Risk assessment modeling of ERP-systems

Abstract

EN: Context. Because assessing security risks is a complex and complete uncertainty process, and uncertainties are a major factor influencing valuation performance, it is advisable to use fuzzy methods and models that are adaptive to noncomputed data. The formation of vague assessments of risk factors is subjective, and risk assessment depends on the practical results obtained in the process of processing the risks of threats that have already arisen during the functioning of the organization and experience of security professionals. Therefore, it will be advisable to use models that can ade-quately assess fuzzy factors and have the ability to adjust their impact on risk assessment. The greatest performance indicators for solving such problems are neuro-fuzzy models that combine methods of fuzzy logic and artificial neural networks and systems, i.e. “human-like” style of considerations of fuzzy systems with training and simulation of mental phenomena of neural networks. To build a model for calculating the risk assessment of security, it is proposed to use a fuzzy product model. Fuzzy product models (Rule-Based Fuzzy Models/Systems) this is a common type of fuzzy models used to describe, analyze and simulate complex systems and processes that are poorly formalized. Objective. Development of a fuzzy model of quality of security risk assessment and protection of ERP systems through the use of fuzzy neural models. Method. To build a model for calculating the risk assessment of security, it is proposed to use a fuzzy product model. Fuzzy product models are a common kind of fuzzy models used to describe, analyze and model complex systems and processes that are poorly formalized. Results. Identified factors influencing risk assessment suggest the use of linguistic variables to describe them and use fuzzy variables to assess their qualities, as well as a system of qualitative assessments. The choice of parameters was substantiated and a fuzzy product model of risk assessment and a database of rules of fuzzy logical conclusion using the MATLAB application package and the Fuzzy Logic Toolbox extension package was implemented, as well as improved by introducing the adaptability of the model to experimental data by introducing neuro-fuzzy components into the model. The use of fuzzy models to solve the problems of security risk assessment, as well as the concept and construction of ERP systems and the analyzed problems of their security and vulnerabilities are considered. Conclusions. A fuzzy model has been developed risk assessment of the ERP system. Selected a list of factors affecting the risk of security. Methods of risk assessment of information resources and ERP-systems in general, assessment of financial losses from the implementation of threats, determination of the type of risk according to its assessment for the formation of recommendations on their processing in order to maintain the level of protection of the ERP-system are proposed. The list of linguistic variables of the model is defined. The structure of the database of fuzzy product rules – MISO-structure is chosen. The structure of the fuzzy model was built. Fuzzy variable models have been identified. UK: Актуальність. Оскільки оцінка ризиків безпеки є складним і повним процесом невизначеності, а невизначеність є основним фактором, що впливає на ефективність оцінки, доцільно використовувати нечіткі методи та моделі, які є адаптивними до необчислюваних даних. Формування розпливчастих оцінок факторів ризику є су-б’єктивним, а оцінка ризиків залежить від практичних результатів, отриманих у процесі обробки ризиків загроз, які вже виникли під час функціонування організації та досвіду фахівців з безпеки. Тому доцільним буде використання моделей, що здатні адекватно оцінювати нечіткі фактори та мають можливість корегування їх впливу на оцінку ризику. Найбільші показники ефективності для вирішення таких задач мають нейро-нечіткі моделі, що комбінують методи нечіткої логіки та штучних нейронних мереж і систем, тобто «людиноподібного» стилю міркувань нечітких систем з навчанням та моделюванням розумових явищ нейронних мереж. Для побудови мо-делі розрахунку оцінки ризику безпеки пропонується використовувати нечітку продукційну модель. Нечіткі продукційні моделі (нечіткі моделі/системи на основі правил) це поширений тип нечітких моделей, які використовуються для опису, аналізу та моделювання складних систем і процесів, що слабо формалізуються. Мета роботи – розробка нечіткої моделі оцінки ризиків безпеки та захисту систем ERP шляхом використання нечітких нейронних моделей. Метод. Для побудови моделі розрахунку оцінки ризику безпеки пропонується використовувати нечітку про-дукційну модель. Нечіткі продукційні моделі це загальний вид нечітких моделей, які використовуються для опису, аналізу та моделювання складних систем і процесів, що слабо формалізуються. Результати. Визначено фактори, що впливають на оцінку ризиків, запропоновано використання лінгвістичних змінних для їх опису та використання нечітких змінних для оцінки їх якостей, а також системи якісних оцінок. Обґрунтовано вибір параметрів та реалізовано нечітку продукційну модель оцінювання ризиків та бази правил нечіткого логічного висновку з використанням пакету прикладних програм MATLAB та пакету розширення Fuzzy Logic Toolbox, а також покращено за рахунок введення адаптивності моделі до експериментальних даних шляхом впровадження в модель нейро-нечітких компонентів. Розглянуто використання нечітких моделей для вирішення задач оцінки ризиків безпеки, а також концепцію та побудову ERP-систем та проаналізовано проблеми їх безпеки та вразливості. Висновки. Розроблено нечітку модель оцінки ризиків ERP-системи. Обрано перелік факторів, що впливають на ризик безпеки. Запропоновано методи оцінки ризику інформаційних ресурсів та ERP-систем взагалі, оцінки фінансових збитків від реалізації загроз, визначення типу ризику за його оцінкою для формування рекомендацій відносно їх обробки з метою підтримки рівня захищеності ERP-системи. Визначено перелік лінгвістичних змінних моделі. Обрано структуру бази нечітких продукційних правил – MISO-структуру. Побудовано структуру нечіткої моделі. Визначено нечіткі змінні моделі.