МОДЕЛЬ И АЛГОРИТМ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ ВЫСШЕГО ОБРАЗОВАНИЯ С УЧЕТОМ ТРЕБОВАНИЙ УПРАВЛЕНИЯ НА ОСНОВЕ ДАННЫХ Текст научной статьи по специальности «Компьютерные и информационные науки»

DOI 10.54398/20741707_2022_4_107 УДК 004.056

МОДЕЛЬ И АЛГОРИТМ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ ВЫСШЕГО ОБРАЗОВАНИЯ С УЧЕТОМ ТРЕБОВАНИЙ УПРАВЛЕНИЯ НА ОСНОВЕ ДАННЫХ1

Статья поступила в редакцию 26.10.2022, в окончательном варианте - 26.10.2022.

Золотарев Вячеслав Владимирович, Сибирский государственный университет науки и технологий, 660037, Российская Федерация, г. Красноярск, пр. им. газеты «Красноярский рабочий», 31,

кандидат технических наук, доцент, заведующий кафедрой безопасности информационных технологий, ORCID: 0000-0002-8054-8564, e-mail: zolotorev@sibsau.ru

Лапина Мария Анатольевна, Северо-Кавказский федеральный университет, 355017, г. Ставрополь, ул. Пушкина, 1,

кандидат физико-математических наук, доцент, заместитель директора по международной деятельности, заведующий базовой кафедры комплексного обеспечения информационной безопасности автоматизированных систем Института цифрового развития, ORCID: 0000-0001-8117-9142, e-mail: mlapina@ncfu.ru

В современных подходах к управлению информационной безопасностью внимание разработчиков акцентировано на инфраструктурных и организационных элементах. Особенно это характерно для организаций, формирующих основное содержание управленческих процессов не через технические и программно-аппаратные возможности, например, автоматизацию, а через организационные элементы: регламенты, политики, требования. Вместе с тем для управления информационной безопасностью существенно учитывать и другие элементы, которые могут быть объектами воздействия мер защиты: базы данных и базы знаний, процессы, контролирующие их жизненный цикл, а также персонал, задействованный этими процессами. В работе описаны модель и алгоритм управления информационной безопасностью с учетом требований информационной безопасности, относящихся к собираемым и используемым данным. Схема, предложенная в работе, может быть использована как для имитационных моделей, так и для реализации в виде набора процессов управления информационной безопасностью в практических задачах.

Ключевые слова: управление информационной безопасностью, процессный подход, алгоритм управления безопасностью, образовательный процесс, информационная инфраструктура, управление на основе данных

THE INFORMATION SECURITY MANAGEMENT MODEL AND ALGORITHM WITH REQUIREMENTS OF DATA MANAGEMENT FOR EDUCATIONAL ORGANIZATION OF HIGHER EDUCATION

The article was received by the editorial board on 26.10.2022, in the final version — 26.10.2020.

Zolotarev Vyacheslav V., Siberian State University of Science and Technology, 31 Krasnoyarsky Rabochy Ave., Krasnoyarsk, 660037, Russian Federation,

Cand. Sci. (Engineering), Associate Professor, Head of Information Technologies Security Department, ORCID: 0000-0002-8054-8564, e-mail: zolotorev@sibsau.ru

Lapina Maria A., North Caucasus Federal University, 1 Pushkin St., Stavropol, 355017, Russian Federation, Cand. Sci. (Physics and Mathematics), Associate Professor, Deputy Director for International Activities, Head of the Basic Department of Integrated Information Security of Automated Systems of the Institute for Digital Development, ORCID: 0000-0001-8117-9142, e-mail: mlapina@ncfu.ru

In modern approaches to information security management, the attention of developers is focused on infrastructure and organizational elements. This is especially true for organizations that form the main content of management processes not through technical and hardware-software capabilities, for example, automation, but through organizational elements: regulations, policies, requirements. At the same time, for information security management, it is essential to take into account other elements that may be affected by security measures: databases and knowledge bases, processes that control their life cycle, as well as personnel involved in these processes. The paper describes the model and algorithm of information security management, taking into account the requirements of information security related to the collected and used data. The scheme proposed in the paper can be used both for simulation models and for implementation as a set of information security management processes in practical tasks.

Keywords: information security management, process approach, security management algorithm, educational process, information infrastructure, data-based management

'Исследование выполнено при финансовой поддержке Минцифры РФ (Грант ИБ). Проект № 40469-01/2022-д.

