IT rizikos valdymo metodo patobulinimas taikant matematinio modelio analitinį metodą ir rezultatų segmentavimo sprendimus

Abstract

Techninių rizikų vertinimui skiriama mažai dėmesio ir nėra objektyvių rizikos vertinimo aprašymų. Kadangi jos nereikalauja labai aukšto matematinio tikslumo, o svarbus yra rizikos egzistavimo faktas ir esamo fakto mastas, reikalingas analitinis metodas, kuris akivaizdžiai parodytų IT rizikos rezultatus. Darbo tikslas. Informacinių technologijų rizikos vertinimo metodikų tyrimas ir analizė, metodikų tobulinimas, siekiant greitai ir tiksliai nustatyti IT rizikos reikšmę. Darbo uždaviniai: 1. Nustatyti tinkamas kibernetinių grėsmių rizikos vertinimo metodikas, įvertinti kibernetinės saugos situaciją Europos Sąjungoje ir Lietuvoje. 2. Nustatyti kibernetinių grėsmių ir pažeidžiamumų kategorijas. 3. Apžvelgti ir palyginti esamas IT rizikos vertinimo metodikas, atliekant SSGG analizę. 4. Sukurti ir pritaikyti IT rizikos vertinimo metodą, atlikti organizacijos IT rizikos vertinimą, remiantis gautais rezultatais atlikti sukurto metodo analizę, pateikti sistemų tobulinimo rekomendacijas bei išvadas. Tyrimo objektas. IT rizikos valdymo metodai. Tyrimo metodai. Tyrimą sudaro CRAM, OCTAVE, CORAS rizikų valdymo metodų stiprybių\silpnybių, galimybių\grėsmių analizė, nustatomi metodikų trūkumai. Parenkamas alternatyvus metodas, kuriam yra siūlomi patobulinimo sprendimai. Patobulintas metodas praktiškai pritaikomas organizacijoje. Atliekama gautų rezultatų analizė. Darbo aktualumas. Darbo metu yra sukuriamas IT techninių rizikų valdymo metodas, kurio pagalba yra objektyviai nustatomos organizacijos rizikos, o rezultatai išreiškiami keturių segmentų skalėje (žemas, vidutinis, aukštas, labai aukštas rizikos lygis). Darbo struktūra. Mokslinį darbą sudaro 4 dalys. Darbo rezultatai. Patobulintas ir praktiškai pritaikytas matematinio modelio analitinis metodas. Nustatytos ir įvertintos organizacijos rizikos, atlikta rizikos jautrumo analizė. Išvardinti siūlomo metodo privalumai ir trūkumai, pateiktos rekomendacijos ir išvados.

Little attention is paid to technical risk assessment and there are no objective risk assessment descriptions. It doesn’t require very high mathematical accuracy, but the importance of the existence of the risk and the extent of the existing fact are significant that is why an analytical method is needed to clearly demonstrate the results of IT risk. The aim. Study and analyze the methodologies of the information technology risk assessment and to develop them. Tasks: 1. To evaluate the cyber security situation in the EU and LT in order to identify appropriate risk assessment methodologies for cyber threats. 2. Distinguish categories of cyber threats and vulnerabilities. 3. Review and compare existing IT risk assessment methodologies performing SWOT analysis. 4. Develop and apply the IT risk assessment method; carry out the organization's IT risk assessment based on the results obtained. Thus, to analyze the developed method and to provide recommendations with necessary conclusions for system development. Object. IT risk management methods. Research methods. The SWOT analysis of the risk management methods of CRAM, OCTAVE, CORAS and the potential threats of these methodologies. An alternative method is chosen for which improvement solutions are proposed. The Improved method is practically applicable in the organization. The results analysis is done. Relevance. During the research the IT technical risk management method was created which is used to objectively determine the risks of an organization and the results are expressed on a four-segment scale (low, medium, high, very high risk level). Structure. The master thesis consists of 4 parts. Results. An improved and practically applied mathematical model analytical method has been developed. The risk of the organization has been identified and assessed, and risk sensitivity analysis has been performed. The advantages and disadvantages of the proposed method, recommendations and conclusions has been enumerated.