Розробка нечіткої моделі оцінки ризиків для менеджменту інформаційної безпеки

Автор(и)

  • Юрій Миколайович Здоренко Національний університет «Полтавська політехніка імені Юрія Кондратюка», Україна https://orcid.org/0000-0002-5649-771X
  • Аліна Сергіївна Янко Національний університет «Полтавська політехніка імені Юрія Кондратюка», Україна https://orcid.org/0000-0003-2876-9316
  • Михайло Сергійович Мизюра Національний університет «Полтавська політехніка імені Юрія Кондратюка», Україна https://orcid.org/0009-0009-9301-2054
  • Надія Олександрівна Фесьоха Військовий інститут телекомунікацій та інформатизації імені Героїв Крут, Україна https://orcid.org/0000-0002-9797-5589

DOI:

https://doi.org/10.15587/2706-5448.2025.334954

Ключові слова:

інформаційна діяльність, ризик, інтелектуальна система, нечітка логіка, штучна нейронна мережа

Анотація

Об'єктом дослідження є процес оцінки ризиків інформаційної безпеки інформаційних ресурсів під час функціонування об’єктів інформаційної діяльності, що є основою ефективного менеджменту безпеки.

Одним з найбільш проблемних місць класичних ймовірнісних моделей оцінювання ризиків є висока суб’єктивність при визначенні кількісних значень показників. Для усунення цих недоліків запропоновано створення універсальних, масштабованих і здатних до навчання моделей оцінки ризиків на основі якісних характеристик. У ході дослідження використовувалась адаптивна нейро-нечітка система логічного виведення (ANFIS).

Отримано математичну модель оцінки ризиків інформаційної безпеки, що розширює існуючі рішення масштабуванням. Використаний у моделі підхід дозволяє автоматично адаптуватися до динамічних змін функціонування об’єкта інформаційної діяльності. Запропонована модель має особливості: автоматизована генерація бази правил та перенавчання нечіткої системи. Використання штучних нейронних мереж для автоматизації налаштування параметрів нечіткої системи дозволяє уникнути суб’єктивності, характерної для експертних оцінок. Завдяки цьому забезпечується можливість отримання поточних значень рівня ризику інформаційної безпеки.

Проведені експериментальні дослідження кількісно підтвердили ефективність моделі, що продемонструвала точність класифікації до 95% та суттєве зниження середньоквадратичної похибки до 0,01 порівняно з класичними ймовірнісними моделями та традиційними нечіткими експертними системами. Це пов'язано з тим, що запропонована модель має ряд особливостей, зокрема автоматизовану генерацію бази правил та можливість перенавчання нечіткої системи, що забезпечується використанням штучних нейронних мереж. За рахунок цього забезпечується автоматична адаптація до динамічних змін об’єкта та точне отримання поточних значень рівня ризику. У порівнянні з аналогічними відомими моделями, це забезпечує автоматизоване корегування параметрів за результатами перенавчання (при похибці > 12%) та надійний менеджмент інформаційної безпеки шляхом пріоритизації захисних заходів та оперативного реагування на загрози.

Біографії авторів

Юрій Миколайович Здоренко, Національний університет «Полтавська політехніка імені Юрія Кондратюка»

Кандидат технічних наук

Кафедра комп'ютерних та інформаційних технологій і систем

Аліна Сергіївна Янко, Національний університет «Полтавська політехніка імені Юрія Кондратюка»

Кандидат технічних наук, доцент

Кафедра комп'ютерних та інформаційних технологій і систем

Михайло Сергійович Мизюра, Національний університет «Полтавська політехніка імені Юрія Кондратюка»

Аспірант

Кафедра комп'ютерних та інформаційних технологій і систем

Надія Олександрівна Фесьоха, Військовий інститут телекомунікацій та інформатизації імені Героїв Крут

