В статье предложен подход к оценке рисков информационной безопасности автоматизированных систем управления технологическими процессами, государственных информационных систем, муниципальных информационных систем, информационных систем персональных данных и объектов критической информационной инфраструктуры на основе требований законодательства Российской Федерации в области защиты типов информационных систем, проекта национального стандарта ГОСТ Р ИСО/МЭК 27005, планируемого к принятию в ближайшее время, и стандартов оценки рисков в рамках процессов в жизненном цикле системы от ГОСТ Р 59329–2021 до ГОСТ 59357–2021, опубликованных в 2021 году. Эти стандарты построены на основе ГОСТ Р 57193–2016, который описывает процессы жизненного цикла систем, созданных человеком. Рассмотрена проблема обработки остаточного риска в отношении неприемлемых рисков, после анализа которой предложен другой принцип управления безопасностью. Получена методика оценки доверия к системе управления рисками, с помощью которой необходимо строить систему управления рисками на объектах критической информационной инфраструктуры.
Мартыненко Кирилл Кириллович
Ценина Анна Валерьевна
Селифанов Валентин Валерьевич
1.??Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
2.??Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
3.??Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Собрание законодательства Российской Федерации. – 2012. – № 45, ч. 4. – Ст. 6257.
4.??Постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» // Собрание законодательства Российской Федерации. – 2018. – № 8, ч. 4. – Ст. 1204.
5.??ГОСТ Р ИСО/МЭК 27005–2022. Информационная безопасность, кибер-безопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства: проект, первая редакция. – М.: РСТ, 2023. – 100 с.
6.??ГОСТ Р 59329–2021. Системная инженерия. Защита информации в процессах приобретения и поставки продукции и услуг для системы. – М.: Стан-дартинформ, 2021. – 27 с.
7.??ГОСТ Р 59330–2021. Системная инженерия. Защита информации в процессе управления моделью жизненного цикла системы. – М.: Стандартинформ, 2021. – 24 с.
8.??ГОСТ Р 59331–2021. Системная инженерия. Защита информации в про-цессе управления инфраструктурой системы. – М.: Стандартинформ, 2021. – 40 с.
9.??ГОСТ Р 59332–2021. Системная инженерия. Защита информации в про-цессе управления портфелем проектов. – М.: Стандартинформ, 2021. – 28 с.
10.??ГОСТ Р 59333–2021. Системная инженерия. Защита информации в процессе управления человеческими ресурсами системы. – М.: Стандартинформ, 2021. – 36 с.
11.??ГОСТ Р 59334–2021. Системная инженерия. Защита информации в процессе управления качеством системы. – М.: Стандартинформ, 2021. – 26 с.
12.??ГОСТ Р 59335–2021. Системная инженерия. Защита информации в процессе управления знаниями о системе. – М.: Стандартинформ, 2021. – 40 с.
13. ГОСТ Р 59336–2021. Системная инженерия. Защита информации в процессе планирования проекта. – М.: Стандартинформ, 2021. – 24 с.
14.??ГОСТ Р 59337–2021. Системная инженерия. Защита информации в процессе оценки и контроля проекта. – М.: Стандартинформ, 2021. – 28 с.
15.??ГОСТ Р 59338–2021. Системная инженерия. Защита информации в процессе управления решениями. – М.: Стандартинформ, 2021. – 41 с.
16.??ГОСТ Р 59339–2021. Системная инженерия. Защита информации в процессе управления рисками для системы. – М.: Стандартинформ, 2021. – 42 с.
17.??ГОСТ Р 59340–2021. Системная инженерия. Защита информации в процессе управления конфигурацией системы. – М.: Стандартинформ, 2021. – 24 с.
18.??ГОСТ Р 59341–2021. Системная инженерия. Защита информации в процессе управления информацией системы. – М.: Стандартинформ, 2021. – 58 с.
19.??ГОСТ Р 59342–2021. Системная инженерия. Защита информации в процессе измерений системы. – М.: Стандартинформ, 2021. – 26 с.
