Спецификация ИБ в структуре ДОУ организации

Аннотация

В статье рассматривается формирование ПИБО (политики информационной безопасности организации) по обработке и структурированию ДОУ (документационного обеспечения управления), на базе семейства ГОСТ Р ИСО/МЭК 27000 по формату инцидентов, рисков. Формирование политик выполняется на основании частной спецификации ОИБ (обеспечения информационной безопасности) организации. Процесс рассматривается со стороны СУИБ организации. В статье рассматривается задача разработки и проектирования спецификации ПИБО в отношении ДОУ (потокового документооборота организации), в отношении ИС (информационных систем) организации, включая структурных подразделений организации. Рассматривается решение поставленной задачи со стороны унифицированных и специализированных характеристик управления структурой организации при внедрении в промышленную эксплуатацию.

Представленное решение применяется к структурам ИС организаций, которые работают в сфере IT, в соответствии с действующим законодательством РФ. Формирование ДОУ базируется на СУИБ, где разрабатываются спецификации ПИБО в частном и общем формате в соответствии с KPI. Спецификация ПИБО представляет из себя требования исполнения для обеспечения целостности, доступности и конфиденциальности информации, которая обрабатывается посредством ДОУ, включая все типы форм-факторов БП (бизнес процессов) организации, за исключением ГТ. Представленная спецификация ПИБО разработанного решения может быть внедрена в промышленную эксплуатацию, относительно ДОУ организации, которая оптимизирует БП организации. Исследование проведено на базе действующего законодательства РФ в формате СУИБ. Конечное решение поставленной задачи статьи представляет из себя формат оптимизации действующих мощностей организации.

Введение

Информационная среда – это обобщенная совокупность информационных, технологических и программно-аппаратных средств обработки и хранения информации, включающая управление данными [1]. ОИБ организации в СУИБ выполняется посредством ДОУ организации, которая задается ПИБО на базе ИС и сред. В данном формате рассматривается обработка, хранение и передача данных по информационно-коммуникационным каналам связи, которые определяются форматами социально-экономических, организационно-правовых и управленческих методов реализации основных и второстепенных БП организации. Данное представление является основополагающей проблемой практического применения ОИБ в организации исходя из формата нехватки узконаправленных специалистов по рынку РФ. Актуальность проблемы подтверждается организационными и техническими регламентами по обеспечению ДОУ, и информатизации в организации [2].

Для корректного соблюдения условий функционирования СУИБ организации на базе ДОУ, в формате рентабельной работы, рассматривается задача по реализации спецификации ПИБО для ОИБ организации. ИС и среда информатизации по обеспечению потокового документационного оборота представляется как физическими носителями документации, так и цифровыми носителями, которые обрабатываются посредством СКНС, архивными делами и средствами съёмных носителей информации, в том числе ЕРП, СЭД, СРМ и иных систем, которые применяются в организации.

На момент написания статьи у подавляющего большинства организаций отсутствуют системы для ДОУ, включая систем по конфиденциальной информации, посредством программно-аппаратного обеспечения, которые отвечают за функциональные возможности корреляции бизнес-процессов. В том числе подавляющее большинство организаций коммерческой направленности на рынке РФ предоставляют в качестве конечных продуктов и услуг типовые решения, которые не удовлетворяют специализированным целевым нуждам подавляющей части организаций, которые их применяют. Данные типовые решения выполняют только конкретный и узкий перечень функциональных возможностей, либо предоставляют пакетные решения, дающие огромные возможности — которые обычно не применяются в организациях и такие решения берут только в случае перекрытия каких-то основных целевых нужд организации из-за ограниченности в выборе [3].

