?
Методика количественной оценки риска в информационной безопасности облачной инфраструктуры организации
Практически все технологии, которые сегодня входят в состав облачной парадигмы, существовали и раньше, однако до настоящего времени на рынке не было предложений, которые бы объединяли перспективные технологии в едином коммерчески привлекательном решении. И только в последнее десятилетие появились общедоступные облачные сервисы, благодаря которым эти технологии стали, с одной стороны, доступны разработчику, а с другой – понятны для бизнес-сообщества. Но многие из функций, которые делают привлекательными облачные вычисления, могут вступать в противоречие с традиционными моделями обеспечения информационной безопасности.
В связи с тем, что облачные вычисления несут с собой новые вызовы в области информационной безопасности, крайне важно для организации контролировать процесс управления информационными рисками в облачной среде. В настоящей работе на основе общей системы оценки уязвимостей, позволяющей определить качественный показатель подверженности уязвимостям информационных систем с учетом факторов окружающей среды, предложена методика по оценке рисков для различных типов развёртывания облачных сред.
Управление информационными рисками, определение применимости облачных сервисов для организации невозможно без понимания контекста, в котором работает организация и последствий от возможных видов угроз, с которыми она может столкнуться в результате своей деятельности. В статье предложен подход к оценке рисков, используемый при выборе наиболее приемлемого варианта конфигурации среды облачных вычислений с точки зрения требований безопасности. Применение методики по оценке рисков для различных типов развёртывания облачных сред позволит выявить коэффициент противодействия возможным атакам и соотнести величину ущерба с совокупной стоимостью владения всей ИТ-инфраструктуры организации.