SELECTING SAFETY PACKAGE COMPONENTS OF ENTERPRISE INFORMATION SYSTEM FOLLOWING REQUIREMENTS OF STANDARD LEGAL DOCUMENTS

Introduction. Production processes quality depends largely on the management infrastructure, in particular, on the information system (IS) effectiveness. Company management pays increasingly greater attention to the safety protection of this sphere. Financial, material and other resources are regularly channeled to its support. In the presented paper, some issues on the development of a safety enterprise information system are considered.

Materials and Methods. Protection of the enterprise IS considers some specific aspects of the object, and immediate threats to IT security. Within the framework of this study, it is accepted that IS are a complex of data resources. A special analysis is resulted in determining categories of threats to the enterprise information security: hacking; leakage; distortion; loss; blocking; abuse. The connection of these threats, IS components and elements of the protection system is identified.  The requirements of normative legal acts of the Russian Federation and international standards regulating this sphere are considered. It is shown how the analysis results enable to validate the selection of the elements of the IS protection system.

Research Results. A comparative analysis of the regulatory literature pertinent to this issue highlights the following. Different documents offer a different set of elements (subsystems) of the enterprise IS protection system. To develop an IS protection program, you should be guided by the FSTEC Order No. 239 and 800-82 Revision 2 Guide to ICS Security.

Discussion and Conclusions. The presented research results are the basis for the formation of the software package of intellectual support for decision-making under designing an enterprise information security system. In particular, it is possible to develop flexible systems that allow expanding the composition  of the components (subsystems).

1. Ovsyanitskaya, L. Yu. Information security of small business: modern Condition, problems and the ways of their Solutions / L. Yu. Ovsyanitskaya, Yu. V. Podpovetnaya, A. D. Podpovetnyy // Вестник Южно-Уральского гос. унта. — 2017. — № 4. — С. 77–84. — (Компьютерные технологии, управление, радиоэлектроника).

2. Glukhov, V. V. Problems of data protection in industrial corporations enterprise architecture / V. V. Glukhov, I. V. Ilin, A. B. Anisiforov // SIN'15 : Proceedings of the 8th International Conference on Security of Information and Networks. — New York : ACM, 2015. — P. 34–37.

3. Пищик, Б. Н. Безопасность АСУ ТП [Электронный ресурс] / Б. Н. Пищик // Вычислительные технологии. — 2013. — Т. 18, спецвыпуск. — С. 170–175. — Режим доступа: http://www.ict.nsc.ru/jct/t18n7 (дата обращения: 22.07.18).

4. Безопасность промышленных систем в цифрах [Электронный ресурс] / Г. Грицай [и др.]. — Москва : Positive Technologies, 2012. — 37 с. — Режим доступа: http://www.ptsecurity.ru/download/SCADA_analytics_russian.pdf (дата обращения: 22.07.18).

5. Мукминов, В. А. Методика оценки реального уровня защищенности автоматизированных систем / В. А. Мукминов, В. М. Хуцишвили, А. В. Лобузько // Программные продукты и системы. — 2012. — № 1 (97). — С. 39–42.

6. Лукацкий, А. Обзор мировых стандартов ИБ АСУ ТП и советы по их применимости в российских условиях [Электронный ресурс] / А. Лукацкий // Cisco Systems : Docplayer. — Режим доступа http://docplayer.ru/33122677-Obzor-mirovyh-standartov-ib-asu-tp-i-sovety-po-ih-primenimosti-v-rossiyskih-usloviyah.html (дата обращения: 22.07.18).

7. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды : Приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31 [Электронный ресурс] / Федеральная служба по техническому и экспортному контролю. — Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/864-prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения: 22.07.18).

8. Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации : Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239 [Электронный ресурс] / Федеральная служба по техническому и экспортному контролю. — Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/1593-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 (дата обращения: 22.07.18).

9. Guide to Industrial Control Systems (ICS) Security / K. Stouffer [et al.] ; U. S. Department of Commerce ; National Institute of Standards and Technology. — Gaithersburg : NIST, 2015. — 247 p.

10. Singhal, A. Security risk analysis of enterprise networks using probabilistic attack graphs / A. Singhal, X. Ou //Network Security Metrics. — Cham : Springer, 2017. — P. 53–73.