Розробка методу формування оптимальних варіантів обробки ризиків інформаційної безпеки на основі моделей кількісної оцінки
DOI:
https://doi.org/10.15587/2706-5448.2025.340229Ключові слова:
аналіз ризиків, обробка ризиків, управління ризиками, інформаційна безпека, економічна ефективність, ABC-аналізАнотація
Об'єктом дослідження є процеси формування оптимальних варіантів обробки ризиків інформаційної безпеки організації. Одним з найбільш проблемних місць є вибір з множини доступних варіантів обробки ризиків інформаційної безпеки засобів та заходів захисту, які дозволять незбитковим для організації чином знизити ризики інформаційної безпеки. Наявні моделі та методи є громіздкими, що унеможливлює їх практичне використання, а також не враховують економічні особливості впровадження засобів та заходів захисту.
В ході дослідження використовувалися методи економічної теорії, що дозволили оцінити ефективність зниження ризиків інформаційної безпеки внаслідок впровадження набору засобів та/або заходів захисту інформації, та метод ABC-аналізу, що дозволив виділити найбільш ефективні серед них шляхом поділу їх на групи. Зазначене дозволило спростити процес оцінювання ризиків інформаційної безпеки та обрання оптимального набору засобів та заходів захисту. Запропонований метод передбачає розрахунок показників чистої поточної вартості та терміну окупності проєкту. Це дозволяє власнику організації оцінити економічну ефективність від впровадження набору засобів та заходів захисту, а також зрозуміти, коли витрати на систему захисту інформації окупляться.
Отримано метод, який значно спростив процес зниження ризиків інформаційної безпеки незбитковою ціною. Це пов'язано з тим, що запропонований метод має ряд особливостей формування варіантів обробки ризиків інформаційної безпеки, зокрема він передбачає оцінку ефективності від впровадження кожного із засобів та/або заходів захисту та ранжирування їх по ефективності шляхом поділу на групи. Завдяки цьому забезпечується можливість створення ризик-орієнтованої системи захисту інформації. У порівнянні з аналогічними відомими моделями та методами це забезпечує на практиці спрощену процедуру обробки ризиків інформаційної безпеки.
Посилання
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (2022). Official Journal of the European Union. Available at: https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
- NIS2 Technical Implementation Guidance (2025). ENISA. Available at: https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance
- ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection – Information security controls (2022). International Organization for Standardization. Available at: https://www.iso.org/standard/75652.html
- IEC 31010:2019 Risk management – Risk assessment techniques (2019). International Organization for Standardization. Available at: https://www.iso.org/standard/72140.html
- Stefani, E., Costa, I., Gaspar, M. A., Goes, R. de S., Monteiro, R. C., Petrili, B. R. et al. (2025). Information Security Risk Framework for Digital Transformation Technologies. Systems, 13 (1), 37. https://doi.org/10.3390/systems13010037
- Kononovych, V., Kopytin, Yu. (2010). Vykorystannia ABC analizu dlia optymizatsii system zakhystu informatsii. Pravove, normatyvne ta metrolohichne zabezpechennia systemy zakhystu informatsii v Ukraini, 2 (21), 26–35. Available at: https://ela.kpi.ua/handle/123456789/9099
- Brho, M., Jazairy, A., Glassburner, A. V. (2025). The finance of cybersecurity: Quantitative modeling of investment decisions and net present value. International Journal of Production Economics, 279. https://doi.org/10.1016/j.ijpe.2024.109448
- Ofori-Yeboah, A., Addo-Quaye, R., Oseni, W., Amorin, P., Agangmikre, C. (2021). Cyber Supply Chain Security: A Cost Benefit Analysis Using Net Present Value. 2021 International Conference on Cyber Security and Internet of Things (ICSIoT). France: IEEE, 49–54. https://doi.org/10.1109/icsiot55070.2021.00018
- Kononovich, V., Kononovich, I., Kopytin, Yu., Staikutsa, S. (2014). Influence of delays decision action for information protection on information security risks. Ukrainian Scientific Journal of Information Security, 20 (1), 83–91. Available at: http://nbuv.gov.ua/UJRN/bezin_2014_20_1_16
- Kravchenko, V. (2022). Chysta potochna vartist (NPV). LivingFo. Available at: https://livingfo.com/chysta-potochna-vartist-npv/
- Roziasnennia shchodo rozrakhunkiv prohnozovanykh pokaznykiv efektyvnosti investytsiinykh prohram subiektiv hospodariuvannia u sferi teplopostachannia, tsentralizovanoho vodopostachannia ta vodovidvedennia (2013). Roziasnennia n0079866-13. Natsionalna komisiia, shcho zdiisniuie derzhavne rehuliuvannia u sferi komunalnykh posluh. Available at: https://zakon.rada.gov.ua/rada/show/n0079866-13#Text
- Kopytin, Yu. (2014). Developing a model of information security risk assessment based on colored Petri net. Ukrainian Scientific Journal of Information Security, 20 (3), 293–299. https://doi.org/10.18372/2225-5036.20.7558
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2025 Yurii Kopytin, Maryna Kopytina, Volodymyr Korchynskyi
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.
Закріплення та умови передачі авторських прав (ідентифікація авторства) здійснюється у Ліцензійному договорі. Зокрема, автори залишають за собою право на авторство свого рукопису та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons CC BY. При цьому вони мають право укладати самостійно додаткові угоди, що стосуються неексклюзивного поширення роботи у тому вигляді, в якому вона була опублікована цим журналом, але за умови збереження посилання на першу публікацію статті в цьому журналі.
