Статьи

Волощук К.М., гетто О.Г. Диференціація напрямків діяльності підрозділу комплексного забезпечення інформаційної безпеки федерального органу державної влади за елементами СОІБ, рівню відповідальності, вимогам до ступеня компетентності фахівців і керівника

Волощук К.М.1, гетто О.Г.1
1Сібірскій державний аерокосмічний університет імені академіка М. Ф. Решетнева

Voloshchuk KM1, Gett OG1
1Siberian State Aerospace University named after academician MF Reshetnev,

Бібліографічна посилання на цю статтю:
Волощук К.М., гетто О.Г. Диференціація напрямків діяльності підрозділу комплексного забезпечення інформаційної безпеки федерального органу державної влади за елементами СОІБ, рівню відповідальності, вимогам до ступеня компетентності фахівців і керівника // Економіка і менеджмент інноваційних технологій. 2012. № 4 [Електронний ресурс]. URL: http://ekonomika.snauka.ru/2012/04/735 (дата звернення: 07.02.2019).

Науковий керівник - А.В. Красів

Сибірський державний аерокосмічний

університет імені академіка М.Ф. Решетнева, Росія,

Красноярськ

Призначення підрозділи забезпечення інформаційної безпеки (далі - Поібой) федерального органу державної влади полягає в здійсненні захисту інформації від загроз порушення її безпеки [1] на відповідному її типу або цінності (вартості) рівні.

Визначимо поняття, використовувані в цій статті.

Безпека інформації (даних) - стан захищеності інформації (даних), при якому забезпечені її (їх) конфіденційність, доступність і цілісність.

Інформаційна безпека - забезпечення конфіденційності, цілісності та доступності інформації [2].

Під конфіденційністю інформації будемо розуміти привілей доступу до інформації тільки авторизованих користувачів, під цілісністю - забезпечення достовірності (неспотвореної) інформації і методів її обробки, під доступністю - забезпечення доступу до інформації та пов'язаним з нею активів користувачів в міру необхідності.

Розглянемо, що закладається в поняття «захист інформації» існуючими нормативно-правовими та нормативно-методичними документами, які властивості і загрози порушення властивостей безпеки інформації регламентуються.

Для цього перерахуємо види інформації, властивості і типи загроз порушення її безпеки, визначені законодавством Російської Федерації.

Згідно [3] під інформацією розуміються відомості (повідомлення, дані) безвідносно форми їх подання. При цьому весь обсяг інформації диференціюється на інформацію, що підлягає і не підлягає захисту. Для завдання визначення функцій підрозділу інтерес представляє інформація, що підлягає захисту.

Відповідно до законодавства РФ інформація, що підлягає захисту, підрозділяється на інформацію обмеженого і необмеженого доступу (загальнодоступну інформацію) [4]. У свою чергу інформація обмеженого доступу ділиться на інформацію, що становить державну таємницю [5], і конфіденційну інформацію.

Згідно [6] клас конфіденційної інформації являє собою сукупність шести підкласів інформації:

  1. Персональні дані.
  2. Таємниця слідства і судочинства.
  3. Службові відомості.
  4. Професійні таємниці.
  5. Комерційна таємниця.
  6. Відомості про сутність винаходу, корисної моделі чи промислового зразка.

Систематизуємо вищесказане у вигляді діаграми ієрархії класів інформації (рис. 1).

Мал. 1 - Ієрархія класів інформації

Результат процесу ідентифікації інформації в державному органі державної влади показує потенційну наявність загальнодоступних даних [7, 8], відомостей конфіденційного характеру, представлених службовою інформацією і персональними даними, крім того, відомостей, що становлять державну таємницю. Для організацій, що мають у своїй структурі підрозділ, що здійснює діяльність з надання або розповсюдження інформації, також буде актуальним питання ідентифікації забороненої інформації та інформації обмеженого поширення [3].

Критичними з точки зору безпеки для інформації необмеженого доступу є властивості доступності і цілісності, в той час як для інформації обмеженого доступу найбільш важливим є властивість конфіденційності, тобто недоступності третім особам.

Розглянемо класифікації існуючих загроз порушення безпеки інформації.

З точки зору порушується властивості безпеки інформації загрози поділяються на загрози порушення конфіденційності, цілісності та доступності інформації [9].

