Conceptual architecture description model of information security management system

Authors

  • Володимир Володимирович Мохор Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова Національної академії наук України
  • Василь Васильович Цуркан НТУУ «Київський політехнічний інститут імені Ігоря Сікорського»
  • Ярослав Юрійович Дорогий НТУУ «Київський політехнічний інститут імені Ігоря Сікорського»

DOI:

https://doi.org/10.18372/2225-5036.25.14461

Keywords:

information security, information security management system, architecture, architecture description, architecture view, architecture model, conceptual model

Abstract

The basic concepts and properties of the information security management system architecture are considered in view of the influence of the organization. This takes into account the impact of the organization on the specified system and correspondences between them. Therefore, architecture is represented by a set of elements, relationships between elements that have the necessary system properties. In addition, the focus is on defining the architecture of the each elements purpose and the correspondences between them to achieve the expected result of the information security management system. This result is interpreted as ensuring the confidentiality, integrity and availability of information based on the risk assessment results. The conceptual model for describing the architecture of the information security management system is based on ISO / IEC 42010 guidelines. This approach is important for understanding the practice of describing them. At the same time, this is consistent and allows one to interpret the information security management system as a human-created system. It may consist of hardware and software, data, people, processes, procedures, equipment. Therefore, the conceptual model for describing the architecture of an information security management system is reflected by such elements as architecture and architecture description; stakeholders and interests; presentation of architecture and perspective; models of architecture; elements and correspondences; justification of architecture. This approach allows one to isolate the elements of the information security management system, determine their purpose, and establish a relationship between them.

Author Biographies

Володимир Володимирович Мохор, Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова Національної академії наук України

директор

Василь Васильович Цуркан, НТУУ «Київський політехнічний інститут імені Ігоря Сікорського»

доцент кафедри кібербезпеки і застосування інформаційних систем і технологій

Ярослав Юрійович Дорогий, НТУУ «Київський політехнічний інститут імені Ігоря Сікорського»

доцент кафедри автоматики i управлiння в технiчних системах

References

ISO/IEC 42010:2011. Systems and software engineering. Architecture description. [First edition 2011-12-01]. Geneva, 2011, 46 p.

ДСТУ ISO/IEC 27001:2015. Інформаційні технології. Методи захисту. Звід практик щодо захо-дів інформаційної безпеки (ISO/IEC 27001:2013; Cor 1:2014, IDТ). [Чинний від 2015-12-18]. Київ, 2016, 22 с.

Э. Халл, К. Джексон, Дж. Дик, Инженерия требований, пер. с анг. А. Снастина; под ред. В. Ба-товрина. М.: ДМК Пресс, 2017, 218 с.

ДСТУ ISO/IEC 27002:2015. Інформаційні технології. Методи захисту. Звід правил (ISO/IEC 27002:2013; Cor 1:2014, IDТ). [Чинний від 2015-12-18]. Київ, 2016, 72 с.

ДСТУ ISO/IEC 27005:2015. Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки (ISO/IEC 27005:2011, IDТ). [Чинний від 2017-01-01]. Київ, 2016, 68 с.

ISO 31000:2018. Risk management. Guide-lines. [Effective from 2018-02-15]. Geneva, 2018, 16 p.

ДСТУ IEC/ISO 31010:2013. Керування ризиком. Методи загального оцінювання ризику (IEC/ISO 31010:2009, IDТ). [Чинний від 2014-07-01]. Київ, 2015, 80 с.

SP 800-12 Rev. 1:2017. An Introduction to Information Security [Online]. Available: https://csrc.nist. gov/publications/detail/sp/800-12/rev-1/final. Accessed on: June. 15, 2019.

FIPS 200:2006. Minimum Security Require-ments for Federal Information and Information Systems [Online]. Available: https://csrc.nist.gov/publi-cations/detail/fips/200/final. Accessed on: June 15, 2019.

BSI-Standard 200-1:2017. Management-systeme für Informationssicherheit [Online]. Verfügbar: https:// www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200_1.html. Zugriff am: Juni 15, 2019.

BSI-Standard 200-2:2017. IT-Grundschutz-Methodik [Online]. Verfügbar: https://www.bsi.bund.de/ SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200_2.html. Zugriff am: Juni 15, 2019.

В. Мохор, В. Цуркан, О. Бакалинський, "Архітектура системи управління інформаційною безпекою", Безпека інформації в інформаційно-телекомунікаційних системах : матеріали ХX Ювілейної Міжнародної науково-практичної конференції. Київ : НДЦ “ТЕЗІС” КПІ ім. Ігоря Сікорського, С. 38, 2018.

М. Комаров, С. Гончар, А. Ониськова, "Нормативний аспект побудови та впровадження системи управління інформаційною безпекою на об’єктах критичної інфраструктури", Моделювання та інформаційні технології, Вип. 82, С. 40-48, 2018.

М. Комаров, С. Гончар, "Методика побу-дови системи управління інформаційною безпекою на об’єктах критичної інфраструктури", Моделювання та інформаційні технології, Вип. 81, С. 12-19, 2017.

В. Мохор, О. Бакалинський, О. Богданов, В. Цуркан, "Дескриптивний аналіз аналогій між сис-темами управління інформаційною безпекою та ма-сового обслуговування", Захист інформації, Том 2, № 2, С. 119-126, 2017. DOI: 10.18372/2410-7840.19.11435.

Т. Зырянова, "Методы оценки и прогно-зирования рисков в информационных системах", Интеграция образовательной, научной и воспитатель-ной деятельности в организациях общего и профессио-нального образования: материалы IХ Международной научно-практической конференции (Екатеренбург, 26 апреля 2017 года), С. 58-68, 2017.

А. Корниенко, А. Глухов, "Модели и ме-тоды риск-ориентированного проактивного управле-ния информационной безопасностью железнодорож-ной транспортной системы", Бюллетень ОУС ОАО «РЖД», № 3, С. 42–54, 2018.

Б. Ахметов, А. Корченко, А. Архипов, С. Казмирчук, Построение систем анализа и оценива-ния рисков информационной безопасности. Теория и практические решения. Монография. В 2-кн. Кн.1, Ак-тау: редакционно-издательский отдел КГУТИ им. Ш. Есенова, 2018, 387 с.

В. Горицький, A. Мокій, "Дослідження методів обробки ризиків в системі управління інфор-маційною безпекою", Перспективи телекомунікацій: збірник матеріалів Міжнародної науково-технічної кон-ференції (Київ, 16-20 квітня 2018 року), С. 1-3, 2018.

А. Серова, "Анализ теоретических основ и программных средств аудита системы управления информационной безопасностью", Социально-экономические и естественно-научные парадигмы совре-менности: сборник трудов конференции (Ростов-на-Дону, 30 марта 2018 года), С. 829-837, 2018.

В. Бойправ, В. Ковалев, Л. Утин, "Про-граммное средство для проведения аудита системы защиты информации организации", Доклады БГУИР, No. 5 (115), С. 44-49, 2018.

О. Юдін, "Сучасні практики впрова-дження системи аудиту інформаційної безпеки на об'єктах критичної інфраструктури", Наукоємні тех-нології, №1 (41), С. 36-43, 2019. DOI: 10.18372/2310-5461.41.13527.

В. Воеводин, "Концептуальная модель объекта аудита информационной безопасности", Comp. Nanotechnol, Вып. 3, С. 92-95, 2019. DOI: 10.33693/2313-223X-2019-6-3-92-95.

Published

2019-12-27

Issue

Section

Information Security Management