ВЫБОР ЭЛЕМЕНТОВ КОМПЛЕКСА ЗАЩИТЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ НА ОСНОВЕ ТРЕБОВАНИЙ НОРМАТИВНО-ПРАВОВЫХ ДОКУМЕНТОВ

Введение. Качество производственных процессов во многом зависит от инфраструктуры управления — в частности, от эффективности информационной системы (ИС). Менеджмент компаний  уделяет все  большее внимание  обеспечению безопасности этой сферы, на ее поддержку регулярно направляются финансовые, материальные и другие ресурсы. В представленной работе рассмотрены вопросы построения комплекса защиты информационной системы предприятия.

Материалы  и  методы.  Охрана  ИС  предприятия  учитывает особенности объекта защиты и актуальные угрозы информационной безопасности. В рамках данного исследования принято, что ИС представляет собой комплекс информационных ресурсов. По результатам специального анализа определены категории угроз информационной безопасности предприятия: взлом; утечка; искажение; утрата; блокирование; злоупотребление. Выявлена связь данных угроз, компонентов ИС и элементов  комплекса  защиты.  Рассмотрены  требования  нормативно-правовых       актов       Российской       Федерации       и международных  стандартов,  регулирующих  данную  сферу. Показано, каким образом результаты данного анализа позволяют обосновать выбор элементов комплекса защиты ИС.

Результаты исследования. Сравнительный анализ регламентирующей литературы, относящейся к данному вопросу, позволил  выявить  следующее.  Разные  документы  предлагают разный набор элементов (подсистем) комплекса защиты ИС предприятия.  Разрабатывая  программу  защиты  ИС,  следует руководствоваться  Приказом  ФСТЭК  № 239  и  стандартом 800-82 Revision 2 Guide to ICS Security.

Обсуждение и  заключения. Результаты представленного  исследования являются основой для формирования программного комплекса интеллектуальной поддержки принятия решений при проектировании системы защиты информации на предприятии. В частности, можно разрабатывать гибкие комплексы, позволяющие расширять состав элементов (подсистем).

1. Ovsyanitskaya, L. Yu. Information security of small business: modern Condition, problems and the ways of their Solutions / L. Yu. Ovsyanitskaya, Yu. V. Podpovetnaya, A. D. Podpovetnyy // Вестник Южно-Уральского гос. унта. — 2017. — № 4. — С. 77–84. — (Компьютерные технологии, управление, радиоэлектроника).

2. Glukhov, V. V. Problems of data protection in industrial corporations enterprise architecture / V. V. Glukhov, I. V. Ilin, A. B. Anisiforov // SIN'15 : Proceedings of the 8th International Conference on Security of Information and Networks. — New York : ACM, 2015. — P. 34–37.

3. Пищик, Б. Н. Безопасность АСУ ТП [Электронный ресурс] / Б. Н. Пищик // Вычислительные технологии. — 2013. — Т. 18, спецвыпуск. — С. 170–175. — Режим доступа: http://www.ict.nsc.ru/jct/t18n7 (дата обращения: 22.07.18).

4. Безопасность промышленных систем в цифрах [Электронный ресурс] / Г. Грицай [и др.]. — Москва : Positive Technologies, 2012. — 37 с. — Режим доступа: http://www.ptsecurity.ru/download/SCADA_analytics_russian.pdf (дата обращения: 22.07.18).

5. Мукминов, В. А. Методика оценки реального уровня защищенности автоматизированных систем / В. А. Мукминов, В. М. Хуцишвили, А. В. Лобузько // Программные продукты и системы. — 2012. — № 1 (97). — С. 39–42.

6. Лукацкий, А. Обзор мировых стандартов ИБ АСУ ТП и советы по их применимости в российских условиях [Электронный ресурс] / А. Лукацкий // Cisco Systems : Docplayer. — Режим доступа http://docplayer.ru/33122677-Obzor-mirovyh-standartov-ib-asu-tp-i-sovety-po-ih-primenimosti-v-rossiyskih-usloviyah.html (дата обращения: 22.07.18).

7. Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды : Приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31 [Электронный ресурс] / Федеральная служба по техническому и экспортному контролю. — Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/864-prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения: 22.07.18).

8. Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации : Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239 [Электронный ресурс] / Федеральная служба по техническому и экспортному контролю. — Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/1593-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 (дата обращения: 22.07.18).

9. Guide to Industrial Control Systems (ICS) Security / K. Stouffer [et al.] ; U. S. Department of Commerce ; National Institute of Standards and Technology. — Gaithersburg : NIST, 2015. — 247 p.

10. Singhal, A. Security risk analysis of enterprise networks using probabilistic attack graphs / A. Singhal, X. Ou //Network Security Metrics. — Cham : Springer, 2017. — P. 53–73.