Defining of Goals in the Development of Cyber Resilient Systems According to NIST

This paper introduces an approach to defining goals in the development of cyber-resilient systems, following the guidelines established in the standards of the National Institute of Standards and Technology (NIST) in the United States. This work aims to provide a roadmap for researchers and practitioners of cyber resilience in creating information systems capable of withstanding and adapting to adverse conditions, malfunctions, and attacks while ensuring the guaranteed execution of all primary cyber-system functions

Аналізування прийнятності складних ризиків інформаційної безпеки методами аналітичної геометрії

Requirement for the protection state information resources is determined by the law Ukraine. Complex systems of information protection or information security management system is rooted for this. It is necessary to determine eligibility of criteria risk levels and set their limit values during development of such systems. This task is assigned to the owner or manager of information asset. Determination of limit values of risk levels allows to draw the line between acceptable and unacceptable risk. Presence of such limits provides an opportunity to make informed decisions about necessary risks processing and attracting the necessary resources. Therefore, the main purpose is presenting the approach to analyzing the levels acceptability of complex information security risks using mathematical tools of analytical geometry and assumptions concerning the analogy between the additive model of complex risk with equation of line. This line is reflected in the area and defines the boundary, predefined risk levels. The analogy equation of the line with the equation of finding two risk values of threats to security informative asset for a given level of total risk shows as an example. The location of “boundary line” is defined and proven, also considered various options for its intersection with other direct. Depending on their relative position became possible the formation of approaches to the definition and classification of officials recommendations who are developing a complex information protection system or the system of information security management. It is allowed to simplify and justify determination of quantitative characteristics of complex risks and contributed to the formulation of further research in n-dimensional area by using the analytical and geometric models.Излагается подход к анализу приемлемости уровней рисков безопасности информационного актива при заданном их граничном значении. Для этого используется математический аппарат аналитической геометрии и допущение относительно аналогии между аддитивной моделью сложного риска с уравнением прямой. Она отображается в пространстве и ею определяются граничные, заблаговременно заданные уровни рисков. Рассматриваются различные варианты пересечения “граничной прямой” с другими прямыми. Выделяются формы представления прямой, в том числе уравнения прямой с угловым коэффициентом. В зависимости от взаимного размещения “граничной” и других прямых, появляется возможность формирования подходов к классификации рекомендаций должностным лицам, которые проектируют комплексную систему защиты информации и/или систему управления информационной безопасностью. Это позволяет упростить вычисления количественных характеристик сложных рисков и открывает возможность определения дальнейшего направления исследований с помощью аналитико-геометрический моделей.Викладається підхід до аналізування прийнятності рівнів ризиків безпеки інформаційного активу при заданому їх граничному значенні. Для цього використовується математичний апарат аналітичної геометрії та припущення щодо аналогії між адитивною моделлю складного ризику з рівнянням прямої. Вона відображається у просторі та нею визначаються граничні, заздалегідь задані рівні ризиків. Розглядаються різні варіанти перетину ”граничної прямої” з іншими прямими. Виокремлюються форми представлення прямої, в тому числі рівняння прямої з кутовим коефіцієнтом. У залежності від взаємного розташування ”граничної” та інших прямих, з’являється можливість сформувати підходи до класифікування рекомендацій посадовим особам, які проектують комплексну систему захисту інформації та/або систему управління інформаційною безпекою. Це дозволяє спростити обчислення кількісних характеристик складних ризиків і відкриває можливості визначення напрямку подальших досліджень за допомогою аналітико-геометричних моделей

Інтерпретування залежності рівня простого ризику від імовірності його реалізування в термінах аналітичної геометрії

