Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов

Приводится анализ известных методов обеспечения информационной безопасности, рассматриваются методы оценивания безопасности как отдельных ИТ-компонент, так и облачных сервисов в целом. Предпринята попытка проанализировать облачные сервисы не с позиции коммерчески успешного и популярного маркетингового продукта, а с позиции системного анализа. Введенный ранее порядок оценивания ИТ-компонент нестабилен, поскольку у конечного пользователя нет 100% гарантии доступа ко всем ИТ-компонентам, а тем более к компонентам удаленного и неподконтрольного облачного сервиса. В ряде обзоров отмечается рост усилий по созданию сетевой безопасной архитектуры и по обеспечению непрерывного контроля отклонений от установленных бизнес-целей. В отличие от моделей Zero Trust и Zero Trust eXtended, согласно которым на существующие ИТ-компоненты накладываются дополнительные функции безопасности, предлагается рассматривать совокупность ИТ-компонент как новую сущность – систему обработки информации. Это позволит перейти к формальным процессам оценивания степени соответствия по критериям стандартов как для существующих, так и для перспективных ИТ-компонент при обеспечении безопасности облачных сервисов. Предложен новый метод оценивания на базе ранее разработанной гибридной методики с использованием формальных процедур, основанных на двух системах критериев – оценивании степени соответствия систем менеджмента (на базе ИСО/МЭК серии 27001) и оценивании требований функциональной безопасности (на базе МЭК серии 61508 и ИСО/МЭК серии 15408). Этот метод дает воспроизводимые и объективные оценки рисков безопасности облачных ИТ-компонент, которые могут быть предъявлены для проверки независимой группе оценщиков. Полученные результаты возможно применить для защиты объектов критической информационной инфраструктур

The optimization method of the integrated management system security audit

Nowadays the application of integrated management systems (IMS) attracts the attention of top management from various organizations. However, there is an important problem of running the security audits in IMS and realization of complex checks of different ISO standards in full scale with the essential reducing of available resources

An analysis of methods for assessing information security risks of financial institutions

The paper presents an analysis of the existing methods for assessing information security risks, their features, advantages and disadvantages, as well as determines the possibility of using such techniques for assessing information security risks in financial institutions. Criteria for comparing information security risk assessment methods have been formed, the advantages and disadvantages of the methods are described. It is shown that, despite the requirements of regulators for assessing information security risks, most of the regulatory documents deal with operational risks. The evaluation of information security risks of credit and financial institutions does not have sufficient regulation and formalization. The authors substantiate the necessity of developing a method for assessing information security risks for credit and financial organizations, taking into account the features of risk assessment inherent to the mentioned organizations. The paper considers the need to create lists of existing threats to the credit and financial sector and their linking to existing vulnerabilities to optimize the process of assessing information security risks. The development of a methodology for assessing information security risks will increase the degree of compliance of credit and financial institutions with the requirements of international, state and industry standards through an optimal set of protection measures and models for evaluating information security risks