References
1. Zhankaziev S.V. Razrabotka kontseptsii sozdaniia intellektua'noi transportnoi sistemy na avtomobil'nykh dorogakh federal'nogo znacheniia [Development of the concept of intelligent transport system creation on federal roads]. Available at: http://lib.znate.ru/docs/index-248623.html (Accessed 14 January 2016).
2. Kulik N.S., Mart'ianov V.I., Pakhomov D.V. Proekt sistemy upravleniia regional'noi set'iu avtomobil'nykh dorog (SURSAD) Irkutskoi oblasti [Project of the control system of the regional network of highways (SU-RAT) of the Irkutsk region]. Vestnik IrGTU - Proceedings of Irkutsk State Technical University. 2014, no. 4 (74), pp. 118-124.
3. O nekotorykh voprosakh vzimaniia platy v schet vozmeshcheniia vreda, prichiniaemogo avtomobil'nym dorogam obshchego pol'zovaniia federal'nogo znache-niia transportnymi sredstvami, imeiushchimi razreshen-
nuiu maksimal'nuiu massu svyshe 12 tonn [On some issues of tolling vehicles with maximum permissible weight of over 12 tons as a compensation for the harm they cause federal roads]. Available at: http://mvf.klerk.ru/nb/495_03.htm (Accessed 15 January 2016).
4. Ob utverzhdenii Poriadka sozdaniia, obnovleniia, ispol'zovaniia, khraneniia i rasprostraneniia tsifrovykh navigatsionnykh kart: prikaz Minekonomrazvitiia RF ot 1 oktiabria 2010 g. no. 464 [On approval of creation, update, use, storage and distribution of digital navigation maps]. Available at: http://j3.nvs-gnss. ru/news/goverment/36-1 -2010-n-464. html (Accessed 14 January 2016).
5. Osnovnye usloviia kontsessionnogo soglasheniia [The main terms of concession agreement]. Available at: http://poisk-zakona.ru/275831.html (Accessed 15 January 2016).
УДК 004.056.53
DOI: 10.21285/1814-3520-2016-4-101 -109
СОВЕРШЕНСТВОВАНИЕ МЕТОДОВ ПОЛУЧЕНИЯ И ОБРАБОТКИ ИНФОРМАЦИИ В ЗАДАЧАХ КАТЕГОРИРОВАНИЯ СТРАТЕГИЧЕСКИХ ОБЪЕКТОВ И РОЛЬ УПРАВЛЕНИЯ ПЕРСОНАЛОМ В ОБЕСПЕЧЕНИИ ИХ БЕЗОПАСНОСТИ
© И.И. Лившиц1, Н.П. Лонцих2
«Газинформсервис»,
198096, Россия, г. Санкт-Петербург, ул. Кронштадтская, д. 10, литера А. Иркутский национальный исследовательский технический университет, 664074, Россия, г. Иркутск, ул. Лермонтова, 83.
В настоящее время проблема совершенствования методов получения и обработки информации в задачах кате-горирования стратегических объектов получает приоритетное внимание в силу различных факторов: усиления террористической активности, развития информационных технологий, активного противодействия специалистов по защите и действий злоумышленников. Необходимо отметить факт более вдумчивого отношения к проблеме обеспечения безопасности стратегических объектов, таких как объекты топливно-энергетического комплекса (ТЭК), и, в частности, к конкретной задаче обеспечения необходимого уровня информационной безопасности (ИБ). Это определяет действенность социальных и экономических систем, а также актуализацию роли управления персоналом в обеспечении безопасности стратегических объектов. Одним из важных этапов для успешного решения данной проблемы является категорирование объектов ТЭК и их паспортизация в соответствии с требованиями, сформулированными в постановлениях Правительства РФ. Представляется важным обратить внимание лиц, принимающих решения (ЛПР), что данная проблема также может быть эффективно решена посредством применения современных риск-ориентированных стандартов ISO серии 27001, 22301 и 55001 и внедрения интегрированных систем менеджмента. При выполнении всей совокупности требований в области ИБ возможна разработка необходимой современной методологической основы и формирование систем обеспечения безопасности для объектов ТЭК.