Згідно природі джерела загрози поділяються на штучні - антропогенні (зумовлені діяльністю людини) і природні. У свою чергу природні загрози поділяються на техногенні (обумовлені технічними засобами) і стихійні (рис. 2).

2)

Мал. 2 - Класифікація загроз безпеки інформації

Залежно від наявності умислу антропогенні загрози поділяються на свідомі й несвідомі. Дана група представляє найбільший інтерес з точки зору організації захисту, так як дії суб'єкта можна оцінити, спрогнозувати і вжити адекватних заходів. Як антропогенного джерела загроз розглядається суб'єкт, який має доступ (санкціонований або несанкціонований) до роботи со54.бю штатними засобами захищається. Суб'єкти (джерела), дії яких спрямовані на порушення безпеки інформації, можуть бути зовнішніми і внутрішніми.

Зовнішні джерела можуть мати різні рівні кваліфікації [10] і можливостей. До них відносяться:

  • кримінальні структури;
  • хакери;
  • несумлінні партнери;
  • технічний персонал постачальників телематичних послуг;
  • представники наглядових організацій і аварійних служб;
  • силові структури;
  • державні служби зовнішньої розвідки.

Внутрішні суб'єкти (джерела), як правило, представляють собою висококваліфікованих фахівців в області розробки і експлуатації ПО і технічних засобів (далі - ТЗ), знайомих зі специфікою вирішуваних завдань, структурою, основними функціями і принципами роботи програмно-апаратних засобів захисту інформації (далі - СЗІ), а також мають можливість використання штатного обладнання і ТЗ мережі [11]. До них відносяться:

  • допоміжний персонал (прибиральники, охорона);
  • основний персонал (користувачі, програмісти, розробники);
  • технічний персонал;
  • співробітники служби захисту інформації.

Важливо відзначити, що при відсутності компетентного відношення до управління ІБ в організації істотно зростає ймовірність перевищення посадових повноважень і, як наслідок, криміналізації підрозділу, відповідального за попередження злочинів в інформаційній сфері, зокрема пов'язаних з порушенням положень Конституції РФ і за вчинення яких передбачена кримінальна відповідальність . Парадоксально, але найбільшої матеріальної шкоди організаціям часто наноситься саме в результаті дій співробітників власної служби безпеки. Тому необхідно чітко визначати повноваження і права співробітників, вести обгрунтовану кадрову політику. Наприклад, якщо підрозділ займається виключно питаннями контролю, не вирішує безпосередньо завдання адміністрування мережі, необхідно верифікувати відсутність у співробітників підрозділу прав на зміни, в разі наявності обмежити до прав супервізора, що знизить можливість перевищення повноважень.

Особливу групу внутрішніх антропогенних джерел складають особи з порушеною психікою, впроваджені і завербовані агенти, які можуть бути з числа основного, допоміжного і технічного персоналу, а також представників служби захисту інформації.

Техногенні джерела загроз визначаються технократичної діяльністю людини і розвитком цивілізації. Ці джерела загроз менш прогнозовані, безпосередньо залежать від властивостей техніки і можуть бути викликані фізичним і моральним старінням технічного обладнання, а також відсутністю матеріальних коштів на його оновлення.

Технічні засоби, які є джерелами загроз безпеці інформації, також можуть бути зовнішніми:

  • засоби зв'язку;
  • мережі інженерних комунікацій (вентиляції, водопостачання, каналізації);
  • транспорт.

і внутрішніми:

  • некоректно функціонують програмні або технічні засоби обробки інформації;
  • допоміжні засоби (охорони, сигналізації, телефонії);
  • інші технічні засоби, що застосовуються в організації.

Стихійні джерела загроз об'єднують обставини, що становлять непереборну силу, тобто такі обставини, які носять об'єктивний і абсолютний характер, поширюється на всіх. До непереборну силу в законодавстві РФ і договірній практиці відносять стихійні лиха або інші обставини, які неможливо передбачити або запобігти або можливо передбачити, але неможливо запобігти при сучасному рівні людського знання і можливостей [10]. Дані джерела загроз не піддаються прогнозуванню, і тому заходи захисту від них повинні застосовуватися завжди.

