Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов

Илья Иосифович Лившиц

doi:10.15622/sp.2020.19.2.6

Илья Иосифович Лившиц Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики (НИУ ИТМО)

DOI:

https://doi.org/10.15622/sp.2020.19.2.6

Ключевые слова:

система менеджмента, риск, информационная технология, информационная безопасность, аудит, стандарт, экспертиза, оценивание

Аннотация

Приводится анализ известных методов обеспечения информационной безопасности, рассматриваются методы оценивания безопасности как отдельных ИТ-компонент, так и облачных сервисов в целом.

Предпринята попытка проанализировать облачные сервисы не с позиции коммерчески успешного и популярного маркетингового продукта, а с позиции системного анализа. Введенный ранее порядок оценивания ИТ-компонент нестабилен, поскольку у конечного пользователя нет 100% гарантии доступа ко всем ИТ-компонентам, а тем более к компонентам удаленного и неподконтрольного облачного сервиса. В ряде обзоров отмечается рост усилий по созданию сетевой безопасной архитектуры и по обеспечению непрерывного контроля отклонений от установленных бизнес-целей. В отличие от моделей Zero Trust и Zero Trust eXtended, согласно которым на существующие ИТ-компоненты накладываются дополнительные функции безопасности, предлагается рассматривать совокупность ИТ-компонент как новую сущность – систему обработки информации. Это позволит перейти к формальным процессам оценивания степени соответствия по критериям стандартов как для существующих, так и для перспективных ИТ-компонент при обеспечении безопасности облачных сервисов.

Предложен новый метод оценивания на базе ранее разработанной гибридной методики с использованием формальных процедур, основанных на двух системах критериев – оценивании степени соответствия систем менеджмента (на базе ИСО/МЭК серии 27001) и оценивании требований функциональной безопасности (на базе МЭК серии 61508 и ИСО/МЭК серии 15408). Этот метод дает воспроизводимые и объективные оценки рисков безопасности облачных ИТ-компонент, которые могут быть предъявлены для проверки независимой группе оценщиков. Полученные результаты возможно применить для защиты объектов критической информационной инфраструктуры

