Багатокритеріальний аналіз ефективності консервативних систем захисту інформації

Автор(и)

  • Valeriy Dudykevych Національний університет "Львівська політехніка" вул. С. Бандери, 12, м. Львів, Україна, 79013, Україна https://orcid.org/0000-0001-8827-9920
  • Ivan Prokopyshyn Львівський національний університет імені Івана Франка вул. Університетська, 1, м. Львів, Україна, 79000, Україна https://orcid.org/0000-0003-2652-1245
  • Vasyl Chekurin Інститут прикладних проблем механіки і математики ім. Я. С. Підстригача НАН України вул. Наукова, 3-б, м. Львiв, Україна, 79060 Куявсько-Поморський університет в Бидгощі вул. Торуньска, 55-57, м. Бидгощ, Польща, 85-023, Україна https://orcid.org/0000-0003-4973-3670
  • Ivan Opirskyy Національний університет "Львівська політехніка" вул. С. Бандери, 12, м. Львів, Україна, 79013, Україна https://orcid.org/0000-0002-8461-8996
  • Yuriy Lakh Національний університет "Львівська політехніка" вул. С. Бандери, 12, м. Львів, Україна, 79013, Україна https://orcid.org/0000-0003-4153-8125
  • Taras Kret Національний університет "Львівська політехніка" вул. С. Бандери, 12, м. Львів, Україна, 79013, Україна https://orcid.org/0000-0002-6333-3190
  • Yevheniia Ivanchenko Національний авіаційний університет пр. Космонавта Комарова, 1, м. Київ, Україна, 03058, Україна https://orcid.org/0000-0003-3017-5752
  • Ihor Ivanchenko Національний авіаційний університет пр. Космонавта Комарова, 1, м. Київ, Україна, 03058, Україна https://orcid.org/0000-0003-3415-9039

DOI:

https://doi.org/10.15587/1729-4061.2019.166349

Ключові слова:

системи захисту інформації, ризик, ефективність, багатокритеріальний аналіз, модель Гордона-Льоба

Анотація

Розглядаються проблема багатокритеріального аналізу ефективності консервативних систем захисту інформації, структура та складові яких не змінюються протягом деякого часу. Структурна схема таких систем включає об’єкт захисту, вразливості – канали для атак, загрози та засоби захисту.

За припущення про незалежність атак та засобів захисту розвинуто дискретну ймовірнісну модель ушкодженості об’єкта захисту. Для випадкової величини кількості ушкоджень за фіксований проміжок часу отримано представлення у вигляді суми біноміально розподілених випадкових величин, які залежать від параметрів атак та захисту. Подібно описано випадкові величини економічних втрат, часу відновлення та затрат на відновлення, для яких знайдено в аналітичному вигляді математичні сподівання та дисперсії. Для забезпечення високої статистичної надійності показники ризику запропоновано визначати за допомогою нерівності Кантеллі. На цій основі сформульовано ряд показників ефективності системи захисту, які характеризують ймовірність неушкодженості об’єкта захисту, залишкові втрати, умовно збережені кошти, живучість та затрати на відновлення.

З використанням теорії оптимальності за Парето розроблено методику багатокритеріального аналізу та раціонального проектування консервативних систем захисту інформації. Апробацію проведено для систем захисту аудіо інформації. Фронт Парето досліджено за критеріями економічної вигоди та інвестиційних затрат для 66 варіантів захисту. Вивчено вплив рівня захисту на показник Кантеллі умовно збережених коштів та вклад у нього засобів захисту різного типу.

Результати досліджень підтвердили закон насичення Гордона-Льоба, коли надмірний захист не приводить до підвищення ефективності систем захисту

Біографії авторів

Valeriy Dudykevych, Національний університет "Львівська політехніка" вул. С. Бандери, 12, м. Львів, Україна, 79013

Доктор технічних наук, професор

Кафедра захисту інформації

Ivan Prokopyshyn, Львівський національний університет імені Івана Франка вул. Університетська, 1, м. Львів, Україна, 79000

Кандидат фізико-математичних наук, доцент

Кафедра математичного моделювання

Vasyl Chekurin, Інститут прикладних проблем механіки і математики ім. Я. С. Підстригача НАН України вул. Наукова, 3-б, м. Львiв, Україна, 79060 Куявсько-Поморський університет в Бидгощі вул. Торуньска, 55-57, м. Бидгощ, Польща, 85-023

Доктор фізико-математичних наук, професор

Відділ математичних проблем механіки неоднорідних тіл

Факультет Технічний

Ivan Opirskyy, Національний університет "Львівська політехніка" вул. С. Бандери, 12, м. Львів, Україна, 79013