Стихійні джерела загроз, як правило, є зовнішніми по відношенню до захищається і під ними розуміються, перш за все, природні катаклізми:

  • пожежі;
  • землетрусу;
  • повені;
  • урагани;
  • різні непередбачені обставини;
  • незрозумілі явища.

До теперішнього моменту в державних організаціях під призначенням Поібой розуміли захист інформації, відповідну положенням керівних документів Державної технічної комісії при Президентові Російської Федерації. Положення [11] регламентують захист інформації від антропогенних загроз, причому дуже вузького класу, а саме несанкціонованого доступу (далі - НСД) до інформації. Чи не розглядаються антропогенні загрози, які є причинами ненавмисних дій внутрішнього персоналу, що має в момент реалізації загрози відповідні права доступу до інформації, що захищається, діяльності інсайдерських агентів, які отримали санкції на доступ до інформаційних ресурсів. Захист переважно орієнтована саме на забезпечення якості конфіденційності інформації обмеженого доступу. Таким чином, захист інформації, що підлягає наданню і розповсюдженню, а також інформації, доступ до якої не може бути обмежений відповідно до законодавства РФ, не є функцією підрозділу, для якого поняття «захисту інформації» зводиться до представленого визначенням.

Настільки вузьке розуміння предмета, об'єкта захисту і обмежений клас даних загроз безпеки інформації дають конкретні, шаблонні уявлення про необхідної чисельності та кваліфікації персоналу підрозділу, завдання організації підрозділу є типовою. В даному випадку назва підрозділу більшою мірою відповідає «групі із захисту інформації обмеженого доступу від несанкціонованого доступу». При цьому захист інформації обмеженого і необмеженого доступу від інших видів загроз, в тому числі пов'язаних з порушенням доступності і цілісності, є фактично навантаженням ІТ-підрозділу.

14 липня 2006 року Радою Федерації був схвалений Федеральний закон № 149-ФЗ «Про інформацію, інформаційні технології і про захист інформації».

Згідно п. 1 ст. 16 [3] «захист інформації» є прийняття правових, організаційних і технічних заходів, спрямованих на:

1) забезпечення захисту інформації від незаконного втручання, знищення, модифікування, блокування, копіювання, надання, поширення, а також від інших неправомірних дій у відношенні такої інформації;

2) дотримання конфіденційності інформації обмеженого доступу;

3) реалізацію права на доступ до інформації.

Згідно п. 4 даної статті [3] володар інформації, оператор інформаційної системи у випадках, встановлених законодавством РФ, зобов'язані забезпечити:

1) запобігання несанкціонованого доступу до інформації та (або) передачі її особам, які не мають права на доступ до інформації;

2) своєчасне виявлення фактів несанкціонованого доступу до інформації;

3) попередження можливості несприятливих наслідків порушення порядку доступу до інформації;

4) недопущення впливу на технічні засоби обробки інформації, в результаті якого порушується їх функціонування;

5) можливість негайного відновлення інформації, модифікованою чи знищеною через несанкціонованого доступу до неї;

6) контроль за забезпеченням рівня захищеності інформації.

Об'єктом розгляду підпунктів 1 і 3 п. 1, а також підпунктів 4 та 5 п. 4 є забезпечення властивостей доступності та цілісності інформації. При цьому НСД як загроза також вказується в підпункті 1 п. 1.

Прийняття даного закону можна вважати відправною точкою на шляху до інтеграції в світовий простір в сфері забезпечення інформаційної безпеки. Інтеграція очевидна і наблюдаема на практиці для організацій комерційного типу, які надають високу значимість іміджу і примноженню об'єктів PR-акцій. У міжнародних стандартах, зокрема [12], поняття «захист інформації» розглядається комплексно, воно не зводиться до поняття забезпечення властивості конфіденційності інформації обмеженого доступу від несанкціонованого доступу. Захищається є інформація як обмеженого доступу, так і загальнодоступна інформація, що підлягає обов'язковому своєчасному наданню, поширенню в незмінному вигляді.

Якщо дотримуватися зазначеного системного підходу до поняття «захист інформації», можлива варіативність діяльності підрозділу комплексного забезпечення інформаційної безпеки (далі - ПКОІБ) збільшується на порядок. Мінімальна чисельність підрозділу в такому випадку визначається положенням про орган державної влади, в якому підрозділ створюється, а саме напрямками, які вимагають забезпечення ІБ, і законодавством РФ, акти якого директивно вказують на обов'язковість даного захисту.

