Обеспечение информационной безопасности интегрируемых информационных систем на базе доверия

Обложка

Цитировать

Полный текст

Аннотация

Актуальность. Информационные системы интегрируются между собой, что приводит к необходимости обеспечить доверие к интегрированной системе. Обеспечение доверия требует формализовать понятие доверия, изучить его природу и структуру. Цель работы: снять противоречие между потребностями, предоставить доступ к ресурсам результирующей интегрированной системы и обеспечить выполнение требований информационной безопасности каждой из интегрируемых систем за счет формулировки понятия доверия с позиции информационной безопасности. Для чего были использованы методы системного анализа, теории управления рисками, резолюций, синтеза операторного уравнения iSOFT.Результаты. Выявлены основные недостатки существующих подходов к формализации понятия «доверие». На базе модели FIST информационной системы разработана функциональная структура доверия и оформлена в нотации IDEF0 для всех уровней интегрируемых информационных систем: обеспечивающего уровня, уровня персонала, уровней аппаратного и программного обеспечений. Приведены примеры нарушения доверия и примеры инструментов создания доверия для каждого уровня информационной системы. Адекватность модели проиллюстрирована на примере реальной интеграции информационных систем. Применение предложенной модели доверия позволило выявить особенности, которые увеличивают риски информационной безопасности для интегрированной информационной системы из примера. Новизна. Предложена трактовка доверия как меры информационной безопасности в отличие от «риска» как меры опасности, а также ‒ инструмент количественного оценивания доверия. Сформулировано и доказано методом резолюций необходимое и достаточное условие создания максимального доверия в информационной системе.Практическая значимость. Предлагаемая модель доверия может использоваться при разработке руководящих документов, регламентирующих процесс интеграции информационных систем, при выдвижении требований к обслуживающему персоналу и созданию программ его обучения, для разработки средств защиты информации и методик их применения.

Об авторах

В. В. Грызунов

Санкт-Петербургский университет ГПС МЧС России

Email: viv1313r@mail.ru
ORCID iD: 0000-0003-4866-217X
SPIN-код: 9750-4417

А. С. Крюков

Российский государственный университет правосудия

Email: steelrat76@mail.ru
ORCID iD: 0000-0002-4633-8635

А. В. Шестаков

Санкт-Петербургский университет ГПС МЧС России

Email: alexander.shestakov@yandex.ru
ORCID iD: 0000-0002-8462-6515
SPIN-код: 5831-5451

И. А. Зикратов

Санкт-Петербургский государственный университет телекоммуникаций им. проф. М. А. Бонч-Бруевича

