CC BY
41
Источники:
1. Дедов И. И. и др. Эпидемиологические характеристики сахарного диабета в Российской Федерации: клинико-статистический анализ по данным регистра сахарного диабета на 01.01.2021 // Сахарный диабет. 2021. Т. 24, № 3. С. 204-221. doi:10.14341/DM12759.
2. Управление Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека. Памятка по профилактике сахарного диабета. Профилактика сахарного диабета у мужчин, женщин и детей [Электронный ресурс] - Режим доступа: https://05.rospotrebnadzor.ru/ (дата обращения: 20.06.2022).
3. Федеральная служба государственной статистики. Здравоохранение [Электронный ресурс] - Режим доступа: https://rosstat.gov.ru/folder/13721 (дата обращения: 10.06.2022).
4. Шестопал, Ю.Т. Стратегический менеджмент: Учебное пособие / Ю.Т. Шестопал, В.Д. Дорофеев. - М.: КноРус, 2017. - 464 c.
5. Эвотор. Самые популярные уличные перекусы в России - сосиски в тесте, беляши и курники [Электронный ресурс] - Режим доступа: https://evotor.ru/research/samye-populyarnye-ulichnye-perekusy-v-rossii-sosiski-v-teste-belyashi-i-kurniki/ (дата обращения: 20.06.2022).
References:
1. Dedov I. I. et al. Epidemiological characteristics of diabetes mellitus in the Russian Federation: clinical and statistical analysis according to the data of the register of diabetes mellitus on 01.01.2021 // Diabetes mellitus. 2021. vol. 24, No. 3. pp. 204-221. doi:10.14341/DM12759.
2. Management of the Federal Service for Supervision of Consumer Rights Protection and Human Well-being. A memo on the prevention of diabetes mellitus. Prevention of diabetes mellitus in men, women and children [Electronic resource] - Access mode: https://05.rospotrebnadzor.ru / (accessed: 20.06.2022).
3. Federal State Statistics Service. Healthcare [Electronic resource] - Access mode: https://rosstat.gov.ru/folder/13721 (date of reference: 10.06.2022).
4. Shestopal, Yu.T. Strategic management: Textbook / Yu.T. Shestopal, V.D. Dorofeev. - M.: KnoRus, 2017. - 464 p.
5. Evotor. The most popular street snacks in Russia are sausages in dough, belyashi and kurniki [Electronic resource] — Access mode: https://evotor.ru/research/samye-populyarnye-ulichnye-perekusy-v-rossii-sosiski-v-teste-belyashi-i-kurniki / (accessed: 20.06.2022).
EDN: VMYTUE
А.З. Барыбина - аспирант, м.н.с., Институт экономики УрО РАН, ag-91@mail.ru, A.Z. Barybina - postgraduate student, junior researcher, Institute of Economics of the Ural Branch of the Russian Academy of Sciences.
МОДЕЛИРОВАНИЕ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЦЕНАРНЫМ ПОДХОДОМ1 MODELING OF INFORMATION SECURITY THREATS WITH A SCENARIO APPROACH
Аннотация. Невероятное количество данных генерируемые компаниями в процессе своей деятельности требуют к себе особенного отношения, так как представляют собой определенный вид ресурсов, несущий особенную ценность. Планирование рисков и угроз связанных с потерей данных не представляется возможным без моделирования возможных источников угроз. Одним из эффективных способов моделирования подобных ситуаций является сценарное моделирование, так как оно способно учесть человеческую неопределённость, свойственную при разработке нападения. В данной статье рассмотрено применение сценарного моделирования информационных угроз. На промышленных предприятиях при использовании интернета вещей и созданием умного производства. Предприятия при использовании умного производства получают большие преимущества в виде повышения производительности труда сотрудников и интуитивного понятного выполнения важнейших бизнес-процессов.
Abstract. The incredible amount of data generated by companies in the course of their activities requires special treatment, as they represent a certain type of resource that carries special value. Planning risks and threats associated with data loss is not possible without modeling possible sources of threats. One of the effective ways to model such situations is scenario modeling, as it is able to take into account the human uncertainty inherent in the development of an attack. This article considers the use of scenario modeling of information threats. At industrial enterprises when us-
1 Подготовлено в соответствии с планом НИР ФГБУН Института экономики УрО РАН на 2022 год
ing the Internet of things and creating smart production. Enterprises using smart manufacturing receive great benefits in the form of increased employee productivity and intuitive execution of critical business processes.
