Моделирование процессов проектирования систем защиты информации в критических информационных инфраструктурах

Обложка

Цитировать

Полный текст

Открытый доступ Открытый доступ
Доступ закрыт Доступ предоставлен
Доступ закрыт Только для подписчиков

Аннотация

Актуальность и необходимость выполнения мер по защите информации в КИИ (критических информационных инфраструктурах) обусловлена несколькими причинами. Во-первых, это требования законодательства России. Отметим, что некоторые объекты КИИ в силу характера обрабатываемых сведений могут быть также отнесены к ГИС (государственным информационным системам) или ИСПДн (информационным системам персональных данных). Для систем такого типа также существуют требования к мерам информационной безопасности [4; 5], которые во многом коррелируют с мерами, изложенными для объектов КИИ в [6]. Во-вторых, это объективное наличие угроз различного характера, требующих обязательной нейтрализации и существующих практически во всех современных информационных системах. С целью обеспечения информационной безопасности защитные механизмы, используемые на объектах КИИ, должны учитывать такие факторы, как значительный объем обрабатываемой информации, необходимость обеспечения корректной, стабильной и безотказной работы, многопользовательский характер доступа к информационным ресурсам, обеспечение безопасности управляемого оборудования. Особенно следует выделить тот факт, что отказы и ошибки в работе информационных систем в ряде объектов КИИ могут повлечь за собой не только экономический ущерб или негативные социальные последствия, но и создать прямую угрозу жизни значительного числа людей, проживающих близко от места функционирования этих объектов [11]. Моделирование работ, выполняемых на этапе проектирования систем информационной безопасности объектов КИИ, обусловлено сложность выполнения данного процесса. В настоящее время обеспечение информационной безопасности объектов КИИ является одной из важнейших задач, решаемых на уровне государства. Данные обстоятельства обуславливается актуальность написания статьи. Целью написания данной работы является разработка комплекса моделей, описывающих особенности организационно-правовых и технических процессов, возникающих на этапах формирования требований к обеспечению информационной безопасности объектов КИИ. В качестве методической базой для написания работы использованы нормативно-правовые акты ФСТЭК России, находящиеся в открытом доступе. Для описания происходящих работ, выполняемых на этапе проектирования системы защиты информации КИИ, была использована методология функционального графического моделирования IDEF0. Результатом представленных в работе исследований является комплекс графических и символьных моделей, описывающих процессы, выполняемые на этапе проектирования системы защиты информации критических информационных инфраструктур.

Об авторах

Ярослав Евгеньевич Прокушев

Российский экономический университет имени Г.В. Плеханова

Email: prokye@list.ru
кандидат экономических наук, доцент; доцент кафедры прикладной информатики и информационной безопасности Москва, Российская Федерация

Сергей Владимирович Пономаренко

Белгородский университет кооперации, экономики и права

Email: kaf-otzi-spec@bukep.ru
кандидат технических наук, доцент; профессор кафедры информационной безопасности Белгород, Российская Федерация

Никита Владимирович Шишов

Белгородский университет кооперации, экономики и права

Email: asda.n@bk.ru
аспирант кафедры информационной безопасности Белгород, Российская Федерация

Список литературы

  1. Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и защите информации».
  2. Федеральный закон № 187-ФЗ от 27 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации».
  3. Постановление правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
  4. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  5. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  6. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
  7. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
  8. Методический документ ФСТЭК России «Методика оценки угроз безопасности информации». Утвержден ФСТЭК России 5 февраля 2021 г.
  9. Приказ ФСТЭК России от 29 апреля 2021 г. № 77 «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».
  10. Голдобина А.С., Исаева Ю.А., Селифанов В.В. и др. Построение адаптивной трехуровневой модели процессов управления системой защиты информации объектов критической информационной инфраструктуры // Доклады Томского государственного университета систем управления и радиоэлектроники. 2018. Т. 21. № 4. С. 51-58.
  11. Пономаренко С.В., Пономаренко С.А., Прокушев Я.Е. Информационная безопасность критических систем информационной инфраструктуры: монография. Белгород: Изд-во БУКЭП, 2021. 133 с.
  12. Пономаренко С.В., Пономаренко С.А., Александров В.В. Моделирование несанкционированного доступа к информационным ресурсам ключевых систем информационной инфраструктуры: монография. Белгород: Изд-во БУКЭП, 2017. 180 с.
  13. Прокушев Я.Е., Пономаренко С.В., Пономаренко С.А. Моделирование процессов проектирования систем защиты информации в государственных информационных системах // Computational Nanotechnology. 2021. Т. 8. № 1. С. 26-37.
  14. Банк данных угроз безопасности информации [Электронный ресурс]. URL: https://bdu.fstec.ru/threat

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать


Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».