Безопасность информационных технологий

В статье представлен подход к адаптации «Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», утверждённой ФСТЭК России 2 мая 2024 г., для предприятий нефтегазового комплекса. Проведённый анализ показал, что базовый набор показателей, предложенный регулятором, недостаточно полно отражает отраслевую специфику, связанную с непрерывностью производственных процессов и критичностью автоматизированных систем управления технологическими процессами (АСУ ТП). Предложена расширенная система количественных и качественных показателей, учитывающих не только технические характеристики систем защиты, но и организационные аспекты управления информационной безопасностью, такие как уровень подготовки и вовлечённости персонала, своевременность обновления программного обеспечения, относительное время простоя критически важных объектов вследствие киберинцидентов, а также полноту реализации плановых мероприятий. Разработанные показатели позволяют комплексно и объективно оценивать текущее состояние защищенности, своевременно выявлять проблемные зоны и приоритизировать ресурсы на наиболее уязвимых направлениях. В работе приведены рекомендации по практическому внедрению и развитию предложенной системы показателей, включая формирование интегрированной инфраструктуры сбора данных, автоматизацию вычисления показателей и использование современных инструментов мониторинга. Применение предложенного подхода позволит предприятиям нефтегазовой отрасли перейти от формальной проверки требований регулятора к эффективному управлению информационной безопасностью на основе объективных и измеримых критериев, минимизировать риски возникновения киберинцидентов и снизить возможный экономический ущерб от остановки производства.

1. Правиков Д.И. Подходы к количественной оценке информационной безопасности на предприятии ТЭК. Д.И. Правиков, В.А. Мурашкин. Проблемы управления безопасностью сложных систем: Материалы XXXII международной конференции, посвященной памяти Владимира Васильевича Кульбы, Заслуженного деятеля науки РФ, д-ра техн. наук, профессора, Москва, 13 ноября 2024 г. Москва: Институт проблем управления им. В.А. Трапезникова РАН. 2024, c. 212-217. URL: https://elibrary.ru/item.asp?id=79446201 (дата обращения: 12.07.2025).
Pravikov D.I., Murashkin V.A. Approaches to Quantitative Assessment of Information Security at Energy Enterprises. In: Proceedings of the XXXII International Conference “Security Management of Complex Systems”, in memory of Vladimir Vasilievich Kulba, Honored Scientist of the Russian Federation, Doctor of Technical Sciences, Professor. Moscow: Trapeznikov Institute of Control Sciences of RAS. 2024, pp. 212-217. URL: https://elibrary.ru/item.asp?id=79446201 (accessed: 12.07.2025) (in Russian).

2. Правиков Д.И. Показатель состояния защищенности на объектах нефтегазовой отрасли. Д.И. Правиков, В.А. Мурашкин. Кибернетика и информационная безопасность «КИБ-2024»: Сборник научных трудов Второй Всероссийской научно-технической конференции, Москва, 22–23 октября 2024 г. Мoсква: НИЯУ МИФИ 2024, c. 26-27. URL: https://elibrary.ru/item.asp?id=75062623 (дата обращения: 12.07.2025).
Pravikov D.I., Murashkin V.A. Indicator of Security Status at Oil and Gas Industry Facilities. In: Cybernetics and Information Security “KIB-2024”: Proceedings of the 2nd All-Russian Scientific and Technical Conference, Moscow, October 22–23, 2024. Moscow: National Research Nuclear University MEPhI. 2024, pp. 26-27. URL: https://elibrary.ru/item.asp?id=75062623 (accessed: 12.07.2025) (in Russian).

3. Мурашкин В.А. Эффективность процессов управления информационной безопасностью на предприятии ТЭК. В.А. Мурашкин, А.А. Пырьева. Актуальные проблемы развития нефтегазового комплекса России: Сборник трудов XVII Всероссийской научно-технической конференции, Москва, 25 апреля 2024 г. Мoсква: Российский государственный университет нефти и газа (национальный исследовательский университет) им. М. Губкина. 2024, c. 416-423. URL: https://elibrary.ru/item.asp?id=69218515 (дата обращения: 12.07.2025).
Murashkin V.A., Pyrieva A.A. Effectiveness of Information Security Management Processes at Energy Sector Enterprises. In: Actual Problems of Development of the Oil and Gas Industry: Proceedings of the XVII Russian Scientific and Technical Conference. Eds. Kalashnikov P.K., Komkov A.N., Dubinov Yu.S., Dubinova O.B., Vanchugov I.M. Moscow: Gubkin Russian State University of Oil and Gas (NRU). 2024, pp. 416-423. URL: https://elibrary.ru/item.asp?id=69218515 (accessed: 12.07.2025) (in Russian).

