Комплексная оценка информационных рисков. II: Алгоритм идентификации структуры дерева комплексной оценки интегрального информационного риска

Автор(ы): Рей А.С., Широкий А.А.

Выпуск: 111

Рубрика: Информационные технологии в управлении

Год: 2024

Библиография: Рей А.С., Широкий А.А. Комплексная оценка информационных рисков. II: Алгоритм идентификации структуры дерева комплексной оценки интегрального информационного риска // Управление большими системами. Выпуск 111. М.: ИПУ РАН, 2024. С.97-117. DOI: https://doi.org/10.25728/ubs.2024.111.4

Дата опубликования: 30.09.2024

Ключевые слова: сложные информационные системы, интегральный риск, комплексная оценка, системы Интернета вещей

Аннотация: При оценке рисков информационной безопасности весьма важным представляется учет характерных для информационных систем видов неопределенности. Существующие методы и алгоритмы оценки информационных рисков могут не учитывать некоторые из них, вследствие чего полученные оценки рисков могут быть искажены. В связи с этим естественным образом возникает задача разработки нового или адаптации уже существующего метода для оценки рисков сложных систем с учётом всех характерных для рассматриваемого класса систем видов неопределенности. В настоящей работе развивается ранее предложенная идея применения для оценки информационных рисков метода комплексного оценивания, предполагающего агрегацию оценок информационной системы по стандартным критериям информационной безопасности – конфиденциальности, целостности и доступности. В первой части работы было показано, что этот метод при соответствующих модификациях позволяет учесть все нужные виды неопределенности. В этой части работы предлагается алгоритм идентификации структуры дерева комплексной оценки на основе принципа сворачивания связанных критериев. Работоспособность алгоритма продемонстрирована на примере построения деревьев оценки рисков конфиденциальности, целостности и доступности для SMART-систем на основе «Интернета вещей».

Author(s): Rey A., Shiroky A.

Article title: Complex information risks assessment. II: Algorithm for identifying the structure of the tree of integrated information risk assessment

Issue: 111

Year: 2024

Keywords: complex information systems, integral risk, complex assessment, accounting for uncertainty

Abstract: When assessing information security risks, it is essential to take into account the various types of uncertainties that are inherent in information systems. Current methods and algorithms for risk assessment may not account for all of these uncertainties, which can lead to inaccurate risk estimates. Therefore, it becomes necessary to develop a new or adapt an existing method for risk assessment that considers all types of uncertainty specific to the class of system under consideration. In this paper, we build on our previous idea of using an integrated assessment method to evaluate information risks. This method aggregates assessments of information systems based on standard information security criteria such as confidentiality, integrity, and availability. By incorporating these criteria, we aim to obtain more accurate and reliable risk estimates that take into account all relevant uncertainties. In the first part of the work, we demonstrated that this method, with appropriate modifications, allows for taking into account all necessary types of uncertainty. We propose an algorithm for identifying the structure of an integrated assessment tree based on the principle of combining related criteria. We demonstrate the efficiency of the algorithm by building risk assessment trees for confidentiality, integrity, and accessibility in SMART systems based on the Internet of Things using this approach.