Доктор технічних наук

Кафедра захисту інформації

Yuriy Lakh, Національний університет "Львівська політехніка" вул. С. Бандери, 12, м. Львів, Україна, 79013

Кандидат фізико-математичних наук

Кафедра захисту інформації

Taras Kret, Національний університет "Львівська політехніка" вул. С. Бандери, 12, м. Львів, Україна, 79013

Асистент

Кафедра захисту інформації

Yevheniia Ivanchenko, Національний авіаційний університет пр. Космонавта Комарова, 1, м. Київ, Україна, 03058

Кандидат технічних наук, доцент

Кафедра безпеки інформаційних технологій

Ihor Ivanchenko, Національний авіаційний університет пр. Космонавта Комарова, 1, м. Київ, Україна, 03058

Кандидат технічних наук

Кафедра безпеки інформаційних технологій

Посилання

  1. Allianz Risk Barometer: Top Business Risks for 2018. Available at: https://www.agcs.allianz.com/content/dam/onemarketing/agcs/agcs/reports/Allianz-Risk-Barometer-2018.pdf
  2. Regional Risks for Doing Business 2018: Insight Report (2018). Geneva, 40. Available at: http://www3.weforum.org/docs/WEF_Regional_Risks_Doing_Business_report_2018.pdf
  3. Brotby, W. K. (2009). Information Security Management Metrics: A Definitive Guide to Effective Security Monitoring and Measurement. Taylor & Francis, 200. doi: https://doi.org/10.1201/9781420052862
  4. Sahinoglu, M. (2016). Cyber‐Risk Informatics: engineering evaluation with data science. Wiley & Sons, 560. doi: https://doi.org/10.1002/9781119087540
  5. Korchenko, O. H., Kazmirchuk, S. V., Akhmetov, B. B. (2017). Prykladni systemy otsiniuvannia ryzykiv informatsiynoi bezpeky. Kyiv, 435.
  6. Yudin, A., Buchyk, S. (2016). Technology of construction and defence of the Ukrainian segment of the identifiers’ tree of state informative resources on the basis of risk management. Zakhyst informatsiyi, 18 (2), 107–114. Available at: http://nbuv.gov.ua/UJRN/Zi_2016_18_2_5
  7. Fielder, A., Panaousis, E., Malacaria, P., Hankin, C., Smeraldi, F. (2016). Decision support approaches for cyber security investment. Decision Support Systems, 86, 13–23. doi: https://doi.org/10.1016/j.dss.2016.02.012
  8. Hu, Z., Khokhlachova, Y., Sydorenko, V., Opirskyy, I. (2017). Method for Optimization of Information Security Systems Behavior under Conditions of Influences. International Journal of Intelligent Systems and Applications, 9 (12), 46–58. doi: https://doi.org/10.5815/ijisa.2017.12.05
  9. Gordon, L. A., Loeb, M. P. (2002). The economics of information security investment. ACM Transactions on Information and System Security, 5 (4), 438–457. doi: https://doi.org/10.1145/581271.581274
  10. Gordon, L. A., Loeb, M. P., Zhou, L. (2016). Investing in Cybersecurity: Insights from the Gordon-Loeb Model. Journal of Information Security, 07 (02), 49–59. doi: https://doi.org/10.4236/jis.2016.72004
  11. Artzner, P., Delbaen, F., Eber, J.-M., Heath, D. (1999). Coherent Measures of Risk. Mathematical Finance, 9 (3), 203–228. doi: https://doi.org/10.1111/1467-9965.00068
  12. McNeil, A. J., Frey, R., Embrechts, P. (2005). Quantitative Risk Management: Concepts, Techniques and Tool. Princeton and Oxford, 538.
  13. Wang, J., Chaudhury, A., Rao, H. R. (2008). Research Note – A Value-at-Risk Approach to Information Security Investment. Information Systems Research, 19 (1), 106–120. doi: https://doi.org/10.1287/isre.1070.0143
  14. Raugas, M., Ulrich, J., Faux, R., Finkelstein, S., Cabot, C. (2013). CyberV@R. A Cyber Security Model for Value at Risk. Technical report. Baltimore MD, 45. Available at: https://www.cyberpointllc.com/docs/CyberVaR.pdf
  15. Dudykevych, V. B., Lakh, Yu. V., Prokopyshyn, I. A. (2011). Otsinka vartosti ryzyku dlia system zakhystu informatsiyi. Informatsiyna bezpeka, 1 (5), 44–49.
  16. Sawik, T. (2013). Selection of optimal countermeasure portfolio in IT security planning. Decision Support Systems, 55 (1), 156–164. doi: https://doi.org/10.1016/j.dss.2013.01.001
  17. Ross, S. M. (2002). Probability models for computer science. Elsevier Science, 288.
  18. Dudykevych, V. B., Ivaniuk, V. M., Prokopyshyn, I. A. (2014). Efektyvnist investytsiy u systemy zakhystu prymishchen vid vytoku movnoi informatsiyi. Kompiuterni tekhnolohiyi drukarstva, 32, 20–28. Available at: http://nbuv.gov.ua/UJRN/Ktd_2014_32_4
  19. Ganin, A. A., Quach, P., Panwar, M., Collier, Z. A., Keisler, J. M., Marchese, D., Linkov, I. (2017). Multicriteria Decision Framework for Cybersecurity Risk Assessment and Management. Risk Analysis. doi: https://doi.org/10.1111/risa.12891
  20. Motzek, A., Gonzalez-Granadillo, G., Debar, H., Garcia-Alfaro, J., Möller, R. (2017). Selection of Pareto-efficient response plans based on financial and operational assessments. EURASIP Journal on Information Security, 2017 (1). doi: https://doi.org/10.1186/s13635-017-0063-6
  21. Dudykevych, V. B., Prokopyshyn, I. A., Chekurin, V. F. (2012). Problems of efficiency estimation of security systems. Visnyk NU "Lvivska politekhnika". Avtomatyka, vymiriuvannia ta keruvannia, 741, 118–122. Available at: http://science.lpnu.ua/uk/node/3718
  22. Ehrgott, M. (2005). Multicriteria Optimization. Berlin Heidelberg, 323. doi: https://doi.org/10.1007/3-540-27659-9
  23. Lakhno, V., Kozlovskii, V., Boiko, Y., Mishchenko, A., Opirskyy, I. (2017). Management of information protection based on the integrated implementation of decision support systems. Eastern-European Journal of Enterprise Technologies, 5 (9 (89)), 36–42. doi: https://doi.org/10.15587/1729-4061.2017.111081

