Методика снижения рисков информационной безопасности облачных сервисов на основе квантифицирования уровней защищенности и оптимизации состава ресурсов

ДиссертацияПомощь в написанииУзнать стоимостьмоей работы

Впервые предложено решение задачи минимизации рисков ИБ облачной ИТКС на ранних этапах жизненного цикла облачного сервиса, предназначенного для обработки информации различной степени конфиденциальности. Научно-методический аппарат расчета необходимого количества ресурсов различного уровня защищенности в облачных ИТКС позволяет, в отличие от известных подходов, научно обосновывать возможность… Читать ещё >

Содержание

Список сокращений

Глава 1. Актуальность состояния и перспективы развития облачных информационно-телекоммуникационных технологий.

1.1. Анализ функционирования технологии облачных вычислений.

1.1.1. Эволюция систем распределенных вычислений.

1.1.2. Анализ функционирования облачных вычислений.

1.1.3. Программные интерфейсы облачных ИТКС.

1.1.4. Облачные сервисы.

1.1.5. Модели развертывания облачных сервисов.

1.1.6. Преимущества и недостатки использования облачных ИТКС.

1.2. Анализ нормативно-методической документации.

1.2.1. Международный стандарт? БО/ШС 15 408.

1.2.2. Серия стандартов КО/ШС 27 000.

1.2.3. ГОСТ Р 51 624.

1.2.4. Международный стандарт 180/1ЕС 31 010.

1.2.5. Прочие нормативно-правовые документы в области ЗИ.

1.3. Анализ рисков в информационной системе.

1.3.1. Модель системы защиты информации.

1.3.2. Существующие подходы к оценке рисков.

1.4. Постановка задачи на исследование.

1.4.1. Риски ИБ в облачных ИТКС.

1.4.2. Классификация нарушителей.

1.4.3. Модель угроз облачных ИТКС.

Выводы.

Глава 2. Анализ моделей оценки и управления рисками в информационно-телекоммуникационных системах.

2.1. Общие сведения о рисках информационной безопасности.

2.2. Методы анализа рисков.

2.3. Неопределенность и чувствительность риска.

2.4. Оценивание риска ИБ.

2.5. Анализ моделей оценки рисков в ИТКС.

2.5.1. Качественные методы оценки рисков.

2.5.2. Полуколичественные методы оценки рисков.

2.5.3. Количественные методы оценки рисков.

2.6. Недостатки существующих методик оценки рисков ИБ.

2.7. Метод квантифицирования параметров уровня защищенности ресурсов облачной ИТКС.

Выводы.

Глава 3. Оптимизация рисков информационной безопасности облачной ИТКС на основе линейного программирования.

3.1. Показатели экономической результативности СЗИ ИТКС.

3.2. Оценка стоимости актива облачной ИТКС.

3.3. Ценность информации в облачных ИТКС.

3.4. Оценка ущерба в облачных ИТКС.

3.5 Линейное программирование.

3.6. Методика оптимизации рисков ИБ в облачном сервисе.

Выводы.

Глава 4. Практическое применение метода оптимизации рисков в облачных информационно-телекоммуникационных системах.

4.1. Метод оценки качества построения облачной ИТКС.

4.2. Облачная информационно-телекоммуникационная система «СЬА/ЖЕ».

4.3. Оценка вероятности инцидента ИБ.

4.4. Квантифицирование ресурсов облачной ИТКС.

4.5. Оптимизация рисков облачных ИТКС на основе линейного программирования.

Выводы.

Методика снижения рисков информационной безопасности облачных сервисов на основе квантифицирования уровней защищенности и оптимизации состава ресурсов (реферат, курсовая, диплом, контрольная)

Проблема обеспечения информационной безопасности (ИБ) стоит в ряду первостепенных задач при проектировании информационно-телекоммуникационных систем (ИТКС). Практика показывает, что в последние годы имеется тенденция к эволюции сетевой архитектуры с локализованных автономных вычислений на среду распределенных вычислений, что привело к увеличению ее сложности. Широкое применение находят системы хранения, обработки и передачи данных, основанные на технологии облачных вычислений.

Построение систем защиты информации (СЗИ) осуществляется в рамках существующей нормативно-правовой базы. Основные этапы построения СЗИ включают в себя: техническое задание на создание СЗИопределение и организация перечня организационных и технических мероприятий по защите информациивнедрение, испытание и аттестация СЗИ, в том числе оценку рисков информационной безопасности [1].

