УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ В ПРОЦЕССЕ ЦИФРОВОЙ ТРАНСФОРМАЦИИ: МОДЕЛИРОВАНИЕ НА ОСНОВЕ ГЕТЕРОГЕННЫХ ГРАФОВ И МЕТРИК РИСКА
Аннотация
Данное исследование посвящено критической проблеме обеспечения информационной безопасности (ИБ) организаций в условиях активной цифровой трансформации (ЦТ), которая неизбежно влечет за собой увеличение поверхностей атаки, появление новых уязвимостей и рисков дестабилизации систем защиты. Авторы предлагают процессно-ориентированный подход, основанный на моделировании бизнес-процессов (БП) и ИТ-ландшафта с использованием гетерогенных графов. Данная модель, представляет три ключевых типа сущностей: операции, информационные системы (ИС) и данные как объекты защиты, а также атрибутированные ребра, отражающие каналы передачи и их характеристики защищенности. Такой подход обеспечивает полноценную идентификацию объектов КИИ в соответствии с требованиями ФСТЭК и позволяет анализировать сложные взаимосвязи в переходных состояниях ЦТ. В рамках исследования разработан комплекс ключевых количественных метрик для управления рисками ИБ: 1. Количество Критических Путей (ККП): Отражает изменение поверхности атаки при добавлении/удалении ИС и маршрутов данных. 2. Уровень Центральности Узлов (УЦУ): Определяет наиболее критичные для связности и уязвимые ИС (точки концентрации риска). 3. Индекс Распределённости Данных (ИРД): Характеризует соотношение облачных и локальных узлов хранения/обработки данных и связанные с этим риски контроля и безопасности. 4. Время Восстановления (ВВ): Оценивает устойчивость БП к сбоям и атакам. 5. Уровень Автоматизации Защиты (УАЗ): Показывает долю автоматизированных задач ИБ для оперативного реагирования. На основе модели и метрик предложен динамический алгоритм управления ИБ процесса ЦТ. Алгоритм предусматривает: 1. Построение графовых моделей БП "как есть" и "как должно быть". 2. Непрерывное динамическое обновление модели текущего состояния в ходе ЦТ. 3. Регулярный расчет метрик для оценки рисков в переходных состояниях. 4. Актуализация перечня рисков и защитных мер на основе анализа метрик. Результаты включают практические рекомендации по: снижению поверхности атаки; приоритезации защиты узлов с высоким уровнем критичности; оптимизации распределения данных с учетом требований безопасности и отказоустойчивости. Предложенный подход обеспечивает прозрачность и управляемость ИБ на всех этапах ЦТ, повышает устойчивость ИТ-ландшафта к угрозам и соответствие требованиям регуляторов.
Список литературы
1. Stefan Rass. Cyber-Security in Critical Infrastructures. Advanced Sciences and Technologies for Securi-ty Applications. Springer, 2020.
2. Ana-Marija Stjepić. Mastering digital transformation through business process management: Investigat-ing alignments, goals, orchestration, and roles. Available at: https://jemi.edu.pl/vol-16-issue-1-2020/mastering-digital-transformation-through-business-process-management-investigating-alignments-goals-orchestration-and-roles.
3. Balanov A.N. Tsifrovaya transformatsiya biznesa: uchebnoe posobie dlya VUZov [Digital transfor-mation of business: a textbook for universities]. Sait Petersburg: Lan', 2024.
4. Pasport natsional'noy programmy «Tsifrovaya ekonomika Rossiyskoy Federatsii», utverzhden prezidi-umom Soveta pri Prezidente Rossiyskoy Federatsii po strategicheskomu razvitiyu i natsional'nym proektam (protokol ot 24 dekabrya 2018 g. № 16) [Passport of the national program "Digital Economy of the Russian Federation", approved by the Presidium of the Council under the President of the Russian Federation for Strategic Development and National Projects (minutes of December 24, 2018, No. 16)].
5. Gribanov Yu.I. Faktory i usloviya tsifrovoy transformatsii sotsial'no-ekonomicheskikh sistem [Factors and conditions of digital transformation of socio-economic systems], Vestnik Altayskoy akademii ekonomiki i prava [Bulletin of the Altai Academy of Economics and Law], 2019, No. 2-2, pp. 253-259. Available at: https://vaael.ru/ru/article/view?id=320 (accessed 24 March 2025).
6. Revyakin P.I., Zinich A.V., Pomogaev V.M. Tsifrovaya transformatsiya universitetov: ugrozy infor-matsionnoy bezopasnosti i napravleniya snizheniya riskov [Digital transformation of universities: threats to information security and directions for risk reduction], Ekonomicheskaya bezopasnost' [Economic Se-curity], 2024, Vol. 7, No. 11, pp. 2753-2770. DOI: 10.18334/ecsec.7.11.122061.
7. Metodicheskie rekomendatsii po tsifrovoy transformatsii gosudarstvennykh korporatsiy i kompaniy s gosudarstvennym uchastiem [Methodological recommendations for the digital transformation of state corporations and companies with state participation]. Available at: https://digital.gov.ru/uploaded/ files/7metodicheskierekomendatsii06092022125913_TZmtVQB.pdf (accessed 21 March 2025).
8. Dozhdikov K.V. Modelirovanie biznes-protsessov s pomoshch'yu metagrafov [Modeling business pro-cesses using metagraphs], Problemy sovremennoy ekonomiki (Novosibirsk) [Problems of Modern Economy (Novosibirsk)], 2014, No. 22-2. Available at: https://cyberleninka.ru/article/n/ modelirovanie-biznes-protsessov-s-pomoschyu-metagrafov (accessed 23 March 2025).
