АХРАМОВИЧ, ВолодимирВолодимирАХРАМОВИЧАХРАМОВИЧ, ВадимВадимАХРАМОВИЧ0000-0002-3148-1148БРАІЛОВСЬКИЙ, МиколаМиколаБРАІЛОВСЬКИЙПЕПА, ЮрійЮрійПЕПАЛАПТЄВА, ТетянаТетянаЛАПТЄВА2026-03-172026-03-172025-08-29АХРАМОВИЧ, В., АХРАМОВИЧ, В., БРАІЛОВСЬКИЙ, М., ПЕПА, Ю., ЛАПТЄВА, Т. (2025). Quantitative risk assessment using the fuzzy sets method. Information systems and technologies security, 1(9), 18–25. https://doi.org/10.17721/ISTS.2025.9.18-2510.17721/ISTS.2025.9.18-25https://ir.library.knu.ua/handle/15071834/12568Background. This paper presents a quantitative risk assessment method based on the analysis and evaluation of risks in information systems. The proposed approach enables the use of a wide range of parameters, providing the creation of flexible assessment tools. This method allows calculating risks based on both statistical data and expert evaluations conducted under conditions of uncertainty and poorly formalized environments.Additionally, the developed methods provide the representation of results in both numerical and verbal forms. For example, linguistic variables, which are often used to describe complex systems characterized by both quantitative and qualitative parameters, can be utilized. The risks of information systems can be described through a conceptual fuzzy set model that accounts for uncertainty, imprecision, and subjectivity in their evaluation.Methods. The fuzzy sets method was applied to study the risks of information systems. This method facilitates the prediction of potential economic losses. The proposed approach allows the integration of various risk factors into a unified model, considering both quantitative and qualitative aspects of their assessment.Result. During the study, a quantitative approach to assessing the risks of enterprise information systems was developed, enabling a comprehensive analysis and evaluation of the impact of various risk factors. The main results of the work include:The model accounts for uncertainty, imprecision, and subjectivity of data, which is especially important in unstable environments. This ensures high adaptability of the method to different areas of enterprise activity.The proposed methodology enables the quantitative assessment of potential losses associated with risks in information systems based on statistical and expert data.Based on the risk assessment results, recommendations can be developed to improve measures for protecting the enterprise's information assets. This includes the creation of adaptive protection strategies aimed at reducing economic losses.Conclusions. The use of the fuzzy sets method for quantitative risk assessment of information systems has proven its effectiveness due to its ability to account for uncertainty and subjectivity in data evaluation. The developed approach not only predicts risks but also supports informed decision-making to reduce potential losses, contributing significantly to the development of enterprise information security management systems.Вступ. Представлено метод кількісного дослідження ризиків, що базується на аналізі й оцінюванні ризиків інформаційних систем. Запропонований підхід дозволяє використовувати широкий спектр параметрів, які забезпечують створення гнучких засобів оцінювання. Цей метод дає можливість розраховувати ризики як на основі статистичних даних, так і на основі експертних оцінок, зроблених в умовах невизначеності та слабкоформалізованого середовища.Розроблені методи забезпечують представлення результатів у числовій і словесній формах. Наприклад, можливе використання лінгвістичних змінних, які часто застосовують для опису складних систем, що характеризуються параметрами не лише у кількісному, але й у якісному вигляді. Ризики інформаційних систем можуть бути описані через концептуальну модель нечітких множин, яка враховує невизначеність, неточність і суб'єктивність під час їхнього оцінювання.Методи. Для дослідження ризиків інформаційних систем застосовано метод нечітких множин. Цей метод дозволяє прогнозувати можливі економічні збитки. Запропонований підхід забезпечує можливість інтеграції різних факторів ризику в єдину модель, враховуючи як кількісні, так і якісні аспекти їхнього оцінювання.Результати. У ході дослідження розроблено кількісний підхід до оцінювання ризиків інформаційних систем підприємств, що дозволяє комплексно аналізувати й оцінювати вплив різноманітних факторів ризику.Модель, яка враховує невизначеність, неточність і суб'єктивність даних, що особливо важливо в умовах нестабільного середовища. Це забезпечує високу адаптивність методу до різних сфер діяльності підприємства.Запропоновано методику, яка дозволяє здійснювати кількісне оцінювання потенційних втрат, пов'язаних із ризиками в інформаційних системах, на основі статистичних та експертних даних.На основі результатів оцінювання ризиків можуть бути розроблені рекомендації щодо вдосконалення заходів із захисту інформаційних активів підприємства. Це включає створення адаптивних стратегій захисту, орієнтованих на зменшення економічних втрат.Висновки. Використання методу нечітких множин для кількісного оцінювання ризиків інформаційних систем довело свою ефективність завдяки здатності враховувати невизначеність і суб'єктивність в оцінюванні даних. Розроблений підхід дозволяє не лише прогнозувати ризики, але й приймати обґрунтовані рішення щодо зменшення потенційних втрат, що є вагомим внеском у розвиток систем управління інформаційною безпекою підприємств.ukrisksforecastinglossesprotection systemcybersecurityinformation protectionризикипрогнозуваннявтратисистема захистукібербезпеказахист інформаціїСтаття