Знайомство теорією кіберризику

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ЛЕКЦІЮ ПІДГОТУВАЛИстуденти груп. Кб-12, Кб-11 Ковальов Данііл. Троценко Руслан. Савченко Поліна. ЗНАЙОМСТВО З ТЕОРІЄЮ КІБЕРРИЗИКІВ

⠀⠀⠀Кібербезпека - це⠀⠀⠀⠀⠀⠀⠀Кібербезпека — захищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі.

⠀⠀⠀Кіберзахист⠀⠀⠀⠀⠀⠀⠀Кіберзахист — сукупність організаційних, правових, інженерно-технічних заходів, а також заходів криптографічного та технічного захисту інформації, спрямованих на запобігання кіберінцидентам, виявлення та захист від кібератак, ліквідацію їх наслідків, відновлення сталості і надійності функціонування комунікаційних, технологічних систем.

⠀⠀⠀Означення ризику⠀⠀⠀⠀⠀⠀⠀Ризик — поєднання ймовірності та наслідків настання несприятливих подій. З точки зору інформаційної безпеки ризик розглядають як добуток втрат від порушення конфіденційності, цілісності, автентичності або доступності інформаційних ресурсів на імовірність такого порушення. Ризики інформаційної безпеки розглядають як частину бізнес-ризиків та обробляють схожим чином.

⠀⠀⠀Що таке кібер-ризик?⠀⠀⠀⠀⠀⠀⠀Кібер-ризик — це операційний ризик, який полягає в отриманні прямих чи побічних збитків економічними суб'єктами внаслідок їх функціонування у кіберпросторі. Кібер-ризик може бути визначений як загроза, пов’язана з онлайн-активністю, інтернет-торгівлею, електронними системами та технологічними мережами, а також зберіганням персональних даних.

⠀⠀⠀Що таке кібер-ризик?⠀⠀⠀⠀⠀⠀⠀Керування ризиком — процес прийняття рішень і здійснення заходів, спрямованих на забезпечення мінімально можливого ризику. Комплексна система захисту інформації (КСЗІ) — взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації (ЗІ).

⠀⠀⠀Види кібер-ризиків⠀⠀⠀⠀⠀⠀⠀ Нецільові атаки — фішинг, кардінг, смс- шахрайство; Цільові атаки — фінансове шахрайство, викрадення баз даних, промислове шпигунство, DDo. S-атаки, вимагання; Атаки внутрішні — викрадення, знищення інформації, сприяння цільовим атакам.

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Методики оцінки ризиків інформаційної безпеки. Будь-яке оцінювання ризиків інформаційної безпеки починається з обстеження інформаційної системи, ідентифікації інформаційних ресурсів та опису технологій обробки інформації. Ризики інформаційної безпеки класифікуються за: властивостями інформаційних ресурсів, які порушуються при реалізації ризику (конфіденційність, цілісність, доступність, автентичність, спостережність); видами втрат внаслідок реалізації ризиків.

⠀⠀⠀⠀⠀⠀⠀⠀⠀Можливі види втрат з результатами реалізації ризиків: фінансові втрати; репутаційні втрати; порушення законодавства/контрактів; шкода продуктивності персоналу; загроза життю і здоров'ю людей.⠀⠀⠀Методики оцінки ризиків інформаційної безпеки

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Методики оцінки ризиків інформаційної безпеки. З наведених видів втрат більш-менш точно можуть бути оцінені фінансові втрати. З меншою точністю у грошовому вимірі можуть бути оцінені втрати від шкоди продуктивності персоналу та порушення законодавства/контрактів, тому що реалізація певних ризиків може тягнути не тільки фінансові санкції (штрафи, цивільні позови), але і санкції, які не можуть бути оцінені фінансово (позбавлення ліцензії, кримінальна відповідальність тощо). Репутаційні втрати та загроза життю і здоров'ю людей не можуть бути оцінені фінансово.

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀Методики оцінки ризиків інформаційної безпеки. Ймовірність реалізації ризиків також часто не може бути оцінена точно. Джерелами відомостей щодо ймовірності реалізації ризиків можуть бути дані про аналогічні випадки від державних органів, команд реагування на комп'ютерні надзвичайні події, галузевих асоціацій. Однак усі ці дані є, як правило, неповними (не всі компанії підлягають моніторингу), неточними (багато компаній не розкривають подробиці інцидентів інформаційної безпеки) і неактуальними (наприклад на початку хвилі чергового вірусу у зазначених даних відомості про вірус ще відсутні). Крім того, ці дані не враховують специфіку конкретного бізнесу. Тому статистичні дані про інциденти інформаційної безпеки, які вже відбулись, при оцінці ризиків приймаються до відома, але застосовуються із обережністю.

Тести1. Нецільові атаки - це …а)фінансове шахрайствоб)фішингв)викраденняг)вимагання2. Методики обробки ризиків інформаційної безпекиа)протидія ризикам,уникнення ризиківб)допомога шахраям,прийняття ризиківв)анонімність,недоступністьг)експертні знання,знання новачка

3. Яким способом одержують дані у результаті узагальнення думок експертів предметної галузі ?а)метод Дельфі б) метод Л. Задев)метод декомпозиціїг)Метод чорного ящика4. Потенційна можливість певним чином порушити інформаційну безпеку-цеа) вірусб) загрозав) шахрайствог) посилання, на надіслані від невідомих осіб5.Інформаційна безпека досягає таких характеристик, як: а)конфіденційністьб)цілісність в)доступністьг)все з перелічених вище вірно

