Управление непрерывностью процессов на объектах критической информационной инфраструктуры в энергетике с позиций информационной безопасности
Аннотация
Обосновано введение нового механизма в систему управления информационной безопасностью (ИБ) для объектов критической информационной инфраструктуры (КИИ), основанного на обеспечении непрерывности процессов управления объектами энергетики. Существующее нормативно-правовое обеспечение информационной безопасностью КИИ не рассматривает механизмы обеспечения непрерывности процессов как комплексную систему восстановления КИИ при возникновении инцидентов информационной безопасности на объектах энергетики.
При проведении исследований использованы системный анализ для описания механизма непрерывности управления ИБ, теория рисков и ее приложения в сфере информационной безопасности, алгебра логики для описания условий и ограничений, при которых функционирует механизм непрерывности управления информационной безопасностью, теория нечетких множеств и величин для расчета показателей рисков обеспечения непрерывности системы защиты информации в объектах КИИ.
Полученные результаты не противоречат существующим нормативным документам по защите КИИ и могут быть использованы для усиления защитных свойств объектов энергетики при появлении инцидентов ИБ, приводящих к остановке этих объектов. Эти решения являются экономически обоснованными.
Существующие нормативные документы по защите КИИ основаны на обеспечении конфиденциальности, целостности и доступности информации в информационных системах и слабо реагируют на возможность появления новых киберугроз, приводящих к остановкам производственных процессов, авариям и катастрофам. Возникает необходимость восстановления работы КИИ и системы их информационной безопасности в этих условиях. Это может быть успешно выполнено только при создании системы управления непрерывностью обеспечения защиты информации и ее восстановления после проведенных кибератак на АСУ.
Литература
2. Постановление Правительства РФ № 127 от 08 февраля 2018 г. «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
3. ГОСТ Р 53647.3—2015. Менеджмент непрерывности бизнеса. Ч. 3. Руководство по обеспечению соответствия требованиям ГОСТ Р ИСО 22301.
4. ISO 22301:2012. Societal Security — Business Continuity Management Systems — Requirements.
5. ISO/IEC 27031:2011. Information Technology — Security Techniques — Guidelines for Information and Communication Technology Readiness for Business Continuity.
6. NIST SP 800-34 Rev. 1. Contingency Planning Guide for Federal Information Systems.
7. ГОСТ Р ИСО/МЭК 27031—2012. Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса.
8. ГОСТ Р ИСО 22301—2014. Системы менеджмента непрерывности бизнеса. Общие требования.
9. BCI Horizon Scan Rep. 2021 [Электрон. ресурс] https://www.bsigroup.com/globalassets/localfiles/en-th/iso-22301/bci-horizon-scan-report/bci-horizon-scan-report-2021-th.pdf (дата обращения 31.01.2023).
10. Приказ ФСТЭК России № 239 от 25 декабря 2017 г. «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
11. Минзов А.С. О новой номенклатуре научных специальностей и не только // Вопросы кибербезопасности. 2022. №. 2(48). С. 2—4.
12. ГОСТ Р ИСО/МЭК 27001—2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности.
13. ГОСТ Р ИСО/МЭК 27005—20012. Информационная технология. Методы и средства обеспечения информационной безопасности. Менеджмент риска информационной безопасности.
14. ГОСТ Р ИСО/МЭК 27002—2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности.
15. Воропай Н.И. и др. Проблемы развития цифровой энергетики в России // Проблемы управления. 2019. № 1. С. 2—14.
16. Колосок И.Н., Коркина Е.С. Анализ кибербезопасности цифровой подстанции с позиций киберфизической системы // Информационные и математические технологии в науке и управлении. 2019. №. 3(15). С. 121—131.
17. Гаськова Д.А., Массель А.Г. Технология анализа киберугроз и оценка рисков нарушения кибербезопасности критической инфраструктуры // Вопросы кибербезопасности. 2019. № 2(30). С. 42—49.