It is considered the dependence of the level of simple risk on the likelihood of its implementation. Analytical geometry is used to interpret this dependence. It is shown the nonlinear character of its dependence, which leads to the complexity of its analysis in practice. Therefore, a special case of solving the problem of risk level analysis in a linear form is analyzed on the example of a two-component risk model presented on a plane. It is noted that the dependence of the level of risk on the magnitude of possible damage is analogous to the dependence of the level of risk on the magnitude of the probability of its realization and can be expressed by the direct equation. Defining the analogy between the equation of a straight line and the representation of the risk-probability relation for its realization, it is verified the correspondence of this assertion to other methods of specifying a line in the plane. It is considered known variants of specifying a straight line in a segment, with angular coefficients to solve that. The same applies to the methods of specifying the equation of a straight line with respect to a point and a guiding vector and the normal equation of a straight line in which straight lines not leaving the origin of coordinates are considered. Thus, a quasi-analogy is shown between the representation of the dependence of the risk value on the probability of its realization and the equation of the straight line on the plane that leaves the origin and is located in the first quadrant. This allows to investigate risks using known methods of analytical geometry. At the same time, while representing the risk as a sum of two or more components, encountered the need to increase the dimensionality of the coordinate system to n, which leads to the need for further studies in n-dimensional space.Рассматривается зависимость уровня простого риска от вероятности его реализации. Для интерпретации этой зависимости используется аналитическая геометрия. Показывается нелинейный характер этой зависимости, что приводит к сложности ее анализа на практике. Поэтому анализируется частный случай решения задачи анализа уровня рисков в линейном виде на примере двухкомпонентной модели риска, представленного на плоскости. Отмечается, что зависимость уровня риска от величины возможного ущерба аналогична зависимости уровня риска от величины вероятности его реализации и может быть выражена уравнением прямой. Определив аналогию между уравнением прямой и представлением соотношения риск-вероятность его реализации, проверяется соответствие данного утверждения другими способами задавания прямой на плоскости. Для этого рассматриваются известные варианты задания прямой в отрезках, с угловыми коэффициентами. То же касается и способов задания уравнения прямой по точке и направляющему вектору и нормальное уравнение прямой, в которых рассматриваются прямые, не выходящие из начала координат. Таким образом, показывается квазианалогия между представлением зависимости величины риска от вероятности его реализации и уравнением прямой на плоскости, которое выходит из начала координат и располагается в первом квадранте. Это позволяет исследовать риски с применением известных методов аналитической геометрии. Вместе с тем, при представлении риска в виде суммы двух и более составляющих сталкиваемся с необходимостью увеличения мерности системы координат до n, что приводит к необходимости дальнейших исследований в n -мерном пространстве.Розглядається залежність рівня простого ризику від імовірності його реалізування. Для інтерпретування цієї залежності використовуєтсья аналітична геометрія. Показується нелінійних характер означеної залежності, що призводить до складнощів її аналізування на практиці. Тому аналізується окремий випадок вирішення завдання з аналізування рівня ризиків у лінійному виді на прикладі двохкомпонентної моделі ризику, що відображається на площині. Відмічається, що залежність рівня ризику від величини вірогідних збитків аналогічна залежності рівня ризику від величини імовірності його реалізування і може бути виражена рівнянням прямої. Визначення аналогії між рівнянням прямої і відображення співвідношення ризик-імовірність його реалізування, перевіряється відповідність даного твердження іншими способами задання прямої на площині. Для цього розглядаютсья відомі варіанти задання прямої у відрізках, з кутовими коефіцієнтами. Те ж стосується і способів задання прямої за точкою і напрямним вектором і номальне рівняння прямої, у яких розглядаються прямі, що не виходять з початку координат. Таким чином, показуєтсья квазіаналогія між представленням залежності величини ризику від імовірності його реалізації і рівняням прямої на площині, що виходить з початку координат і розміщується у першому квадрантів. Це дозволяє досліджувати ризики шляхом використання відомих методів аналітичної геометрії. Разом з тим, при представленні ризику сумою двох і більше складових виникає потреба зменшення мірності системи координат до n, Це призводить до необхідності проведення подальших досліджень в n-мірному просторі