##submission.downloads##

Опубліковано

2019-05-08

Як цитувати

Dudykevych, V., Prokopyshyn, I., Chekurin, V., Opirskyy, I., Lakh, Y., Kret, T., Ivanchenko, Y., & Ivanchenko, I. (2019). Багатокритеріальний аналіз ефективності консервативних систем захисту інформації. Eastern-European Journal of Enterprise Technologies, 3(9 (99), 6–13. https://doi.org/10.15587/1729-4061.2019.166349

Номер

Том 3 № 9 (99) (2019): Інформаційно-керуючі системи

Розділ

Інформаційно-керуючі системи

Ліцензія

Авторське право (c) 2019 Valeriy Dudykevych, Ivan Prokopyshyn, Vasyl Chekurin, Ivan Opirskyy, Yuriy Lakh, Taras Kret, Yevheniia Ivanchenko, Ihor Ivanchenko

Creative Commons License

Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.

Закріплення та умови передачі авторських прав (ідентифікація авторства) здійснюється у Ліцензійному договорі. Зокрема, автори залишають за собою право на авторство свого рукопису та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons CC BY. При цьому вони мають право укладати самостійно додаткові угоди, що стосуються неексклюзивного поширення роботи у тому вигляді, в якому вона була опублікована цим журналом, але за умови збереження посилання на першу публікацію статті в цьому журналі.

Ліцензійний договір – це документ, в якому автор гарантує, що володіє усіма авторськими правами на твір (рукопис, статтю, тощо).
Автори, підписуючи Ліцензійний договір з ПП «ТЕХНОЛОГІЧНИЙ ЦЕНТР», мають усі права на подальше використання свого твору за умови посилання на наше видання, в якому твір опублікований. Відповідно до умов Ліцензійного договору, Видавець ПП «ТЕХНОЛОГІЧНИЙ ЦЕНТР» не забирає ваші авторські права та отримує від авторів дозвіл на використання та розповсюдження публікації через світові наукові ресурси (власні електронні ресурси, наукометричні бази даних, репозитарії, бібліотеки тощо).
За відсутності підписаного Ліцензійного договору або за відсутністю вказаних в цьому договорі ідентифікаторів, що дають змогу ідентифікувати особу автора, редакція не має права працювати з рукописом.
Важливо пам’ятати, що існує і інший тип угоди між авторами та видавцями – коли авторські права передаються від авторів до видавця. В такому разі автори втрачають права власності на свій твір та не можуть його використовувати в будь-який спосіб.