МОДЕЛИРОВАНИЕ ПРОЦЕССОВ ПРОЕКТИРОВАНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В КРИТИЧЕСКИХ ИНФОРМАЦИОННЫХ ИНФРАСТРУКТУРАХ Текст научной статьи по специальности «Компьютерные и информационные науки»

МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

INFORMATION SECURITY

05.13.19 (2.3.6) МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ,

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

INFORMATION SECURITY

DOI: 10.33693/2313-223X-2022-9-2-45-55

Моделирование процессов проектирования систем защиты информации в критических информационных инфраструктурах

Я.Е. Прокушев1, a ©, С.В. Пономаренко2, b ©, Н.В. Шишов2, c ©

1 Российский экономический университет имени Г.В. Плеханова, г. Москва, Российская Федерация

2 Белгородский университет кооперации, экономики и права, г. Белгород, Российская Федерация

a E-mail: prokye@list.ru b E-mail: kaf-otzi-spec@bukep.ru c E-mail: asda.n@bk.ru

Аннотация. Актуальность и необходимость выполнения мер по защите информации в КИИ (критических информационных инфраструктурах) обусловлена несколькими причинами. Во-первых, это требования законодательства России. Отметим, что некоторые объекты КИИ в силу характера обрабатываемых сведений могут быть также отнесены к ГИС (государственным информационным системам) или ИСПДн (информационным системам персональных данных). Для систем такого типа также существуют требования к мерам информационной безопасности [4; 5], которые во многом коррелируют с мерами, изложенными для объектов КИИ в [6]. Во-вторых, это объективное наличие угроз различного характера, требующих обязательной нейтрализации и существующих практически во всех современных информационных системах. С целью обеспечения информационной безопасности защитные механизмы, используемые на объектах КИИ, должны учитывать такие факторы, как значительный объем обрабатываемой информации, необходимость обеспечения корректной, стабильной и безотказной работы, многопользовательский характер доступа к информационным ресурсам, обеспечение безопасности управляемого оборудования. Особенно следует выделить тот факт, что отказы и ошибки в работе информационных систем в ряде объектов КИИ могут повлечь за собой не только экономический ущерб или негативные социальные последствия, но и создать прямую угрозу жизни значительного числа людей, проживающих близко от места функционирования этих объектов [11]. Моделирование работ, выполняемых на этапе проектирования систем информационной безопасности объектов КИИ, обусловлено сложность выполнения данного процесса. В настоящее время обеспечение информационной безопасности объектов КИИ является одной из важнейших задач, решаемых на уровне государства. Данные обстоятельства обуславливается актуальность написания статьи. Целью написания данной работы является разработка комплекса моделей, описывающих особенности организационно-правовых и технических процессов, возникающих на этапах формирования требований к обеспечению информационной безопасности объектов КИИ. В качестве методической базой для написания работы использованы нормативно-правовые акты ФСТЭК России, находящиеся в открытом доступе. Для описания происходящих работ, выполняемых на этапе проектирования системы защиты информации КИИ, была использована методология функционального графического моделирования IDEF0. Результатом представленных в работе исследований является комплекс графических и символьных моделей, описывающих процессы, выполняемые на этапе проектирования системы защиты информации критических информационных инфраструктур.

INFORMATION SECURITY

Ключевые слова: моделирование процессов обеспечения информационной безопасности, управление информационной безопасностью, графическое моделирование, защита информации, методология функционального графического моделирования, критические информационные системы

ССЫЛКА НА СТАТЬЮ: Прокушев Я.Е., Пономаренко С.В., Шишов Н.В. Моделирование процессов проектирования систем защиты информации в критических информационных инфраструктурах // Computational nanotechnology. 2022. Т. 9. № 2. С. 45-55. DOI: 10.33693/2313-223X-2022-9-2-45-55

DOI: 10.33693/2313-223X-2022-9-2-45-55

The Modeling of Processes of Design of Information Protection Systems in Critical Information Infrastructures