Представлення оцінок ризиків інформаційної безпеки картою ризиків

The risk assessment presentation features of information security by the risk maps are considered. In practice, such map is displayed on the coordinate plane. Its axes denote information security risk parameters. This is the risks and the losses magnitude. This determines the acceptability of separate or group information security risks. It is established by choosing the scale of assessment (qualitative, quantitative, or qualitative-quantitative); risk map dimensionality (equal in size, different in size). When used risks maps of information security equally in size and different in size, linguistic rating scales mainly apply (for example, "very low", "low", "medium", "high", "very high"). This approach is limited by the complexity of comparing possible parameters estimates of risk possibility and the losses magnitude. This leads to the difficulty of determining the information security risk assessments acceptability and, as a result, the decision to process them. This limitation is overcome by a combination of linguistic and ordinal scales. The combination of scales allows overcoming the comparing information security risk assessments limitations and establishing clear boundaries on the map. The use of discrete maps with clear (discrete) limits is complemented by color symbols. Acceptable assessments highlight in green, unacceptable in red. The level of acceptability is established by the expert and depends on his knowledge, skills, preparedness, and experience. The adequacy of using discrete information security risk maps is determined by its dimensionality. Therefore, if necessary, it can be increased. On the one hand, it is possible to take into account the intermediate values of the information security risk. On the other hand, it will lead to the enumeration of a large number of pairs (risks, the losses magnitude), difficulties of their perception and the increase in time for deciding whether or not to handle unacceptable information security risks. Thus, the use of discrete maps is limited by the difficulties, firstly, the assessment, comparison and accounting of pairs (the probability of the risks, the losses magnitude). Accounting for these difficulties is possible through the presentation risk assessment of information security by the continuous map.Рассмотрены особенности представления оценок рисков информационной безопасности картами риска. На практике такая карта отображается координатной плоскостью. Ее осями обозначаются параметры риска информационной безопасности. Это вероятность реализации угрозы и величина потерь. Благодаря этому определяется приемлемость отдельного или группы рисков информационной безопасности. Она устанавливается путем выбора шкалы оценивания (качественной, количественной, качественно-количественной), размерности карты риска (равноразмерная, разноразмерная). При использовании как равноразмерных, так и разноразмерных карт рисков информационной безопасности в большинстве случаев используются лингвистические шкалы оценивания (например «очень низкая», «низкая», «средняя», «высокая», «очень высокая»). Такой подход ограничивается сложностью сопоставления возможных оценок параметров вероятности реализации угрозы и величины потерь. Это приводит к проблематичности определения приемлемости оценок рисков информационной безопасности и, как следствие, принятия решений о необходимости их обработки. Данное ограничение преодолевается путем сочетания лингвистических и порядковых шкал. Сочетание шкал позволяет преодолеть ограниченность сопоставления оценок рисков информационной безопасности и установить четкие границы на карте. Использование дискретных карт с четкими (дискретными) границами дополняется цветными обозначениями. Зеленым цветом выделяются приемлемые оценки, красным – неприемлемые. Уровень приемлемости задается экспертом и зависит от его знаний, навыков, подготовленности и опыта. Адекватность использования дискретных карт рисков информационной безопасности определяется ее размерностью. Поэтому в случае необходимости возможное ее повышение. С одной стороны возможен учет промежуточных значений величины риска информационной безопасности. Тогда как, с другой, приведет к перебору большого количества пар (вероятность реализации угрозы, величина потерь). Учет этих трудностей возможен благодаря представлению оценок рисков информационной безопасности непрерывными картами.Розглянуто особливості представлення оцінок ризиків інформаційної безпеки картами ризику. На практиці така карта відображається координатною площино. Її осями позначено параметри ризику інформаційної безпеки. Це ймовірність реалізації загрози та величина втрат. Завдяки цьому визначається прийнятність окремого або групи ризиків інформаційної безпеки. Вона встановлюється шляхом вибору шкали оцінювання (якісної, кількісної або якісно-кількісної); розмірності карти ризику (рівнорозмірна, різнорозмірна). При використанні як рівнорозмірних, так і різнорозмірних карт ризиків інформаційної безпеки здебільшого використовуюється лінгвістичні шкали оцінювання (наприклад, “дуже низька”, “низька”, “середня”, “висока”, “дуже висока”). Такий підхід обмежується складністю зіставлення вірогідних оцінок параметрів ймовірності реалізації загрози та величини втрат. Це призводить до проблематичності визначення прийнятності оцінок ризиків інформаційної безпеки і, як наслідок, прийняття рішення про необхідність їх оброблення. Дане обмеження долається шляхом поєднання лінгвістичних і порядкових шкал. Поєднання шкал дозволяє подолати обмеженість зіставлення оцінок ризиків інформаційної безпеки та встановити чіткі  межі на карті. Використання дискретних карт з чіткими (дискретними) межами доповнюється кольоровими позначеннями. Зеленим кольором виокремлюються прийнятні оцінки, червоним – неприйнятні. Рівень прийнятності задається експертом і залежить від його знань, навичок, підготовленості та досвіду. Адекватність використання дискретних карт ризиків інформаційної безпеки визначається її розмірністю. Тому за потреби можливе її підвищення. З одного боку можливе врахування проміжних значень величини ризику інформаційної безпеки. Тоді як, з іншого, призведе до перебору великої кількості пар (ймовірність реалізації загрози, величина втрат), складнощів їх сприйняття і зростання часу для прийняття рішення про доцільність/недоцільність оброблення неприйнятних ризиків інформаційної безпеки. Таким чином, використання дискретних карт обмежене складнощами, по-перше, оцінювання, зіставлення і врахування пар (ймовірність реалізації загрози, величина втрат). Врахування цих складнощів можливе завдяки представленню оцінок ризиків інформаційної безпеки неперервними картами