4. Правиков, Д.И. Оценка комплексной безопасности производственных объектов нефтегазовой отрасли. Д.И. Правиков, Г.Д. Потапов. Кибернетика и информационная безопасность «КИБ-2024»: Сборник научных трудов Второй Всероссийской научно-технической конференции, Москва, 22–23 октября 2024 г. Москва: НИЯУ МИФИ 2024, c. 30-31. URL: https://elibrary.ru/item.asp?id=75062625 (дата обращения: 12.07.2025).
Pravikov, D.I. Assessment of the integrated safety of production facilities in the oil and gas industry. D.I. Pravikov, G.D. Potapov. Cybernetics and information security "KIB-2024": Proceedings of the Second All-Russian Scientific and Technical Conference, Moscow, October 22–23, 2024. Moscow: National Research Nuclear University "MEPhI". 2024, p. 30-31. URL: https://elibrary.ru/item.asp?id=75062625 (accessed: 12.07.2025) (in Russian).

5. Милославская Н.Г., Толстой А.И. Управление информационной безопасностью. Москва: НИЯУ МИФИ, 2020. – 536 с.
Miloslavskaya, N.G.; Tolstoy, A.I. Upravlenie informatsionnoy bezopasnost'yu [Information Security Management]. Moscow: National Research Nuclear University MEPhI, 2020. 536 p. (in Russian).

6. Остапчук Т.А. Методы оценки эффективности систем информационной безопасности. Москва: РТ-Софт, 2019. – 192 с.
Ostapchuk, T.A. Metody otsenki effektivnosti sistem informatsionnoy bezopasnosti [Methods for Assessing the Effectiveness of Information-Security Systems]. Moscow: RT-Soft, 2019. 192 p. (in Russian).

7. MTE Cyber. Риск-ориентированный подход к информационной безопасности. URL: https://mte-cyber.by/mte-blog/risk-based-approach-to-information-security/ (дата обращения: 12.07.2025).
MTE Cyber. Risk-based approach to information security. URL: https://mte-cyber.by/mte-blog/risk-based-approach-to-information-security/ (accessed: 12.07.2025) (in Russian).

8. Рахметов Р. Измерение эффективности процессов кибербезопасности. Security Vision Blog. 2021. URL: https://www.securityvision.ru/blog/izmerenie-effektivnosti-protsessov-kiberbezopasnosti-metriki-ib-chast-1/ (дата обращения: 12.07.2025).
Rahmetov, R. Measuring cybersecurity-process efficiency. Security Vision Blog. 2021. URL: https://www.securityvision.ru/blog/izmerenie-effektivnosti-protsessov-kiberbezopasnosti-metriki-ib-chast-1/ (accessed: 12.07.2025) (in Russian).

9. Александров А.В. Методика комплексной оценки состояния информационной безопасности предприятия. А.В. Александров, А.В. Велигура, Я.В. Соколова. Экономический вектор. 2016, № 2(5), c. 104–112. URL: https://www.elibrary.ru/item.asp?id=26255560 (дата обращения 12.07.2025).
Aleksandrov A.V., Veligura A.V., Sokolova Ya.V. A Methodology for Comprehensive Assessment of the Information Security Status of an Enterprise. In: Economic Vector. 2016, no. 2(5), pp. 104–112. URL: https://www.elibrary.ru/item.asp?id=26255560 (accessed: 12.07.2025) (in Russian).

10. Рахметов Р. Обзор специальных публикаций NIST по информационной безопасности. Часть 1. URL: https://habr.com/ru/articles/662353/ (дата обращения: 12.07.2025).
Rakhmetov R. Overview of NIST Special Publications on Information Security. Part 1. URL: https://habr.com/ru/articles/662353/ (accessed: 12.07.2025) (in Russian).

11. Knapp E.D., Langill J. Industrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems. 2nd ed. Syngress/Elsevier, 2014. 384 p.

12. Милославская Н.Г., Сенаторов М.Ю. Проверка и оценка деятельности по управлению ИБ. 2-е изд. Москва: Горячая линия – Телеком, 2022. – 166 с.
Miloslavskaya, N.G.; Senatorov, M.Yu. Proverka i otsenka deyatel'nosti po upravleniyu IB [Audit and Assessment of Information-Security Management Activities]. 2nd ed. Moscow: Goryachaya Liniya – Telekom, 2022. 166 p. (in Russian).

13. Герасимов А.В., Смирнов П.О. Аудит информационной безопасности: методология и практика. Москва: Инфотропик Медиа, 2023. – 210 с.
Gerasimov A.V., Smirnov P.O. Information Security Audit: Methodology and Practice. Moscow: Infotropik Media, 2023. 210 p. (in Russian).

14. Cherdantseva A., Burnap P., Blyth A., Eden P., Jones K., Soulsby H., Stoddart K. A review of cyber security risk assessment methods for SCADA systems. Computers & Security. 2016, v. 56, pp. 1-27. DOI: https://doi.org/10.1016/j.cose.2015.09.009.

15. Freund J., Jones J. Measuring and Managing Information Risk: A FAIR Approach. Elsevier, 2014. 408 p.