Ключевые слова: информационная безопасность, сценарное моделирование, моделирование угроз, цифровизация, платформитизация, данные, раскрытие информации, платформа.
Keywords: information security, scenario modeling, threat modeling, digitalization, platformatization, data, information disclosure, platform.
Введение
Современные компании генерируют в процессе своей деятельности большое количество данных и одной из первоочередных задачей становится контроль за сохранностью данных, не только в виде инфраструктурной задачи, но и в виде информационной базы данных, представляющую в настоящее время большую ценность для генерирования добавленной стоимости.
Развитие на предприятиях цифровых экосистем, образованных, в частности, на технологии интернета вещей, подразумевает использование, генерирование и хранение большого количества цифровой информации. Информационная база данных становится источником «цифрового сырья» и приобретает значение основного средства производства, без которого производственные процессы останавливаются.
Промышленные гиганты, такие как GE и Siemens создают информационные связи между турбинами, двигателями, моторами, системами нагрева и охлаждения и производственными предприятиями, которые их производят, с целью получить новую результативность и выгоду. Потенциальная сила интернета вещей растет по мере увеличения количества доступных к нему устройств и с этим же ростом увеличивается цифровая экосистема, а с ней и количество возможных угроз для нее.
Раскрытие информации, хранящейся в базах данных предприятий может принести вред следующим категориям: физическим лицам, как субъектам персональных данных (п.5. ст.18.1. 152-ФЗ)[1]; предприятию, в виде экономических рисков и убытков (ГОСТ Р ИСО/МЭК 31010-2011)[2] и государству, в качестве объектов критической информационной инфраструктуры[3] (ПП РФ от 08.02.2018 № 127). В целом нормативное регулирование сохранности информационных данных на разных уровнях регламентируется следующими документами [4-21].
Экономический спад, вызванный пандемией, мало коснулся расходов на кибербез-опасность, скорее даже наоборот. Во время кризиса Covid-19 многие операционные процессе перешли в сеть, а часто и полностью вся организационная работа, что создает больше возможностей для различных информационных атак. Согласно данным представленным Gartner расходы на информационные технологии за последние годы в среднем снизились на 8 %, в то время как расходы на информационную безопасность наоборот выросли на 2,4 % [23]. Основными направлениями по организации информационной безопасности являются пользовательские данные, защита инфраструктуры и сети.
Ежегодный ущерб от кибератак составил в 2021 году более 6 трлн долларов [24], что является очень значительной причиной для разработки и планирования стратегии безопасности компании и последующих затрат на реализацию. Основными последствиями являются уничтожение и потеря данных, снижение производительности, вплоть до остановки деятельности предприятия, потеря денег и прав на интеллектуальную собственность, персональные и финансовые данные, нарушение бизнес-процессов, в частности ущерб репутации и потеря клиентов.
Количество атак на промышленные предприятия в мире выросло за год на 91 %, согласно исследованию Positive Technologies за 2020 г.: семь из 10 атак носили целенаправленный характер. В топ-3 потенциальных жертв, по данным экспертов этой компании, вошли государственные учреждения (19 %), промышленные компании (12 %) и медицинские организации (9 %). Еще буквально пару лет назад главной целью злоумышленников были в ос-
новном банки и вывод оттуда средств, сейчас же охота идет не только за деньгами, но и за информацией или же цель атак - парализация деятельности компаний [25].
Оценка вопросов информационной безопасности и сохранении основных свойств информации, таких как конфиденциальность, доступность и целостность, рассмотрены в работах Зависляк И.В. и Кувылиной Т.В. [26], Гневанова М.В. и Баранова Р.Г. [27], Исаевой М.Ф. [28], Босовой Е.Д и Селищева В.А. [29].
Разработано большое количество отечественных и зарубежных нормативных документов, регламентирующих вопросы анализа защищенности инфокоммуникационных систем и менеджмента риска ИБ, в частности последний методический документ Федеральной службы по техническому и экспортному контролю по методике оценки угроз безопасности информации утвержденный 05 февраля 2021 года [30].
Модель угроз согласно определению данному в ГОСТ РР 50922-2006 - «Защита информации. Основные термины и определения» [31] это «физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации».