Ключевые слова: стандарт; объект; система менеджмента информационной безопасности; лицо, принимающее решение; информационная безопасность; управление персоналом.
i
Лившиц Илья Иосифович, кандидат технических наук, ведущий аналитик ООО «Газинформсервис», e-mail: [email protected]
Livshits Ilya, Candidate of technical sciences, Leading analyst of "Gasinform service" LLC, e-mail: [email protected]
2Лонцих Наталья Павловна, кандидат педагогических наук, доцент кафедры управления качеством и механики, e-mail: [email protected]
Lontsykh Natalia, Candidate of Pedagogical sciences, Associate Professor of the Department of Quality Management and Mechanics, e-mail: [email protected]
IMPROVEMENT OF METHODS OF INFORMATION OBTAINING AND PROCESSING IN THE CATEGORIZATION PROBLEMS OF STRATEGIC FACILITIES AND THE ROLE OF HUMAN RESOURCE MANAGEMENT IN THEIR SECURITY ENSURING I.I. Livshits, N.P. Lontsykh
"Gasinformservice",
10A Kronshtadskaya St., Saint Petersburg, 198096, Russia. Irkutsk National Research Technical University, 83 Lermontov St., Irkutsk, 664074, Russia.
Today the problem of improvement of the methods of information obtaining and processing in the problems of strategic facility categorization gets priority due to various factors including strengthening of terrorist activity, development of information technologies, active opposition between security specialists and hackers. We note the fact of more thoughtful attitude to the problem of ensuring security of strategic facilities such as the facilities of fuel and energy complex (FEC), and in particular to the specific task of ensuring the necessary level of information security. This determines the effectiveness of social and economic systems, as well as the relevance of the role of human resource management in ensuring the security of strategic facilities. Categorization of fuel and energy facilities and their certification in accordance with the requirements formulated in the RF Government Decrees form one of the important steps for the successful solution of this problem. It is important to draw the attention of decision-makers to the fact that this problem can be effectively solved through the use of modern risk-oriented ISO standards of 27001, 22301 and 55001 series, and the introduction of integrated management systems. Implementation of the whole totality of requirements in the field of information security enables the development of the necessary modern methodological base and formation of the systems ensuring security for the fuel and energy complex facilities.
Keywords: standard; facility; information security management system; decision maker; information security; human resource management
В настоящее время проблеме совершенствования методов получения и обработки информации в задачах категори-рования стратегических объектов, в том числе объектов топливно-энергетического комплекса (ТЭК), определяющих действенность социальных и экономических систем, уделяется приоритетное внимание в силу различных факторов: усиления террористической активности, развития информационных технологий (ИТ), активного противодействия специалистов по информационной безопасности (ИБ) и злоумышленников. Это определяет действенность социальных и экономических систем, а также актуализацию роли управления персоналом в обеспечении безопасности стратегических объектов. Факты наиболее крупных управляемых техногенных аварий и катастроф хорошо известны из СМИ. Например, атака вируса Stuxnet на завод в Буше-ре по данным отчета Symantec (N. Falliere, L. Murchu, E. Chien. W32. Stuxnet Dossier, Ver 1.4, February 2011) показала сразу несколько уникальных характеристик. В частности, Stuxnet был первым «зловредом», использующим четыре уязвимости 0-го дня, кроме того, были скомпрометированы два цифровых сертификата, впервые был внедрен код в системы управления произ-
водственным процессом. С другой стороны, отметим достижение специалистами компании CISCO скорости реакции в 17 часов для противодействия новым угрозам.