6. Вірні методи для оперативного оцінювання ризиків на практиціа)методи, що базуються на експертних знанняхб)пошукові методив)методи, що базуються на кластеризаціїг)всі відповіді вірні7. Ризик це…а)поєднання ймовірності та наслідків настання несприятливих подійб)це операційний ризик, який полягає в отриманні прямих чи побічних збитків економічними суб'єктами внаслідок їх функціонування у кіберпросторі.в)процес прийняття рішень і здійснення заходів, спрямованих на забезпечення мінімально можливого ризикуг)процес важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі.8. Кібербезпека це…а)захищеність життєво важливих інтересів людини і громадянина під час використання економікиб)захищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпросторув)захищеність життєво важливих інтересів тваринг)виявлення та захист від кібератак

9. Можливі види втрат з результатами реалізації ризиків:(ОБРАТИ ХИБНЕ ТВЕРДЖЕННЯ)а)фінансові втратиб)репутаційні втратив)порушення законодавстваг)духовні втрати10. Загрози інформаційній безпеці буваютьа) Природніб) Штучнів) Ненавмисніг) Навмисні

Завдання. Задача 1 Студент оцінює доцільність економії на квитках при поїздках у громадському транспорті. Квиток в автобусі коштує 10 грн., а штраф за безквитковий проїзд – 200 грн. Ймовірність перевірки квитка контролером становить 0,1 (контролер заходить у кожен десятий автобус). РОЗВ'ЯЗАННЯ. Очікувана «економія» від поїздок «зайцем» Е = (1 - 0,1) • 10 - 0,1• 200 = -11 грн. Висновок. Отже, збитки в даних умовах скоріш за все перевищать прибуток.

Задача 2 Ймовірність помилки при роботі студента на тренажері становить Р = 0,5. Визначити, як зміниться ймовірність помилки, якщо зміняться обставини (інший колектив, інший тип тренажера, інше місце і час виконання вправ, наявність чи відсутність підказок). Розв'язання. 1. Якщо змін не відбулося (нульові зміни) Рзм = Р = 0,5. 2. Якщо комбінацію перелічених обставин можна кваліфікувати як незначні зміни, то ймовірність помилки Рзм = (1+19• 0,5)/20 = 0,525. 3. Якщо комбінацію перелічених обставин можна кваліфікувати як помірні зміни, то Рзм = (1+6• 0,5)/7 = 0,57. 4. Якщо комбінацію перелічених обставин можна кваліфікувати як значні зміни, то Рзм = (1+0,5)/2 = 0,75. 5. Якщо зміни повні, то Рзм = 1(помилка буде 100%). Висновок. Отже,якщо:➔ Нульові зміни.то ймовірність залишається однакова.➔ Незначні зміни ,то ймовірність більша.➔ Помірні зміни,то ймовірність збільшується.➔ Значні зміни то ймовірність ще більша.➔ Повні зміни то ймвірність стовідсоткова

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ ДЕТЕРМІНАНТИ ВИНИКНЕННЯ ТА РЕАЛІЗАЦІЇ КІБЕРРИЗИКІВ. Зовнішня торгівля: економіка, фінанси, право. Волосович С., Клапків Л., 2018 (https://cutt.ly/7 T2e. PDi); КИБЕР-РИСКИ: предстраховая экспертиза, страхование и урегулирование убытков. // GLOBAL CYBER SECURITY COMPANY (https://cutt.ly/q. T2e. Lcx); ЗАКОН УКРАЇНИ «Про основні засади забезпечення кібербезпеки України» (Відомості Верховної Ради (ВВР), 2017, № 45, ст.403) (zakon.rada.gov.ua); What is Cyber Defense? - Definition from Techopedia. Techopedia.com (en) (https://cutt.ly/5 T2r. Wd. I); Політика НАТО у сфері кібернетичної оборони. // Тези доповідей сьомої міжнародної науково-технічної конференції «Проблеми інформатизації», Слюсар В. І., 2019 (https://cutt.ly/GT2to. CJ); ⠀⠀⠀Використані джерела

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Комп'ютерна безпека // Захист інформації в комп'ютерних системах: підручник / Козюра В. Д., Хорошко В. О., Шелест М. Є., Ткач Ю. М., Балюнов О. О. — Ніжин: ФОП Лук'яненко В. В., ТПК «Орхідея», 2020 (https://cutt.ly/TT2t1w. G); Analysis of Impact of Marginal Expert Assessments on Integrated Expert Assessment [Electronic resource] / E. A. Burkov // In Proceedings of 2020 23rd International Conference on Soft Computing and Measurements. Institute of Electrical and Electronics Engineers, 2020 (https://cutt.ly/b. T2yu9t); Методи оптимізації в середовищі MATLAB: лабораторний практикум: навч. посіб. / С. Д. Штовба. – Вінниця : Вінницький державний технічний університет, 2001 (https://cutt.ly/a. T2y. Qix);⠀⠀⠀Використані джерела

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Expert assessment systems to support decision-making for sustainable development of complex technological and socioeconomic facilities [Electronic resource] E. Lavrov, P. Paderno, E. Burkov, A. Volosiuk, V. D. Lung // In E3 S Web of Conferences. – EDP Sciences 2020 (https://cutt.ly/k. T2y. ATI); ISO 27001:2013 Risk Assessment and Treatment process [Electronic resource] (https://cutt.ly/5 T2uomd); ISO / IEC 17799:2005 Information technology. Security techniques [Electronic resource] (https://cutt.ly/s. T2u. AHq); Risk Management Guide for Information Technology Systems. – Gaithersburg : NIST, 2020 (https://cutt.ly/2 T2iq. ES); Fuzzy model tuning based on a training set with fuzzy model output values / S. Shtovba // Cybernetics and Systems Analysis. – 2007 (https://cutt.ly/q. T2ixr. V).⠀⠀⠀Використані джерела

Дякуємо за увагу!!!