Системный подход к управлению документационным обеспечением в области информационной безопасности промышленных предприятий

Обложка

Цитировать

Полный текст

Аннотация

В данной научной статье рассмотрены основные вопросы, касающиеся разработки подходов к управлению документационным обеспечением в области информационной безопасности промышленных предприятий. Применен системный подход к управлению документационным обеспечением в предметной области информационной безопасности (ИБ) промышленных предприятий. Подчеркивается важность формирования документального пакета на основании комплексного анализа нормативно-правового регулирования и внутренних процессов организаций в контексте действующего законодательства Российской Федерации. В ходе проведения научных исследований были выделены три ключевые подсистемы: подготовка документационного обеспечения ИБ, классификация и типизация документов, а также направления и методология их анализа. Эти подсистемы позволяют разработать исчерпывающее руководство по процессам документирования, которое учитывает как обязательные требования, так и дополнительные элементы, способствующие комплексной всесторонней защите информации. В результате предлагается интегрированная модель диагностики состояния документационного обеспечения, отвечающая требованиям как российского, так и международного законодательства. Основной целью работы является разработка системного описания процессов управления документационным обеспечением в области информационной безопасности на основе комплекса моделей: мультииерархической классификации электронных документов в области информационной безопасности (ИБ) предприятий; теоретико-множественной модели информационного анализа процесса разработки электронной информационно-аналитической системы (ЭИАС) управления электронными документами в области ИБ. Создание целостной системы позволит обеспечить защиту информации в условиях как нормальной работы, так и экстремальных ситуаций, таких как кибератаки или утечки данных.

Полный текст

Введение

С учетом стремительного роста объемов информации в современном пространстве управление нормативными документами приобретает особую значимость для организаций независимо от их сфер деятельности. Нормативные документы служат основополагающим инструментом, регулирующим процессы, поддерживающим соблюдение правовых норм и способствующим достижению стратегических целей. Однако отсутствие четкой иерархии и систематизации таких документов может привести к правовым рискам, путанице в интерпретациях и неэффективности в управлении.

Цель настоящей работы заключается в разработке системного описания процессов управления документационным обеспечением в области информационной безопасности на основе комплекса моделей: мультииерархической классификации электронных документов в области информационной безопасности (ИБ) предприятий; теоретико-множественной модели информационного анализа процесса разработки электронной информационно-аналитической системы (ЭИАС) управления электронными документами в области ИБ, которая упростит доступ к информационным ресурсам, повысит эффективность их использования и позволит оценить потенциальные юридические и организационные риски, связанные с отсутствием системного подхода к организации документов.

Задачи работы включают:

  1. Исследование существующих подходов к классификации нормативных документов в области ИБ.
  2. Разработку модели мультииерархической классификации документационного обеспечения ИБ предприятий, которая упростит доступ к информационным ресурсам и повысит эффективность их использования.
  3. Оценку потенциальных юридических и организационных рисков, связанных с отсутствием системного подхода к организации документов.

Актуальность данного исследования обусловлена растущими требованиями к соблюдению законодательства в области информационной безопасности, а также необходимостью внедрения эффективных систем управления электронными документами для защиты интересов организации, соблюдения правовых норм и увеличения прозрачности в процессах принятия решений. В условиях постоянно меняющегося законодательства и бизнес-процессов эффективная система управления нормативными документами становится не просто желательной, а жизненно необходимой для успешной деятельности организации.

Основная часть

Документационное обеспечение в области информационной безопасности (ИБ) представляет собой важный аспект эффективного управления информационными системами в условиях современного законодательства Российской Федерации. Основой для формирования документального пакета служит комплексный анализ как нормативно-правового регулирования, так и внутренних процессов организации [1].

В процессе системного анализа документационного обеспечения [2] в области ИБ выделяются три основные составляющие подсистемы:

I подсистема. Подготовка документационного обеспечения ИБ.

Эта подсистема включает в себя изучение действующего законодательства РФ в области ИБ, которое регулируется рядом ключевых актов. Каждый из документов содержит требования к обеспечению безопасности информации, которые должны быть учтены при формировании документации.

II подсистема. Классификация и типы документов.

В этой подсистеме осуществляется классификация документации по направлениям ИБ.

III подсистема. Направления и методология анализа.

Третья подсистема охватывает методические подходы к анализу документации.

Для получения запроса пользователя формируется комплект документов, который включает в себя как обязательные документы, так и дополнительные, которые могут помочь в достижении целей обеспечения ИБ. Анализ взаимосвязи и взаимодействия всех элементов системы позволяет оценить состояние системы документооборота в области ИБ как в нормальных, так и в экстремальных условиях, таких как кибератаки или утечки данных.

