Царегородцев А.В., Ермошкин Г.Н. —
Модель оценки рисков информационной безопасности информационных систем на основе облачных вычислений
// Национальная безопасность / nota bene. – 2013. – № 6.
– С. 46 - 54.
DOI: 10.7256/2454-0668.2013.6.9585
Читать статью
Аннотация: Являясь одной из самых привлекательных современных информационных технологий, облачные сервисы могут, как оптимизировать процессы управления информационной безопасностью, так и усложнить для организации контроль над критичными данными и соблюдением контрмер на инциденты безопасности.
Решение проблемы своевременного и качественного анализа рисков аутсорсинга информационной безопасности систем облачной архитектуры позволит решить множество проблем связанных с защитой от угроз использования информационных и телекоммуникационных технологий в противоправных целях. Широкое распространение и применение облачных вычислений диктует необходимость адаптации и доработки существующих моделей оценки рисков информационных систем. Подход, предлагаемый в статье, может быть использован для оценки рисков информационных систем, функционирующих на основе технологии облачных вычислений, и оценки эффективности принимаемых мер безопасности. При этом, оценка риска включает этапы анализа и оценивания, а анализ риска, в свою очередь, включает идентификацию и количественную оценку риска. Обеспечение оценки производится на основе определения контекста риска (выбора критериев риска и определения границ анализа). Под количественной оценкой риска понимается процесс моделирования, включающий разработку и анализ альтернативных сценариев риска, построение функций риска и определение вероятности его наступления.
Царегородцев А.В., Ермошкин Г.Н. —
Базовые принципы построения дерева целей информационной безопасности среды облачных вычислений
// Национальная безопасность / nota bene. – 2013. – № 5.
– С. 69 - 79.
DOI: 10.7256/2454-0668.2013.5.9583
Читать статью
Аннотация: Изменение контура безопасности и выход критичных активов организаций из-под внутреннего контроля с последующей миграцией этих активов в облачную среду выдвинули на первое место проблему управления информационной безопасностью корпоративных систем, функционирующих на основе технологии облачных вычислений. Все это требует пересмотра традиционных подходов к обеспечению информационной безопасности и разработки нового методологического аппарата, позволяющего существенно повысить эффективность использования IT ресурсов и значительно сократить их стоимость за счет диверсификации информационных потоков организации при их миграции на облачную архитектуру. Особое внимание в данной статье уделено открытым вопросам информационной безопасности и вариантам их решения на основе построения дерева целей информационной безопасности среды облачных вычислений. Предлагается новая концепция безопасности среды облачных вычислений на основе дерева целей, которая учитывает все критичные процессы управления информационной безопасности и позволяет принимать во внимание понятие «общей ответственности и общих обязанностей» сторон, что предоставляет возможность организациям принимать решение о развертывании информационной сети по критерию минимизации издержек на инфраструктуру с обеспечением необходимого уровня информационной безопасности.
Царегородцев А.В. —
Построение деревьев целей для идентификации требований безопасности среды облачных вычислений
// Национальная безопасность / nota bene. – 2013. – № 5.
– С. 51 - 68.
DOI: 10.7256/2454-0668.2013.5.9587
Читать статью
Аннотация: Необходимость совершенствования и повышения эффективности кардинальных принципов управления информационной безопасностью среды облачных вычислений приводит к многоаспектной области обеспечения свойств «системности». Применение технологии и методов формализованного структурного синтеза систем управления информационной безопасностью (СУИБ) в облачной среде, соединяющих различную структуру иерархий требований, позволило бы с большей эффективностью воспользоваться уже разработанными в каждом из локальных обеспечений технологиями и средствами автоматизации свойств и проявлений системности. Отличную возможность предоставляет эмпирически присущее моделям типа дерева целей свойство системности их структуры.
Особое внимание в данной статье уделено вопросам построения деревьев целей для идентификации требований безопасности среды облачных вычислений и формирования базиса формализованного синтеза платформ безопасности информационно-телекоммуникационных систем, функционирующих на основе технологии облачных вычислений, в соответствии с определяемыми критериями системности и с учётом фактора развития системы.
Учитывая, что в большинстве предлагаемых облачных сервисов отсутствует прозрачность в области:
- соглашения об уровне обслуживания,
- реальных возможностей поставщиков,
- управления и обеспечения безопасности,
созданы предпосылки к разработке нового метода построения гибридной среды облачных вычислений по требованиям информационной безопасности.
Царегородцев А.В., Качко А.К. —
Один из подходов к моделированию маршрута распределения обработки критичных данных в гибридной среде облачных вычислений
// Национальная безопасность / nota bene. – 2012. – № 10.
DOI: 10.7256/2454-0668.2012.10.6664
Читать статью
Аннотация: Использование облачных вычислений при построении ИТ-инфраструктуры организации подразумевает отказ организации от прямого контроля над аспектами безопасности. Возникает необходимость в решении задачи обеспечения конфиденциальности данных при проектировании архитектуры, основанной на технологии облачных вычислений. Предлагаемый подход к моделированию процесса обработки данных с помощью сетей Петри на основании требований политики безопасности организации позволяет получить важную информацию о структуре многоуровневой системы управления доступом в гибридной облачной среде, что в конечном итоге позволит проследить динамическое поведение обработки критических данных в моделируемой системе.
Царегородцев А.В. —
Критичные вопросы оперативного и организационно-технического управления информационной безопасностью облачных вычислений
// Национальная безопасность / nota bene. – 2012. – № 2.
