Business Process Continuity Management at Critical Information Infrastructure Facilities in the Energy Sector from the Information Security Standpoint

  • Анатолий [Anatoliy] Степанович [S.] Минзов [Minzov]
  • Александр [Aleksandr] Юрьевич [Yu.] Невский [Nevskiy]
  • Майя [Maya] Алексеевна [A.] Пасова [Pasova]
DOI: https://doi.org/10.24160/1993-6982-2023-5-182-189
Keywords: business continuity management, critical information infrastructure, information security, risk model

Abstract

The article substantiates the introduction of a new mechanism into the information security (IS) management system for critical information infrastructure (CII) facilities. The proposed mechanism is based on ensuring the continuity of processes for managing power sector facilities. The existing regulatory framework supporting the CII information security does not consider the process continuity supporting mechanisms as an integrated CII recovering system in the event of information security jeopardizing incidents at energy sector facilities.

The studies were carried out using a system analysis for describing the IS management continuity mechanism, risk theory and its applications in the field of information security, logical algebra for describing the conditions and constraints under which the information security management continuity mechanism operates, and the theory of fuzzy sets and quantities for calculating indicators of risks connected with ensuring the information security system continuity at CII facilities.

The results obtained do not come in contradiction with the current regulatory documents on CII protection and can be used to improve the protective properties of energy facilities in the event of information security incidents that can cause their shutdown. These solutions are economically justified.

The existing regulatory documents for CII protection are based on ensuring the confidentiality, integrity and availability of information in information systems. However, they are poorly suited to cope with the possibility of new cyber threats to occur that may cause production process shutdowns, accidents, and disasters. Under these conditions, a need arises to recover the operation of the CII and their information security systems. This can only be done by setting up a system for managing the continuity of information security and recovering it after cyber attacks on the I&C.

Information about authors

Анатолий [Anatoliy] Степанович [S.] Минзов [Minzov]

Dr.Sci. (Techn.), Professor of Security and Information Technologies Dept., NRU MPEI, e-mail: minsovas@mpei.ru

Александр [Aleksandr] Юрьевич [Yu.] Невский [Nevskiy]

Ph.D. (Techn.), Director of Engineering-economic Institute, Head of Security and Information Technologies Dept., NRU MPEI, e-mail: NevskyAY@mpei.ru

Майя [Maya] Алексеевна [A.] Пасова [Pasova]

Master's Student of Security and Information Technologies Dept., NRU MPEI, e-mail: pasovama@mpei.ru