18. Методика оценки угроз безопасности информации [Электрон. ресурс] https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g?ysclid=lms2gm69hr577050030 (дата обращения 31.01.2023).
19. Банк данных угроз ФСТЭК [Электрон. ресурс] https://bdu.fstec.ru/ (дата обращения 22.09.2022).
20. Минзов А.С., Баронов О.Р., Минзов С.А., Осипов П.А. Управление событиями информационной безопасности. М.: ВНИИгеосистем, 2020.
21. Язов Ю., Соловьев С.В., Тарелкин М.А. Логико-лингвистическое моделирование угроз безопасности информации в информационных системах // Вопросы кибербезопасности. 2022. №. 4. С. 13—25.
22. Минзов А.С., Невский А.Ю., Баронов О.Р. Управление рисками информационной безопасности. М.: ВНИИгеосистем, 2019.
23. Большаков А.С, Жила А.И., Осин А.В. Управление информационной безопасностью персональных данных с использованием нечеткой логики // Наукоемкие технологии в космических исследованиях Земли. 2021. № 4. С. 37—47.
24. Дорофеев А.В., Марков А.С. Планирование обеспечения непрерывности бизнеса и восстановления // Вопросы кибербезопасности. 2015. №. (11). С. 68—73.
---
Для цитирования: Минзов А.С., Невский А.Ю., Пасова М.А. Управление непрерывностью процессов на объектах критической информационной инфраструктуры в энергетике с позиций информационной безопасности // Вестник МЭИ. 2023. № 5. С. 182—189. DOI: 10.24160/1993-6982-2023-5-182-189
#
1. Federal'nyy Zakon № 187-FZ ot 26 Iyulya 2017 g. «O bezopasnosti Kriticheskoy Informatsionnoy Infrastruktury RF». (in Russian).
2. Postanovlenie Pravitel'stva RF № 127 ot 08 Fevralya 2018 g. «Ob Utverzhdenii Pravil Kategorirovaniya Ob'ektov Kriticheskoy Informatsionnoy Infrastruktury Rossiyskoy Federatsii, a Takzhe Perechnya Pokazateley Kriteriev Znachimosti Ob'ektov Kriticheskoy Informatsionnoy Infrastruktury Rossiyskoy Federatsii i Ikh Znacheniy». (in Russian).
3. GOST R 53647.3—2015. Menedzhment Nepreryvnosti Biznesa. Ch. 3. Rukovodstvo po Obespecheniyu Sootvetstviya Trebovaniyam GOST R ISO 22301. (in Russian).
4. ISO 22301:2012. Societal Security — Business Continuity Management Systems — Requirements.
5. ISO/IEC 27031:2011. Information Technology — Security Techniques — Guidelines for Information and Communication Technology Readiness for Business Continuity.
6. NIST SP 800-34 Rev. 1. Contingency Planning Guide for Federal Information Systems.
7. GOST R ISO/MEK 27031—2012. Informatsionnaya Tekhnologiya. Metody i Sredstva Obespecheniya Bezopasnosti. Rukovodstvo po Gotovnosti Informatsionno-kommunikatsionnykh Tekhnologiy k Obespecheniyu Nepreryvnosti Biznesa. (in Russian).
8. GOST R ISO 22301—2014. Sistemy Menedzhmenta Nepreryvnosti Biznesa. Obshchie Trebovaniya. (in Russian).
9. BCI Horizon Scan Rep. 2021 [Elektron. Resurs] https://www.bsigroup.com/globalassets/localfiles/en-th/iso-22301/bci-horizon-scan-report/bci-horizon-scan-report-2021-th.pdf (Data Obrashcheniya 31.01.2023).
10. Prikaz FSTEK Rossii № 239 ot 25 Dekabrya 2017 g. «Ob Utverzhdenii Trebovaniy po Obespecheniyu Bezopasnosti Znachimykh Ob'ektov Kriticheskoy Informatsionnoy Infrastruktury Rossiyskoy Federatsii». (in Russian).
