Systematic approach to documentation management in the field of information security of industrial enterprises

Cover Page

Cite item

Full Text

Abstract

This scientific article considers main issues related to the development of approaches to management of documentation support in the field of information security of industrial enterprises. A systems approach to the management of documentation support in the subject area of ​​information security (IS) of industrial enterprises is applied. The importance of forming a documentary package is emphasized, based on a comprehensive analysis of legal regulation and internal processes of organizations in the context of the current legislation of the Russian Federation. In the course of scientific research, three key subsystems were identified: preparation of documentation support of IS, classification and typification of documents, as well as directions and methodology of their analysis. These subsystems make it possible to develop a comprehensive guide to documentation processes that takes into account both mandatory requirements and additional elements that contribute to comprehensive information protection. As a result, an integrated model for diagnosing the state of documentation support is proposed that meets the requirements of both Russian and international legislation. The main objective of the work is to develop a system description of the processes of managing documentation support in the field of information security based on a set of models: multi-hierarchical classification of electronic documents in the field of information security (IS) of enterprises; set-theoretic model of information analysis of the process of developing an electronic information and analytical system (EIAS) for managing electronic documents in the field of information security. The creation of an integrated system will ensure the protection of information under conditions of both normal operation and extreme situations, such as cyber attacks or data leaks.

Full Text

Введение

С учетом стремительного роста объемов информации в современном пространстве управление нормативными документами приобретает особую значимость для организаций независимо от их сфер деятельности. Нормативные документы служат основополагающим инструментом, регулирующим процессы, поддерживающим соблюдение правовых норм и способствующим достижению стратегических целей. Однако отсутствие четкой иерархии и систематизации таких документов может привести к правовым рискам, путанице в интерпретациях и неэффективности в управлении.

Цель настоящей работы заключается в разработке системного описания процессов управления документационным обеспечением в области информационной безопасности на основе комплекса моделей: мультииерархической классификации электронных документов в области информационной безопасности (ИБ) предприятий; теоретико-множественной модели информационного анализа процесса разработки электронной информационно-аналитической системы (ЭИАС) управления электронными документами в области ИБ, которая упростит доступ к информационным ресурсам, повысит эффективность их использования и позволит оценить потенциальные юридические и организационные риски, связанные с отсутствием системного подхода к организации документов.

Задачи работы включают:

  1. Исследование существующих подходов к классификации нормативных документов в области ИБ.
  2. Разработку модели мультииерархической классификации документационного обеспечения ИБ предприятий, которая упростит доступ к информационным ресурсам и повысит эффективность их использования.
  3. Оценку потенциальных юридических и организационных рисков, связанных с отсутствием системного подхода к организации документов.

Актуальность данного исследования обусловлена растущими требованиями к соблюдению законодательства в области информационной безопасности, а также необходимостью внедрения эффективных систем управления электронными документами для защиты интересов организации, соблюдения правовых норм и увеличения прозрачности в процессах принятия решений. В условиях постоянно меняющегося законодательства и бизнес-процессов эффективная система управления нормативными документами становится не просто желательной, а жизненно необходимой для успешной деятельности организации.

Основная часть

Документационное обеспечение в области информационной безопасности (ИБ) представляет собой важный аспект эффективного управления информационными системами в условиях современного законодательства Российской Федерации. Основой для формирования документального пакета служит комплексный анализ как нормативно-правового регулирования, так и внутренних процессов организации [1].

В процессе системного анализа документационного обеспечения [2] в области ИБ выделяются три основные составляющие подсистемы:

I подсистема. Подготовка документационного обеспечения ИБ.

Эта подсистема включает в себя изучение действующего законодательства РФ в области ИБ, которое регулируется рядом ключевых актов. Каждый из документов содержит требования к обеспечению безопасности информации, которые должны быть учтены при формировании документации.

II подсистема. Классификация и типы документов.

В этой подсистеме осуществляется классификация документации по направлениям ИБ.

III подсистема. Направления и методология анализа.

Третья подсистема охватывает методические подходы к анализу документации.