Graphical annotation (Графическая аннотация)

L

Управление записями и документами

Уровни управления ИБ ООВО

Уровень знаний

Уровень данных

Уровень организации процессов

Уровень инфраструктуры

Поддерживающие процессы

Управление ресурсами

Сбор данных: создание безопасных алгоритмов и подходов безопасного сбора и анализа данных

Верификация данных: создание безопасных алгоритмов и подходов подтверждения и верификации данных

Валидация данных: создание безопасных алгоритмов и подходов работы с данными агрегированных баз данных

Использование данных: создание безопасных алгоритмов и подходов применения данных

Процессы управления ИБ для уровня данных

Управление коммуникациями

Введение. Управление информационной безопасностью в образовательных учреждениях высшего образования - сложный многоуровневый процесс, часто недооцениваемый в рамках практической деятельности. Его использование как составляющей принятия управленческих решений требует как глубокого понимания внутренних процессов (бизнес-процессов или, если такой термин представляется университету более приемлемым, технологических процессов), так и сопоставления текущей практической ситуации с развитием теории в области управления информационной безопасностью. К примеру, авторы работы [1] справедливо указывают, что «принятие управленческих решений в университетах становится невозможным без опоры на агрегированные данные, собираемые из ключевых учетных информационных систем вуза. Каким бы ни был уровень автоматизации университета, его базовые процессы взаимодействия «преподаватель - студент», по требованиям федеральных государственных образовательных стандартов, должны происходить в электронной информационно-образовательной среде (ЭИОС)» [1].

Но при этом, очевидно, должны происходить трансформационные изменения как в составе средств защиты информации, так и в лежащей в основе обеспечения информационной безопасности университета модели их применения. Как минимум необходимо отметить следующие моменты:

1. Агрегирование данных предполагает не только создание и использование баз данных, содержащих такие агрегированные данные, но и управление на основе данных как отдельный существенный слой бизнес-процессов, включающих, например, такие критичные для принятия решений, как верификация и валидация данных.

2. Появление слоя управления данными, в свою очередь, должно порождать в том или ином виде (часто вырожденном, редуцированном, но тем не менее) отдельный слой управления знаниями.

Далее будет показано, что на современном уровне развития методической поддержки процесса управления информационной безопасностью ни управлению данными, ни тем более управлению знаниями не уделяется достаточного внимания на уровне управления безопасностью.

Здесь же можно упомянуть проблему управления информационной безопасностью цифровых двойников [2]. Интеграционные процессы в образовании на уровне их создания и использования приводят к тому, что меняются порядок и схема применения результатов их применения, формируются новые устойчивые связи, поддерживающие процессы управления информационной безопасности на уровне как самого цифрового двойника, так и определяющих его функционирование информационных и социально-экономических систем.

Даже задача изменения ландшафта атак с учетом применения цифровых двойников в образовании имеет множество интересных измерений, не говоря уже о ее приложениях к упомянутым выше, но мало рассматриваемым в литературе слоям управления данными и управления знаниями.

Целью исследования, результаты которого приведены ниже, является решение следующей проблемы: возможно ли с учетом установленных ограничений сформулировать и решить в заданное время задачу управления информационной безопасностью с учетом требований к новому слою бизнес-процессов управления данными? Отдельным вопросом является решение указанной задачи в переходных состояниях цифровой трансформации. Пример такого переходного состояния может быть выбран из следующего запроса: «возможно ли развернуть центр ситуационного мониторинга инженерных систем образовательного учреждения, включая в число таких систем как систему контроля управления доступом, так и контрольно-измерительные устройства инженерных систем, с агрегированием данных в единую базу данных университета? Существенным условием является следующее: если развертывание системы защиты информации информационных систем персональных данных университета не завершено?». Даже первое приближение к задаче управления информационной безопасностью при такой постановке сгенерирует множество вопросов для обсуждения, от защиты (и классификации) биометрических данных до управления доступом к единой базе лиц, ответственных за валидацию данных инженерных систем.

Новыми результатами исследования, представленными ниже, стали:

1) формирование четырехуровневой модели управления информационной безопасностью, включающей слой управления данными и слой управления знаниями, для описания процессов управления информационной безопасностью, затрагивающих несколько уровней этой модели;

2) формирование новых устойчивых связей поддерживающих процессов управления информационной безопасностью на уровне отдельных задач с учетом четырехуровневой модели с акцентом на уровень данных.

Процесс управления информационной безопасностью образовательного процесса. В данном исследовании предлагается использовать измеряемые количественные признаки, пригодные для оценки устойчивых связей поддерживающих процессов управления информационной безопасностью. Уровень управления данными будет рассмотрен с использованием требований программ цифровой трансформации, разработанных в университетах в 2021 году.

Каждая из таких моделей, к примеру, должна включать уровень управления данными, что может создать основу для решаемых в настоящем исследовании задач управления информационной безопасностью, и при этом генерирует множественные вариации этой задачи в переходных состояниях, некоторые примеры которых будут рассмотрены ниже.

