Научная статья на тему 'Алгоритм определения степени ценности конфиденциальных документов организации'

Алгоритм определения степени ценности конфиденциальных документов организации Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1625
150
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / ЦЕННОСТЬ ДОКУМЕНТА / ЭКСПЕРТНЫЕ МЕТОДЫ / INFORMATION SECURITY / THE VALUE OF THE DOCUMENT / EXPERT METHODS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Сибикина Ирина Вячеславовна, Белов Сергей Валерьевич, Космачева Ирина Михайловна

Для решения задачи управления информационной безопасностью предложена методика, позволяющая определять степень важности конфиденциальных документов организации. Обоснована актуальность предлагаемого алгоритма с учётом требований законодательства Российской Федерации в области информационной безопасности. Описаны этапы, предшествующие формированию перечня конфиденциальных документов организации. Проведен обзор основных документов нормативно-правовой и нормативно-технической базы в сфере информационной безопасности, в том числе документов, касающихся вопросов государственного регулирования отношений в сфере защиты информации. Рассмотрены классы защищаемой информации по категориям доступа. Представлены критерии изменения ценности информации с течением времени. Предложен алгоритм формирования списка конфиденциальных документов организации с учетом свойств информации. В основу алгоритма положен экспертный метод попарного сравнения альтернатив. Результатом применения данного метода является ряд конфиденциальных документов, ранжированный по убыванию степени важности. Для каждого документа можно рассчитать весовой коэффициент степени важности. Чтобы исключить применение ошибочных экспертных данных, в методику включен этап проверки степени согласованности экспертов. Применение методики проиллюстрировано расчётным примером.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Сибикина Ирина Вячеславовна, Белов Сергей Валерьевич, Космачева Ирина Михайловна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ALGORITHM FOR DETERMINING THE DEGREE VALUES OF CONFIDENTIAL DOCUMENTS OF THE ORGANIZATION

To solve the problem of information security management the method was proposed that allows determining the degree of importance of confidential documents of the organization. The urgency of the proposed algorithm was substantiated taking into account the requirements of the legislation of the Russian Federation in the sphere of information security. The stages prior to the formation of the list of confidential documents of the organization were described. A review of the main documents of the legal and regulatory framework was carried out including documents relating to the state regulation of relations in the sphere of information security. The classes of protected information for the accessing categories were considered. The criteria changes of the value of information in the process of time were represented. The algorithm of formation of the list of confidential documents of the organization based on the properties of information was offered. The algorithm is based on an expert method of pair comparison of alternatives. The result of the use of this method is a number of confidential documents, ranked in descending order of importance. For each document the weighting factor of importance can be calculated. The verification stage of the degree of expert consistency was included in the methodology to eliminate the use of erroneous expert data. The application of the methodology is illustrated by a calculated example.

Текст научной работы на тему «Алгоритм определения степени ценности конфиденциальных документов организации»

УДК 004.056.5

И. В. Сибикина, С. В. Белов, И. М. Космачёва

АЛГОРИТМ ОПРЕДЕЛЕНИЯ СТЕПЕНИ ЦЕННОСТИ КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ ОРГАНИЗАЦИИ

Для решения задачи управления информационной безопасностью предложена методика, позволяющая определять степень важности конфиденциальных документов организации. Обоснована актуальность предлагаемого алгоритма с учётом требований законодательства Российской Федерации в области информационной безопасности. Описаны этапы, предшествующие формированию перечня конфиденциальных документов организации. Проведен обзор основных документов нормативно-правовой и нормативно-технической базы в сфере информационной безопасности, в том числе документов, касающихся вопросов государственного регулирования отношений в сфере защиты информации. Рассмотрены классы защищаемой информации по категориям доступа. Представлены критерии изменения ценности информации с течением времени. Предложен алгоритм формирования списка конфиденциальных документов организации с учетом свойств информации. В основу алгоритма положен экспертный метод попарного сравнения альтернатив. Результатом применения данного метода является ряд конфиденциальных документов, ранжированный по убыванию степени важности. Для каждого документа можно рассчитать весовой коэффициент степени важности. Чтобы исключить применение ошибочных экспертных данных, в методику включен этап проверки степени согласованности экспертов. Применение методики проиллюстрировано расчётным примером.