В рамках первого этапа построения СЗИ ИТКС необходимо проведение оценки рисков информационной безопасности, позволяющей выявлять угрозы и уязвимости, оценивать возможное негативное воздействие на ИТКС и выбирать адекватные контрмеры для защиты именно тех ресурсов и систем, в которых они необходимы.

Проблематика оценки рисков информационной безопасности освещена в трудах следующих ученых в области ИБ: WJansen, D. Catteddu, В. А. Герасименко, B.C. Канева, А. Г. Кащенко, A.A. Малюка, А. Г. Остапенко, а также в ряде работ зарубежных университетов, коммерческих структур в области ИБ: ENISA, NIST, University Heraklion, которые предложили использовать количественные способы оценки рисков. Данная работа опирается на результаты этих исследований и развивает их отдельные положения применительно к задаче снижения рисков в облачных информационно-телекоммуникационных системах.

Процесс внедрения ИТКС на основе технологии облачных вычислений создает противоречие между необходимостью обеспечения целостности, доступности, конфиденциальности обрабатываемой информации в облачном сервисе и отсутствием научно-методического аппарата, описывающего подходы к особенностям построения систем защиты ИТКС, реализующих технологию облачных вычислений. Применение технологии облачных вычислений, в отличие от традиционных сетей, требует иных подходов к управлению ресурсами и СЗИ облачной ИТКС. В настоящее время актуальна проблема создания защищенного облачного сервиса для обработки информации различной степени конфиденциальности [2]. Такой подход требует разработки системы защиты информации, построенной на использовании в облаке ресурсов, отличающихся по уровню защищенности в зависимости от критичности обрабатываемой информации. Поэтому разработка методики снижения и оптимизации риска в облачных ИТКС составляют актуальную задачу, имеющую большое научное и практическое значение.

Целью работы является снижение рисков информационной безопасности в ИТКС использующих технологию облачных вычислений при обработке информации различной степени конфиденциальности.

Научной задачей исследования является разработка методики построения облачных ИТКС, обеспечивающих оптимизацию рисков информационной безопасности при обработке информации различной степени конфиденциальности.

Для достижения поставленной цели в работе решены следующие частные задачи:

1. Анализ методов обеспечения информационной безопасности ИТКС на основе распределенных вычислений, рассмотрение ряда нормативно-правовых документов и стандартов по защите информации, исследование рисков информационной безопасности облачных ИТКС и определение перспективных направлений противодействия им.

2. Разработка модели динамического уточнения модели угроз и в процессе эксплуатации облачной ИТКС и адаптивного управления СЗИ.

3. Разработка метода оценки уровня защищенности ресурсов облачных ИТКС с использованием новой модели динамического уточнения модели угроз.

4. Разработка метода минимизации рисков информационной безопасности в облачных ИТКС.

5. Оценка результатов применения разработанных модели и методов.

В соответствии с целями и задачами диссертационной работы объектом исследования определены СЗИ ИТКС, использующих технологии облачных вычислений в рамках обобщенной модели предоставления облачных сервисов БР1 — 8ааБ, Раа8, 1ааБ на основе унифицированных вычислительных ресурсов.

А предметом исследования — методы снижения рисков в облачных.

ИТКС.

На защиту выносятся следующие основные научные положения и результаты:

1. Наличие множества однотипных ресурсов в облачных технологиях позволяет осуществлять квантифицирование ресурсов облачной ИТКС по уровню защищенности и динамическое уточнение модели угроз на основе вычисления апостериорной вероятности реализации угроз путем обработки накопленных узлами ИТКС статистических данных.

2. Постановка задачи снижения рисков ИБ в облачных ИТКС может быть формализована как экстремальная задача теории принятия решений, что позволяет оптимизировать состав СЗИ с учетом матрицы рисков и обеспечения качества предоставляемых услуг.

3. Метод минимизации, в терминах линейного программирования, рисков ИБ состоит в оптимизации ЦФ с учетом матрицы рисков и модели разграничения доступа Белла-Лападулы, а также использования системы ограничений, что позволяет обеспечить реализацию потока заявок на обработку информации различной степени конфиденциальности. Научная новизна и теоретическая значимость диссертационной работы определяются разработкой новой модели и методов:

1. Предложена модель динамического уточнения модели угроз облачной ИТКС, которая отличается от моделей, применяемых для традиционных сетей, применением механизма статистического «накопления» знаний об угрозах, уязвимостях и успешности их устранения путем сопоставления оценок уязвимости узла сети с похожими показателями ИБ.

