ALGORITHM FOR DETERMINING THE DEGREE VALUES OF CONFIDENTIAL DOCUMENTS OF THE ORGANIZATION
Authors:
1.
Astrakhan State Technical University
(Candidate of Sciences in Technology, Assistant Professor; Head of the Institute of Information Technologies and Communications)
Russian Federation
Russian Federation
2.
Astrakhan State Technical University
(Candidate of Technical Sciences, Assistant Professor; Assistant Professor of the Department of Information Security)
3.
Astrakhan State Technical University
(Candidate of Technical Sciences, Assistant Professor; Assistant Professor of the Department of Information Security)
Type:
Article
Pages:
from 80
to 88
Status:
Published
Received:
05.01.2017
Accepted:
25.01.2017
Published:
25.01.2017
Subject area:
VAC 05.12.2013 Системы, сети и устройства телекоммуникаций
VAC 05.13.01 Системный анализ, управление и обработка информации (по отраслям)
VAC 05.13.06 Автоматизация и управление технологическими процессами и производствами (по отраслям)
VAC 05.13.10 Управление в социальных и экономических системах
VAC 05.13.18 Математическое моделирование, численные методы и комплексы программ
VAC 05.13.19 Методы и системы защиты информации, информационная безопасность
UDK 004.056.5
GRNTI 20.01 Общие вопросы информатики
GRNTI 28.01 Общие вопросы кибернетики
GRNTI 49.01 Общие вопросы связи
GRNTI 50.01 Общие вопросы автоматики и вычислительной техники
GRNTI 82.01 Общие вопросы организации и управления
VAC 05.13.01 Системный анализ, управление и обработка информации (по отраслям)
VAC 05.13.06 Автоматизация и управление технологическими процессами и производствами (по отраслям)
VAC 05.13.10 Управление в социальных и экономических системах
VAC 05.13.18 Математическое моделирование, численные методы и комплексы программ
VAC 05.13.19 Методы и системы защиты информации, информационная безопасность
UDK 004.056.5
GRNTI 20.01 Общие вопросы информатики
GRNTI 28.01 Общие вопросы кибернетики
GRNTI 49.01 Общие вопросы связи
GRNTI 50.01 Общие вопросы автоматики и вычислительной техники
GRNTI 82.01 Общие вопросы организации и управления
Language:
Russian
Keywords:
information security, the value of the document, expert methods
Abstract (English):
To solve the problem of information security management the method was proposed that allows determining the degree of importance of confidential documents of the organization. The urgency of the proposed algorithm was substantiated taking into account the requirements of the legislation of the Russian Federation in the sphere of information security. The stages prior to the formation of the list of confidential documents of the organization were described. A review of the main documents of the legal and regulatory framework was carried out including documents relating to the state regulation of relations in the sphere of information security. The classes of protected information for the accessing categories were considered. The criteria changes of the value of information in the process of time were represented. The algorithm of formation of the list of confidential documents of the organization based on the properties of information was offered. The algorithm is based on an expert method of pair comparison of alternatives. The result of the use of this method is a number of confidential documents, ranked in descending order of importance. For each document the weighting factor of importance can be calculated. The verification stage of the degree of expert consistency was included in the methodology to eliminate the use of erroneous expert data. The application of the methodology is illustrated by a calculated example.
To solve the problem of information security management the method was proposed that allows determining the degree of importance of confidential documents of the organization. The urgency of the proposed algorithm was substantiated taking into account the requirements of the legislation of the Russian Federation in the sphere of information security. The stages prior to the formation of the list of confidential documents of the organization were described. A review of the main documents of the legal and regulatory framework was carried out including documents relating to the state regulation of relations in the sphere of information security. The classes of protected information for the accessing categories were considered. The criteria changes of the value of information in the process of time were represented. The algorithm of formation of the list of confidential documents of the organization based on the properties of information was offered. The algorithm is based on an expert method of pair comparison of alternatives. The result of the use of this method is a number of confidential documents, ranked in descending order of importance. For each document the weighting factor of importance can be calculated. The verification stage of the degree of expert consistency was included in the methodology to eliminate the use of erroneous expert data. The application of the methodology is illustrated by a calculated example.