В целом, для дальнейшего рассмотрения можно учесть следующее. Согласно программе цифровой трансформации, «целевой моделью университета, с позиций цифровой трансформации, является формирование единого цифрового образовательного и научного пространства. При этом глобально университет должен представлять комплекс цифровых возможностей, транслирующих идею цифровой трансформации всем участникам образовательного процесса и заинтересованным сторонам через цифровые сервисы, элементы цифровой среды, инфраструктуру и исследовательские задачи» [3]. Но это, как видно из формулировки, требует пересборки как поддерживающих процессов на уровне самого университета, так и на уровне заинтересованных в участии в таком взаимодействии сторон.

Управление информационной безопасностью, безусловно, часть указанного процесса трансформации. В основе своей это является следствием продолжающейся цифровой трансформации образовательного процесса. Управление информационной безопасностью в целом должно генерировать базовые процессы, применимые в задаче, такие как [2]:

- управление требованиями к безопасности хранения, обработки, синтеза и анализа данных образовательного контента и цифрового следа;

- реализация процедур и сценариев обеспечения непрерывности образовательного контента, включая сценарии нарушения работоспособности при развертывании виртуальных стендов и контроля целостности цифровых двойников рабочих программ дисциплин;

- обучающие сценарии и сценарии оповещения при администрировании организационной и технической части образовательного процесса, в том числе и обучение действиям на основе стресс-тестов;

- управление уязвимостями используемого программного обеспечения для виртуальных лабораторий и виртуальной инфраструктуры в целом;

- управление рисками, включая правовые и юридические моменты, при формировании и использовании цифровых двойников дисциплин, рабочих программ, лабораторий и программных (программно-аппаратных) средств защиты информации (в рамках рассматриваемой проблематики); для иных областей образования - программных (программно-аппаратных) средств, используемых для формирования образовательного контента цифрового двойника дисциплины;

- управление инцидентами;

- целостное и непрерывное управление изменениями образовательного контента и цифровых двойников, включая процедуры синхронизации.

Далее будет показан план развертывания поддерживающих процессов в различных моделях управления информационной безопасностью.

К примеру, авторы работы [4], акцентируя внимание на управляющих системах индустриального типа, изучают отличия подхода к построению систем управления информационной безопасностью промышленных систем от стандартного подхода как на уровне свойств безопасности, так и на уровне стандартных требований. Интересным в плане настоящего исследования в упомянутой работе является отслеживание типового информационного потока и сопоставление различных требований безопасности по областям их применения.

В исследовании [5] проводится анализ стандартов безопасности для улучшения их управления информационной безопасностью. Дедуктивный метод был применен для обзора и анализа соответствующих стандартов для государственных учреждений. В результате была получена информация о различных политиках безопасности, стандартах и руководствах, которые применяются национальными и международными общественными организациями. Приведена схема мероприятий по принятию стандартов для организаций, модель управления информационной безопасностью, основанная на стандартах и матрица управления информационной безопасностью, на основе которой был рассчитан процент снижения риска. Получены результаты, что поддержание высокого уровня безопасности в организациях требует принятия стандартов контроля в разных сферах и взаимодействия различных организационно-иерархических уровней организаций.

Авторы работы [6], формируя модель управления информационной безопасностью, сосредоточились на оптимизационной задаче, отталкиваясь от ограниченности ресурсов. Подход авторов статьи заключается в возможности многоуровневой (отличающейся по сложности и ресурсоемко-сти) системы защиты и риск-ориентированном порядке действий.

В статье [7] изучаются требования к сервис-ориентированным платформам с позиций управления безопасностью. Для информационных систем образовательных учреждений это имеет значение с позиций изучения управляющих механизмов безопасности центрального ядра электронно-информационной образовательной среды и развернутой в ней цифровых сервисов.

В диссертационной работе [8] показано, каким образом возможно учесть для управляющих механизмов безопасности информационной среды дестабилизирующие факторы в условиях неопределенности, что может быть применено и для переходных состояний различного типа, и для ситуаций (сценариев) с неполной информацией. Авторы [9] же сосредоточились на задачах оценки зрелости организаций (и организационных структур).

Даже краткие обзоры работ показывают, что, к примеру, нормой при развертывании системы управления информационной безопасностью является конфликт интересов, дублирование задач, снижение эффективности использования ресурсов [10], а учет движения данных и задач работы с ними, не говоря уже о более абстрактных уровнях приложения управляющих воздействий, остается в тени инфраструктурных и организационных задач.

Следовательно, такие модели управления информационной безопасностью, которые могут учитывать и требования к работе с данными, и более высокие уровни абстракции, могут быть востребованы на практике при дальнейшем росте уровня зрелости организаций в области информационной безопасности. Далее авторами и показаны особенности работы с процессами управления информационной безопасности с учетом нового слоя процессов управления данными.