Таким образом, системный анализ документационного обеспечения в области информационной безопасности с учетом существующих подсистем, типов документов и методологии позволяет создать целостную систему документационного обеспечения, соответствующую как международным, так и российским стандартам [3]. Структурная схема управления документационным обеспечением в предметной области ИБ приведена на рисунке 1.

 

Рис. 1. Структурная схема организации процессов документационного обеспечения в области ИБ

Fig. 1. Structural diagram of the organization of documentation support processes in the field of information security

 

Проведение исследований нормативных документов в области информационной безопасности с позиций системного подхода и структурного анализа позволило выделить набор аспектных уровней, которые послужили основой для создания системы иерархической классификации документационного обеспечения в области информационной безопасности. В ходе исследования были выделены четыре группы аспектов. Иерархическое системное описание электронных документов в области информационной безопасности включает ряд иерархических уровней, связанных с аспектами типизации документов, местом действия документов, направлениями документов, силой действия.

Иерархия классификации документов [4, 5]

Аспекты по типам документов (АТД):

  • Международные нормативные правовые акты (МНПА).
  • Федеральные законы (ФЗ).
  • Указы Президента (УП).
  • Постановления Правительства (ПП).
  • Акты министерств и ведомств (АМВ).
  • Стандарты (СТ).
  • Законы субъектов РФ (ЗСРФ).
  • НПА Банка России (НПА БР).
  • Стандарты Банка (СБ).
  • Документы, носящие рекомендательный характер (ДРХ).
  • Судебная практика (СП).

Аспекты по направлениям документов (АНД):

1. «Информация» (И):

1.1. Информация ограниченного доступа (ИОД).

1.2. Общедоступная информация (ОИ).

1.3. Информация, доступ к которой не может быть ограничен (ИДМО).

2. «Защита информации» (ЗИ).

2.1. Физическая защита (ФиЗ).

2.2. Аппаратная защита (АЗ).

2.3. Программная защита (ПЗ).

2.4. Организационная защита (ОЗ).

2.5. Психологическая защита (ПсЗ).

2.6. Правовая защита (ПрЗ).

3. «Аудит» (АУ):

3.1. Аттестация аппаратно-программных комплексов (ААПК).

3.2. Внутренний аудит (ВнА).

3.3. Внешний аудит (ВнеА).

4. «Контроль» (К):

4.1. Контроль доступа (КД).

4.2. Контроль сети (КС).

4.3. Контроль политик и процедур (КПП).

4.4. Контроль событий (КС).

4.5. Контроль защиты информации (КЗИ).

5. «Управление» (Упр):

5.1. Управление рисками (Ури).

5.2. Управление программами безопасности (УПБ).

5.3. Управление ресурсами (Уре).

5.4. Управление персоналом (УП).

5.5. Управление инцидентами (УИ).

6. «Угрозы» (Угр):

6.1. Модель угроз (МУ).

6.2. Модель нарушителя (МН).

6.3. Вредоносное программное обеспечение (ВПО).

6.4. Сетевые атаки (СА).

Аспекты по месту действия документов (АМДД):

  • Локальные (субъектные) (Лок).
  • Федеральные (Фед).

Аспекты по силе документов (АСД):

  • Утратившие силу (УС).
  • Действующие (Де).

Мультииерархическая графовая модель классификации документационного обеспечения для предметной области информационной безопасности представлена на рисунке 2. Составляющие блоки «Аспекты по типам документов» (АТД), «Аспекты по месту действия документов» (АМДД) и «Аспекты по силе документов» (АСД) детализированы.

 

Рис. 2. Мультииерархическая графовая модель классификации документов в области ИБ

Fig. 2. Multi-hierarchical graph model of document classification in the field of information security

 

Блок «Аспекты по направлениям документов» (АНД) ввиду того, что содержит много уровней, не детализируется на данном рисунке и выделен в отдельную диаграмму декомпозиции, которая представлена на рисунке 3. Многообразие уровней в данной модели мультииерархического описания системы классификации документационного обеспечения в области ИБ обусловлено наличием нескольких различных направлений и уровней. На рисунке 3 блок «Аспекты по направлениям документов» (АНД) представлен в виде шести иерархических уровней.

 

 

Рис. 3. Декомпозиция структурного блока «Аспекты по направлениям документов (АНД)»

Fig. 3. Decomposition of the structural block Aspects by document directions (AND)

 

В качестве системных моделей была выбрана многоступенчатая схема теоретико-множественных моделей, описываемых в виде кортежей (рис. 4).

