УДК 343.341 ББК 73.8
DOI 10.24411/2073-3313-2018-10251
ОБ ОПРЕДЕЛЕНИИ УГРОЗ БЕЗОПАСНОСТИ ПРИ СОЗДАНИИ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В УЧРЕЖДЕНИЯХ И ОРГАНАХ УГОЛОВНО-ИСПОЛНИТЕЛЬНОЙ СИСТЕМЫ
Антон Александрович ШИРКИН, Дмитрий Александрович МАТРОСОВ,
старший научный сотрудник старший научный сотрудник
НИЦ-1 ФКУ НИИ ФСИН России, ФКУ НИИ ФСИН России
кандидат юридических наук E-mail: [email protected]
E-mail: [email protected]
Анна Борисовна НАЗАРОВА, научный сотрудник НИЦ-3 ФКУ НИИ ФСИН России E-mail: [email protected]
Научные специальности по публикуемому материалу: 12.00.13 — информационное право;
05.13.19 — методы и системы защиты информации, информационная безопасность
Аннотация. В статье рассмотрены особенности определения актуальных угроз безопасности информации, обрабатываемой в ведомственных информационных системах. Представлен анализ возможных рисков возникновения ошибок при их определении, в том числе с учетом внешних факторов. Даны рекомендации по формированию требований к системе защиты информации на этапе ее создания.
Ключевые слова: информационная система, защита информации, угрозы безопасности, уголовно-исполнительная система, защита персональных данных.
Annotation. The article describes the features of determining the actual threats to the security of information processed in departmental information systems. The analysis of possible risks of errors in their determination, including taking into account external factors. Recommendations on the formation of requirements for the information security system at the stage of its creation are given.
Keywords: information system, information protection, security threats, penal system, personal data protection.
Одним из основных принципов Стратегии развития информационного общества Российской Федерации на 2017 — 2030 годы, утвержденной Указом Президента Российской Федерации от 9 мая 2017 г. № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017 — 2030 годы», является обеспечение государственной защиты интересов российских граждан в информационной сфере, в том числе сотрудников
и работников уголовно-исполнительной системы (далее — УИС).
В целях выполнения данного принципа в УИС проводится централизованная политика по обеспечению безопасности информации, в том числе персональных данных, обрабатываемых в информационных системах различного назначения, созданных для обеспечения деятельности учреждений и органов уголовно-исполнительной системы.
ЗАКОН И ПРАВО • 11-2018
В соответствии с Доктриной информационной безопасности, утвержденной Указом Президента Российской Федерации от 5 декабря 2016 г. № 646, для обеспечения информационной безопасности осуществляются взаимоувязанные по целям и времени правовые, организационные, оперативно-розыскные, разведывательные, контрразведывательные, научно-технические, информационно-аналитические, кадровые, экономические и иные меры по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению информационных угроз и ликвидации последствий их проявления.
Проведение всех перечисленных мер для обеспечения безопасности персональных данных должно в первую очередь основываться на сборе информации о потенциальных нарушителях и угрозах целостности, достоверности, защищенности, доступности и своевременности информации, дальнейшем анализе, прогнозировании и формировании принципов и методов превентивного пресечения инцидентов информационной безопасности.
С целью обеспечения дифференцированного подхода и определения защищенности информации формируются модель угроз безопасности информации и модель нарушителя безопасности.
При определении угроз безопасности информации недопустим формальный подход. С одной стороны, применение избыточных сил и средств защиты информации влечет за собой необоснованные расходы на их содержание и эксплуатацию, однако, с другой стороны, несанкционированный доступ к защищаемой информации, ознакомление с ней, искажение или уничтожение может причинить серьезный вред самой системе, нарушить работу связанных с ней систем, а также нанести ущерб субъектам персональных данных, т.е. тем лицам, чьи данные обрабатываются.
Например, в информационной системе персонифицированного учета и кадрового делопроизводства содержатся персональные данные всех без исключения категорий сотрудников и работников уголовно-исполнительной системы. Доступ злоумышленника к информации о месте жительства сотрудника и составе его семьи может привести к серьезным последствиям. Искажение либо уничтожение информации, содержащейся в информационных системах электронного мониторинга подконтрольных лиц (ФГИС СЭМПЛ), контроля транспортных средств
(ФГИС СКТС), программных средствах розыска (ГИС ПС РК), также несут в себе опасность.
