Розглянуто основні аспекти та перспективи використання принципу адаптації (насамперед ризик-орієнтованої адаптації) для побудови та функціонування системи захисту інформації. Пропонується реалізація ризик-орієнтованого підходу з урахуванням властивостей і характеристик інформації, що захищається, її суспільної значущості та важливості, що передбачає побудову об’єктивної моделі зловмисника, оцінку його потенціалу та ступеня зацікавленості в успішності реалізованої атаки. Досліджено особливості та можливості практичного застосування прагматичних аспектів захисту. Проаналізовано зміст основних концепцій адаптивного управління ІКС на різних етапах розвитку інформаційних технологій. Показано ретроспективу розвитку деструктивних дій у кіберпросторі та ретроспективу парадигм захисту («цифрова фортеця», передбачуваний злам та проактивний захист). Як альтернативу популярним нині методам побудови ІКС пропонується використовувати адаптивний підхід, суть якого полягає у використанні інформації про характеристики та поведінку обох сторін конфлікту при створенні та управлінні ІКС. Представлено математичні моделі рефлексивних ризиків, структура та набір яких визначаються обраними типовими сценаріями розвитку ситуації «напад/захист». Аналіз та дослідження моделей надає оціночну інформацію, яка дозволяє забезпечити ефективне та раціональне інвестування в інформаційну безпеку організації, збалансовуючи фінансово-економічні можливості організації з її вимогами та можливостями у сфері захисту інформації.The main aspects and prospects of using the adaptation principle (primarily risk-oriented adaptation) for the construction and functioning of the information security system (ISS) are considered. It is proposed to implement a risk-oriented approach, taking into account the properties and characteristics of the protected information, its social significance and importance, which implies building an objective model of the attacker, assessing his potential and the degree of interest in the successful implementation of the attack. The features and possibilities of practical application of pragmatic aspects of protection are investigated. The content of the basic concepts of adaptive management of the ISS at various stages of information technology development is analyzed. A retrospective of the development of destructive actions in cyberspace and a retrospective of defense paradigms ("digital fortress", alleged violation and proactive defense) are shown. As an alternative to the currently popular methods of building an ISS, it is proposed to use an adaptive approach, the essence of which is to use information about the characteristics and behavior of both parties to the conflict when creating and managing ISS. Mathematical models of reflexive risks are presented, the structure and set of which are determined by the selected typical scenarios for the development of the "attack / defense" situation. Analysis and research of models provides evaluative information that allows to ensure effective and rational investment in the organization's information security, balancing the financial and economic capabilities of the organization with its requirements and capabilities in the field of information security