Уровни модели управления информационной безопасностью. Начнем рассмотрение с общей схемы, учитывающей особенности цифровой трансформации ООВО, представленной на рисунке 1. Принципиальные изменения, декларируемые в ней, следующие:

1. Появляется отдельный класс систем управления на основе данных, которые необходимо использовать в работе.

2. Появляются множественные информационные потоки, ранее не представленные (или представленные фрагментарно) в системах управления ООВО.

Управления знаниями здесь нет, но создаются предпосылки для массового использования одной или нескольких агрегированных баз данных, что генерирует задачи управления информационной безопасностью как самих этих баз, так и доступом к ним. Вернемся к этим задачам позже.

Компетенции цифровой экономики

Системы управления на основе данных

Индивидуальные образовательные траектории

Уровни управления ИБ ООВО

Востребованные рынком компетенции Направления хакато-нов/проектов

Верификация и валидация

данных Верификация и регламентация процессов и процедур

Индивидуальные образовательные траектории

Цифровые образовательные технологии

Компетенции цифровой экономики

Системы управления на основе данных

Механизмы встраивания

КЦЭ в ОП Анализ цифрового следа Оценка курсов и преподавателей

Образовательные продукты Новые модели образования

Микромодули Образовательные технологии

Управление записями и документами

Поддерживающие процессы

Управление ресурсами

Управление коммуникациями

Рисунок 1 - Схема функционирования университета по завершению цифровой трансформации (КЦЭ -компетенции цифровой экономики; ОП - образовательный процесс)

Если же рассмотреть схему управления ООВО на примере отдельных процессов, то можно выделить 6-8 процессов, наиболее интересных с позиции выстраивания новой схемы управления информационной безопасностью (рис. 2).

Рисунок 2 - Схема управления ООВО на примере отдельных процессов

Такими процессами, интересными с позиции управления информационной безопасностью на уровне управления данными, с учетом приведенной схемы могут быть:

1. Работа с данными образовательного процесса и исследовательских задач.

2. Сбор и анализ данных инженерных систем.

3. Сбор и анализ данных закупочных процедур (с учетом возможности внешнего доступа к ним).

4. Сбор и анализ данных правового сопровождения базовых процессов ООВО (с учетом возможности внешнего доступа к ним).

5. Работа с агрегированными базами данных студентов, выпускников и сотрудников.

6. Функционирование ситуационного центра (ситуационных центров) и центров поддержки принятия решений.

Даже на приведенной схеме видно несколько моментов, возникающих на уровне управления информационной безопасностью агрегированных баз данных, а именно:

1. Можно ли гарантировать, что управление доступом к различным элементам баз данных со стороны взаимодействующих сторон не приведет к нарушению требований информационной безопасности, (хотя бы) определенных законодательно?

2. Можно ли гарантировать, что агрегирование, верификация и валидация данных не приведет, прямо или косвенно, к возможности нарушения их конфиденциальности и/или целостности, что, в свою очередь, нарушит процессы управления ООВО или ее партнеров?

3. Можно ли сформировать единые требования к управлению информационной безопасностью с учетом элементов, указанных выше на схеме, не нарушая требований, определенных нормативно, но при этом не нарушая работоспособности управленческих процессов?

Рассмотрим общую модель управления информационной безопасностью образовательной организации высшего образования с учетом требований управления данными на схеме ниже (рис. 3).

Поддерживающие процессы

Управление записями и документами

Управление ресурсами

Управление коммуникациями

Рисунок 3 - Модель управления информационной безопасностью образовательной организации высшего образования с учетом требований управления данными

Итак, в данном случае требования к управлению данными должны быть дополнены требованиями управления информационной безопасностью для агрегированных баз, используемых для принятия решений. Далее на основе современного стандарта [11], регламентирующего практические правила управления информационной безопасностью, показаны применимые (и недостающие) процессы управления ИБ (табл. 1).

Акцентирование внимание на четырех основных процессах - сбора, валидации, верификации и использования данных позволяет как использование принципа, который можно сформулировать так: все данные, собираемые внутри систем и процессов ООВО, должны быть доступны для использования в любых процессах, в которых они могут понадобиться (принцип максимальной полезности), так и особенность самой деятельности по сбору, анализу и использованию данных, которая

предполагает агрегирование, но не обязательно требует централизации (синхронизированные децентрализованные базы данных и некоторые другие решения также применимы). Таким образом, далее описано управление ИБ универсальных процессов уровня управления данными.