Ya.E. Prokushev1, a ©, S.V. Ponomarenko2' b ©, N.V. Shishov2, c ©

1 Plekhanov Russian University of Economics, Moscow, Russian Federation

2 Belgorod University of Cooperation, Economics and Law, Belgorod, Russian Federation

a E-mail: prokye@list.ru b E-mail: kaf-otzi-spec@bukep.ru c E-mail: asda.n@bk.ru

Abstract. The relevance and necessity of implementations of measures of information security in CII (critical information infrastructures) is explained by several reasons. Firstly, these are the requirements of Russian legislation. Note that some CII objects, because of the nature of the information being processed, can also be attributed to GIS (state information systems) or ISPDn (personal data information systems). There are also requirements for information security measures [4; 5] for systems of this type, which largely correlate with the measures described for CII objects in [6]. Secondly, it is the objective presence of threats of various kinds that require neutralization and exist in almost all modern information systems. In order to ensure information security, the protective mechanisms used at CII facilities should take into account such factors as a significant amount of processed information, the need to ensure correct, stable and trouble-free operation, the multi-user nature of access to information resources, and ensuring the security of managed equipment. The fact that failures and errors in the operation of information systems in a number of CII of industrial enterprises can entail not only economic damage or negative social consequences, but also create a direct threat to the lives of a significant number of people, that live not so far to the place of work of these objects [11]. Modeling of the work performed at the design stage of information security systems of CII facilities is due to the complexity of this process. In present, ensuring the information security of CII facilities is one of the most important tasks currently being solved at the state level. These circumstances determine the relevance of writing the article. The purpose of writing this work is the developing of the set of models describing the features of organizational, legal and technical processes that arise at the stages of formation of requirements for ensuring information security of CII facilities. The normative legal acts of the FSTEC of Russia, which are in the public domain, are used as the methodological basis for writing the work. The methodology of functional graphical modeling IDEF0 was used to describe the ongoing work performed at the design stage of the information security system of the CII. The result of the research presented in this paper is a set of graphical and symbolic models describing the processes performed at the design stage of the information security system in critical information infrastructures.

Key words: modeling of information security processes, information security, information security management, graphical

modeling, methodology of functional graphical modeling, critical information systems

f ^

FOR CITATION: Prokushev Ya.E., Ponomarenko S.V., Shishov N.V. The Modeling of Processes of Design of Information Protection Systems in Critical Information Infrastructures. Computational Nanotechnology. 2022. Vol. 9. No. 2. Pp. 45-55. (In Rus.) DOI: 10.33693/2313-223X-2022-9-2-45-55

V i

46 Computational nanotechnology Vol. 9. No. 2. 2022 ISSN 2313-223X Print

ISSN 2587-9693 Online

Прокушев Я.Е., Пономаренко С.В., Шишов Н.В.

ВВЕДЕНИЕ

Стабильность работы значимых объектов КИИ зависит от качества функционирования используемых в них информационных систем. Для эффективной работы информационных систем на такого рода объектах следует выполнить комплекс мер в области информационной безопасности. Его осуществление должно базироваться на соответствующей правовой и научно-методологической базе. В этой связи было обоснованным появление в 2017 г. пакета технических требований к обеспечению ИБ (информационной безопасности) объектов, прекращение или сбои в работе которых могут оказать негативное влияние в масштабах городов, региона или даже всего государства [2; 3; 6]. Принятие этих документов было вызвано целым рядом взаимосвязанных причин.

Во-первых, это периодическое появление «эпидемий», вызванных различными ВПО (вредоносным программным обеспечением), которые могли не только останавливать работу отдельных предприятий и уничтожать его технологическое оборудование и обрабатываемую информацию, но и атаковать целые отрасли экономики. В качестве наиболее известных примеров можно указать ВПО Stuxnet, обнаруженный в 2010 г., а также WannaCry и серию подобных ему вредоносных программ, поразивший огромное количество компьютеров по всему миру в мае 2017 г. Отметим, что в них использовались уязвимости нулевого дня, существовавшие на тот момент в системном программном обеспечении.