Сценарный анализ используется для построения моделей управления социально-экономическим развитием, как регионов (для обеспечения его защиты от угроз социальной стабильности) [32], так и общественно-политическим развитием государства в целом [33], а также для моделирования эпидемиологических эффектов в городах в связи с распространением COVГО-19 [34]. Технология выбора и формирование теоретических основ сценарного моделирования инновационного развития рассмотрена в работе Левченко Т.П. и др. [35] и Геман О.А. [36].
Метод
Метод сценариев зародился приблизительно после второй-мировой войны, в рамках просчетов возможных вариантов действий противника. Первым для решения бизнес-задач метод сценариев начал использовать Герман Кан в 1960-х годах [37].
При использовании метода сценарного моделирования угроз информационной безопасности проводится упреждающая оценка, анализ и определение приоритетов в работе по устранению угроз, обеспечивающие эффективное распределение ресурсов.
Метод сценарного моделирования заключается в определении и подборе наиболее вероятностных составляющих исследуемого процесса, и составлении сценариев их взаимодействия. Данный метод используется уже более 30 лет и изначально он возник в качестве альтернативы одновариантных прогнозов будущего развития компаний или событий. Однова-риантные прогнозы имеют жесткую структуру и описывают, по существу, лишь единственную траекторию развития, что на практике, в условиях изменчивой внешней среды, приводило к ошибочным прогнозам.
При разработке моделей с помощью сценарного подхода используется несколько примерно одинаково вероятных, но значимо контрастных сценариев развития ситуаций. Задачей сценарного метода является выработка некоторого общего понимания возможного развития событий, которое позволит сотрудникам действовать согласованно и своевременно принимать необходимые решения.
Моделирование угроз информационной безопасности в рамках цифровых экосистем достаточно масштабная работа. С каждым годом системы усложняются, и простое «планирование» возможных угроз для системы становится ненадежным. Рост неопределенности увеличивается в геометрической прогрессии от количества элементов системы, что вызывает потребность в разработке инструментов, способных обнаружить и представить на обозрение потенциальные угрозы и подготовиться ко всем возможным вариантам их проявления.
Обхватить все возможные варианты развития событий достаточно громоздкая работа и этот момент необходимо упростить. В рамках сценарного подхода в первую очередь проводится вероятностная оценка возможности возникновения/реализации той или иной угрозы, и затем стоимостное выражение возможной угрозы - сумма возможно ущерба. В случае не реализуемости предположительной угрозы или же не значительно ущерба, который несет в
себе данная угроза, данными составляющими можно пренебречь. Сценарии разрабатываются для тех элементов системы, в отношении которых угроза реализуема, и, если в случае реализации данной угрозы будет причинен значительный ущерб.
К недостаткам сценарного подхода можно отнести то, что прогнозы строятся на основании логических рассуждений и интуитивном мышлении, что у каждого специалиста может привести к разным выводам. В рамках моделирования возможных угроз информационной безопасности это можно отнести как к минусам, так и к плюсам. Обход защиты информационной системы является достаточно творческим процессом, а соответственно и прогнозирование угроз должно быть на том же уровне. Результат сценарного моделирования может быть представлен в сугубо качественных характеристиках, что может привести к трудностям восприятия в процессе работы с полученным результатом.
Для разработки сценариев можно выделить следующие критерии:
- наличие потенциала для принятия решений в отношении выявленных угроз;
- сценарии должен быть реалистичным и отражать действительно реализуемые ситуации опасности для информационной системы;
- вероятность возникновения полученных сценариев должна быть более-менее одинаковой и охватывать максимально больший диапазон неопределенности;
- полученные сценарии должны быть логически построены и быть внутренне согласованы;
- разработанные сценарии должны быть проверены в рамках тестирования угроз и эксперимента.
Каждый элемент сценария описывает воздействие, приближающее нарушителя к достижению цели. При этом каждое из действий само по себе не представляет опасности для информационной системы, а большинство из них еще и нереализуемо без выполнения первых шагов сценария. Без рассмотрения таких сценариев очень легко недооценить возможности нарушителя.
