Формирование концепции мгновенных аудитов информационной безопасности
Ключевые слова:
информационная безопасность (ИБ), система менеджмента информационной безопасности (СМИБ), аудит, менеджмент рисков, угрозы, уязвимости, стандартыАннотация
В данной публикации кратко рассмотрена проблема формирования концепции мгновенных аудитов информационной безопасности (ИБ), направленной, в т.ч. на обеспечение защиты от угроз «нулевого дня» (“zero-day”). Отмечается, что эффективное противодействие угрозам «нулевого дня» относится к типу проактивной защиты, реализующей комплекс активных упреждающих мер ИБ, но не ограниваясь только постоянным внедрением все новых и новых технических средств. Ключевой особенностью концепции мгновенных аудитов ИБ является формирование оценки как предела слева уровня защищенности в процессе выполнения аудитов ИБ. Методической базой концепции мгновенных аудитов является семейство стандартов ISO серии 27001, дополненное множеством (расширяемым) метрик ИБ для формирования количественной оценки уровня защищенности объекта. Полученные результаты могут найти применение при создании моделей и методов обеспечения аудитов ИБ и непрерывного состояния защищенности объектов, находящихся под воздействием угроз нарушения ИБ.
Литература
1. Винер Н. Кибернетика, или управление и связь в животном и машине. 2-е издание // М.: Наука; Главная редакция изданий для зарубежных стран. 1983. 344 с.
2. Р.Л. Кини, Х. Райфа. Принятие решений при многих критериях: Предпочтения и замещения: Пер. с англ./ Под ред. И.Ф. Шехнова // М.: Радио и Связь. 1981. 560 с.
3. Пригожин И., Стенгерс И. Время. Хаос. Квант. К решению парадокса времени // М.: Едиториал УРСС, 2003. 240 с.
4. Перегудов Ф.И., Тарасенко Ф.П. Введение в системный анализ // М.: Высшая школа. 1989. 360 с.
5. Официальный сайт Center for strategic and International Studies. URL: www.csis.org (дата обращения 07.07.2015).
6. Официальный сайт Infosecurity Russia. URL: www.infosecurityrussia.ru (дата обращения 07.07.2015).
7. Официальный сайт Trustwave. URL: www.trustwave.com (дата обращения 07.07.2015).
8. An Osterman Research White Paper «Dealing with Data Breaches and Data Loss Prevention» // Osterman Research, Inc. 2015.
9. Официальный сайт Reuters. URL: www.reuters.com (дата обращения 07.07.2015).
10. Morvay Z., Gvozdenac D. Applied Industrial Energy and Environmental Management // John Wiley & Sons, Chichester, UK, 2008.
11. ISO/IEC 27001:2013. Information technology. Security techniques. Information security management systems // Requirements, International Organization for Standardization. 2013. 23 p.
12. ISO/IEC 27000:2014. Information technology. Security techniques. Information security management systems // Overview and vocabulary, International Organization for Standardization. 2014. 31 p.
13. ISO/IEC 27004:2009. Information technology. Security techniques. Information security management systems // Measurement, International Organization for Standardization. 2009. 55p.
14. ISO/IEC 27005-2011 Information technology. Security techniques. Information security management systems // International Organization for Standardization. 2011. 68 p.
15. ISO 19011:2011. Guidelines for auditing management systems // International Organization for Standardization, 2011. 44 p.
16. ISO/IEC 20000-1:2011. Information technology. Service management. Part 1: Service management system requirements // International Organization for Standardization. 2011. 26p.
17. ISO 22301:2012. Societal security. Business continuity management systems // Requirements, International Organization for Standardization. 2012. 24 p.
18. IATA Reference Manual for Audit Programs // Effective, 5-rd Edition. 2014.
19. Лившиц И.И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и Связь. 2013, Вып. 6. C. 62–67.
20. Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. Вып. 1. С. 22–34.
21. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов – аэропортовых комплексов // Труды СПИИРАН. 2014. Вып. 6. С. 72–94.
22. Официальный сайт Центрального Банка РФ URL: www.cbr.ru (дата обращения 07.07.2015).
23. Шмельова Т.Ф., Сікірда Ю.В., Ассаул О.Ю. Вплив факторiв середовища менеджменту авiапiприемства на безпеку авiацiйноi дiяльностi // Технологический аудит и резервы производства. 2015. Т. 2. № 3 (22). С. 17-24.
24. Нехорошкин Н.И. Проблемы и возможности информационно-аналитического обеспечения аудита проектов и программ // Вестник АКСОР. 2010. Т. 1. № 12. С. 41-45.
25. Голощапов А.Н., Рыжов И.В. Общая характеристика и алгоритм проведения внутреннего аудита системы менеджмента качества организации // Экономика и предпринимательство. 2012. № 5 (28). С. 244-248.