Литература

1. Лившиц И.И., Неклюдов А.В. Применение гибридной методики при оценке безопасности информационных технологий для сложных промышленных объектов // Менеджмент качества. 2018. № 1. С. 48–61.
2. Six Pillars of DevSecOps. URL: https://cloudsecurityalliance.org/artifacts/cloud-security-complexity (дата обращения: 10.03.2020).
3. The 2019 Study on the Cyber Resilient Organization // Ponemon Institute. 2019. URL: https://www.techrepublic.com/resource-library/whitepapers/2019-ponemon-institute-study-on-the-cyber-resilient-organization/ (дата обращения: 10.03.2020).
4. Malladi A., Potluri S. A study on technologies in Cloud-based design and manufacturing // International Journal of Mechanical and Production Engineering Research and Development. 2018. vol. 8. no. 6. pp. 187–192.
5. Souri A., Navimipour N.J., Rahmani A.M. Formal verification approaches and standards in the Cloud computing: A comprehensive and systematic review // Computer Standards & Interfaces. 2018. vol. 58. pp. 1–22.
6. Bologa R., Lupu A.R., Boja C., Georgescu T.M. Sustaining employability: A process for introducing Cloud computing, big data, social networks, mobile programming and cybersecurity into academic curricula // Sustainability. 2017. vol. 9. no. 12. pp. 2235.
7. Barrett M.P. Framework for Improving Critical Infrastructure Cybersecurity // National Institute of Standards and Technology Gaithersburg. 2018.
8. Moore T., Dynes S., Chang F.R. Identifying How Firms Manage Cybersecurity Investment // Workshop on the Economics of Information Security (WEIS). 2016. pp. 1–27.
9. McIntosh S., Kamei Y., Adams B., Hassan A.E. The Impact of Code Review Coverage and Code Review Participation on Software Quality: A Case Study of the Qt, VTK, and ITK Projects // Proceedings of International Working Conference on Mining Software Repositories (MSR 2014). 2014. pp. 192–201.
10. Лившиц И.И., Неклюдов А.В. Гибридная методика оценки безопасности информационных технологий // Автоматизация в промышленности. 2017. № 7. С. 36–41.
11. Лившиц И.И., Неклюдов А.В. Гибридная методика безопасности информационных технологий для критически важных объектов энергетики // Энергобезопасность и энергосбережение. 2017. № 4. С. 5–11.
12. Jeong C.Y., Lee S.Y.T., Lim J.H. Information Security Breaches and IT Security Investments: Impacts on Competitors // Information & Management. 2019. vol. 56. no. 5. pp. 681–695.
13. Oltsik J. Cybersecurity Snippets. URL: https://www.csoonline.com/article/3406475/must-have-features-in-a-modern-network-security-architecture.html (дата обращения: 10.03.2020).
14. Tan D.P. et al. An Embedded Cloud Database service Method for distributed industry monitoring // IEEE Transactions on Industrial Informatics. 2018. vol. 14. no. 7. pp. 2881–2893.
15. Akbaripour H., Houshmand M., van Woensel T., Mutlu N. Cloud manufacturing service selection optimization and scheduling with transportation consideration: mixed-integer programming model // The International Journal of Advanced Manufacturing Technology. 2018. vol. 95. no. 1-4. pp. 43–70.
16. Kobayashi N., Kume S., Lenz K., Masuya H. Riken metadatabase: A database platform for health care and life sciences as a microcosm of linked open data cloud // International Journal on Semantic Web and Information Systems. 2018. vol. 14. no. 1. pp. 140–164.
17. Kumar M.M., Nandakumar A.N. Exploring multilateral Cloud computing security architectural design debt in terms of technical debt // Smart Innovation, Systems and Technologies. 2018. vol. 78. pp. 567–579.
18. Jun Z. A security architecture for Cloud computing alliance // Recent Advances in Electrical and Electronic Engineering. 2017. vol. 10. no. 3. pp. 195–201.
19. Using standards to mitigate risks. URL: https://www.dhs.gov/sites/default/files/publications/2018_AEP_Artificial_Intelligence.pdf (дата обращения: 10.03.2020).
20. Жукова К. Хакеры открыли базы. URL: https://www.kommersant.ru/doc/3939724?from=four_tech (дата обращения: 10.03.2020).
21. Обзор: Рынок ИТ-услуг. URL: http://www.cnews.ru/reviews/rynok_ituslug_2018/articles/vse_kak_servis_rynok_ituslug_rastet_ne_tolko_v_dengah (дата обращения 10.03.2020).
22. Rise of Legitimate Services for Backdoor Command and Control. URL: https://www.anomali.com/resources/anomali-labs-reports/rise-of-legitimate-services-for-backdoor-command-and-control (дата обращения: 10.03.2020).
23. Threats are rising. URL: cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html (дата обращения: 10.03.2020).
24. Исследование утечек конфиденциальной информации через незащищенные облачные хранилища. URL: https://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Report_open_servers_2016_2018.pdf?rel=1 (дата обращения: 10.03.2020).