Реализация требований безопасности в ИСМ
В настоящее время можно отметить факт более вдумчивого отношения к проблеме обеспечения безопасности объектов ТЭК и, в частности, обеспечения необходимого уровня ИБ, в том числе формального соответствия требованиям применимого законодательства и наилучших мировых стандартов (ISO): серии 27001 (в области ИБ); серии 22301 (в области обеспечения непрерывности бизнеса); серии 55001 (в области управления активами) [9, 10].
Одним из важных этапов для успешного решения данной проблемы является категорирование объектов ТЭК и их паспортизация в соответствии с применимыми требованиями, установленными в постановлениях Правительства РФ [1, 3, 4, 5]. Представляется важным обратить внимание ЛПР, что данная проблема также может быть эффективно решена посредством применения современных риск-ориентированных стандартов ISO серий 27001, 22301 и 55001 [9, 10, 12] и внедрения интегрированных систем менеджмента
(ИСМ). При выполнении всей совокупности требований в области ИБ возможно обеспечить необходимую современную методологическую основу и формирование систем обеспечения безопасности для объектов ТЭК.
Рассмотрим общую модель объекта защиты (рис. 1) и определим основные сущности, необходимые для эффективного решения поставленной проблемы. Наиболее важным представляется положение о «замыкании» цикла РРОД в системе управления сложным производственным объектом (СлПО). Для ИСМ важно, как именно формируется контекст (в данном конкретном случае - контекст управления ИСМ в целом, в том числе - обеспечение ИБ). Далее в процессе отработки требований заинтересованных сторон (а ими могут быть и злоумышленники) необходимо обеспечить получение результатов измерений, предоставление метрик результативности ИСМ напрямую ЛПР и выдачу адекватных управленческих решений.
Термины и определения
Для спецификации решения по кате-горированию и паспортизации объектов
ТЭК рассмотрим несколько терминов из ФЗ-256 [1] и дополнительно отметим положения основного стандарта по обеспечению менеджмента (управления) ИБ - ISO 27001 [9].
Антитеррористическая защищенность объекта топливно-энергетического комплекса - состояние защищенности здания, строения, сооружения или иного объекта топливно-энергетического комплекса, препятствующее совершению на нем террористического акта.
Дополнительно отметим из ISO 27001 требование по управлению техническими уяз-вимостями (А.12.6.1): «...информация о технических уязвимостях используемых информационных систем должна быть получена своевременно. Незащищенность организации к таким уязвимостям должна быть оценена и приняты соответствующие меры для решения связанного риска ».
Критически важные объекты топливно-энергетического комплекса -
объекты топливно-энергетического
Заинтересованные стороны
Формирование контекста
Программа и план аудитов
Воздействия
Требования
Требования к управлению
Контекст
Сложный производственный объект (СлПО)
Необходимое Результаты управление измерений
Аудиты
Анализ со стороны ЛПР
Лицо, принимающее решения (ЛПР)
Метрики результативности ИСМ
Системы менеджмента (безопасности)
Системы менеджмента (непрерывности)
Системы менеджмента (качества)
Требования ЛПР к ИСМ
Интегрированная система менеджмента (ИСМ)
Рис. 1. Общая модель объекта
комплекса, нарушение или прекращение функционирования которых приведет к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно-территориальной единицы, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения.
Дополнительно отметим из ISO 27001 требования:
- обеспечения контроля периметра физической безопасности (A.11.1.1) -«...периметры физической безопасности должны быть определены и должна быть применена защита зон, которые содержат чувствительную, критическую информацию или средства обработки информации»;
- технического анализа приложений после внесения изменений в операционные системы (А.14.2.3) - «...при внесении изменений в ОС необходимо провести анализ и тестирование критических бизнес-приложений с целью удостовериться в отсутствии негативного влияния на работу и безопасность организации»;
- управления изменениями услуг поставщика (А.15.2.2) - «...изменения в предоставлении услуг поставщиками, включая поддержку и улучшение существующей политики ИБ, процедур и элементов управления, должны управляться с учетом критичности бизнес информации, систем и процессов и повторной оценки рисков».
