Представленная в статье методика оценки доверия к субъекту информационного обмена направлена на анализ процессов информационной безопасности субъектов информационного обмена для определения соответствия этих процессов требованиям доверия. Существующие методы направлены на оценку определенных или всех компонентов процессов информационной безопасности: оценка доверия к пользователю, оценка доверия к программному средству, оценка доверия к процессу управления рисками и т. д. Представленная авторами методика оценки доверия к субъекту информационного обмена состоит из комплексного анализа всех основных процессов информационной безопасности (ИБ), которыми владеет субъект информационного обмена: управление рисками, управление угрозами и уязвимостями, ИБ-аудит, управление ИБ, создание системы управления ИБ, эксплуатация средств защиты информации, эксплуатация информационных технологий. Представленный в статье механизм оценки доверия основан на применении функции желательности Харрингтона в виде линейной оценки характеристик и свойств процессов ИБ с учетом уровня эффективности управления внутри этих процессов. Предложенная методика позволяет выстраивать процессы доверенного взаимодействия, основанные на оценке уровня доверия и поддержании уровня доверия, достаточного для надлежащего исполнения мер обеспечения ИБ.
< ... >
Presented methodology for assessing trust in an information exchange subject is aimed at analyzing the information security (IS) processes of information exchange subjects to assess the compliance of these processes with trust requirements. The methodology consists of a comprehensive analysis of all the main IS processes owned by the information exchange subject: risk management, threat and vulnerability management, IS audit, IS management, creating an IS management system, operating IS tools, operating information technologies. The trust assessment mechanism presented in the article is based on the use of the Harrington desirability function in the form of a linear assessment of the characteristics and properties of IS processes, taking into account the assessment of the management efficiency within these processes. The proposed methodology for assessing trust in the subjects of information exchange allows us to build processes of trusted interaction based on assessing the level of trust and maintaining a level of trust sufficient for the proper implementation of IS measures.
Keywords:
trust assessment, process assessment, information security processes, desirability function, trusted interaction, information security, cybersecurity
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