Во-вторых, это необходимость формирования перечня актуальных требований по информационной безопасности для важных промышленных объектов и государственных учреждений. До принятия Федерального Закона № 187 [1] и дополняющих его юридически значимых документов, построение системы информационной безопасности такого рода объектов выполнялось с использованием руководящих документов Гостехкомиссии, принятых еще в 90-х гг. ХХ в. Их требования уже не соответствовали существующим на данный момент угрозам обеспечения информационной безопасности и методам противодействия им.

Для внедрения систем информационной безопасности в деятельность любой организации необходимо выполнение комплекса взаимосвязанных этапов. При этом одним из первых и важнейших шагов является разработка проекта системы защиты информации.

Проектирование системы защиты информации требует предварительного рассмотрения и анализа не только технических, но и организационно-правовых требований к выполнению работ по обеспечению ИБ [12]. Например, одной из особенностей КИИ, функционирующих в финансовой сфере, области здравоохранения, является необходимость учета требований к защищенности информационных систем персональных данных (ИСПДн), поскольку этот вид информации ограниченного доступа как правило обрабатывается в банках и больницах [5]. Если же объект КИИ явля-

ется государственным предприятием, то потребуется также учет нормативной базы, регулирующей вопросы обеспечения защиты информации в государственных информационных системах (ГИС) [4].

В публикациях в области моделирования защитных мер, рассматривающих защиту информации для описания исследуемых процессов, как правило, используются символьные модели. Однако применение только символьных моделей не позволяет в полной мере отразить все особенности изучаемой предметной области.

Прежде всего, достаточно сложно описать организационные процессы. Кроме того, символьные модели часто не позволяют описать последовательность действий и особенности взаимодействия информационных потоков. В этой связи при моделировании процессов обеспечения информационной безопасности требуется использование графических моделей. Эти обстоятельства обуславливают актуальность написания данной статьи.

Таким образом, целью данной работы является разработка комплекса графических и символьных моделей, описывающих этапы проектирования и разработки системы защиты информации в критических информационных инфраструктурах. Для достижения цели работы следует решить ряд взаимосвязанных задач:

1) определить нормативную базу, применяемую для построения системы информационной безопасности на объектах КИИ;

2) выбрать технологию графического моделирования процессов в исследуемой предметной области;

3) разработать модели организационных и технологических процессов, протекающих на этапах проектирования системы защиты информации КИИ;

4) проанализировать взаимосвязь мер, выполняемых для защиты КИИ, ГИС, ИСПДн с точки зрения требований нормативных документов.

ОПРЕДЕЛЕНИЕ

ИСПОЛЬЗУЕМОЙ НОРМАТИВНОЙ БАЗЫ

Графическое моделирование бизнес-процессов позволяет описать этапы их выполнения, определить исполнителей, используемую нормативную базу, входящие информационные потоки, ресурсы и результат. С этой точки зрения проектирование системы информационной безопасности также является бизнес-процессом [10; 12]. Однако, имеются особенности, которые обусловлены требованиями нормативных документов в области обеспечения информационной безопасности КИИ. Они определяют не только последовательность, но и способ выполнения работ. В этой связи рассмотрение предметной области следует начинать с определения действующей нормативной базы.

Основы нормативного регулирования в области обеспечения информационной безопасности КИИ описаны в ФЗ № 187 «О безопасности критической информационной инфраструктуры Российской Федерации».

INFORMATION SECURITY

Для выполнения требований данного закона используются следующий комплект документов:

• Постановление Правительства России от 8 февраля 2018 г. № 127 «Об утверждении Правил катего-рирования объектов критической информационной Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. Данный документ является классификатором КИИ. Он используется для определения значимой категории защищаемого объекта;

• Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». В этом документе содержатся общие требования к обеспечению информационной безопасности объектов КИИ;

• Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». В нем содержатся перечни обязательных защитных мер, которые должны быть реализованы на объектах КИИ в зависимости от их категорий. В этом же документе подробно рассмотрена последовательность действий, выполняемых при создании и внедрении системы информационной безопасности КИИ. Для выполнения большинства организационных и технических процессов обеспечения информационной безопасности КИИ используется именно этот документ.

