Выбор элементов комплекса защиты информационной системы предприятия на основе требований нормативно-правовых документов
Автор: Витенбург Е.А., Левцова А.А.
Журнал: Вестник Донского государственного технического университета @vestnik-donstu
Рубрика: Информатика, вычислительная техника и управление
Статья в выпуске: 3 т.18, 2018 года.
Бесплатный доступ
Введение. Качество производственных процессов во многом зависит от инфраструктуры управления — в частности, от эффективности информационной системы (ИС). Менеджмент компаний уделяет все большее внимание обеспечению безопасности этой сферы, на ее поддержку регулярно направляются финансовые, материальные и другие ресурсы. В представленной работе рассмотрены вопросы построения комплекса защиты информационной системы предприятия.Материалы и методы. Охрана ИС предприятия учитывает особенности объекта защиты и актуальные угрозы информационной безопасности. В рамках данного исследования принято, что ИС представляет собой комплекс информационных ресурсов. По результатам специального анализа определены категории угроз информационной безопасности предприятия: взлом; утечка; искажение; утрата; блокирование; злоупотребление. Выявлена связь данных угроз, компонентов ИС и элементов комплекса защиты. Рассмотрены требования нормативно-правовых актов Российской Федерации и международных стандартов, регулирующих данную сферу. Показано, каким образом результаты данного анализа позволяют обосновать выбор элементов комплекса защиты ИС.Результаты исследования. Сравнительный анализ регламентирующей литературы, относящейся к данному вопросу, позволил выявить следующее. Разные документы предлагают разный набор элементов (подсистем) комплекса защиты ИС предприятия. Разрабатывая программу защиты ИС, следует руководствоваться Приказом ФСТЭК № 239 и стандартом 800-82 Revision 2 Guide to ICS Security.Обсуждение и заключения. Результаты представленного исследования являются основой для формирования программного комплекса интеллектуальной поддержки принятия решений при проектировании системы защиты информации на предприятии. В частности, можно разрабатывать гибкие комплексы, позволяющие расширять состав элементов (подсистем).
Информационная система, информационная безопасность, система защиты информации, подсистемы защиты информации
Короткий адрес: https://sciup.org/142214960
IDR: 142214960 | DOI: 10.23947/1992-5980-2018-18-3-333-338
Список литературы Выбор элементов комплекса защиты информационной системы предприятия на основе требований нормативно-правовых документов
- Ovsyanitskaya, L. Yu. Information security of small business: modern Condition, problems and the ways of their Solutions/L. Yu. Ovsyanitskaya, Yu. V. Podpovetnaya, A. D. Podpovetnyy//Вестник Южно-Уральского гос. унта. -2017. -№ 4. -С. 77-84. -(Компьютерные технологии, управление, радиоэлектроника).
- Glukhov, V. V. Problems of data protection in industrial corporations enterprise architecture/V. V. Glukhov, I. V. Ilin, A. B. Anisiforov//SIN'15: Proceedings of the 8th International Conference on Security of Information and Networks. -New York: ACM, 2015. -P. 34-37.
- Пищик, Б. Н. Безопасность АСУ ТП/Б. Н. Пищик//Вычислительные технологии. -2013. -Т. 18, спецвыпуск. -С. 170-175. -Режим доступа: http://www.ict.nsc.ru/jct/t18n7 (дата обращения: 22.07.18).
- Безопасность промышленных систем в цифрах/Г. Грицай. -Москва: Positive Technologies, 2012. -37 с. -Режим доступа: http://www.ptsecurity.ru/download/SCADA_analytics_russian.pdf (дата обращения: 22.07.18).
- Мукминов, В. А. Методика оценки реального уровня защищенности автоматизированных систем/В. А. Мукминов, В. М. Хуцишвили, А. В. Лобузько//Программные продукты и системы. -2012. -№ 1 (97). -С. 39-42.
- Лукацкий, А. Обзор мировых стандартов ИБ АСУ ТП и советы по их применимости в российских условиях/А. Лукацкий//Cisco Systems: Docplayer. -Режим доступа http://docplayer.ru/33122677-Obzor-mirovyh-standartov-ib-asu-tp-i-sovety-po-ih-primenimosti-v-rossiyskih-usloviyah.html (дата обращения: 22.07.18).
- Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды: Приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31/Федеральная служба по техническому и экспортному контролю. -Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/864-prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения: 22.07.18).
- Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239/Федеральная служба по техническому и экспортному контролю. -Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/1593-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 (дата обращения: 22.07.18).
- Guide to Industrial Control Systems (ICS) Security/K. Stouffer; U. S. Department of Commerce; National Institute of Standards and Technology. -Gaithersburg: NIST, 2015. -247 p.
- Singhal, A. Security risk analysis of enterprise networks using probabilistic attack graphs/A. Singhal, X. Ou//Network Security Metrics. -Cham: Springer, 2017. -P. 53-73.