«Сценарный» подход к моделированию угроз имеет свое ограничение - он применим только для случая целенаправленных действий нарушителя. При этом, во избежание путаницы, приходится изменять понятийный аппарат, введенный в нормативных документах, используя следующие понятия:
- угроза - возможность наступления неприемлемых негативных последствий для функционирования организации в результате целенаправленных действий нарушителя;
- сценарий угрозы - последовательность действий нарушителя, способная привести к реализации угрозы;
- угроза безопасности информации - способ выполнения нарушителем определенного действия в рамках сценария угрозы.
Таким образом, при «сценарном» моделировании угроз БДУ ФСТЭК становится источником информации не об угрозах, а о способах выполнения нарушителем действий, которые могут складываться в сценарий угрозы.
Результаты
На промышленных предприятиях цифровая трансформация представляется в первую очередь использованием интернета вещей и созданием умного производства. Предприятия при использовании умного производства получают большие преимущества в виде повышения производительности труда сотрудников и интуитивного понятного выполнения важнейших бизнес-процессов.
Промышленный Интернет Вещей (Industrial Internet of Things, IIoT) - это система объединенных компьютерных сетей и подключенных к ним промышленных (производственных) объектов со встроенными датчиками и программным обеспечением для сбора и обмена данными, с возможностью удаленного контроля и управления в автоматизированном режиме, без участия человека.
Для создания модели угроз информационной безопасности системы необходимо определить границы объекта - границы цифровой промышленной экосистемы, в рамках которой будут рассматриваться возможные атаки (рисунок 1).
Рисунок 1 - Границы цифровой промышленной экосистемы
Определение границ информационной системы обычно проводят по границе соединения с интернетом, для включения в модель большего количества вероятных угроз.
Согласно методическому документу утвержденному ФСТЭК от 05.02.2021 года процесс моделирования представляет собой следующую укрупненную последовательность действий (рисунок 2): необходимо определить негативные последствия, объекты воздействия (атаки), источники возможных угроз - нарушителей, способ реализации угрозы и сам сценарий реализации угрозы в виде совокупности техник и тактик. Перечень актуальных угроз находится в банке данных угроз безопасности информации на сайте ФСТЭК[38]. Данный перечень пополняемый, в настоящее время в нем находится 222 возможные угрозы.
Рисунок 2 - Процесс моделирования угрозы
В процессе создания модели угрозы информационной безопасности в первую очередь необходимо определиться с ответами на три вопроса: для чего проводится атака, кто проводит атаку и каким способом он это делает?
Определившись с ответами на данные вопросы, мы сможем составить для себя портрет возможного нарушителя, после чего построение сценарной модели становится более конкретизированным.
Первый этап процесса моделирования заключается в определении возможных негативных последствий. Последствия следует разделить на следующие категории:
- негативные последствия для физических лиц, виде утечки персональных данных;
- негативные последствия для организации (утечка баз дынных, разработок, опасность физического повреждения производственных мощностей, управляемых через сеть);
- негативные последствия для государства (в качестве владельца информационных данных и систем управления критически важных объектов, потенциально опасных объектов, объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей среды).
В рамках второго этапа процесса моделирования необходимо определиться с возможными объектами воздействия. Стандартно определяют объекты прямого воздействия, непрямого воздействия и иные системы.
Третий этап представляет собой подбор возможных нарушителей информационной безопасности. Необходимо сопоставить цели нарушителей и их мотивацию.
Согласно исследованию [39] компании Positive Technologies в 2020 году были наиболее актуальными такие мотивации для кибератак как получение данных - 84 % и финансовая выгода - 36 %.
Рисунок 3 - Мотивация кибератак на промышленные компании в 2020 году [39]
Способы реализации угроз подбираются их перечня техник и тактик угроз, уже существующих и когда-то реализованных. Данная информация собрана и доступна на сайте ФСТЭК.
Итоговый этап - создание сценария угрозы представляет собой матрицу возможных вариантов, построенную следующим образом (таблица 1).
Таблица 1 - Матрица реализуемости угроз информационной безопасности системы
Последствия Уязвимости (объекты воздействия) Способы реализации
Угрозы (согласно банку данных угроз информационной безопасности) Значительные / незначительные Уязвим / неуязвим Реализуема / нереализуема
Согласно данной матрице, составляется перечень угроз, несущих значительные последствия (урон), реализуемые через уязвимые объекты воздействия и реализуемые в нашей системе.