Кроме указанных выше нормативных актов при

разработке системы защиты информации в КИИ могут

применяться ряд других документов ФСТЭК России:

• Приказ ФСТЭК России от 29 апреля 2021 г. № 77 «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну». В данном документе подробно описан этап аттестации системы защиты информации объекта информатизации;

• Методический документ ФСТЭК России от 5 февраля 2021 г. «Методика оценки угроз безопасности информации». В документе содержится описание процесса построения модели угроз для исследуемого объекта критической информационной инфраструктуры;

• Для применения данного документа желательно использование Банка данных угроз информационной безопасности ФСТЭК России. Актуальность содержания этого документа обеспечивается ФСТЭК России. Его особенность в том, что в нем, помимо перечня возможных угроз информационной безопасности, приводится такая информация, как возможный способ реализации угрозы, тип возможного исполнителя, объект воздействия, негативные последствия. Применение Банка данных угроз ФСТЭК России со-

вместно с методикой оценки угроз информационной безопасности дает возможность корректно сформировать модель угроз для защищаемого объекта.

Также в процессе разработки системы информационной безопасности для объектов КИИ в зависимости от его особенностей могут использоваться нормы, указанные в следующих приказах и методических документах:

• Приказ ФСТЭК России № 17 от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

• Приказ ФСТЭК России № 21 от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

В этих приказах определены методы к обеспечению ГИС или ИСПДн. Эти документы используются в случае, если объект КИИ может быть также классифицирован как ГИС или ИСПДн соответственно.

• Методические документы, описывающие профили требований к различным типам средств защиты информации (средствам антивирусной защиты (САВЗ), средствам контроля носителей (СКН), межсетевым экранам (МЭ), системам обнаружения вторжений (СОВ), средствам доверенной загрузки (СОВ), выполненным в защищенном исполнении операционным системам (ОС));

• Методический документ, утвержденный приказом ФСТЭК России № 131 от 30 июля 2018 г. «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий». Он описывает уровни доверия 4-6 классов для соответствующих типов средств защиты информации. Этот документ, как и профили средств защиты информации могут применяться при проведении оценки соответствия в форме испытаний для используемых средств защиты информации, у которых нет сертификатов ФСТЭК России.

Эти документы представляют собой основу системы нормативного регулирования мер по обеспечению информационной безопасности объектов критических информационных инфраструктур в России.

ВЫБОР СРЕДСТВ МОДЕЛИРОВАНИЯ

Выбор средств моделирования зависит от особенностей исследуемой предметной области. В частности, в данном случае для построения моделей предпочтительней использовать графические и символьные модели.

Применение графических моделей обусловлено тем, что в работе исследуются организационные и технологические процессы, достаточно тесно связанные между собой. Результатом выполнения некоторых из них является не решение задачи выбора альтернатив

Прокушев Я.Е., Пономаренко С.В., Шишов Н.В.

или расчет значения какой-либо физической величины, а, например, определение порядка выполнения работ. По этой причине для описания процессов в исследуемой предметной области будет использована методология графического моделирования IDEF0. Эта нотация позволяет описать назначение информационных потоков, что в ряде случаев бывает достаточно важно. Кроме того, в России принят стандарт функционального моделирования, основанный на применении методологии IDEF0. Отметим, что использование произвольных схем без соблюдения правил построения графических моделей может привести к неоднозначности их толкования и, как следствие, ошибочной интерпретации приведенной информации. Использование стандартной графической методологии позволяет однозначно понимать созданные диаграммы.

Символьные модели целесообразно применять при исследовании процессов, которые поддаются алгоритмизации и носят счетный характер [12]. Применение различных методов математического моделирования при выполнении исследований обуславливается особенностями рассматриваемой предметной области. Для решения задач, требующих проведения качественной, а не количественной оценки, часто применяется аппарат, допускающий определенную величину погрешности и основанный на технологии экспертных оценок. Некоторые процессы описываются с помощью операций над множествами.

Следует отметить, что использование этих методов предусмотрено положениями ряда документов ФСТЭК России при выполнении классификации защищаемых систем и построении модели угроз [3-5; 7]. Совместное использование графических и символьных моделей позволит использовать сильные стороны каждого типа моделей.

