Безопасность информационных технологий

При построении системы защиты информации одной из ключевых проблем становится создание комплекта нормативной документации. Регуляторы в сфере обеспечения информационной безопасности определяют перечень необходимой документации в основном применительно к механизмам защиты (аутентификация, антивирусная защита и т.п.) и практически не учитывают этапы жизненного цикла средств защиты информации и персонала организации. В статье предлагается подход к формализации составления перечня процессов управления информационной безопасностью, нуждающихся в регламентации. Данный подход позволяет при формировании политики информационной безопасности учесть процессы управления персоналом и комплексом программно-аппаратных средств защиты информации, что необходимо для обеспечения высокого уровня защищенности объектов критической информационной инфраструктуры. 

1. О безопасности критической информационной инфраструктуры Российской Федерации: федеральный закон от 26.07.2017 N 187-ФЗ // СПС КонсультантПлюс.

2. Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: приказ ФСТЭК России от 25.12.2017 N 239 // СПС КонсультантПлюс.

3. Зайцев С.Е. Политики информационной безопасности в системах информационной безопасности // Научный вестник Московского государственного технического университета гражданской авиации (137) 2008. С. 37-44.

4. Конев А.А., Давыдова Е.М. Подход к описанию структуры системы защиты информации // Доклады ТУСУР. 2013. № 2 (28). С. 107 – 111.

5. Novokhrestov A., Konev A. Mathematical model of threats to information systems // AIP conference proceedings (Tomsk, 26 – 29 April 2016). Tomsk, 2016. Vol. 1772. P. 060015.

6. Новохрестов А.К., Конев А.А., Шелупанов А.А., Егошин Н.С. Модель угроз безопасности информации и ее носителей // Вестник Иркутского государственного технического университета. 2017. Т. 21. № 10. С. 93 – 104

7. ГОСТ Р 50922-96. Защита информации. Основные термины и определения. М.: Стандартинформ, 2008. - 12 с.

8. Грибунин В.Г. Комплексная система защиты информации на предприятии [Текст]: учебное пособие для студентов высших учебных заведений / В.Г. Грибунин, В.В. Чудовский. – М.: Издательский центр «Академия», 2009. – 416 с.

9. Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования: приказ Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235 // СПС КонсультантПлюс.

10. ГОСТ Р ИСО/МЭК 15288-2005. Информационная технология. Системная инженерия. Процессы жизненного цикла систем. М.: Стандартинформ, 2006. – 53 с.

11. И.А. Жуклинец, О.Н. Марков. Управление процессами ИБ в интересах бизнеса. Технологии безопасности №1 (24) – 2013.

12. Доросинский Л. Г. Информационные технологии поддержки жизненного цикла изделия / Л. Г. Доросинский, О. М. Зверева. – Ульяновск: Издательство «Зебра», 2016. – 243 с. – ISBN 978-5-9908739-8-8.

13. Скопин И.Н. Понятия и модели жизненного цикла программного обеспечения: Учебное пособие Новосиб. гос. ун-т. - Новосибирск, 2012.

14. Дорофеев А.В., Марков А.С. Менеджмент информационной безопасности. Основные концепции. Вопросы кибербезопасности №1(2) – 2014, С. 67 - 73.

15. ГОСТ Р ИСО/МЭК 27001 – 2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. М.: Стандартинформ, 2008. – 31 с.

16. РС БР ИББС-2.6-2014. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем [Электронный ресурс]. – Режим доступа: http://www.cbr.ru/credit/gubzi_docs/rs-26-14.pdf (дата обращения 18.05.2018).

17. Гришина Н.В. Организация комплексной системы защиты информации. [Текст] / Н.В. Гришина –М.: Гелиос АРВ, 2007. – 256 с.

18. Бочков С.И. О ценности информации на различных этапах жизненного цикла. Правовая информатика № 3 – 2016, С. 35 - 40.

19. Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий: приказ Федеральной службы по техническому и экспортному контролю от 22.12.2017 г. № 236 // СПС КонсультантПлюс.