25. Crowley C. Common and Best Practices for Security Operations Centers Survey. URL: https://www.sans.org/media/vendor/Common-and-Best-Practices-for-Security-Operations-Centers.pdf (дата обращения: 10.03.2020).
26. Bangui H. et al. Multi-criteria decision analysis methods in the mobile Cloud offloading paradigm // Journal of Sensor and Actuator Networks. 2017. vol. 6. no. 4. pp. 25.
27. The State of Threat Detection Report 2019. URL: https://www.fidelissecurity.com/resource/report/threat-detection-2019 (дата обращения: 10.03.2020).
28. Отсутствие автоматизации остается главной проблемой для безопасников. URL: https://www.securitylab.ru/news/500340.php (дата обращения: 10.03.2020).
29. Strategic planning guides for leaders across the enterprise. URL: https://www.gartner.com/en/insights/strategic-planning, (дата обращения: 03.03.2020).
30. Forrester оценила поставщиков решений для реализации стратегии ZTX. URL: https://www.securitylab.ru/news/496550.php (дата обращения: 03.03.2020).
31. Zero Trust redefines security in a perimeter-less world. URL: https://www.mobileiron.com/en/solutions/zero-trust (дата обращения: 03.03.2020).
32. Hudic A., Smith P., Weippl E.R. Security assurance assessment methodology for hybrid Cloud // Computers & Security. 2017. vol. 70. pp. 723–743.
33. Yin C. et al. Code: An Erasure Code algorithm for big data storage system // Journal of University of Science and Technology of China. 2016. vol. 46. no. 3. pp. 188–199.
34. Goyal T. et al. Big data handling over Cloud for internet of things // International Journal of Information Technology and Web Engineering. 2018. vol. 13. no. 2. pp. 37–47.
35. The Forrester Wave™: Zero Trust eXtended (ZTX) Ecosystem Providers, Q4 2018. URL: https://reprints.forrester.com/?fbclid=IwAR3iPICwQnteW1BF7VgoISlz0P2d5nVB11aoQsrEqYbHu4R2USf6wrFUG7w#/assets/2/219/RES141666/reports (дата обращения: 03.03.2020).
36. 5 Key Findings from Forbes Insights’ 2019 Cybersecurity Survey. URL: https://www.vmware.com/radius/forbes-insights-cybersecurity-strategy-report (дата обращения: 03.03.2020).
37. ГОСТ Р ИСО/МЭК 15408-1 – 2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель // М.: ФАТРиМ. 2012.
38. ГОСТ Р ИСО/МЭК 15408-2 – 2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности // М.: ФАТРиМ. 2013.
39. ГОСТ Р ИСО/МЭК 15408-3 – 2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности // М.: ФАТРиМ. 2013.
40. Лившиц И.И. Проектирование, создание и внедрение комплексных систем обеспечения информационной безопасности на базе ISO/IEC 27001:2005 // Электросвязь. 2010. № 4. С. 49–51.
41. Лившиц И.И., Лившиц Н.В. Подходы к синтезу моделей систем менеджмента информационной безопасности при оценке утечек конфиденциальных данных // Лизинг. 2013. № 3. С. 70–80.
42. State of Application Security: Balancing Speed and Risk. URL: https://www.sans.org/reading-room/whitepapers/analyst/2017-state-application-security-balancing-speed-risk-38100 (дата обращения: 10.03.2020).
43. ГОСТ Р МЭК 61508-1—2012 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования». 2012.
44. ГОСТ Р МЭК 61508-2—2012 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам». 2012.
45. ГОСТ Р МЭК 61508-3—2018 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению». 2018.
46. Schweizerische S.N.V. Information technology-Security techniques-Information security management systems-Requirements //ISO/IEC International Standards Organization. 2013.
47. ISO/IEC 27005-2018 Information technology — Security techniques — Information security risk management, International Organization for Standardization. 2011. 68 p.
48. Лившиц И. Система менеджмента информационной безопасности по международным стандартам // Управление качеством. 2011. № 9. С. 6–11.
49. Представлена система оценки вероятности использования уязвимостей в реальных атаках. URL: https://www.securitylab.ru/news/500398.php (дата обращения: 10.03.2020).
50. Только 5,5% уязвимостей используются в реальных атаках. URL: https://www.securitylab.ru/news/499359.php (дата обращения: 10.03.2020).
51. Improving Vulnerability Remediation Through Better Exploit Prediction. URL: https://weis2019.econinfosec.org/wp-content/uploads/sites/6/2019/05/WEIS_2019_paper_53.pdf (дата обращения: 10.03.2020).
52. Artificial Intelligence: Potential Benefits and Ethical Considerations. URL: http://www.europarl.europa.eu/RegData/etudes/BRIE/2016/571380/IPOL_BRI(2016)571380_EN.pdf (дата обращения: 10.03.2020).

Просмотры	1751
Скачивания	1137

Информационная безопасность

Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов

DOI:

Ключевые слова:

Аннотация

Литература

Опубликован

Статистика

Как цитировать

Выпуск

Раздел

Импакт-фактор

Разделы

Мы в сети

Обратная связь