Сценарная модель угрозы пишется только для отобранных, согласно матрице, угроз, так как занимает достаточно большое количество времени и ресурсов специалистов.
Обсуждение
Вредоносные программы и направленные атаки, направленные на сбой в работе сетей, представляют собой основные угрозы для критической инфраструктуры. Нефтеперерабатывающие заводы, газопроводы, транспортные системы, электросети и системы водоснабжения - все они входят в технологически передовые отрасли, в которых проблемы с безопасностью могут повлиять на жизнь всего общества. Угрозы могут быть как экономического характера, так и террористического. Одним из первых примеров такой атаки можно назвать заражение троянской программой систему сибирского нефтепровода еще в 1982 году, что привело к одному из самых крупных неядерных взрывов в мире.
Технические особенности и постоянно растущий объем данных, которые могут быть подвергнуты опасности, требуют специальных мер для своей защиты и защиты инфраструктуры, в которой данные собираются, обрабатываются, хранятся и генерятся. Базовыми практиками сохранения безопасности цифровой системы являются: проверка систем на уязвимости, мониторинг сетей и при необходимости их изоляция от внешних соединений, контроль
съемных устройств и мониторинг компьютеров, к которым подключены программируемые логические контроллеры [40].
Согласно данным представленным экспертами компании Positive Technologies, в процессе тестирования систем информационной безопасности на промышленных компаниях доступ к сети был получен в 75 % случаев. Отдельно эксперты хотели бы подчеркнуть, что через, казалось бы, простые векторы атаки злоумышленники могут получить доступ к системам управления технологическим процессом предприятия, что может повредить производственному процессу и вывести из строя промышленное оборудования, вплоть до аварийных ситуаций и порче продукции [41].
Главной слабостью цифровых промышленных экосистем является слабая защита внешнего периметра сети, доступного через Интернет, низкая защищенность о проникновения в технологическую сеть, недостатки устройств, а также использования словарных паролей и устаревших версий ПО. В 75 % промышленных компаний был получен доступ в технологический сегмент сети, что позволило затем в 56 % случаев получить доступ к системам управления технологическим процессом. Таким образом, при получении доступа в технологический сегмент сети злоумышленникам более чем в половине случаев удастся получить еще и доступ к системе управления производственным процессом, что может привести к серьезным последствиям: от нарушения работы предприятия до человеческих жертв. Заключение
Промышленность - это та сфера, которая в последние годы все больше интересует хакеров. Их атаки становятся все успешнее, а сценарии - сложнее. В промышленной сфере, как нигде, требуется моделирование отдельных критически важных систем, позволяющее тестировать их параметры, проверять реализуемость бизнес-рисков, искать уязвимости. Результаты моделирования рисков ИБ - это основа для принятия решений по усилению защищенности инфраструктуры компании от киберугроз.
Метод сценарного моделирования может помочь без страха нарушения реальных бизнес-процессов корректно верифицировать и не допустить события, несущие ущерб, а также оценить возможные потери.
Источник:
1. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) «О персональных данных».
2. ГОСТ Р 58771-2019. Менеджмент риска Технологии оценки риска. Утв. приказом Федерального агентства по техническому регулированию и метрологии от 17 декабря 2019 г. N 1405-ст.
3. Постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении правил категорирования объектов критической информационной инфраструктуры российской федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры российской федерации и их значений».
4. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992.
5. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии России от 30.08.2002 № 282.
6. Сборник временных методик оценки защищённости конфиденциальной информации от утечки по техническим каналам. Гостехкомиссия России, 2002.
7. Положение о сертификации средств защиты информации по требованиям безопасности информации. Утверждено приказом Гостехкомиссии России от 27.10.1995 № 199.
8. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Утвержден приказом председателя Гостехкомиссии России от 19.06.2002 № 187.
9. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».
10. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
11. ГОСТ Р ИСО/МЭК 15408-1-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель».
12. ГОСТ Р ИСО/МЭК 15408-2-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности».
13. ГОСТ Р ИСО/МЭК 15408-3-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности».
14. ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
15. ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий».
16. ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепцияи модели менеджмента безопасности информационных и телекоммуникационных технологий».
17. ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий».
18. ГОСТ Р ИСО/МЭК 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер».
19. ГОСТ Р ИСО/МЭК 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети».
20. СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
21. СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».
