В статье представлен обзор результатов исследования количественной оценки и управления рисками безопасности в корпоративных информационных сетях (КИС). Объектом исследования являются корпоративные информационные сети как объект защиты информации. Предмет исследования — модели, методы и алгоритмы нечеткой оценки и управления рисками информационной безопасности КИС. Цель — повышение эффективности защиты корпоративных информационных сетей на основе применения научно-обоснованных методов, алгоритмов, технологических решений и инструментальных программных комплексов количественной оценки и управления рисками информационной безопасности в условиях возможной нечеткости, противоречивости, неполноты и качественного характера исходной информации. Достижение поставленной цели потребовало решения следующих задач разработки: 1) формальной модели КИС, описывающей различные виды активов и особенности их взаимодействия для решения задачи количественной оценки рисков ИБ; 2) метода и алгоритмов нечеткой оценки ущерба от реализации угроз при отсутствии защитных мер на основе подходов к количественной оценке частных показателей ущерба, нечеткой оценке уровней критичности активов и формальной модели КИС; 3) методов и алгоритмов нечетких оценок возможностей реализации угроз и использования уязвимостей при отсутствии защитных мер в условиях неопределенности исходной информации; 4) метода повышения эффективности защиты информации в КИС на основе управления рисками ИБ, с учетом модели защитных мер, нечеткой оценки рисков ИБ; 5) технологии количественной оценки и управления рисками ИБ в КИС; 6) инструментального комплекса программ для нечеткой оценки и управления рисками информационной безопасности в КИС, реализующего разработанные технологию, методы и алгоритмы. Для решения поставленных задач были использованы методы математического моделирования, системного анализа, теории нечетких множеств и нечеткой логики, теории графов, защиты информации, экспертного оценивания.

информационная безопасность; оценка рисков; управление рисками; нечеткая логика; моделирование; комплекс программ.

Аникин И. В. Методы оценки и управления рисками информационной безопасности в корпоративных информационных сетях. Казань: Школа, 2015. [[ Anikin I. V. Methods for Assessing and Managing Information Security Risks in Corporate Information Networks. Kazan: School, 2015. (In Russian). ]]

Fabarisov Т., Siedel G., Vock S., Morozov A. “Aspects of industrial CPS critical for risk assessment methods” // Системная инженерия и информационные технологии. 2021. Т.3, № 3 (7). С. 23-29. [[ In: System Engineering and Information Technologies. 2021. V. 3, No. 3 (7), pp. 23-29. ]]

Аникин И. В., Глова В. И. К вопросу стандартизации в проблеме безопасности информационных технологий // Вестник КГТУ им. А. Н. Туполева. 2004. № 3. С. 68–63. [[ Anikin I. V., Glova V. I. “On the issue of standardization in the problem of information technology security” // Bulletin of KSTU A. N. Tupolev. 2004. No. 3, pp. 68-63. (In Russian). ]]

Аникин И. В. Метод управления рисками информационной безопасности в корпоративных информационных сетях // Инфокоммуникационные технологии. 2015. Т. 13, № 2. C. 215–221. [[ Anikin I. V. “Information security risk management method in corporate information networks” // Info-communication Technologies. 2015. V. 13, No. 2, pp. 215-221. (In Russian). ]]

Аникин И. В. Управление внутренними рисками информационной безопасности корпоративных информационных сетей // Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Информатика. Телекоммуникации. Управление. 2009. № 3 (80). С. 35-40. [[ Anikin I. V. “Management of internal risks of information security of corporate information networks” // Scientific and Technical Statements of the St. Petersburg State Polytechnic University. Computer science. Telecommunications. Control. 2009. No. 3 (80), pp. 35-40. (In Russian). ]]

Васильев В. И., Вульфин А. М., Кириллова А. Д. Анализ и управление рисками информационной безопасности АСУ ТП на основе когнитивного моделирования // Моделирование, оптимизация и информационные технологии. 2022. Т. 10. № 2 (37). C. 1-18. [[ Vasiliev V. I., Vulfin A. M., Kirillova A. D. “Analysis and risk management of information security of process control systems based on cognitive modeling” // Modeling, Optimization, and Information Technologies. 2022. Vol. 10. No. 2 (37), pp. 1-18. (In Russian). ]]