11. Minzov A.S. O Novoy Nomenklature Nauchnykh Spetsial'nostey i ne Tol'ko. Voprosy Kiberbezopasnosti. 2022;2(48):2—4. (in Russian).
12. GOST R ISO/MEK 27001—2006. Informatsionnaya Tekhnologiya. Metody i Sredstva Obespecheniya Bezopasnosti. Sistemy Menedzhmenta Informatsionnoy Bezopasnosti. (in Russian).
13. GOST R ISO/MEK 27005—20012. Informatsionnaya Tekhnologiya. Metody i Sredstva Obespecheniya Informatsionnoy Bezopasnosti. Menedzhment Riska Informatsionnoy Bezopasnosti. (in Russian).
14. GOST R ISO/MEK 27002—2012. Informatsionnaya Tekhnologiya. Metody i Sredstva Obespecheniya Bezopasnosti. Svod Norm i Pravil Menedzhmenta Informatsionnoy Bezopasnosti. (in Russian).
15. Voropay N.I. i dr. Problemy Razvitiya Tsifrovoy Energetiki v Rossii. Problemy Upravleniya. 2019;1:2—14. (in Russian).
16. Kolosok I.N., Korkina E.S. Analiz Kiberbezopasnosti Tsifrovoy Podstantsii s Pozitsiy Kiberfizicheskoy Sistemy. Informatsionnye i Matematicheskie Tekhnologii v Nauke i Upravlenii. 2019;3(15):121—131. (in Russian).
17. Gas'kova D.A., Massel' A.G. Tekhnologiya Analiza Kiberugroz i Otsenka Riskov Narusheniya Kiberbezopasnosti Kriticheskoy Infrastruktury. Voprosy kiberbezopasnosti. 2019;2(30):42—49. (in Russian).
18. Metodika Otsenki Ugroz Bezopasnosti Informatsii [Elektron. Resurs] https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya (in Russian).-2021-g?ysclid=lms2gm69hr577050030 (Data Obrashcheniya 31.01.2023).
19. Bank Dannykh Ugroz FSTEK [Elektron. Resurs] https://bdu.fstec.ru/ (Data Obrashcheniya 22.09.2022). (in Russian).
20. Minzov A.S., Baronov O.R., Minzov S.A., Osipov P.A. Upravlenie Sobytiyami Informatsionnoy Bezopasnosti. M.: VNIIgeosistem, 2020. (in Russian).
21. Yazov Yu., Solov'ev S.V., Tarelkin M.A. Logiko-lingvisticheskoe Modelirovanie Ugroz Bezopasnosti Informatsii v Informatsionnykh Sistemakh. Voprosy Kiberbezopasnosti. 2022;4:13—25. (in Russian).
22. Minzov A.S., Nevskiy A.Yu., Baronov O.R. Upravlenie Riskami Informatsionnoy Bezopasnosti. M.: VNIIgeosistem, 2019. (in Russian).
23. Bol'shakov A.S, Zhila A.I., Osin A.V. Upravlenie Informatsionnoy Bezopasnost'yu Personal'nykh Dannykh s Ispol'zovaniem Nechetkoy Logiki. Naukoemkie Tekhnologii v Kosmicheskikh Issledovaniyakh Zemli. 2021;4:37—47. (in Russian).
24. Dorofeev A.V., Markov A.S. Planirovanie Obespecheniya Nepreryvnosti Biznesa i Vosstanovleniya. Voprosy Kiberbezopasnosti. 2015;(11):68—73. (in Russian)
---
For citation: Minzov A.S., Nevskiy A.Yu., Pasova M.A. Business Process Continuity Management at Critical Information Infrastructure Facilities in the Energy Sector from the Information Security Standpoint. Bulletin of MPEI. 2023;5:182—189. (in Russian). DOI: 10.24160/1993-6982-2023-5-182-189