Метод синтезування структури систем управління інформаційною безпекою
DOI:
https://doi.org/10.18372/2225-5036.26.14966Ключові слова:
блок, властивість, відношення, структурний елемент, структура, система управління інформаційною без-пекою, діаграма структури, SysMLАнотація
Розглянуто потреби, очікування та пов’язані з ними обмеження зацікавлених сторін як вхідні дані для специфікування вимог до систем управління інформаційною безпекою. Вони доповнюються встановленням внутрішніх і зовнішніх обставин, що впливають або можуть впливати на діяльність організацій. За специфікацією вимог визначається множина взаємопов’язаних функцій з внутрішніми та зовнішніми інтерфейсами. Кожна з них розкладається відповідно до структурних елементів систем управління інформаційною безпекою на функції підсистем, комплексів, компонентів. При цьому показується недостатність визначення структурних елементів і властивих їм функцій. Це обмежується необхідністю з’ясування сутності систем управління інформаційною безпекою з огляду на потреби, мету, процеси, структуру організацій. Тому вони розглядаються як сукупність підсистем, комплексів, компонентів, так і відношень між ними. Загалом цією сукупністю утворюється структура систем управління інформаційною безпекою. Для її представлення використовуються діаграми в графічній нотації SysML. За нею структурні елементи відображаються блоками як модульними одиницями. Тому системи управління інформаційною безпекою представляються деревом модульних одиниць. Характерні для них ознаки визначаються властивостями. Серед властивостей виокремлюються спеціальні класи – порти та обмеження. Їхнє використання дозволяє акцентувати на обмеженнях і особливостях взаємодії блоків між собою. Тоді як особливості такої взаємодії враховуються типами відношень. Тож методом синтезування структури систем управління інформаційною безпекою визначаються її структурні елементи (підсистеми, комплекси, компоненти) та відношення між ними. Завдяки цьому можливе встановлення властивостей даних систем стосовно конкретних варіантів розроблення і демонстрування вірогідних напрямів досягнення поставленої мети. Зокрема, збереження конфіденційності, цілісності та доступності інформації в організаціях шляхом оцінювання ризиків. Цим гарантується досягненість системами управління інформаційною безпекою запланованих результатів впровадження. Насамперед надання впевненості зацікавленим сторонам належного управління ризиками з прийнятним рівнем.
Посилання
ISO/IEC 27001:2013, Information technology. Security techniques. Information security management sys-tems. Requirements. [Electronic resource]. URL: https:// www.iso.org/standard/54534.html.
ISO/IEC/IEEE 24748-4:2016. Systems and software engineering. Life cycle management. Part 4: Systems engineering planning. [Electronic resource]. URL: https:// www.iso.org/standard/56887.html.
В. Мохор, В. Цуркан, "Структурні еле-менти системи управління інформаційною безпе-кою", Проблеми кібербезпеки інформаційно-телекомунікаційних систем: збірник матеріалів доповідей та тез міжнар. наук.-практ. конф., м. Київ, 12 черв. 2020 р., С. 332–334, 2020.
И. Прангишвили, Системный подход и общесистемные закономерности. Серия “Системы и проблемы управления”, Москва : СИНТЕГ, 2000, 528 с.
А. Антонов, Системный анализ, Москва: Высшая школа, 2004, 454 с.
K. Beckers, M. Heisel, B. Solhaug, K. Stolen, "ISMS-CORAS : A Structured Method for Establishing an ISO 27001 Compliant Information Security Man-agement System", Engineering Secure Future Internet Services and Systems: Lecture Notes in Computer Science, vol. 8431, Springer, Cham, pp. 315–344, 2014. DOI: 10.1007/978-3-319-07452-8_13.
A. Suhaimi, D. Bao, H. Chen, J. Cheng, "Usefulness of ISMEE for Supporting Organizations with ISMSs", Computer Science and its Applications : Lec-ture Notes in Electrical Engineering, vol. 330, Springer, Berlin, Heidelberg, pp. 1331-1336, 2015. DOI: 10.1007/978-3-662-45402-2_185.
A. Aginsa, I. Edward Matheus, W. Shalannanda, "Enhanced information security man-agement system framework design using ISO 27001 and Zachman framework – A study case of XYZ company", Wireless and Telematics (ICWT) : 2nd International Confer-ence, Yogyakarta, 1–2 Aug. 2016, Yogyakarta, pp. 62–66, 2016. DOI: 10.1109/ ICWT. 2016. 7870853.
В. Сиротюк, "Модели, методы и средства разработки и внедрения эффективной системы управления информационной безопасностью па-тентного ведомства", Науковедение, Т. 9, № 6, С. 1-19, 2017.
D. Proença, J. Borbinha, "Information Secu-rity Management Systems – A Maturity Model Based on ISO/IEC 27001", Business Information Systems. BIS 2018 : Lecture Notes in Business Information Processing, vol. 320, Springer, Cham, pp. 102-114, 2018. DOI: 10.1007/978-3-319-93931-5_8.
S. Mortazavi, F. Safi-Esfahani, A checklist based evaluation framework to measure risk of infor-mation security management systems", International Journal of Information Technology, Vol. 11, Iss. 3, pp. 517-534, 2019. DOI: 10.1007/s41870-019-00302-0.
В. Селифанов, Р. Мещеряков, "Методика формирования допустимых вариантов организаци-онного состава и структуры автоматизированной системы управления информационной безопасно-стью", Моделирование, оптимизация информационные технологии, Том 8, вып. 1, С. 1-13, 2020. DOI: 10.26102/2310-6018/2020.28.1.001.
ISO/IEC 27005:2018, Information technology. Security techniques. Information security risk management. [Electronic resource]. URL: https://www.iso.org/ru/standard/75281.html.
В. Цуркан, "Метод функціонального аналізування систем управління інформаційною безпекою", Кібербезпека: освіта, наука, техніка, Том 4, № 8, С. 192-201, 2020. DOI: 10.28925/2663-4023.2020.8.192201.
OMG Systems Modeling Language (OMG SysML™). [Electronic resource]. URL: https://sysml.org/ res/docs/specs/OMGSysML-v1.6-19-11-01.pdf.
A. Moore, R. Steiner, A Practical Guide to SysML. The Systems Modeling Language, Waltham: Else-vier, 2015, 640 p.
Model based systems engineering with Sparx Systems Enterprise Architect. [Electronic resource]. URL: https:// sparxsystems.com/resources/user-guides/.
А. Леоненков, Самоучитель UML 2, Санкт-Петербург : БХВ-Петербург, 2007, 576 с.
Unified Modeling Language® (OMG UML®). [Electronic resource]. URL: https://www.omg.org/spec/ UML/2.5.1/PDF.
ISO Guide 73:2009. Risk management. Vocabu-lary. [Electronic resource]. URL: https://www.iso.org/ standard/44651.html.
