МІЖНАРОДНО-ПРАВОВЕ РОЗУМІННЯ  ДЕФІНІЦІЙ ТА ВИЗНАЧЕНЬ В ТЕОРІЇ РИЗИКІВ (АНАЛІЗ ТА УПРАВЛІННЯ РИЗИКАМИ) : МІЖДИСЦИПЛІНАРНЕ ДОСЛІДЖЕННЯ

М. Василенко; В. Слатвінська; Т. Шевченко

doi:10.32837/yuv.v0i2.2315

М. Василенко доктор фізико-математичних наук, доктор юридичних наук, професор, професор кафедри кібербезпеки Національного університету «Одеська юридична академія»
В. Слатвінська викладач кафедри кримінального права, процесу та криміналістики Міжнародного гуманітарного університету
Т. Шевченко кандидат юридичних наук, доцент кафедри міжнародних відносин та права Державного університету «Одеська політехніка»

DOI: https://doi.org/10.32837/yuv.v0i2.2315

Ключові слова: міжнародні стандарти, дефініції, теорія ризиків, класифікація, інформаційні ризики, аналіз, управління

Анотація

У роботі приведені результати дослідження на встановлення корегування та відповідності дефініцій з інформаційних ризиків з міжнародними стандартами, а також надано формулювання, визначено та проведено змістово-правову уніфікацію щодо ризиків в цілому та в питаннях їх аналізу та управління. Дефініції відіграють досить суттєву роль в законодавства, а в системі інформаційного права вони мають широке міжнародне використання і закріплені в міжнародних стандартах. В інформаційних ризиках існують суттєві невизначеності. В першу чергу це стосується аналізу та управлінню ризиками. Проаналізовано відомі міжнародні стандарти щодо ризиків, сформульовано дефініції та надано визначення, а саме дефініції таких понять як сам ризик, загроза, вразливість, ризик інформаційної безпеки, залишковий ризик, ідентифікація ризику, аналіз та система управління ризиками, а також все, що пов’язане з їх характеристиками (оцінювання, зменшення, обробка, прийняття, передача тощо), Встановлено критерії ризику і такі показники (властивості) як конфіденційність, цілісність, автентичність, підзвітність, невідмовність та надійність. Подію інформаційної безпеки визначено як ідентифікований стан системи, сервісу або мережі, що свідчить про можливе порушення політики безпеки або відсутність механізмів захисту, або як невідому ситуацію, що може мати відношення до безпеки, а інцидент інформаційної безпеки визначають як одну або серію небажаних (несподіваних) подій інформаційної безпеки, які мають значну ймовірність порушення бізнес-операцій або становлять загрозу для інформаційної безпеки потенційна причина інциденту, який може завдати шкоди системі або організації. В цьому розумінні система управління інформаційною безпекою представляє собою частину загальної системи управління, що ґрунтується на оцінці бізнес ризиків і призначена для створення, впровадження, експлуатації, моніторингу, аналізу, супроводу та вдосконалення інформаційної безпеки. У всіх випадках детінізації надано посилання на чинні міжнародні стандарти щодо ризиків. Зазначено, що сутність будь-якого підходу до управління ризиками полягає в аналізі факторів ризику та прийнятті адекватних рішень з обробки ризиків. Чинники ризику завжди пов'язані з основними параметрами, якими оперують в оцінці ризиків і які були визначені та викладені в статті, що пропонується.