СИСТЕМЫ АНАЛИЗА И ОБРАБОТКИ ДАННЫХ

Целью работы является систематизация имеющихся знаний о моделях информационной безопасности, представленных в стандартах и научных исследованиях для решения проблемы трудоемкости: анализа и выбора актуальной для информационной инфраструктуры предприятия модели информационной безопасности, оценки текущего уровня информационной безопасности предприятия.

При выявлении и анализе использующихся моделей информационной безопасности в рамках настоящей работы рассмотрены стандарты, нормативные правовые акты и научные исследования в области информационной безопасности. Систематизация знаний о моделях информационной безопасности производилась с помощью анализа стандартов, научных исследований, нормативных правовых актов по информационной безопасности; выявления общих свойств моделей информационной безопасности; группировки критериев и свидетельств, подтверждающих реализацию мер информационной безопасности, по общим признакам; выявления способов автоматизации оценки текущего уровня информационной безопасности.

В ходе работы выявлены основные критерии модели информационной безопасности; сформирован перечень свидетельств, позволяющих контролировать реализацию мер информационной безопасности; выявлены общие признаки критериев, свидетельств, достаточных для группирования; выявлены виды свидетельств; сформирован алгоритм оценки текущего уровня информационной безопасности предприятия; выявлены способы автоматизации сбора информации об используемой предприятием модели информационной безопасности и свидетельств реализации мер информационной безопасности.

Настоящая работа систематизирует знания о существующих моделях и позволяет проанализировать критерии информационной безопасности без необходимости изучения всех рассмотренных в статье стандартов и научных работ, что позволяет сократить трудоемкость анализа и выбора актуальной для информационной инфраструктуры предприятия модели информационной безопасности. Результаты настоящей работы будут применены для выявления возможности автоматизации оценки текущего уровня информационной безопасности предприятия.

1. Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». – URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/702 (дата обращения: 03.03.2023).

2. Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». – URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 03.03.2023).

3. Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». – URL: https://fstec.ru/en/53-normotvorcheskaya/akty/prikazy/1592-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 (дата обращения: 03.03.2023).

4. Методический документ Федеральной службы по техническому и экспортному контролю от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах». – URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument (дата обращения: 03.03.2023).

5. ГОСТР ИСО/МЭК 27000–2021. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология: взамен ГОСТ Р ИСО/МЭК 27000–2012: дата введения 2021–11–30. – М.: Рос. ин-т стандартизации, 2021. – 28 с.

6. ГОСТ Р ИСО/МЭК 27001–2021. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования: взамен ГОСТ Р ИСО/МЭК 27001–2006: введ. 2022–01–01. – М.: Рос. ин-т стандартизации, 2021. – 23 с.

7. ГОСТ Р ИСО/МЭК 27002–2021. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности: взамен ГОСТ Р ИСО/МЭК 27002–2012: введ. 2021–11–30. – М.: Рос. ин-т стандартизации, 2021. – 68 с.

8. NIST SP 800-53 Rev. 5. Security and privacy controls for information systems and organizations: – September 2020. – 492 p.

9. NIST SP 800-53A Rev. 5. Security and privacy controls for Information systems and organizations: – January 2022. – 733 p.

10. NIST SP 800-53B Rev. 5. Security and privacy controls for information systems and organizations. – October 2022. – 85 p.

11. Framework for improving critical infrastructure cybersecurity. Version 1.1 / National Institute of Standards and Technology. – NIST, April 16, 2018. – 55 p.

12. Payment Card Industry Data Security Standard (PCI DSS). Requirements and Security Assessment Procedures. Version 3.2.1. – May 2018. – 139 p.

13. Secure Controls Framework: website. – URL: https://www.securecontrolsframework.com/ (accessed: 03.03.2023).

14. Sommestad T. A framework and theory for cyber security assessments: Dr. of Philosophy diss. / Royal Institute of Technology. – Stockholm, Sweden, 2012. – 248 p.

15. Проблемные вопросы информационной безопасности киберфизических систем / Д.С. Левшун, Д.А. Гайфулина, А.А. Чечулин, И.В. Котенко // Информатика и автоматизация. – 2020. – Т. 19, № 5. – С. 1050–1088.

16. Choosing models for security metrics visualization / M. Kolomeec, G. Gonzalez-Granadillo, E. Doynikova, A. Chechulin, I. Kotenko, H. Debar // Computer Network Security. MMM-ACNS 2017. – Springer-Verlag, 2017. – P. 75–87. – (Lecture Notes in Computer Science; vol. 10446).