Для получения запроса пользователя формируется комплект документов, который включает в себя как обязательные документы, так и дополнительные, которые могут помочь в достижении целей обеспечения ИБ. Анализ взаимосвязи и взаимодействия всех элементов системы позволяет оценить состояние системы документооборота в области ИБ как в нормальных, так и в экстремальных условиях, таких как кибератаки или утечки данных.

Таким образом, системный анализ документационного обеспечения в области информационной безопасности с учетом существующих подсистем, типов документов и методологии позволяет создать целостную систему документационного обеспечения, соответствующую как международным, так и российским стандартам [3]. Структурная схема управления документационным обеспечением в предметной области ИБ приведена на рисунке 1.

 

Рис. 1. Структурная схема организации процессов документационного обеспечения в области ИБ

Fig. 1. Structural diagram of the organization of documentation support processes in the field of information security

 

Проведение исследований нормативных документов в области информационной безопасности с позиций системного подхода и структурного анализа позволило выделить набор аспектных уровней, которые послужили основой для создания системы иерархической классификации документационного обеспечения в области информационной безопасности. В ходе исследования были выделены четыре группы аспектов. Иерархическое системное описание электронных документов в области информационной безопасности включает ряд иерархических уровней, связанных с аспектами типизации документов, местом действия документов, направлениями документов, силой действия.

Иерархия классификации документов [4, 5]

Аспекты по типам документов (АТД):

  • Международные нормативные правовые акты (МНПА).
  • Федеральные законы (ФЗ).
  • Указы Президента (УП).
  • Постановления Правительства (ПП).
  • Акты министерств и ведомств (АМВ).
  • Стандарты (СТ).
  • Законы субъектов РФ (ЗСРФ).
  • НПА Банка России (НПА БР).
  • Стандарты Банка (СБ).
  • Документы, носящие рекомендательный характер (ДРХ).
  • Судебная практика (СП).

Аспекты по направлениям документов (АНД):

1. «Информация» (И):

1.1. Информация ограниченного доступа (ИОД).

1.2. Общедоступная информация (ОИ).

1.3. Информация, доступ к которой не может быть ограничен (ИДМО).

2. «Защита информации» (ЗИ).

2.1. Физическая защита (ФиЗ).

2.2. Аппаратная защита (АЗ).

2.3. Программная защита (ПЗ).

2.4. Организационная защита (ОЗ).

2.5. Психологическая защита (ПсЗ).

2.6. Правовая защита (ПрЗ).

3. «Аудит» (АУ):

3.1. Аттестация аппаратно-программных комплексов (ААПК).

3.2. Внутренний аудит (ВнА).

3.3. Внешний аудит (ВнеА).

4. «Контроль» (К):

4.1. Контроль доступа (КД).

4.2. Контроль сети (КС).

4.3. Контроль политик и процедур (КПП).

4.4. Контроль событий (КС).

4.5. Контроль защиты информации (КЗИ).

5. «Управление» (Упр):

5.1. Управление рисками (Ури).

5.2. Управление программами безопасности (УПБ).

5.3. Управление ресурсами (Уре).

5.4. Управление персоналом (УП).

5.5. Управление инцидентами (УИ).

6. «Угрозы» (Угр):

6.1. Модель угроз (МУ).

6.2. Модель нарушителя (МН).

6.3. Вредоносное программное обеспечение (ВПО).

6.4. Сетевые атаки (СА).

Аспекты по месту действия документов (АМДД):

  • Локальные (субъектные) (Лок).
  • Федеральные (Фед).

Аспекты по силе документов (АСД):

  • Утратившие силу (УС).
  • Действующие (Де).

Мультииерархическая графовая модель классификации документационного обеспечения для предметной области информационной безопасности представлена на рисунке 2. Составляющие блоки «Аспекты по типам документов» (АТД), «Аспекты по месту действия документов» (АМДД) и «Аспекты по силе документов» (АСД) детализированы.

 

Рис. 2. Мультииерархическая графовая модель классификации документов в области ИБ

Fig. 2. Multi-hierarchical graph model of document classification in the field of information security

 

Блок «Аспекты по направлениям документов» (АНД) ввиду того, что содержит много уровней, не детализируется на данном рисунке и выделен в отдельную диаграмму декомпозиции, которая представлена на рисунке 3. Многообразие уровней в данной модели мультииерархического описания системы классификации документационного обеспечения в области ИБ обусловлено наличием нескольких различных направлений и уровней. На рисунке 3 блок «Аспекты по направлениям документов» (АНД) представлен в виде шести иерархических уровней.

