Электронная библиотека
Применение гибридной методики при оценке безопасности информационных технологий для сложных промышленных объектов
Лившиц И.И., Неклюдов А.В.
|
|
||
1 |
Введение | |
3 |
Описание гибридной методики оценкиРис. 1. Графическое представление пространства комбинаций экспертиз | |
4 |
Рис. 2. Взаимосвязь основных понятий ISO/IEC серий 15408 и 27001Описание применения гибридной методики оценки | |
6 |
Рис. 3. Пример модели СОИ реального объекта оценки (СлПО) | |
7 |
Таблица 1. Перечень типичных угроз (фрагмент) | |
8 |
Таблица 2. Определение меры риска и ранжирование применимых УБИ (фрагмент)Пример использования гибридной методики для оценки реального СлПО | |
9 |
Таблица 3. Соответствие требованиям ISO/IEC 27001 (фрагмент) | |
10 |
Таблица 4. Расчет априорных рисков СлПО по гибриднойТаблица 5. Расчет априорных рисков СлПО по требованиям Приказа ФСТЭК №31 | |
11 |
Таблица 6. Результаты сравнения априорных рисков на различной методической основе | |
12 |
Обеспечение независимой оценки безопасности itЗаключение | |
13 |
Источники |
1. Соколов Б.В., Юсупов Р.М. Неокибернетика в современной структуре системных знаний / / Робототехника и техническая кибернетика. — 2014. — №3. — С. 3–11.
2. Юсупов Р.М., Шишкин В.М. О некоторых противоречиях в решении проблем информационной безопасности // Труды СПИИРАН. — 2008. — №6. — С. 39–59.
3. Böhme R., Koble S. (2007). On the Viability of Privacy-Enhancing Technologies in a Self-Regulated Business-to-Consumer Market: Will Privacy Re-main a Luxury Good? — Подробнее .
4. Jaquith А. (2007). Security Metrics: Replacing Fear, Uncertainty, and Doubt. Boston: Addison-Wesley.
5. Ни байта назад. Владимир Путин обсудил с ответственными лицами кибербезопасность. — Подробнее .
6. Схема DDoS-атак на уровне приложений и архитектур микрослужб. — Подробнее .
7. Лившиц И.И. Методика оптимизации программы аудита интегрированных систем менеджмента // Труды СПИИРАН. — 2016. — №5. — С. 52–68.
8. Livshitz I.I., Yurkin D.V., Minyaev A.A. (2017). «Formation of the instantaneous information security audit concept». Distributed Computer and Communication Networks, Vol. 678, pp. 314–324.
9. Publications. — Подробнее .
10. Административные регламенты, утвержденные ФСТЭК России. — Подробнее .
11. ISO/IEC AWI 15408-1. Information Technology — Security Techniques — Evaluation Criteria for IT Security — Part 1: Introduction and General Mo-del. — Подробнее .
12. ISO/IEC AWI 15408-2. Information Technology — Security Techniques — Evaluation Criteria for IT Security — Part 2: Security Functional Compo-nents. — Подробнее .
13. ISO/IEC AWI 15408-3. Information Technology — Security Techniques — Evaluation Criteria for IT Security — Part 3: Security Assurance Compo-nents. — Подробнее .
14. ISO/IEC 27001:2013. Information Technology — Security Techniques — Information Security Management Systems — Requirements. — Подробнее .
15. ISO/IEC 27005:2011. Information Technology — Security Techniques — Information Security Risk Management. — Подробнее .
16. IEC 61508-1. Functional Safety of Electrical / Electronic / Programmable Electronic Safety-Related Systems — Part 1: General Requirements. — Подробнее .
17. IEC 61511-1. Functional Safety — Safety Instrumented Systems for the Process Industry Sector — Part 1: Framework, Definitions, System, Hardware and Software Requirements. — Подробнее .
18. Приказ ФСТЭК России №31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» от 14 марта 2014 г. — Подробнее .
19. Лившиц И.И. Методика комплексных аудитов промышленных объектов для эффективного внедрения энергоменеджмента // Энергобезопасность и энергосбережение. — 2015. — №3. — С. 10–15.
20. Лившиц И.И. Оценка систем менеджмента информационной безопасности // Менеджмент качества. — 2013. — №1. — С. 22–34.
21. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов — аэропортовых комплексов // Труды СПИИРАН. — 2014. — №6. — С. 72–94.
22. Лившиц И.И. Формирование концепции мгновенных аудитов информационной безопасности // Труды СПИИРАН. — 2015. — №6. — С. 253–270.
23. Приказ №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18 февраля 2013 г. — Подробнее .
24. СТО Газпром 200 9. — Подробнее .
25. СТО Газпром 2010. — Подробнее .
26. СТО Газпром 4.2-3-003-2009 «Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисков». — Подробнее .
27. Оценка соответствия объектов защиты: стандарт организации СТО «Газпром» 4.2-5-001-2009. — Подробнее .
28. Federal Information Security Modernization Act of 2014. — Подробнее .
Лившиц Илья Иосифовичд. т. н.
профессор
Профессор практики Университета ИТМО. г. Санкт-Петербург
Неклюдов Андрей Валерьевич
Независимый эксперт. г. Санкт-Петербург