Меню
Публикации
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
Главный редактор
НИКИФОРОВ
Владимир Олегович
д.т.н., профессор
Партнеры
doi: 10.17586/2226-1494-2023-23-3-519-529
УДК 004.056
Обзор национальных и международных стандартов для категорирования объектов критической информационной инфраструктуры
Читать статью полностью
Язык статьи - русский
Ссылка для цитирования:
Аннотация
Ссылка для цитирования:
Лившиц И.И. Обзор национальных и международных стандартов для категорирования объектов критической информационной инфраструктуры // Научно-технический вестник информационных технологий, механики и оптики. 2023. Т. 23, № 3. С. 519–529. doi: 10.17586/2226-1494-2023-23-3-519-529
Аннотация
Обеспечение безопасности объектов критической информационной инфраструктуры — активно развивающееся направление в сфере информационной безопасности на национальном и мировом уровне. Категорирование объектов критической инфраструктуры является составной частью общего процесса обеспечения безопасности. При динамично изменяющемся уровне угроз процесс определения категории объекта все еще недостаточно оптимален. На основе существующих требований российских и международных стандартов оценивание объектов критической инфраструктуры проводится не всегда оперативно и корректно. Также не формируются численные оценки, не обеспечивается объективность оценки и последующей переоценки со стороны независимых экспертов. В работе представлен анализ актуальных требований в области категорирования объектов критической инфраструктуры, применяемых в Российской Федерации. Выполнен сравнительный анализ национальных нормативных правовых актов Российской Федерации и системы международных стандартов в области информационной безопасности. Рассмотрено регулирование процессов категорирования объектов критической инфраструктуры. Обоснована необходимость формирования численных значений критериев значимости для корректного определения и последующей независимой оценки (переоценки) категории объектов критической инфраструктуры. Представлены рекомендации по совершенствованию процесса категорирования объектов критической инфраструктуры и формированию численных оценок. Реализация приложенных рекомендаций позволит повысить точность, объективность и достоверность процесса создания современных систем обеспечения информационной безопасности.
Ключевые слова: критическая информационная инфраструктура, категорирование объектов критической информационной инфраструктуры, критерии значимости, информационная безопасность, система управления информационной безопасности, риски, остаточные риски
Список литературы
Список литературы
1. Смирнов Е.В. Методика оценки политической значимости угроз объекту критической информационной инфраструктуры на примере объекта инфокоммуникаций // Экономика и качество систем связи. 2020. № 2. C. 49–56.
2. Новикова Е.Ф., Хализев В.Н. Разработка модели угроз для объектов критической информационной инфраструктуры с учетом методов социальной инженерии // Прикаспийский журнал: управление и высокие технологии. 2019. № 4. С. 127–135. https://doi.org/10.21672/2074-1707.2019.48.4.127-135
3. Щелкин К.Е., Звягинцева П.А., Селифанов В.В. Возможные подходы к категорированию объектов критической информационной инфраструктуры // Интерэкспо Гео-Сибирь. 2019. Т. 6. № 1. С. 128–133. https://doi.org/10.33764/2618-981X-2019-6-1-128-133
4. Ерохин С.Д., Петухов А.Н., Пилюгин П.Л. Принципы и задачи асимптотического управления безопасностью критических информационных инфраструктур // T-Comm: Телекоммуникации и транспорт. 2019. Т. 13. № 12. С. 29–35. https://doi.org/10.24411/2072-8735-2018-10330
5. Горелик В.Ю., Безус М.Ю. О безопасности критической информационной инфраструктуры Российской Федерации // Научно-образовательный журнал для студентов и преподавателей «StudNet». 2020. Т. 3. № 9. С. 1438–1448.
6. Оюн Ч.О., Попантонопуло Е.В. Объекты критической информационной инфраструктуры // Интерэкспо Гео-Сибирь. 2018. № 9. С. 45–49.
7. Лившиц И.И. Экономическое обеспечение информационной безопасности: учебно-методическое пособие. СПб.: Университет ИТМО, 2021. 69 с.
8. Лившиц И.И. Нормативно-методическое обеспечение информационной безопасности: учебно-методическое пособие. СПб.: Университет ИТМО, 2021. 68 с.