В условиях тенденции всеобщей информатизации и импортозамещения, для организаций коммерческой направленности и государственных предприятий по приказам ФСТЭК России №17, 21, включая категорированные объекты и субьекты КИИ РФ, согласно ПП РФ №127, — является актуальной поставленная задача данной статьи. Данная задача актуальная в том числе согласно требований по работе с использованием облачных решений на базе «Информационной инфраструктуры» и «Цифровой экономики РФ» [4]. Стоит отметить, что в коммерческом секторе имеются специализированные подразделения, которые используют в своей работе средства автоматизации технологических процессов, как пример АСУ ТП, согласно приказу ФСТЭК России №31, применяемые посредством взаимодействия с АРМ (автоматизированными рабочими местами) и СВТ (средств вычислительной техники), на базе сертифитированного СПО (специального программного обеспечения) от ФСТЭК России, которая соответствует требованиям БДУ ФСТЭК России. Указанный формат влечет изменение классификации, приведенной в действующем законодательстве к адаптации типовых решений под нужды организаций в формате унификации конкретных требований, которые выделены в общем формате исходных нужд.

Совокупность технических требований к программно-аппаратной составляющей для ИС и среды в отношении ДОУ

Технические требования организации к программному обеспечению следует формировать согласно техническому заданию на прототипирование и разработку системы по ДОУ в формате ПИБО, в том числе при рассмотрении рынка по готовым решениям. Данные технические и технологические требования составляются в формате унификации технологической, и программно-аппаратной части управления организации. Информационная система организации является отказоустойчивой, в состав которой входят компоненты СВТ, объединённые в общие ЛВС (локальные вычислительные сети) с унифицированными АРМ при условии построения архитектурного решения с реверсивными восстановительными каналами. Данные аспекты строятся исходя из технического задания для перекрытия и выполнения конкретных действий к ПАК (программно-аппаратному комплексу) или ПАС (программно-аппаратной системы). Данные требования также строятся для обеспечения и оптимизации СУИБ. Далее рассматривается унифицированная специфика технических требований относительно параметров ПО для ДОУ потокового документооборота организации.

Автоматизированные рабочие места (АРМ) используются независимо от их физического местоположения, с конкретными параметрами по обеспечению доверительного круга лиц, согласно внутренним моделям нарушителя, моделям угроз и атак организации, на базе которых строится модель поведения доверительной группы лиц и ПИБО.

В соответствии с положениями законодательной части РФ и приказов в области ОИБ от ФСТЭК России, и ФСБ России [5-10] следует формировать структуру СУИБ, которая строится на управлении потоковым документооборотом. Управление потоковым документооборотом выполняется в рамках аттестованного и сертифитированного СПО в соответствии с условиями обработки в них информации, составляющими конфиденциальную, ограниченного доступа и общедоступную информацию. Исключением в данном вопросе является ГТ, в формате определения ДСП (для служебного пользования) и ограничивающих положений действующего законодательства РФ. Данный формат обеспечивает целостность, доступность и конфиденциальность информации внутри и вне организации при применении разрешительных и запретительных политик организации на базе сформированных моделей в области СУИБ.

ОИБ относительно применения СВТ в ЛВС организации

С целью определения корректного формата применения СВТ в ЛВС организации рассматривается произвольный формат обработки данных, циркулирующих в организации. В бизнес-процессы организации внедряются специализированные программно-аппаратные СЗИ, имеющие сертификаты соответствия качества и применимости согласно ФСТЭК России и ФСБ России [10].

Определим параметры ПО для организационной структуры в условиях нехватки программно-аппаратного и технологического обеспечения, в следующих форматах:

1. Формат ограничительных функциональных мощностей технических средств и возможностей организации, представляемый устаревшим техническим оборудованием и параметрами;
2. Формат вынужденного ограничения функциональных возможностей ПО из-за технического ограничения оборудования, который заставляет минимизировать и ограничивать функциональные возможности организации. Рассматривается со стороны оптимизации, масштабируемости, вариативности и ликвидности конечного продукта;
3. Формат некорректной осведомленности или дезинформирования сотрудников по комплектационным частям, представляется в виде не актуального и отстающего списка-перечня ПО, железа — зависящего от мощностей основополагающих систем функционирования, по формату несоответствия с техническими требованиями ПО;
4. Формат ограничительных функциональных возможностей персонала организации, представляется в виде различных поставок пакетных комплектаций ПО, которые являются разноверсионными и не совмещаются кроссово;
5. Формат соблюдения действующего законодательства РФ, согласно формирования бюджетных средств регуляторами в области финансовых затрат организации, включая контроля сертификации, аттестации;
6. Формат ограниченного субсидирования и софинансирования организации, связанного с понижением ликвидной скорости обработки бизнес-процессов организации, а также функционирования документационного обеспечения управления;
7. Формат предопределения и распределения организационных, и управленческих требований к организации, относительно законодательства РФ, включая регуляторов, которые опосредованно замедляют модернизацию и оптимизацию ПО в виде ограничений;
8. Формат сертифицированного оборота организации и финансовой составляющей итогового продукта, где СЗИ и соответствующие им информационные политики преобладают политиками запретительного характера [2];
9. Формат определения организационно-распорядительных мер должностных обязанностей персонала, включая инструкции, которые представляются формализованными действиями, связанными с процессами выдачи и подачи заявлений, смет, сопроводительной документации для обращения внутри структурных подразделений организации. Таким образом, минимальное изменение в действующей структуре организации, включая программно-аппаратную базу может привести к появлению психологического дискомфорта кадрового состава, что влечет к замедлению процесса оформления носителей информации для целевых нужд организации;
10. Формат организационного управления конфиденциальным потоковым документооборотом, включая информации публичного доступа, в виде смет, форм и иного рода документации на бумажных, цифровых носителях информации;
11. Формат функционирования, в структуре ИС и среды организации, подсистем с обособленной автоматизацией ДОУ потокового документооборота. Таким образом, создается потребность интеграции в промышленную эксплуатацию персонализированных форматов ПО в организации;
12. Формат обработки потоковой документации, посредством определенных политик обращения физических и цифровых носителей информации внутри организации, который выполняется в соответствии с определенной иерархической структурой управления, посредством заверения данных, их обработки и верификационных изменений;
13. Формат актуализации рабочих зон персонала организации для АРМ, в том числе аутсорсинговых организаций по делегированию функциональных возможностей и мощностей действующего персонала, либо аутстафа.

Отметим, что данные форматы отображают организационно-управленческие меры, в части касающейся ОИБ организации. Для повышения эффективности, работоспособности и ликвидности СУИБ требуется принять меры по использованию данных форматов и выделить соответствующие мощности организации для решения поставленных вопросов, что поможет в последствии сократить расходы, риски и оптимизировать рабочие процессы в организации.

Внедрение в промышленную эксплуатацию ДОУ потокового документооборота по специализированным направлениям организации

В подавляющих сферах коммерческой деятельности на территории РФ производится введение в промышленную эксплуатацию частичной или полной автоматизации ДОУ потокового документооборота посредством готовых решений и индивидуальных разработок, которые в большей степени не соответствуют положениям, указанным в [2-5], в плане СУИБ.

Для решения поставленной задачи в статье предлагается сводная спецификация ОИБ ДОУ организации, как конкретный перечень состоящий из следующих документов:

1. Документы финансирования, софинансирования и субсидий, смет и финансов в целом внутри организации, относительно финансово-кредитных организаций;
2. Документы платежных систем, регламентов для обработки связей между контрагентами;
3. Документы носящие информационно-правовые аспекты, приказы, постановления по формированию управления;
4. Документы справочно-информационного характера, методического формата, в зависимости от структурной направленности организации;
5. Документы носящие специализированные сведения, необходимые для осуществления строительной, инвестиционной и иной хозяйственной деятельности, проведения землеустройства и проведения закупок;
6. Документы носящие специфичные сведения о заседаниях, коллегиях организации (предприятия), общественного совета;
7. Документы, носящие информационный характер о публичных и не публичных декларациях организации;
8. Документы, описывающие анонсы для организации посредством СМИ;.
9. Документы, предоставляющие сведения о ИС, стандартах услуг и контакта со СМИ;
10. Документы, носящие инструктивно-методический характер для обеспечения обучающего процесса и повышения квалификации персонала организации;
11. Документы, в которых содержится информация об актах содержания и политик;
12. Документы, носящие информацию по учету имущества, запланированного имущества на построение и разработку, включая пассивов и активов;
13. Документы, представляющие управление в отношении информационного портала официального сайта организации;
14. Документы, освещающие реестры по различным вопросам организации;
15. Документы, определяющие изменение зависимостей по разным бизнес-процессам организации;
16. Документы, предоставляющие информационные материалы, относительно публичных данных организации;
17. Документы, содержащие определенную отчетную деятельность организации по специфичным аспектам деятельности, включая формирования, сметы, аналитику, аудит и реорганизацию.

Следовательно, приведенный перечень документов необходим и достаточен для покрытия технических требований организации, в части касающейся ОИБ ДОУ, включая информацию конфиденциального характера, так как определяет формат потоковой документации организации и ее управления.

Вывод

При решении поставленной задачи с позиции ДОУ в СУИБ были определены форматы по обеспечению документационного потока внутри организации коммерческой направленности [11-16], что достигается использованием персонализированных решений вместе с существующими и форматами документов в области ИБ. Приведенные в статье форматы отражают функционирование организации с позиции ее ликвидности, что положительно сказывается на ее конечном продукте в целом, в том числе увеличивает рентабельность организации. Решение поставленной задачи является одним из вариантов формирования технических требований к программному и техническому обеспечению организации, которые в полной мере соответствуют действующему законодательству РФ.

Из приведенного формата перечня документов следует, что потенциальная автоматизация потокового документооборота в ДОУ, в базисе СУИБ выполняется в ограниченных условиях ресурсов и программно-аппаратных средств организации.

P.S. если ставите минус, прокомментируйте, пожалуйста, дабы в будущем мне не допускать подобных ошибок.

Литература

[1] ГОСТ Р 43.0.2-2006 «Информационное обеспечение техники и операторской деятельности. Термины и определения»;
[2] Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 №187-ФЗ;
[3] СЭД – системы потокового распознавания;
[4] Правительство Российской Федерации Распоряжение от 28 июля 2017 г. № 1632-р;
[5] Федеральный закон "Об общих принципах организации законодательных (представительных) и исполнительных органов государственной власти субъектов Российской Федерации" от 06.10.1999 №184-ФЗ;
[6] Федеральный закон "О лицензировании отдельных видов деятельности" от 4 мая 2011 г. №99-ФЗ;
[7] Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 №149-ФЗ;
[8] Федеральный закон "Об электронной подписи" от 06.04.2011 №63-ФЗ;
[9] Серия ГОСТ Р ИСО/МЭК 27000 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности»;
[10] «Положение о системе сертификации средств защиты информации» от 03.04.2018 №55;
[11] Доктрина информационной безопасности;
[12] Журнал «Вопросы Кибербезопасности»: построение модели системы защиты в об-лачных технологиях на основе многоагентного подхода с использованием автоматной модели: Боровский А. С., Ряполова Е. И.;
[13] Лебедев А.Н. Способ рассылки защищенных данных с регулированием доступа к отдельным их разделам // Вопросы кибербезопасности. 2015. № 5. C. 70-72;
[14] Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. М.: ДиаСофт, 2002. 693 с.;
[15] Сабанов А.А. Некоторые аспекты защиты электронного документооборота // Connect! Мир связи. 2010. № 7. С. 62–64. 5. Черкасов Д.Ю., Иванов В.В. Защита документов при помощи электронной цифровой подписи // Economics. 2016. № 6 (15). С. 51-53;
[16] Рибер Г., Малмквист К., Щербаков А. Многоуровневый подход к оценке безопас-ности программных средств // Вопросы кибербезопасности. 2014. № 1 (2). С. 36-39.