Кафедра комп'ютерних інформаційних технологій

Посилання

  1. Onyshchenko, V., Onyshchenko, S., Maslii, O., Maksymenko, A.; Onyshchenko, V., Mammadova, G., Sivitska, S., Gasimov, A. (Eds.) (2023). Systematization of Threats to Financial Security of Individual, Society, Business and the State in Terms of the Pandemic. Proceedings of the 4th International Conference on Building Innovations. ICBI 2022.Lecture Notes in Civil Engineering. Cham: Springer, 749–760. https://doi.org/10.1007/978-3-031-17385-1_63
  2. Onyshchenko, S., Hlushko, A., Laktionov, O., Bilko, S. (2025). Technology for determining weight coefficients of components of information security. Naukovyi Visnyk Natsionalnoho Hirnychoho Universytetu, 1, 96–103. https://doi.org/10.33271/nvngu/2025-1/096
  3. ISO/IEC 27005:2022 Information security, cybersecurity and privacy protection – Guidance on managing information security risks (2022). International Organization for Standardization. Available at: https://www.iso.org/standard/80585.html
  4. ISO/IEC TS 27008:2019 Information technology – Security techniques – Guidelines for the assessment of information security controls (2019). International Organization for Standardization. Available at: https://www.iso.org/standard/67397.html
  5. Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy (2018). NIST Special Publication 800-37, Revision 2. National Institute of Standards and Technology. https://doi.org/10.6028/nist.sp.800-37r2
  6. Onyshchenko, S., Bilko, S., Yanko, A., Sivitska, S.; Onyshchenko, V., Mammadova, G., Sivitska, S., Gasimov, A. (Eds.) (2023). Business Information Security. Proceedings of the 4th International Conference on Building Innovations. ICBI 2022. Lecture Notes in Civil Engineering. Cham: Springer, 769–778. https://doi.org/10.1007/978-3-031-17385-1_65
  7. Live Threat Map (2025). Radware. Available at: https://livethreatmap.radware.com/
  8. Svistun, L., Glushko, А., Shtepenko, K. (2018). Organizational Aspects of Development Projects Implementation at the Real Estate Market in Ukraine. International Journal of Engineering & Technology, 7 (3.2), 447–452. https://doi.org/10.14419/ijet.v7i3.2.14569
  9. Qi, R., Tao, G., Jiang, B. (2019). Fuzzy System Identification and Adaptive Control. Communications and Control Engineering. Cham: Springer. https://doi.org/10.1007/978-3-030-19882-4
  10. Onyshchenko, S., Haitan, O., Yanko, A., Zdorenko, Y., Rudenko, O. (2024). Method for detection of the modified DDoS cyber attacks on a web resource of an Information and Telecommunication Network based on the use of intelligent systems. Proceedings of the Modern Data Science Technologies Workshop (MoDaST 2024). Lviv-Shatsk, 219–235. Available at: https://ceur-ws.org/Vol-3723/paper12.pdf
  11. Sinha, S., Paul, A. (2020). Neuro-Fuzzy Based Intrusion Detection System for Wireless Sensor Network. Wireless Personal Communications, 114 (1), 835–851. https://doi.org/10.1007/s11277-020-07395-y
  12. Zdorenko, Y., Lavrut, O., Lavrut, T., Lytvyn, V., Burov, Y., Vysotska, V. (2021). Route selection method in military information and telecommunication networks based on ANFIS. Proceedings of the 3rd International Workshop on Modern Machine Learning Technologies and Data Science (MoMLeT+DS). Lviv-Shatsk, 514–524. Available at: https://ceur-ws.org/Vol-2917/paper36.pdf
  13. Onyshchenko, S., Hlushko, A., Kivshyk, O., Sokolov, A. (2021). The shadow economy as a threat to the economic security of the state. Economics of Development, 20 (4), 24–30. https://doi.org/10.57111/econ.20(4).2021.24-30
  14. Afravi, M., Kreinovich, V.; Ceberio, M., Kreinovich, V. (Eds.) (2020). Fuzzy Systems Are Universal Approximators for Random Dependencies: A Simplified Proof. Decision Making under Constraints. Cham: Springer, 276, 1–5. https://doi.org/10.1007/978-3-030-40814-5_1
  15. Hashimov, E., Khaligov, G. (2024). The issue of training of the neural network for drone detection. Advanced Information Systems, 8 (3), 53–58. https://doi.org/10.20998/2522-9052.2024.3.06
  16. Abdymanapov, S. A., Muratbekov, M., Altynbek, S., Barlybayev, A. (2021). Fuzzy Expert System of Information Security Risk Assessment on the Example of Analysis Learning Management Systems. IEEE Access, 9, 156556–156565. https://doi.org/10.1109/access.2021.3129488