 

 

Рис. 3. Декомпозиция структурного блока «Аспекты по направлениям документов (АНД)»

Fig. 3. Decomposition of the structural block Aspects by document directions (AND)

 

В качестве системных моделей была выбрана многоступенчатая схема теоретико-множественных моделей, описываемых в виде кортежей (рис. 4).

 

Рис. 4. Структура теоретико-множественной модели формирования задания на разработку ЭИАС управления электронными документами в области ИБ

Fig. 4. Structure of the set-theoretical model for the formation of a task for the development of an electronic information and information system for managing electronic documents in the field of information security

 

ФЗРСУ – формирование задания на разработку системы управления нормативными документами в области ИБ;

АИСНД – автоматизированная информационная система управления нормативными документами в области ИБ;

ТЗ – техническое задание на разработку АИСНД;

Н – наименование АИСНД;

Стр – структура АИСНД;

Арх – архитектура АИСНД;

ПК – показатели качества АИСНД по нормативной документации;

ИИУНД – интеллектуальная система управления нормативными документами в области ИБ;

С – состав моделей АИСНД;

СТЗ – соответствие техническому заданию;

ОХАИС – основные характеристики автоматизированной информационной системы;

Нн – наименование начальной версии автоматизированной информационной системы;

Нт – наименование текущей версии автоматизированной информационной системы;

Нкон – наименование конечной версии автоматизированной информационной системы;

НТД – нормативно-техническая документация;

ТУ – технические условия;

РД – регламентирующая документация;

БДДИБ – база данных документов по ИБ;

СПУР – система поддержки принятия управленческих решений;

ПСООД – подсистема сбора и обработки оперативных данных по ИБ;

КТСВМ – коммуникационные технологии связи с внешней средой.

Модель многоступенчатой теоретико-множественной схемы информационного анализа процессов формирования задания на разработку автоматизированной информационной системы управления нормативными документами в области информационной безопасности представляет собой комплексный подход к созданию эффективного инструмента для обработки и управления нормативными правовыми актами [6, 7]. Она направлена на систематизацию процессов, связанных с документами, и минимизацию рисков, возникающих в ходе их обработки [7–9].

В рамках данной модели акцентируется внимание на необходимости четкого определения целей и задач системы, что позволяет обеспечить ее соответствие требованиям пользователей и стандартам в области информационной безопасности. Процесс разработки включает в себя составление технического задания, которое детализирует функциональные и нефункциональные требования к системе.

Структура и архитектура системы формируются с учетом взаимодействия всех ее компонентов, что способствует созданию гибкой и масштабируемой платформы. Важным аспектом является определение показателей качества, по которым будет оцениваться эффективность работы системы, что позволяет проводить регулярный мониторинг и улучшение ее функций [10–14].

Модель также учитывает использование современных технологий для автоматизации процессов обработки документов, что значительно повышает скорость и точность работы [15]. Важным элементом является создание базы данных, которая обеспечивает централизованное хранение информации и быстрый доступ к ней.

Кроме того, система поддерживает принятие управленческих решений, предоставляя аналитические данные и отчеты для руководителей. Интеграция с внешними источниками информации и другими системами позволяет расширить возможности использования модели и улучшить взаимодействие с внешней средой [16].

Заключение

Таким образом, разработка комплексной системы управления документационной поддержкой в области информационной безопасности является обязательной для организаций, стремящихся преодолеть сложности нормативного соответствия и операционной эффективности. За счет создания многоиерархической классификации электронных документов и использования теоретико-множественных моделей для анализа информации возможно повышение доступности критически важных информационных ресурсов при одновременном снижении потенциальных правовых и организационных рисков. Поскольку объем нормативной базы в области ИБ продолжает развиваться и пополняться, предлагаемые структуры не только оптимизируют процессы управления документами, но и позволят организации реагировать на законодательные изменения.