Таблица 1 - П

зименимые (и недостающие) процессы управления ИБ для уровня данных

Процесс

Назначение

Требования

Примечание

Сбор данных

- Назначение ролей и обязанностей по контролю, анализу и технологии безопасного сбора данных

- Разделение обязанностей в области безопасного сбора и анализа данных

- Минимизация полномочий

- Обеспечение информационной безопасности при управлении проектами_

- Ограничение доступа к данным (не все данные должны подлежать автоматическому или автоматизированному сбору), ограничение по ролям и обязанностям

- Срок хранения и место хранения, а также условия хранения должны быть определены

ГОСТ Р ИСО/МЭК 270022021, п. 6.1.1, 6.1.2, 6.1.5 (применимо)

Верификация данных

- Назначение ролей и обязанностей по контролю, анализу и технологии безопасной верификации данных

- Разделение обязанностей в области безопасной верификации данных

- Минимизация полномочий

- Обеспечение информационной безопасности при взаимодействии с органами власти и профессиональными сообществами

- Ограничение доступа к источникам вспомогательных данных для верификации (записям, документам, регистрационным данным)

- Ограничение доступа к данным для случая запроса внешних заинтересованных лиц

- Ограничение доступа к данным для случая запроса внутренних заинтересованных лиц

ГОСТ Р ИСО/МЭК 270022021, п. 6.1.1, 6.1.3, 6.1.4 (применимо)

Валидация данных

- Назначение ролей и обязанностей по контролю, анализу и технологии безопасной валидации данных

- Разделение обязанностей в области безопасного анализа данных

- Минимизация полномочий

- Ограничение доступа к тестовым и имитационным моделям управления качеством

- Ограничение доступа к источникам вспомогательных данных для валидации (записям, документам, регистрационным данным)_

ГОСТ Р ИСО/МЭК 270022021, п. 6.1.1 (применимо)

Использование данных

- Разделение обязанностей в области безопасного использования данных

- Минимизация полномочий

- Обеспечение информационной безопасности при взаимодействии с органами власти и профессиональными сообществами

Управление доступом к данным на всех этапах жизненного цикла

ГОСТ Р ИСО/МЭК 270022021, п. 6.1.1, 6.1.3, 6.1.4 (применимо)

Общие процессы

- Моделирование бизнес-процессов в области управления ИБ для уровня данных

- Реализация политики управления данными в части ИБ

- Оценка и контроль защищенности уровня данных модели управления ИБ ООВО

- Обеспечение безопасности дистанционной работы с данными

- Управление активами, связанными с данными

- Управление доступом к данным

- Резервное копирование

- Управление коммуникациями

- Управление тестовыми данными

- Ограничение доступа к данным, используемым для формирования моделей чувствительных бизнес-процессов ООВО

- Учет требований при формировании руководящих указаний в части информационной безопасности

ГОСТ Р ИСО/МЭК 270022021, п. 5.1, п. 6.2, п.8, п.9, п. 12.3, п. 13, п.14.3, п. 18 (применимо)

Если же рассматривать указанный уровень более подробно, то основными процессами управления информационной безопасностью в данном случае должны быть:

- управление требованиями к безопасности хранения, обработки, синтеза и анализа данных образовательного контента и цифрового следа, основанное на непрерывном мониторинге цифровой среды, в которой развернут образовательный контент. Ценность данных в этом случае будет выше, если помимо непосредственных процедур обращения к данным будут проанализированы с позиций управления информационной безопасностью и регламентированы вспомогательные процедуры, такие как маркировка данных и управление жизненным циклом данных;

- реализация процедур и сценариев обеспечения непрерывности управления на основе данных. Анализ таких процедур и сценариев должен быть непрерывным и базироваться на моделировании бизнес-процессов организации в реальном времени (что требует отдельных усилий по модернизации системы управления организацией и системы менеджмента качества);

- реализация политики управления данными в части информационной безопасности, включая удаление, использование и передачу заинтересованным сторонам различных данных, применимых в процессах и процедурах управления образовательной организации.

Для поддерживающих процессов (рис. 3) в данном случае необходимо реализовать:

- управление записями и регламентами работы с данными в части обеспечения, мониторинга и анализа информационной безопасности;

- управление ресурсами в плане выделения процессорного времени, резервирования каналов передачи данных и оперативной памяти, резервирования времени использования инфраструктуры общего пользования для задач управления на основе данных, управления данными;

- управление коммуникациями в плане формирования протоколов обмена данными цифрового следа, включая их безопасность;

- управления резервированием агрегированных баз данных;

- управления безопасным обменом данными, в том числе в рамках внутренних и внешних процедур взаимодействия;

- управление доступом к источникам вспомогательных данных для задач валидации и верификации, а также различных служебных задач (таких как сбор телеметрии инженерных систем);

- управление активами, связанными с данными.