Keywords:
information security, the value of the document, expert methods
information security, the value of the document, expert methods
Введение Информация является одним из ключевых элементов бизнеса - «Кто владеет информацией, тот владеет миром». Новые информационные технологии, Internet активно внедряются в различные сферы производства и услуг. По мере развития и усложнения средств, методов автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых информационных технологий. Несоблюдение требований безопасности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера может повлечь за собой нанесение ущерба субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. В процессе своей деятельности субъекты могут находиться друг с другом в различного рода информационных отношениях, касающихся вопросов получения, хранения, обработки, распространения и использования определенной информации. Для успешного осуществления своей деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении: - своевременного доступа (за приемлемое для них время) к необходимой им информации и определенным автоматизированным службам; - конфиденциальности (сохранения в тайне) определенной части информации; - достоверности (полноты, точности, адекватности, целостности) информации; - защиты от навязывания им ложной (недостоверной, искаженной) информации (т. е. от дезинформации); - защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т. п.); - разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией; - возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации и т. д. Согласно ГОСТ Р 50922-2006 «Защита информации» [1], защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Таким образом, каждая организация обеспечивает защиту ценной информации, являющейся предметом её собственности, в соответствии с требованиями законодательства или требованиями, устанавливаемыми собственником информации. Однако, прежде чем приступать к организации защиты документов, необходимо изучить нормативно-правовую, нормативно-техническую базу в сфере информационной безопасности, определить, к какому классу относится информация, и произвести оценку ценности информации, содержащейся в документе, что и являлось елью нашего исследования. Нормативно-правовая и нормативно-техническая база в сфере информационной безопасности Нормативную правовую базу в сфере защиты информации образуют документы федерального уровня, к которым относятся федеральные законы, указы президента Российской Федерации,·постановления правительства Российской Федерации, а именно Конституция Российской Федерации (1993 г.); Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне»; Федеральный закон (ФЗ) «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ; ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ; ФЗ «Об электронной цифровой подписи» от 10.01.2002 N 1-ФЗ; ФЗ «О коммерческой тайне» от 29.07.2004 N 98-ФЗ; Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации от 15.09.2008 г. N 687; ФЗ «Об обеспечении единства измерений» от 26.06.2008 N 102-ФЗ; ФЗ «О безопасности» от 28.12.2010 N 390-ФЗ [2-10] и др. Нормативную техническую базу образуют документы, непосредственно определяющие организационные и технические требования по защите информации, порядок их выполнения и контроля эффективности принимаемых мер защиты. К таким документам относятся: - национальные стандарты РФ; - требования и рекомендации по защите информации; - нормативные и методические документы, определяющие критерии эффективности защиты информации и порядок их контроля. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства РФ об информации, информационных технологиях и о защите информации. Ответственность за нарушение требований по защите информации ограниченного доступа устанавливают следующие нормативно-правовые акты: - Гражданский кодекс РФ (ст. 15, 16), ФЗ «О защите прав потребителя» - устанавливают гражданскую ответственность; - Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 г. № 195-ФЗ (ст. 13.11-13.14); Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ст. 57, 86; гл. 39 и др.); ФЗ «О защите прав потребителя» - устанавливают административную ответственность; - Уголовный кодекс РФ (от 13.06.1996) (ст. 138, 140, 183, 238; гл. 28 (ст. 272-274) и др.) - устанавливает уголовную ответственность [11-15]. В Уголовном кодексе РФ, как наиболее сильнодействующем законодательном акте по предупреждению преступлений и привлечению нарушителей к уголовной ответственности, вопросам безопасности информации посвящены следующие главы и статьи: Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений; Статья 140. Отказ в предоставлении гражданину информации; Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну; Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей; Статья 283. Разглашение государственной тайны; Статья 284. Утрата документов, содержащих государственную тайну [15]. Особое внимание уделяется компьютерным преступлениям, ответственность за которые предусмотрена в специальной, 28 главе кодекса «Преступления в сфере компьютерной информации». Глава 28 включает следующие статьи: Статья 272. Неправомерный доступ к компьютерной информации. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ; Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети [15]. Классы информации по категории доступа Информация, в зависимости от категории доступа к ней, подразделяется на общедоступную и информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Не может быть ограничен доступ в соответствии с ФЗ «Об информации, информационных технологиях и о защите информации» [4]: 1) к нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; 2) информации о состоянии окружающей среды; 3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); 4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; 5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами. Информация с ограниченным доступом делится на конфиденциальную и секретную (информацию, составляющую государственную тайну). К сведениям, представляющим государственную тайну, относится информация: - в военной области; - в области экономики, науки, техники, имеющая стратегическое значение; - в области внешней политики и внешней экономической деятельности; - в области разведывательной, контрразведывательной и оперативно-розыскной деятельности. Отнесение информации к государственной тайне осуществляется в соответствии с ФЗ РФ от 21.07.1993 № 5485-1 «О государственной тайне» [3]. В соответствии с указом Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера» [16] к конфиденциальной информации относятся: - сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях; - сведения, составляющие тайну следствия и судопроизводства; - служебная тайна; - профессиональная тайна (врачебная, нотариальная, адвокатская, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.); - коммерческая тайна; - сведения о сущности изобретения. После изучения нормативно-правовых документов и определения списка конфиденциальных документов организации следует переходить к следующему этапу - этапу определения количественных характеристик степени ценности данных документов. Определение ценности информации При отнесении информации к разряду защищаемой надо исходить из принципа экономической выгоды и безопасности фирмы. Чрезмерное сокрытие информации по деятельности фирмы может обернуться потерей прибыли, т. к. условия рынка требуют широкой рекламы производимой продукции и услуг. Пренебрежительное отношение к конфиденциальной информации также ведет к большим потерям, таким как срыв переговоров; утрата возможностей заключения выгодных контрактов; отказ от решений, становящихся экономически неэффективными в результате разглашения информации; дополнительные финансовые затраты для принятия новых решений; снижение рыночной стоимости продукции или сокращение объемов продаж; разрыв или существенное снижение уровня деловых отношений с партнерами; потеря возможности патентования и продажи лицензий; ухудшение условий получения кредитов; появление трудностей (сокращение объемов продаж, приобретении оборудования; сокращение рынка сбыта вследствие опережающих поставок аналогичной продукции конкурентом; сокращение конкурентами затрат на проведение научных и опытных работ. Ценность информации определяется степенью ее полезности для владельца. Цена, как и ценность информации, связана с полезностью информации для конкретных людей, организаций, государств. Информация может быть ценной для ее владельца, но бесполезной для других. В этом случае информация не может быть товаром, а следовательно, она не имеет и цены. Как любой товар, информация имеет себестоимость, которая определяется затратами на ее получение. Себестоимость зависит от выбора путей получения информации и минимизации затрат при добывании необходимых сведений выбранным путем. Для каждой «единицы» защищаемой информации есть несколько параметров, которые необходимо учитывать: - статичность; - размер и тип доступа; - время жизни; - стоимость создания; - стоимость потери конфиденциальности; - стоимость скрытого нарушения целостности; - стоимость утраты. Статичность определяет, может ли защищаемая информация изменяться в процессе нормального использования. Так изменяется содержимое базы данных при добавлении новых или модификации существующих записей. Размер и тип доступа (последовательный или произвольный) также накладывают ограничения на средства защиты. Время жизни информации - это важный параметр, определяющий, как долго информация должна находиться в статусе защищаемой. Время устаревания информации изменяется в довольно широких границах. Для каких-то субъектов она устаревает за доли секунд, для других остается актуальной в течение долгого времени. Время жизни большей части персональной информации (банковской, медицинской и т. п.) соответствует времени жизни владельца - после его смерти разглашение такой информации уже никому не принесет ни вреда, ни выгоды. Для каждого государственного секрета, как правило, тоже определен период, в течение которого информация не должна стать публичной. Однако с некоторых документов грифы не снимаются никогда - это случай, когда время жизни информации не ограничено. Стоимость создания является численным выражением совокупности ресурсов (финансовых, человеческих, временных), затраченных на создание информации. Фактически это ее себестоимость. Стоимость потери конфиденциальности выражает возможные убытки, которые понесет владелец информации, если к ней получат неавторизованный доступ сторонние лица. Как правило, стоимость потери конфиденциальности многократно превышает себестоимость информации. По истечении времени жизни информации стоимость потери ее конфиденциальности становится равной нулю. Зависимость ценности информации от времени приближенно определяется в соответствии с выражением где С0 - ценность информации в момент ее возникновения (получения); t - время от момента возникновения информации до момента определения ее стоимости; τ - время от момента возникновения информации до момента ее устаревания. Стоимость скрытого нарушения целостности выражает убытки, которые могут возникнуть вследствие внесения изменений в информацию, если факт модификации