  17. Kozhukhivskyi, A. D., Kozhukhivska, O. A. (2022). Developing a fuzzy risk assessment model for erpsystems. Radio Electronics, Computer Science, Control, 1, 106–119. https://doi.org/10.15588/1607-3274-2022-1-12
  18. Krasnobayev, V., Kuznetsov, A., Yanko, A., Kuznetsova, T. (2020). The analysis of the methods of data diagnostic in a residue number system. Computer Modeling and Intelligent Systems. Zaporizhzhia, 2608, 594–609. https://doi.org/10.32782/cmis/2608-46
  19. Krasnobayev, V., Yanko, A., Kovalchuk, D. (2023). Control, Diagnostics and Error Correction in the Modular Number System. Computer Modeling and Intelligent Systems. Zaporizhzhia, 3392, 199–213. https://doi.org/10.32782/cmis/3392-17
  20. Yevseiev, S., Shmatko, O., Romashchenko, N. (2019). Algorithm of information security risk assessment based on fuzzy-multiple approach. Advanced Information Systems, 3 (2), 73–79. https://doi.org/10.20998/2522-9052.2019.2.13
  21. Kozlenko, O. (2024). Example of fuzzy ontology usage for risk assessment and attack impact. Theoretical and Applied Cybersecurity, 6 (1), 91–98. https://doi.org/10.20535/tacs.2664-29132024.1.312677
  22. Laktionov, A. (2021). Improving the methods for determining the index of quality of subsystem element interaction. Eastern-European Journal of Enterprise Technologies, 6 (3 (114)), 72–82. https://doi.org/10.15587/1729-4061.2021.244929
  23. Alali, M., Almogren, A., Hassan, M. M., Rassan, I. A. L., Bhuiyan, M. Z. A. (2018). Improving risk assessment model of cyber security using fuzzy logic inference system. Computers & Security, 74, 323–339. https://doi.org/10.1016/j.cose.2017.09.011
  24. Calvo, M., Beltrán, M. (2022). A Model For risk-Based adaptive security controls. Computers & Security, 115, 102612. https://doi.org/10.1016/j.cose.2022.102612
  25. Religia, A. A., Utama, D. N. (2023). A Fuzzy-based Simple Smart Decision Model for Assessing Information Security Risk in Public Sector Organization. 2023 10th International Conference on ICT for Smart Society (ICISS). Bandung: IEEE, 1–5. https://doi.org/10.1109/iciss59129.2023.10291864
  26. Ponochovniy, Y., Bulba, E., Yanko, A., Hozbenko, E. (2018). Influence of diagnostics errors on safety: Indicators and requirements. 2018 IEEE 9th International Conference on Dependable Systems, Services and Technologies (DESSERT). Kyiv: IEEE, 53–57. https://doi.org/10.1109/dessert.2018.8409098
  27. Taskin, A., Kumbasar, T. (2015). An Open Source Matlab/Simulink Toolbox for Interval Type-2 Fuzzy Logic Systems. 2015 IEEE Symposium Series on Computational Intelligence. Cape Town: IEEE, 1561–1568. https://doi.org/10.1109/ssci.2015.220
  28. Fuzzy Logic Toolbox: Design and simulate fuzzy logic systems. MathWorks. Available at: https://www.mathworks.com/help/fuzzy/index.html
  29. Golosovskiy, M. S., Bogomolov, A. V., Evtushenko, E. V. (2021). An Algorithm for Setting Sugeno-Type Fuzzy Inference Systems. Automatic Documentation and Mathematical Linguistics, 55 (3), 79–88. https://doi.org/10.3103/s000510552103002x
  30. Vulnerability Metrics (2024). National Institute of Standards and Technology. Available at: https://nvd.nist.gov/vuln-metrics/cvss
  31. Live Cyber Threat Map. Check Point Software Technologies. Available at: https://threatmap.checkpoint.com/
Development of a fuzzy risk assessment model for information security management

##submission.downloads##

Опубліковано

2025-08-29

Як цитувати

Здоренко, Ю. М., Янко, А. С., Мизюра, М. С., & Фесьоха, Н. О. (2025). Розробка нечіткої моделі оцінки ризиків для менеджменту інформаційної безпеки. Technology Audit and Production Reserves, 4(2(84), 71–79. https://doi.org/10.15587/2706-5448.2025.334954

Номер

Том 4 № 2(84) (2025): Інформаційно-керуючі системи

Розділ

Системи та процеси керування

Ліцензія

Авторське право (c) 2025 Yurii Zdorenko, Alina Yanko, Mykhailo Myziura, Nadiia Fesokha

Creative Commons License

Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.

Закріплення та умови передачі авторських прав (ідентифікація авторства) здійснюється у Ліцензійному договорі. Зокрема, автори залишають за собою право на авторство свого рукопису та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons CC BY. При цьому вони мають право укладати самостійно додаткові угоди, що стосуються неексклюзивного поширення роботи у тому вигляді, в якому вона була опублікована цим журналом, але за умови збереження посилання на першу публікацію статті в цьому журналі.