Главная  Журналы  Национальные интересы: приоритеты и безопасность  44(281) - 2014 ноябрь

Методика количественной оценки риска в информационной безопасности облачной инфраструктуры организации

Доступна онлайн: 29.11.2014

Рубрика: Угрозы и безопасность

Страницы: 30-41

Практически все технологии, входящие сегодня в состав "облачной" парадигмы, существовали и раньше, однако до настоящего времени на рынке не было предложений, которые бы объединяли основные перспективные технологии в едином коммерчески привлекательном решении. И только в последнее десятилетие появились общедоступные облачные сервисы, благодаря которым эти технологии стали, с одной стороны, доступны разработчику, а с другой - понятны для бизнес-сообщества. Однако многие из функций, которые делают привлекательными облачные вычисления, могут вступать в противоречие с традиционными моделями обеспечения информационной безопасности. В связи с тем, что облачные вычисления несут с собой новые вызовы в области информационной безопасности, для организации крайне важно контролировать процесс управления информационными рисками в облачной среде. В настоящей работе на основе общей системы оценки уязвимостей, позволяющей определить качественный показатель подверженности уязвимостям информационных систем с учетом факторов окружающей среды, представлена методика оценки рисков для различных типов развертывания облачных сред. Управление информационными рисками, определение применимости облачных сервисов для организации невозможно без понимания контекста, в котором работает организация, и последствий от возможных видов угроз, с которыми она может столкнуться в результате своей деятельности. В статье предложен подход к оценке рисков, используемый при выборе наиболее приемлемого варианта конфигурации среды облачных вычислений с точки зрения требований безопасности. Применение методики по оценке рисков для различных типов развертывания облачных сред позволит выявить коэффициент противодействия возможным атакам и соотнести величину ущерба с совокупной стоимостью всей ИТ-инфраструктуры организации. Предложенный подход к анализу и управлению рисками позволяет провести оценку защищенности облачной среды, функционирующей в условиях воздействия различного класса угроз, а также эффективности комплекса мер и средств противодействия указанным угрозам. На основе полученной оценки появляется возможность найти оптимальный вариант конфигурации среды облачных вычислений.

Ключевые слова: облачные вычисления, угрозы информационной безопасности, анализ информационных рисков, методы управления информационной безопасностью, требования информационной безопасности

Список литературы:

1. Астахов А. Особенности обеспечения безопасности виртуальных сред. URL: Link.
2. Васильев В. Безопасность облачных сред. URL: Link.
3. Вдовин И. COBIT 4.1. М.: Аудит и контроль информационных систем, 2008. 240 c.
4. Вернер О. «Облака», виртуальная инфраструктура и безопасность информации. URL: Link.
5. Власов А. Обзор средств защиты в виртуальных средах // Jet Info. 2012. № 3.
6. Защита «облаков». URL: Link.
7. Как обеспечить безопасность в облачных хранилищах. URL: Link.
8. Проблемы безопасности облачных сред. URL: Link.
9. Радин П.К., Зубарев И.В. Основные угрозы безопасности информации в виртуальных средах и облачных платформах // Вопросы кибербезопасности. 2014. № 2 (3).
10. Самойленко А. Защита облачных инфраструктур сервис-провайдеров с помощью vGate R2. URL: Link.
11. Сидорова М. Противоречивые «облака». URL: Link.
12. Угрозы облачных вычислений и методы их защиты. URL: Link.
13. Уинклер В. Облачные вычисления: вопросы безопасности в виртуальных облаках. URL: Link.
14. Царегородцев А.В. Анализ рисков безопасности данных в корпоративных сетях кредитно-финансовых организаций на основе облачных вычислений // Национальные интересы: приоритеты и безопасность. 2013. № 39. С. 35–44.
15. Царегородцев А.В., Качко А.К. Обеспечение информационной безопасности на облачной архитектуре организации // Национальная безопасность. 2011. № 5. С. 25–34.
16. Царегородцев А.В., Качко А.К. Один из подходов к управлению информационной безопасностью при разработке информационной инфраструктуры организации // Национальная безопасность. 2012. № 1. С. 46–59.
17. Accorsi R., Wonnemann C. Auditing Workflow Execution against Dataflow Policies. In Proc. BIS. 2010. P. 207–217.
18. Bell D.E., LaPadula L.J. Secure Computer System: Unified Exposition and Multics Interpretation. Tech report ESD-TR-75-306. Mitre Corp. Bedford, Ma, 1976.
19. Bishop M. Computer Security: art and science. Addison Wesley Publ., 2002. 1084 p.
20. Mell P., Grance T. The NIST Definition of Cloud Computing, Version 15, September, 2011. URL: Link.
21. NVD Common Vulnerability Scoring System Support. Vol. 2. URL: Link.
22. Trope R.L., Power E.M., Polley V.I., Morley B.C. A Coherent Strategy for Data Security through Data Governance // IEEE Security & Privacy. 2007. Vol. 5. № 3. Р. 32–39.

Посмотреть другие статьи номера »