Обоснование требований к системе защиты значимого объекта критической информационной инфраструктуры
Следующая »

Перечень условных обозначений

СБО КИИ - системам безопасности объектов критических информационных инфраструктур

НСД - несанкционированный доступ

ФСТЭК - федеральная служба технического и экспортного контроля

ОРД - оперативно-розыскная деятельность

ГосСОПКА - Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак

SIEM - Security information and event management (управление информацией о безопасности и управление событиями безопасности)

СЗИ - система защиты информации

ИБ - информационная безопасность

ПО - программное обеспечение

АСУ ТП - автоматизированная система управления технологическим процессом

Введение

Одна из самых сильных сторон нашего современного развитого общества является также одним из самых сильных его недостатков. В нынешнем взаимосвязанном мире развитые и высокотехнологичные социумы сильно зависят от работы ряда служб и сервисов, которые в настоящее время стали жизненно необходимы.

Определенная инфраструктура обеспечивает нормальную работу основных служб и производственных систем в любом обществе. Поэтому сбой в их работе в силу естественных причин, технических неполадок или преднамеренных действий может иметь серьезные последствия для поставки ресурсов или работы критических служб, не говоря уже об угрозе безопасности.

В последние годы во всем мире неуклонно растет уровень кибер-преступности. Развитие Интернета и цифровая трансформация общества представляет собой «палку в двух концах», так как все это дает определенные возможности для преступников. Но что может произойти, если критически важные сети станут целью для преступного сообщества?

Защита критической инфраструктуры является важной проблемой для всех стран. Высокий уровень развития современного общества во многом зависит от ряда основных и важных услуг, в значительной степени оказываемых частным бизнесом.

Инфраструктура обеспечивает нормальную работу крайне важных для развития государства служб и систем: правительственные органы, водоснабжение, финансовые и налоговые системы, энергетика, космос, атомные электростанции и транспортные системы, крупные производственные предприятия.

С 1 января 2018 года вступил в силу Федеральный закон №187 «О безопасности критической информационной инфраструктуры Российской Федерации», обязывающий организации обеспечить комплексную защиту критической информационной инфраструктуры (КИИ) в ближайшие несколько лет. Учитывая важность исполнения этого закона и активную позицию регулятора, предусмотрено проведение плановых проверок ФСТЭК после трех лет со дня предоставления сведений об объекте КИИ и внеплановых проверок в случае возникновения инцидента информационной безопасности.

Кроме того, вводится уголовная ответственность за нарушение правил эксплуатации значимых объектов критической информационной инфраструктуры. Ключевыми для потенциальных субъектов КИИ и представителей IT/ИБ-отрасли, которые готовы помогать субъектам КИИ в реализации положений Закона, являются Правила категорирования, Приказ ФСТЭК России № 235 и Требования по безопасности КИИ.

Цель курсового проекта обоснование требований к системе защите значимого объекта критической информационной инфраструктуры и совершенствование программно-аппаратной защиты.

Для достижения поставленной цели необходимо решение следующих задач:

  1. Анализ процесса формирования требований к системам безопасности объектов критических информационных инфраструктур.
  2. Категорирование объектов КИИ, требования к системам безопасности и обеспечению безопасности значимых объектов КИИ.
  3. Обеспечения безопасности объектов критических важных информационных инфраструктур с помощью АСУ ТП.

Объектом исследования в данной работе является СБО КИИ, в частности, его подсистема программно-аппаратной защиты.

Предметом исследования следует рассматривать существующие технологии обеспечения информационной безопасности КИИ.

Актуальность проекта обуславливается необходимостью усиления мер по обеспечению безопасности КИИ в сложных условиях функционирования предприятия.

Новизна работы состоит в использовании АСУ ТП при работе с КИИ.

1. Анализ процесса формирования требований к системам безопасности объектов критических информационных инфраструктур

В ходе формирования требований к системам безопасности объектов (СБО) критических информационных инфраструктур (КИИ) может быть 2 случая:

  • когда КИИ имеет налог;
  • когда КИИ не имеет налога.