Email: zikratov.ia@sut.ru
ORCID iD: 0000-0001-9054-800X
SPIN-код: 8991-5212

Список литературы

  1. Черных А.М. Основные направления интеграции федеральных государственных информационных систем и пространственных данных // Правовая информатика. 2018. № 2. С. 47‒56. EDN: XRPRMT
  2. Yan Z., Holtmanns S. Trust Modeling and Management: From Social Trust to Digital Trust // Computer Security, Privacy and Politics: current Issues, Challenges and Solutions. 2008. PP. 290‒323. doi: 10.4018/978-1-59904-804-8.ch013
  3. Chahal R.K., Kumar N., Batra S. Trust management in social Internet of Things: A taxonomy, open issues, and challenges // Computer Communications. 2020. Vol. 150. PP. 13‒46. doi: 10.1016/j.comcom.2019.10.034
  4. Burlov V.G., Gryzunov V.V. Evaluation of the effectiveness of geographic information systems adaptation to destabilizing factors // Journal of Physics: Conference Series. 2020. Vol. 1703. P. 012016. doi: 10.1088/1742-6596/1703/1/012016
  5. Селифанов В.В., Гордеев А.С., Карманов И.Н. Требования по защите информации при межсетевом взаимодействии государственных информационных систем с иными информационными системами // Интерэкспо Гео-Сибирь. 2018. № 7. С. 277‒282. EDN:YORFLV
  6. Прокушев Я.Е., Пономаренко С.В., Пономаренко С.А. Моделирование процессов проектирования систем защиты информации в государственных информационных системах // Computational nanotechnology. 2021. Т. 8. № 1. С. 26‒37. doi: 10.33693/2313-223X-2021-8-1-26-37. EDN:XJMNND
  7. Грызунов В.В., Корниенко А.А., Глухарев М.Л., Крюков А.С. Выбор моделей доверия при интеграции распределенных информационных систем критического применения // Проблемы информационной безопасности. Компьютерные системы. 2021. № 4. С. 79‒90. doi: 10.48612/jisp/ev3e-fmtu-x25h. EDN:VMALWC
  8. Кругликов С.В., Дмитриев В.А., Степанян А.Б., Максимович Е.П. Информационная безопасность информационных систем с элементами централизации и децентрализации // Вопросы кибербезопасности. 2020. № 1(35). С. 2‒7. doi: 10.21681/2311-3456-2020-01-02-07. EDN:HVFMFK
  9. Шиверов П.К., Бондаренко В.В. Понятие доверия в контексте информационной безопасности // Международная конференция и молодёжной школы «Информационные технологии и нанотехнологии» (ИТНТ-2016, Самара, Российская Федерация, 17–19 мая 2016). Самара: Самарский государственный аэрокосмический университет, 2016. С. 414‒418. EDN:WMPXCP
  10. Meeßen S.M., Thielsch M.T., Hertel G. Trust in Management Information Systems (MIS) // Zeitschrift für Arbeits-und Organisationspsychologie A&O. 2019. № 64. Iss. 1. PP. 6‒16. doi: 10.1026/0932-4089/a000306
  11. Maqableh M., Hmoud H.Y., Jaradat M., Masadeh R. Integrating an information systems success model with perceived privacy, perceived security, and trust: the moderating role of Facebook addiction // Heliyon. 2021. Vol. 7. Iss. 9. PP. 1‒15. doi: 10.1016/j.heliyon.2021.e07899
  12. Ettlie J.E., Tucci C., Gianiodis P.T. Trust, integrated information technology and new product success // European Journal of Innovation Management. 2017. Vol. 20. Iss. 3. PP. 406‒427. doi: 10.1108/EJIM-12-2015-0128
  13. McKnight H., Carter M., Clay P. Trust in technology: Development of a set of constructs and measures // DIGIT 2009 Proceedings. 2009. URL: https://aisel.aisnet.org/digit2009/10 (Accessed 10.06.2024)
  14. Ngo-Ye T.L., Nazareth D.L., Choi J.J. Trust in security as a service: a theoretical model // Issues in Information Systems. 2020. Vol. 21. Iss. 2. PP 64‒74.
  15. Park S. Multifaceted trust in tourism service robots // Annals of Tourism Research. 2020. Vol. 81. P. 102888. doi: 10.1016/j.annals.2020.102888
  16. Ramos F.L., Ferreira J.B., Freitas A.S., Rodrigues J.W. The Effect of Trust in the Intention to Use m-banking // BBR. Brazilian Business Review. 2018. Vol. 15. Iss. 2. PP. 175‒191. doi: 10.15728/bbr.2018.15.2.5
  17. Putra G.C., Astiti N.P.Y., Gunadi G.N.B. The Exploring of Trust that Influences Customer's Intention to Use FinnTech M-Banking Application on Regional Banks // International Journal of Economics and Business Administration. 2020. Vol. 8. Iss. 4. PP. 407‒421.
