Аннотация

Проблемы безопасности, риски, возникающие при использовании Веб-сервисов неизбежны в связи с открытостью Интернет сети. Традиционные механизмы безопасности должны быть дополнены специфическими структурами безопасности. В решении этой проблемы необходимо ориентироваться на международные стандарты, в которых собраны лучшие техники, практики и рекомендации по обеспечению безопасности Веб-сервисов. В работе выполнен обзор трех существующих международных стандартов и одного, признанного мировым сообществом, национального стандарта США в области информационной безопасности. В этих стандартах рассмотрены ключевые аспекты стандартизации, такие как протоколы безопасности, методы аутентификации, шифрование данных и механизмы контроля доступа. Раскрыт один из основополагающих в области информационной безопасности стандарт ISO/IEC 27001:2022, который устанавливает критерии для систем управления информационной безопасностью. Рассматривается также международный стандарт ISO/IEC 27034, который состоит из семи частей. Каждая часть стандарта посвящена определенному аспекту информационной безопасности приложений. Выполнен анализ стандарта ISO 20078, состоящего из четырех частей. Данный стандарт предлагает организациям и системам модель безопасности Веб-сервисов. В работе рассматривается документ 800-95 Национального института стандартов и технологий США - стандарт NIST SP 800-95, который представляет собой руководство по управлению рисками, аутентификации, контроля доступа и шифрования, адаптируемое к различным типам Веб-сервисов. Обсуждается вопрос стандартизации информационной безопасности Веб-сервисов различными международными консорциумами и организациями. Общепризнанные стандарты информационной безопасности являются основой для организации безопасного взаимодействия как для поставщика, так и для потребителя Веб-сервисов.