Algorithm of information security risk assessment based on fuzzy-multiple approach

Abstract

The subject of the study is the process of assessing the level of information security risk that is being implemented with the help of the fuzzy logic apparatus. The purpose of this work is to develop a methodology for assessing the degree of information security risk, which would avoid the uncertainty factor, that occurs when some parts of information about the analyzed automated information system are absent. The methodology is based on the use of fuzzy logic and fuzzy sets and implies the introduction of the term sets for each of the system characteristics and the linguistic assessment of the indicators. The tasks to be solved are to analyze existing information security risk assessment methodologies for identifying their strengths and weaknesses. On the basis of the conducted analysis, a new method for assessing the risk of automated information systems information security is proposed. The following resultswere obtained: the advantages and disadvantages of qualitative and quantitative methodologies for assessing the risk degree of automated systems information security were identified; the main stages of the proposed methodology were described; the degree of information security risk is calculated in comparison to the FAIR methodology. Conclusion: The methodology presented in the article provides an opportunity to translate the obtained results of risk assessment from a mathematical language into a linguistic form that is more comprehensible to the decision-maker. This increases the effectiveness of the management of automated information systems protection mechanisms.

Предметом дослідження є процес оцінки рівня ризику інформаційної безпеки, що реалізується завдяки апарату нечіткої логіки. Метою даної роботи є розробка методики оцінки ступеня ризику інформаційної безпеки, яка б дозволила уникнути фактору невизначеності, що виникає за умови відсутності частини інформації про досліджувану втоматизовану інформаційну систему. Методика заснована на використанні нечіткої логікита нечітких множин. Що передбачає введення терм множин для кожної з характеристик системи та лінгвістичній оцінці показників. Завдання, які необхідно вирішити – проаналізувати існуючі методики оцінки ризику інформаційної безпеки для виявлення їх переваг та недоліків. На основі проведеного аналізу запропонувати нову методику оцінки ступеня ризику інформаційної безпеки автоматизованих інформаційних систем. Були отримані наступні результати: виявлено переваги та недоліки якісних та кількісних методик оцінки ступеня ризику інформаційної безпеки автоматизованих систем; описано основні етапи запропонованої методики; розраховано ступінь ризику інформаційної безпеки в порівнянні з методикою FAIR. Висновок: Представлена у статті методика надає можливість перевести отримані результати оцінки ризику з математичної мови в лінгвістичну форму, яка є більш зрозумілою для особи, що приймає рішення. Таким чином збільшується ефективність управління механізмами захисту автоматизованих інформаційних систем.