Гібридний підхід до управління ризиками інформаційної безпеки

НАКОНЕЧНИЙ, В., МОРДВИНЦЕВ, М., ГУСЄВА, В., ЛУЦЕНКО, В. (2025). Hybrid approach to information security risk management. Information systems and technologies security, 1(9), 32–41. https://doi.org/10.17721/ISTS.2025.9.32-41

Вступ. Розглянуто гібридний підхід до управління ризиками інформаційної безпеки, що поєднує кількісні та якісні методи оцінювання відповідних ризиків. Це дозволяє підвищити точність, зменшити суб'єктивність оцінок і забезпечити автоматизацію процесу управління ризиками. Актуальність теми повязана з постійним зростанням кількості та складності кіберзагроз, що вимагає розроблення та впровадження ефективних інструментів для управління ризиками та зменшення впливу людського фактора.Методи. Застосовано інтегрований підхід, що базується на методах FAIR, Монте-Карло для кількісної оцінки ймовірностей і CRAMM для якісного аналізу ризиків. Враховано міжнародні стандарти ISO 31000 та ISO/IEC 27005, які регламентують управління ризиками. Проведено ідентифікацію активів, визначено вразливості і класифікацію загроз відповідно до кращих практик інформаційної безпеки. Обґрунтовано застосування методології для формування моделі оцінювання ризиків, яка дозволяє врахувати різні рівні потенційних загроз.Результати. Результати підтвердили адекватність та ефективність гібридного підходу. Запропонована модель дозволила ідентифікувати критичні активи, оцінити рівень ризиків і розробити рекомендації щодо впровадження контрзаходів. Використано метод Монте-Карло для оцінювання ймовірності успішних атак і розрахунку потенційних збитків. Аналіз за CRAMM дозволив визначити вразливості системи та запропонувати відповідні заходи безпеки. Проведено порівняльний аналіз традиційних методів оцінювання ризиків, що показав переваги інтегрованого підходу в умовах динамічного інформаційного середовища.Висновки. Запропонований гібридний підхід сприятиме мінімізації впливу людського фактора, підвищенню точності оцінок і автоматизації управління ризиками. Це дозволить оптимізувати ресурси організації та забезпечити стратегічне планування захисту інформації. Подальші дослідження можуть зосередитися на розробленні інструментів автоматизації для інтеграції запропонованого підходу в реальні інформаційні системи. Рекомендовано подальший розвиток методології через адаптацію до різних сценаріїв загроз у межах організацій із різними профілями безпеки.