2. Впервые предложено решение задачи минимизации рисков ИБ облачной ИТКС на ранних этапах жизненного цикла облачного сервиса, предназначенного для обработки информации различной степени конфиденциальности. Научно-методический аппарат расчета необходимого количества ресурсов различного уровня защищенности в облачных ИТКС позволяет, в отличие от известных подходов, научно обосновывать возможность и целесообразность обработки информации различной степени конфиденциальности с учетом основных факторов, влияющих на ИБ.

Практическая значимость работы определяется возможностью получения научно-обоснованной количественной оценки безопасности обработки информации в той или иной облачной структуре, и, как следствие, основы для принятия аргументированных стратегических решений по управлению рисками. Дополнительная ценность предложенного метода состоит в возможности его использования для постоянного динамического контроля уровня защищенности информации, как поставщиком, так и заказчиком 8 облачных служб в условиях развития используемых технологий и интеграции новых технических решений, диктуемых техническим прогрессом.

Основные результаты диссертационной работы использованы при выполнении научно-исследовательских работ, проводимых НИИ НКТ ИТМО. Апробация основных результатов проводилась в форме докладов на:

I Всероссийский’конгресс молодых ученых, НИУ ИТМО, 1013.04.2012 г.;

VIII Всероссийская межвузовская конференция молодых ученых, НИУ ИТМО 12−15.04.2012г.;

I Межвузовская научно-практическая конференция «Актуальные проблемы организации и технологии защиты информации»,.

30.10.2011 г.;

II Межвузовская научно-практическая конференция «Актуальные проблемы организации и технологии защиты информации»;

30.11.2012 г.;

XLI научная и учебно-методическая конференция НИУ ИТМО, 31−3 февраля 2012 г.

По материалам диссертации опубликованы пять печатных работ, в том числе, две в изданиях из перечня российских рецензируемых журналов, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученых степеней доктора и кандидата наук в редакции от 25.05.2012 г.

Диссертация состоит из введения, четырех глав, заключения, списка использованных источников, списка публикаций автора по теме исследования. Материал исследования изложен на 104 страницах машинописного текста, содержит 17 рисунков, 8 таблиц.

Основные результаты представленных исследований, выполненных для достижения поставленных целей, могут быть сформулированы следующим образом:

1) Показана возможность решения задачи получения научно-обоснованной количественной оценки уровня защищенности облачного сервиса и его ресурсов посредством использования особенностей реализации технологии облачных вычислений.

2) На основе документов ФСТЭК РФ и ФСБ РФ даны характеристики описывающие нарушителя ИБ облачной ИТКС.

3) Разработана модель угроз, включающая в себя характеристики угрозы, описывающие: описание угрозы ИБисточники угроз ИБметод реализации угроз ИБуязвимости используемые источниками угроз ИБпотенциальные последствия.

4) Применены апостериорные оценки защищенности ресурсов облачной ИТКС на основе функционирования узлов с СЗИ и байесовского решающего правила.

5) Разработан подход позволяющий на основе модели угроз, требований заказчика к обеспечению целостности, доступности, конфиденциальности осуществлять количественную вероятностную оценку защищенности ресурсов при использовании технологии облачных вычислений*.

6) Задача снижения рисков ИБ в облачных ИТКС формализована, как экстремальная задача теории принятия решений.

7) Впервые применен математический аппарат линейного программирования, ранее не использовавшийся в сфере облачных ИТКС.

8) Разработан научно-методический аппарат необходимого количества ресурсов различного уровня защищенности в облачных ИТКС, что позволяет создавать защищенные облачные ИТКС.