При наявності відповідних потреб і активів організації функціональність ПКОІБ можливо розширити. Розглянемо потенційні рівні напрямків діяльності ПКОІБ, починаючи з рівня визначення і вивчення внутрішніх потреб органу державної влади та планування в сфері ІБ, рівня вищої інтелектуальної складності забезпечення ІБ - рівня розробки і закінчуючи нижнім рівнем контролю.

Умовно зробимо декомпозицію системи забезпечення інформаційної безпеки (далі - СОІБ) федерального органу державної влади на чотири елементи (рис. 3) відповідно до органами, що здійснюють контрольно-наглядові функції в більшій мірі по кожному елементу:

1) організаційно-правової (Роскомнадзор);

2) інженерно-технічний (МВС);

3) програмно-апаратний (ФСТЕК);

4) криптографічний (ФСБ).

Організаційно-правовий елемент включає в себе забезпечення комплексу організаційних заходів, регламентованих локальної нормативно-технічної, нормативно-правової та нормативно-методичної базами, а також створення і зміна перерахованих баз.

Інженерно-технічний елемент представляють споруди та технічні пристрої, що дозволяють управляти фізичним доступом і фіксувати даний вид доступу в контрольовану зону, в тому числі, доступ в приміщення, де обробляється інформація, що захищається: фото-, відео-, аудіорегістратори, системи сигналізації, турнікети, запірні механізми.

Програмно-апаратний елемент включає в себе апаратні, програмно-апаратні пристрої, а також програми розмежування та контролю доступу на ізольовані ЕОМ, в розподілені обчислювальні системи, локальні мережі, де безпосередньо обробляється інформація, що захищається, за винятком коштів, на яких виконуються криптографічні перетворення інформації.

Криптографічний елемент визначається програмними, апаратними та програмно-апаратними засобами, що забезпечують властивості безпеки інформації за допомогою виконання криптографічних алгоритмів електронного підпису [13], хеширования [14], шифрування [15].

Мал. 3 - Рівні напрямків діяльності ПКОІБ за елементами СОІБ


бібліографічній список

  1. Стрільців А.А. Предмет правового забезпечення інформаційної безпеки. Російський юридичний журнал. 2003. № 2.
  2. Лопатин В.Н. Правові основи ІБ. Інформаційне право.
  3. .
  4. Полякова Т.А. Теоретико-правовий аналіз законодавства в галузі забезпечення ІБ. Мета, структура і методи правового забезпечення ... Російської Федерації. Дисс. ... канд. юридич. наук. Російська правова академія при Міністерстві юстиції Російської Федерації. , 2002.
  5. Закон РФ від 21.07.1993 № 5485-1 «Про державну таємницю».
  6. Указ Президента РФ від 06.03.1997 № 188 «Про затвердження переліку відомостей конфіденційного характеру».
  7. Федеральний закон від 09.02.2009 № 8-ФЗ «Про забезпечення доступу до інформації про діяльність державних органів і органів місцевого самоврядування».
  8. Постанова Уряду РФ від 24.11.2009 № 953 «Про забезпечення доступу до інформації про діяльність Уряду РФ і федеральних органів виконавчої влади».
  9. Домарев В.В. Безпека інформаційних технологій. Методологія створення систем захисту, Москва-Санкт-Петербург-Київ, 2002.
  10. Семенко В.А. Інформаційна безпека. Навчальний посібник. 4-е видання. - М .: МГИУ, 2010 року.
  11. Керівні документи Державної технічної комісії при Президентові Російської Федерації.
  12. Міжнародний стандарт ISO / IEC 27001: 2005 «Інформаційні технології - Методи захисту - СМІБ - Вимоги».
  13. Федеральний закон від 06.04.2011 № 63-ФЗ «Про електронний підпис».
  14. ГОСТ Р 34.11-94. Інформаційна технологія. Криптографічний захист інформації. Функція хешування.
  15. ГОСТ 28147-89. Системи обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення.

Кількість переглядів публікації: Please wait

Всі статті автора «konwill»