Алгоритм разработки и внедрения комплексной системы защиты информации на предприятии энергетического комплекса | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №13 (117) июль-1 2016 г.

Дата публикации: 03.07.2016

Статья просмотрена: 3246 раз

Библиографическое описание:

Гросман, А. К. Алгоритм разработки и внедрения комплексной системы защиты информации на предприятии энергетического комплекса / А. К. Гросман. — Текст : непосредственный // Молодой ученый. — 2016. — № 13 (117). — С. 311-314. — URL: https://moluch.ru/archive/117/32495/ (дата обращения: 18.12.2024).



В данной статье разработан алгоритм проектирования комплексной системы защиты информации на предприятии энергетического комплекса. Данный алгоритм разработан с учетом особенностей предприятия и удовлетворяет принципам системности, комплексности и законности. Применение данного алгоритма не требует высококвалифицированных специалистов и больших денежных затрат.

Ключевые слова:предприятие энергетики, защита информации, АСУ ТП, КВО

Комплексная система защиты информации (КСЗИ) — система, которая охватывает все факторы, связанные с обеспечением конфиденциальности, целостности и доступности информации [1]. Согласно принципам комплексного подхода для создания системы, сначала необходимо определить следующие составляющие: начальные элементы, ресурсы, назначение, критерий эффективности.

Начальными элементами в рамках построения КСЗИ являются информационные активы, потенциальные нарушители, возможные угрозы и другие элементы, которые существуют вне зависимости от нашей СЗИ (Рисунок 1).

Рис. 1. Начальные элементы КСЗИ

Ресурсы — это средства, которые используются при создании КСЗИ. В их число входят человеческие, материальные, временные и другие ресурсы.

Назначение — это основная цель, для которой создается КСЗИ. От точности формулировки цели зависит скорость и качество построения КСЗИ. В общем виде целью является защита информации. При более четкой формулировке можно, например, получить следующую цель: «обеспечение конфиденциальности персональных данных клиентов при их передаче по каналам связи». Определив назначение системы, необходимо описать ее функционал, т. е. перечислить ее конкретные возможности.

Как правило, на практике существует несколько путей построения системы. Для того, чтобы определить, какой из путей наиболее эффективен, необходимо ввести критерий эффективности, который должен учитывать затраченные ресурсы, качество системы, а также иметь количественный показатель.

Кроме того, каждый элемент должен соответствовать определенным принципам [2], таким как принцип законности, комплексности, своевременности и т. д.

Рис. 2. Принципы создание КСЗИ

Принцип законности заключается в соответствии принимаемых мер законодательству РФ и иным нормативным документам.

Принцип полноты заключается в том, что защищать необходимо всю информацию, компрометация которой может нанести ущерб (материальный, моральный или другой), а также информацию, защищать которую требует законодательство.

Согласно принципу обоснованности, необходимо защищать только ту информацию, защищать которую есть определенные причины. Например, информацию, утечка которой нанесет экономический ущерб. Данный принцип позволяет мобилизовать все силы на защите той информации, которая представляет ценность, тем самым сократить затраты на защиту неценной информации.

Специализированные подразделения по защите информации являются неотъемлемой частью КСЗИ, так как только квалифицированные и компетентные кадры способны обеспечить необходимый уровень ЗИ.

Принцип ЗИ всех соприкасающихся с ней лиц заключается в том, что защита информация является должностной обязанностью лиц, обрабатывающих её.

Согласно принципу персональной ответственности, каждый сотрудник должен нести дисциплинарную, административную и иную ответственность за нарушение правил по обеспечению защищенности информации.

Принцип использования всех необходимых правил и средств заключается в контроле соблюдения всех правил по защите информации. Этот процесс критически важен, так как при невыполнении одного правила, остальные теряют смысл.

Принцип превентивности предполагает заблаговременное, опережающее принятие мер еще до начала разработки или получения информации. Для реализации принципа превентивности необходимо понимать, как различные субъекты системы воздействуют друг на друга.

Перед разработкой алгоритма создания КСЗИ для предприятия энергетики необходимо выделить основные особенности, присущие рассматриваемому предприятию, к ним могут относится:

– территориальная распределённость

– включают в себя несколько локальных АС

– обрабатывают различные виды информации: ПДн, коммерческая тайна

– уже имеют определенные средства защиты и организационные меры по защите информации

– актуальны как внешние, так и внутренние нарушители

Алгоритм должен учитывать все эти особенности, чтобы с наименьшими затратами и с максимальной эффективностью создать КСЗИ. Поэтому на начальном этапе необходимо собрать и проанализировать информацию о предприятии. В этот этап входит процесс изучения информационных потоков. Необходимо определить, какая информация подлежит защите, а какая является открытой. Для этого производится категорирования информации.