22. Gartner: глобальные расходы на ИТ сократятся на 8% в 2020 году из-за воздействия COVID-19 [электронный источник]: https://www.gartner.com/en/newsroom/press-releases/2020-05-13-gartner-says-global-it-spending-to-decline-8-percent-in-2020-due-to-impact-of-covid19.
23. Gartner Forecasts Worldwide Security and Risk Management Spending Growth to Slow but Remain Positive in 2020 [электронный источник]: https://www.gartner.com/en/newsroom/press-releases/2020-06-17-gartner-forecasts-worldwide-security-and-risk-managem.
24. Cybercrime To Cost The World $10.5 Trillion Annually By 2025 [электронный источник]: https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/.
25. https://www.ptsecurity.com/ru-ru/research/analytics/ics-risks-2021/.
26. Зависляк И.В., Кувылина Т.В. Политика информационной безопасности на предприятии // МНИЖ. 2020. №6-1 (96). URL: https://cyberleninka.ru/article/n/politika-informatsionnoy-bezopasnosti-na-predpriyatii (дата обращения: 12.03.2022).
27. Гневанов Михаил Владимирович, Баранов Роман Геннадьевич Информационная безопасность erp-систем // Московский экономический журнал. 2021. №2. URL: https://cyberleninka.ru/article/n/ infor-matsionnaya-bezopasnost-erp-sistem-2 (дата обращения: 12.03.2022).
28. Исаева М.Ф. О внутренних угрозах информационной безопасности // МНИЖ. 2019. №5-1 (83). URL: https://cyberleninka.ru/article/n/o-vnutrennih-ugrozah-informatsionnoy-bezopasnosti (дата обращения: 12.03.2022).
29. Босова Екатерина Дмитриевна, Селищев Валерий Анатольевич Информационная безопасность: современные реалии // Известия ТулГУ. Технические науки. 2019. №9. URL: https://cyberleninka.ru/article/ n/informatsionnaya-bezopasnost-sovremennye-realii-2 (дата обращения: 12.03.2022).
30. Методика оценки угроз безопасности информации. Утвержден ФСТЭК России 5 февраля 2021 г. Москва. - 2021. - 83 с.
31. ГОСТ Р 50922-2006 - «Защита информации. Основные термины и определения». Утвержден Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст
32. Шульц В.Л., Кульба В.В., Шелков А.Б., Чернов И.В. - Сценарный анализ в управлении региональной безопасностью // Вопросы безопасности. - 2016. - № 3. - С. 41 - 79. DOI: 10.7256/24097543.2016.3.19157 URL: https://nbpublish.com/library_read_article.php?id=19157.
33. Борщенко В.В. Сценарное моделирование информационно-политических угроз в интернет-пространстве // Евразийская интеграция: экономика, право, политика. 2020. №1 (31). URL: https://cyberleninka.ru/article/n/stsenarnoe-modelirovanie-informatsionno-politicheskih-ugroz-v-internet-prostranstve (дата обращения: 12.03.2022).
34. Ксенофонтов Д.М. Сценарное моделирование эпидемиологических эффектов экономической политики // Научные труды: Институт народнохозяйственного прогнозирования РАН. 2020. №18. URL: https://cyberleninka.ru/article/n/stsenarnoe-modelirovanie-epidemiologicheskih-effektov-ekonomicheskoy-politiki (дата обращения: 12.03.2022).
35. Левченко Т.П., Ткачева Я. С., Вареников В.А. Сценарное моделирование инновационного развития гостиничных организаций // Новые технологии. 2018. №3. URL: https://cyberleninka.ru/article/n/stsenarnoe-modelirovanie-innovatsionnogo-razvitiya-gostinichnyh-organizatsiy (дата обращения: 12.03.2022).
36. Гейман О.А. Теоретические аспекты сценарного моделирования развития регионов // Экономика промышленности. 2009. №5 (48). URL: https://cyberleninka.ru/article/n/teoreticheskie-aspekty-stsenarnogo-modelirovaniya-razvitiya-regionov (дата обращения: 12.03.2022).
37. Schwartz P. (^б) The art of the long view: paths to strategic insight for yourself and your company. 2nd edition. Currency and Doubleday, USA, p. 7.
3S. Банк данных угроз информационной безопасности. Электронный источник: https://bdu.fstec.ru/threat. Дата обращения 05.06.2022.
