Журнал "Системы Безопасности" № 6‘2024

К О М П Л Е К С Н А Я Б Е З О П А С Н О С Т Ь , П Е Р И М Е Т Р О В Ы Е С И С Т Е М Ы 58 обработки данных и разработки моделей угроз безопасности информации. Рекомендации ори- ентированы на оценку антропогенных угроз безопасности информации, возникновение которых обусловлено действиями внешних и внутренних нарушителей. В них принят сле- дующий порядок оценки угроз безопасности информации: 1. Оценка угроз безопасности информации проводится в целях определения угроз безопас- ности информации, реализация (возникнове- ние) которых возможна в системах и сетях в условиях актуальных угроз безопасности информации. 2. Основными задачами, решаемыми в ходе оценки угроз безопасности информации, являются: а) определение негативных последствий, кото- рые могут наступить от реализации (возникно- вения) угроз безопасности информации; б) инвентаризация систем и сетей и определе- ние возможных объектов воздействия угроз безопасности информации; в) определение источников угроз безопасности информации и оценка возможностей наруши- телей по реализации угроз безопасности информации; г) оценка способов реализации (возникнове- ния) угроз безопасности информации; д) оценка возможности реализации (возникно- вения) угроз безопасности информации и опре- деление актуальности угроз безопасности информации; е) оценка сценариев реализации угроз безопас- ности информации в системах и сетях. 3. Исходными данными для оценки угроз без- опасности информации являются: а) общий перечень угроз безопасности инфор- мации; б) описания векторов (шаблоны) компьютер- ных атак; в) документация на ИАС; г) документы, содержащие состав обрабаты- ваемой информации, ее правовой режим и условия использования ИАС и ее инфраструк- туры; д) нормативные правовые акты; е) результаты оценки рисков (ущерба). 4. Оценка угроз безопасности информации носит систематический характер и осуществ- ляется как на этапе создания ИАС, так и в ходе эксплуатации, в том числе при развитии (модер- низации). Систематический подход к оценке угроз безопасности информации позволит под- держивать адекватную и эффективную систему защиты в условиях изменения угроз безопасно- сти информации, информационных ресурсов и компонентов ИАС. Учет изменений угроз без- опасности информации обеспечит своевремен- ную выработку адекватных и эффективных мер по защите информации ИАС. 5. На этапе создания ИАС оценка угроз безопас- ности информации проводится на основе их архитектуры и условий функционирования, по результатам изучения и анализа исходных дан- ных. В ходе эксплуатации ИАС, в том числе при развитии (модернизации), оценка угроз без- опасности информации проводится для реаль- ной архитектуры ИАС и условий их функциони- рования, полученных по результатам анализа исходных данных, инвентаризации информа- ционных ресурсов, анализа уязвимостей и (или) тестирования на проникновение, а также иных методов исследований уровня защищен- ности ИАС и содержащейся в них информации. 6. По результатам оценки выявляются актуаль- ные угрозы безопасности информации, реали- зация (возникновение) которых может приве- сти к нарушению безопасности обрабатывае- мой в ИАС информации (нарушению конфи- денциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и (или) средств ее обработки) и (или) к нарушению, прекраще- нию функционирования. На этапе создания ИАС результаты оценки угроз безопасности информации направлены на обоснование выбора организационных и технических мер по защите информации (обеспечению безопасно- сти), а также на выбор средств защиты инфор- мации и их функциональных возможностей. На этапе эксплуатации результаты оценки угроз безопасности информации направлены на оценку эффективности принятых технических мер, в том числе используемых средств защиты информации. 7. Оценка угроз безопасности информации проводится подразделением по защите инфор- мации ИАС или с привлечением сторонних организаций. 8. Оценка угроз безопасности информации проводится с использованием экспертного метода и программных средств. Ключевые цели и функции ИАС В общем виде ИАС – целевая система деятель- ности, направленная на контроль, мониторинг и управление элементами объектов различных отраслей промышленности, ситуациями (в том числе запроектными), функциями и имеющая в своем составе технические средства моделиро- вания, сбора и интерактивного представления информации. При этом под целевой системой деятельности в методологии ISO понимается набор взаимоувязанных друг с другом и взаи- модействующих между собой элементов, архи- тектур и механизмов, опирающихся на видение, политику, цели, процессы и процедуры, позво- ляющих достигать эти цели. На стратегическую перспективу необходима четкая координация использования возможно- стей бюджета отрасли, мер по реализации стра- тегии ее развития и взаимоувязки всех про- грамм и планов развития отдельных предприя- тий. В этих условиях ИАС обеспечивают плани- рование и контроль достижения запланирован- ных результатов (целевых показателей), обес- печивают рациональное использование ресур- сов, снижение риска возможных отклонений по срокам или стоимости, а также выполнение других видов проектной деятельности. Резуль- татом деятельности должно стать достижение сформулированных в стратегии развития отрас- ли целей посредством реализации программ- ных мероприятий в директивные сроки, в рам- ках утвержденного бюджета, согласованного содержания работ, с учетом рисков и ресурсных ограничений. Исходя из сформулированных целей и возла- гаемой на ИАС ответственности за решение соответствующих задач, определяются ее пер- спективные ключевые функции: 1) планирование, мониторинг и контроль про- ектной деятельности, в том числе разработка и внедрение единых методологических и орга- низационных подходов к управлению про- граммными мероприятиями и другой про- ектной деятельностью; 2) сбор, актуализация и анализ фактических данных о ходе реализации программ, форми- рование соответствующей отчетности с исполь- зованием современных средств связи и отобра- жения информации; 3) контроль достоверности и непротиворечи- вости представляемых фактических данных о ходе реализации программ в соответствии с утвержденным регламентом; 4) контроль выполнения принятых решений и поручений коллегиальных органов управле- ния предприятием (планерок, штабов, селек- торных совещаний и других); 5) информационная и организационная под- держка процессов управления изменениями и рисками; 6) формирование и хранение проектной доку- ментации (ведение архива); 7) формирование и актуализация базы данных всех участников программ; 8) формирование и актуализация базы данных всех программных мероприятий; 9) моделирование сценариев совместной реа- лизации отдельных программных мероприятий (для исключения случаев невозможности их совместной реализации из-за ресурсных ограничений и (или) дублирования функций) с целью усиления общего эффекта от реализа- ции совокупности проектов, минимизации сум- марных издержек на инфраструктуру, обустрой- ство и подготовку кадров; 10) подготовка предложений по корректировке стратегических и программных документов предприятия, а также организация оперативных действий по предотвращению негативных сце- нариев развития событий. Межведомственное сотрудничество Создание эффективной целостной сбалансиро- ванной модели управления инновационным развитием промышленности, разработка прин- ципиально нового подхода к обеспечению стан- дартов качества безопасности, способных опе- ративно реагировать на изменения внешней и внутренней среды, возможно только с исполь- зованием межведомственного сотрудничества, эффективного взаимодействия, обмена опы- том. В то же время практическая реализация отрас- левого развития, а также потребность в соответ- ствующей инженерной инфраструктуре обуславливают необходимость разработки осо- бого подхода к развитию комплексных систем обеспечения безопасности субъектов промыш- ленности. Для решения этой проблемы необхо- димо осуществление комплекса мероприятий на новом научно-технологическом уровне, что должно привести к максимально высоким результатам в борьбе с природными и техноген- ными деструктивными воздействиями, актами незаконного вмешательства (в том числе терак- декабрь 2024 – январь 2025 www.secuteck.ru