Метод концептуалізування системних досліджень систем управління інформаційною безпекою

The use of ISO / IEC 27000 and ISO Guide 73 standards as glossaries of terms regarding the information security management system is considered. Information security management systems are developed using the terms and definitions of ISO / IEC 27000. At the same time, this glossary is supplemented by terms on risk and risk management in general. Both documents are focused on creating a unified approach to defining and interpreting the concepts of information security management system. Attention is drawn to its applicability to the presentation of organizational guidelines and deadlines for risk. Against this background, conceptualized knowledge about the ontology information security management system, taking into account the systematic approach. This system is presented as a complete entity with stable structural and functional links between its elements. Its use makes it possible to establish relationships between security concepts and standards, in particular, ISO / IEC 27001. A characteristic feature of such relationships is the orientation either to the attainment of organizational guidelines or to terms regarding risk (asset, vulnerability, threat, risk). Information security management systems are developed using the terms and definitions of ISO / IEC 27000. At the same time, this glossary is supplemented by terms on risk and risk management in general. Both documents are focused on creating a unified approach to defining and interpreting the concepts of information security management system.Розглянуто використання стандартів ISO/IEC 27000 та ISO Guide 73 як словників термінів стосовно системи управління інформаційною безпекою. Система управління інформаційною безпекою розробляються зі застосуванням термінів і визначень за стандартом ISO/IEC 27000. Водночас цей словник доповнюється термінами стосовно ризику та менеджменту ризиків загалом. Обидва документи орієнтовані на створення єдиного підходу до визначення і тлумачення понять системи управління інформаційною безпекою. Зосереджено увагу на його застосовності для представлення організаційних настанов і термінів стосовно ризику. З огляду на це, концептуалізовано знання про систему управління інформаційною безпекою онтологією з урахуванням системного підходу. Його використання дозволяє встановити співвідношення між поняттями безпеки та стандартами, зокрема, ISO/IEC 27001. Характерною особливістю таких співвідношень є орієнтованість або на реалізованість організаційних настанов, або на терміни стосовно ризику (актив, уразливість, загроза, ризик). Знання про систему управління інформаційною безпекою концептуалізуються за системним підходом. Вона розглядається як цілісний об’єкт, що складається з сукупності структурно та функціонально взаємопов’язаних елементів. Цілісність об‘єкта забезпечується сукупністю стійких зв‘язків між елементами, що утворюють структуру системи управління інформаційною безпекою

Analyzing of eligibility of complex risks of information security by analytical geometry methods