DOI: 10.7256/2454-0668.2012.2.4703
Читать статью
Аннотация: Облачные вычисления являются одной из самых привлекательных современных информационных технологий, предоставляющих многочисленные преимущества, среди которых в первую очередь можно выделить хорошую масштабируемость и доступность по запросу. Появление облачных вычислений предвещает далеко идущие планы для систем и сетей федеральных агентств, а также других государственных организаций. В то же время многие из функций, которые делают привлекательными облачные вычисления, могут вступать в противоречие с традиционными моделями информационной безопасности. Особое внимание в статье уделено открытым вопросам информационной безопасности и вариантам их решения при построении комплексной системы защиты информации на облачной архитектуре.
Царегородцев А.В., Дербин Е.А., Тараскин М.М. —
Один из подходов к формализации описания угроз, уязвимостей и рисков системы защиты информации на предприятии
// Национальная безопасность / nota bene. – 2011. – № 12.
DOI: 10.7256/2454-0668.2011.12.4437
Читать статью
Аннотация: Рассматривается один из подходов к оценке угроз, уязвимостей и рисков при защите информации в организациях, позволяющий полностью проанализировать и документально оформить требования, связанные с обеспечением безопасности информации в организации. Использование такого подхода даст возможность избежать расходов на избыточные меры безопасности, возникающие при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, а также обеспечить проведение работ в сжатые сроки. Предложены практические рекомендации по выбору мер противодействия и оценки эффективности контрмер, позволяющие сравнивать их различные варианты.
Царегородцев А.В., Качко А.К. —
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОБЛАЧНОЙ АРХИТЕКТУРЕ ОРГАНИЗАЦИИ
// Национальная безопасность / nota bene. – 2011. – № 11.
DOI: 10.7256/2454-0668.2011.11.4258
Читать статью
Аннотация: Облачные вычисления становятся одной из самых распространенных ИТ технологий для развертывания приложений, благодаря своим ключевым особенностям: гибкости решения, доступности по запросу и хорошим соотношением цена/качество. Миграция на облачную архитектуру позволяет организациям снизить общие затраты на внедрение и поддержку инфраструктуры и сокращает время разработки новых бизнес приложений. При этом, наиболее острым и актуальным вопросом при миграции данных в облако является вопрос обеспечение информационной безопасности. Существует большое количество факторов, оказывающих влияние на комплексную безопасность облачной среды, так как её многоарендная архитектура приносит новые и более сложные проблемы и уязвимости. В статье приводится анализ существующих моделей предоставления облачных сервисов (SaaS, PaaS, IaaS), рассматриваются ключевые уровни построения облака, ряд существенных преимуществ и современных решений, которые получает организации при переходе на облачные технологии. Особое внимание уделено открытым вопросам информационной безопасности и варианты их решения при построении комплексной системы защиты информации на облачной архитектуре.
Царегородцев А.В., Качко А.К. —
Один из подходов к управлению информационной безопасностью при разработке информационной инфраструктуры организации
// Национальная безопасность / nota bene. – 2011. – № 8.
DOI: 10.7256/2454-0668.2011.8.4042
Читать статью
Аннотация: Моделирование угроз и уязвимостей информационной безопасности довольно широко применяется, как в зарубежных практиках, так и в рекомендациях отечественных стандартов. Ключевой недостаток используемых методов состоит в отсутствии формализованного описания концептуальных решений при проектировании информационных систем. В связи с этим в статье предлагается рассматривать особый вариант описания концептуального решения в виде формализованных моделей. Это важный этап при установлении связей между требованиями бизнеса и возможностями информационных технологий. В статье предлагается улучшить существующие решения архитектурой, состоящей из трёх ключевых компонентов: компонента моделирования, архитектурного компонента и модуля анализа рисков.
Царегородцев А.В. —
Организация защиты объектов информатизации от силовых деструктивных электромагнитных воздействий
// Национальная безопасность / nota bene. – 2011. – № 5.
DOI: 10.7256/2454-0668.2011.5.3640
Читать статью
Аннотация: Разработка методов обеспечения информационной безопасности критически важных объектов, устойчивых по отношению к внутрисистемным помехам и внешним преднамеренным электромагнитным воздействиям, становится крайне необходимой. В мировой практике такие методы пока не получили широкого распространения, что объясняется новейшими достижениями в области генерации и изучения сверхмощных широкополосных электромагнитных полей, сравнительно недавним появлением угроз электромагнитного терроризма, снижением чувствительности быстродействующих систем, наличием значительных по протяженности распределенных локальных сетей. В статье предлагаются возможные подходы к обеспечению информационной безопасности критически важных объектов, устойчивых по отношению к внутрисистемным помехам и внешним преднамеренным электромагнитным воздействиям.
Царегородцев А.В., Лукьянчук А.В. —
Принципы централизованного управления в системах обнаружения сетевых атак, основанных на многоагентной технологии
// Национальная безопасность / nota bene. – 2011. – № 4.
DOI: 10.7256/2454-0668.2011.4.3423
Читать статью
Аннотация: В работе рассматриваются принципы управления системами обнаружения сетевых атак, основанных на многоагентной технологии. Наличие агента на каждом узле сети, их взаимодействие между собой позволяют быстрее реагировать на угрозы. Рассмотрены вопросы выделения управляющего центра, принципы отказоустойчивости, возможности применения интеллектуальных систем.