26. Васильков Ю.В., Гущина Л.С. Система менеджмента рисков как инструмент управления экономикой предприятия // Методы менеджмента качества. 2012. № 2. С. 10-15.
27. Ильин В. А., Садовничий В. А., Сендов Бл. Х. Глава 3. Теория пределов. Математический анализ / Под ред. А. Н. Тихонова. — 3-е изд., перераб. и доп. // М.: Проспект, 2006. Т. 1. 672 с.
28. Корн Г., Корн Т. Справочник по математике для научных работников и инженеров // М.: Наука. 1978. 832 с.
2. Р.Л. Кини, Х. Райфа. Принятие решений при многих критериях: Предпочтения и замещения: Пер. с англ./ Под ред. И.Ф. Шехнова // М.: Радио и Связь. 1981. 560 с.
3. Пригожин И., Стенгерс И. Время. Хаос. Квант. К решению парадокса времени // М.: Едиториал УРСС, 2003. 240 с.
4. Перегудов Ф.И., Тарасенко Ф.П. Введение в системный анализ // М.: Высшая школа. 1989. 360 с.
5. Официальный сайт Center for strategic and International Studies. URL: www.csis.org (дата обращения 07.07.2015).
6. Официальный сайт Infosecurity Russia. URL: www.infosecurityrussia.ru (дата обращения 07.07.2015).
7. Официальный сайт Trustwave. URL: www.trustwave.com (дата обращения 07.07.2015).
8. An Osterman Research White Paper «Dealing with Data Breaches and Data Loss Prevention» // Osterman Research, Inc. 2015.
9. Официальный сайт Reuters. URL: www.reuters.com (дата обращения 07.07.2015).
10. Morvay Z., Gvozdenac D. Applied Industrial Energy and Environmental Management // John Wiley & Sons, Chichester, UK, 2008.
11. ISO/IEC 27001:2013. Information technology. Security techniques. Information security management systems // Requirements, International Organization for Standardization. 2013. 23 p.
12. ISO/IEC 27000:2014. Information technology. Security techniques. Information security management systems // Overview and vocabulary, International Organization for Standardization. 2014. 31 p.
13. ISO/IEC 27004:2009. Information technology. Security techniques. Information security management systems // Measurement, International Organization for Standardization. 2009. 55p.
14. ISO/IEC 27005-2011 Information technology. Security techniques. Information security management systems // International Organization for Standardization. 2011. 68 p.
15. ISO 19011:2011. Guidelines for auditing management systems // International Organization for Standardization, 2011. 44 p.
16. ISO/IEC 20000-1:2011. Information technology. Service management. Part 1: Service management system requirements // International Organization for Standardization. 2011. 26p.
17. ISO 22301:2012. Societal security. Business continuity management systems // Requirements, International Organization for Standardization. 2012. 24 p.
18. IATA Reference Manual for Audit Programs // Effective, 5-rd Edition. 2014.
19. Лившиц И.И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и Связь. 2013, Вып. 6. C. 62–67.
20. Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. Вып. 1. С. 22–34.
21. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов – аэропортовых комплексов // Труды СПИИРАН. 2014. Вып. 6. С. 72–94.
22. Официальный сайт Центрального Банка РФ URL: www.cbr.ru (дата обращения 07.07.2015).
23. Шмельова Т.Ф., Сікірда Ю.В., Ассаул О.Ю. Вплив факторiв середовища менеджменту авiапiприемства на безпеку авiацiйноi дiяльностi // Технологический аудит и резервы производства. 2015. Т. 2. № 3 (22). С. 17-24.
24. Нехорошкин Н.И. Проблемы и возможности информационно-аналитического обеспечения аудита проектов и программ // Вестник АКСОР. 2010. Т. 1. № 12. С. 41-45.
25. Голощапов А.Н., Рыжов И.В. Общая характеристика и алгоритм проведения внутреннего аудита системы менеджмента качества организации // Экономика и предпринимательство. 2012. № 5 (28). С. 244-248.
26. Васильков Ю.В., Гущина Л.С. Система менеджмента рисков как инструмент управления экономикой предприятия // Методы менеджмента качества. 2012. № 2. С. 10-15.
27. Ильин В. А., Садовничий В. А., Сендов Бл. Х. Глава 3. Теория пределов. Математический анализ / Под ред. А. Н. Тихонова. — 3-е изд., перераб. и доп. // М.: Проспект, 2006. Т. 1. 672 с.
28. Корн Г., Корн Т. Справочник по математике для научных работников и инженеров // М.: Наука. 1978. 832 с.
Опубликован
2015-11-25
Как цитировать
Лившиц, И. И. (2015). Формирование концепции мгновенных аудитов информационной безопасности. Труды СПИИРАН, 6(43), 253-270. https://doi.org/10.15622/sp.43.14
Раздел
Информационная безопасность
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями:
Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале.
Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале.
Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).