References

1. Федеральный закон № 187-ФЗ от 26 июля 2017 г. «О безопасности критической информационной инфраструктуры РФ».
2. Постановление Правительства РФ № 127 от 08 февраля 2018 г. «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
3. ГОСТ Р 53647.3—2015. Менеджмент непрерывности бизнеса. Ч. 3. Руководство по обеспечению соответствия требованиям ГОСТ Р ИСО 22301.
4. ISO 22301:2012. Societal Security — Business Continuity Management Systems — Requirements.
5. ISO/IEC 27031:2011. Information Technology — Security Techniques — Guidelines for Information and Communication Technology Readiness for Business Continuity.
6. NIST SP 800-34 Rev. 1. Contingency Planning Guide for Federal Information Systems.
7. ГОСТ Р ИСО/МЭК 27031—2012. Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса.
8. ГОСТ Р ИСО 22301—2014. Системы менеджмента непрерывности бизнеса. Общие требования.
9. BCI Horizon Scan Rep. 2021 [Электрон. ресурс] https://www.bsigroup.com/globalassets/localfiles/en-th/iso-22301/bci-horizon-scan-report/bci-horizon-scan-report-2021-th.pdf (дата обращения 31.01.2023).
10. Приказ ФСТЭК России № 239 от 25 декабря 2017 г. «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
11. Минзов А.С. О новой номенклатуре научных специальностей и не только // Вопросы кибербезопасности. 2022. №. 2(48). С. 2—4.
12. ГОСТ Р ИСО/МЭК 27001—2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности.
13. ГОСТ Р ИСО/МЭК 27005—20012. Информационная технология. Методы и средства обеспечения информационной безопасности. Менеджмент риска информационной безопасности.
14. ГОСТ Р ИСО/МЭК 27002—2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности.
15. Воропай Н.И. и др. Проблемы развития цифровой энергетики в России // Проблемы управления. 2019. № 1. С. 2—14.
16. Колосок И.Н., Коркина Е.С. Анализ кибербезопасности цифровой подстанции с позиций киберфизической системы // Информационные и математические технологии в науке и управлении. 2019. №. 3(15). С. 121—131.
17. Гаськова Д.А., Массель А.Г. Технология анализа киберугроз и оценка рисков нарушения кибербезопасности критической инфраструктуры // Вопросы кибербезопасности. 2019. № 2(30). С. 42—49.
18. Методика оценки угроз безопасности информации [Электрон. ресурс] https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g?ysclid=lms2gm69hr577050030 (дата обращения 31.01.2023).
19. Банк данных угроз ФСТЭК [Электрон. ресурс] https://bdu.fstec.ru/ (дата обращения 22.09.2022).
20. Минзов А.С., Баронов О.Р., Минзов С.А., Осипов П.А. Управление событиями информационной безопасности. М.: ВНИИгеосистем, 2020.
21. Язов Ю., Соловьев С.В., Тарелкин М.А. Логико-лингвистическое моделирование угроз безопасности информации в информационных системах // Вопросы кибербезопасности. 2022. №. 4. С. 13—25.
22. Минзов А.С., Невский А.Ю., Баронов О.Р. Управление рисками информационной безопасности. М.: ВНИИгеосистем, 2019.
23. Большаков А.С, Жила А.И., Осин А.В. Управление информационной безопасностью персональных данных с использованием нечеткой логики // Наукоемкие технологии в космических исследованиях Земли. 2021. № 4. С. 37—47.
24. Дорофеев А.В., Марков А.С. Планирование обеспечения непрерывности бизнеса и восстановления // Вопросы кибербезопасности. 2015. №. (11). С. 68—73.
---
Для цитирования: Минзов А.С., Невский А.Ю., Пасова М.А. Управление непрерывностью процессов на объектах критической информационной инфраструктуры в энергетике с позиций информационной безопасности // Вестник МЭИ. 2023. № 5. С. 182—189. DOI: 10.24160/1993-6982-2023-5-182-189
#
1. Federal'nyy Zakon № 187-FZ ot 26 Iyulya 2017 g. «O bezopasnosti Kriticheskoy Informatsionnoy Infrastruktury RF». (in Russian).
2. Postanovlenie Pravitel'stva RF № 127 ot 08 Fevralya 2018 g. «Ob Utverzhdenii Pravil Kategorirovaniya Ob'ektov Kriticheskoy Informatsionnoy Infrastruktury Rossiyskoy Federatsii, a Takzhe Perechnya Pokazateley Kriteriev Znachimosti Ob'ektov Kriticheskoy Informatsionnoy Infrastruktury Rossiyskoy Federatsii i Ikh Znacheniy». (in Russian).
