В данной публикации кратко рассмотрена проблема формирования концепции мгновенных аудитов информационной безопасности (ИБ), направленной, в т.ч. на обеспечение защиты от угроз «нулевого дня» (“zero-day”). Отмечается, что эффективное противодействие угрозам «нулевого дня» относится к типу проактивной защиты, реализующей комплекс активных упреждающих мер ИБ, но не ограниваясь только постоянным внедрением все новых и новых технических средств. Ключевой особенностью концепции мгновенных аудитов ИБ является формирование оценки как предела слева уровня защищенности в процессе выполнения аудитов ИБ. Методической базой концепции мгновенных аудитов является семейство стандартов ISO серии 27001, дополненное множеством (расширяемым) метрик ИБ для формирования количественной оценки уровня защищенности объекта. Полученные результаты могут найти применение при создании моделей и методов обеспечения аудитов ИБ и непрерывного состояния защищенности объектов, находящихся под воздействием угроз нарушения ИБ.
Для сложных промышленных объектов обеспечение комплексной безопасности является крайне важной проблемой и особо актуальной для современных аэропортовых комплексов (АК). Особенностями АК являются учет значительного множества требований: авиационной безопасности (АБ), безопасности персонала, сохранности воздушных судов (ВС), а также инженерной инфраструктуры. Для обеспечения безопасного функционирования АК применяются комплексные системы управления, в состав которых входят системы менеджмента (СМ), соответствующие различным стандартам, в т.ч. международным (ISAGO, ISO, ISO/IEC и пр.). Оценка результативности таких СМ представляет известную проблему. Поставленную задачу представляется целесообразным рассмотреть на основе модели ИСМ, дополненной блоком проведения комплексных аудитов с учетом специфики АБ. В публикации приведены результаты расчетов по представленной модели ИСМ с учетом расширенного состава критериев для АК. По согласованному мнению экспертов, требования «базовых» стандартов ISO значительно уступают по приоритету «профильным» для АК требованиям ISAGO (IATA).
В настоящее время для информационных систем (ИС) наблюдается значительное количество критичных угроз, что обусловлено появлением новых векторов атак, а также недостатками при управлении рисками. Соответственно, представляет определенный интерес изучение проблемы оценки компетенции ИБ при сопровождении ИС на уровне сервис-провайдеров. В предлагаемой работе предложена формулировка «Парадокса ИБ», которые позволяет учесть наиболее значимые (критичные) угрозы ИБ и предложить подход, основанный на использовании современных риск-ориентированных стандартов, прежде всего международных стандартах ISO. Предложенная концепция оценки уровня ИБ сервис-провайдеров ИС для промышленных объектов состоит из 2-х базовых принципов и нескольких расширений, которые позволяют учесть конкретные требования по ИБ с учетом специфики функционирования ИС и предоставляют возможность оценки (качественно или количественно) в рамках плановых проверок (аудитов).
Процесс проектирования, создания и внедрения современных систем менеджмента является, на данном этапе развития общества, объективно, вопросом не технического (технологического) порядка. Очевидно, что реализация проекта без серьезной проработки, точного расчета рисков, оценки необходимых ресурсов (бюджета, персонала, лицензий и пр.) невозможна для современной организации, работающей в жестких конкурентных условиях. Для государственных организаций все вышесказанное усиливается требованиями обеспечения режима национальной безопасности, что подтверждается и требованиями законодательства и практикой выполнения проектов в области ИТ. В предлагаемой работе предложены некоторые подходы для реализации процесса поддержки принятия решения в части выбора модели для развития современной организации на фазе проектирования и оценки приемлемости выбора: по составу систем менеджмента, по применимым стандартам, по необходимости сертификации в функции обеспечения стабильного роста, безопасности бизнес-процессов, защиты ценных активов (в т.ч. нематериальных) на основании статистики сертификации ISO.
Анализ публикаций за последние несколько лет по проблеме проектирования, внедрения и сопровождения систем защиты персональных данных (ПДн) позволяет отметить стабильно высокий интерес к этому актуальному и критичному аспекту обеспечения ИБ. Определенно предлагаемые различными специалистами подходы к синтезу моделей на базе как международных, так и отечественных стандартов свидетельствует о глубокой проработке всех требований по защите ПДн, но в тоже время ставят новые вопросы, эффективное решение которых экспертам еще только предстоит синтезировать и проверить на практике. В предлагаемой работе предложены некоторые подходы для создания модели оценки защищенности ПДн в соответствии с требованиями стандарта ISO/IEC 27001:2005. Учитывая относительную новизну данного стандарта в практическом применении к исследуемой проблеме, предлагаемые подходы могут оказаться полезными при планировании систем защиты ПДн, оценке защищенности уже созданных ИСПДн, а также, в частности, для решения практических задач — аудитов ИБ в организациях.
1 - 5 из 5 результатов