МОДЕЛИРОВАНИЕ ПРОЦЕССОВ ОБЕСПЕЧЕНИЯ

СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В КИИ

На рис. 1 представлена графическая модель мероприятий по обеспечению безопасности КИИ, выполненная в нотации IDEF0, на верхнем уровне детализации.

В соответствии с положениями Приказа ФСТЭК России № 239 от 25.12.2017 в целом обеспечение системы информационной безопасности разделяется на этапы определения требований к защищаемой системе, разработки и внедрения мер защиты, обеспечения безопасности информации на этапах работы и снятия с эксплуатации объектов КИИ [6].

Чтобы разработать и спроектировать систему защиты информации на объекте КИИ, необходимо определиться с первоначальными требованиями к ней.

Графическая модель процесса определения требований к системе обеспечения информационной безопасности объекта КИИ показана на рис. 2.

Информация об объекте защиты [Information about

the protected object]

CD

Постановление Правительства Российской Федерации №127от08.12.2018 [Resolution of the Government of the RF No. 127 of 08.12.2018]

Определить требования к ИБ на объекте КИИ [Establish requirements for information

security at the CII facility]

Техническое задание иа систему защиты

информации КИИ [The technical specifiortion for the information protection system of the C//]

CD-

Законодательство вобласти защиты информации КИИ [Legislation in the field of information protection of the CII]

Разработать меры обеспечения ИБ объекта КИИ [Develop measures to ensure the IB of the CII facility]

Персонал^обеспечения информационной безопасности объекта КИИ [Information security personnel of the CII facility]

Проохтния тхниехсоя и[организационная ддооумхтацаи на объхот КИИ [The design of technical and organizational doccmeetatioo for the CII object]

CD

Внедрить меры обеспечения безопасности объекта КИИ [Implement measures to ensure the safety of the CII facility]

Внндррнння

системазащиты

информации

[[mplementtd

information

security system]

Обеспечить безопасность эксплуатации объекта кИи [To ensure the safety of the operation of the CII facility]

Мероприятия по защите КИИ [Measures to protect CII]

CD-

Обеспечить безопасность вывода из эксплуатации [Ensure the safety of decommissioning]

Сннтаа

сэксплуатации

система защиты информации [Decommissioned of information security system]

(

)

(

Рис. 1. Модель обеспечения информационной безопасности в критических информационных инфраструктурах Fig. 1. Information security model in Critical Information Infrastructures (CII)

ISSN 2313-223X Print Т. 9. № 2. 2022 Computational nanotechnology 49

ISSN 2587-9693 Online

Рис. 2. Определить требования к системе информационной безопасности в критических информационных инфраструктурах Fig. 2. Determine the requirements for the information security system in Critical information infrastructures (CII)

Рис. 3. Разработка мер обеспечения информационной безопасности на защищаемом объекте Fig. 3. The development of measures to ensure information security at the protected object

Прокушев Я.Е., Пономаренко С.В., Шишов Н.В.

Результатом выполнения этапа определения требований к системе информационной безопасности является техническое задание. В этом документе должна содержаться информация о категории защищаемого объекта, перечнях используемых методических документов, описании информационной системы объекта КИИ, защищаемых объектов, требований к мерам защиты, применяемым для обеспечения информационной безопасности...» [5].

Если объект КИИ является ГИС (государственной информационной системой) или ИСПДн (информационной системой персональных данных), то дополнительно будут применяться нормативные документы, характерной для этого типа объектов [4-6].

Техническое задание определяет характер выполнения этапов разработки мер обеспечения информационной безопасности на объекте КИИ (рис. 3).

Для построения модели угроз информационной безопасности формируется множество источников угроз (нарушителей) Н = {Ъ1, Ъ2, Ъ3, ... , Ъг}. Затем формируется множество способов реализации угроз Ш = ^^ w2, w3, ... , wJ.}. На основании данных, полученных при предварительном исследовании объектов -множество О = {о1, о2, о3, ... , ок} потенциальных объектов атаки.