Так как большинство предприятий чаще всего уже имеют некоторые средства защиты, то, с целью максимально эффективного использования имеющихся средств, необходимо собрать все информацию о них и заблаговременно оценить их роль в планирующейся КСЗИ.

Изучив и проанализировав текущее состояние предприятия необходимо определить возможных нарушителей ИБ и актуальные угрозы при помощи нормативных документов. На этом заканчивается этап сбора и анализа информации о предприятии и начинается этап проектирования КСЗИ.

На этапе проектирования важным шагом является определение требований нормативных документов к КСЗИ [3]. К ним относятся федеральные законы в области ИБ, приказы ФСТЭК, ФСБ, постановления правительства, указы президента. Законодательство регламентирует минимальны набор мер по защите информации.

Далее необходимо определить меры, нейтрализующие актуальные угрозы. К ним относятся внедрение программно-аппаратных, инженерно-технических средств, а также разработка внутриорганизационной документации. Далее необходимо составить адаптивный набор мер, который включает в себя базовый набор и набор мер, нейтрализующий актуальные угроз.

Следующим шагом является выбор и внедрение средств защиты. Это должно быть комплексным процессом т. к. необходимо заранее продумать всю систему так, чтобы средства дополняли друг друга и их функционал использовался на 100 %, так выполняется принцип превентивности. Алгоритм создания КСЗИ для предприятия энергетического комплекса можно представить в виде схемы (Рисунок 3).

Рис. 3. Цикл создания КСЗИ

Стоит отметить, что процесс создания КСЗИ предприятия энергетики представлен в виде цикла т. к. система нуждается в постоянном сопровождении и модернизации. Процесс модернизации сопровождается постоянным анализом защищенности, анализом угроз и нарушителей.

Таким образом, был разработан был разработан алгоритм проектирования КСЗИ для предприятия энергетики с учетом особенностей предприятия. Данный алгоритм удовлетворяет принципам системности, комплексности и законности. Применение данного алгоритма не требует высококвалифицированных специалистов и больших денежных затрат.

Литература:

  1. Гришина М. В. Организация комплексной системы защиты информации: Учебное пособие.- Гелиос АРВ.-2007.-340 с
  2. Ахлюстин С. Б. Модель нарушителя в задачах анализа надежности информационных систем// Вестник воронежского института МВД.- 2013
  3. Бердникова О. И. Алгоритм разработки и внедрения системы защиты информации// Вестник Северного (Арктического) федерального университета. Серия: Естественные науки.-2014.-№ 3.-с. 139–142
Основные термины (генерируются автоматически): защита информации, информация, предприятие энергетики, алгоритм проектирования, комплексная система защиты информации, критерий эффективности, набор мер, обеспечение конфиденциальности, принцип законности, энергетический комплекс.


Ключевые слова

защита информации, предприятие энергетики, АСУ ТП, КВО

Похожие статьи

Перспективы применения комплексного подхода к процедуре проектирования систем освещения с учетом смежных стадий жизненного цикла

В статье рассмотрены вопросы, связанные с совершенствованием процедуры проектирования систем освещения с управляемыми параметрами излучения (СОУПИ), как с точи зрения оптимизации их размещения, так и с точки зрения оптимизации режимов работы. В качес...

Внедрение технологий информационного моделирования в процесс эксплуатации зданий и сооружений

Внедрение технологий информационного моделирования является комплексным проектом, затрагивающим деятельность практически всех служб и отделов эксплуатирующей организации. В рамках данной статьи рассматривается поэтапное внедрение BIM-технологий в эк...

Перспективы развития систем автоматизации по контролю работы 3D-принтеров на базе различных технологий

Данная статья посвящена тенденциям и требованиям к разработке автоматизированных систем управления процесса 3D-печати. Рассматривается оборудование на базе различных технологий с учетом специфики развития индустрии аддитивного производства и запросов...

Сравнительный анализ функциональных возможностей программно-аппаратных систем обнаружения компьютерных атак

В работе представлен сравнительный анализ основных функциональных возможностей систем обнаружения компьютерных атак (СОА), которые в настоящее время активно используются в рамках реализации процесса оценки состояния защищенности объектов критической ...

Автоматизированный расчет и построение схем электроснабжения в AutoCad с применением языка программирования AutoLisp

В разработку и интеграцию САПР в области энергетики и проектирования систем электроснабжения вносят вклад такие компании, как CSoft Development, Сad Group, Autodesk, «Русская промышленная компания», «Аскон» и т.д. Продукция этих компаний, несомненно,...

