Концептуальна модель описання архітектури системи управління інформаційною безпекою
DOI:
https://doi.org/10.18372/2225-5036.25.14461Ключові слова:
інформаційна безпека, система управління інформаційною безпекою, архітектура, описання архітектури, представлення архітектури, модель архітектури, концептуальна модельАнотація
Розглянуто основні поняття і властивості архітектури системи управління інформаційною безпекою з огляду на вплив з боку організації. При цьому враховано здійснення впливів організацією на означену систему з урахуванням співвідношень між ними. Тому архітектуру представлено набором елементів, відношень між елементами, яким притаманні необхідні системні властивості. Крім цього акцентовано увагу на визначенні описанням архітектури призначеності кожного з елементів та співвідношень між ними для досягнення системою управління інформаційною безпекою очікуваного результату. Цей результат тлумачено як забезпечення збереженості конфіденційності, цілісності та доступності інформації за результатами оцінювання ризиків. За основу концептуальної моделі описання архітектури системи управління інформаційною безпекою взято настанови ISO/IEC 42010. Моделлю відображаються основні поняття стосовно означеної системи та її архітектур. Такий підхід важливий для розуміння практики їх описання. Водночас це узгоджується і дозволяє тлумачити систему управління інформаційною безпекою як систему, що створена людиною. Вона може складатися з апаратних і програмних засобів, даних, людей, процесів, процедур, обладнання. Тому концептуальну модель описання архітектури системи управління інформаційною безпекою відображено такими елементами як архітектура та описання архітектури; зацікавлені сторони та інтереси; представлення архітектури та точки зору; моделі архітектури; елементи та співвідношення; обґрунтування архітектури. Такий підхід дозволяє як виокремити елементи системи управління інформаційною безпекою, визначити їх призначеність, так і встановити співвідношення між ними.
Посилання
ISO/IEC 42010:2011. Systems and software engineering. Architecture description. [First edition 2011-12-01]. Geneva, 2011, 46 p.
ДСТУ ISO/IEC 27001:2015. Інформаційні технології. Методи захисту. Звід практик щодо захо-дів інформаційної безпеки (ISO/IEC 27001:2013; Cor 1:2014, IDТ). [Чинний від 2015-12-18]. Київ, 2016, 22 с.
Э. Халл, К. Джексон, Дж. Дик, Инженерия требований, пер. с анг. А. Снастина; под ред. В. Ба-товрина. М.: ДМК Пресс, 2017, 218 с.
ДСТУ ISO/IEC 27002:2015. Інформаційні технології. Методи захисту. Звід правил (ISO/IEC 27002:2013; Cor 1:2014, IDТ). [Чинний від 2015-12-18]. Київ, 2016, 72 с.
ДСТУ ISO/IEC 27005:2015. Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки (ISO/IEC 27005:2011, IDТ). [Чинний від 2017-01-01]. Київ, 2016, 68 с.
ISO 31000:2018. Risk management. Guide-lines. [Effective from 2018-02-15]. Geneva, 2018, 16 p.
ДСТУ IEC/ISO 31010:2013. Керування ризиком. Методи загального оцінювання ризику (IEC/ISO 31010:2009, IDТ). [Чинний від 2014-07-01]. Київ, 2015, 80 с.
SP 800-12 Rev. 1:2017. An Introduction to Information Security [Online]. Available: https://csrc.nist. gov/publications/detail/sp/800-12/rev-1/final. Accessed on: June. 15, 2019.
FIPS 200:2006. Minimum Security Require-ments for Federal Information and Information Systems [Online]. Available: https://csrc.nist.gov/publi-cations/detail/fips/200/final. Accessed on: June 15, 2019.
BSI-Standard 200-1:2017. Management-systeme für Informationssicherheit [Online]. Verfügbar: https:// www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200_1.html. Zugriff am: Juni 15, 2019.
BSI-Standard 200-2:2017. IT-Grundschutz-Methodik [Online]. Verfügbar: https://www.bsi.bund.de/ SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200_2.html. Zugriff am: Juni 15, 2019.
В. Мохор, В. Цуркан, О. Бакалинський, "Архітектура системи управління інформаційною безпекою", Безпека інформації в інформаційно-телекомунікаційних системах : матеріали ХX Ювілейної Міжнародної науково-практичної конференції. Київ : НДЦ “ТЕЗІС” КПІ ім. Ігоря Сікорського, С. 38, 2018.
М. Комаров, С. Гончар, А. Ониськова, "Нормативний аспект побудови та впровадження системи управління інформаційною безпекою на об’єктах критичної інфраструктури", Моделювання та інформаційні технології, Вип. 82, С. 40-48, 2018.
М. Комаров, С. Гончар, "Методика побу-дови системи управління інформаційною безпекою на об’єктах критичної інфраструктури", Моделювання та інформаційні технології, Вип. 81, С. 12-19, 2017.
В. Мохор, О. Бакалинський, О. Богданов, В. Цуркан, "Дескриптивний аналіз аналогій між сис-темами управління інформаційною безпекою та ма-сового обслуговування", Захист інформації, Том 2, № 2, С. 119-126, 2017. DOI: 10.18372/2410-7840.19.11435.
Т. Зырянова, "Методы оценки и прогно-зирования рисков в информационных системах", Интеграция образовательной, научной и воспитатель-ной деятельности в организациях общего и профессио-нального образования: материалы IХ Международной научно-практической конференции (Екатеренбург, 26 апреля 2017 года), С. 58-68, 2017.
А. Корниенко, А. Глухов, "Модели и ме-тоды риск-ориентированного проактивного управле-ния информационной безопасностью железнодорож-ной транспортной системы", Бюллетень ОУС ОАО «РЖД», № 3, С. 42–54, 2018.
Б. Ахметов, А. Корченко, А. Архипов, С. Казмирчук, Построение систем анализа и оценива-ния рисков информационной безопасности. Теория и практические решения. Монография. В 2-кн. Кн.1, Ак-тау: редакционно-издательский отдел КГУТИ им. Ш. Есенова, 2018, 387 с.
В. Горицький, A. Мокій, "Дослідження методів обробки ризиків в системі управління інфор-маційною безпекою", Перспективи телекомунікацій: збірник матеріалів Міжнародної науково-технічної кон-ференції (Київ, 16-20 квітня 2018 року), С. 1-3, 2018.
А. Серова, "Анализ теоретических основ и программных средств аудита системы управления информационной безопасностью", Социально-экономические и естественно-научные парадигмы совре-менности: сборник трудов конференции (Ростов-на-Дону, 30 марта 2018 года), С. 829-837, 2018.
В. Бойправ, В. Ковалев, Л. Утин, "Про-граммное средство для проведения аудита системы защиты информации организации", Доклады БГУИР, No. 5 (115), С. 44-49, 2018.
О. Юдін, "Сучасні практики впрова-дження системи аудиту інформаційної безпеки на об'єктах критичної інфраструктури", Наукоємні тех-нології, №1 (41), С. 36-43, 2019. DOI: 10.18372/2310-5461.41.13527.
В. Воеводин, "Концептуальная модель объекта аудита информационной безопасности", Comp. Nanotechnol, Вып. 3, С. 92-95, 2019. DOI: 10.33693/2313-223X-2019-6-3-92-95.