Также следует составить перечень возможных негативных последствий С = {с1, с2, с3, ... , сп}, возникающих при реализации угрозы.

В результате формируется множество возможных угроз О = ё2, ё3, ... , ёт} на основе декартова произведения множеств Ш х О х Н х С.

При этом мощность множества О равна т = г х] х к х п.

Следующим этапом является определение множества А возможностей реализации угроз Ш для объектов О со стороны нарушителей Н с учетом негативных последствий С.

Если возможность реализации угрозы существует, и она приводит к одному из определенных ранее негативных последствий сп, то соответствующему элементу а присваивается значение 1, если нет - 0.

Для всех элементов множества О возможных угроз выполняется оценка их актуальности с учетом наличия сценария реализации. Таким образом формируется подмножество А актуальных угроз на основе множества О возможных для реализации угроз для рассматриваемого объекта КИИ.

Можно записать, что А с О. Если | А | = х, то т > х.

Полное множество угроз безопасности Т = {гр Г3, ... , Гх} определяется как объединение множеств актуальных угроз информационной безопасности О и формальных требований Т^ указанных в документах ФСТЭК России:

T = D u T .

(1)

информационной безопасности, соответствующая защищаемому объекту.

Этапы выполнения данного процесса показаны на рис. 4.

Для разработки модели угроз с учетом области работы КИИ определяются возможные типажи нарушителей. Для их конкретизации используются нормативные документы [8; 14].

Практически параллельно с этим процессом определяются возможные уязвимости защищаемых объектов, проводится их инвентаризация.

Затем определяются возможные сценарии реализации угроз. На данном этапе уже представляется возможным выделить те угрозы, которые теоретически могут быть реализованы на защищаемом объекте. Для полученного перечня угроз анализируются возможные последствия их исполнения.

На завершающем этапе построения модели угроз группа экспертов на основе полученной ранее информации определяет актуальность угроз для объекта КИИ. Затем определяется полный перечень мер защиты информации. IDEF0 модель процесса показан на рис. 5.

Установленная ранее категория объекта КИИ позволяет определить базовый набор мер защиты [6]. Затем с учетом особенностей объекта, используемых информационных технологий и созданной модели угроз информационной безопасности определяется полный перечень защитных мер. Отдельно следует отметить, что, если защищаемый объект может быть классифицирован как ИСПДн, КИИ или АСУ ТП, то дополнительно учитываются требования, указанные в соответствующем нормативном документе, что показано на рис. 5.

После исследования особенностей объекта КИИ и определения требований начинается этап создания проекта системы защиты информации на объекте КИИ (рис. 6).

На данном этапе определяются субъекты доступа, определяются политики управления доступом, функциональные возможности системы защиты информации.

Набор субъектов доступа и политик управления доступом, наряду с перечнем установленных ранее мер, позволит определить функциональные возможности системы защиты информации и их настройки (рис. 7).

Перечень актуальных угроз безопасности обуславливает выбор используемых средства защиты. Для построения системы защиты информации понадобится набор отдельных средств защиты информации SZI = ^г'р Бг12, ..., $г1у}, взаимодействующих между собой.

Каждое из этих средств нейтрализует подмноже-

Разработку мер обеспечения информационной безопасности на объекте защиты следует разделить на несколько этапов. Сначала создается модель угроз

ство угроз Tszi = {t

1 SZIy' t2 SZIy> ■■■ tk SZIy

}. Количество

нейтрализуемых угроз (мощность множества Tsziy) обуславливается возможностями каждого конкретного средства защиты информации szi .

Методика оценки угроз информационной безопасности [Methodology for assessing information security threats]

Рис. 4. Разработать модель угроз информационной безопасности Fig. 4. To develop an information security threat model

Рис. 5. Определить полный набор мер по обеспечению защиты информации Fig. 5. To define a complete set of information security measures

Прокушев Я.Е., Пономаренко С.В., Шишов Н.В.