Паспорт безопасности объекта топливно-энергетического комплекса -документ, содержащий информацию об обеспечении антитеррористической защищенности объекта топливно-энергетического комплекса и план мероприятий по обеспечению антитеррористической защищенности объекта.
Порядок категорирования и паспортизации объектов ТЭК
Прежде всего отметим, что в ФЗ-256 в ст. 3 определены цели и задачи обеспечения безопасности объектов ТЭК [1]. К
числу основных задач обеспечения безопасности объектов ТЭК относится их информационное, материально-техническое и научно-техническое обеспечение.
Для выполнения требования данной статьи ФЗ-256 применимы следующие требования стандарта по обеспечению менеджмента (управления) ИБ - ISO 27001 [5]:
- «Высшее руководство должно продемонстрировать лидерство и приверженность по отношению к системе менеджмента ИБ путем обеспечения политики ИБ и целей ИБ, которые совместимы со стратегическими задачами организации» (п. 5.1 с.).
- «Организация должна сохранять документированную информацию о целях ИБ» (п. 6.2).
- «Организация также должна выполнять планы по достижению целей ИБ, как определено в п. 6.2.» (п. 8.1).
Далее в ФЗ-256 [1] в ст. 5 определены требования к категорированию объектов ТЭК: «Для установления дифференцированных требований обеспечения безопасности объектов ТЭК с учетом степени потенциальной опасности совершения акта незаконного вмешательства и его возможных последствий проводится категориро-вание объектов.
Для выполнения требования данной статьи ФЗ-256 применимы следующие требования стандарта по обеспечению менеджмента (управления) ИБ - ISO 27001 [9]:
- «Активы, связанные с информацией и средствами для обработки информации, должны быть определены и реестр этих активов должен быть составлен и поддерживаться в рабочем виде» (A.8.1.1).
- «Активам, приведенным в реестре активов, должны быть определены владельцы» (A.8.1.2).
- «Правила допустимого использования информации и активов, связанных с информацией и средствами для обработки информации, должны быть определены, документированы и внедрены» (A.8.1.3).
- «Операционные процедуры должны быть документированы и доступны для всех пользователей, кто в них нуждается» (А. 12.1.1.
- «Изменения в организации, бизнес-процессах, средствах и системах обработки информации, влияющие на ИБ, должны контролироваться» (А. 12.1.2).
- «Использование ресурсов должно быть контролируемым, приведенным к соответствию с текущими требованиями и выполнены прогнозы для обеспечения требуемой производительности системы в будущем» (А.12.1.3).
Далее в ФЗ-256 [1] в ст. 8 определены требования ведения Паспорта безопасности объекта ТЭК: «Субъекты топливно-энергетического комплекса составляют паспорта безопасности объектов топливно-энергетического комплекса по форме согласно приложению к настоящему Федеральному закону». В приложении ФЗ-256 [1] отмечаются требования к жизненному циклу Паспорта безопасности объекта ТЭК: создание, содержание, утверждение, актуализация, ограничение доступа к информации. В качестве примера отметим, что в Паспорте безопасности объекта ТЭК указываются конфиденциальные данные, в частности:
- режим работы объекта;
- состав и оснащенность КПП;
- состав суточного наряда;
- оснащение единицами боевого ручного стрелкового оружия и патронов;
- применяемые системы сигнализации;
- применяемые типы радиосвязи.
Для выполнения требования данной
статьи ФЗ-256 применимы следующие требования стандарта по обеспечению менеджмента (управления) ИБ - ISO 27001 [5]:
- «Система менеджмента ИБ организации должна включать документированную информацию, требуемую настоящим международным стандартом» (7.5.1 a);
- «Система менеджмента ИБ организации должна включать документированную информацию, определенную организацией в качестве необходимой для
обеспечения результативности системы менеджмента ИБ» (7.5.1 b);
- «Организация должна определить и предоставить ресурсы, необходимые для разработки, внедрения, поддержки и постоянного улучшения системы менеджмента ИБ (п. 7.1).
