A graph-based risk assessment and prediction in IT systems

In this paper we propose a graph-based model for the description of a risk analysis process and a risk calculation in IT systems. Our model based on a graph (Graph Risk model in short) is compliant with international standards and recommendations. The graph model for risk assessment includes the best practices in IT Governance. Based on the proposed model there is possible to describe the structure of the security system, its components and relations, and then to make risk calculations for each embedded component of the evaluated system. Moreover, it allows to compare results obtained using different risk analysis method in the context of compliance with standards and recommendations. A simple example given at the end of this paper illustrates how to apply the proposed model to describe the security system and calculate its final risk values.

---

W artykule zaproponowano oparty na teorii grafów model opisu procesu analizy i oceny ryzyka w systemach informatycznych. Model ten (w skrócie model grafu ryzyk) jest zgodny z międzynarodowymi standardami i zaleceniami. Model grafowy do szacowania ryzyka budowany jest w oparciu o dobre praktyki z zakresu zarządzania IT. W oparciu o zaproponowany model możliwe jest opisanie struktury systemu bezpieczeństwa, jego komponentów i ich relacji, a następnie oszacowanie ryzyka każdego komponentu ocenianego systemu. Ponadto, proponowany model pozwala na porównanie wyników z innymi wynikami uzyskanymi za pomocą metody analizy ryzyka „FoMRA” w kontekście zgodności z normami i zaleceniami. Na końcu niniejszego artykułu podany jest przykład pokazujący, jak zastosować proponowany model do opisania systemu bezpieczeństwa SI i obliczyć jego wagę ryzyka.

---

Opracowanie ze środków MNiSW w ramach umowy 812/P-DUN/2016 na działalność upowszechniającą naukę (zadania 2017).