Автоматизации проектирования систем электроснабжения

В статье рассматривается разрабатываемый программный комплекс, который призван выполнять задачу автоматизации проектирования электроснабжения отдаленных малонаселенных пунктов в каждом конкретном случае с учетом максимальной экономической эффективнос...

Эффективность корпоративной системы управления проектами в предприятиях с государственным участием

Рассматривается вопрос эффективности и необходимости внедрения корпоративной системы управления проектами (КСУП) в структуру предприятия, с государственным участием. Определение зрелости текущего уровня существующей системы управления проектами.

Внедрение автоматизированной системы для мониторинга сети на предприятии ТЭК

В статье предложен путь решения проблемы по автоматизации мониторинга сетевых устройств на предприятии ТЭК путем внедрения многофункциональной системы мониторинга, которая написан и распространяется, под лицензией GPL исходный код свободно распростра...

Информационная безопасность автоматизированных систем управления

В статье рассматривается проблема защищенности автоматизированных систем от внешних и внутренних воздействий; описаны требования к автоматизированной системе и этапы организации информационной защиты; рассмотрены технические и административные методы...

Формирование алгоритма автоматизации работы системы доставки нефтепродуктов на АЗС

Данная статья посвящена проблеме повышения эффективности системы доставки нефтепродуктов на автозаправочные станции внутри одного региона. Для этого в данной статье рассматривается существующая система доставки нефтепродуктов на АЗС. Выделяются инфор...

Похожие статьи

Перспективы применения комплексного подхода к процедуре проектирования систем освещения с учетом смежных стадий жизненного цикла

В статье рассмотрены вопросы, связанные с совершенствованием процедуры проектирования систем освещения с управляемыми параметрами излучения (СОУПИ), как с точи зрения оптимизации их размещения, так и с точки зрения оптимизации режимов работы. В качес...

Внедрение технологий информационного моделирования в процесс эксплуатации зданий и сооружений

Внедрение технологий информационного моделирования является комплексным проектом, затрагивающим деятельность практически всех служб и отделов эксплуатирующей организации. В рамках данной статьи рассматривается поэтапное внедрение BIM-технологий в эк...

Перспективы развития систем автоматизации по контролю работы 3D-принтеров на базе различных технологий

Данная статья посвящена тенденциям и требованиям к разработке автоматизированных систем управления процесса 3D-печати. Рассматривается оборудование на базе различных технологий с учетом специфики развития индустрии аддитивного производства и запросов...

Сравнительный анализ функциональных возможностей программно-аппаратных систем обнаружения компьютерных атак

В работе представлен сравнительный анализ основных функциональных возможностей систем обнаружения компьютерных атак (СОА), которые в настоящее время активно используются в рамках реализации процесса оценки состояния защищенности объектов критической ...

Автоматизированный расчет и построение схем электроснабжения в AutoCad с применением языка программирования AutoLisp

В разработку и интеграцию САПР в области энергетики и проектирования систем электроснабжения вносят вклад такие компании, как CSoft Development, Сad Group, Autodesk, «Русская промышленная компания», «Аскон» и т.д. Продукция этих компаний, несомненно,...

Автоматизации проектирования систем электроснабжения

В статье рассматривается разрабатываемый программный комплекс, который призван выполнять задачу автоматизации проектирования электроснабжения отдаленных малонаселенных пунктов в каждом конкретном случае с учетом максимальной экономической эффективнос...

Эффективность корпоративной системы управления проектами в предприятиях с государственным участием

Рассматривается вопрос эффективности и необходимости внедрения корпоративной системы управления проектами (КСУП) в структуру предприятия, с государственным участием. Определение зрелости текущего уровня существующей системы управления проектами.

Внедрение автоматизированной системы для мониторинга сети на предприятии ТЭК

В статье предложен путь решения проблемы по автоматизации мониторинга сетевых устройств на предприятии ТЭК путем внедрения многофункциональной системы мониторинга, которая написан и распространяется, под лицензией GPL исходный код свободно распростра...

Информационная безопасность автоматизированных систем управления

В статье рассматривается проблема защищенности автоматизированных систем от внешних и внутренних воздействий; описаны требования к автоматизированной системе и этапы организации информационной защиты; рассмотрены технические и административные методы...

Формирование алгоритма автоматизации работы системы доставки нефтепродуктов на АЗС

Данная статья посвящена проблеме повышения эффективности системы доставки нефтепродуктов на автозаправочные станции внутри одного региона. Для этого в данной статье рассматривается существующая система доставки нефтепродуктов на АЗС. Выделяются инфор...

Задать вопрос