Ключевые слова: информационная безопасность, ценность документа, экспертные методы.

Введение

Информация является одним из ключевых элементов бизнеса - «Кто владеет информацией, тот владеет миром». Новые информационные технологии, Internet активно внедряются в различные сферы производства и услуг. По мере развития и усложнения средств, методов автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых информационных технологий. Несоблюдение требований безопасности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера может повлечь за собой нанесение ущерба субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

В процессе своей деятельности субъекты могут находиться друг с другом в различного рода информационных отношениях, касающихся вопросов получения, хранения, обработки, распространения и использования определенной информации. Для успешного осуществления своей деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:

- своевременного доступа (за приемлемое для них время) к необходимой им информации и определенным автоматизированным службам;

- конфиденциальности (сохранения в тайне) определенной части информации;

- достоверности (полноты, точности, адекватности, целостности) информации;

- защиты от навязывания им ложной (недостоверной, искаженной) информации (т. е. от дезинформации);

- защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т. п.);

- разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

- возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации и т. д.

Согласно ГОСТ Р 50922-2006 «Защита информации» [1], защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Таким образом, каждая организация обеспечивает защиту ценной информации, являющейся предметом её собственности, в соответствии с требованиями законодательства или требованиями, устанавливаемыми собственником информации.

Однако, прежде чем приступать к организации защиты документов, необходимо изучить нормативно-правовую, нормативно-техническую базу в сфере информационной безопасности, определить, к какому классу относится информация, и произвести оценку ценности информации, содержащейся в документе, что и являлось елью нашего исследования.

Нормативно-правовая и нормативно-техническая база в сфере информационной безопасности

Нормативную правовую базу в сфере защиты информации образуют документы федерального уровня, к которым относятся федеральные законы, указы президента Российской Фе-дерации,постановления правительства Российской Федерации, а именно Конституция Российской Федерации (1993 г.); Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне»; Федеральный закон (ФЗ) «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ; ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ; ФЗ «Об электронной цифровой подписи» от 10.01.2002 N 1-ФЗ; ФЗ «О коммерческой тайне» от 29.07.2004 N 98-ФЗ; Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации от 15.09.2008 г. N 687; ФЗ «Об обеспечении единства измерений» от 26.06.2008 N 102-ФЗ; ФЗ «О безопасности» от 28.12.2010 N 390-ФЗ [2-10] и др.

Нормативную техническую базу образуют документы, непосредственно определяющие организационные и технические требования по защите информации, порядок их выполнения и контроля эффективности принимаемых мер защиты. К таким документам относятся:

- национальные стандарты РФ;

- требования и рекомендации по защите информации;

- нормативные и методические документы, определяющие критерии эффективности защиты информации и порядок их контроля.

Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства РФ об информации, информационных технологиях и о защите информации. Ответственность за нарушение требований по защите информации ограниченного доступа устанавливают следующие нормативно-правовые акты:

- Гражданский кодекс РФ (ст. 15, 16), ФЗ «О защите прав потребителя» - устанавливают гражданскую ответственность;

- Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 г. № 195-ФЗ (ст. 13.11-13.14); Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ст. 57, 86; гл. 39 и др.); ФЗ «О защите прав потребителя» - устанавливают административную ответственность;

- Уголовный кодекс РФ (от 13.06.1996) (ст. 138, 140, 183, 238; гл. 28 (ст. 272-274) и др.) - устанавливает уголовную ответственность [11-15].

В Уголовном кодексе РФ, как наиболее сильнодействующем законодательном акте по предупреждению преступлений и привлечению нарушителей к уголовной ответственности, вопросам безопасности информации посвящены следующие главы и статьи: Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений; Статья 140. Отказ в предоставлении гражданину информации; Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну; Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей; Статья 283. Разглашение государственной тайны; Статья 284. Утрата документов, содержащих государственную тайну [15].

Особое внимание уделяется компьютерным преступлениям, ответственность за которые предусмотрена в специальной, 28 главе кодекса «Преступления в сфере компьютерной информации». Глава 28 включает следующие статьи: Статья 272. Неправомерный доступ к компьютерной информации. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ; Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети [15].