Гузаиров М. Б., Вульфин А. М., Картак В. М., Кириллова А. Д., Миронов К. В. Сравнительный анализ алгоритмов когнитивного моделирования при оценке рисков информационной безопасности // Труды Института системного анализа Российской академии наук. 2019. Т. 69. № 4. С. 62-69. [[ Guzairov M. B., Vulfin A. M., Kartak V. M., Kirillova A. D., Mironov K. V. “Comparative analysis of cognitive modeling algorithms in assessing information security risks” // In: Proceedings of the Institute of System Analysis of the Russian Academy of Sciences. 2019. V. 69. No. 4, pp. 62-69. (In Russian). ]]

Тулиганова Л. Р., Машкина И. В. Численная оценка риска нарушения информационной безопасности в сегменте виртуализации информационной системы предприятия // Безопасность информационных технологий. 2015. Т. 22. № 1. С. 113-114. [[ Tuligova L. R., Mashkina I. V. “Numerical assessment of the risk of information security violations in the segment of enterprise information system virtualization” // Security of Information Technologies. 2015. V. 22. No. 1, pp. 113-114. (In Russian). ]]

Львович Я. Е., Преображенский А. П., Преображенский Ю. П., Чопоров О. Н. Анализ подходов для оценки рисков в ходе внедрения корпоративных информационных систем в организациях // Вестник Воронежского института высоких технологий. 2019. № 4 (31). С. 56-58. [[ Lvovich Ya. E., Preobrazhensky A. P., Preobrazhensky Yu. P., Choporov O. N. “Analysis of approaches for assessing risks during the implementation of corporate information systems in organizations” // Bulletin of the Voronezh Institute of High Technologies. 2019. No. 4 (31), pp. 56-58. (In Russian). ]]

Ажмухамедов И. М., Выборнова О. Н., Брумштейн Ю. М. Управление рисками информационной безопасности в условиях неопределенности // Проблемы информационной безопасности. Компьютерные системы. 2016. № 1. С. 7-14. [[ Azhmukhamedov I. M., Vybornova O. N., Brumshtein Yu. M. “Information security risk management in conditions of uncertainty” // Problems of Information Security. Computer Systems. 2016. No. 1, pp. 7-14. (In Russian). ]]

Баранова Е. К., Мурзакова А. А., Мурзакова Е. А. Сравнительный анализ программного обеспечения для анализа рисков информационной безопасности в соответствии с ГОСТ Р ИСО/МЭК 27005-10 // Информационные технологии и вычислительные системы. 2019. № 2. С. 75-83. [[ Baranova E. K., Murzakova A. A., Murzakova E. A. “Comparative analysis of software for risk analysis of information security in accordance with GOST R ISO/IEC 27005-10” // Information Technologies and Computing Systems. 2019. No. 2, pp. 75-83. (In Russian). ]]

Аникин И. В., Гильмуллин Т. М. Моделирование объектов информационной безопасности для задачи оценки рисков // Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Информатика. Телекоммуникации. Управление. 2009. Т. 5, № 86. С. 151–155. [[ Anikin I. V., Gilmullin T. M. “Modeling of information security objects for the problem of risk assessment” // Scientific and Technical Statements of the St. Petersburg State Polytechnic University. Computer science. Telecommunications. Control. 2009. V. 5, No. 86, pp. 151-155. (In Russian). ]]

Аникин И. В., Зиновьев И. П. Усовершенствование системы нечеткого вывода Такаги–Сугено // Вестник КГТУ им. А. Н. Туполева. 2009. № 3. С. 84–88. [[ Anikin I. V., Zinoviev I. P. “Improvement of the Takagi–Sugeno fuzzy inference system” // Bulletin of KSTU A. N. Tupolev. 2009. No. 3, pp. 84-88. (In Russian). ]]

Аникин И. В., Зиновьев И. П. Модель логического вывода на основе нечеткой линейной регрессии // Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Информатика. Телекоммуникации. Управление. 2010. № 5. C. 139–145. [[ Anikin I. V., Zinoviev I. P. “An inference model based on fuzzy linear regression” // Scientific and Technical Bulletin of the St. Petersburg State Polytechnic University. Computer science. Telecommunications. Control. 2010. No. 5, pp. 139-145. (In Russian). ]]

Anikin I. V., Alnajjar K. “Pseudo-random number generator based on fuzzy logic” // In: 2016 International Siberian Conference on Control and Communications, SIBCON 2016. Proceedings.2016, pp. 1-4, doi: 10.1109/SIBCON.2016.7491667.

