Применение гибридной методики при оценке безопасности информационных технологий для сложных промышленных объектов
Лившиц И.И., Неклюдов А.В.

Аннотация

В предлагаемой статье рассмотрена проблема оценки безопасности информационных технологий для сложных промышленных объектов. Авторы описывают применение современных риск-ориентированных стандартов ISO/IEC серий 27001 и 15408, а также стандартов функциональной безопасности IEC серий 61508 и 61511, приводят практические примеры использования созданной ими гибридной методики оценки информационных технологий для сложных промышленных объектов.

Содержание

1
Введение

3
Описание гибридной методики оценки
Рис. 1. Графическое представление пространства комбинаций экспертиз

4
Рис. 2. Взаимосвязь основных понятий ISO/IEC серий 15408 и 27001
Описание применения гибридной методики оценки

6
Рис. 3. Пример модели СОИ реального объекта оценки (СлПО)

7
Таблица 1. Перечень типичных угроз (фрагмент)

8
Таблица 2. Определение меры риска и ранжирование применимых УБИ (фрагмент)
Пример использования гибридной методики для оценки реального СлПО

9
Таблица 3. Соответствие требованиям ISO/IEC 27001 (фрагмент)

10
Таблица 4. Расчет априорных рисков СлПО по гибридной
Таблица 5. Расчет априорных рисков СлПО по требованиям Приказа ФСТЭК №31

11
Таблица 6. Результаты сравнения априорных рисков на различной методической основе

12
Обеспечение независимой оценки безопасности it
Заключение

13
Источники

Ключевые слова: информационные технологии, информационная безопасность, стандарт, система менеджмента информационной безопасности, экспертиза, оценка, гибридная методика
Журнал: «Менеджмент качества» — №1, 2018 (© Издательский дом Гребенников)
Объем в страницах: 14.
Кол-во знаков: около 23,933.

1. Соколов Б.В., Юсупов Р.М. Неокибернетика в современной структуре системных знаний / / Робототехника и техническая кибернетика. — 2014. — №3. — С. 3–11.

2. Юсупов Р.М., Шишкин В.М. О некоторых противоречиях в решении проблем информационной безопасности // Труды СПИИРАН. — 2008. — №6. — С. 39–59.

3. Böhme R., Koble S. (2007). On the Viability of Privacy-Enhancing Technologies in a Self-Regulated Business-to-Consumer Market: Will Privacy Re-main a Luxury Good? — Подробнее .

4. Jaquith А. (2007). Security Metrics: Replacing Fear, Uncertainty, and Doubt. Boston: Addison-Wesley.

5. Ни байта назад. Владимир Путин обсудил с ответственными лицами кибербезопасность. — Подробнее .

6. Схема DDoS-атак на уровне приложений и архитектур микрослужб. — Подробнее .

7. Лившиц И.И. Методика оптимизации программы аудита интегрированных систем менеджмента // Труды СПИИРАН. — 2016. — №5. — С. 52–68.

8. Livshitz I.I., Yurkin D.V., Minyaev A.A. (2017). «Formation of the instantaneous information security audit concept». Distributed Computer and Communication Networks, Vol. 678, pp. 314–324.

9. Publications. — Подробнее .

10. Административные регламенты, утвержденные ФСТЭК России. — Подробнее .

11. ISO/IEC AWI 15408-1. Information Technology — Security Techniques — Evaluation Criteria for IT Security — Part 1: Introduction and General Mo-del. — Подробнее .

12. ISO/IEC AWI 15408-2. Information Technology — Security Techniques — Evaluation Criteria for IT Security — Part 2: Security Functional Compo-nents. — Подробнее .

13. ISO/IEC AWI 15408-3. Information Technology — Security Techniques — Evaluation Criteria for IT Security — Part 3: Security Assurance Compo-nents. — Подробнее .

14. ISO/IEC 27001:2013. Information Technology — Security Techniques — Information Security Management Systems — Requirements. — Подробнее .

15. ISO/IEC 27005:2011. Information Technology — Security Techniques — Information Security Risk Management. — Подробнее .

16. IEC 61508-1. Functional Safety of Electrical / Electronic / Programmable Electronic Safety-Related Systems — Part 1: General Requirements. — Подробнее .

17. IEC 61511-1. Functional Safety — Safety Instrumented Systems for the Process Industry Sector — Part 1: Framework, Definitions, System, Hardware and Software Requirements. — Подробнее .

18. Приказ ФСТЭК России №31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» от 14 марта 2014 г. — Подробнее .

19. Лившиц И.И. Методика комплексных аудитов промышленных объектов для эффективного внедрения энергоменеджмента // Энергобезопасность и энергосбережение. — 2015. — №3. — С. 10–15.

20. Лившиц И.И. Оценка систем менеджмента информационной безопасности // Менеджмент качества. — 2013. — №1. — С. 22–34.

21. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов — аэропортовых комплексов // Труды СПИИРАН. — 2014. — №6. — С. 72–94.

22. Лившиц И.И. Формирование концепции мгновенных аудитов информационной безопасности // Труды СПИИРАН. — 2015. — №6. — С. 253–270.

23. Приказ №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18 февраля 2013 г. — Подробнее .

24. СТО Газпром 200 9. — Подробнее .

25. СТО Газпром 2010. — Подробнее .

26. СТО Газпром 4.2-3-003-2009 «Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисков». — Подробнее .

27. Оценка соответствия объектов защиты: стандарт организации СТО «Газпром» 4.2-5-001-2009. — Подробнее .

28. Federal Information Security Modernization Act of 2014. — Подробнее .

Лившиц Илья Иосифович

Лившиц Илья Иосифович
к. т. н.

Ведущий инженер ООО «Газинформсервис».

г. Санкт-Петербург

Другие статьи автора 11

Неклюдов Андрей Валерьевич

Неклюдов Андрей Валерьевич

Независимый эксперт.

г. Санкт-Петербург