КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ АНАЛИЗА МОДЕЛЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЛАЧНЫХ СИСТЕМ КЛАССА «ИНФРАСТРУКТУРА КАК УСЛУГА»

Описан основанный на ролевом подходе процесс синтеза моделей информационной безопасности облачных компьютерных систем на основе прикладных моделей системы и угроз; результатом является модель защиты, выраженная, например, в рекомендациях по улучшению информационной безопасности или содержащая элементы конфигурации средств защиты. Предложена архитектура системы анализа моделей информационной безопасности облачных компьютерных систем, которая включает подсистему анализа и моделирования, базу знаний и подсистему интеграции с внешними источниками знаний. Система является ориентированной на модели (детальные, высокоуровневые, прикладные, синтезируемые) и предполагает автоматическую обработку знаний в сфере управления уязвимостями и настройки программного обеспечения. Предложен подход к решению задачи построения иерархий моделей архитектур и моделей угроз, реализующий комбинированный анализ функций и компонентов.  

1. Листопад Н.И., Олизарович Е.В., Бражук А.И. Практические аспекты внедрения облачных технологий в учреждении образования // Информатизация образования. 2014. № 2 (74). С. 55–65.

2. ГОСТ Р 57100-2016/ISO/IEC/IEEE 42010:2011. Системная и программная инженерия. Описание архитектуры.

3. СТБ 34.101.1-2014. Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Ч. 1. Введение и общая модель.

4. Toward a unified ontology of cloud computing. / L. Youseff [et al.] // Grid Computing Environments Workshop. 2008. P. 1–10.

5. Moscato F., Di Martino B., Aversa R. Enabling model driven engineering of cloud services by using mosaic ontology //Scalable Computing: Practice and Experience. 2011. Vol. 13. №. 1. P. 29–44.

6. Intercloud architecture for interoperability and integration / Y. Demchenko [et al.] // Cloud Computing Technology and Science. 2012. P. 666–674.

7. Dukaric R., Juric M. Towards a unified taxonomy and architecture of cloud frameworks // Future Generation Computer Systems. 2013. Т. 29. №. 5. P. 1196–1210.

8. SEcure Cloud computing for CRitical infrastructure IT [Electronic resource]. URL: https://www.seccrit.eu/. (date of access: 20.04.2018).

9. Scandariato R., Wuyts K., Joosen W. A descriptive study of Microsoft’s threat modeling technique // Requirements Engineering. 2015. Т. 20, №. 2. P. 163–180.

10. A semantic-web approach for modeling computing infrastructures / M. Ghijsen [et al.] // Computers & Electrical Engineering. 2013. № 39 (8). P. 2553–2565.

11. Common Information Model [Electronic resource]. / DMTF. URL: https://www.dmtf.org/standards/cim (date of access: 20.04.2018).

12. Управление программным обеспечением и архитектура отказоустойчивого IaaS-облака на основе универсальных узлов. / Ю.И. Воротницкий [и др.] // Электроника ИНФО. 2013. № 9. С. 21–24.

13. Cloud Computing Risk Assessment [Electronic resource]. / ENISA, 2009. URL: https://www.enisa.europa.eu/publications/cloud-computing-risk-assessment/at_download/fullReport (date of access: 20.04.2018).

14. Saripalli P., Walters B. Quirc: A quantitative impact and risk assessment framework for cloud security // 2010 IEEE 3rd International Conference on Cloud Computing. 2010. P. 280–288.

15. Takahashi T., Kadobayashi Y. Reference ontology for cybersecurity operational information // The Computer Journal. 2014. Vol. 58, № 10. P. 2297–2312.

16. Security Content Automation Protocol [Electronic resource] / NIST. URL: https://csrc.nist.gov/projects/security-content-automation-protocol (date of access: 20.04.2018).