Complex information risks assessment. ii: algorithm for identifying the structure of the tree of integrated information risk assessment
- Authors: Rey A.S.1, Shiroky A.A.1
-
Affiliations:
- V.A. Trapeznikov Institute of Control Sciences of RAS
- Issue: No 111 (2024)
- Pages: 97-117
- Section: Information technologies in control
- URL: https://ogarev-online.ru/1819-2440/article/view/289117
- DOI: https://doi.org/10.25728/ubs.2024.111.4
- ID: 289117
Cite item
Full Text
Abstract
When assessing information security risks, it is essential to take into account the various types of uncertainties that are inherent in information systems. Current methods and algorithms for risk assessment may not account for all of these uncertainties, which can lead to inaccurate risk estimates. Therefore, it becomes necessary to develop a new or adapt an existing method for risk assessment that considers all types of uncertainty specific to the class of system under consideration. In this paper, we build on our previous idea of using an integrated assessment method to evaluate information risks. This method aggregates assessments of information systems based on standard information security criteria such as confidentiality, integrity, and availability. By incorporating these criteria, we aim to obtain more accurate and reliable risk estimates that take into account all relevant uncertainties. In the first part of the work, we demonstrated that this method, with appropriate modifications, allows for taking into account all necessary types of uncertainty. We propose an algorithm for identifying the structure of an integrated assessment tree based on the principle of combining related criteria. We demonstrate the efficiency of the algorithm by building risk assessment trees for confidentiality, integrity, and accessibility in SMART systems based on the Internet of Things using this approach.
About the authors
Anastasiya Sergeevna Rey
V.A. Trapeznikov Institute of Control Sciences of RAS
Email: a.rey@ipu.ru
Moscow
Alexander Aleksandrovich Shiroky
V.A. Trapeznikov Institute of Control Sciences of RAS
Email: shiroky@ipu.ru
Moscow
References
- АБДУЛОВА Е.А., КАЛАШНИКОВ А.О. К вопросу управления рисками критической информационной ин-фраструктуры // Управление развитием крупномас-штабных систем (MLSD'2021): Труды 14-й Международ-ной конференции. – 2021. – C. 1275–1282.
- АЛЕКСЕЕВ А.О. Исследование устойчивости механиз-мов комплексного оценивания к стратегическому пове-дению агентов (на примере согласования политики ор-ганизации в области риск-менеджмента) // Прикладная математика и вопросы управления. – 2019. – №4. – С. 136–154.
- АЛЕКСЕЕВ А.О., КАТАЕВА Т.А. Применение механиз-мов комплексного оценивания и матричных неанонимных обобщенных медианных механизмов согласования инте-ресов агентов // Вестник Южно-Уральского государ-ственного университета. Серия «Компьютерные техно-логии, управление, радиоэлектроника». – 2021. – №3. – С. 75–89.
- АЛЕСКЕРОВ Ф.Т., ЯКУБА В.И. Метод порогового агре-гирования трехградационных ранжировок // Доклады академии наук. – 2007. – Т. 413, №2. – С. 181–183.
- БАКЕЕВ Д.Ш., ТИШИНА Н.А. Программная реализация оценки рисков безопасности информации на основе ги-бридного метода // Приоритетные направления иннова-ционной деятельности в промышленности. Сборник научных статей по итогам пятой международной науч-ной конференции. – 2020. – Т. 2. – С. 6–12.
- БАРКАЛОВ С.А., НОВИКОВ Д.А., НОВОСЕЛЬЦЕВ В.И. и др. Модели управления конфликтами и рисками / Под ред. Д.А. Новикова]. – Воронеж: Научная книга, 2008. – 495 с.
- БЕЗЗАТЕЕВ С.В., ЕЛИНА Т.Н., МЫЛЬНИКОВ В.А. и др. Методика оценки рисков информационных систем на основе анализа поведения пользователей и инцидентов информационной безопасности // Научно-технический вестник информационных технологий, механики и опти-ки. – 2021. – Т. 21, №4. – С. 553–561.
- ВЛАСОВА Е.А., КАРПОВ Ю.А., ТАРАСОВ Б.В. По-строение дерева сверток для комплексной оценки на ос-нове матрицы парных сравнений критериев // Вестник Воронежского государственного технического универси-тета. – 2009. – Т. 5, №10. – С. 187–191.
- ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем. – Официальное издание. – М.: ИПК Изд-во стандартов, 2002 год.
- ЗИМА В.М., КРЮКОВ Р.О., КРАВЧУК А.В. Методика оценивания информационных рисков на основе анализа уязвимостей // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. – 2019. – №11-12. – С. 36–46.
- КАЛАШНИКОВ А.О., АНИКИНА Е.В. Модели управле-ния информационными рисками сложных систем // Ин-формационная безопасность. – 2020. – Т. 23, №2. – С. 191–202.
- КАЛАШНИКОВ А.О. Управление информационными рисками организационных систем: механизмы комплекс-ного оценивания // Информационная безопасность. – 2016. – Т. 3, №1. – С. 315–322.
- КИСЕЛЕВА Т.В., МАСЛОВА Е.В. Классификация рис-ков ИТ-сервисов и способы оценивания вероятностей их возникновения // ИТНОУ: информационные технологии в науке, образовании и управлении. – 2020. – №1(15). – С. 67–71.
- КОЛОСОК И.Н., ГУРИНА Л.А. Оценка рисков управле-ния киберфизической ЭЭС на основе теории нечетких множеств // Методические вопросы исследования надежности больших систем энергетики. – 2019. – Т. 1, №70. – С. 238–247.