Техническое задание на системузащиты информации [Technical specification for the information security system]

Рис. 6. Разработать проект системы информационной безопасности объекта КИИ Fig. 6. Develop a draft information security system for a critical information infrastructure (CII) facility

Техническое задание на системузащиты информации [Technical specification for the Information security system]

Рис. 7. Определить средства защиты информации и их настройки Fig. 7. To define an information security tools and their settings

Сумма подмножеств угроз, нейтрализуемых отдельными средствами защиты sziy, должна сформировать множество нейтрализованных актуальных угроз, равное Т,

T = Tszi, u TszL u Tszi... Tszi .

1 2 у

(2)

Если равенство (2) выполняется, то предложенный набор средств защиты информации способен нейтрализовать все актуальные угрозы информационной безопасности. Другие вопросы оптимизация выбора средств защиты информации рассматривались в работах [10; 13]

Для предварительной оценки качества созданного проекта создается макет защищаемой информационной системы с установленными средствами информационной безопасности и выбранными настройками. При создании макета могут использоваться средства виртуализации.

При тестировании работоспособности макета допускается вносить корректировки в перечень выбранных средств защиты информации и их настройки. Этап макетирования позволяет предварительно оценить корректность и работоспособность предлагаемого проекта обеспечения информационной безопасности объекта КИИ.

После завершения этапа макетирования можно переходить к приобретению и внедрению средств защиты информации в работу информационной системы объекта КИИ [9].

ЗАКЛЮЧЕНИЕ

В статье представлен комплекс графических и символьных моделей, описывающих процессы проектирования системы защиты информации в КИИ.

Представленный в работе комплекс IDEF0 моделей организационных и технологических процессов позволяет:

1) конкретизировать последовательность действий при обеспечении информационной безопасности объектов КИИ;

2) повысить научную обоснованность принятия управленческих и технических решений при осуществлении действий по обеспечению информационной безопасности объектов КИИ.

Возможным вариантом продолжения выполненных исследований является адаптация разработанных в данной работе графических и символьных моделей при обеспечении защиты информационных систем персональных данных и государственных информационных

Литература

1. Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и защите информации».

2. Федеральный закон № 187-ФЗ от 27 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации».

3. Постановление правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил ка-тегорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

4. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

5. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

6. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

7. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

References

1. Federal Law No. 149-FZ of July 27, 2006 "On information, information technologies and information protection".

2. Federal Law No. 187-FZ of July 27, 2006 "On the security of the critical information infrastructure of the Russian Federation".

3. Decree of the Government of the Russian Federation of February 8, 2018 No. 127 "On approval of the Rules for categorizing objects of critical information infrastructure of the Russian Federation and the list of indicators of criteria for the significance of objects of critical information infrastructure of the Russian Federation and their values".

4. Order No. 17 "On approval of requirements for the protection of information that does not constitute a state secret contained in state information systems". Approved by FSTEC of Russia of 11.02.2013.

5. Order No. 21 "On approval of the composition and content of organizational and technical measures to ensure the security of personal data during their processing in personal data information systems". Approved by FSTEC of Russia of 18.02.2013.

6. Order No. 239 "On approval of the Requirements for ensuring the security of significant objects of critical information infrastructure of the Russian Federation". Approved by FSTEC of Russia of 25.12.2017.

7. Order No. 31 "On approval of requirements for providing information protection in automated management systems for industrial and technological processes on critical objects, potentially dangerous facilities, as well as objects representing increased danger to people's lives and health and environmental environment". Approved by FSTEC of Russia of 14.03.2014.

Прокушев Я.Е., Пономаренко С.В., Шишов Н.В.

8. Методический документ ФСТЭК России «Методика оценки угроз безопасности информации». Утвержден ФСТЭК России 5 февраля 2021 г.

9. Приказ ФСТЭК России от 29 апреля 2021 г. № 77 «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».

10. Голдобина А.С., Исаева Ю.А., Селифанов В.В. и др. Построение адаптивной трехуровневой модели процессов управления системой защиты информации объектов критической информационной инфраструктуры // Доклады Томского государственного университета систем управления и радиоэлектроники. 2018. Т. 21. № 4. С. 51-58.