Классы информации по категории доступа

Информация, в зависимости от категории доступа к ней, подразделяется на общедоступную и информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

Не может быть ограничен доступ в соответствии с ФЗ «Об информации, информационных технологиях и о защите информации» [4]:

1) к нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

2) информации о состоянии окружающей среды;

3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Информация с ограниченным доступом делится на конфиденциальную и секретную (информацию, составляющую государственную тайну).

К сведениям, представляющим государственную тайну, относится информация:

- в военной области;

- в области экономики, науки, техники, имеющая стратегическое значение;

- в области внешней политики и внешней экономической деятельности;

- в области разведывательной, контрразведывательной и оперативно-розыскной деятельности.

Отнесение информации к государственной тайне осуществляется в соответствии с ФЗ РФ от 21.07.1993 № 5485-1 «О государственной тайне» [3].

В соответствии с указом Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера» [16] к конфиденциальной информации относятся:

- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

- сведения, составляющие тайну следствия и судопроизводства;

- служебная тайна;

- профессиональная тайна (врачебная, нотариальная, адвокатская, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.);

- коммерческая тайна;

- сведения о сущности изобретения.

После изучения нормативно-правовых документов и определения списка конфиденциальных документов организации следует переходить к следующему этапу - этапу определения количественных характеристик степени ценности данных документов.

Определение ценности информации

При отнесении информации к разряду защищаемой надо исходить из принципа экономической выгоды и безопасности фирмы. Чрезмерное сокрытие информации по деятельности фирмы может обернуться потерей прибыли, т. к. условия рынка требуют широкой рекламы производимой продукции и услуг.

Пренебрежительное отношение к конфиденциальной информации также ведет к большим потерям, таким как срыв переговоров; утрата возможностей заключения выгодных контрактов; отказ от решений, становящихся экономически неэффективными в результате разглашения информации; дополнительные финансовые затраты для принятия новых решений; снижение рыночной стоимости продукции или сокращение объемов продаж; разрыв или существенное снижение уровня деловых отношений с партнерами; потеря возможности патентования и продажи лицензий; ухудшение условий получения кредитов; появление трудностей (сокращение объемов продаж, приобретении оборудования; сокращение рынка сбыта вследствие опережающих поставок аналогичной продукции конкурентом; сокращение конкурентами затрат на проведение научных и опытных работ.

Ценность информации определяется степенью ее полезности для владельца. Цена, как и ценность информации, связана с полезностью информации для конкретных людей, организаций, государств. Информация может быть ценной для ее владельца, но бесполезной для других. В этом случае информация не может быть товаром, а следовательно, она не имеет и цены. Как любой товар, информация имеет себестоимость, которая определяется затратами на ее получение. Себестоимость зависит от выбора путей получения информации и минимизации затрат при добывании необходимых сведений выбранным путем.

Для каждой «единицы» защищаемой информации есть несколько параметров, которые необходимо учитывать:

- статичность;

- размер и тип доступа;

- время жизни;

- стоимость создания;

- стоимость потери конфиденциальности;

- стоимость скрытого нарушения целостности;

- стоимость утраты.

Статичность определяет, может ли защищаемая информация изменяться в процессе нормального использования. Так изменяется содержимое базы данных при добавлении новых или модификации существующих записей.

Размер и тип доступа (последовательный или произвольный) также накладывают ограничения на средства защиты.

Время жизни информации - это важный параметр, определяющий, как долго информация должна находиться в статусе защищаемой. Время устаревания информации изменяется в довольно широких границах. Для каких-то субъектов она устаревает за доли секунд, для других остается актуальной в течение долгого времени. Время жизни большей части персональной информации (банковской, медицинской и т. п.) соответствует времени жизни владельца - после его смерти разглашение такой информации уже никому не принесет ни вреда, ни выгоды. Для каждого государственного секрета, как правило, тоже определен период, в течение которого информация не должна стать публичной. Однако с некоторых документов грифы не снимаются никогда - это случай, когда время жизни информации не ограничено.

