Розглядаються нормативно-правові документи в області інформаційної безпеки, методи оцінювання інформаційних ризиків, зокрема економіко-вартісні моделі для ідентифікації ймовірнісних параметрів та структури інформаційних ризиків, застосування цих моделей для аналізу інвестицій в інформаційну безпеку. Звичайно для проведення адекватного оцінювання інформаційних ризиків та оптимізації обсягів інвестицій в інформаційну безпеку застосовуються підходи та процедури, що спираються на існуючі міжнародні стандарти з менеджменту ризиків інформаційної безпеки. Нажаль, ці стандарти мають переважно концептуально-рекомендаційний характер і не враховують багатьох факторів, котрі суттєво впливають на точність та об'єктивність оцінювання ризиків. Економіко-вартісний підхід до аналізу ризиків, зокрема відома модель Гордона-Лоеба, орієнтована переважно на дослідження оптимізаційних аспектів управління ризиками, проте практично виключає можливість врахування у цих дослідженнях конкретики реального об'єкту ризику. Запропоновано моделі, які використовують евристичні мотиваційно-вартісні механізми визначення параметрів та структури ризиків. Дані моделі дозволяють об'єднати викладені в міжнародних стандартах методи аналізу та оцінювання ризиків з можливостями оптимізаційних досліджень ризику, закладених в моделі Гордона-Лоеба. Задля забезпечення більшої адекватності цих моделей вимогам практичного застосування до їх структури передбачено введення інформації про психо-соціальні характеристики зловмисника.
Рассматриваются нормативно-правовые документы в области информационной безопасности, методы оценки информационных рисков, в частности экономико-стоимостные модели для идентификации вероятностных параметров и структуры информационных рисков, применение этих моделей для анализа инвестиций в информационную безопасность. Обычно для проведения адекватного оценивания информационных рисков и оптимизация объемов инвестиций в информационную безопасность применяются подходы и процедуры, опирающиеся на существующие международные стандарты по менеджменту рисков информационной безопасности. К сожалению, эти стандарты имеют преимущественно концептуально рекомендательный характер и не учитывают многих факторов, которые существенно влияют на точность и объективность оценки рисков. Экономико-стоимостной подход к анализу рисков, в частности известная модель Гордона-Лоэба, ориентированы преимущественно на исследование оптимизационных аспектов управления рисками, однако практически исключают возможность учета в этих исследованиях конкретики реального объекта риска. Предложены модели, которые используют эвристические мотивационно-стоимостные механизмы определения параметров и структуры рисков. Данные модели позволяют объединить изложенные в международных стандартах методы анализа и оценки рисков с возможностями оптимизационных исследований риска, заложенных в модели Гордона- Лоэба. Для обеспечения большей адекватности этих моделей требованиям практического применения предусмотреновведение в их структуру информации о психо-социальные характеристики злоумышленника.
Legal documents in the field of information security, information risk assessment methods are considered, including economic-cost models to identify the probability parameters and structure of information risks, and applying these models to analyze investment in information security. Of course, for an adequate assessment of information risks and optimizing investments in information security used approaches and procedures, which are based on existing international standards of information security risk management. Unfortunately, these standards are more conceptual and advisory in nature. Based on this situation, many factors aren't considered into account, which significantly affects the accuracy and objectivity of risk assessment. Economic-cost approach for analysis of risks, including well-known model of Gordon-Loeb, is focused mainly on the study of optimization aspects of risk management, but virtually eliminates the possibility of considering into account the specificity of thesestudies, the risk of a real object. It's suggested that models, which use heuristic cost-motivational mechanisms to determine the parameters and structure of risks. These models allow combining methods of analysis and risk assessment methods, which are set out in international standards, with the possibilities of optimization researches of risk, inherent in the Gordon-Loeb model. In order to ensure more adequacy of these models to requirements of practical application, it's proposed to input into their structure the psycho - social characteristics of the attacker.
