Virtualizuotų sistemų informacijos saugos rizikos analizės metodo kūrimas ir taikymas

Informacinių technologijų (IT) taikymo augimas kasdienėje organizacijų veikloje pasižymi svarbios informacijos talpinimo informacinėse sistemose padidėjimu. Dėl šios priežasties, informacijos vertė ir jos pažeidžiamumas yra itin kritiški organizacijų veiklų tęstinumui užtikrinti. Šiuolaikinės kompiuterizacijos paradigmos, pavyzdžiui, išskaidytosios kompiuterinės architektūros, tapo pagrindu kuriant lanksčius IT sprendimus paslaugų teikimą perleidžiant trečiosioms šalims. Informacijos sąvoka yra itin plati ir apima tekstinę informaciją, gamybą, įrenginių valdymą ar net išvadų generavimą. Todėl informacijos apsauga yra labai svarbi organizacijos veiklos dalis.

Informacijos apsaugos (IS) rizikos analizė ir valdymas reikalauja nuodugnių žinių apie turimas informacines vertybes bei technologijas. Tai reikalinga tam, kad būtų atpažįstamos grėsmės ir pažeidžiamumai, kylantys turimai infrastruktūrai. Formalus infrastruktūros aprašas – verslo architektūra (angl. Enterprise Architecture) leidžia sudaryti daugialypį organizacijos vaizdą, jungiantį verslo procesus bei infrastruktūrą. Yra sukurta nemažai IS rizikos analizės technologijų, veikiančių verslo architektūros pagrindu, tačiau trūksta šių technologijų taikymo virtualizacijos technologijoms pavyzdžių. Jų nebuvimas reikalauja papildomų veiksmų aprašant ir vertinant virtualizacijos saugumą. Taigi, tai komplikuoja šių technologijų panaudojimą infrastruktūroje. Šioje disertacijoje nagrinėjami virtualizacijos technologijų informacinės apsaugos rizikos vertinimo verslo architektūroje ypatumai ir šio vertinimo metodo sudarymas ir pritaikymas.

Disertaciją sudaro įvadas, trys pagrindiniai skyriai ir bendrosios išvados. Pirmajame skyriuje apibrėžiama informacijos apsaugos rizikos analizės automatizavimo problema. Šiame skyriuje taip pat apžvelgiami informacijos apsaugos rizikos analizės pažangiausi metodai ir jų taikymas.

Antrajame skyriuje siūlomas naujas informacijos apsaugos rizikos analizės metodas virtualizacijos technologijoms. Siūlomas metodas apima virtualizacijos grėsmių klasifikavimą ir specifikavimą, kontrolės priemonių parinkimą bei kiekybinį rizikos analizės vertinimo metodą.

Trečiajame skyriuje pristatomas eksperimentinis pasiūlyto metodo vertinimas įgyvendinant jį kibernetinės apsaugos modeliavimo kalbos (CySeMoL) aplinkoje ir palyginant vertinimo rezultatus su kalibruotomis ekspertinėmis šios srities žiniomis.

Eksperimentinio tyrimo metu nustatyta, kad siūlomas virtualizacijos technologijų rizikos analizės automatizavimo metodas suteikia pakankamai duomenų apie IS lygį, kad būtų galima modeliuoti virtualizacijos komponentų saugumo priemonių taikymą.

Skaityti leidinio elektroninį variantą:

DOI: https://doi.org/10.20334/2389-M