Evaluation of alternative solutions for the effective structure of the cyber security system in critical information infrastructures by the hierarchical analysis method

Abstract

The subject matter of this article is the evaluation of alternative solutions for ensuring cyber security of critical information infrastructures and the selection of a more effective solution. The goal of the study is to create a cybersecurity system with an effective structure for critical information infrastructures. The tasks to be solved include determining the methods, tools, and measures to be included in the system. For this purpose, the hierarchical analysis method was used, and first of all, the decomposition of the problem was given and the corresponding hierarchical structure was compiled. On the basis of expert evaluations for each level of the hierarchical structure, pairwise comparison matrices of alternatives and priorities were constructed and their priority vectors were calculated sequentially. Taking into account the main priorities vector (Confidentiality, Integrity, Availability, Manageability), the degrees of importance of information protection measures (methods and means) were calculated and sorted according to the pairwise preference relations of alternative solutions obtained from the synthesis of the intermediate priorities vector (Physical Security, Network Security, Data Security, Application Security, Access Security). As a result of such a ranking, it is possible to determine which security measures should be given more importance to ensure the cyber security of critical information infrastructures. Conclusion. Thus,based on the hierarchical analysis method, it is possible to quantitatively evaluate alternative solutions for ensuring cyber security of critical information infrastructures, which allows for easy ranking of these solutions by degree of importance. As a result, an effective decision can be made about which methods are more important to include in the cyber security system, and which are relatively less important. The corresponding calculations and analyses were performed on the example of special purpose organizations based on a generalized hierarchical scheme of the cyber security system of critical infrastructures. Thus, the information infrastructure of one of the organizations producing special equipment was taken as the object of the study. According to the obtained results, it was determined that among the methods, means and measures of security, cryptographic and steganographic methods of data protection for this type of organization have higher degrees of importance than others.

Предметом цієї статті є оцінка альтернативних рішень для забезпечення кібербезпеки критичних інформаційних інфраструктур та вибір більш ефективного рішення. Метою дослідження є створення системи кібербезпеки з ефективною структурою критичних інформаційних інфраструктур. Завдання, що вирішуються, включають визначення методів, інструментів та заходів, які мають бути включені до системи. Для цього було використано метод ієрархічного аналізу, і перш за все було проведено декомпозицію проблеми та складено відповідну ієрархічну структуру. На основі експертних оцінок для кожного рівня ієрархічної структури було побудовано матриці попарного порівняння альтернатив та пріоритетів та послідовно обчислено їх вектори пріоритетів. З урахуванням вектора основних пріоритетів (Конфіденційність, Цілісність, Доступність, Керованість) були розраховані ступені важливості заходів захисту інформації (методів та засобів) та відсортовані відповідно до попарних співвідношень переваги альтернативних рішень, отриманих в результаті синтезу вектора проміжних пріоритетів (Фізична безпека, Мережева безпека, Безпека даних, Безпека додатків, Безпека доступу). В результаті такого ранжування можна визначити, яким заходам безпеки слід надати більше значення для забезпечення кібербезпеки критичних інформаційних інфраструктур. Висновки. Таким чином, на основі методу ієрархічного аналізу можна кількісно оцінити альтернативні рішення щодо забезпечення кібербезпеки критичних інформаційних інфраструктур, що дозволяє легко ранжувати ці рішення за ступенем важливості. В результаті можна прийняти ефективне рішення про те, які методи є більш важливими для включення до системи кібербезпеки, а які є відносно менш важливими. Відповідні розрахунки та аналізи були виконані на прикладі організацій спеціального призначення на основі узагальненої ієрархічної схеми системи кібербезпеки критичних інфраструктур. Таким чином, за об'єкт дослідження була взята інформаційна інфраструктура однієї з організацій, що виробляє спеціальне обладнання. Згідно з отриманими результатами, було визначено, що серед методів, засобів та заходів безпеки, криптографічні та стеганографічні методи захисту даних для цього типу організацій мають вищу ступінь важливості, ніж інші.