Далее в ФЗ-256 [1] в ст. 11 определены требования по обеспечению безопасности информационных систем объектов ТЭК: «В целях обеспечения безопасности объектов топливно-энергетического комплекса субъекты топливно-энергетического комплекса создают на этих объектах системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий и обеспечивают функционирование таких систем. Создание таких систем предусматривает планирование и реализацию комплекса технических и организационных мер, обеспечивающих, в том числе антитеррористическую защищенность объектов топливно-энергетического комплекса».
Для выполнения требования данной статьи ФЗ-256 применимы следующие требования стандарта по обеспечению менеджмента (управления) ИБ - ISO 27001 [5]:
- «Организация должна определить и внедрить процесс оценки рисков ИБ» (6.1.2).
- «Организация должна определить и внедрить процесс обработки рисков ИБ» (6.1.3).
- «Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии системы менеджмента ИБ» (п. 9.2).
В Постановлении Правительства № 460 [3] определены требования к актуализации паспортов безопасности объекта ТЭК, в частности, порядок утверждения, информирования об отсутствии оснований для актуализации паспорта и порядок принятия решения о замене. Обратим внимание, что установлен срок хранения паспортов, утративших силу, - 25 лет.
Для выполнения требования Постановления Правительства № 460 применимы следующие требования стандарта по обеспечению менеджмента (управления) ИБ - ISO 27001 [5]:
- «Система менеджмента ИБ организации должна включать документированную информацию, требуемую настоящим международным стандартом» (7.5.1 a).
- «Система менеджмента ИБ организации должна включать документированную информацию, определенную организацией в качестве необходимой для обеспечения результативности системы менеджмента ИБ» (7.5.1 b).
- «При создании и обновлении документированной информации организация должна обеспечить соответствующее рассмотрение и утверждение на предмет пригодности для применения и адекватности» (7.5.2 с).
В Постановлении Правительства № 458 [4] определены требования к обеспечению безопасности и антитеррористической защищенности объектов ТЭК, в частности, отмечено, что указанные требования не распространяются на объекты морского (шельфового) базирования и систему ИБ (систему защиты информации) объектов. Также приводится определение риска как «вероятность причинения вреда жизни, здоровью физических лиц, окружающей среде, в том числе животным или растениям, имуществу физических и юридических лиц, государственному или муниципальному имуществу с учетом тяжести этого вреда». Необходимо отметить, что требование учета риска гармонизировано с требованиями как национальных, так и международных современных стандартов в области систем менеджмента (управления).
Для выполнения требования Постановления Правительства № 458 применимы следующие требования стандарта по обеспечению менеджмента (управления) ИБ - ISO 27001 [5]:
- «Организация должна определить и внедрить процесс оценки рисков ИБ»
(6.1.2).
- «Организация должна определить и внедрить процесс обработки рисков ИБ» (6.1.3).
- «Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии системы менеджмента ИБ» (п. 9.2).
В Постановлении Правительства № 459 [5] определены требования к исходным данным для проведения категориро-вания объектов ТЭК, порядке его проведения и критериях категорирования. Необходимо отметить, что требование категори-рования объектов и установление критериев такого категорирования гармонизировано с требованиями как национальных, так и международных современных стандартов в области систем менеджмента (управления).
Для выполнения требования Постановления Правительства № 459 применимы следующие требования стандарта по обеспечению менеджмента (управления) ИБ - ISO 27001 [5]:
- «Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии системы менеджмента ИБ» (п. 9.2).
- «При внесении изменений в ОС необходимо провести анализ и тестирование критических бизнес-приложений с целью удостовериться в отсутствии негативного влияния на работу и безопасность организации» (А.14.2.3).
- «Изменения в предоставлении услуг поставщиками, включая поддержку и улучшение существующей политики ИБ, процедур и элементов управления, должны управляться с учетом критичности бизнес-информации, систем и процессов и повторной оценки рисков» (А.15.2.2).