 

Рис. 4. Структура теоретико-множественной модели формирования задания на разработку ЭИАС управления электронными документами в области ИБ

Fig. 4. Structure of the set-theoretical model for the formation of a task for the development of an electronic information and information system for managing electronic documents in the field of information security

 

ФЗРСУ – формирование задания на разработку системы управления нормативными документами в области ИБ;

АИСНД – автоматизированная информационная система управления нормативными документами в области ИБ;

ТЗ – техническое задание на разработку АИСНД;

Н – наименование АИСНД;

Стр – структура АИСНД;

Арх – архитектура АИСНД;

ПК – показатели качества АИСНД по нормативной документации;

ИИУНД – интеллектуальная система управления нормативными документами в области ИБ;

С – состав моделей АИСНД;

СТЗ – соответствие техническому заданию;

ОХАИС – основные характеристики автоматизированной информационной системы;

Нн – наименование начальной версии автоматизированной информационной системы;

Нт – наименование текущей версии автоматизированной информационной системы;

Нкон – наименование конечной версии автоматизированной информационной системы;

НТД – нормативно-техническая документация;

ТУ – технические условия;

РД – регламентирующая документация;

БДДИБ – база данных документов по ИБ;

СПУР – система поддержки принятия управленческих решений;

ПСООД – подсистема сбора и обработки оперативных данных по ИБ;

КТСВМ – коммуникационные технологии связи с внешней средой.

Модель многоступенчатой теоретико-множественной схемы информационного анализа процессов формирования задания на разработку автоматизированной информационной системы управления нормативными документами в области информационной безопасности представляет собой комплексный подход к созданию эффективного инструмента для обработки и управления нормативными правовыми актами [6, 7]. Она направлена на систематизацию процессов, связанных с документами, и минимизацию рисков, возникающих в ходе их обработки [7–9].

В рамках данной модели акцентируется внимание на необходимости четкого определения целей и задач системы, что позволяет обеспечить ее соответствие требованиям пользователей и стандартам в области информационной безопасности. Процесс разработки включает в себя составление технического задания, которое детализирует функциональные и нефункциональные требования к системе.

Структура и архитектура системы формируются с учетом взаимодействия всех ее компонентов, что способствует созданию гибкой и масштабируемой платформы. Важным аспектом является определение показателей качества, по которым будет оцениваться эффективность работы системы, что позволяет проводить регулярный мониторинг и улучшение ее функций [10–14].

Модель также учитывает использование современных технологий для автоматизации процессов обработки документов, что значительно повышает скорость и точность работы [15]. Важным элементом является создание базы данных, которая обеспечивает централизованное хранение информации и быстрый доступ к ней.

Кроме того, система поддерживает принятие управленческих решений, предоставляя аналитические данные и отчеты для руководителей. Интеграция с внешними источниками информации и другими системами позволяет расширить возможности использования модели и улучшить взаимодействие с внешней средой [16].

Заключение

Таким образом, разработка комплексной системы управления документационной поддержкой в области информационной безопасности является обязательной для организаций, стремящихся преодолеть сложности нормативного соответствия и операционной эффективности. За счет создания многоиерархической классификации электронных документов и использования теоретико-множественных моделей для анализа информации возможно повышение доступности критически важных информационных ресурсов при одновременном снижении потенциальных правовых и организационных рисков. Поскольку объем нормативной базы в области ИБ продолжает развиваться и пополняться, предлагаемые структуры не только оптимизируют процессы управления документами, но и позволят организации реагировать на законодательные изменения.

×

Об авторах

Иван Романович Чеканов

Российский государственный социальный университет

Email: cartmen98@yandex.ru
ORCID iD: 0000-0002-3656-265X
SPIN-код: 6993-8756

аспирант факультета политических и социальных технологий, кафедра информационных технологий, искусственного интеллекта и общественно-социальных технологий цифрового общества

Россия, 129226, Москва, ул. Вильгельма Пика, 4, cтр. 1

Андрей Сергеевич Кузнецов

Российский государственный социальный университет

Автор, ответственный за переписку.
Email: askgoogle@internet.ru
ORCID iD: 0000-0003-1569-4765
SPIN-код: 8442-7210

канд. тех. наук, доцент кафедры информационных технологий, искусственного интеллекта и общественно-социальных технологий цифрового общества, заместитель руководителя по научной деятельности факультета политических и социальных технологий