Вопрос корректного определения угроз безопасности информации, обрабатываемой в информационных системах, в настоящее время достаточно актуален для обеспечения информационной безопасности уголовно-исполнительной системы как элемента государственного механизма.
Далее будут рассмотрены основные ошибки при определении возможных уязвимостей информационной системы, актуальных угроз безопасности информации с учетом возможностей нарушителя.
Источники угроз безопасности информации подразделяются на внешние и внутренние.
Внешний нарушитель — субъект (физическое лицо или организация, разведывательная служба), не входящий в состав лиц, допущенных к обслуживанию и обработке данных в информационной системе, деятельность которого направлена на нанесение ущерба безопасности системы.
Внутренний нарушитель — сотрудник (работник), допущенный к ресурсам информационной системы, преднамеренные либо непреднамеренные действия которого способствуют нанесению ущерба безопасности информации.
Как в случае внутренних, так и внешних нарушителей, существует практика занижения исходящих от них угроз безопасности информации.
При рассмотрении внутреннего нарушителя существует идеалистический подход, исключающий ошибки в эксплуатации информационных систем, обусловленные человеческим фактором, а также не рассматриваются скрытые мотивы к сознательному совершению противоправных действий.
Внешние факторы также должны рассматриваться всесторонне, поскольку определяемый уровень защищенности информации регламентирует применение соответствующего класса средств криптографической защиты информации (далее — СКЗИ) в соответствии с приказом ФСБ России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персо-
ЗАКОН И ПРАВО • 11-2018
нальных данных для каждого из уровней защищенности».
Некорректное определение класса СКЗИ, недостаточного для фактического уровня защищенности системы, создает реальные предпосылки к хищению, модификации и уничтожению информации, передаваемой по каналам связи.
При определении вероятности реализации угроз безопасности персональных данных применяется числовой коэффициент (У2), определяемый по четырем вербальным градациям:
■ «маловероятно» — У2 = 0;
■ «низкая вероятность» — У2 = 2;
■ «средняя вероятность» — У2 = 5;
■ «высокая вероятность» — У2 = 10.
В связи с тем, что вероятностные характеристики определяются по вербальным понятиям, существует значительная неопределенность при определении числового коэффициента реализуемости угрозы (У), так как вербальные понятия «маловероятно» и «низкая вероятность» имеют схожее лексическое значение, но с учетом определения возможности реализации угрозы путем перемножения коэффициентов разница имеет существенное значение.
При определении угроз утечки видовой информации, как правило, делается вывод о достаточности применяемых организационных мер для исключения вероятности данной угрозы (^2 = 0). Однако на практике вероятность реализации такой угрозы все же существует (^2 = 2), следовательно, необходимо принимать меры по ее исключению.
При рассмотрении угроз уничтожения, хищения аппаратных средств, копирования на незарегистрированный носитель, разглашения защищаемой информации и передачи ее по открытым каналам связи зачастую допускается та же самая ошибка.
Вероятность угрозы также принимается равной нулю за счет применения программно-аппаратных СКЗИ и средств антивирусной защиты при рассмотрении следующих внешних факторов:
■ несанкционированный доступ к защищаемой информации;
■ подключение к техническим средствам и системам;
■ перехват информации;
■ маскировка под пользователя;
■ доступ к защищаемой информации с при-
менением компьютерной разведки;
■ внедрение компьютерных вирусов;
■ блокирование доступа к защищаемой информации.
При этом не принимается во внимание то, что класс СКЗИ на данном этапе не определен, а значит, нельзя с вероятностью 100% гарантировать исключение данных угроз, при обновлении сигнатур баз антивирусного программного обеспечения допускаются нарушения периода обновления. Анализ частоты указанных нарушений свидетельствует о том, что вероятность угроз внешних факторов необходимо рассматривать применительно к каждому сегменту; при этом в различных случаях Y2 варьируется по значению от 2 (низкая вероятность) до 5 (средняя вероятность).