39. Риски ИБ в промышленных компаниях https://www.ptsecurity.com/ru-ru/research/analytics/ics-risks-202i/
40. Самые громкие кибер-атаки на критические инфраструктуры https://www.securitylab.ru/blog/company/ PandaSecurityRus/32б37i .php.
41. Positive Technologies: технологическая сеть 75% промышленных компаний открыта для хакерских атак https://www.ptsecurity.com/ru-ru/about/news/positive-technologies-tekhnologicheskaya-set-75-promyshlennyh-kompanij-otkryta-dlya-hakerskih-atak/.
References:
1. Federal Law No. 152-FZ of July 27, 200б (as amended on July 2, 202i) "On Personal Data".
2. GOST R 5S771-2019. Risk management Risk assessment technologies. Approved by order of the Federal Agency for Technical Regulation and Metrology dated December 17, 2019 N 1405-st.
3. Decree of the Government of the Russian Federation of 08.02.2018 No. 127 "On approval of the rules for categorizing objects of the critical information infrastructure of the Russian Federation, as well as a list of indicators of criteria for the significance of objects of the critical information infrastructure of the Russian Federation and their values".
4. The concept of protection of computer equipment and automated systems from unauthorized access to information. State Technical Commission of Russia, 1992.
5. Special requirements and recommendations for the technical protection of confidential information (STR-K). Approved by order of the State Technical Commission of Russia dated August 30, 2002 No. 2S2.
6. Collection of temporary methods for assessing the security of confidential information from leakage through technical channels. State Technical Commission of Russia, 2002.
7. Regulations on the certification of information security tools according to the requirements of information security. Approved by order of the State Technical Commission of Russia dated October 27, 1995 No. 199.
S. Guidance document. lnformation technology security. Criteria for assessing the security of information technology. Approved by order of the Chairman of the State Technical Commission of Russia dated June 19, 2002 No. 1S7.
9. GOST R lSO / ŒC 17799-2005 "Information technology. Practical rules of information security management".
10. GOST R lSO/ffiC 27001-2006 "Information technology. Methods and means of ensuring security. Information security management systems. Requirements".
11. GOST R lSO / ffiC 1540S-1-2002 "Information technology. Methods and means of ensuring security. Criteria for evaluating the security of information technology. Part 1. lntroduction and general model.
12. GOST R lSO/ffiC 1540S-2-2002 "Information technology. Methods and means of ensuring security. Criteria for evaluating the security of information technology. Part 2. Security functional requirements.
13. GOST R lSO/ffiC 1540S-3-2002 "Information technology. Methods and means of ensuring security. Criteria for evaluating the security of information technology. Part 3. Security Assurance Requirements.
14. GOST R lSO / ŒC TO 1S044-2007 "Information technology. Methods and means of ensuring security. Management of information security incidents".
15. GOST R lSO / ŒC 1S045-2008 "Information technology. Methods and means of ensuring security. Methodology for assessing the security of information technologies.
16. GOST R lSO/ÊC 13335-1-2006 "Information technology. Methods and means of ensuring security. Part 1. Concept and model of security management of information and telecommunication technologies".
17. GOST R lSO/EC 13335-3-2007 "Information technology. Methods and means of ensuring security. Part 3. Information technology security management methods.
1S. GOST R lSO/ffiC 13335-4-2007 "Information technology. Methods and means of ensuring security. Part 4. Selection of protective measures".
19. GOST R lSO/ŒC 13335-5-2006 "Information technology. Methods and means of ensuring security. Part 5. Network Security Management Guide.
20. STO BR lBBS-1.0-2008 "Ensuring information security of organizations of the banking system of the Russian Federation. General Provisions".
21. STO BR lBBS-1.1-2007 "Ensuring information security of organizations of the banking system of the Russian Federation. Information security audit".