- «Активы, связанные с информацией и средствами для обработки информации, должны быть определены и реестр этих активов должен быть составлен и поддерживаться в рабочем виде» (A.8.1.1).
- «Активам, приведенным в реестре активов, должны быть определены владельцы» (А.8.1.2).
- «Операционные процедуры должны быть документированы и доступны для всех пользователей, кто в них нуждается» (А. 12.1.1.;
- «Изменения в организации, бизнес-процессах, средствах и системах обработки информации, влияющих на ИБ, должны контролироваться» (А. 12.1.2).
Роль управления персоналом при защите информации
В современных компаниях практически любой сотрудник становится носителем ценных сведений, которые представляют интерес для конкурентов. Разглашение конфиденциальной информации может нанести существенный ущерб организации, и не только экономический.
Основные этапы защиты информации зависят от того, как организована система защиты информации. Для этого высшему руководству необходимо:
- разработать перечень информации, относящейся к защищенной;
- ограничить и регламентировать доступ к носителям информации;
- определить круг лиц, имеющих право доступа к информации;
- нанести на документы, составляющие коммерческую тайну, соответствующие надписи или пометки (при этом необходимо указывать обладателя информации, его местонахождение и наименование);
- ознакомить работников с локальными актами о коммерческой тайне;
- внести в трудовые договоры, особенно с вновь принимаемыми лицами, пункт об обязательстве работника не разглашать определенную информацию.
В деле защиты информации организации от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз. Необходимо внедрять такую систему управления персоналом, которая бы помогала в деле обеспечения информационной безопасности, играла профилактическую роль по отноше-
нию к угрозам [8].
Формы реализации угроз информационной безопасности предприятия разнообразны по своему характеру и содержанию, что затрудняет процесс противодействия им. При этом мотивация сотрудников при разглашении конфиденциальной информации может быть различна. Реализация мер кадровой службы по защите информации организации предполагает планирование, организацию, мотивацию и контроль персонала в целях создания системы обеспечения информационной безопасности.
Одним из наиболее важных направлений в деятельности руководства является постоянная работа с персоналом предприятия, имеющим в силу своих должностных обязанностей доступ к конфиденциальной информации. Персонал, постоянно работающий со сведениями конфиденциального характера (их носителями), - основной субъект в сфере защиты информации. Одновременно он и единственный ее «нематериальный носитель». Работа с персоналом подразумевает целенаправленную деятельность высшего руководства и персонала организации по предотвращению ситуаций разглашения защищенной информации организации.
Высокий уровень подготовки сотрудников предприятия в вопросах защиты конфиденциальной информации позволит максимально снизить вероятность появления непреднамеренных ошибок в обращении с этой информацией. И наоборот, проявление сотрудниками предприятия низких профессиональных навыков значительно снизит эффективность системы защиты конфиденциальной информации на предприятии в целом, так как никакие меры организационного и технического характера не компенсируют возможную утечку информации со стороны сотрудников предприятия.
Причинами разглашения конфиденциальной информации персоналом предприятия чаще всего становятся следующее:
- недостаточный уровень знаний нормативных актов и внутренних докумен-
тов предприятия, регламентирующих деятельность по защите информации;
- слабый контроль со стороны руководителей всех уровней за состоянием защиты информации и эффективностью принимаемых мер по недопущению разглашения этой информации;
- недостаточное внимание к вопросам организации работы с персоналом предприятия, изучению морально-деловых качеств сотрудников;
- несвоевременное принятие эффективных действий по предотвращению разглашения конфиденциальной информации, а также нарушений норм и правил защиты информации сотрудниками.
