СУЧАСНІ ПЕРСПЕКТИВИ ЗАСТОСУВАННЯ КОНЦЕПЦІЇ ZERO TRUST ПРИ ПОБУДОВІ ПОЛІТИКИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ПІДПРИЄМСТВА

Автор(и)

DOI:

https://doi.org/10.28925/2663-4023.2023.21.223233

Ключові слова:

забезпечення інформаційної безпеки; політика безпеки; концепція zero trust; архітектура zero trust; керування доступом; суб’єкт доступу; ідентифікація; автентифікація; периметр безпеки; хмарне середовище; byod

Анотація

Сучасні підприємства зазнали значної трансформації в зв’язку з цифровим прогресом та нещодавньою пандемією COVID-19. Зокрема збільшилася кількість працівників, які працюють віддалено і використовують особисті цифрові пристрої наряду з корпоративними, а сам бізнес, бізнес-процеси переходять до хмарного середовища, або використовують гібридні середовища, які поєднують як хмарні, так локальні служби. В поєднанні, все це призводить до збільшення взаємодії між пристроями та сервісами саме через відкриті мережі, що створює нові ризики кібернетичних атак. Саме така ситуація обумовила актуальність та напрям даного дослідження. В роботі було проведено аналізу поточного стану ефективності застосування політики інформаційної безпеки підприємства, зокрема визначено основні обмеження, які пов’язані з важкістю, а іноді і неможливістю контролювати поведінкові аспекти працівників підприємства щодо дотримання основних положень політики безпеки та загального забезпечення інформаційної безпеки. Проаналізовано основні принципи концептуального підходу Zero Trust та визначено основні перевага його застосування при формуванні політики безпеки, як стратегічного підходу до забезпечення інформаційної безпеки підприємства в умовах динамічного зростання нових загроз та трансформації сучасного бізнесу. Водночас, визначено, що однією з ключових складових архітектури Zero Trust є саме система керування доступом. В наслідок цього, формуючи перспективи застосування концепції Zero Trust при побудові та впровадженні політики інформаційної безпеки, було визначено необхідність у проведенні супутнього дослідження ефективності сучасних механізмів ідентифікації/автентифікації суб’єктів доступу.

Завантаження

Дані завантаження ще не доступні.

Посилання

Albrechtsen, E. (2007). A qualitative study of users' view on information security. Computers & Security, 26(4), 276–289. https://doi.org/10.1016/j.cose.2006.11.004

Bosch, C., Eloff, J., & Carroll, J. (1993). International Standards and Organizational Security Needs: Bridging the Gap. Proceedings of the IFIP TC11 Ninth International Conference on Information Security, Amsterdam, 171-183.

Bosworth, S., Kabay, M. E., & Whyne, E. (Ред.). (2012). Computer Security Handbook. John Wiley & Sons, Inc. https://doi.org/10.1002/9781118820650

Buck, C., Olenberger, C., Schweizer, A., Völter, F., & Eymann, T. (2021). Never trust, always verify: A multivocal literature review on current knowledge and research gaps of zero-trust. Computers & Security, 110, 102436. https://doi.org/10.1016/j.cose.2021.102436

Bulgurcu, Cavusoglu & Benbasat. (2010). Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness. MIS Quarterly, 34(3), 523. https://doi.org/10.2307/25750690

Chen, Y., Hu, H.-c., & Cheng, G.-z. (2019). Design and implementation of a novel enterprise network defense system bymaneuveringmulti-dimensional network properties. Frontiers of Information Technology & Electronic Engineering, 20(2), 238–252. https://doi.org/10.1631/fitee.1800516

Cybercrime statistics. (2023). Surfshark. https://surfshark.com/research/data-breach-impact/statistics

ENISA Threat Landscape 2021. (2021). ENISA. https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021

Herath, T., & Rao, H. R. (2009). Protection motivation and deterrence: a framework for security policy compliance in organisations. European Journal of Information Systems, 18(2), 106–125. https://doi.org/10.1057/ejis.2009.6

Information technology. Security techniques. Information security management systems. Overview and vocabulary (ISO/IEC 27000:2018). (2018). https://www.iso.org/standard/73906.html

Mandal, S., Khan, D. A., & Jain, S. (2021). Cloud-Based Zero Trust Access Control Policy: An Approach to Support Work-From-Home Driven by COVID-19 Pandemic. New Generation Computing. https://doi.org/10.1007/s00354-021-00130-6

Peltier, T. R. (2002). Information security policies, procedures, and standards: Guidelines for effective information security management. Auerbach.

Puhakainen, P. (2006). A design theory for information security awareness [Doctoral thesis, University of Oulu]. http://urn.fi/urn:isbn:9514281144

Rose, S., Borchert, O., Mitchell, S., & Connelly, S. (2020). Zero Trust Architecture. National Institute of Standards and Technology. https://doi.org/10.6028/nist.sp.800-207

Shoraka, B. (2011). An Empirical Investigation of the Economic Value of Information Security Management System Standards [NSUWorks]. http://nsuworks.nova.edu/gscis_etd/304

Soo Hoo, K. J. (2000). How much is enough? A risk-management approach to computer security. In Proceedings of the Workshop on Economics and Information Security, (pp. 1–99).

Downloads


Переглядів анотації: 263

Опубліковано

2023-09-28

Як цитувати

Ворохоб, М., Киричок, Р., Яскевич, В., Добришин, Ю., & Сидоренко, С. (2023). СУЧАСНІ ПЕРСПЕКТИВИ ЗАСТОСУВАННЯ КОНЦЕПЦІЇ ZERO TRUST ПРИ ПОБУДОВІ ПОЛІТИКИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ПІДПРИЄМСТВА. Електронне фахове наукове видання «Кібербезпека: освіта, наука, техніка», 1(21), 223–233. https://doi.org/10.28925/2663-4023.2023.21.223233

Статті цього автора (авторів), які найбільше читають