Викладається підхід до аналізування прийнятності рівнів ризиків безпеки інформаційного активу при заданому їх граничному значенні. Для цього використовується математичний апарат аналітичної геометрії та припущення щодо аналогії між адитивною моделлю складного ризику з рівнянням прямої. Вона відображається у просторі та нею визначаються граничні, заздалегідь задані рівні ризиків. Розглядаються різні варіанти перетину ”граничної прямої” з іншими прямими. Виокремлюються форми представлення прямої, в тому числі рівняння прямої з кутовим коефіцієнтом. У залежності від взаємного розташування ”граничної” та інших прямих, з’являється можливість сформувати підходи до класифікування рекомендацій посадовим особам, які проектують комплексну систему захисту інформації та/або систему управління інформаційною безпекою. Це дозволяє спростити обчислення кількісних характеристик складних ризиків і відкриває можливості визначення напрямку подальших досліджень за допомогою аналітико-геометричних моделей.Requirement for the protection state information resources is determined by the law Ukraine. Complex systems of information protection or information security management system is rooted for this. It is necessary to determine eligibility of criteria risk levels and set their limit values during development of such systems. This task is assigned to the owner or manager of information asset. Determination of limit values of risk levels allows to draw the line between acceptable and unacceptable risk. Presence of such limits provides an opportunity to make informed decisions about necessary risks processing and attracting the necessary resources. Therefore, the main purpose is presenting the approach to analyzing the levels acceptability of complex information security risks using mathematical tools of analytical geometry and assumptions concerning the analogy between the additive model of complex risk with equation of line. This line is reflected in the area and defines the boundary, predefined risk levels. The analogy equation of the line with the equation of finding two risk values of threats to security informative asset for a given level of total risk shows as an example. The location of “boundary line” is defined and proven, also considered various options for its intersection with other direct. Depending on their relative position became possible the formation of approaches to the definition and classification of officials recommendations who are developing a complex information protection system or the system of information security management. It is allowed to simplify and justify determination of quantitative characteristics of complex risks and contributed to the formulation of further research in n-dimensional area by using the analytical and geometric models.Излагается подход к анализу приемлемости уровней рисков безопасности информационного актива при заданном их граничном значении. Для этого используется математический аппарат аналитической геометрии и допущение относительно аналогии между аддитивной моделью сложного риска с уравнением прямой. Она отображается в пространстве и ею определяются граничные, заблаговременно заданные уровни рисков. Рассматриваются различные варианты пересечения “граничной прямой” с другими прямыми. Выделяются формы представления прямой, в том числе уравнения прямой с угловым коэффициентом. В зависимости от взаимного размещения “граничной” и других прямых, появляется возможность формирования подходов к классификации рекомендаций должностным лицам, которые проектируют комплексную систему защиты информации и/или систему управления информационной безопасностью. Это позволяет упростить вычисления количественных характеристик сложных рисков и открывает возможность определения дальнейшего направления исследований с помощью аналитико-геометрический моделей

Використання ентропійного підходу для оцінювання ризиків безпеки інформації

The risk of information security as an influence of uncertainty on the achievement of goals is considered. In achieving the goals meant to ensure the confidentiality, integrity and availability of information. Estimation of such influence is carried out by the elimination of entropy as a measure of uncertainty. The state of uncertainty is described by the final scheme.  The variety of threats for information security and loss resulting from their implementation is set for its definition. It takes into account the existence of different threats that lead to the same losses, and threats, due to the implementation of which there are no losses. At the same time, the distribution of likelihood of damage as a result of the implementation of threats for information security is considered as known. The correctness of that approach is confirmed by the implementation of the entropy characteristics. Therefore, the use of an entropy approach allows to construct an intuitively more correct basis for quantitative risk assessment of information security. It is associated with a fact of operating the form of the distribution of a random variable but not its specific values. In this case, the advantages and disadvantages of the entropy approach are established. The using of fuzzy set theory and likelihood is offered to overcome the identified shortcomings in prospect.Рассматривается риск безопасности информации как влияние неопределенности на достижение целей. Под достижением целей понимается обеспечение конфиденциальности, целостности и доступности информации. Оценивание такого влияния осуществляется благодаря выбору энтропии в качестве меры неопределенности. Состояние неопределённости описывается конечной схемой. Для ее определения задаются множества угроз безопасности информации и ущерба вследствие их реализации. При этом учитывается существование отличных между собой угроз, которые приводят к одинаковому ущербу, а также угроз, вследствие реализации которых отсутствует ущерб. Тем не менее считается известным распределение вероятностей нанесения ущерба вследствие реализации угроз безопасности информации. Корректность данного подхода подтверждается выполнением свойств энтропии. Поэтому использование энтропийного подхода позволяет построить интуитивно более корректную базу количественного оценивания рисков безопасности информации. Это обусловлено тем, что оперируют формой распределения случайной величины, а не ее конкретными значениями. При этом устанавливаются преимущества и недостатки энтропийного подхода. Для преодоления установленных недостатков в перспективе предлагается использование теорий нечетких множеств и возможности.Розглядається ризик безпеки інформації як вплив невизначеності на досягнення цілей. Під досягненням цілей розуміється забезпечення конфіденційності, цілісності та доступності інформації. Оцінювання такого впливу здійснюється завдяки обиранню ентропії як міри невизначеності. Стан невизначеності описується кінцевою схемою. Для її визначення задаються множини загроз безпеці інформації та збитки внаслідок їх реалізації. При цьому враховується існування відмінних між собою загроз, що призводять до однакових збитків, а також загроз, унаслідок реалізації яких збитки відсутні. Водночас вважається відомим розподіл імовірностей нанесення збитків унаслідок реалізації загроз безпеці інформації. Коректність означеного підходу підтверджується виконанням властивостей ентропії. Тому використання ентропійного підходу дозволяє побудувати інтуїтивно більш коректну базу кількісного оцінювання ризиків безпеки інформації. Це обумовлено оперуванням формою розподілу випадкової величини, а не її конкретними значеннями. При цьому встановлюються переваги та недоліки ентропійного підходу. Для подолання означених недоліків у перспективах пропонується використання теорій нечітких множин і вірогідності