11. Пономаренко С.В., Пономаренко С.А., Прокушев Я.Е. Информационная безопасность критических систем информационной инфраструктуры: монография. Белгород: Изд-во БУКЭП, 2021. 133 с.

12. Пономаренко С.В., Пономаренко С.А., Александров В.В. Моделирование несанкционированного доступа к информационным ресурсам ключевых систем информационной инфраструктуры: монография. Белгород: Изд-во БУКЭП, 2017. 180 с.

13. Прокушев Я.Е., Пономаренко С.В., Пономаренко С.А. Моделирование процессов проектирования систем защиты информации в государственных информационных системах // Computational Nanotechnology. 2021. Т. 8. № 1. С. 26-37.

14. Банк данных угроз безопасности информации [Электронный ресурс]. URL: https://bdu.fstec.ru/threat

8. Methodological document "Methodology for assessing information security threats". Approved by FSTEC of Russia of 05.02.2021.

9. Order No. 77 "The procedure for organizing and carrying out work on certification of informatization objects for compliance with the requirements for the protection of information of limited access that is not a state secret". Approved by FSTEC of Russia of 29.04.2021.

10. Goldobina A.S., Isaeva Yu.A., Selifanov V.V. et al. Construction of an adaptive three-level model of control processes of the information protection system of critical information infrastructure objects. Reports of the Tomsk State University of Control Systems and Radioelectronics. 2018. Vol. 21. No. 4. Pp. 51-58. (In Rus.)

11. Ponomarenko S.V., Ponomarenko S.A., Prokushev Ya.E. Information security of critical information infrastructure systems: Monograph. Belgorod: BUKEP Publishing House, 2021. 133 p.

12. Ponomarenko S.V., Ponomarenko S.A., Alexandrov V.V. Modeling of unauthorized access to information resources of key information infrastructure systems: Monograph. Belgorod: BUKEP Publishing House, 2017. 180 p.

13. Prokushev Ya.E., Ponomarenko S.V., Ponomarenko S.A. Modeling of information security systems design processes in state information systems. Computational Nanotechnolo-gy. 2021. Vol. 8. No. 1. Pp. 26-37. (In Rus.)

14. The Data bank of information security threats [Electronic resource]. URL: https://bdu.fstec.ru/threat

Статья проверена программой Антиплагиат. Оригинальность - 82,06%

Рецензент: Сердюков В.С., кандидат технических наук, профессор; заведующий кафедрой информационной безопасности Белгородского университета кооперации, экономики и права

Статья поступила в редакцию 22.04.2022, принята к публикации 12.05.2022 The article was received on 22.04.2022, accepted for publication 12.05.2022

СВЕДЕНИЯ ОБ АВТОРАХ

Прокушев Ярослав Евгеньевич, кандидат экономических наук, доцент; доцент кафедры прикладной информатики и информационной безопасности РЭУ им. Г.В. Плеханова. Москва, Российская Федерация. E-mail: prokye@list.ru

Пономаренко Сергей Владимирович, кандидат технических наук, доцент; профессор кафедры информационной безопасности Белгородского университета кооперации, экономики и права. Белгород, Российская Федерация. E-mail: kaf-otzi-spec@bukep.ru Шишов Никита Владимирович; аспирант кафедры информационной безопасности Белгородского университета кооперации, экономики и права. Белгород, Российская Федерация. E-mail: asda.n@bk.ru

ABOUT THE AUTHORS

Yaroslav E. Prokushev, Cand. Sci. (Econ.), Associate Professor; associate professor at the Department of Applied Information Technology and Information Security of the Plekhanov Russian University of Economics. Moscow, Russian Federation. E-mail: prokye@list.ru Sergei V. Ponomarenko, Cand. Sci. (Eng.), Associate Professor; Professor at the Department of Information Security of the Belgorod University of Cooperation, Economic and Law. Belgorod, Russian Federation. E-mail: kaf-otzi-spec@bukep.ru

Nikita V. Shishov; postgraduatestudent at the Department of Information Security of the Belgorod University of Cooperation, Economic and Law. Belgorod, Russian Federation. E-mail: asda.n@bk.ru