При этом необходимо учитывать, что работа на уровне управления данными предполагает набор задач по защите информации для агрегированных баз данных организации, а работа на уровне управления на основе данных - задач коммуникации, верификации, валидации данных и принятия решений заинтересованными сторонами.

К примеру, информационные потоки задачи управления данными (табл. 2) для автоматизированных процедур может выглядеть следующим образом

Таблица 2 - Пример информационных потоков

Наименование информационной системы Вид данных Экспортируемые данные Импортируемые данные Вид управления данными

Система дистанционного обучения Учетные записи пользователей (ФИО, логин, пароль, электронная почта, дополнительные данные, цифровой след) Количество посещений пользователями сервера в сутки Количество электронных образовательных курсов (ЭОК) по подразделениям Количество студентов и преподавателей Резервные копии ЭОК Учетные записи сторонних пользователей (участники олимпиад, слушатели курсов) Автоматизированный

При этом задача управления на основе данных будет предполагать, к примеру, предиктивный анализ образовательного контента на основе известных данных о пользовательской активности и внешних требованиях к составу ЭОК.

Кроме того, надо учитывать, что одной из стратегических задач в рамках цифровой трансформации любой организации, и ООВО в том числе, является максимальное раскрытие данных с целью повышения как осведомленности (прозрачности) относительно принимаемых решений, так и качества принимаемых решений. При этом задача обеспечения раскрытия данных и задача управления

информационной безопасности данных и процедур принятия решения на основе данных не должны вступать в противоречие, что также является одним из аспектов решения поставленной в настоящем исследовании задачи.

Далее рассмотрим обобщенный алгоритм управления информационной безопасностью для образовательной организации высшего образования на уровне данных.

Алгоритм управления информационной безопасностью ООВО на уровне данных и примеры задач в переходных состояниях. Для управления информационной безопасностью ООВО на уровне данных, как указано выше, критично учитывать процедуры сбора, обработки, хранения и использования данных с позиций информационной безопасности. Таким образом, алгоритм может выглядеть следующим образом:

1. Оценка снимаемых параметров различных информационных систем, действий, процессов и процедур, их формата и способа считывания для анализа возможности применения мер защиты информации. На этом уровне интересен формат, способ сбора данных и возможность автоматизированной либо автоматической процедуры работы с ними на любом из этапов.

2. Анализ протоколов обмена данными для получения информации о способе передачи, формате данных и заголовков, служебной информации, промежуточных коммуникационных устройствах. При этом передача данных может быть и неавтоматизированной, что подразумевает также учет диаграммы потоков данных организации, заинтересованных сторон и персонала, задействованного в жизненном цикле данных.

3. Анализ системы управления хранением данных и их обработкой. В большинстве случаев речь будет идти либо о работе с файлами, в том числе большого размера, либо о системе управления базами данных. Соответственно меры по защите информации будут сосредоточены либо на безопасности штатных средств обработки данных, либо на защите учетных записей, привязанных к их обработке. Также допустимо сквозное шифрование. Данные, полученные от пользователей в формате анкетирования и опросов, также должны быть предварительно обработаны для загрузки в базы данных, следовательно, процедуры предобработки также должны быть проанализированы.

4. Анализ порядка доступа к данным (в том числе для процессов валидации, верификации, создания и уничтожения данных). Это может быть значимо как для управления принятием решения с позиций управления информационной безопасностью этого процесса, так и для извлечения и обработки данных. Имеет значение используемая операционная среда, а также возможности штатных средств доступа, такие как резервное копирование и защита информации резервных копий, идентификация и аутентификация, шифрование данных.

Ниже (рис. 4) показана общая схема работы с информационными потоками на основе указанного обобщенного алгоритма.

Рисунок 4 - Общая схема работы с информационными потоками

Информационные потоки внутри системы стимулируют внедрение и конкретных мер управления информационной безопасностью на уровне управления на основе данных. Системы управления на основе данных как генерируют собственный контекст мер безопасности (такие как разделение потоков, управление конфиденциальностью выдачи данных или работа с целостностью сообщений источников данных), так и учитывают существующий контекст информационной системы.

Если учитывать показанный выше алгоритм действий и замечание относительно контекста уровня работы с данными, то формируется следующая схема применения конкретных мер защиты данных (рис. 5).

Рисунок 5 - Управление информационной безопасностью при работе с уровнем данных (меры защиты)

При этом нет гарантий, что изменения информационной инфраструктуры и/или организационных процессов не приведут к изменениям в слое данных. На самом деле при функционировании любой информационной системы, и информационные системы рассматриваемого в исследовании типа не исключение, требуется на постоянной основе отслеживать динамику изменений как базовой основы системы, так и контекста ее применения.