20.??ГОСТ Р 59343–2021. Системная инженерия. Защита информации в процессе гарантии качества для системы. – М.: Стандартинформ, 2021. – 42 с.
21.??ГОСТ Р 59344–2021. Системная инженерия. Защита информации в процессе анализа бизнеса или назначения системы. – М.: Стандартинформ, 2021. – 26 с.
22.??ГОСТ Р 59345–2021. Системная инженерия. Защита информации в процессе определения потребностей и требований заинтересованной стороны для системы. – М.: Стандартинформ, 2021. – 41 с.
23.??ГОСТ Р 59346–2021. Системная инженерия. Защита информации в процессе определения системных требований. – М.: Стандартинформ, 2021. – 62 с.
24.??ГОСТ Р 59347–2021. Системная инженерия. Защита информации в процессе определения архитектуры системы. – М.: Стандартинформ, 2021. – 38 с.
25.??ГОСТ Р 59348–2021. Системная инженерия. Защита информации в процессе определения проекта. – М.: Стандартинформ, 2021. – 26 с.
26.??ГОСТ Р 59349–2021. Системная инженерия. Защита информации в процессе системного анализа. – М.: Стандартинформ, 2021. – 70 с.
27.??ГОСТ Р 59350–2021. Системная инженерия. Защита информации в процессе реализации системы. – М.: Стандартинформ, 2021. – 26 с.
28.??ГОСТ Р 59351–2021. Системная инженерия. Защита информации в процессе комплексирования системы. – М.: Стандартинформ, 2021. – 27 с.
29.??ГОСТ Р 59352–2021. Системная инженерия. Защита информации в процессе верификации системы. – М.: Стандартинформ, 2021. – 24 с.
30.??ГОСТ Р 59353–2021. Системная инженерия. Защита информации в процессе передачи системы. – М.: Стандартинформ, 2021. – 24 с.
31.??ГОСТ Р 59354–2021. Системная инженерия. Защита информации в процессе аттестации системы. – М.: Стандартинформ, 2021. – 27 с.
32.??ГОСТ Р 59355–2021. Системная инженерия. Защита информации в процессе функционирования системы. – М.: Стандартинформ, 2021. – 36 с.
33.??ГОСТ Р 59356–2021. Системная инженерия. Защита информации в процессе сопровождения системы. – М.: Стандартинформ, 2021. – 42 с.
34.??ГОСТ Р 59357–2021. Системная инженерия. Защита информации в процессе изъятия и списания системы. – М.: Стандартинформ, 2021. – 24 с.
35.??Селифанов В.В., Аникеева В.В., Огнев И.А. Вопросы оценки доверия к системе управления рисками // Безопасность цифровых технологий. – 2023. – № 1 (108). – С. 69–82. – DOI: 10.17212/2782-2230-2023-1-69-82.
36.??Ерохин С.Д., Петухов А.Н., Пилюгин П.Л. Принципы и задачи асимптотического управления безопасностью критических информационных инфраструктур // T-Comm: Телекоммуникации и транспорт. – 2019. – Т. 13, № 12. – С. 29–35. – DOI: 10.24411/2072-8735-2018-10330.
37.??Erokhin S., Petukhov A., Pilyugin P. Critical information infrastructure security modeling // 2019 24th Conference of Open Innovations Association (FRUCT), Moscow, Russia. – IEEE, 2019. – P. 82–88. – DOI: 10.23919/ FRUCT.2019.8711960.
Мартыненко К.К., Ценина А.В., Селифанов В.В. Некоторые вопросы управления рисками реализации угроз безопасности информации // Безопасность цифровых технологий. – 2024. – № 1 (112).?– С. 23–41. – DOI: 10.17212/2782-2230-2024-1-23-41.
Martynenko K.K., Tsenina A.V., Selifanov V.V. Nеkotorуe voprosу upravleniуа riskami realizatsii ugroz bezopasnosti informatsii [Some issues of risk management of information security threats]. Bezopasnost' tsifrovykh tekhnologii = Digital Technology Security, 2024, no. 1 (112). pp. 23–41. DOI: 10.17212/2782-2230-2024-1-23-41.