Наряду с перечисленными причинами к разглашению информации могут также привести различные экстремальные ситуации, чрезвычайные происшествия, локальные неисправности в системах коммуникации и жизнеобеспечения. В таких ситуациях охраняемая информация потенциально может использоваться лицами, не допущенными к ней. В связи с этим важно иметь необходимую информацию о лицах, не являющихся сотрудниками предприятия, которым предоставлено право его посещения (нахождения на его территории) для решения различных вопросов и задач. Заблаговременно определяется круг таких лиц, включающий прежде всего [8].:
- сотрудников организаций-партнеров и других взаимодействующих с предприятием;
- работников органов государственной власти, местного самоуправления, территориальных и надзорных органов;
- представителей средств массовой информации (СМИ);
- работников коммунальных служб;
- работников обслуживающих инфраструктуру организации;
- инкассаторов, сотрудников банковских структур, подразделений федеральной почтовой связи.
Работа с персоналом предприятия должна проводиться высшим руководством в плановом порядке, на постоянной основе. Неотъемлемой частью этой работы является распределение высшим руководством задач и функций между должностными лицами и структурными подразделениями, определение приоритетности и очередности выполнения этих функций и задач.
В зависимости от размера организации непосредственное участие в работе с персоналом предприятия, как правило, принимают служба кадров, служба безопасности, режимно-секретное подразделение, юридическая служба (юрисконсульт), служба охраны и служба собственной безопасности.
Высшее руководство и сотрудники, использующие в своей работе конфиденциальную информацию, могут в своей деятельности опираться на Федеральный закон «О коммерческой тайне» [2]. Данный закон составляет правовую основу организации для проведения работы с персоналом предприятия, допущенным к сведениям, в установленном порядке отнесенным к коммерческой тайне.
Таким образом, процесс категориро-вания и паспортизации объектов ТЭК рекомендуется реализовывать на методической основе системы нормативных документов РФ (постановлений Правительства, приказов ФСТЭК) и дополнительно современных стандартов ISO серии 27001, 22301, 55001 и 50001. Предлагаемый подход позволит обеспечить необходимый уровень безопасности, в том числе уровень ИБ, адекватный современным требованиям к оперативной и достоверной оценке рисков на объектах ТЭК.
Статья поступила 21.03.2016 г.
Библиографический список
1. О безопасности объектов топливно- 29.07.2004 № 98-ФЗ [Электронный ресурс] // Кон-энергетического комплекса: федеральный закон от сультантРлюс. URL: https://www.consultant.ru/ 21 июля 2011 г. № 256-ФЗ [Электронный ресурс] // document/cons_doc_LAW_48699/ (04.03.2016). Компания «Гарант». URL: http://base.garant.ru/ 3. Об утверждении Правил актуализации паспорта (04.03.2016). безопасности объекта топливно-энергетического
2. О коммерческой тайне: федеральный закон от комплекса: постановление Правительства РФ от
5 мая 2012 г. № 460 [Электронный ресурс] // Компания «Гарант». URL: http://base.garant.ru/ (04.03.2016).
4. Об утверждении Правил по обеспечению безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса: постановление Правительства Российской Федерации от 05.05.2012 № 458 [Электронный ресурс] // Компания «Гарант». URL: http://base.garant.ru/ (04.03.2016).
5. Об утверждении Положения об исходных данных для проведения категорирования объекта топливно-энергетического комплекса, порядке его проведения и критериях категорирования: постановление Правительства РФ от 5 мая 2012 г. № 459 [Электронный ресурс] // Компания «Гарант». URL: http://base.garant. ru/ (04.03.2016).
6. Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. Вып. 1. С. 22-34.
7. Лившиц И.И. Подходы к применению модели
1. O bezopasnosti ob"ektov toplivno-energeticheskogo kompleksa: federal'nyi zakon ot 21 iiulia 2011 g. № 256-FZ [On safety of the fuel and energy complex facilities: the Federal Law of July 21, 2011 no. 256-FZ]. Available at: http://base.garant.ru/ (accessed 4 April 2016).
2. O kommercheskoi taine: federal'nyi zakon ot 29.07.2004 № 98-FZ [On Commercial Secrets: Federal Law of July 29 2004 no. 98-FZ]. Available at: https://www.consultant.ru/document/cons_doc_LAW_48 699/ (accessed 4 April 2016).