Interpretation of the simple risk level dependence of its implementation in the terms of analytic geometry

Розглядається залежність рівня простого ризику від імовірності його реалізування. Для інтерпретування цієї залежності використовуєтсья аналітична геометрія. Показується нелінійних характер означеної залежності, що призводить до складнощів її аналізування на практиці. Тому аналізується окремий випадок вирішення завдання з аналізування рівня ризиків у лінійному виді на прикладі двохкомпонентної моделі ризику, що відображається на площині. Відмічається, що залежність рівня ризику від величини вірогідних збитків аналогічна залежності рівня ризику від величини імовірності його реалізування і може бути виражена рівнянням прямої. Визначення аналогії між рівнянням прямої і відображення співвідношення ризик-імовірність його реалізування, перевіряється відповідність даного твердження іншими способами задання прямої на площині. Для цього розглядаютсья відомі варіанти задання прямої у відрізках, з кутовими коефіцієнтами. Те ж стосується і способів задання прямої за точкою і напрямним вектором і номальне рівняння прямої, у яких розглядаються прямі, що не виходять з початку координат. Таким чином, показуєтсья квазіаналогія між представленням залежності величини ризику від імовірності його реалізації і рівняням прямої на площині, що виходить з початку координат і розміщується у першому квадрантів. Це дозволяє досліджувати ризики шляхом використання відомих методів аналітичної геометрії. Разом з тим, при представленні ризику сумою двох і більше складових виникає потреба зменшення мірності системи координат до n, Це призводить до необхідності проведення подальших досліджень в n-мірному просторі.It is considered the dependence of the level of simple risk on the likelihood of its implementation. Analytical geometry is used to interpret this dependence. It is shown the nonlinear character of its dependence, which leads to the complexity of its analysis in practice. Therefore, a special case of solving the problem of risk level analysis in a linear form is analyzed on the example of a two-component risk model presented on a plane. It is noted that the dependence of the level of risk on the magnitude of possible damage is analogous to the dependence of the level of risk on the magnitude of the probability of its realization and can be expressed by the direct equation. Defining the analogy between the equation of a straight line and the representation of the risk-probability relation for its realization, it is verified the correspondence of this assertion to other methods of specifying a line in the plane. It is considered known variants of specifying a straight line in a segment, with angular coefficients to solve that. The same applies to the methods of specifying the equation of a straight line with respect to a point and a guiding vector and the normal equation of a straight line in which straight lines not leaving the origin of coordinates are considered. Thus, a quasi-analogy is shown between the representation of the dependence of the risk value on the probability of its realization and the equation of the straight line on the plane that leaves the origin and is located in the first quadrant. This allows to investigate risks using known methods of analytical geometry. At the same time, while representing the risk as a sum of two or more components, encountered the need to increase the dimensionality of the coordinate system to n, which leads to the need for further studies in n-dimensional space.Рассматривается зависимость уровня простого риска от вероятности его реализации. Для интерпретации этой зависимости используется аналитическая геометрия. Показывается нелинейный характер этой зависимости, что приводит к сложности ее анализа на практике. Поэтому анализируется частный случай решения задачи анализа уровня рисков в линейном виде на примере двухкомпонентной модели риска, представленного на плоскости. Отмечается, что зависимость уровня риска от величины возможного ущерба аналогична зависимости уровня риска от величины вероятности его реализации и может быть выражена уравнением прямой. Определив аналогию между уравнением прямой и представлением соотношения риск-вероятность его реализации, проверяется соответствие данного утверждения другими способами задавания прямой на плоскости. Для этого рассматриваются известные варианты задания прямой в отрезках, с угловыми коэффициентами. То же касается и способов задания уравнения прямой по точке и направляющему вектору и нормальное уравнение прямой, в которых рассматриваются прямые, не выходящие из начала координат. Таким образом, показывается квазианалогия между представлением зависимости величины риска от вероятности его реализации и уравнением прямой на плоскости, которое выходит из начала координат и располагается в первом квадранте. Это позволяет исследовать риски с применением известных методов аналитической геометрии. Вместе с тем, при представлении риска в виде суммы двух и более составляющих сталкиваемся с необходимостью увеличения мерности системы координат до n, что приводит к необходимости дальнейших исследований в n-мерном пространстве