9. Konyukhov V.Y., Livshitz I.I., Oparina T.A. Improving the quality of electricity in electrical supply networks of industrial enterprises // Proc. of the 2021 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS). 2021. P. 156–160. https://doi.org/10.1109/itqmis53292.2021.9642875
10. Livshitz I.I., Lontsikh P.A., Lontsikh N.P., Golovina E.Y., Safonova O.M. Industrial Systems Security Assessments study // Proc. of the 2021 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS). 2021. P. 161–164. https://doi.org/10.1109/itqmis53292.2021.9642828
11. Livshitz I.I., Lontsikh P.A., Lontsikh N.P., Golovina E.Y., Safonova O.M. A study of modern risk management methods for industrial safety assurance in the fuel and energy industry // Proc. of the 2021 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS). 2021. P. 165–167. https://doi.org/10.1109/itqmis53292.2021.9642791
12. Lontsikh P.A., Gulov A.E., Livshitz I.I., Koksharov A.V., Golovina E.Y. System-oriented analysis and classification of process control methods for software development // Proc. of the 2021 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS). 2021. P. 174–177. https://doi.org/10.1109/itqmis53292.2021.9642850
13. Breaux T.D., Gordon D.G., Papanikolaou N., Pearson S. Mapping legal requirements to IT controls // Proc. of the 6th International Workshop on Requirements Engineering and Law (RELAW). 2013. P. 11–20. https://doi.org/10.1109/RELAW.2013.6671341
14. Hale G., Lenzner R. Introducing the National Security Cyber Assistance Program (NSCAP) // Journal of Information Warfare. 2014. V. 13. N 2. P. 39–45.
15. Lam D.D., Carayannis E.G. Standard insecurity: How, why and when standards can be a part of the problem // Journal of the Knowledge Economy. 2011. V. 2. N 2. P. 234–248. https://doi.org/10.1007/s13132-010-0029-0
16. Gandhi R.A., Crosby K., Siy H., Mandal S. Gauging the impact of FISMA on software security // Computer. 2014. V. 47. N 9. P. 103–107. https://doi.org/10.1109/MC.2014.248
17. Murray A.T., Grubesic T.H. Overview of reliability and vulnerability in critical infrastructure // Critical Infrastructure: Reliability and Vulnerability. Berlin: Springer, 2007. P. 1–8. https://doi.org/10.1007/978-3-540-68056-7_1
18. Taylor L.P. Categorizing data sensitivity // FISMA Compliance Handbook (Second Edition). 2013. P. 63–78. https://doi.org/10.1016/B978-0-12-405871-2.00008-7
19. Calder A. NIST Cybersecurity Framework: A Pocket Guide. IT Governance Publishing, 2018. 78 p. https://doi.org/10.2307/j.ctv4cbhfx
20. Лившиц И.И., Соколов Е.О. Проектирование международного значимого электронного документооборота для компаний холдингового типа // Вопросы кибербезопасности. 2020. № 5(39). С. 61–68. https://doi.org/10.21681/2311-3456-2020-05-61-68
21. Басырова А.А., Лившиц И.И. Анализ методики аудита информационной безопасности предприятия с помощью аутсорсинговых компаний // Автоматизация в промышленности. 2020. № 7. С. 6–9. https://doi.org/10.25728/avtprom.2020.07.02
2. Новикова Е.Ф., Хализев В.Н. Разработка модели угроз для объектов критической информационной инфраструктуры с учетом методов социальной инженерии // Прикаспийский журнал: управление и высокие технологии. 2019. № 4. С. 127–135. https://doi.org/10.21672/2074-1707.2019.48.4.127-135
3. Щелкин К.Е., Звягинцева П.А., Селифанов В.В. Возможные подходы к категорированию объектов критической информационной инфраструктуры // Интерэкспо Гео-Сибирь. 2019. Т. 6. № 1. С. 128–133. https://doi.org/10.33764/2618-981X-2019-6-1-128-133
4. Ерохин С.Д., Петухов А.Н., Пилюгин П.Л. Принципы и задачи асимптотического управления безопасностью критических информационных инфраструктур // T-Comm: Телекоммуникации и транспорт. 2019. Т. 13. № 12. С. 29–35. https://doi.org/10.24411/2072-8735-2018-10330
5. Горелик В.Ю., Безус М.Ю. О безопасности критической информационной инфраструктуры Российской Федерации // Научно-образовательный журнал для студентов и преподавателей «StudNet». 2020. Т. 3. № 9. С. 1438–1448.