3. GOST R 53647.3—2015. Menedzhment Nepreryvnosti Biznesa. Ch. 3. Rukovodstvo po Obespecheniyu Sootvetstviya Trebovaniyam GOST R ISO 22301. (in Russian).
4. ISO 22301:2012. Societal Security — Business Continuity Management Systems — Requirements.
5. ISO/IEC 27031:2011. Information Technology — Security Techniques — Guidelines for Information and Communication Technology Readiness for Business Continuity.
6. NIST SP 800-34 Rev. 1. Contingency Planning Guide for Federal Information Systems.
7. GOST R ISO/MEK 27031—2012. Informatsionnaya Tekhnologiya. Metody i Sredstva Obespecheniya Bezopasnosti. Rukovodstvo po Gotovnosti Informatsionno-kommunikatsionnykh Tekhnologiy k Obespecheniyu Nepreryvnosti Biznesa. (in Russian).
8. GOST R ISO 22301—2014. Sistemy Menedzhmenta Nepreryvnosti Biznesa. Obshchie Trebovaniya. (in Russian).
9. BCI Horizon Scan Rep. 2021 [Elektron. Resurs] https://www.bsigroup.com/globalassets/localfiles/en-th/iso-22301/bci-horizon-scan-report/bci-horizon-scan-report-2021-th.pdf (Data Obrashcheniya 31.01.2023).
10. Prikaz FSTEK Rossii № 239 ot 25 Dekabrya 2017 g. «Ob Utverzhdenii Trebovaniy po Obespecheniyu Bezopasnosti Znachimykh Ob'ektov Kriticheskoy Informatsionnoy Infrastruktury Rossiyskoy Federatsii». (in Russian).
11. Minzov A.S. O Novoy Nomenklature Nauchnykh Spetsial'nostey i ne Tol'ko. Voprosy Kiberbezopasnosti. 2022;2(48):2—4. (in Russian).
12. GOST R ISO/MEK 27001—2006. Informatsionnaya Tekhnologiya. Metody i Sredstva Obespecheniya Bezopasnosti. Sistemy Menedzhmenta Informatsionnoy Bezopasnosti. (in Russian).
13. GOST R ISO/MEK 27005—20012. Informatsionnaya Tekhnologiya. Metody i Sredstva Obespecheniya Informatsionnoy Bezopasnosti. Menedzhment Riska Informatsionnoy Bezopasnosti. (in Russian).
14. GOST R ISO/MEK 27002—2012. Informatsionnaya Tekhnologiya. Metody i Sredstva Obespecheniya Bezopasnosti. Svod Norm i Pravil Menedzhmenta Informatsionnoy Bezopasnosti. (in Russian).
15. Voropay N.I. i dr. Problemy Razvitiya Tsifrovoy Energetiki v Rossii. Problemy Upravleniya. 2019;1:2—14. (in Russian).
16. Kolosok I.N., Korkina E.S. Analiz Kiberbezopasnosti Tsifrovoy Podstantsii s Pozitsiy Kiberfizicheskoy Sistemy. Informatsionnye i Matematicheskie Tekhnologii v Nauke i Upravlenii. 2019;3(15):121—131. (in Russian).
17. Gas'kova D.A., Massel' A.G. Tekhnologiya Analiza Kiberugroz i Otsenka Riskov Narusheniya Kiberbezopasnosti Kriticheskoy Infrastruktury. Voprosy kiberbezopasnosti. 2019;2(30):42—49. (in Russian).
18. Metodika Otsenki Ugroz Bezopasnosti Informatsii [Elektron. Resurs] https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya (in Russian).-2021-g?ysclid=lms2gm69hr577050030 (Data Obrashcheniya 31.01.2023).
19. Bank Dannykh Ugroz FSTEK [Elektron. Resurs] https://bdu.fstec.ru/ (Data Obrashcheniya 22.09.2022). (in Russian).
20. Minzov A.S., Baronov O.R., Minzov S.A., Osipov P.A. Upravlenie Sobytiyami Informatsionnoy Bezopasnosti. M.: VNIIgeosistem, 2020. (in Russian).
21. Yazov Yu., Solov'ev S.V., Tarelkin M.A. Logiko-lingvisticheskoe Modelirovanie Ugroz Bezopasnosti Informatsii v Informatsionnykh Sistemakh. Voprosy Kiberbezopasnosti. 2022;4:13—25. (in Russian).
22. Minzov A.S., Nevskiy A.Yu., Baronov O.R. Upravlenie Riskami Informatsionnoy Bezopasnosti. M.: VNIIgeosistem, 2019. (in Russian).
23. Bol'shakov A.S, Zhila A.I., Osin A.V. Upravlenie Informatsionnoy Bezopasnost'yu Personal'nykh Dannykh s Ispol'zovaniem Nechetkoy Logiki. Naukoemkie Tekhnologii v Kosmicheskikh Issledovaniyakh Zemli. 2021;4:37—47. (in Russian).
24. Dorofeev A.V., Markov A.S. Planirovanie Obespecheniya Nepreryvnosti Biznesa i Vosstanovleniya. Voprosy Kiberbezopasnosti. 2015;(11):68—73. (in Russian)
---
For citation: Minzov A.S., Nevskiy A.Yu., Pasova M.A. Business Process Continuity Management at Critical Information Infrastructure Facilities in the Energy Sector from the Information Security Standpoint. Bulletin of MPEI. 2023;5:182—189. (in Russian). DOI: 10.24160/1993-6982-2023-5-182-189
Published
2023-06-06
Issue
No 5 (2023): Вulletin № 5
Section
Information security methods and systems, information security (technical sciences) (2.3.6.)