- •Глава 1. Теоретические основны обеспечения информационной безопасности автоматизированных систем и сетей
- •Глава 2. Направления совершенствования информационной безопасности автоматизированных систем и сетей в ао «системный оператор единой энергетической системы»
- •Содержание
- •Глава 1. Теоретические основны обеспечения информационной безопасности автоматизированных систем и сетей 9
- •Глава 2. Направления совершенствования информационной безопасности автоматизированных систем и сетей в ао «системный оператор единой энергетической системы» 22
- •Введение
- •Глава 1. Теоретические основны обеспечения информационной безопасности автоматизированных систем и сетей
- •1.1. Понятие и сущность информационной безопасности автоматизированных систем и сетей на предприятии
- •1.2. Нормативное регулирование обеспечения информационной безопасности автоматизированных систем и сетей на предприятии
- •1.3. Комплексное обеспечение информационной безопасности автоматизированных систем и сетей на предприятии
- •Глава 2. Направления совершенствования информационной безопасности автоматизированных систем и сетей в ао «системный оператор единой энергетической системы»
- •2.1. Организационная и финансовая характеристика ао «Системный оператор Единой энергетической системы»
- •2.2. Анализ угроз и уязвимостей компании, выявление проблем
- •2.3. Предложения с экономическим обоснованием по совершенствованию информационной безопасности автоматизированных систем и сетей в ао «Системный оператор Единой энергетической системы»
- •2.3.1. Анализ существующих систем
- •2.3.2. Анализ структуры выбранной системы. Установка и настройка
- •2.3.3. Обоснование экономической эффективности внедрения системы межсетевого экранирования в компании
- •Заключение
- •Список использованных источников
- •Приложение а. Установка и настройка системы
- •Приложение б. Анализ работы системы межсетевого экранирования в компании
- •Последний лист выпускной квалификационной работы
1.2. Нормативное регулирование обеспечения информационной безопасности автоматизированных систем и сетей на предприятии
Обеспечение информационной безопасности автоматизированных систем и сетей на предприятиях в Российской Федерации регулируется обширным комплексом нормативных правовых актов, технических регламентов, государственных стандартов и методических рекомендаций. Нормативное регулирование в данной области основано на требованиях к защите информации, в том числе содержащей персональные данные, государственную тайну и иную охраняемую по закону информацию, а также на необходимости противодействия компьютерным инцидентам и киберугрозам [11, 16].
Ключевым документом, определяющим государственную политику в сфере ИБ, является Стратегия обеспечения информационной безопасности Российской Федерации, утверждённая Указом Президента РФ от 5 декабря 2016 г. № 646. В соответствии с положениями данной стратегии, предприятия, эксплуатирующие информационные системы, обязаны реализовывать организационные и технические меры защиты, направленные на обеспечение устойчивости и защищённости информационной инфраструктуры от внутренних и внешних угроз.
Значительное место в правовом регулировании ИБ занимает Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", который устанавливает правовые основы хранения, обработки и защиты информации. В развитие его положений действует Федеральный закон от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", который обязывает субъекты КИИ (в том числе и коммерческие предприятия, соответствующие критериям значимости) реализовывать специальные меры защиты автоматизированных систем и сетей.
Особое значение придаётся требованиям Постановления Правительства РФ № 1119 от 1 ноября 2012 г., утверждающего правила по обеспечению безопасности персональных данных при их обработке в информационных системах, а также Постановления № 152, регламентирующего уровни защищённости таких систем. В техническом аспекте реализации защиты важную роль играют приказы ФСТЭК России, в частности, Приказ № 239 от 17 февраля 2021 г., который устанавливает требования к защите информации в государственных информационных системах и ИСПДн.
Важнейшими методическими документами являются руководства и базовые модели угроз, утверждаемые ФСТЭК и ФСБ России, включая Базовую модель угроз безопасности персональных данных, Методики определения актуальных угроз и профили защиты. Также активно используются стандарты серии ГОСТ Р ИСО/МЭК 27000, адаптированные к национальному контексту, в частности ГОСТ Р ИСО/МЭК 27001-2021, регламентирующий построение и сертификацию систем менеджмента информационной безопасности.
Таким образом, нормативно-правовая база в РФ формирует целостную и многоуровневую систему требований к обеспечению ИБ на всех этапах жизненного цикла автоматизированных систем и сетей. Соблюдение этих требований является обязательным как для государственных учреждений, так и для коммерческих организаций, что обусловлено высоким уровнем зависимости современного бизнеса от надёжности и защищённости информационных ресурсов.