6. Оюн Ч.О., Попантонопуло Е.В. Объекты критической информационной инфраструктуры // Интерэкспо Гео-Сибирь. 2018. № 9. С. 45–49.
7. Лившиц И.И. Экономическое обеспечение информационной безопасности: учебно-методическое пособие. СПб.: Университет ИТМО, 2021. 69 с.
8. Лившиц И.И. Нормативно-методическое обеспечение информационной безопасности: учебно-методическое пособие. СПб.: Университет ИТМО, 2021. 68 с.
9. Konyukhov V.Y., Livshitz I.I., Oparina T.A. Improving the quality of electricity in electrical supply networks of industrial enterprises // Proc. of the 2021 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS). 2021. P. 156–160. https://doi.org/10.1109/itqmis53292.2021.9642875
10. Livshitz I.I., Lontsikh P.A., Lontsikh N.P., Golovina E.Y., Safonova O.M. Industrial Systems Security Assessments study // Proc. of the 2021 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS). 2021. P. 161–164. https://doi.org/10.1109/itqmis53292.2021.9642828
11. Livshitz I.I., Lontsikh P.A., Lontsikh N.P., Golovina E.Y., Safonova O.M. A study of modern risk management methods for industrial safety assurance in the fuel and energy industry // Proc. of the 2021 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS). 2021. P. 165–167. https://doi.org/10.1109/itqmis53292.2021.9642791
12. Lontsikh P.A., Gulov A.E., Livshitz I.I., Koksharov A.V., Golovina E.Y. System-oriented analysis and classification of process control methods for software development // Proc. of the 2021 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS). 2021. P. 174–177. https://doi.org/10.1109/itqmis53292.2021.9642850
13. Breaux T.D., Gordon D.G., Papanikolaou N., Pearson S. Mapping legal requirements to IT controls // Proc. of the 6th International Workshop on Requirements Engineering and Law (RELAW). 2013. P. 11–20. https://doi.org/10.1109/RELAW.2013.6671341
14. Hale G., Lenzner R. Introducing the National Security Cyber Assistance Program (NSCAP) // Journal of Information Warfare. 2014. V. 13. N 2. P. 39–45.
15. Lam D.D., Carayannis E.G. Standard insecurity: How, why and when standards can be a part of the problem // Journal of the Knowledge Economy. 2011. V. 2. N 2. P. 234–248. https://doi.org/10.1007/s13132-010-0029-0
16. Gandhi R.A., Crosby K., Siy H., Mandal S. Gauging the impact of FISMA on software security // Computer. 2014. V. 47. N 9. P. 103–107. https://doi.org/10.1109/MC.2014.248
17. Murray A.T., Grubesic T.H. Overview of reliability and vulnerability in critical infrastructure // Critical Infrastructure: Reliability and Vulnerability. Berlin: Springer, 2007. P. 1–8. https://doi.org/10.1007/978-3-540-68056-7_1
18. Taylor L.P. Categorizing data sensitivity // FISMA Compliance Handbook (Second Edition). 2013. P. 63–78. https://doi.org/10.1016/B978-0-12-405871-2.00008-7
19. Calder A. NIST Cybersecurity Framework: A Pocket Guide. IT Governance Publishing, 2018. 78 p. https://doi.org/10.2307/j.ctv4cbhfx
20. Лившиц И.И., Соколов Е.О. Проектирование международного значимого электронного документооборота для компаний холдингового типа // Вопросы кибербезопасности. 2020. № 5(39). С. 61–68. https://doi.org/10.21681/2311-3456-2020-05-61-68
21. Басырова А.А., Лившиц И.И. Анализ методики аудита информационной безопасности предприятия с помощью аутсорсинговых компаний // Автоматизация в промышленности. 2020. № 7. С. 6–9. https://doi.org/10.25728/avtprom.2020.07.02