×

About the authors

Ivan R. Chekanov

Russian State Social University

Email: cartmen98@yandex.ru
ORCID iD: 0000-0002-3656-265X
SPIN-code: 6993-8756

Post-graduate Student of the Department of Political and Social Technologies, Department of Information Technologies, Artificial Intelligence and Social and Public Technologies of the Digital Society

Russian Federation, 129226, Moscow, 4 Wilhelm Pieck street, building 1

Andrey S. Kuznetsov

Russian State Social University

Author for correspondence.
Email: askgoogle@internet.ru
ORCID iD: 0000-0003-1569-4765
SPIN-code: 8442-7210

Candidate of Engineering Sciences, Associate Professor of the Department of Information Technologies, Artificial Intelligence and Social Technologies of Digital Society

Russian Federation, 129226, Moscow, 4 Wilhelm Pieck street, building 1

References

  1. Bobrovskiy S., Skorokhodov S., Chekanov I. [Design of information support systems for enterprises based on the principles of system analysis]. In the collection: Hybrid Methods of Modeling and Optimization in Complex Systems (HMMOCS-II-2023). Proceedings of the II International Workshop. Krasnoyarsk, 2024. С. 2015.
  2. Mikhailichenko O.V., Kolovangin S.V., Nikiforova A.G. Creation of a hierarchical system of documents in the field of information security. Standardization of information security processes of critical information infrastructure facilities. Zashchita informatsii. Insayd [Information protection. Inside]. 2021. No. 3(99). P. 30–36. EDN VFMWTT. (In Russian)
  3. Kuznetsov A.S., Krasnov A.E. Information support for pulse control of the stability of information security systems]. Vestnik RGGU. Seriya: Informatika. Informatsionnaya bezopasnost'. Matematika [Bulletin of the Russian State University for the Humanities. Series: Computer Science. Information Security. Mathematics]. 2024. No. 2. Pp. 99–108. (In Russian)
  4. Chekanov I.R., Krasnov A.E. K voprosu postroyeniya arkhitektury zakonodatel'nykh i normativnykh dokumentov v oblasti informatsionnoy bezopasnosti [On the issue of constructing the architecture of legislative and regulatory documents in the field of information security]. In the collection: Digitalization in the context of a pandemic: the mission of the social university of the future. Sbornik materialov XXI mezhdunarodnogo sotsial'nogo kongressa [Collection of proceedings of the XXI international social congress]. 2022. Pp. 344–347. (In Russian)
  5. Kuznetsov A.S. Evolyutsiya vizual'nykh informatsionnykh modeley na osnove grafovykh predstavleniy [Evolution of visual information models based on graph representations]. In the collection: Challenges of globalization and development of digital society in the context of the new reality. Sbornik materialov XX Mezhdunarodnoy nauchno-prakticheskoy konferentsii [Collection of materials of the XX International scientific and practical conference]. 2024. Pp. 143–147. (In Russian)
  6. Dushkin R.V. Set-theoretical model of a functional approach to the intellectualization of building and structure management processes. Programmnyye produkty i sistemy [Software products and systems]. 2019. No. 2. Pp. 306–312. EDN: BIZKFJ. (In Russian)
  7. Burlyaeva E.V., Burlyaev V.V., Tsekhanovich V.S. Set-theoretical representation of functional models of chemical production. Tonkiye khimicheskiye tekhnologii [Fine chemical technologies]. 2017. Vol. 12. No. 5. Pp. 71–78. (In Russian)
  8. Burlyaeva E.V., Gavrilov A.V. Primeneniye yazykov predmetnoy oblasti dlya proyektirovaniya tekhnologicheskikh skhem khimicheskogo proizvodstva [Application of subject area languages for designing process flow charts of chemical production]. IT-Standard. 2017. No. 1(10). Pp. 40–43. (In Russian)
