Аннотация: В работе рассмотрен человеческий фактор с точки зрения угрозы влияния на проблемы информационной безопасности. Проведенный обзор экспертной оценки угроз безопасности за разные годы показал, что рост влияния человеческого фактора всё время возрастает. В статье отдельным множеством выделены угрозы безопасности наиболее подверженные влиянию человеческого фактора, которые занимают лидирующие позиции в общих статистиках. Приведен метод расчета влияния человеческого фактора на основные характеристики угроз информационной безопасности: вероятность и критичность. Исследование строилось на работе с вероятностью возникновения и критичностью не связанных между собой угроз информационной безопасности с присутствием человеческого фактора. В работе проведен обзор экспертной оценки угроз информационной безопасности, который заключался в выделении наиболее вероятных и критичных угроз информационной безопасности с присутствием человеческого фактора. Приведенный метод расчета влияния человеческого фактора на угрозы информационной безопасности помогает понять насколько критично воздействие человеческого фактора, явно выделить его влияние и проследить уровень его воздействия, что в большинстве современных методик оценки угроз отсутствует ввиду рассмотрения угрозы информационной безопасности в целом, без учета того или иного фактора.

Abstract: The human factor is considered in the work from the point of view of threat of influence on information security problems. A review of the expert assessment of security threats over different years showed that the growing influence of the human factor is increasing all the time. The article outlines a number of security threats that are most affected by the human factor, which occupy leading positions in general statistics. The method of calculating the influence of the human factor on the main characteristics of information security threats is given: probability and criticality. The study was based on work with the probability of occurrence and criticality of unrelated threats to information security with the presence of the human factor. The paper reviews the expert assessment of information security threats, which consisted in identifying the most likely and critical threats to information security with the presence of a human factor. The above method of calculating the impact of the human factor on information security threats helps to understand how critical the impact of the human factor is, to clearly distinguish its influence and to trace the level of its impact, which is absent in most modern threat assessment methods due to the consideration of information security threats in general, without taking into account one or another factor .

Аннотация: Большинство современных методик оценки и управления рисками используют значение остаточного риска как числовой показатель, характеризующий риск угрозы после применения всех контрмер, при этом не уделяют ему должного внимания. В работе изображен алгоритм позволяющий представить остаточный риск угрозы информационной безопасности в виде математической модели, что в свою очередь дает возможность более подробно проанализировать рассматриваемый параметр и саму модель, коэффициенты в которой показывают на сколько сильно входные параметры влияют на итоговый результат. Алгоритм получения математической модели остаточного риска строился на базе полного факторного эксперимента, с учетом особенностей рассматриваемого параметра. Данное представление позволит анализировать значение остаточного риска не только как некоторого числового показателя, но и как математическую модель, что в дальнейшем может помочь методикам оценки и управления рисками гораздо шире использовать остаточный риск для улучшения качества системы защиты информации на предприятии.

Abstract: The majority of modern risk evaluation and management methods imply the concept of residual risk as a figure describing the risk of a threat after all countermeasures have been implemented, however, researchers do not pay enough attention thereto. In this research the authors offer their algorithm allowing to represent the residual risk of information security threats in a form of a mathematical model which in its turn creates opportunities for a more detailed analysis of a parameter under review and the model itself. Coefficients of this model demonstrate the impact of input parameters on the final result. The algorithm of the residual risk mathematical model is based on a complete factorial experiment taking into account peculiarities of a parameter under review. This approach allows to analyze the role of residual risk not only as a figure but also mathematical model which can help to better imply residual risk when implementing risk evaluation and management methods in order to improve an information protection system at an enterprise.