- НОВИКОВ Д.А. «Когнитивные игры»: линейная импуль-сная модель // Проблемы управления. – 2008. – №3. – С. 14–22.
- РЕЙ А.С., КАЛАШНИКОВ А.О. Комплексная оценка ин-формационных рисков. I: Краткий обзор подходов и методов // Управление большими системами: сборник трудов. – 2024. – №110. – С. 68–86.
- ABDULLAH A.A., WALEED A., MALEBARY S. et al. A review of cyber security challenges attacks and solutions for Internet of Things based smart home // Int. J. Comput. Sci. Netw. Secur. – 2019. – Vol. 9, No. 9. – P. 139–146.
- AKINROLABU O., NURSE J.R.C., MARTIN A. et al. Cyber risk assessment in cloud provider environments: Current models and future needs // Computers & Security. – 2019. – Vol. 87. – P. 101600.
- BOLBOT V., THEOTOKATOS G., BOULOUGOURIS E. et al. A novel cyber-risk assessment method for ship systems // Safety science. – 2020. – P. 104908.
- ERSHADI M.J., FOROUZANDEH M. Information Security Risk Management of Research Information Systems: A hy-brid approach of Fuzzy FMEA, AHP, TOPSIS and Shannon Entropy // J. Digit. Inf. Manag. – 2019. – Vol. 17, No. 6. – P. 321.
- GUNES B., KAYISOGLU G., BOLAT P. Cyber security risk assessment for seaports: A case study of a container port // Computers & Security. – 2021. – Vol. 103. – P. 102196.
- HÄCKEL B. Assessing IT availability risks in smart factory networks // Business Research. – 2019. – Vol. 12, No. 2. – P. 523–558.
- HAN C.H., HAN C.H. Semi-quantitative cybersecurity risk assessment by blockade and defense level analysis // Process Safety and Environmental Protection. – 2021. – Vol. 155. – P. 306–316.
- HE W., LI H., LI J. Unknown vulnerability risk assessment based on directed graph models: a survey // IEEE Access. – 2019. – Vol. 7. – P. 168201–168225.
- ISO/IEC 27005:2022(EN) Information security, cybersecuri-ty and privacy protection — Guidance on managing infor-mation security risks [Электронный ресурс]. – Режим до-ступа: https://www.iso.org/obp/ui/en/#iso:std:iso-iec:27005:ed-4:v1:en.
- KIOSKLI K., POLEMI N. A Socio-Technical Approach to Cyber-Risk Assessment // World Academy of Science, Engi-neering and Technology Int. Journal of Electrical and Com-puter Engineerin. – 2020. – Vol. 14, No. 10. – P. 305–309.
- KORNEEV N.V., KORNEEVA J.V., YURKEVICHYUS S.P. et al. An Approach to Risk Assessment and Threat Prediction for Complex Object Security Based on a Predicative Self-Configuring Neural System // Symmetry. – 2022. – Vol. 14, No. 1. – P. 102.
- KRISPER M., DOBAJ J., MACHER. G. et al. RISKEE: A risk-tree based method for assessing risk in cyber security // European Conf. on Software Process Improvement. – 2019. – P. 45–56.
- NESHENKO N., BOU-HARB Е., CRICHIGNO J. et al. De-mystifying IoT Security: An Exhaustive Survey on IoT Vul-nerabilities and a First Empirical Look on Internet-Scale IoT Exploitations // IEEE Communications Surveys & Tutorials. – 2019. – Vol. 21, No. 3. – P. 2702–2733.
- NTAFLOUKAS K., MCCRUM D.P., PASQUALE L. A So-cio-Technical Approach to Cyber-Risk Assessment // A cyber-physical risk assessment approach for Internet of Things enabled transportation infrastructure. – 2022. – Vol. 12, No. 18. – P. 9241.
- PALKO D., BABENKO T., BIGDAN A. et al. Cyber Securi-ty Risk Modeling in Distributed Information Systems // Appl. Sci. – 2023. – Vol. 13, No. 4. – P. 2393.
- RIOS E., REGO A., ITURBE E. et al. Continuous quantita-tive risk management in smart grids using attack defense trees // Sensors. – 2020. – Vol. 20. – P. 4404.
- SCHMITZ C., PAPE S. LiSRA: Lightweight security risk as-sessment for decision support in information security // Computers & Security. – 2020. – Vol. 90. – P. 101656.
- SUBRIADI A.P., NAJWA N.F. The consistency analysis of failure mode and effect analysis (FMEA) in information technology risk assessment // Heliyon. – 2020. – Vol. 6, No. 1. – e03161.
- TUSHER H.M., MUNIM Z.H., NOTTEBOOM T.E. et al. Cyber security risk assessment in autonomous shipping // Maritime Economics & Logistics. – 2022. – Vol. 24, No. 2. – P. 208–227.
- TUSHER H.M., MUNIM Z.H., NOTTEBOOM T.E. et al. De-velopment of the mechanism of assessing cyber risks in the internet of things projects // 12th Conf. on Internet of Things, Smart Spaces, and Next Generation Networks and Systems., ruSMART-2019. St. Petersburg: Springer Int. Pub-lishing. – 2019. – P. 481–494.
- WANG Y., WANG Y.-H., QIN H. et al. A systematic risk assessment framework of automotive cybersecurity // Auto-motive Innovation. – 2021. – Vol. 4. – P. 253–261.
- WANG Y., XUE W., ZHANG A. Application of Big Data Technology in Enterprise Information Security Management and Risk Assessment // Journal of Global Information Man-agement (JGIM). – 2023. – Vol. 31, No. 3. – P. 1–16.
Supplementary files
