ERP-system risk assessment methods and models

Abstract

EN: Context. Because assessing information security risks is a complex and complete uncertainty process, and non-appearance is a major factor influencing the effectiveness of the assessment, is advisable use vague methods and models that are adaptive to non-computed data. The formation of vague assessments of risk factors is subjective, and risk assessment depends on the practical results obtained in the process of processing the risks of threats that have already arisen during the functioning of the organization and experience of information security professionals. Objective. The object of the study are neural models that combine methods of fuzzy logic and artificial neural net-works and systems, that is, human-like style considerations of fuzzy systems with training and simulation of mental phi novena of neural networks. Method. The paper analyzes modern areas of research in the field of information protection in information systems, methods and technologies of information security risk Assessments, use of vague models to solve problems of information security risk assessment, as well as concept and con-struction of ERP systems and analyze problems of their security and vulnerability. Results. Identified factors influencing risk assessment suggest the use of linguistic variables to describe them and use fuzzy variables to assess their qualities, as well as a system of qualitative assessments. The choice of parameters for the development of the structure of a fuzzy product model of risk assessment and the basis of the rules of fuzzy logical conclusion justified. Conclusions. A vague risk assessment model of ERP systems is considered. You have selected a list of factors that affect information security risk. The methods of assessment of risks of information resources and ERP-systems in general, assessment of financial losses from the implementation of threats, determination of the type of risk according to its assessment for the formation of recommendations for their processing in order to maintain the level of protection of the ERP-system are considered. The list of linguistic variable models is considered. The structure of the database of fuzzy product rules – MISO-structure is selected. Fuzzy variable models are considered. UK: Актуальність. Оскільки оцінка ризиків інформаційної безпеки є складним і повним невизначеності процесом, а невизначеності є основним фактором, що впливає на ефективність оцінки, доцільно використовувати нечіткі методи та моделі, що є адаптивними до нечислових даних. Формування нечітких оцінок факторів ризиків носять суб’єктивний характер, а оцінка ризику залежить від практичних результатів, отриманих у процесі обробки ризиків загроз, що вже виникали у процесі функціонування організації та досвіду фахівців з інформаційної безпеки. Мета роботи – дослідження нейронечітких моделей, що комбінують методи нечіткої логіки та штучних нейронних мереж і систем, тобто людиноподібного стилю міркувань нечітких систем з навчанням та моделюванням розумових явищ нейронних мереж. Метод. У роботі оглянуто сучасні напрямки досліджень в сфері захисту інформації в інформаційних системах, методи та технології оцінювання ризиків інформаційної безпеки, використання нечітких моделей для вирішення задач оцінки ризиків інформаційної безпеки, а також концепцію та побудову ERP-систем та проаналізовано проблеми їх безпеки та вразливості. Результати. Визначено фактори, що впливають на оцінку ризиків, запропоновано використання лінгвістичних змінних для їх опису та використання нечітких змінних для оцінки їх якостей, а також системи якісних оцінок. Обґрунтовано вибір параметрів для розробки структури нечіткої продукційної моделі оцінювання ризиків та бази правил нечіткого логічного висновку. Висновки. Розглянуто нечітку модель оцінки ризику ERP-систем. Вибрано список факторів, що впливають на ризик інформаційної безпеки. Розглянуто методи оцінки ризиків інформаційних ресурсів та ERP-систем загалом, оцінки фінансових втрат від реалізації загроз, визначення виду ризику за його оцінкою для формування рекомендацій щодо їх обробки з метою підтримання рівня захисту ЕРП-системи. Розглянутий перелік лінгвістичних змінних моделей. Вибрано структуру бази даних нечітких правил продукту – МІСО-структура. Розглядаються нечіткі змінні моделі.