Details

Целью работы является обеспечение информационной безопасности (ИБ) цепочки поставки ценности при разработке ПО. Объектом исследования является вертикально-интегрированная нефтяная компания ПАО «Газпром нефть». Задачи, решаемые в ходе исследования: 1. Исследовать киберугрозы, характерные для нефтяной компании, и выделить те, которые сопряжены с процессом разработки ПО. 2. Разработать модели угроз и нарушителя информационной безопасности для нефтяной компании при реализации процесса разработки ПО. 3. Проанализировать известные методики оценки рисков с точки зрения их применимости к компаниям нефтяной отрасли и учета рисков, связанных с разработкой ПО. 4. Разработать методику оценки рисков, адаптированную под специфику нефтяной отрасли и учитывающую риски, связанные с разработкой ПО. 5. Апробировать методику на реальном объекте. В ходе работы был проведен анализ угроз информационной безопасности для информационно–технологических активов предприятия нефтегазового сектора с учетом особенностей обеспечения организации процесса разработки программного обеспечения. В результате работы была разработана методика оценки рисков ИБ для предприятия нефтегазового сектора при разработке и внедрении программного обеспечения. Полученные результаты могут быть использованы в качестве основы для проектирования программного обеспечения в нефтегазовом секторе.

The purpose of the study is to ensure information security (IS) across the value supply chain in software development. The research focuses on Gazprom Neft PJSC, a vertically integrated oil company. The research set the following goals: 1. Investigate cyber threats specific to oil companies and identify those associated with software development processes. 2. Develop threat and attacker models for information security in oil companies during software development. 3. Analyze existing risk assessment methodologies for their applicability to the oil industry, particularly risks tied to software development. 4. Design a tailored risk assessment methodology addressing the oil sector’s specifics and software development-related risks. 5. Validate the methodology through a real-world implementation The study conducted an analysis of information security threats targeting IT assets in the oil and gas sector, with particular emphasis on the organizational aspects of software development processes The work resulted in the development of a dedicated methodology for assessing information security risks during software development and deployment in oil and gas enterprises. The obtained results can serve as a foundation for software system design in the oil and gas industry.