Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов
Приводится анализ известных методов обеспечения информационной безопасности, рассматриваются методы оценивания безопасности как отдельных ИТ-компонент, так и облачных сервисов в целом. Предпринята попытка проанализировать облачные сервисы не с позиции коммерчески успешного и популярного маркетинг...
| Main Author: | |
|---|---|
| Format: | Article |
| Language: | English |
| Published: |
St.Petersburg Institute for Informatics and Automation of the Russian Academy of Sciences
2020-04-01
|
| Series: | Труды СПИИРАН |
| Subjects: | |
| Online Access: | http://proceedings.spiiras.nw.ru/index.php/sp/article/view/4528 |
| id |
doaj-76d121236a7343768245b37d08e12343 |
|---|---|
| record_format |
Article |
| spelling |
doaj-76d121236a7343768245b37d08e123432020-11-25T03:16:25ZengSt.Petersburg Institute for Informatics and Automation of the Russian Academy of SciencesТруды СПИИРАН2078-91812078-95992020-04-0119238341110.15622/sp.2020.19.2.64528Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартовIlya Iosifovich Livshitz0ITMO University (Saint Petersburg National Research University of Information Technologies, Mechanics and Optics)Приводится анализ известных методов обеспечения информационной безопасности, рассматриваются методы оценивания безопасности как отдельных ИТ-компонент, так и облачных сервисов в целом. Предпринята попытка проанализировать облачные сервисы не с позиции коммерчески успешного и популярного маркетингового продукта, а с позиции системного анализа. Введенный ранее порядок оценивания ИТ-компонент нестабилен, поскольку у конечного пользователя нет 100% гарантии доступа ко всем ИТ-компонентам, а тем более к компонентам удаленного и неподконтрольного облачного сервиса. В ряде обзоров отмечается рост усилий по созданию сетевой безопасной архитектуры и по обеспечению непрерывного контроля отклонений от установленных бизнес-целей. В отличие от моделей Zero Trust и Zero Trust eXtended, согласно которым на существующие ИТ-компоненты накладываются дополнительные функции безопасности, предлагается рассматривать совокупность ИТ-компонент как новую сущность – систему обработки информации. Это позволит перейти к формальным процессам оценивания степени соответствия по критериям стандартов как для существующих, так и для перспективных ИТ-компонент при обеспечении безопасности облачных сервисов. Предложен новый метод оценивания на базе ранее разработанной гибридной методики с использованием формальных процедур, основанных на двух системах критериев – оценивании степени соответствия систем менеджмента (на базе ИСО/МЭК серии 27001) и оценивании требований функциональной безопасности (на базе МЭК серии 61508 и ИСО/МЭК серии 15408). Этот метод дает воспроизводимые и объективные оценки рисков безопасности облачных ИТ-компонент, которые могут быть предъявлены для проверки независимой группе оценщиков. Полученные результаты возможно применить для защиты объектов критической информационной инфраструктурыhttp://proceedings.spiiras.nw.ru/index.php/sp/article/view/4528система менеджментарискинформационная технологияинформационная безопасностьаудитстандартэкспертизаоценивание |
| collection |
DOAJ |
| language |
English |
| format |
Article |
| sources |
DOAJ |
| author |
Ilya Iosifovich Livshitz |
| spellingShingle |
Ilya Iosifovich Livshitz Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов Труды СПИИРАН система менеджмента риск информационная технология информационная безопасность аудит стандарт экспертиза оценивание |
| author_facet |
Ilya Iosifovich Livshitz |
| author_sort |
Ilya Iosifovich Livshitz |
| title |
Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов |
| title_short |
Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов |
| title_full |
Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов |
| title_fullStr |
Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов |
| title_full_unstemmed |
Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов |
| title_sort |
метод оценивания безопасности облачных ит-компонент по критериям существующих стандартов |
| publisher |
St.Petersburg Institute for Informatics and Automation of the Russian Academy of Sciences |
| series |
Труды СПИИРАН |
| issn |
2078-9181 2078-9599 |
| publishDate |
2020-04-01 |
| description |
Приводится анализ известных методов обеспечения информационной безопасности, рассматриваются методы оценивания безопасности как отдельных ИТ-компонент, так и облачных сервисов в целом.
Предпринята попытка проанализировать облачные сервисы не с позиции коммерчески успешного и популярного маркетингового продукта, а с позиции системного анализа. Введенный ранее порядок оценивания ИТ-компонент нестабилен, поскольку у конечного пользователя нет 100% гарантии доступа ко всем ИТ-компонентам, а тем более к компонентам удаленного и неподконтрольного облачного сервиса. В ряде обзоров отмечается рост усилий по созданию сетевой безопасной архитектуры и по обеспечению непрерывного контроля отклонений от установленных бизнес-целей. В отличие от моделей Zero Trust и Zero Trust eXtended, согласно которым на существующие ИТ-компоненты накладываются дополнительные функции безопасности, предлагается рассматривать совокупность ИТ-компонент как новую сущность – систему обработки информации. Это позволит перейти к формальным процессам оценивания степени соответствия по критериям стандартов как для существующих, так и для перспективных ИТ-компонент при обеспечении безопасности облачных сервисов.
Предложен новый метод оценивания на базе ранее разработанной гибридной методики с использованием формальных процедур, основанных на двух системах критериев – оценивании степени соответствия систем менеджмента (на базе ИСО/МЭК серии 27001) и оценивании требований функциональной безопасности (на базе МЭК серии 61508 и ИСО/МЭК серии 15408). Этот метод дает воспроизводимые и объективные оценки рисков безопасности облачных ИТ-компонент, которые могут быть предъявлены для проверки независимой группе оценщиков. Полученные результаты возможно применить для защиты объектов критической информационной инфраструктуры |
| topic |
система менеджмента риск информационная технология информационная безопасность аудит стандарт экспертиза оценивание |
| url |
http://proceedings.spiiras.nw.ru/index.php/sp/article/view/4528 |
| work_keys_str_mv |
AT ilyaiosifovichlivshitz metodocenivaniâbezopasnostioblačnyhitkomponentpokriteriâmsuŝestvuûŝihstandartov |
| _version_ |
1724636298703011840 |