не был обнаружен. Нарушения целостности могут носить различный характер. Они могут быть как случайными, так и преднамеренными. Модификации может подвергаться не только непосредственно текст сообщения или документа, но и дата отправки или имя автора. Стоимость утраты описывает ущерб от полного или частичного разрушения информации. При обнаружении нарушения целостности и невозможности получить ту же информацию из другого источника информация считается утраченной. Рассмотрим способ формирования списка конфиденциальных документов фирмы (организации) с учетом рассмотренных ранее свойств информации. Алгоритм формирования перечня конфиденциальных документов Для составления перечня сведений конфиденциального характера рассмотрим решение указанной задачи на базе метода анализа иерархий. Этот метод предусматривает для решения тех или иных задач использование опроса группы экспертов, являющихся специалистами в сфере рассматриваемого вопроса [17]. Для формирования перечня конфиденциальных документов и определения степени их важности необходимо выполнить следующие этапы: 1. Изучить нормативно-правовые документы, касающиеся вопросов определения защищаемой информации для данной организации. 2. Сформировать примерный перечень документов организации. 3. Определить приблизительную ценность информации, содержащейся в документах. При этом в совокупности учитываются такие критерии, как стоимость создания, стоимость разглашения, влияние на непрерывность ведения бизнеса, содержащейся в указанных документах, время жизни документа и т. д. 4. Сформировать перечень конфиденциальных документов фирмы (организации). 5. Оценить важность документа. 6. Рассчитать отношение согласованности экспертов. Для оценки важности документа можно использовать экспертные методы, в частности метод попарных сравнений альтернатив. В нашем случае альтернативами являются документы, для которых необходимо получить веса важности. Метод основан на парных сравнениях альтернативных вариантов по различным критериям с использованием девятибалльной шкалы. Числовые значения различной степени превосходства одного документа над другим приведены в табл. 1. Таблица 1 Шкала для сравнения документов Степень превосходства Числовое значение Равная важность 1 Умеренное превосходство одного над другим 3 Существенное превосходство одного над другим 5 Значительное превосходство одного над другим 7 Очень сильное превосходство одного над другим 9 Соответствующие промежуточные значения 2, 4, 6, 8 Пусть задано конечное число объектов (документов) . Необходимо построить вектор, состоящий из неотрицательных вещественных компонент такой, что . Числа интерпретируются как весовые коэффициенты, определяющие важность или полезность объекта . Чем больше значение , тем выше полезность объекта . Основным объектом в рассматриваемом методе является матрица парных сравнений. Элемент матрицы интерпретируется как коэффициент превосходства i-го объекта над j-м объектом. Если , то i-й объект важнее j-го. Легко доказать, что искомый вектор является собственным вектором матрицы S, соответствующим максимальному собственному числу матрицы , и может быть найден как решение сиcтемы уравнений . Таблицы позволяют рассчитать коэффициенты важности объектов сравнения. Для этого нужно вычислить собственные векторы матрицы, а затем пронормировать их. Для вычисления собственного вектора матрицы используется формула Задав субъективно порог (равный значению коэффициента важности пограничного документа, отнесение которого к конфиденциальному неочевидно), можно сформировать примерный перечень конфиденциальных документов организации. При заполнении матриц попарных сравнений человек может делать ошибки. Одной из возможных ошибок является нарушение транзитивности: из , может не следовать ( - элементы матрицы попарных сравнений). Кроме того, возможны нарушения согласованности численных суждений: . Для обнаружения несогласованности предложен подсчет индекса согласованности сравнений, осуществляемый по матрице парных сравнений. Изложим алгоритм этого подсчета. 1. В матрице парных сравнений суммируются элементы каждого столбца. 2. Сумма элементов каждого столбца умножается на соответствующие нормализованные компоненты вектора весов, определенного из этой же матрицы. 3. Полученные числа суммируются, значение суммы обозначаем как 4. Находим индекс согласованности L = (- n) / (n - l), где n - число сравниваемых элементов (размер матрицы). 5. Вычисляется отношение согласованности T = L / R, где R - число случайной согласованности, которое выбирается из табл. 2. Таблица 2 Числа случайной согласованности Размер матрицы 3 4 5 6 7 8 9 10 R 0,58 0,9 1,12 1,24 1,31 1,41 1,45 1,49 Расчётный пример Пусть имеются 3 альтернативы для сравнения - С1, С 2, С 3. Матрица соответствует следующим предпочтениям: альтернатива С1 существенно превосходит альтернативу С2 и умеренно превосходит альтернативу С3; альтернатива С2 умеренно превосходит альтернативу С3. Тогда собственные векторы для С1, С2 и С3 имеют соответственные значения 2,47; 0,848; 0,48. Нормирование этих чисел дает: = 0,65; = 0,22; = 0,13, где - вес i-й альтернативы. Итак, альтернатива С1 имеет наибольший статус. Заключение Экспертный метод попарного сравнения альтернатив имеет практическое применение при решении задачи определения степени ценности документа, поскольку позволяет определить не только его место в перечне конфиденциальных документов, но и числовое значение степени важности документа. Данная задача имеет практическое значение и является вспомогательной при построении системы информационной безопасности объекта.