9. Pravila kategorirovaniya ob"ektov kriticheskoy informatsionnoy infrastruktury Rossiyskoy Federatsii, a takzhe perechnya pokazateley kriteriev znachimosti ob"ektov kriticheskoy informatsionnoy infra-struktury Rossiyskoy Federatsii i ikh znacheniy, utverzhdennykh postanovleniem Pravitel'stva ot 8 fevralya 2018 g. № 127 [Rules for categorizing objects of critical information infrastructure of the Rus-sian Federation, as well as a list of indicators of criteria for the significance of objects of critical infor-mation infrastructure of the Russian Federation and their values, approved by Government Resolution No. 127 of February 8, 2018].
10. Ob utverzhdenii trebovaniy po obespecheniyu bezopasnosti znachimykh ob"ektov kriticheskoy infor-matsionnoy infrastruktury Rossiyskoy Federatsii: Prikaz FSTEK Rossii ot 25 dekabrya 2017 g.
№ 239 (v red. Prikazov FSTEK Rossii ot 9 avgusta 2018 g. N 138, ot 26 marta 2019 g. N 60, ot
20 fevralya 2020 g. N 35) [On approval of requirements for ensuring the security of significant objects of critical information infrastructure of the Russian Federation: Order of the FSTEC of Russia dated De-cember 25, 2017 No. 239 (as amended by Orders of the FSTEC of Russia dated August 9, 2018
No. 138, dated March 26, 2019 No. 60, dated February 20, 2020 No. 35)].
11. Federal'nyy zakon «O bezopasnosti kriticheskoy informatsionnoy infrastruktury Rossiyskoy Federatsii» ot 26 iyulya 2017 g. № 187-FZ (poslednyaya redaktsiya) [Federal Law "On the Security of Critical In-formation Infrastructure of the Russian Federation" dated July 26, 2017 No. 187-FZ (latest revision)].
12. Kontseptsiya tsifrovaya transformatsiya 2030 [Concept of Digital Transformation 2030]. Available at: https://www.rossetivolga.ru/i/files/2019/2/7/kontseptsiya_tsifrovaya_transformatsiya_2030.pdf (ac-cessed 21 March 2025).
13. Metod kriticheskogo puti v upravlenii proektami [The critical path method in project managemen]. Avail-able at:https://skillbox.ru/media/management/kak-zavershit-proekt-v-srok-s-pomoshchyu-metoda- kriticheskogo-puti-rasskazyvaem-na-primere/ (accessed 24 March 2025).
14. Podrobnoe rukovodstvo po metodu kriticheskogo puti [A detailed guide to the critical path method]. Available at:https://ru.smartsheet.com/critical-path-method (accessed 24 March 2025).
15. Pal'chevskiy E.V. Prognozirovanie ugroz v slozhnykh raspredelennykh sistemakh na osnove intel-lektual'nogo analiza bol'shikh dannykh avtomatizirovannykh sredstv monitoringa [Forecasting threats in complex distributed systems based on intelligent analysis of big data of automated monitoring tools], Programmnye produkty i sistemy [Software Products and Systems], 2021, No. 2, pp. 230-236. Availa-ble at: https://swsys.ru/index.php?page=article&id=4811&ysclid=m8k65v2fsd994246327.
16. Informatsionnaya bezopasnost' i tsifrovaya transformatsiya. Bezopasnost' funktsionirovaniya infor-matsionnykh resursov. Otchet PAO «RusGidro» [Information security and digital transformation. Secu-rity of functioning of information resources. Report of PJSC RusHydro]. Available at:https://ar2023.rushydro.ru/strategic-review/information-security.html (accessed 24 March 2025).
17. Rol' bezopasnosti v tsifrovoy transformatsii biznesa [The role of security in digital business transfor-mation]. Available at: https://infars.ru/blog/rol-bezopasnosti-v-tsifrovoy-transformatsii-biznesa/ (ac-cessed 24 March 2025).
18. Tekhnologii informatsionnoy bezopasnosti, vazhnye dlya tsifrovoy transformatsii krupnogo biznesa [Information security technologies important for the digital transformation of large businesses]. Availa-ble at: https://www.nic.ru/help/tehnologii-informacionnoj-bezopasnosti-vazhnye-dlya-cifrovoj-transformacii-krupnogo-biznesa_14011.html.
19. Lobkova E.V., Ki-Yuan A.A. Tsifrovaya transformatsiya sistem obespecheniya bezopasnosti [Digital transformation of security systems], Gosudarstvennoe i munitsipal'noe upravlenie. Uchenye zapiski [State and Municipal Administration. Scientific Notes], 2023, No. 2, pp. 115-127. Available at: https://doi.org/10.22394/2079-1690-2023-1-2-115-127.
20. Tsifrovaya transformatsiya, strategiya i protsessy IT [.Available at: https://kept.ru/services/tsifrovaya-transformatsiya-strategiya-i-protsessy-it [Digital transformation, strategy and IT processes] (accessed 24 March 2025).
21. Kiberbezopasnost' i tsifrovaya transformatsiya: 3 glavnykh tendentsii zashchity dannykh [Cybersecurity and digital transformation: 3 main trends in data protection]. Available at: https://cloudnetworks.ru/analitika/kiberbezopasnost-i-tsifrovaya-transformatsiya-3-glavnyh-tendentsii-zashhity-dannyh/ (accessed 24 March 2025).