Правила определения актуальности угроз безопасности строятся на двух факторах:
1) показатель опасности;
2) возможность реализации.
Данные факторы определяются вербальными значениями «низкая», «средняя», «высокая», «очень высокая». На основе сопоставления значений показателей и возможности реализации угрозы делается заключение о ее актуальности.
Вследствие подобного подхода неактуальными могут быть признаны угрозы утечки видовой информации, в то время как видовая разведка требует наименьших ресурсов, более проста в реализации.
Не актуальными могут быть признаны также угрозы несанкционированного доступа внешнего и внутреннего нарушителя к информации, передаваемой по защищенным каналам связи, без учета класса применяемых СКЗИ и периодичности обновления антивирусных баз.
Исключение возможности ведения нарушителем видовой разведки, а также программно-аппаратных воздействий на информационные системы, и, как следствие, непринятие мер по их затруднению и исключению создает реальные угрозы безопасности защищаемой информации.
На практике при определении уровня защищенности информационной системы персональных данных по формальному признаку, без учета факторов, указанных выше, системе может быть присвоен 3-й уровень защищенности, допускающий применение СКЗИ класса КС1. Однако при проведении более подробного и квалифицированного анализа актуальности угроз безопасности информации устанавливается необходимость обеспечения 2-го уровня защищенности персональных данных и применения СКЗИ не ниже класса КС3.
ЗАКОН И ПРАВО • 11-2018
Подобное понижение уровня защищенности персональных данных и класса СКЗИ приводит к невыполнению требований приказа ФСБ России от 10 июля 2014 г. № 378 по обеспечению информационной системы автоматизированными средствами регистрации запросов и предоставления персональных данных в электронном журнале, специализированным программным обеспечением по контролю замкнутой программной среды, а, как следствие, к нарушению целостности, доступности и безопасности информации, обрабатываемой в информационной системе.
Таким образом, с учетом специфики деятельности уголовно-исполнительной системы необходимо крайне внимательно, ответственно и многогранно подходить к определению актуальных угроз безопасности информации в ведомственных информационных системах, принимать все возможные меры по обеспечению защиты персональных данных при их обработке.
Библиографический список
1. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. № 149-ФЗ // СПС «Консультант Плюс»
2. Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ // СПС «Консультант Плюс»
3. Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // СПС «Консультант Плюс»
4. Распоряжение Правительства РФ от 14.10.2010 г. № 1772-р «О Концепции развития уголовно-исполнительной системы Российской Федерации до 2020 года» // СЗ РФ. 2010. № 43. Ст. 5544.
5. Приказ Федеральной службы безопасности РФ от 10.07.2014 г. № 378 // https://rg.ru/2014/ 09/17/2а8Ийа-<1ок.Мт1
6. Приказ Федеральной службы по техническому и экспортному контролю от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» // https://fstec.ru/norma-tivnye-pravovye-akty-tzi/110-deyate1nost/tekush-chaya/tekhnicheskaya-zashchita-informatsii/norma-tivnye-pravovye-akty/prikazy/703-prikaz-fstek-rossii-ot-11-fevra1ya-2013-g-n-17
7. Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» // https://fstec.ru/norma-tivnye-pravovye-akty-tzi/110-deyate1nost/ tekushchaya/tekhnicheskaya-zashcЫta-informatsц/ normativnye-pravovye-akty/prikazy/703-prikaz-fstek-rossii-ot-11-fevra1ya-2013-g-n-17
8. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения // ^Шр:// www.internet-1aw.ru/gosts/gost/5737/
9. Информационное сообщение ФСТЭК России от 15.07.2013 г. № 240/22/2637 «По вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. № 17 и приказа ФСТЭК России от 18 февраля 2013 г. № 21» // https://fstec.ru/normativnye-pravovye-akty-tzi/110-deyate1nost/tekushchaya/ tekhnicheskaya-zashchita-informatsii/normativnye-pravovye-akty/prikazy/703-prikaz-fstek-rossц-ot-11^^^-2013^^-17
10. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах.
11. Банк данных угроз безопасности информации // bdu.fstec.ru
ЗАКОН И ПРАВО • 11-2018