Безопасность цифровых технологий

БЕЗОПАСНОСТЬ ЦИФРОВЫХ ТЕХНОЛОГИЙ

БЕЗОПАСНОСТЬ
ЦИФРОВЫХ ТЕХНОЛОГИЙ

English | Русский

Последний выпуск
№3(114) Июль - Сентябрь 2024

Разработка методики аудита кибербезопасности ГИС, относящихся к объектам критической информационной инфраструктуры Российской Федерации

Выпуск № 3-4 (96) июль - декабрь 2019
Авторы:

Ан Владимир Робертович,
Селифанов Валентин Валерьевич,
Табакаева Валерия Александрвна,
Буларга Сергей Андреевич,
Ворожцов Анатолий Сергеевич
DOI: http://dx.doi.org/10.17212/2307-6879-2019-3-4-84-95
Аннотация

В настоящей статье рассматривается проблема разработки методики аудита кибер-безопасности государственных информационных систем, относящихся к объектам критической информационной инфраструктуры Российской Федерации. В соответствии с требованиями законодательства государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры будет проводиться с 2021 года. Однако в настоящее время не существует утвержденной и/или общепринятой методики аудита кибербезопасности ГИС, относящихся к объектам КИИ, в ходе государственного (межведомственного) контроля, в связи с этим возникает проблема интерпретации его результатов. На данный момент существует множество международных и отечественных рекомендаций и практик по проведению аудита кибербезопасности информационных систем, но они не соответствуют существующим и вновь принимаемым документам в сфере обеспечения кибербезопасности значимых объектов критической информационной инфраструктуры Российской Федерации и не могут быть применимы без существенной доработки. Авторы рассматривают задачи, которые необходимо решить для разработки методики аудита, в том числе проводят анализ существующих законодательных, нормативных правовых актов Российской Федерации и уполномоченных в данной области федеральных органов исполнительной власти, методических документов и стандартов, а также возможных причин существующей ситуации. В результате исследования предложен алгоритм возможных действий при проведении аудита кибербезопасности в ходе проведения государственного контроля значимых объектов критической информационной инфраструктуры Российской Федерации, полученный в результате компиляции международных практик (стандартов) и требований, принятых в Российской Федерации, а также требования к необходимому инструментарию – к системам анализа уязвимостей и вспомогательному программному обеспечению (системам управления базами данных).


Ключевые слова: информационная безопасность, кибербезопасность, значимый объект, критическая информационная инфраструктура, государственная информационная система, межведомственный контроль, методика аудита кибербезопасности, оценка существующих методов аудита кибербезопасности

Список литературы

1. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ.



2. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (в редакции от 28 мая 2019 года).



3. Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».



4. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».



5. Методический документ. Меры защиты в государственных информационных системах: утвержден ФСТЭК России 11 февраля 2014 г.



6. Методический документ. Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении: утверждена ФСТЭК России 11 февраля 2019 г.



7. О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации: Указ Президента Российской Федерации от 22 декабря 2017 года № 620 // КонсультантПлюс: web-сайт. – URL: http://www.consultant.ru/document/cons_doc_LAW_285915/ (дата обращения: 18.11.2019).



8. О Национальном координационном центре по компьютерным инцидентам (вместе с Положением о Национальном координационном центре по компьютерным инцидентам): Приказ ФСБ России от 24 июля 2018 года № 366 // КонсультантПлюс: web-сайт. – URL: http://www.consultant.ru/document/cons_doc_LAW_306334/ (дата обращения: 18.11.2019).



9. Потапова Д.А., Журавлев С.И. Оценка ущерба от компьютерных инцидентов для критической информационной инфраструктуры // Материалы 45-й Международной научно-технической конференции молодых ученых, аспирантов и студентов: в 2 т. – Уфа, 2018. – Т. 1. – С. 447–454.



10. Будовских И.А., Загинайлов Ю.Н. Оценка применимости для аудита безопасности государственных ИС методики определения угроз безопасности информации, разработанной ФСТЭК России // Измерение, контроль, информатизация: материалы XVII международной научно-технической конференции. – Барнаул, 2016. – С. 240–243.



11. Гисматов А.Р., Байрушин Ф.Т. Особенности специфики применения документов ФСТЭК России в области защиты государственных информационных систем // Актуальные проблемы социального, экономического и информационного развития современного общества: Всероссийская научно-практическая конференция, посвященная 100-летию со дня рождения первого ректора Башкирского государственного университета Чанбарисова Шайхуллы Хабибулловича. – Уфа, 2016. – Ч. 1. – С. 53–55.



12. Сплюхин Д.В., Николаев Д.Б. Анализ новейших требований ФСТЭК и общие решения существующих проблем защиты информационных систем // Математика и математическое моделирование: сборник материалов X Всероссийской молодежной научно-инновационной школы. – Саров, 2016. – С. 28–29.



13. Портнова А.С. Анализ современных нормативно-методических документов ФСТЭК России в области систем обнаружения вторжений // Безопасные информационные технологии: Восьмая Всероссийская научно-техническая конференция: сборник трудов конференции / под ред. М.А. Басараба. – М., 2017. – С. 340–346.



14. Подход к созданию центров обработки персональных данных в организациях, обеспечивающих защиту государственных информационных ресурсов / В.Н. Труфанов, Д.А. Щевелев, И.В. Демидов, С.В. Совалин // Информатизация и связь. – 2018. – № 1. – С. 56–62.



15. Агеев В.О., Шилов А.К. Обеспечение защиты ГИС в зарубежных и отечественных системах // Информационное противодействие угрозам терроризма. – 2015. – № 24. – С. 312–315.



16. Горян Э.В. Ведущая роль Сингапура в обеспечении кибербезопасности в АСЕАН: промежуточные результаты и перспективы дальнейшего расширения // Территория новых возможностей. Вестник Владивостокского государственного университета экономики и сервиса. – 2018. – Т. 10, № 3. – С. 101–116.



17. Вопросы Федеральной службы по техническому и экспортному контролю: Указ Президента РФ от 16.08.2004 № 1085 (ред. от 08.05.2018) // КонсультантПлюс: web-сайт. – URL: www.consultant.ru/document/cons_doc_LAW_14031/ (дата обращения: 18.11.2019).

Для цитирования:

Разработка методики аудита кибербезопасности ГИС, относящихся к объектам критической информационной инфраструктуры Российской Федерации / В.Р. Ан, В.В. Селифанов, В.А. Табакаева, С.А. Буларга, А.С. Ворожцов // Сборник научных трудов НГТУ. – 2019. – № 3–4 (96). – С. 84–95. – DOI: 10.17212/2307-6879-2019-3-4-84-95.

 

For citation:

An V.R., Selifanov V.V., Tabakaeva V.A., Bularga S.A., Vorozhtsov A.S. Razrabotka metodiki audita kiberbezopasnosti GIS, otnosyashchikhsya k ob"ektam kriticheskoi informatsionnoi infrastruktury Rossiiskoi Federatsii [Development of a GIS cybersecurity audit methodology related to critical information infrastructure facilities of the Russian Federation]. Sbornik nauchnykh trudov Novosibirskogo gosudarstvennogo tekhnicheskogo universiteta – Transaction of scientific papers of the Novosibirsk state technical university, 2019, no. 3–4 (96), pp. 84–95. DOI: 10.17212/2307-6879-2019-3-4-84-95.

Просмотров: 2059