3. Ob utverzhdenii Pravil aktualizatsii pasporta bezopasnosti ob"ekta toplivno-energeticheskogo kompleksa: postanovlenie Pravitel'stva RF ot 5 maia 2012 g. № 460 [On adoption of the regulations of updating of the safety data sheet of the fuel and energy complex facility: RF Government Resolution of May 5, 2012, no. 460]. Available at: http://base.garant.ru/ (accessed 4 April 2016).
4. Ob utverzhdenii Pravil po obespecheniiu bezopas-nosti i antiterroristicheskoi zashchi-shchennosti ob"ektov toplivno-energeticheskogo: postanovlenie Pravitel'stva Rossiiskoi Fe-deratsii ot 05.05.2012 № 458 [On adoption of the regulations on ensuring security and counter-terrorism protection of fuel and energy complex facilities: Government Regulation of the Russian Federation from May 05 2012 no. 458]. Available at: https://www.consultant.ru/document/cons_doc_LAW_48 699/ (accessed 4 April 2016).
5. Ob utverzhdenii Polozheniia ob iskhodnykh dannykh dlia provedeniia kategorirovaniia ob"-ekta top-livno-energeticheskogo kompleksa, poriadke ego provedeniia i kriteriiakh kategorirova-niia: postanovlenie Pravite'stva RF ot 5 maia 2012 g. № 459 [On approval of the statute of initial data for the categorization of fuel and energy complex facilities, its implementation order
интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов -аэропортовых комплексов // Труды СПИИРАН. 2014. Вып. 6. С. 72-94.
8. Погодина И.В. Если работник не умеет хранить деловые секреты // Трудовое право. 2009. № 10. С. 23-42.
9. ISO/IEC 27001:2013. Information technology -Security techniques - Information security management systems - Requirements. International Organization for Standardization, 2013. 23 p.
10. ISO/IEC 27005:2011. Information technology -Security techniques - Information security risk management. International Organization for Standardization, 2011. 68 p.
11. ISO 19011:2011. Guidelines for auditing management systems. International Organization for Standardization, 2011. 44 p.
12. ISO 22301:2012. Societal security - Business continuity management systems - Requirements. International Organization for Standardization, 2012. 24 p.
and categorization criteria: RF Government Resolution of May 5, 2012 no. 459]. Available at: https://www.consultant.ru/document/cons_doc_LAW_48 699/ (accessed 4 April 2016).
6. Livshits I.I. Prakticheskie primenimye metody otsenki sistem menedzhmenta informa-tsionnoi bezopasnosti [Practically applicable methods for information security management system evaluation]. Menedzhment kachestva - Quality Management, 2013, vol. 1, pp. 22-34.
7. Livshits I.I. Podkhody k primeneniiu modeli integri-rovannoi sistemy menedzhmenta dlia provedeniia audi-tov slozhnykh promyshlennykh ob"ektov - aeropor-tovykh kompleksov [Approaches to the Application of the Integrated Management System Model for Carrying out Audits for Complex Industrial Objects - Airport Facilities]. Trudy SPIIRAN - SPIIRAN Works, 2014, vol. 6, pp. 72-94.
8. Pogodina I.V. Esli rabotnik ne umeet khranit' delo-vye sekrety [If an employee doesn't keep business secrets]. Trudovoe pravo - Labor Law, 2009, no. 10, pp. 23-42.
9. ISO/IEC 27001:2013. Information technology -Security techniques - Information security management systems - Requirements. International Organization for Standardization, 2013, 23 p.
10. ISO/IEC 27005:2011. Information technology -Security techniques - Information security risk management. International Organization for Standardization, 2011, 68 p.
11. ISO 19011:2011. Guidelines for auditing management systems. International Organization for Standardization, 2011, 44 p.
12. ISO 22301:2012. Societal security - Business continuity management systems - Requirements. International Organization for Standardization, 2012, 24 p.