Anikin I. V., Zinoviev I. P. “Fuzzy control based on new type of Takagi-Sugeno fuzzy inference system” // In: 2015 International Siberian Conference on Control and Communications, SIBCON 2015. Proceedings. 2015, doi: 10.1109/SIBCON.2015.7146977.

Anikin I., Zinoviev I. “New type of Takagi-Sugeno fuzzy inference system as universal approximator” // Applied Mechanics and Materials. 2014. V. 598, pp. 453-458.

Васильев В. И., Вульфин А. М., Гузаиров М. Б., Картак В. М., Черняховская Л. Р. Оценка рисков кибербезопасности АСУ ТП промышленных объектов на основе вложенных нечетких когнитивных карт // Информационные технологии. 2020. Т. 26. № 4. С. 213-221. [[ Vasiliev V. I., Vulfin A. M., Guzairov M. B., Kartak V. M., Chernyakhovskaya L. R. “Assessing cybersecurity risks for automated process control systems for industrial facilities based on nested fuzzy cognitive maps” // Information Technologies. 2020. V. 26. No. 4, pp. 213-221. (In Russian). ]]

Машкина И. В., Сенцова А. Ю., Степанова Е. С. Разработка нечетких когнитивных карт и искусственной нейронной сети для оперативной оценки информационных рисков в системе облачных вычислений // Нейрокомпьютеры: разработка, применение. 2013. № 3. С. 026-030. [[ Mashkina I. V., Sentsova A. Yu., Stepanova E. S. “Development of fuzzy cognitive maps and an artificial neural network for the operational assessment of information risks in a cloud computing system” // Neurocomputers: Development, Application. 2013. No. 3, pp. 026-030. (In Russian). ]]

Kotenko I. V., Parashchuk I. B. “Evaluation of information security of industrial automation systems using fuzzy algorithms and predicates” // International Russian Automation Conference (RusAutoCon), Sochi, Russia (5-11 Sept. 2021). IEEE Xplore Digital Library: Browse Conferences, 2021. V. (Doc.) 9537332, pp. 261-266.

Васильев В. И., Картак В. М. Применение методов искусственного интеллекта в задачах защиты информации (по материалам научной школы УГАТУ) // Системная инженерия и информационные технологии. 2020. Т.2, № 2 (4). С. 43-50. [[ Vasiliev V. I., Kartak V. M. “Application of artificial intelligence methods in information security problems (based on the materials of the scientific school of the USATU)” // System Engineering and Information Technologies. 2020. V.2, No. 2 (4), pp. 43-50. (In Russian). ]]

Аникин И. В. Метод оценки внутренних рисков информационной безопасности корпоративных информационных сетей // Информация и безопасность. 2014. Т. 17, № 2. С. 320–323. [[ Anikin I. V. “Method for assessing internal risks of information security of corporate information networks” // Information and Security. 2014. V. 17, No. 2, pp. 320-323. (In Russian). ]]

Аникин И. В. Метод оценки рисков для уязвимостей информационных систем основанный на нечеткой логике // Информация и безопасность. 2014. Т. 17, № 3. С. 468–471. [[ Anikin I. V. “Risk assessment method for information systems vulnerabilities based on fuzzy logic” // Information and Security. 2014. V. 17, No. 3, pp. 468-471. (In Russian). ]]

Аникин И. В., Потапов А. С. Программный комплекс оценки рисков информационной безопасности на основе продукционно-фреймовой модели // Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Информатика. Телекоммуникации. Управление. 2010. № 5. C. 98–102. [[ Anikin I. V., Potapov A. S. “A software package for assessing information security risks based on a production-frame model” // Scientific and Technical Bulletin of the St. Petersburg State Polytechnic University. Computer Science. Telecommunications. Control. 2010. No. 5, pp. 98-102. (In Russian). ]]

Аникин И. В., Емалетдинова Л. Ю., Кирпичников А. П. Обеспечение информационной безопасности корпоративных информационных сетей через оценку и управление рисками // Вестник Казанского технологического университета. 2015. Т. 18, № 7. С. 247–250. [[ Anikin I. V., Emaletdinova L. Yu., Kirpichnikov A. P. “Ensuring information security of corporate information networks through risk assessment and management” // Bulletin of the Kazan Technological University. 2015. V. 18, No. 7, pp. 247 250. (In Russian). ]]

