Безопасность цифровых технологий

БЕЗОПАСНОСТЬ ЦИФРОВЫХ ТЕХНОЛОГИЙ

БЕЗОПАСНОСТЬ
ЦИФРОВЫХ ТЕХНОЛОГИЙ

English | Русский

Последний выпуск
№3(114) Июль - Сентябрь 2024

ВОПРОСЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Выпуск № 3 (110) Июль - Сентябрь 2023
Авторы:

Селифанов Валентин Валерьевич,
Ситская Анастасия Вадимовна,
Звягинцева Полина
DOI: http://dx.doi.org/10.17212/2782-2230-2023-3-67-82
Аннотация

Сегодня информационная безопасность властвует абсолютно во всех сферах деятельности человека. Нарушение безопасности всегда влечет за собой последствия, но в зависимости от структуры они могут быть незаметными или же, наоборот, могут остановить деятельность организации или даже страны. Вопрос обеспечения информационной безопасности объектов критической информационной инфраструктуры сегодня стал наиболее обсуждаем. Государственные регуляторы разработали множество нормативно правовых документов, которые содержат в себе требования к системе защиты объектов критической информационной инфраструктуры различных уровней значимости. Однако никто так и не создал ни одной методики, которая бы показала реальное состояние информационной безопасности объекта критической информационной инфраструктуры. Как следствие, как организация, так и регуляторы видят только общую картину состояния системы защиты, что, в свою очередь, создает множество уязвимых мест, которыми может воспользоваться злоумышленник для осуществления атаки. Вследствие атаки объекта критической информационной инфраструктуры вред может быть нанесен не только организации, но и людям, могут быть нарушены рабочие процессы всего го-сударства. Именно поэтому вопрос создания такой методики становится не просто актуальным, но и необходимым как для внутреннего контроля самой организации, так и для автоматизации работы регуляторов при проведении очередных проверок. Методика покажет не только качественную оценку состояния системы защиты, но и возможные уязвимые места организации, которые необходимо устранить для повышения эффективности всей защиты.


Ключевые слова: информационная безопасность, критическая информационная инфраструктура, объект критической информационной инфраструктуры, аудит, аудит информационной безопасности, система защиты информации, разработка методики оценки, защита информационных систем

Список литературы

Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».



Постановление Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений».



Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».



ГОСТ Р ИСО 19011-2021 "Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента" от 11 мая 2021 г.



Geldiyev, H., Churiyev, M., Mahmudov, R. (2020). Issues regarding cybersecurity in modern world. In: Brauweiler, HC., Kurchenkov, V., Abilov, S., Zirkler, B. (eds) Digitalization and Industry 4.0: Economic and Societal Development. Springer Gabler, Wiesbaden. https://doi.org/10.1007/978-3-658-27110-7_1



Ан, В. Р. Разработка алгоритма проведения аудита кибербезопасности / В. Р. Ан, В. А. Табакаева // МНСК-2021: Материалы 59-й Международной научной студенческой конференции, Новосибирск, 12–23 апреля 2021 года. – Новосибирск: Новосибирский национальный исследовательский государственный университет, 2021. – С. 5. – EDN CAYHXE.



Разработка методики аудита кибербезопасности ГИС, относящихся к объектам критической информационной инфраструктуры Российской Федерации / В. Р. Ан, В. В. Селифанов, В. А. Табакаева [и др.] // Сборник научных трудов Новосибирского государственного технического университета. – 2019. – № 3-4(96). – С. 84-95. – DOI 10.17212/2307-6879-2019-3-4-84-95. – EDN BOGOJY.



Милославская Н.Г., Толстой А.И. Проверка деятельности по управлению информационной безопасностью. - 220966 изд. - Москва: Горячая линия - Телеком, 2022. - 172 с.



Leksin, V.N. Effectiveness and efficiency of the activities of regional and municipal governments: Purpose and possibility of a correct assessment. Reg. Res. Russ. 3, 277–290 (2013). https://doi.org/10.1134/S2079970513030076



Степашин, С. В. Государственный аудит в Российской Федерации / С. В. Степашин // Государственный аудит. Право. Экономика. – 2009. – № 1. – С. 4-9. – EDN PCGDAD.



Постановление Правительства РФ от 17 февраля 2018 г. № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».



Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».



Приказ ФСБ России от 19 июня 2019 г. №282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации»;



Приказ ФСТЭК России от 29 апреля 2021 года № 77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».



Приказ ФСБ России от 24 июля 2018 г. № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».



Sitskaya, A., Selifanov, V., Purgina, M. (2023). Development of Weighting Coefficients for Assessing the Quality of Security Measures Implementation for Significant Objects of Critical Information Infrastructure. In: Radionov, A.A., Gasiyarov, V.R. (eds) Advances in Automation IV. RusAutoCon 2022. Lecture Notes in Electrical Engineering, vol 986. Springer, Cham. https://doi.org/10.1007/978-3-031-22311-2_39.



Ситская, А. В. Ранжирование мер обеспечения безопасности значимых объектов критической информационной инфраструктуры / А. В. Ситская, В. В. Селифанов // . – 2022. – Т. 6. – С. 240-249. – DOI 10.33764/2618-981X-2022-6-240-249. – EDN GFUGGU.

Просмотров: 478