1. GOST R 50922-2006. Zaschita informacii. Osnovnye terminy i opredeleniya. URL: http://docs.cntd.ru/document/gost-r-50922-2006 (data obrascheniya: 02.09.2016).
2. Konstituciya RF. URL: http://www.consultant.ru/document/cons_doc_LAW_28399 (data obrascheniya: 02.09.2016).
3. O gosudarstvennoy tayne: Zakon RF ot 21 iyulya 1993 g. N 5485-I. URL: http://base.garant.ru/ 10102673 (data obrascheniya: 02.09.2016).
4. Ob informacii, informacionnyh tehnologiyah i o zaschite informacii: Federal'nyy zakon ot 27 iyulya 2006 g. N 149-FZ. URL: http://base.garant.ru/12148555 (data obrascheniya: 02.09.2016).
5. O personal'nyh dannyh: Feder. zakon ot 27 iyulya 2006 g. N 152-FZ. URL: http://base.garant.ru/ 12148567 (data obrascheniya: 02.09.2016).
6. Ob elektronnoy cifrovoy podpisi: Feder. zakon ot 10 yanvarya 2002 g. N 1-FZ URL: http://base.garant.ru/184059/(data obrascheniya: 02.09.2016).
7. O kommercheskoy tayne: Feder. zakon ot 29 iyulya 2004 g. N 98-FZ. URL: http://base.garant.ru/12136454 (data obrascheniya: 02.09.2016).
8. Polozhenie ob osobennostyah obrabotki personal'nyh dannyh, osuschestvlyaemoy bez ispol'zovaniya sredstv avtomatizacii (utv. Postanovleniem Pravitel'stva RF ot 15 sentyabrya 2008 g. N 687). URL: http://base.garant.ru/193875 (data obrascheniya: 12.12.2016).
9. Ob obespechenii edinstva izmereniy: Feder. zakon ot 26.06.2008 N 102-FZ; URL: http://www.consultant.ru/document/cons_doc_LAW_77904.
10. O bezopasnosti: Feder. zakon ot 28.12.2010 N 390-FZ. URL: http://www.consultant.ru/document/ cons_doc_LAW_108546.
11. Grazhdanskiy kodeks Rossiyskoy Federacii. URL: http://base.garant.ru/10164072 (data obrascheniya: 02.09.2016).
12. O zaschite prav potrebiteley: Zakon RF ot 7 fevralya 1992 g. N 2300-I. URL: http://base. garant.ru/10106035 (data obrascheniya: 02.09.2016).
13. Kodeks Rossiyskoy Federacii ob administrativnyh pravonarusheniyah ot 30 dekabrya 20001 g. N 195-FZ. URL: http://www.arbitr.ru/law/195-fz.
14. Trudovoy kodeks RF ot 30.12.2001 g. № 197-FZ URL: http://base.garant.ru/12125268.
15. Ugolovnyy kodeks Rossiyskoy Federacii. URL: http://base.garant.ru/10108000 (data obrascheniya: 02.09.2016).
16. Ob utverzhdenii perechnya svedeniy konfidencial'nogo haraktera: Ukaz Prezidenta RF ot marta 1997 g. N 188. URL: http://base.garant.ru/10200083 (data obrascheniya: 02.09.2016).
17. Kosmacheva I., Kvyatkovskaya I., Sibikina I., Lezhnina Yu. Algorithms of Ranking and Classification of Software Systems Elements. Some Challenges for KBSE // Proceedings 11th joint conference on knowledge-based software engineering (JCKBSE 2014, Volgograd, Russia). Volgograd: VolGTU, 2014. S. 400-409.