Аникин И. В., Емалетдинова Л. Ю., Кирпичников А. П. Методы оценки и управления рисками информационной безопасности в корпоративных информационных сетях // Вестник Казанского технологического университета. 2015. Т. 18, № 6. С. 195–197. [[ Anikin I. V., Emaletdinova L. Yu., Kirpichnikov A. P. “Methods for assessing and managing information security risks in corporate information networks” // Bulletin of the Kazan Technological University. 2015. V. 18, No. 6, pp. 195-197. (In Russian). ]]

Аникин И. В., Газимов Р. М. Практика применения моделирующих структур для исследования защищенности информационных активов предприятий // Информация и безопасность. 2015. Т. 18, № 4. C. 376–379. [[ Anikin I. V., Gazimov R. M. “The practice of using modeling structures to study the security of information assets of enterprises” // Information and Security. 2015. V. 18, No. 4, pp. 376-379. (In Russian). ]]

Anikin I. V. “Information security risks assessment in telecommunication network of the university” // In: IEEE Conference 2016 Dynamics of Systems, Mechanisms and Machines (Omsk, 2016), pp. 1-4, doi: 10.1109/Dynamics.2016.7818967 .

Аникин И. В. Метод количественной оценки уровня ущерба от реализации угроз на корпоративную информационную сеть // Информационные технологии. 2010. № 1. С. 2–6. [[ Anikin I. V. “Method for quantitative assessment of the level of damage from the implementation of threats to the corporate information network” // Information Technologies. 2010. No. 1, pp. 2 6. (In Russian). ]]

Аникин И. В. Метод анализа иерархий в задачах оценки и анализа рисков информационной безопасности // Вестник КГТУ им. А. Н. Туполева. 2006. № 3. C. 11–18. [[ Anikin I. V. “The method of analysis of hierarchies in the tasks of assessing and analyzing risks of information security” // Bulletin of KSTU A. N. Tupolev. 2006. No. 3, pp. 11-18. (In Russian). ]]

Аникин И. В. Метод нечеткой оценки критичности активов корпоративной информационной сети // Информационные системы и технологии. 2015. № 4. С. 111–120. [[ Anikin I. V. “A fuzzy assessment method for the criticality of corporate information network assets” // Information Systems and Technologies. 2015. No. 4, pp. 111-120. (In Russian). ]]

Аникин И. В. Нечеткая оценка уязвимостей, основанная на метриках CVSS V.2.0 // Проблемы информационной безопасности. Компьютерные системы. 2015. № 3. С. 111–117. [[ Anikin I. V. “Fuzzy vulnerability assessment based on CVSS V.2.0 metrics” // Problems of Information Security. Computer Systems. 2015. No. 3, pp. 111-117. (In Russian). ]]

Аникин И. В. Нечеткая оценка факторов риска информационной безопасности // Безопасность информационных технологий. 2016. № 1. С. 78–87. [[ Anikin I. V. “Fuzzy assessment of information security risk factors” // Security of Information Technologies. 2016. No. 1, pp. 78-87. (In Russian). ]]

Anikin I. V. “Information security risk assessment and management method in computer networks” // In: 2015 International Siberian Conference on Control and Communications (SIBCON). Proceedings. Omsk State Technical University. Russia, Omsk, May 21−23, 2015. IEEE Catalog Number: CFP13794–CDR. doi: 10.1109/SIBCON.2015.7146975 .

Anikin I. V., Emaletdinova L. Yu. “Information security risk management in computer networks based on fuzzy logic and cost/benefit ration estimation” // In: Proceedings of the 8th International Conference on Security of Information and Networks (SIN’15). September 8–10, 2015, Sochi/Russia, pp. 8-11.

Аникин И. В., Кирпичников А. П. Применение метода анализа иерархий для решения задачи выбора антивирусных продуктов // Вестник Казанского технологического университета. 2014. Т. 17, № 12. С. 187–189. [[ Anikin I. V., Kirpichnikov A. P. “Application of the hierarchy analysis method for solving the problem of choosing anti-virus products” // Bulletin of the Kazan Technological University. 2014. V. 17, No. 12, pp. 187-189. (In Russian). ]]

Аникин И. В., Емалетдинова Л. Ю. Методология количественной оценки и управления рисками информационной безопасности // Информация и безопасность. 2016. Т. 19, № 4. С. 539–542. [[ Anikin I. V., Emaletdinova L. Yu. “Methodology of quantitative assessment and risk management of information security” // Information and Security. 2016. V. 19, No. 4, pp. 539 542. (In Russian). ]]