Методика формирования допустимых вариантов организационного состава и структуры автоматизированной системы управления информационной безопасностью

Для обеспечения комплексной защиты информации необходимо использовать различные средства защиты информации, распределенные по уровням и сегментам информационной системы. Это создает противоречие, заключающееся в наличии большого количества различных средств защиты информации и невозможностью обеспечения их совместного согласованного применения при обеспечении защиты информации из-за отсутствия системы управления. Одной из задач, способствующих решению данной проблемы, является задача формирования допустимых вариантов организационного состава и структуры такой автоматизированной системы управления, результаты решения которой позволили бы получить такие варианты и выбрать из них оптимальный при заданных исходных параметрах и ограничениях. Задача решается сведением общей задачи к частной задаче разбиения на подграфы исходного графа автоматизированной системы управления кибербезопасностью. В таком случае подграфы будут соответствовать подсистемам автоматизированной системы управления на разных уровнях и обеспечат наглядное представление процесса формирования допустимых вариантов организационного состава и структуры такой автоматизированной системы управления. В результате выполнения операции разбиения графа на подзадачи будет получено множество допустимых вариантов организационного состава и структур автоматизированной системы управления кибербезопасностью, на основе которой осуществляется выбор оптимального при заданных исходных параметрах и ограничениях. Таким обрзом, сформирована методика формирования допустимых вариантов организационного состава и структуры автоматизированной системы управления кибербезопасностью.

1. Федеральный закон от 26.07.2017 №187 «О безопасности критической информационной инфраструктуры Российской Федерации»/ [Электронный ресурс]. Режим доступа: http://www.kremlin.ru/acts/bank/42128, свободный (дата обращения: 15.05.2018).

2. Селифанов В.В. Методика формирования структуры функций управления защитой информации значимых объектов критической информационной инфраструктуры Российской Федерации. Математические структуры и моделирование. Омск. 2019; 1(49):97-106.

3. Methods for Testing & Specification; Risk-Based Security Assessment and Testing Methodologies, European Telecommunications Standards Institute, ETSI EG 201 015, 2015.

4. Cloud Flare. Zero-trust security: What’s a zero-trust network? 2019. [Online]. https://www.cloudflare.com/learning/security/glossary/what-is-zero-trust/.

5. Bellovin S. Layered Insecurity. IEEE Security & Privacy. 2019; 17(03): 96-95. DOI: 10.1109/MSEC.2019.2906807.

6. Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». [Электронный ресурс]. Режим доступа: https://minjust.consultant.ru/documents/38914, свободный (дата обращения: 15.05.2019).

7. ГолдобинаА.С., Исаева Ю.А. Выбор имитационной модели процессов управления защитой информации для оценки эффективности государственных и муниципальных систем. Инновационное развитие науки и образования. Сборник статей Международной научно-практической конференции. В 2 частях. Пенза. 2018:86.

8. Yener B., Gal T. Cybersecurity in the Era of Data Science: Examining New Adversarial Models. IEEE Security & Privacy. 2019;01:1-1,5555. DOI: 10.1109/MSEC.2019.2907097.

9. Peisert S. Control Systems Security from the Front Lines. IEEE Security & Privacy. 2014; 12(06):55-58. DOI: 10.1109/MSP.2014.105.

10. Choo K., Kermani M., Azarderakhsh R. and Govindarasu M. Emerging Embedded and Cyber Physical System Security Challenges and Innovations. IEEE Transactions on Dependable and Secure Computing. 2017; 14(03): 235-236. DOI: 10.1109/TDSC.2017.2664183.

11. Mailloux L., McEvilley M., Khou S. andPecarina J. Putting the «Systems» in Security Engineering: An Examination of NIST Special Publication 800-160.IEEE Security & Privacy. 2016; 14(04): 76-80. DOI: 10.1109 / MSP.2016.77.

12. Селифанов В.В., Голдобина А.С., Исаева Ю.А. Construction of Adapted Three-Level Model of Control Processes of Information Security System of Critical Information Infrastructure Objects. Сборник трудов конференции «Актуальные проблемы электронного приборостроения АПЭП-2018. Proceedings XIV International scientific technical conference. In 8 Volumes. 2018».Новосибирск. 2018:148-153.

13. Проблемы управления безопасностью сложных систем: материалы XXVI Междунар. конфер., 19 дек. 2018 г., Москва; Под общ. ред. А.О. Калашникова, В.В. Кульбы. М.: ИПУ РАН. 2018:411.

14. Burkov V., Goubko M., Korgin N., Novikov D. Introduction to Theory of Control in Organizations. New York: CRC Press. 2015:352.

15. Novikov D., Chkhartishvili A. Reflexion and Control: Mathematical Models. London: CRC Press. 2014:298.

16. Novikov D. Theory of Control in Organizations. New York: Nova Science Publishers. 2013:341.

17. . Селифанов В.В., Голдобина А.С., Исаева Ю.А., Климова А.М., Зенкин П.С. Построение адаптивной трехуровневой модели процессов управления системой защиты информации объектов критической информационной инфраструктуры.Доклады Томского государственного университета систем управления и радиоэлектроники. Томск. 2018;21(4):51-58.

18. Конфидент. Централизованное и оперативное управление защищаемыми компьютерами в инфраструктурах любого размера и назначения. 2019. [Online]. https://www.dallaslock.ru/products/tsentralizovannoe-upravlenie/

19. Конфидент. Система защиты информации виртуальной инфраструктуры Dallas Lock // 2019. [Online]. https://www.dallaslock.ru/products/szvi-dallas-lock/