№1, 2011

ABOUT ONE METHOD FOR INFORMATION SECURITY THREAT RANKING

Yadigar N. Imamverdiyev, Sadegh A. Derakhshandeh

A fuzzy TOPSIS method for information security threat ranking is proposed. The ratings of threats by subjective criteria and the weight of all criteria are assessed in linguistic terms represented by triangle fuzzy numbers. The values of objective criteria are converted into dimensionless indices to ensure compatibility between the values of objective criteria and the linguistic ratings of subjective criteria. A closeness coefficient is defined to determine the ranking order of threats by calculating the distances to both the ideal and negative-ideal solutions. A numerical example demonstrates the computational process of the proposed method. (p. 46-56)

Keywords: information security, information security risk, threat, vulnerability, fuzzy TOPSIS, threat ranking.
References
  • İmamverdiyev Y.N., Derakshandeh S.Ə. İnformasiya təhlükəsizliyi risklərinin optimal idarə edilməsi modeli və onun genetik həll alqoritmi/ İnformasiya texnologiyaları problemləri, 2010, №2, s. 36–46.
  • Алгулиев P.M., Имамвердиев Я. Н., Деракшанде С.А. Сравнительный анализ методологий управления рисками информационной безопасности // Azərbaycan Milli Aerokosmik Agentliyinin Xəbərləri, 2010, №2-3, s. 77–85.
  • Hwang C.L., and Yoon K.S. Multiple attribute decision making: methods and applications. New York: Springer, 1981.
  • Abdullah L., and Zamri N. Ranking of the factors associated with road accidents using correlation analysis and fuzzy TOPSIS / Australian Journal of Basic and Applied Sciences, 2010, v.4, no.2, pp.314–320.
  • Chen C.T., Lin C.T., and Huang S.F. A fuzzy approach for supplier evaluation and selection in supply chain management / International Journal of Production Economics, 2006, v.102, no.2, pp. 289–301.
  • Chu T.-C., and Lin Y.-C. A Fuzzy TOPSIS method for robot selection / Int. Journal of Advanced Manufacturing Technology, 2003, v.21, no. 4, pp. 284–290.
  • Chui Y.C., and Chan S.P. Fuzzy cash flow analysis using present worth criterion / Engineering Economist, v.39, no.2, pp. 113-138.
  • Wanga Y.-J., and Lee H.-S. Generalizing TOPSIS for fuzzy multiple-criteria group decision-making / Computers and Mathematics with Applications, 2007, v.53, no.11, pp.1762–1772.
  • Саати Т. Л. Принятие решений. Метод анализа иерархий. – М.: Радио и связь, 1993. – 320 с.
  • Подиновский В.В., Подиновская О.В. О некорректности метода анализа иерархий // Проблемы управления, 2011, № 1, с. 8–13.
  • Вихорев С.В., Кобцев Р.Ю. Как узнать – откуда напасть или откуда исходит угроза безопасности информации // Защита информации. Конфидент, 2002, № 2, с. 44–49.
  • Swiderski F., and Snyder W. Threat modeling. Redmond, WA: Microsoft Press, 2004.
  • Stoneburner G., Goguen A., Feringa A. NIST Special Publication 800-30: Risk management guide for information technology systems. Recommendations of the National Institute of Standards and Technology, 2002.
  • OWASP risk rating methodology. https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
  • Имамвердиев Я.Н., Деракшанде С.А., Сервис - ориентированная эталонная модель для управления рисками информационной безопасности // Информационные технологии, 2011, №3, с. 35–40.
  • Алгулиев P.M., Имамвердиев Я.Н., Деракшанде С.А. Пути повышения точности методов оценки рисков информационной безопасности // Информационные технологии, 2010, №12, с. 6–11.
  • Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. Пер. с англ., М.: Мир, 1976, 165 с.
  • Bojadziev G., Bojadziev M. Fuzzy logic for business, finance, and management (Advances in Fuzzy Systems: Applications and Theory, v.23), 2nd Edition, World Scientific Publishing Company, 2007, 232 p.
  • Hsu H.M., Chen C.T., Fuzzy credibility relation method for multiple criteria decision-making problems / Information Sciences, 1997, v.96, no. 1-2, pp.79–91.