделей надає оціночну інформацію, яка дозволяє забезпечити ефективне та раціональне інвестування в інформаційну безпеку організації, збалансовуючи фінансово-економічні можливості організації з її вимогами та можливостями у сфері захисту інформації.The main aspects and prospects of using the adaptation principle (primarily risk-oriented adaptation) for the construction and functioning of the information security system (ISS) are considered. It is proposed to implement a risk-oriented approach, taking into account the properties and characteristics of the protected information, its social significance and importance, which implies building an objective model of the attacker, assessing his potential and the degree of interest in the successful implementation of the attack. The features and possibilities of practical application of pragmatic aspects of protection are investigated. The content of the basic concepts of adaptive management of the ISS at various stages of information technology development is analyzed. A retrospective of the development of destructive actions in cyberspace and a retrospective of defense paradigms ("digital fortress", alleged violation and proactive defense) are shown. As an alternative to the currently popular methods of building an ISS, it is proposed to use an adaptive approach, the essence of which is to use information about the characteristics and behavior of both parties to the conflict when creating and managing ISS. Mathematical models of reflexive risks are presented, the structure and set of which are determined by the selected typical scenarios for the development of the "attack / defense" situation. Analysis and research of models provides evaluative information that allows to ensure effective and rational investment in the organization's information security, balancing the financial and economic capabilities of the organization with its requirements and capabilities in the field of information security