Россия, 129226, Москва, ул. Вильгельма Пика, 4, cтр. 1

Список литературы

  1. Bobrovskiy S., Skorokhodov S., Chekanov I. Design of information support systems for enterprises based on the principles of system analysis // In the collection: Hybrid Methods of Modeling and Optimization in Complex Systems (HMMOCS-II-2023). Proceedings of the II International Workshop. Krasnoyarsk, 2024. С. 2015.
  2. Михайличенко О. В., Коловангин С. В., Никифорова А. Г. Создание иерархической системы документов в области информационной безопасности Стандартизация ИБ-процессов объектов КИИ // Защита информации. Инсайд. 2021. № 3(99). С. 30–36. EDN: VFMWTT
  3. Кузнецов А. С., Краснов А. Е. Информационное обеспечение импульсного управления устойчивостью систем информационной безопасности // Вестник РГГУ. Серия: Информатика. Информационная безопасность. Математика. 2024. № 2. С. 99–108.
  4. Чеканов И. Р., Краснов А. Е. К вопросу построения архитектуры законодательных и нормативных документов в области информационной безопасности // В сборнике: Цифровизация в условиях пандемии: миссия социального университета будущего. Сборник материалов XXI международного социального конгресса. 2022. С. 344–347.
  5. Кузнецов А. С. Эволюция визуальных информационных моделей на основе графовых представлений // В сборнике: Вызовы глобализации и развитие цифрового общества в условиях новой реальности. Сборник материалов XX Международной научно-практической конференции, 2024. С. 143–147.
  6. Душкин Р. В. Теоретико-множественная модель функционального подхода к интеллектуализации процессов управления зданиями и сооружениями // Программные продукты и системы. 2019. № 2. С. 306–312. EDN: BIZKFJ
  7. Бурляева Е. В., Бурляев В. В., Цеханович В. С. Теоретико-множественное представление функциональных моделей химических производств // Тонкие химические технологии. 2017. Т. 12. № 5. С. 71–78.
  8. Бурляева Е. В., Гаврилов А. В. Применение языков предметной области для проектирования технологических схем химического производства // ИТ-Стандарт. 2017. № 1(10). С. 40–43.
  9. Хаимов В. З. Организация противодействия угрозам информационной безопасности при хранении и использовании электронных документов // Документация в информационном обществе: формирование и сохранение наследия цифровой эпохи: Доклады и сообщения XXIX Международной научно-практической конференции, Москва, 27–28 октября 2022 года. Москва: Всероссийский научно-исследовательский институт документоведения и архивного дела, 2023. С. 242–252. EDN: GQHJYN
  10. Федорова А. В. Алгоритм актуализации организационно-распорядительных документов по информационной безопасности в организации // Будущее науки – 2019: сборник научных статей 7-й Международной молодежной научной конференции, Курск, 25–26 апреля 2019 года. Том 4. Курск: Юго-Западный государственный университет, 2019. С. 272–275. EDN: LEXAEE
  11. Перминова Я. А., Урсегов А. К. Анализ основных нормативных документов по обеспечению безопасности критической информационной инфраструктуры Российской Федерации // Научный аспект. 2023. Т. 7. № 6. С. 887–893. EDN: WWDMTT
  12. Логинова А. О. Обзор нормативно-правовых источников и практик управления инцидентами информационной безопасности // Вестник СибГУТИ. 2021. № 1(53). С. 50–59. EDN: NCWWSS
  13. Марков А. К., Семеночкин Д. О., Кравец А. Г., Яновский Т. А. Сравнительный анализ применяемых технологий обработки естественного языка для улучшения качества классификации цифровых документов // International Journal of Open Information Technologies. 2024. Т. 12. № 3. С. 66–77. EDN: TUBOSI
  14. Игнатов И. А., Тюкавина И. А. «Управление документами» и «стратегическое управление информацией» – взгляд со стороны // Финансы и управление. 2021. № 2. С. 41–55. doi: 10.25136/2409-7802.2021.2.35861. EDN: YXQIFW
  15. Чеканов И. Р., Кузнецов А. С. Информационное и алгоритмическое обеспечение обработки и анализа нормативных документов в сфере информационной безопасности в автоматизированной информационной системе // Известия Кабардино-Балкарского научного центра РАН. 2024. Т. 26. № 6. С. 146–157. doi: 10.35330/1991-6639-2024-26-6-146-157
  16. Мирошниченко М. А., Козлов Н. Н., Самкова М. С. Современные аспекты управления знаниями и документами в период цифровой трансформации // Вестник Академии знаний. 2024. № 4(63). С. 607–612. EDN ZNHYRQ

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать
2. Рис. 1. Структурная схема организации процессов документационного обеспечения в области ИБ

Скачать (290KB)
Метаданные
3. Рис. 2. Мультииерархическая графовая модель классификации документов в области ИБ

Скачать (187KB)
Метаданные
4. Рис. 3. Декомпозиция структурного блока «Аспекты по направлениям документов (АНД)»

Скачать (315KB)
Метаданные
5. Рис. 4. Структура теоретико-множественной модели формирования задания на разработку ЭИАС управления электронными документами в области ИБ

Скачать (81KB)
Метаданные

© Чеканов И.Р., Кузнецов А.С., 2025

Creative Commons License
Эта статья доступна по лицензии Creative Commons Attribution 4.0 International License.

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».