22. Gartner: Global IT spending will fall 8% in 2020 due to the impact of COVID-19 [electronic source]: https://www.gartner.com/en/newsroom/press-releases/2020-05 -13-gartner-says-global-it-spending-to-decline-8-percent-in-2020-due-to-impact-of-covid19
23. Gartner Forecasts Worldwide Security and Risk Management Spending Growth to Slow but Remain Positive in
2020 [electronic source]: https://www.gartner.com/en/newsroom/press-releases/2020-06-17-gartner-forecasts -worldwide-security-and-risk-managem
24. Cybercrime To Cost The World $10.5 Trillion Annually By 2025 [electronic source]: https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/
25. https://www.ptsecurity.com/ru-ru/research/analytics/ics-risks-2021/
26. Zavislyak I.V., Kuvylina T.V. Information security policy at the enterprise // MNIZH. 2020. No. 6-1 (96). URL: https://cyberleninka.ru/article/n/politika-informatsionnoy-bezopasnosti-na-predpriyatii (date of access: 03/12/2022).
27. Gnevanov Mikhail Vladimirovich, Baranov Roman Gennadievich INFORMATION SECURITY OF ERPSYSTEMS // Moscow Economic Journal. 2021. №2. URL: https://cyberleninka.ru/artide/n/informatsionnaya-bezopasnost-erp-sistem-2 (date of access: 03/12/2022).
28. Isaeva M.F. On internal threats to information security // MNIZH. 2019. No. 5-1 (83). URL: https://cyberleninka.ru/article/n/o-vnutrennih-ugrozah-informatsionnoy-bezopasnosti (date of access: 03/12/2022).
29. Bosova Ekaterina Dmitrievna, Selishchev Valery Anatolyevich Information security: modern realities // News of TulGU. Technical science. 2019. No. 9. URL: https://cyberleninka.ru/article/n/informatsionnaya-bezopasnost-sovremennye-realii-2 (date of access: 03/12/2022).
30. Methodology for assessing threats to information security. Approved by the FSTEC of Russia on February 5,
2021 Moscow. - 2021. - 83 p.
31. GOST R 50922-2006 - "Information protection. Basic terms and definitions". Approved by Order of the Federal Agency for Technical Regulation and Metrology dated December 27, 2006 N 373-st.
32. Shults V.L., Kulba V.V., Shelkov A.B., Chernov I.V. - Scenario analysis in the management of regional security // Security Issues. - 2016. - No. 3. - P. 41 - 79. DOI: 10.7256/2409-7543.2016.3.19157 URL: https://nbpublish.com/library_read_article.php?id=19157.
33. Borshchenko V.V. Scenario modeling of information and political threats in the internet space // Eurasian integration: economics, law, politics. 2020. No. 1 (31). URL: https://cyberleninka.ru/article/n/stsenarnoe-modelirovanie-informatsionno-politicheskih-ugroz-v-internet-prostranstve (date of access: 03/12/2022).
34. Ksenofontov D.M. Scenario modeling of epidemiological effects of economic policy // Scientific Works: Institute of National Economic Forecasting RAS. 2020. No. 18. URL: https://cyberleninka.ru/article/n/stsenarnoe-modelirovanie-epidemiologicheskih-effektov-ekonomicheskoy-politiki (date of access: 03/12/2022).
35. Levchenko T.P., Tkacheva Y.S., Varenikov V.A. Scenario modeling of innovative development of hotel organizations // New technologies. 2018. №3. URL: https://cyberleninka.ru/artide/n/stsenarnoe-modelirovanie-innovatsionnogo-razvitiya-gostinichnyh-organizatsiy (date of access: 03/12/2022).
36. Geiman O.A. Theoretical aspects of scenario modeling of regional development // Economics of Industry. 2009. No. 5 (48). URL: https://cyberleninka.ru/article/n/teoreticheskie-aspekty-stsenarnogo-modelirovaniya-razvitiya-regionov (date of access: 03/12/2022).
37. Schwartz P. (1996) The art of the long view: paths to strategic insight for yourself and your company. 2nd edition. Currency and Doubleday, USA, p. 7.
38. Data bank of information security threats. Electronic source: https://bdu.fstec.ru/threat. Retrieved 05.06.2022
39. Information security risks in industrial companies https://www.ptsecurity.com/ru-ru/research/analytics/ics-risks-2021/.
40. The most notorious cyber attacks on critical infrastructures https://www.securitylab.ru/blog/company/ PandaSecuri-tyRus/326371 .php.
41. Positive Technologies: the technological network of 75% of industrial companies is open to hacker attacks https://www.ptsecurity.com/ru-ru/about/news/positive-technologies-tekhnologicheskaya-set-75-promyshlennyh-kompanij -otkryta -dlya-hackerskih-atak/.