Ниже (табл. 3) приводится пример такого переходного состояния, возникающего в процессе изменений системы. Для построения модели перед расчетом переходных состояний целесообразно учитывать контрольные испытания или опыт реализации процессов с учетом времени выполнения; обеспечивать автономность выполнения задач. В частности, возможно заранее предусмотреть дублирование или параллельное выполнение отдельных задач, резервирование ресурсов.

Переходные состояния различного типа, а также уровень знаний как уровень модели информационной безопасности, а также обобщающие требования для различных уровней должны быть рассмотрены отдельно. Тем не менее, исходя из поставленной задачи, для уровня управления данными (и в целом слоя данных) возможно построение такой процессной модели, которая будет учитывать основные требования управления безопасности и вместе с тем расширять понимание изучаемого объекта. Отдельным вопросом является наличие стабильных состояний такой модели (с учетом слоев инфраструктуры, данных и организационных процессов), а также стабильных состояний расширенной, четырехуровневой модели, с учетом дополнительного слоя управления знаниями.

Таблица 3 - Примеры задач управления информационной безопасностью в переходных состояниях системы

Задача Возможность моделирования времени перехода Возможность формализации процесса перехода Возможность привязки к смежным задачам

Внедрение аналитической системы мониторинга и анализа цифровых следов обучающегося, сотрудника, ученого Подзадачи (пример): расчет времени верификации данных Подзадачи (пример): моделирование процессов управления требованиями Подзадачи (пример): управление ИБ при создании цифровых двойников [2]

Заключение. Исследование сосредоточено на формировании пригодных в практике рекомендаций по построению процессной модели управления информационной безопасности, учитывающей как традиционные рассматриваемые уровни управления инфраструктурой информационной системы и управления организационными процессами, так и новые, расширяющие модель уровень-данных, рассмотренный в настоящей работе, и уровень знаний.

Подобное расширение может быть полезно при развертывании разных типов экспертных и советующих систем, систем поддержки принятия решений, ситуационных центров и особенно интересно для задач переходных состояний, которые возможно рассмотреть в отдельных исследованиях.

Библиографический список

1. Кунц, Е. Ю. Использование компетентностной модели образовательной программы для принятия управленческих решений в образовательной организации / Е. Ю. Кунц, П. С. Ложников // Прикаспийский журнал: управление и высокие технологии. - 2022. - № 2. - С. 27-34.

2. Попов, А. М. Проблема управления информационной безопасностью при создании цифрового двойника дисциплины / А. М. Попов, В. В. Золотарев, Е. Ю. Кунц // Прикаспийский журнал: управление и высокие технологии. - 2022. - № 2. - С. 109-118.

3. Стратегия цифровой трансформации Сибирского государственного университета науки и технологий. -Красноярск, 2021. - 117 с.

4. Sanghyun, Park. Advanced Approach to Information Security Management System Model for Industrial Control System / Sanghyun Park and Kyungho Lee // The Scientific World Journal. - 2014. - Vol. 2014, article ID 348305. -13 p. - http://dx.doi.org/10.1155/2014/348305.

5. Toapanta, Segundo Moisés Toapantaa. Analysis for the adoption of security standards to improve the management of securities in public organizations / Toapanta Segundo Moisés Toapantaa, Ronquillo Madeleine Lilibeth Alvaradob, Gallegos Luis Enrique Maflab, Zezzatti Alberto Ochoac // 2020 International Conference on Machine Learning and Intelligent Systems, MLIS-2020. Frontiers in Artificial Intelligence and Applications. - 2020. - Vol. 332. -P. 310-321. - https://doi.org/10.3233/FAIA200796 MLIS-2020.

6. Фомченкова, Л. В. Модель управления информационной безопасностью / Л. В. Фомченкова, А. В. Леонов // Journal of Economy and Business. - 2019. - Vol. 12-3 (58). - https://doi.org/10.24411/2411-0450-2019-11489.

7. Wilk, J. Information security management model for integration platforms / J. Wilk // 2015 Forth International Conference on e-Technologies and Networks for Development (ICeND). - 2015. - P. 1-6. - https://doi.org /10.1109/ICeND.2015.7328532.

8. Зырянова, Т. Ю. Модель системы управления информационной безопасностью в условиях неопределенности воздействия дестабилизирующих факторов : автореф. дис. ... канд. техн. наук по специальности: 05.13.19 - Методы и системы защиты информации / Т. Ю. Зырянова. - Томск, 2008.

9. Osamah, M. M. Al-Matari. Adopting security maturity model to the organizations' capability model / Osamah M. M. Al-Matari, Iman M. A. Helal, Sherif A. Mazen, Sherif Elhennawy // Egyptian Informatics Journal. - 2021. -Vol. 22, issue 2. - P. 193-199. - https://doi.org/10.1016/j.eij.2020.08.001.

