Разработка средства автоматизации для формирования отчета аудита информационной безопасности объектов топливно-энергетического комплекса
ВВЕДЕНИЕ
Современное развитие информационных систем, их революционное внедрение в сферу топливно-энергетического комплекса (ТЭК) остро ставят вопросы обеспечения информационной безопасности. Одной из составляющих процесса всестороннего обеспечения является аудит информационных систем ТЭК.
Именно аудит позволяет оценить правильность и адекватность принимаемых мер защиты информации, внедрения новых способов и средств обеспечения информационной безопасности, и в итоге – дать окончательную оценку достигаемому уровню защищенности объектов топливно-энергетического комплекса (ТЭК).
Все процессы в современном обществе перетекают в информационные системы, которые играют ключевую роль в обеспечении эффективности работы коммерческих, государственных предприятий и образовательных организаций. Повсеместное использование информационных систем, которые привлекаются для хранения, обработки и передачи информации, обуславливает актуальность проблемы защиты и сохранности информации.
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 8
1 Особенности проведения аудита объектов критической информационной инфраструктуры 11
1.1 Анализ нормативной правовой базы в области защиты критической информационной инфраструктуры 11
1.2 Роль аудита информационной безопасности в жизненном цикле системы обеспечения информационной безопасности объектов критической информационной инфраструктуры 19
1.2.1 Взаимосвязь системы обеспечения информационной безопасности и системы менеджмента информационной безопасности 22
1.3 Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры в топливно-энергетическом комплексе 26
1.3.1 Особенности обеспечения безопасности информации в автоматизированной системе управления технологическим процессом 31
1.3.2 Подсистема межсетевого взаимодействия 33
1.4 Анализ существующих решений в области автоматизации проведения аудита информационной безопасности объектов критической информационной инфраструктуры в топливно-энергетическом комплексе 38
2 Разработка методологических основ проведения аудита информационной инфраструктуры 44
2.1 Концепция разрабатываемого решения для автоматизации проведения аудита информационной безопасности объектов критической информационной инфраструктуры в топливно-энергетическом комплексе 44
2.2 Разработка методики проведения аудита информационной безопасности 46
2.3 Разработка шаблона отчета о проведении аудита 52
3 Проектирование программного обеспечения для автоматизации проведения аудита информационной безопасности для объектов критической информационной инфраструктуры 75
3.1 Выбор технологий и средств автоматизации проведения аудита информационной безопасности для объектов критической информационной инфраструктуры 75
3.2 Разработка программного обеспечения для автоматизации проведения аудита информационной безопасности для объектов критической информационной инфраструктуры 79
3.3 Тестирование программного обеспечения для автоматизации проведения аудита информационной безопасности для объектов критической информационной инфраструктуры 87
ЗАКЛЮЧЕНИЕ 89
СПИСОК ПУБЛИКАЦИЙ ОБУЧАЮЩЕГОСЯ 91
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 93
ПРИЛОЖЕНИЕ А. ЛИСТИНГ 97
ПРИЛОЖЕНИЕ Б. ОТЧЕТ АУДИТА 102
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1) Указ Президента РФ от 15.01.2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» // Собрание законодательства РФ. 21.01.2013. № 3. Ст. 178
2) Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации: утверждена Президентом Российской Федерации 12 декабря 2014 г. № К 1274. С.2-3
3) Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» // Рос. газета. № 167. 31.07.2017. С.180
4) Федеральный закон от 21 июля 2011 г. N 256-ФЗ «О безопасности объектов топливно-энергетического комплекса»// Государственная Дума 6.07.2011. Ст.1
5) Указ Президента РФ от 23.01.2015 № 31 «О дополнительных мерах по противодействию незаконному обороту промышленной продукции» // Собрание законодательства РФ. 26.01.2015. № 4. Ст. 643.
6) Постановление Правительства РФ от 8 февраля 2018 г. N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»// Правительство РФ. П.5,6,7
7) Кузнецов П.У. Отдельные аспекты формирования правового обеспечения международной информационной безопасности // Вестн. УрФО. 2016. № 4 (22). С. 38–43.
Анализ всей информации, полученной в процессе ознакомления с документацией, контроля фактического выполнения всех установленных требований, получения сведений от сотрудников, изучения работы аппаратных средств и программного обеспечения, проверки физической защищенности и проведения инструментальных проверок должен быть произведен с учетом выявленных рисков и потребностей предприятия в информационной безопасности.
Вообще, такой анализ подразумевает выявление конкретных особенностей программных и аппаратных средств, бизнес-процедур, организационных правил и распределений функциональных обязанностей и полномочий, которые могут негативно повлиять на обеспечение информационной безопасности, а также описание причинно-следственных взаимосвязей между выявленными особенностями функционирования предприятия и увеличением рисков нарушения информационной безопасности.
Все исследованные обстоятельства, выявленные недостатки и особенности должны быть обобщены, и то есть должно быть сформировано общее представление о состоянии информационной безопасности на предприятии, отражены основные достоинства и недостатки действующей системы защиты информационных ресурсов, а также обозначены основные приоритеты и направления ее дальнейшего развития и совершенствования [26].