Оцінювання ризику безпеки інформації на основі спектрального підходу

Abstract

Using information safety managing systems on the results of the risk assessment is considering. Threats and damages statistics is collecting as a result of their implementation through the planned intervals. As a result, preconditions for using the statistical approach are created. However, the approach to risk assessment is limited by high requirements to the amount of statistics, overstated risk assessment, complexity of loss amount variation consideration, lack of a single standard when comparing risks. The risk assessment spectral approach for information safety managing systems is recommended to overcome the aforementioned limitations. Conditions of using the approach are analyzed, including: accumulating of statistics about the risks and losses due to their implementation, taking into account the risk dynamics, setting of standard for risks comparison.Keywords: information security, risk, signal information security risk, risk assessment, spectral approach, information security management system.Рассматривается использование систем управления безопасностью информации по результатам оценивания риска. Для этого через запланированные промежутки времени накапливаются статистические данные о угрозах и убытках вследствие их реализации. Как следствие, создаются предпосылки для использования статистического подхода. Однако, этот подход к оцениванию риска ограничивается высокими требованиями к объему статистических данных, завышением оценок риска, сложностью учета колебаний величины убытка, отсутствием единого эталона при сравнении рисков. Для преодоления обозначенных ограничений предлагается спектральный подход к оцениванию риска в системах управления безопасностью информации. Определяются условия его применения, в частности: накопление статистических данных о угрозах и убытках вследствие их реализации, учет динамики риска, установление эталона для сравнения рисков.Ключевые слова: безопасность информации, риск, сигнал риска безопасности информации, оценивание риска, спектральный подход, система управления безопасностью информации.Розглядається використання систем менеджовування безпекою інформації за результатами оцінювання ризику. Для цього через заплановані інтервали часу накопичуються статистичні дані про загрози та збитки внаслідок їх реалізації. Як наслідок, створюються передумови для використання статистичного підходу. Однак, цей підхід до оцінювання ризику обмежується високими вимогами до обсягу статистичних даних, завишенням оцінок ризику, складністю врахування коливань величини збитку, відсутністю єдиного еталону при зіставленні ризиків. Для подолання означених обмежень пропонується спектральний підхід до оцінювання ризику в системах менеджовування безпекою інформації. Визначаються умови його використання, зокрема: накопичення статистичних даних про загрози та збитки внаслідок їх реалізації, врахування динаміки ризику, встановлення еталону для порівняння ризиків.Ключові слова: безпека інформації, ризик, сигнал ризику безпеки інформації, оцінювання ризику, спектральний підхід, система менеджовування безпекою інформації