Use of entropyny approach for information security risks assessment

Розглядається ризик безпеки інформації як вплив невизначеності на досягнення цілей. Під досягненням цілей розуміється забезпечення конфіденційності, цілісності та доступності інформації. Оцінювання такого впливу здійснюється завдяки обиранню ентропії як міри невизначеності. Стан невизначеності описується кінцевою схемою. Для її визначення задаються множини загроз безпеці інформації та збитки внаслідок їх реалізації. При цьому враховується існування відмінних між собою загроз, що призводять до однакових збитків, а також загроз, унаслідок реалізації яких збитки відсутні. Водночас вважається відомим розподіл імовірностей нанесення збитків унаслідок реалізації загроз безпеці інформації. Коректність означеного підходу підтверджується виконанням властивостей ентропії. Тому використання ентропійного підходу дозволяє побудувати інтуїтивно більш коректну базу кількісного оцінювання ризиків безпеки інформації. Це обумовлено оперуванням формою розподілу випадкової величини, а не її конкретними значеннями. При цьому встановлюються переваги та недоліки ентропійного підходу. Для подолання означених недоліків у перспективах пропонується використання теорій нечітких множин і вірогідності.The risk of information security as an influence of uncertainty on the achievement of goals is considered. In achieving the goals meant to ensure the confidentiality, integrity and availability of information. Estimation of such influence is carried out by the elimination of entropy as a measure of uncertainty. The state of uncertainty is described by the final scheme. The variety of threats for information security and loss resulting from their implementation is set for its definition. It takes into account the existence of different threats that lead to the same losses, and threats, due to the implementation of which there are no losses. At the same time, the distribution of likelihood of damage as a result of the implementation of threats for information security is considered as known. The correctness of that approach is confirmed by the implementation of the entropy characteristics. Therefore, the use of an entropy approach allows to construct an intuitively more correct basis for quantitative risk assessment of information security. It is associated with a fact of operating the form of the distribution of a random variable but not its specific values. In this case, the advantages and disadvantages of the entropy approach are established. The using of fuzzy set theory and likelihood is offered to overcome the identified shortcomings in prospect.Рассматривается риск безопасности информации как влияние неопределенности на достижение целей. Под достижением целей понимается обеспечение конфиденциальности, целостности и доступности информации. Оценивание такого влияния осуществляется благодаря выбору энтропии в качестве меры неопределенности. Состояние неопределённости описывается конечной схемой. Для ее определения задаются множества угроз безопасности информации и ущерба вследствие их реализации. При этом учитывается существование отличных между собой угроз, которые приводят к одинаковому ущербу, а также угроз, вследствие реализации которых отсутствует ущерб. Тем не менее считается известным распределение вероятностей нанесения ущерба вследствие реализации угроз безопасности информации. Корректность данного подхода подтверждается выполнением свойств энтропии. Поэтому использование энтропийного подхода позволяет построить интуитивно более корректную базу количественного оценивания рисков безопасности информации. Это обусловлено тем, что оперируют формой распределения случайной величины, а не ее конкретными значениями. При этом устанавливаются преимущества и недостатки энтропийного подхода. Для преодоления установленных недостатков в перспективе предлагается использование теорий нечетких множеств и возможности