  9. Khaimov V.Z. Organizatsiya protivodeystviya ugrozam informatsionnoy bezopasnosti pri khranenii i ispol'zovanii elektronnykh dokumentov [Organization of counteraction to threats to information security during storage and use of electronic documents]. Documentation in the information society: formation and preservation of the heritage of the digital age: Doklady i soobshcheniya XXIX Mezhdunarodnoy nauchno-prakticheskoy konferentsii, Moskva, 27–28 oktyabrya 2022 goda [Reports and communications of the XXIX International scientific and practical conference, Moscow, October 27–28, 2022]. Moscow: Vserossiyskiy nauchno-issledovatel'skiy institut dokumentovedeniya i arkhivnogo dela, 2023. Pp. 242–252. EDN: GQHJYN. (In Russian)
  10. Fedorova A.V. Algoritm aktualizatsii organizatsionno-rasporyaditel'nykh dokumentov po informatsionnoy bezopasnosti v organizatsii [Algorithm for updating organizational and administrative documents on information security in an organization]. Budushcheye nauki – 2019: sbornik nauchnykh statey 7-y Mezhdunarodnoy molodezhnoy nauchnoy konferentsii, Kursk, 25–26 aprelya 2019 goda [The Future of Science – 2019: collection of scientific articles of the 7th International Youth Scientific Conference, Kursk, April 25–26, 2019]. Kursk: Yugo-Zapadnyy gosudarstvennyy universitet, 2019. Vol. 4. Pp. 272–275. EDN: LEXAEE. (In Russian)
  11. Perminova Ya.A., Ursegov A.K. Analiz osnovnykh normativnykh dokumentov po obespecheniyu bezopasnosti kriticheskoy informatsionnoy infrastruktury Rossiyskoy Federatsii [Analysis of the main regulatory documents on ensuring the security of the critical information infrastructure of the Russian Federation]. Nauchnyy aspekt [Scientific aspect]. 2023. Vol. 7. No. 6. Pp. 887–893. EDN: WWDMTT. (In Russian)
  12. Loginova A.O. Review of regulatory sources and practices for managing information security incidents. Vestnik SibGUTI [Bulletin of SibSUTI]. 2021. No. 1(53). Pp. 50–59. EDN: NCWWSS. (In Russian)
  13. Markov A.K., Semenochkin D.O., Kravets A.G., Yanovsky T.A. Comparative analysis of the applied natural language processing technologies to improve the quality of classification of digital documents. International Journal of Open Information Technologies. 2024. Vol. 12. No. 3. Pp. 66–77. EDN: TUBOSI
  14. Ignatov I.A., Tyukavina I.A. "Document Management" and "Strategic Information Management" – an Outside View. Finansy i upravleniye [Finance and Management]. 2021. No. 2. Pp. 41–55. doi: 10.25136/2409-7802.2021.2.35861. EDN: YXQIFW. (In Russian)
  15. Chekanov I. R., Kuznetsov A. S. Information and Algorithmic Support for Processing and Analysis of Regulatory Documents in the Sphere of Information Security in an Automated Information System. News of the Kabardino-Balkarian Scientific Center of RAS. 2024. Vol. 26. No. 6. Pp. 146–157. doi: 10.35330/1991-6639-2024-26-6-146-157. (In Russian)
  16. Miroshnichenko M.A., Kozlov N.N., Samkova M.S. Sovremennyye aspekty upravleniya znaniyami i dokumentami v period tsifrovoy transformatsii [Modern aspects of knowledge and document management during digital transformation] Vestnik Akademii znaniy [Bulletin of the Knowledge Academy]. 2024. No. 4(63). Pp. 607–612. EDN: ZNHYRQ. (In Russian)

Supplementary files

Supplementary Files
Action
1. JATS XML
Download
2. Fig. 1. Structural diagram of the organization of documentation support processes in the field of information security

Download (290KB)
Indexing metadata
3. Fig. 2. Multi-hierarchical graph model of document classification in the field of information security

Download (187KB)
Indexing metadata
4. Fig. 3. Decomposition of the structural block Aspects by document directions (AND)

Download (315KB)
Indexing metadata
5. Fig. 4. Structure of the set-theoretical model for the formation of a task for the development of an electronic information and information system for managing electronic documents in the field of information security

Download (81KB)
Indexing metadata

Copyright (c) 2025 Чеканов И.R., Кузнецов А.S.

Creative Commons License
This work is licensed under a Creative Commons Attribution 4.0 International License.

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».