Концепция оценки уровня информационной безопасности сервис- провайдеров информационных систем для промышленных объектов
Ключевые слова:
информационная система (ИС), информационная безопасность (ИБ), стандарт, сервис, система менеджмента информационной безопасности (СМИБ), статистика, корреляцияАннотация
В настоящее время для информационных систем (ИС) наблюдается значительное количество критичных угроз, что обусловлено появлением новых векторов атак, а также недостатками при управлении рисками. Соответственно, представляет определенный интерес изучение проблемы оценки компетенции ИБ при сопровождении ИС на уровне сервис-провайдеров. В предлагаемой работе предложена формулировка «Парадокса ИБ», которые позволяет учесть наиболее значимые (критичные) угрозы ИБ и предложить подход, основанный на использовании современных риск-ориентированных стандартов, прежде всего международных стандартах ISO. Предложенная концепция оценки уровня ИБ сервис-провайдеров ИС для промышленных объектов состоит из 2-х базовых принципов и нескольких расширений, которые позволяют учесть конкретные требования по ИБ с учетом специфики функционирования ИС и предоставляют возможность оценки (качественно или количественно) в рамках плановых проверок (аудитов).
Литература
2. Крупнейшие ИТ-компании России 2012. URL: http://www.cnews.ru/reviews/new/rynok_it_itogi_2012/review_table/1d5d1838fd010e16936649555e52b4dd1655219b/ (дата обращения: 07.07.2014).
3. Крупнейшие ИТ-компании России 2011. URL: http://www.cnews.ru/reviews/free/2011/rating/rating1.shtml/ (дата обращения: 07.07.2014).
4. Стандарты ИТ-сервисов в России: готовность провайдеров. URL: http://www.cnews.ru/reviews/new/2013/articles/standarty_itservisov_v_rossii_gotovnost_provajderov/ (дата обращения: 07.07.2014).
5. Подходы к стандартизации ИТ-сервиса в России 2014. URL: http://www.cnews.ru/reviews/free/table/table1.htm (дата обращения 07.07.2014).
6. Федеральный закон от 05.05.2014 № 112-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и отдельные законодательные акты Российской Федерации».
7. «Oracle и Microsoft могут прекратить поддержку попавших под санкции банков». URL: www.rbc.ru (дата обращения: 07.07.2014).
8. Лившиц И. Применение моделей СМИБ для оценки защищенности интегрированных систем менеджмента // Труды СПИИРАН. 2013. Вып. 8(31). С. 147–163.
9. Лившиц И. Подходы к решению проблемы учета потерь в интегрированных системах менеджмента // Информатизация и Связь. 2013. Вып. 1. С. 55–60.
10. Лившиц И.И., Молдовян А.А., Танатарова А.Т. Исследование зависимости сертификации по международным стандартам ISO от типов организации для ведущих отраслей промышленности // Труды СПИИРАН. 2014. Вып. 3(34). С. 160–178.
11. Лившиц И. Методическое обеспечение процесса оценки банковских продуктов в соответствии с требованиями современных стандартов ISO // Деньги и Кредит. 2014. Вып. 6. С. 75–77.