Стоимость создания является численным выражением совокупности ресурсов (финансовых, человеческих, временных), затраченных на создание информации. Фактически это ее себестоимость.

Стоимость потери конфиденциальности выражает возможные убытки, которые понесет владелец информации, если к ней получат неавторизованный доступ сторонние лица. Как правило, стоимость потери конфиденциальности многократно превышает себестоимость информации. По истечении времени жизни информации стоимость потери ее конфиденциальности становится равной нулю. Зависимость ценности информации от времени приближенно определяется в соответствии с выражением

C^) = ^ ■ в-23('т,

где С0 - ценность информации в момент ее возникновения (получения); t - время от момента возникновения информации до момента определения ее стоимости; т - время от момента возникновения информации до момента ее устаревания.

Стоимость скрытого нарушения целостности выражает убытки, которые могут возникнуть вследствие внесения изменений в информацию, если факт модификации не был обнаружен. Нарушения целостности могут носить различный характер. Они могут быть как случайными, так и преднамеренными.

Модификации может подвергаться не только непосредственно текст сообщения или документа, но и дата отправки или имя автора.

Стоимость утраты описывает ущерб от полного или частичного разрушения информации. При обнаружении нарушения целостности и невозможности получить ту же информацию из другого источника информация считается утраченной.

Рассмотрим способ формирования списка конфиденциальных документов фирмы (организации) с учетом рассмотренных ранее свойств информации.

Алгоритм формирования перечня конфиденциальных документов

Для составления перечня сведений конфиденциального характера рассмотрим решение указанной задачи на базе метода анализа иерархий. Этот метод предусматривает для решения тех или иных задач использование опроса группы экспертов, являющихся специалистами в сфере рассматриваемого вопроса [17].

Для формирования перечня конфиденциальных документов и определения степени их важности необходимо выполнить следующие этапы:

1. Изучить нормативно-правовые документы, касающиеся вопросов определения защищаемой информации для данной организации.

2. Сформировать примерный перечень документов организации.

3. Определить приблизительную ценность информации, содержащейся в документах. При этом в совокупности учитываются такие критерии, как стоимость создания, стоимость разглашения, влияние на непрерывность ведения бизнеса, содержащейся в указанных документах, время жизни документа и т. д.

4. Сформировать перечень конфиденциальных документов фирмы (организации).

5. Оценить важность документа.

6. Рассчитать отношение согласованности экспертов.

Для оценки важности документа можно использовать экспертные методы, в частности метод попарных сравнений альтернатив. В нашем случае альтернативами являются документы, для которых необходимо получить веса важности. Метод основан на парных сравнениях альтернативных вариантов по различным критериям с использованием девятибалльной шкалы. Числовые значения различной степени превосходства одного документа над другим приведены в табл. 1.

Таблица 1

Шкала для сравнения документов

Степень превосходства Числовое значение

Равная важность 1

Умеренное превосходство одного над другим 3

Существенное превосходство одного над другим 5

Значительное превосходство одного над другим 7

Очень сильное превосходство одного над другим 9

Соответствующие промежуточные значения 2, 4, 6, 8

Пусть задано конечное число объектов (документов) Р = {ръ...,рп} . Необходимо построить вектор, состоящий из неотрицательных вещественных компонент а = (а1,...,ап) такой, что ^а. = 1.

i=1

Числа ai интерпретируются как весовые коэффициенты, определяющие важность или полезность объекта .

Чем больше значение ai, тем выше полезность объекта . Основным объектом в рассматриваемом методе является матрица парных сравнений.

S =

(1 Gr.,

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Элемент матрицы а =— интерпретируется как коэффициент превосходства 1-го объ-

аа

екта над /-м объектом. Если а/ > 1, то 1-й объект важнее /-го.

Легко доказать, что искомый вектор а = (ах, ...,ап) является собственным вектором матрицы 5", соответствующим максимальному собственному числу матрицы Хтах = п , и может быть найден как решение системы уравнений Ба = А,таха.

a

a

12

1 n

1

a

1

a

a

n2

Таблицы позволяют рассчитать коэффициенты важности объектов сравнения. Для этого нужно вычислить собственные векторы матрицы, а затем пронормировать их. Для вычисления собственного вектора матрицы используется формула

ау

]=1

Задав субъективно порог (равный значению коэффициента важности пограничного документа, отнесение которого к конфиденциальному неочевидно), можно сформировать примерный перечень конфиденциальных документов организации.