  18. Иткес А.А. Объединение моделей логического разграничения доступа для сложноорганизованных распределенных информационных систем // Проблемы информатики. 2010. № 1(5). С. 85‒94. EDN:NBRZPN
  19. Глухова Л.В., Губанова С.Е. Некоторые аспекты менеджмента информационной безопасности промышленных комплексов // Вестник Волжского университета им. В.Н. Татищева. 2015. №3(34). С. 135‒144. EDN:VBWJDX
  20. Gryzunov V.V. Conceptual Model for Adaptive Control of a Geographic Information System under Conditions of Destabilization // Automatic Control and Computer Sciences. 2021. Vol. 55. Iss. 8. PP. 1222–1227. doi: 10.3103/S0146411621080381
  21. Покровский И.А. Разобраться в понятиях // Безопасность информационных технологий. 2023. Т. 30. №. 2. С. 21‒22.
  22. Калашников А.О., Бугайский К.А., Бирин Д.С., Дерябин Б.О., Цепенда С.О., Табаков К.В. Применение логико-вероятностного метода в информационной безопасности (часть 1) // Вопросы кибербезопасности. 2023. №. 4(56). С. 23‒32. doi: 10.21681/2311-3456-2023-4-23-32. EDN:GIHSBN
  23. Zefferer T., Prunster B., Kollmann C., Corici A.A. A Security-Evaluation Framework for Mobile Cross-Border e-Government Solutions // Proceedings of the 24th Annual International Conference on Digital Government Research (Gdansk, Poland, 11‒14 July 2023). New York: Association for Computing Machinery, 2023. PP. 536‒543. doi: 10.1145/3598469.359852
  24. Phiayura P., Teerakanok S. A Comprehensive Framework for Migrating to Zero Trust Architecture // IEEE Access. 2023. Vol. 11. PP. 19487‒19511. doi: 10.1109/ACCESS.2023.3248622
  25. Ahmadi S. Zero Trust Architecture in Cloud Networks: Application, Challenges and Future Opportunities // Journal of Engineering Research and Reports. 2024. Vol. 26. Iss. 2. PP. 215‒228. doi: 10.9734/jerr/2024/v26i21083
  26. Khan M.J. Zero trust architecture: Redefining network security paradigms in the digital age // World Journal of Ad-vanced Research and Reviews. 2023. Vol. 19. Iss. 3. PP. 105‒116. doi: 10.30574/wjarr.2023.19.3.1785
  27. Грызунов В.В. Модель геоинформационной системы FIST, использующей туманные вычисления в условиях дестабилизации // Вестник Дагестанского государственного технического университета. Технические науки. 2021. Т. 48. № 1. С. 76‒89. doi: 10.21822/2073-6185-2021-48-1-76-89. EDN:IDEYPX
  28. Gryzunov V.V. Model of Purpose Aggressive Actions on the Information-Computing System // Proceedings of the 3rd International Conference on Human Factors in Complex Technical Systems and Environments (ERGO, St. Petersburg, Russia, 04‒07 July 2018). IEEE, 2018. PP. 119–121. doi: 10.1109/ERGO.2018.8443814
  29. Gryzunov V.V., Bondarenko I.Yu. A Social Engineer in Terms of Control Theory // Proceedings of the 3rd International Conference on Human Factors in Complex Technical Systems and Environments (ERGO, St. Petersburg, Russia, 04‒07 July 2018). IEEE, 2018. PP. 202–204. doi: 10.1109/ERGO.2018.8443835
  30. Gryzunov V., Gryzunova D. Problems of Providing Access to a Geographic Information System Processing Data of Different Degrees of Secrecy // Khanna K., Estrela V.V., Rodrigues J.J.P.C. (eds.) Cyber Security and Digital Forensics. Lecture Notes on Data Engineering and Communications Technologies. Singapore: Springer, 2022. Vol. 73. PP. 191–198. doi: 10.1007/978-981-16-3961-6_17
  31. Ананьев И.В., Серова Е.Г. Области эффективного применения нотации IDEF0 для задач описания бизнес-процессов // Вестник Санкт-Петербургского университета. Менеджмент. 2008. № 2. С. 161‒172. EDN:JUBTXH
  32. Канев С.А. Акцент на эффект. Определение характеристик эффективности использования информационных активов компаний // Креативная экономика. 2010. № 8(44). С. 42‒47. EDN:MSVWFV
  33. Манжосов А.В., Болодурина И.П., Сабуров В.С., Долгушев Н.А. Разработка специальной классификации информационных активов в сфере информационной безопасности // Вестник Пермского университета. Математика. Механика. Информатика. 2022. № 4(59). С. 54‒60. doi: 10.17072/1993-0550-2022-4-54-60. EDN:ZHZWNB

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать


Creative Commons License
Эта статья доступна по лицензии Creative Commons Attribution 4.0 International License.

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».