Анализ и моделирование угроз информационной безопасности предприятия на основе универсального шаблона
Аннотация
Отмечается, что безопасность данных и информации является ключевым условием жизнеспособности организации и в условиях цифровизации экономики субъектам хозяйствования необходимо повышать эффективность защиты своих информационных систем. Указывается, что моделирование угроз помогает организациям осознать потенциальные риски для информационных и бизнес-систем, а также разработать конкретные меры по их предупреждению или устранению. Рассматриваются основные компоненты моделирования угроз, анализируются наиболее часто используемые методы моделирования, указываются их недостатки. Предложен авторский метод устранения выявленных недостатков, основанный на шаблоне моделирования угроз. Разработан и апробирован подход к обучению применению данного метода.
Литература
- Parenty TJ, Domet JJ. Leader’s guide to cybersecurity: Why boards need to lead — and how to do it. Boston: Harvard Business Review Press; 2019. 240 p.
- Makarevich UA, Miniukovich KA, Mulyarchik KS. Information security issues in the organisation of remote work of employees. Current issues of science in the 21st century [Internet]. 2020 [cited 2021 January 10];9:12–16. Available from: http://library. miu.by/journals!/item.science-xxi/issue.9/article.2.html. Russian.
- UcedaVelez T, Morana MM. Risk centric threat modelling: process for attack simulation and threat analysis. Hoboken: John Wiley & Sons; 2015. 696 p.
- Shostack A. Threat modelling: designing for security. Hoboken: John Wiley & Sons; 2014. 624 p.
- Jaatun MG, Bernsmed K, Cruzes DS. Threat modelling in agile software development. In: Felderer M, Scandariato R, editors. Exploring security in software architecture and design. Hershey: IGI Global; 2019. p. 1–14. DOI: 10.4018/978-1-5225-6313-6.ch001.
- Makarevich UA. Ethical hacking and social engineering. In: Berlinskaya SG, editor. Sbornik rabot 73-i nauchnoi konferentsii studentov i aspirantov Belorusskogo gosudarstvennogo universiteta; 16–25 maya 2016 g.; Minsk, Belarus’. Chast’ 2 [Collection of works of 73rd scientific conferences of students and postgraduates of the Belarusian State University; 2016 May 16–25; Minsk, Belarus. Part 2]. Minsk: Belarusian State University; 2016. p. 121–125.
- Jouini M, Rabai LBA. Threats classification: state of the art. In: Handbook of research on modern cryptographic solutions for computer and cyber security. Hershey: IGI Global; 2016. p. 368–392. DOI: 10.4018/978-1-5225-0105-3.ch016.
- Hernan S, Lambert S, Ostwald T. Uncover security design flaws using the STRIDE approach. MSDN Magazine [Internet]. 2006 [cited 2021 January 10]. Available from: https://docs.microsoft.com/en-us/archive/msdn-magazine/2006/november/uncover-securitydesign-flaws-using-the-stride-approach.
- Schneier B. Attack trees. In: Schneier B. Secrets and lies: digital security in a networked world. Hoboken: John Wiley & Sons; 2015. p. 318–333. DOI: 10.1002/9781119183631.ch21.
- Krishnan S. A hybrid approach to threat modelling [Internet] 2017. [cited 2021 January 10]. Available from: https://www.researchgate.net/publication/320183133_A_Hybrid_Approach_to_Threat_Modelling_A_Hybrid_Approach_to_Threat_Modelling. DOI: 10.13140/RG.2.2.33303.88486.
Copyright (c) 2021 Журнал Белорусского государственного университета. Экономика
Это произведение доступно по лицензии Creative Commons «Attribution-NonCommercial» («Атрибуция — Некоммерческое использование») 4.0 Всемирная.
Авторы, публикующиеся в данном журнале, соглашаются со следующим:
- Авторы сохраняют за собой авторские права на работу и предоставляют журналу право первой публикации работы на условиях лицензии Creative Commons Attribution-NonCommercial. 4.0 International (CC BY-NC 4.0).
- Авторы сохраняют право заключать отдельные контрактные договоренности, касающиеся неэксклюзивного распространения версии работы в опубликованном здесь виде (например, размещение ее в институтском хранилище, публикацию в книге) со ссылкой на ее оригинальную публикацию в этом журнале.
- Авторы имеют право размещать их работу в интернете (например, в институтском хранилище или на персональном сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению и большему количеству ссылок на данную работу. (См. The Effect of Open Access).