№2, 2010

OPTIMAL INFORMATION SECURITY RISK MANAGEMENT BASED ON GENETIC ALGORITHM

İmamverdiyev Y.N., Derakshandeh S.А.

The paper proposes a mathematical model for optimal management of information security risks. The parameters of the risk factors and the effectiveness of security mechanisms are expressed by fuzzy membership functions. The proposed model solves the problem of optimal selection of security mechanisms for residual risk minimization at the given budjet. The optimal selection is formulated as a integer programming problem (IPP) and a genetic algorithm is proposed to solve the IPP. (p. 36-46)

Keywords: information security, risk factors, risk assessment, risk management, fuzzy number, genetic algorithm.
References
  • Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. M.: ДМК Пресс, 2004, 384 с.
  • ISO Guide 73:2009 - Risk Management – Vocabulary, 2009.
  • ISO/IEC 27005:2007, Information Technology - Security Techniques - Information Security Risk Management, November 2007.
  • Алгулиев Р.М., Имамвердиев Я.Н., Деракшанде С.А. Пути повышения точности методов оценки рисков информационной безопасности // Информационные технологии, 2010, № 12.
  • Stoneburner G., Goguen A., Feringa A. NIST Special Publication 800-30: Risk Management Guide for Information Technology Systems. Recommendations of the National Institute of Standards and Technology, 2002.
  • Barber B., Davey J. The use of the CCTA Risk Analysis and Management Methodology CRAMM // Proc. MEDINFO92, Amsterdam, North Holland, 1992, pp.1589-1593.
  • Alberts C.J., Behrens S. G., et al. Operationally Critical Threat, Asset and Vulnerability Evaluation (OCTAVE) Framework. Pittsburg, Carnegie Mellon, 1999, pp.1-69.
  • Buyens K., De Win B., Joosen W. Empirical and Statistical Analysis of Risk Analysis-driven Techniques for Threat Management / Proceedings of the 2nd International Conference on Availability, Reliability and Security (ARES'07), Vienna, Austria, 2007, pp. 1034-1041.
  • Деревянко П.М. Сравнение нечеткого и имитационного подхода к моделированию деятельности предприятия в условиях неопределенности // Сов. проблемы экономики и управления народным хозяйством: Сб. науч. статей. СПб.: СПбГИЭУ, 2005, c.289-292.
  • Недосекин А.О. Нечеткий финансовый менеджмент. М.: Аудит и финансовый анализ, 2003, 184 с.
  • Недосекин А.О. Нечетко-множественный анализ риска фондовых инвестиций. СПб.: Сезам, 2002, 181 с.
  • Karimi I., Hüllermeier E. Risk Assessment System of Natural Hazards: A New Approach Based on Fuzzy Probability // Fuzzy Sets and Systems, 2007, v.158, № 9, pp. 987-999.
  • Dikmen I., Birgonul M. T. Han S., Using Fuzzy Risk Assessment to Rate Cost Overrun Risk in İnternational Construction Projects // International Journal of Project Management, 2007, v.25, № 5, pp. 494-505.
  • Alguliev R.M., Imamverdiev Y.N., About One Method of Risk Measurement of Maintenance of Information Security of Corporative Networks Because of Fuzzy Sets / Proc. of the 4-th International Conference on New Information Technologies, Minsk, Belarus, 2000, 76-81.
  • Авдошин А.С. Оценка защищенности информационной системы методами нечеткой логики // Вестн. Самар. гос. техн. ун-та, 2005, № 32, с.191-193.
  • Балашов П.А., Кислов Р.И., Безгузиков В.П. Оценка рисков информационной безопасности на основе нечеткой логики // Безопасность компьютерных систем. Конфидент, 2003, № 5, с. 56-59.
  • Доценко С.М., Зайчиков А.А., Малыш В.Н. Повышение объективности исходных данных как альтернатива методу нечеткой логики при оценке риска информационной безопасности // Защита информации. Конфидент, 2004, № 5, с. 83-85.
  • Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. Пер. с англ., М.: Мир, 1976, 165 с.
  • Bojadziev G., Bojadziev M. Fuzzy Logic for Business, Finance, and Management (Advances in Fuzzy Systems: Applications and Theory, 23), 2nd Edition, World Scientific Publishing Company, 2007, 232 p.
  • Борисов А.Н., Крумберг О.А., Федоров И.П. Принятие решений на основе нечетких моделей. Примеры использования. Рига: Зинатне, 1990, 184 с.
  • Supervisory framework for the use of «backtesting» in conjunction with the internal models approach to market risk capital requirements. Basel Committee on Banking Supervision, 1996, 15 p. http://www.bis.org/publ/bcbs22.htm
  • Wang J., Chaudhury A., Rao H.R., Research Note – A Value-at-Risk Approach to Information Security Investment // Information Systems Research, 2008, v.19, №1, pp.106-120.
  • Qi W., Liu X., Zhang J., Yuan W. Dynamic Assessment and VaR-based Quantification of Information Security Risk // Proc. of the 2nd International Conference on e-Business and Information System Security (EBISS), Wuhan, China, 2010, pp.1-4.
  • Корт С.С. Теоретические основы защиты информации: Учебное пособие. М.: Гелиос АРВ, 2004, 240 с.
  • Завгородний В.И. Системное управление информационными рисками: выбор механизмов защиты // Проблемы управления, 2009, № 1, с.53-58.
  • Holland J.H., Adaptation in Natural and artificial Systems. The University of Michigan Press, Ann Arbor, 1975, 218 p.
  • Kureichik V.M. Genetic algorithms: state of the art, problems and perspectives // Journal of Computer and Systems Sciences International, 1999, v.38, № 1, 137-152.
  • Herrera F., Lozano M. Fuzzy adaptive genetic algorithms: design, taxonomy, and future directions // Soft Computing, 2003, v.7, №8, 545-562.
  • Cordon O., Gomide F., Herrera F., Hoffmann F., Magdalena L. Ten years of genetic fuzzy systems: current framework and new trends // Fuzzy Sets and Systems, 2004, v.141, № 1, 5-31.
  • Алгулиев Р.М. Алыгулиев Р.М. Генетический подход к оптимальному назначению заданий в распределенной системе // Искусственный интеллект, 2004, № 4, c. 79-88.
  • Алгулиев Р.М., Алыгулиев Р.М. Быстрый генетический алгоритм решения задачи кластеризации текстовых документов // Искусственный интеллект, 2005, №3, с.698-707.