При заполнении матриц попарных сравнений человек может делать ошибки. Одной из возможных ошибок является нарушение транзитивности: из а^ > а^ , а^ > а^ может не следовать а^ > аь (а^ - элементы матрицы попарных сравнений). Кроме того, возможны нарушения согласованности численных суждений: а^ ■ а^ Ф аш .

Для обнаружения несогласованности предложен подсчет индекса согласованности сравнений, осуществляемый по матрице парных сравнений. Изложим алгоритм этого подсчета.

1. В матрице парных сравнений суммируются элементы каждого столбца.

2. Сумма элементов каждого столбца умножается на соответствующие нормализованные компоненты вектора весов, определенного из этой же матрицы.

3. Полученные числа суммируются, значение суммы обозначаем как Хтах.

4. Находим индекс согласованности L = (Xтах - п) / (п - 1), где п - число сравниваемых элементов (размер матрицы).

5. Вычисляется отношение согласованности Т = L / R, где R - число случайной согласованности, которое выбирается из табл. 2.

Таблица 2

Числа случайной согласованности

Размер матрицы 3 4 5 6 7 8 9 10

R 0,58 0,9 1,12 1,24 1,31 1,41 1,45 1,49

Расчётный пример

Пусть имеются 3 альтернативы для сравнения - Сь С 2, С 3. Матрица соответствует следующим предпочтениям: альтернатива С1 существенно превосходит альтернативу С2 и умеренно превосходит альтернативу С3; альтернатива С2 умеренно превосходит альтернативу С3.

Тогда собственные векторы для С1, С2 и С3 имеют соответственные значения 2,47; 0,848; 0,48. Нормирование этих чисел дает: w1 = 0,65; w2 = 0,22; w3 = 0,13, где wi - вес 7-й альтернативы. Итак, альтернатива С1 имеет наибольший статус.

Заключение

Экспертный метод попарного сравнения альтернатив имеет практическое применение при решении задачи определения степени ценности документа, поскольку позволяет определить не только его место в перечне конфиденциальных документов, но и числовое значение степени важности документа. Данная задача имеет практическое значение и является вспомогательной при построении системы информационной безопасности объекта.

СПИСОК ЛИТЕРА ТУРЫ

1. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. URL: http://docs.cntd.ru/document/gost-r-50922-2006 (дата обращения: 02.09.2016).

2. Конституция РФ. URL: http://www.consultant.ru/document/cons_doc_LAW_28399 (дата обращения: 02.09.2016).

3. О государственной тайне: Закон РФ от 21 июля 1993 г. N 5485-I. URL: http://base.garant.ru/ 10102673 (дата обращения: 02.09.2016).

4. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27 июля 2006 г. N 149-ФЗ. URL: http://base.garant.ru/12148555 (дата обращения: 02.09.2016).

5. О персональных данных: Федер. закон от 27 июля 2006 г. N 152-ФЗ. URL: http://base.garant.ru/ 12148567 (дата обращения: 02.09.2016).

6. Об электронной цифровой подписи: Федер. закон от 10 января 2002 г. N 1-ФЗ URL: http://base.garant.ru/184059/(дата обращения: 02.09.2016).

7. О коммерческой тайне: Федер. закон от 29 июля 2004 г. N 98-ФЗ. URL: http://base.garant.ru/12136454 (дата обращения: 02.09.2016).

8. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства РФ от 15 сентября 2008 г. N 687). URL: http://base.garant.ru/193875 (дата обращения: 12.12.2016).

9. Об обеспечении единства измерений: Федер. закон от 26.06.2008 N 102-ФЗ; URL: http: //www.consultant. ru/document/cons_doc_LAW_77904.

10. О безопасности: Федер. закон от 28.12.2010 N 390-ФЗ. URL: http://www.consultant.ru/document/ cons_doc_LAW_108546.

11. Гражданский кодекс Российской Федерации. URL: http://base.garant.ru/10164072 (дата обращения: 02.09.2016).

