Издательство «НАУЧНЫЕ ТЕХНОЛОГИИ»

МОСКВА, тел. +7(495)-142-86-81

Анализ существующих моделей оценки рисков информационной безопасности для частных облачных сред

E-mail Печать

Г.Н. Ермошкин,  (Аспирант, Всероссийская государственная налоговая академия Минфина РФ)

alt

Конференция 01
Секция - ЗАЩИТА ИНФОРМАЦИИ

 

«ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В НАУКЕ, БИЗНЕСЕ И ОБРАЗОВАНИИ»:

Сборник статей V Международной научно-практической конференции студентов, аспирантов и молодых ученых.

ВВЕДЕНИЕ

В  современном мире нельзя представить себе человека, который смог бы обойтись без использования плодов информационных технологий. На всех управленческих уровнях имеется желание расширить свои коммуникационные и информационные возможности за счет внедрения современных информационных технологий.

Oбщеизвестно, что традиционные центры обработки данных находятся под угрозой вымирания.  А преимущества, которыми обладают облачные вычисления огромны, но только, если  удастся верно, рассчитать риски. Если погнаться за быстрой прибылью и снижением расходов, о которых говорят, когда речь заходит о переходе к облачным вычислениям и вовремя не осознать какими рисками они грозят обернуться организация может понести серьезные убытки. 

Сегодня все больше руководителей ИТ выбирают облачные вычисления. Потребители облачных вычислений могут значительно уменьшить расходы на инфраструктуру информационных технологий (в краткосрочном и среднесрочном планах) и гибко реагировать на изменения вычислительных потребностей, используя свойства вычислительной эластичности (англ. Elastic computing) облачных услуг.

С точки зрения поставщика, благодаря объединению ресурсов и непостоянному характеру потребления со стороны потребителей, облачные вычисления позволяют экономить на масштабах, используя меньшие аппаратные ресурсы, чем требовались бы при выделенных аппаратных мощностях для каждого потребителя, а за счёт автоматизации процедур модификации выделения ресурсов существенно снижаются затраты на абонентское обслуживание.

С точки зрения потребителя, эти характеристики позволяют получить услуги с высоким уровнем доступности (англ. high availability) и низкими рисками неработоспособности, обеспечить быстрое масштабирование вычислительной системы благодаря эластичности без необходимости создания, обслуживания и модернизации собственной аппаратной инфраструктуры.

Удобство и универсальность доступа обеспечивается широкой доступностью услуг и поддержкой различного класса терминальных устройств.

Суть облачных вычислений в переходе к высоко стандартизированным наборам удобных сервисов и программного обеспечения, которые вместе составляют основу высокоэффективного использования ресурсов.

Отсутствие достаточного количества серьезных исследований вопросов риска облачных вычислений, мешает многим организациям совершить переход к облачной модели. В данной работе будет произведен анализ моделей рисков, который частично удовлетворит эту потребность.

ЧАСТНЫЕ ОБЛАЧНЫЕ СРЕДЫ

Частное облако (англ. private cloud)  — инфраструктура, предназначенная для использования одной организацией, включающей несколько потребителей (например, подразделений одной организации), возможно также клиентами и подрядчиками данной организации.

Частное облако может находиться в собственности, управлении и эксплуатации, как самой организации, так и третьей стороны (или какой-либо их комбинации), и оно может физически существовать как внутри, так и вне юрисдикции владельца.

Если  частное облако находится в собственности организации и физически существует внутри ее юрисдикции, то возможно абстрагироваться от идеи облака и считать что фирма его не использует. При использовании частного облака, можно считать клиентом  работников организации, а  ее саму провайдером услуг.

Исходя из особенностей природы частного облака, можно сказать, что оценка риска для данной модели не имеет сильных отличий от стандартной модели размещения данных. Т.о., возможно использовать существующие модели оценки рисков.

Оценка рисков на качественном уровне не позволяет однозначно сравнить затраты на обеспечение ИБ и получаемую от них отдачу (в виде снижения суммарного риска). Поэтому более предпочтительными представляются количественные методики. Но они требуют наличия оценок вероятности возникновения для каждой из рассматриваемых угроз безопасности. Кроме того, использование интегральных показателей, таких как ALE, опасно тем, что неправильная оценка вероятности угрозы в отношении очень дорогостоящего актива может кардинально изменить оцениваемое значение суммарной стоимости рисков.

РИСК-МОДЕЛЬ OCTAVE

Особенность данной модели заключается в том, что весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов. Для этого создается смешанная группа, включающая как технических специалистов, так и руководителей разного уровня, что позволяет всесторонне оценить последствия для бизнеса возможных инцидентов в области безопасности и разработать контрмеры.

OCTAVE предполагает три фазы анализа:

1. Разработка профиля угроз, связанных с активом.

2. Идентификация инфраструктурных уязвимостей.

3. Разработка стратегии и планов безопасности.

Методика OCTAVE предлагает при описании профиля использовать "деревья вариантов", пример подобного дерева для угроз класса 1 приведен на рисунке 1.

Главная задача первой стадии - стандартизованным образом описать сочетание угрозы и ресурса.

Читать далее …


© Г.О. Крылов,  Изд-во "Научные технологии", 2012.
 

Книжные Изданияbadge

badge
  • Совершенствование методики технико-тактических действий хоккеистов 11-12 лет: методические рекомендации
  • Цифровизация и интеграция технологий и управления – механизм повышения эффективности
  • Повышение эффективности производства на основе оптимизации планирования и внедрения новых технологий оценки качества продукции
  • Методические основы предпринимательства