Разработка информационной системы проведения аудита объектов критической информационной инфраструктуры
Введение
Первого января вступил в силу Федеральный закон от 26.06.2017№ 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Данный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры (КИИ) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.
Согласно Федеральному закону, к субъектам КИИ относятся государственные органы, государственные учреждения, российские юридические лица, индивидуальные предприниматели, которым на законном основании принадлежат объекты КИИ, функционирующие в 12 различных сферах.
Субъектам законопроекта необходимо будет реализовывать ряд мероприятий, определённых принятым Федеральным законом от 26.07.2017
№187-ФЗ, а также его подзаконным актами. Основными мероприятиями для субъектов КИИ являются:
определение категории значимости объектов КИИ;
Содержание
Введение6
1Анализ требования к обеспечению безопасности значимых объектов критической информационной инфраструктуры7
1.1Нормативно-правовая база в области обеспечения безопасности объектов критической информационной инфраструктуры7
1.2Требования к проведению аудита объектов критической информационной инфраструктуры10
1.3Сравнительный анализ существующих систем по проведению аудита информационной безопасности12
1.4Субъекты критической информационной инфраструктуры14
1.5Категорирование объектов критической информационной инфраструктуры16
1.6Защита значимых объектов критической информационной инфраструктуры18
2Проектирование информационной системы аудита объектов критической информационной инфраструктуры21
2.1Построение концептуальной модели системы21
2.2Построение модели информационных потоков системы24
2.3Определение класса защищенности системы аудита объектов критической информационной инфраструктуры26
2.4Модель угроз27
2.4.1Общие положения27
2.4.2Определение видов риска и негативных последствий от реализации угроз безопасности информации28
2.4.3Определение объектов воздействия28
2.4.4Источники угроз безопасности информации29
2.4.5Определение актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности32
2.4.6Основные тактики и техники реализации угроз безопасности информационной системы33
2.4.7Средства защиты системы36
3Реализация системы защиты объектов критической информационной инфраструктуры38
3.1Выбор средства разработки системы38
3.2Разработка графического интерфейса приложения39
3.3Модульная структура44
4Тестирование системы45
Заключение54
Список использованных источников55
Приложение
Список использованных источников
О безопасности критической информационной инфраструктуры Российской Федерации [Электронный ресурс].: Федеральный закон от 26.07.2017 N 187-ФЗ // КонсультантПлюс : справочная правовая система / разраб. НПО «Вычисл. математика и информатика». – Москва : Консультант Плюс, 1997-2018. – Режим доступа : http://www.consultant.ru.
О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации [Электронный ресурс].: Указ Президента Российской Федерации от 15.01.2013 № 31c // КонсультантПлюс : справочная правовая система / разраб. НПО «Вычисл. математика и информатика». – Москва : Консультант Плюс, 1997-2018. – Режим доступа : http://www.consultant.ru.
О стратегии национальной безопасности Российской федерации. [Электронный ресурс].: Указ Президента РФ от 31.12.2015 N 683 // КонсультантПлюс : справочная правовая система / разраб. НПО «Вычисл. математика и информатика». – Москва : Консультант Плюс, 1997-2018. Режим доступа : http://www.consultant.ru. – 27.12.2018.
Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений [Электронный ресурс].: Постановление Правительства РФ №127 от 08.02.2018. Режим доступа : http://www.consultant.ru. – 27.12.2018.
Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий [Электронный ресурс].: Приказ Федеральной службы по техническому и экспортному контролю от 22.12.2017 № 236 // КонсультантПлюс : справочная правовая система / разраб. НПО «Вычисл. математика и информатика». – Москва : Консультант Плюс, 1997-2018. Режим доступа : http://www.consultant.ru.
Максимальный срок категорирования с момента утверждения перечня объектов не должен превышать одного года.
Решение комиссии по категорированию оформляется актом. Данный процесс обозначен блоком 5 на рисунке 2, который подписывается всеми членами комиссии по категорированию и утверждается руководителем субъекта КИИ.
В течение 10 дней со дня утверждения акта субъекту необходимо направить в ФСТЭК, сведения о результатах категорирования по форме, утвержденной приказом ФСТЭК от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» [5]. Данный этап обозначен блоком 6 на рисунке 2. Далее ФСТЭК проверяет сведения о результатах присвоения категорий значимости.