12. О защите прав потребителей: Закон РФ от 7 февраля 1992 г. N 2300-I. URL: http://base. garant.ru/10106035 (дата обращения: 02.09.2016).

13. Кодекс Российской Федерации об административных правонарушениях от 30 декабря 20001 г. N 195-ФЗ. URL: http://www.arbitr.ru/law/195-fz.

14. Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ URL: http://base.garant.ru/12125268.

15. Уголовный кодекс Российской Федерации. URL: http://base.garant.ru/10108000 (дата обращения: 02.09.2016).

16. Об утверждении перечня сведений конфиденциального характера: Указ Президента РФ от 6 марта 1997 г. N 188. URL: http://base.garant.ru/10200083 (дата обращения: 02.09.2016).

17. Kosmacheva I., Kvyatkovskaya I., Sibikina I., Lezhnina Yu. Algorithms of Ranking and Classification of Software Systems Elements. Some Challenges for KBSE // Proceedings 11th joint conference on knowledge-based software engineering (JCKBSE 2014, Volgograd, Russia). Волгоград: ВолГТУ, 2014. С. 400-409.

Статья поступила в редакцию 18.10.2016

ИНФОРМАЦИЯ ОБ АВТОРАХ

Сибикина Ирина Вячеславовна — Россия, 414056, Астрахань; Астраханский государственный технический университет; канд. техн. наук, доцент; доцент кафедры информационной безопасности; isibikina@bk.ru.

Белов Сергей Валерьевич — Россия, 414056, Астрахань; Астраханский государственный технический университет; канд. техн. наук, доцент; зав. кафедрой автоматизированных систем обработки информации и управления; ssbelov@yandex.ru.

Космачёва Ирина Михайловна — Россия, 414056, Астрахань; Астраханский государственный технический университет; канд. техн. наук, доцент; доцент кафедры информационной безопасности; ikosmacheva@mail.ru.

I. V. Sibikina, S. V. Belov, I. M. Kosmacheva

ALGORITHM FOR DETERMINING THE DEGREE VALUES OF CONFIDENTIAL DOCUMENTS OF THE ORGANIZATION

Abstract. To solve the problem of information security management the method was proposed that allows determining the degree of importance of confidential documents of the organization. The urgency of the proposed algorithm was substantiated taking into account the requirements of the legislation of the Russian Federation in the sphere of information security. The stages prior to the formation of the list of confidential documents of the organization were described. A review of the main documents of the legal and regulatory framework was carried out including documents relating to the state regulation of relations in the sphere of information security. The classes of protected information for the accessing categories were considered. The criteria changes of the value of information in the process of time were represented. The algorithm of formation of the list of confidential documents of the organization based on the properties of information was offered. The algorithm is based on an expert method of pair comparison of alternatives. The result of the use of this method is a number of confidential documents, ranked in descending order of importance. For each document the weighting factor of importance can be calculated. The verification stage of the degree of expert consistency was included in the methodology to eliminate the use of erroneous expert data. The application of the methodology is illustrated by a calculated example.

Key words: information security, the value of the document, expert methods.

REFERENCES

1. GOST R 50922-2006. Zashchita informatsii. Osnovnye terminy i opredeleniia [GOST R 50922-2006. Data protection. Basic terms and definitions]. Available at: http://docs.cntd.ru/document/gost-r-50922-2006 (accessed: 02.09.2016).

2. Konstitutsiia RF [The Constitution of the Russian Federation]. Available at: http://www.consultant.ru /document/cons_doc_LAW_28399 (accessed: 02.09.2016).

3. O gosudarstvennoi taine [On State Secrets]. Zakon RF ot 21 iiulia 1993 g. N 5485-I. Available at: http://base.garant.ru/10102673 (accessed: 02.09.2016).

4. Ob informatsii, informatsionnykh tekhnologiiakh i o zashchite informatsii [On information, information technologies and information protection]. Federal'nyi zakon ot 27 iiulia 2006 g. N 149-FZ. Available at: http://base.garant.ru/12148555 (accessed: 02.09.2016).