10. Офицеров, А. И. Концептуальные основы обеспечения комплексной безопасности критически важных объектов / А. И. Офицеров, О. О. Басов, С. С. Бачурин // Экономика. Информатика. - 2020. - Т. 47, № 1.

11. ГОСТ Р ИСО/МЭК 27002-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности. Information technology. Security techniques. Code of practice for information security controls ОКС 35.030. Дата введения 2021-11-30.

References

1. Kunts, E. Yu., Lozhnikov, P. S. Ispolzovaniye kompetentnostnoy modeli obrazovatelnoy programmy dlya prinyatiya upravlencheskikh resheniy v obrazovatelnoy organizatsii [Using the competence model of an educational program for making managerial decisions in an educational organization]. Prikaspiyskiy zhurnal: upravleniye i vysokiye tekhnologii [Caspian Journal: Control and High Technologies], 2022, no. 2, pp. 27-34.

2. Popov, A. M., Zolotarev, V. V., Kunts, E. Yu. Problema upravleniya informatsionnoy bezopasnostyu pri sozdanii tsifrovogo dvoynika distsipliny [The problem of information security management when creating a digital

twin of the discipline]. Prikaspiyskiy zhurnal: upravleniye i vysokiye tekhnologii [Caspian Journal: Control and High Technologies], 2022, no. 2, pp. 109-118.

3. Strategiya tsifrovoy transformatsii Sibirskogo gosudarstvennogo universiteta nauki i tekhnologiy [Digital Transformation Strategy of the Siberian State University of Science and Technology]. Krasnoyarsk, 2021. 117 p.

4. Sanghyun, Park and Kyungho, Lee. Advanced Approach to Information Security Management System Model for Industrial Control System. The Scientific World Journal, 2014, vol. 2014, article ID 348305, 13 p. http://dx.doi.org/10.1155/2014/348305.

5. Toapanta, Segundo Moisés Toapantaa, Ronquillo, Madeleine Lilibeth Alvaradob, Gallegos, Luis Enrique Maflab, Zezzatti, Alberto Ochoac. Analysis for the adoption of security standards to improve the management of securities in public organizations. 2020 International Conference on Machine Learning and Intelligent Systems, MLIS-2020. Frontiers in Artificial Intelligence and Applications, 2020, vol. 332, pp. 310-321. https://doi.org/10.3233/FAIA200796.

6. Fomchenkova, L. V., Leonov, A. V. Model upravleniya informatsionnoy bezopasnostyu [Information security management model]. Journal of Economy and Business, 2019, vol. 12-3 (58). https://doi.org/10.24411/2411-0450-2019-11489.

7. Wilk, J. Information security management model for integration platforms. 2015 Forth International Conference on e-Technologies and Networks for Development (ICeND), 2015, pp. 1-6. https://doi.org/10.1109 /ICeND.2015.7328532.

8. Zyryanova, T. Yu. Model sistemy upravleniya informatsionnoy bezopasnostyu v usloviyakh neopredelennosti vozdeystviya destabiliziruyushchikh faktorov : avtoreferat dissertatsii ... kandidata tekhnicheskikh nauk po spetsi-alnosti: 05.13.19 - Metody i sistemy zashchity informatsii [Model of the information security management system in conditions of uncertainty of the impact of destabilizing factors : abstract of the dissertation for the degree of Candidate of Technical Sciences in the specialty: 05.13.19 - Methods and systems of information protection]. Tomsk, 2008.

9. Osamah, M. M. Al-Matari, Iman, M.A. Helal, Sherif, A. Mazen, Sherif, Elhennawy. Adopting security maturity model to the organizations' capability model. Egyptian Informatics Journal, 2021, vol. 22, issue 2, pp. 193-199. https://doi.org/10.1016/j.eij.2020.08.001.

10. Ofitserov, A. I., Basov, O. O., Bachurin, S. S. Kontseptualnyye osnovy obespecheniya kompleksnoy bezopasnosti kriticheski vazhnykh obyektov [Conceptual foundations of complex security of critical facilities]. Ekonomika. Informatika [Economy. Computer Science], 2020, vol. 47, no. 1.

11. GOSTRISO/MEK 27002-2021. Natsionalnyy standartRossiyskoy Federatsii. Informatsionnyye tekhnologii. Metody i sredstva obespecheniya bezopasnosti. Svod norm i pravil primeneniya mer obespecheniya informatsionnoy bezopasnosti [GOST R ISO/IEC 27002-2021. National Standard of the Russian Federation. Information technology. Methods and means of ensuring security. A set of rules and regulations for the application of information security measures Information technology. Security techniques. Code of practice for information security controls ACS 35.030], date of introduction 2021-11-30.