Заключение

Показать весь текст

Список литературы

ГОСТ Р 51 583. Порядок создания автоматизированных систем в защищенном исполнении. Введен 2000.
CNews Cloud. Сергей Меднов: Распространение облачных технологий будет неизбежным. Электронный ресурс. Режим доступа: http://cloud.cnews.ru/reviews/index.shtml72011/04/20/437 359, свободный. Яз. русский (дата обращения 25.01.2013)
Mather Т., Kumaraswamy S., Latif S. Cloud Security and Privacy. An enterprise in Risks and Compliance- Sebastopol: O’Relly, 2009.
Jansen W. Grance T. Guidelines on security and Privace in Public Cloud Computing. NIST Special Publication 800−144. Gaithersburg: NIST, 2011.
Cattedu D. Hogben G. Benefits, risks and recommendations for information security. Heraclion: ENISA, 2009.
Linthicum D. Cloud Computing and SOA Convergence in Your Enterprise. A Step-by-Step Guide. Boston: Addison-Wesley, 2010.
Badger L. Grance Т., Patt-Corner R., Voas J. Draft Cloud Computing Synopsis and Recommendations. Gaithersburg: NIST, 2011.
CNews Analytics (CNA). Облака «споткнулись» о закон о персональных данных? Электронный ресурс. Режим доступа: http://www.cnews.ru/reviews/index.shtml72011/06/01/442 294, свободный. Яз. рус. (дата обращения 25.01.2013)
ГОСТ Р ИСО/МЭК 15 408−1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Введен 2008.
Stoneburner G., Goguen A., Feringa A. Risk management Guide for Information Technology System. Gaithersburg: NIST, 2002.
Joint Task Force. Managing Information Security Risk. Organization, Mission and Information System View. -Gaithersburg: NIST 2011.
Руководящий документ Гостехкомиссии России. «Автоматизированные системы защиты от несанкционированного доступа к информации. Классификация автоматизированных систем и требования к защите».
Harris S. CISSP All-in-One Exam Guide, Fifth Edition. McGraw Hill Professional — 2007.
Cloud Security Alliance. Security Guidance for Critical Areas of focus in cloud computing v3.0. -2011.
ГОСТ Р 50 922−2006. Защита информации. Основные термины и определения. -Введен 2006.
ISO/IEC 31 010:2009. Менеджмент рисков. Методы оценки рисков. 2009.
Macaulay Т. Upstream Intelligence Use Cases// IANewsletter. 2011. V.14.
Тихонов В.А., Райх В. В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты. М.:Гелиос АРВ. -2006
Chew E., Swanson M., Strine К., Bartol N., Brown A., Robinson W. Performance Measurement Guide for Information Secirity. -Gaithersburg: NIST -2008.
Rodger C., Petch J. Uncertainly & Risk Analysis. London: Business Dynamics — 1999.
BS/IEC 61 882. Hazard and operability studies (HAZOP) guide. 2001.
Малюк A.A. Информационная безопасность: Концептуальные и методологические основы информационной безопасности. -М.: Горячая линия Телеком, 2004.
Герасименко В.А., Малюк А. А. Основы защиты информации. -М.: МИФИ, 1997.
Белов Е.Б., Лось В. П. Мещеряков Р.В., Шелупанов А. А. Основы информационной безопасности. М.:Горячая линия Телеком, 2006.
Плетнев П.В., В.М. Белов. Методика оценки рисков информационной безопасности // Доклады ТУСУРа. 2012. № 1. С. 83−86.
Straub D., Goodman S., Baskerville R. Information Security. Policy, Processes and Practices. New York. M. E. Sharpe Inc. 2008
Sullivan D. Creating BYOPC policies: A win-win for IT and users Электронный ресурс. Режим доступа: http://go.techtarget.com/ г/19 909 217/13127705/10, свободный. Яз. англ. (дата обращения 30.01.2013)105
Noile T. Optimizing the cloud for the В YOD movement Электронный ресурс. Режим доступа: http://searchcloudcomputing.techtarget.comtip/Optimizing-the-cloud-for-the-BYOD-movement, свободный. Яз. англ. (дата обращения 30.01.2013)
A.A. Новоселов. Основные понятия теории риска. Электронный ресурс. -Режим доступа: http://risktheory.ni/lectures.htm#RTBas, свободный. Яз. русский (дата обращения 30.01.2013)
Войтик А.И., Прожерин В. Г. Экономика информационной безопасности. Учебное пособие. СПб.: НИУ ИТМО, 2012.
Лаврушина Я.Н., Макарова A.A., Куликов A.B. Построение модели количественной оценки операционного риска (технический риск сбой в предоставлении IT-у слуг) в статистически некорректной среде. //Бизнес-информатика. № 2 (20). 2012. С.42−49
Михаил Зырянов. Ликвидный актив. Электронный ресурс. Режим доступа: http://www.osp.ru/cio/2012/09/13 017 713/, свободный. Яз. русский (дата обращения 31.01.2013)
Хемди A. Taxa. Введение в исследование операций. М.: Вильяме, 2007.
S.Belur. A Figure of Merit Model for assured information system architecture design // IANewsletter. 2011. V.14.
Машкина И.В. Управление защитой информации в сегменте корпоративной информационной системы на основе интеллектуальных технологий. Автореферат. Уфа. УГАТУ, 2009.

Заполнить форму текущей работой