Обзор национальных и международных стандартов для категорирования объектов критической информационной инфраструктуры

Обеспечение безопасности объектов критической информационной инфраструктуры — активно развивающееся направление в сфере информационной безопасности на национальном и мировом уровне. Категорирование объектов критической инфраструктуры является составной частью общего процесса обеспечения безопасности. При динамично изменяющемся уровне угроз процесс определения категории объекта все еще недостаточно оптимален. На основе существующих требований российских и международных стандартов оценивание объектов критической инфраструктуры проводится не всегда оперативно и корректно. Также не формируются численные оценки, не обеспечивается объективность оценки и последующей переоценки со стороны независимых экспертов. В работе представлен анализ актуальных требований в области категорирования объектов критической инфраструктуры, применяемых в Российской Федерации. Выполнен сравнительный анализ национальных нормативных правовых актов Российской Федерации и системы международных стандартов в области информационной безопасности. Рассмотрено регулирование процессов категорирования объектов критической инфраструктуры. Обоснована необходимость формирования численных значений критериев значимости для корректного определения и последующей независимой оценки (переоценки) категории объектов критической инфраструктуры. Представлены рекомендации по совершенствованию процесса категорирования объектов критической инфраструктуры и формированию численных оценок. Реализация приложенных рекомендаций позволит повысить точность, объективность и достоверность процесса создания современных систем обеспечения информационной безопасности.

1. Смирнов Е.В. Методика оценки политической значимости угроз объекту критической информационной инфраструктуры на примере объекта инфокоммуникаций // Экономика и качество систем связи. 2020. № 2. C. 49–56.

2. Новикова Е.Ф., Хализев В.Н. Разработка модели угроз для объектов критической информационной инфраструктуры с учетом методов социальной инженерии // Прикаспийский журнал: управление и высокие технологии. 2019. № 4. С. 127–135. https://doi.org/10.21672/2074-1707.2019.48.4.127-135

3. Щелкин К.Е., Звягинцева П.А., Селифанов В.В. Возможные подходы к категорированию объектов критической информационной инфраструктуры // Интерэкспо Гео-Сибирь. 2019. Т. 6. № 1. С. 128–133. https://doi.org/10.33764/2618-981X-2019-6-1-128-133

4. Ерохин С.Д., Петухов А.Н., Пилюгин П.Л. Принципы и задачи асимптотического управления безопасностью критических информационных инфраструктур // T-Comm: Телекоммуникации и транспорт. 2019. Т. 13. № 12. С. 29–35. https://doi.org/10.24411/2072-8735-2018-10330

5. Горелик В.Ю., Безус М.Ю. О безопасности критической информационной инфраструктуры Российской Федерации // Научнообразовательный журнал для студентов и преподавателей «StudNet». 2020. Т. 3. № 9. С. 1438–1448.

6. Оюн Ч.О., Попантонопуло Е.В. Объекты критической информационной инфраструктуры // Интерэкспо Гео-Сибирь. 2018. № 9. С. 45–49.

7. Лившиц И.И. Экономическое обеспечение информационной безопасности: учебно-методическое пособие. СПб.: Университет ИТМО, 2021. 69 с.

8. Лившиц И.И. Нормативно-методическое обеспечение информационной безопасности: учебно-методическое пособие. СПб.: Университет ИТМО, 2021. 68 с.

9. Konyukhov V.Y., Livshitz I.I., Oparina T.A. Improving the quality of electricity in electrical supply networks of industrial enterprises // Proc. of the 2021 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS). 2021. P. 156–160. https://doi.org/10.1109/itqmis53292.2021.9642875

10. Livshitz I.I., Lontsikh P.A., Lontsikh N.P., Golovina E.Y., Safonova O.M. Industrial Systems Security Assessments study // Proc. of the 2021 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS). 2021. P. 161–164. https://doi.org/10.1109/itqmis53292.2021.9642828

11. Livshitz I.I., Lontsikh P.A., Lontsikh N.P., Golovina E.Y., Safonova O.M. A study of modern risk management methods for industrial safety assurance in the fuel and energy industry // Proc. of the 2021 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS). 2021. P. 165–167. https://doi.org/10.1109/itqmis53292.2021.9642791

12. Lontsikh P.A., Gulov A.E., Livshitz I.I., Koksharov A.V., Golovina E.Y. System-oriented analysis and classification of process control methods for software development // Proc. of the 2021 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS). 2021. P. 174–177. https://doi.org/10.1109/itqmis53292.2021.9642850

13. Breaux T.D., Gordon D.G., Papanikolaou N., Pearson S. Mapping legal requirements to IT controls // Proc. of the 6th International Workshop on Requirements Engineering and Law (RELAW). 2013. P. 11–20. https://doi.org/10.1109/RELAW.2013.6671341

14. Hale G., Lenzner R. Introducing the National Security Cyber Assistance Program (NSCAP) // Journal of Information Warfare. 2014. V. 13. N 2. P. 39–45.

15. Lam D.D., Carayannis E.G. Standard insecurity: How, why and when standards can be a part of the problem // Journal of the Knowledge Economy. 2011. V. 2. N 2. P. 234–248. https://doi.org/10.1007/s13132-010-0029-0

16. Gandhi R.A., Crosby K., Siy H., Mandal S. Gauging the impact of FISMA on software security // Computer. 2014. V. 47. N 9. P. 103– 107. https://doi.org/10.1109/MC.2014.248

17. Murray A.T., Grubesic T.H. Overview of reliability and vulnerability in critical infrastructure // Critical Infrastructure: Reliability and Vulnerability. Berlin: Springer, 2007. P. 1–8. https://doi.org/10.1007/978-3-540-68056-7_1

18. Taylor L.P. Categorizing data sensitivity // FISMA Compliance Handbook (Second Edition). 2013. P. 63–78. https://doi.org/10.1016/B978-0-12-405871-2.00008-7

19. Calder A. NIST Cybersecurity Framework: A Pocket Guide. IT Governance Publishing, 2018. 78 p. https://doi.org/10.2307/j.ctv4cbhfx

20. Лившиц И.И., Соколов Е.О. Проектирование международного значимого электронного документооборота для компаний холдингового типа // Вопросы кибербезопасности. 2020. № 5(39). С. 61–68. https://doi.org/10.21681/2311-3456-2020-05-61-68

21. Басырова А.А., Лившиц И.И. Анализ методики аудита информационной безопасности предприятия с помощью аутсорсинговых компаний // Автоматизация в промышленности. 2020. № 7. С. 6–9. https://doi.org/10.25728/avtprom.2020.07.02