При определении требований СБО вновь создаваемые КИИ необходимо учитывать следующее:

  1. Современный этап развития характеризуется переходом от экстенсивных к интенсивным путям повышения эффективности за счет качественного совершенствования КИИ и их СБО. Основные направления качественного развития КИИ наряду с повышением технического уровня и потенциальной эффективности КИИ существенно повышают требования к СБО.
  2. Сложность, высокая стоимость и новизна перспективных КИИ требуют системного, комплексного подхода к решению вопросов их создания и эксплуатации на основе широкого использования современных методов управления, обеспечивающих создании КИИ с внедренными СБО с заданными технико-экономическими и эксплуатационными характеристиками при минимальных затратах.
  3. Разработка СБО перспективных КИИ должна обеспечивать следующих общих целей:
  • достижение конечных целей эксплуатации КИИ при минимальных затратах совокупного ряда;
  • минимизация численности потребного личного состава;
  • снижение занятости личного состава;
  • сокращение общей продолжительности работ, проводимых на КИИ;
  • уменьшение продолжительности понижения готовности КИИ;
  • уменьшение времени восстановления готовности КИИ пр проведении работ на них;
  • безопасность при проведении работ на КИИ;
  • защищенность КИИ от НСД;
  • Повышение эффективности СБО, необходимого ресурса и срока службы КИИ и т.п.

При разработке требований к конкретным типам СБО КИИ состав перечисленных требований конкретизируется.

  1. Процессу формирования требований к СБО КИИ должен предшествовать этап разработки сценария, т.е. качественное описание структуры создаваемого КИИ, возможных условий её эксплуатации, целей и задач СБО, принципов формирования и реализации целевых нормативов.
  2. Проведение исследований по обеспечению формирования требований к СБО КИИ должно включать:
  • формулировку целей (постановку задачи) и неформальное задание критерия оптимальности;
  • построение математической модели принятия решений (определение математического выражения для критерия оптимальности «целевой функции» и ограничений), сбор данных и нормативов для решения задачи;
  • определение алгоритма поиска оптимального решения;
  • проверку модели и оценку решения;
  • реализацию (осуществления) решения.

Проведение исследований требует, с одной стороны, широкого использования математических методов, а с другой стороны – учета опыта разработки и реализации требований к СБО КИИ.

  1. Практические возможности применения математических моделей и методов формирования требований к СБО вновь создаваемых КИИ ограничиваются, в первую очередь, наличием факторов неопределенности исходной информации о развитии научно-технического прогресса, поведения внешней среды, и др.

Наличие фактора неоправданности исходной информации обязывать принять математические модели поэтапного принятия решений при формировании и реализации требований к СБО перспективных КИИ, обеспечивающие поэтапное устранение неопределенностей. В условиях неопределенности на первый план выступают модели поиска допустимых решений, основанные на принципе удовлетворения потребностей, т.е. на принципе соответствия прогнозируемых результатов целевым нормативам.

Принцип удовлетворения потребностей при формировании требований к СБО перспективных КИИ основывается на следующих предпосылках:

  • цели развития СБО КИИ многозначны и не сводятся к единому целевому нормативу, необходимому для формирования критерия оптимальности (целевой функции);
  • при обосновании решений математическому описанию доступно ограниченное множество альтернатив, далеко не исчерпывающее всего набора условий и стратегий;
  • поиск наиболее рационального решения приходит в условиях ограниченного времени, материальных, финансовых и информационных ресурсов, что не позволяет принимать окончательные решения на ранних стадиях разработки КИИ.

Процесс выработки решения при формировании требований к СБО перспективных КИИ в условиях неопределенности исходной информации должен рассматриваться как серия последовательных решений, каждое из которых:

  • окончательно не принимается до тех пор, пока это не называется объективной необходимость;
  • при каждом последующем уточнении решения учитывается информация, накапливаемая в процессе реализации предыдущих решений.

Кроме того, в условиях неопределенности исходной информации решающее значение приобретает механизм страховки на случай неопределенных изменений условий эксплуатации КИИ. Наконец, в условиях неопределенности исходной информации при формировании требований важная роль принадлежит заказчикам, которые решают вопрос о выборе оптимального варианта требований к СБО перспективным КИИ из множества предлагаемых вариантов.

Таким образом, формирование требований представляет собой сложных, динамичный процесс принятия решений в условиях неопределенности исходной информации и ограничений по ресурсам, срокам разработки и ввода в эксплуатацию КИИ.

Итак, перечисленные обстоятельства обуславливают необходимость разработки алгоритма структуры процесса формирования требований СБО в перспективные КИИ.

Следующая »
Похожие публикации
Разработка портативного мессенджера, обеспечивающего коммуникацию сотрудников организации
Курсовая работа по теме "Разработка портативного мессенджера, обеспечивающего коммуникацию сотрудников организации" по предмету "Прикладная информатика".
Разработка презентации учебного содержания по теме «Массивы. Типовые задачи обработки массивов» школьного курса информатики Средствами Интернет-сервиса «MSPowerPoint»
Курсовая работа по теме "Разработка презентации учебного содержания по теме «Массивы. Типовые задачи обработки массивов» школьного курса информатики Средствами Интернет-сервиса «MSPowerPoint»".