5. O personal'nykh dannykh [About Personal Data]. Federal'nyi zakon ot 27 iiulia 2006 g. N 152-FZ. Available at: http://base.garant.ru/12148567 (accessed: 02.09.2016).

6. Ob elektronnoi tsifrovoi podpisi [About the Electronic Digital Signature]. Federal'nyi zakon ot 10 ianvaria 2002 g. N 1-FZ. Available at: http://base.garant.ru/184059 (accessed: 02.09.2016).

7. O kommercheskoi taine [On Commercial Secrets]. Federal'nyi zakon ot 29 iiulia 2004 g. N 98-FZ. Available at: http://base.garant.ru/12136454 (accessed: 02.09.2016).

8. Polozhenie ob osobennostiakh obrabotki personal'nykh dannykh, osushchestvliaemoi bez ispol'zovaniia sredstv avtomatizatsii [Regulation on processing of personal data carried out without the use of automation]. Ut-verzhdeno Postanovleniem Pravitel'stva RF ot 15 sentiabria 2008 g. N 687). Available at: http://base.garant.ru/193875 (accessed: 12.12.2016).

9. Ob obespechenii edinstva izmerenii [On uniformity of measurements]. Federal'nyi zakon ot 26.06.2008 N 102-FZ. Available at: http://www.consultant.ru/document/cons_doc_LAW_77904.

10. O bezopasnosti [On security]. Federal'nyi zakon ot 28.12.2010 N 390-FZ. Available at: http://www.consultant.ru/document/cons_doc_LAW_108546.

11. Grazhdanskii kodeks Rossiiskoi Federatsii [The Civil Code of the Russian Federation]. Available at: http://base.garant.ru/10164072 (accessed: 02.09.2016).

12. O zashchite prav potrebitelei [On Consumer Rights Protection]. Zakon RF ot 7 fevralia 1992 g. N 2300-I. Available at: http://base.garant.ru/10106035 (accessed: 02.09.2016).

13. Kodeks Rossiiskoi Federatsii ob administrativnykh pravonarusheniiakh ot 30 dekabria 2001 g. N 195-FZ [The Russian code of administrative offences of 30 December 2001 N 195-FZ]. Available at: http://www.arbitr.ru/law/195-fz.

14. Trudovoi kodeks Rossiiskoi Federatsii ot 30.12.2001 № 197-FZ [The labour code of the Russian Federation from 30.12.2001 № 197-FZ]. Available at: http://base.garant.ru/12125268.

15. Ugolovnyi kodeks Rossiiskoi Federatsii [The Criminal Code of the Russian Federation]. Available at: http://base.garant.ru/10108000 (accessed: 02.09.2016).

16. Ob utverzhdenii perechnia svedenii konfidentsial'nogo kharaktera [On approving the list of confidential information]. Ukaz Prezidenta RF ot 6 marta 1997 g. N 188. Available at: http://base.garant.ru/10200083 (accessed: 02.09.2016).

17. Kosmacheva I., Kvyatkovskaya I., Sibikina I., Lezhnina Yu. Algorithms of Ranking and Classification of Software Systems Elements. Some Challenges for KBSE. Proceedings 11th joint conference on knowledge-based software engineering (JCKBSE 2014, Volgograd, Russia). Volgograd, VolGTU, 2014. P. 400-409.

The article submitted to the editors 18.10.2016

INFORMATION ABOUT THE AUTHORS

Sibikina Irina Vyacheslavovna — Russia, 414056, Astrakhan; Astrakhan State Technical University; Candidate of Technical Sciences, Assistant Professor; Assistant Professor of the Department of Information Security; isibikina@bk.ru.

Belov Sergey Valerievich — Russia, 414056, Astrakhan; Astrakhan; Astrakhan State Technical University; Candidate of Technical Sciences, Assistant Professor; Head of the Department of Automated Systems of Information Processing and Management; ssbe-lov@yandex.ru.

Kosmacheva Irina Mikhalovna — Russia, 414056, Astrakhan; Astrakhan State Technical University; Candidate of Technical Sciences, Assistant Professor; Assistant Professor of the Department of Information Security; ikosmacheva@mail.ru.

i Надоели баннеры? Вы всегда можете отключить рекламу.