Введение Информация является одним из ключевых элементов бизнеса - «Кто владеет информацией, тот владеет миром». Новые информационные технологии, Internet активно внедряются в различные сферы производства и услуг. По мере развития и усложнения средств, методов автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых информационных технологий. Несоблюдение требований безопасности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера может повлечь за собой нанесение ущерба субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. В процессе своей деятельности субъекты могут находиться друг с другом в различного рода информационных отношениях, касающихся вопросов получения, хранения, обработки, распространения и использования определенной информации. Для успешного осуществления своей деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении: - своевременного доступа (за приемлемое для них время) к необходимой им информации и определенным автоматизированным службам; - конфиденциальности (сохранения в тайне) определенной части информации; - достоверности (полноты, точности, адекватности, целостности) информации; - защиты от навязывания им ложной (недостоверной, искаженной) информации (т. е. от дезинформации); - защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т. п.); - разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией; - возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации и т. д. Согласно ГОСТ Р 50922-2006 «Защита информации» [1], защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Таким образом, каждая организация обеспечивает защиту ценной информации, являющейся предметом её собственности, в соответствии с требованиями законодательства или требованиями, устанавливаемыми собственником информации. Однако, прежде чем приступать к организации защиты документов, необходимо изучить нормативно-правовую, нормативно-техническую базу в сфере информационной безопасности, определить, к какому классу относится информация, и произвести оценку ценности информации, содержащейся в документе, что и являлось елью нашего исследования. Нормативно-правовая и нормативно-техническая база в сфере информационной безопасности Нормативную правовую базу в сфере защиты информации образуют документы федерального уровня, к которым относятся федеральные законы, указы президента Российской Федерации,·постановления правительства Российской Федерации, а именно Конституция Российской Федерации (1993 г.); Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне»; Федеральный закон (ФЗ) «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ; ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ; ФЗ «Об электронной цифровой подписи» от 10.01.2002 N 1-ФЗ; ФЗ «О коммерческой тайне» от 29.07.2004 N 98-ФЗ; Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации от 15.09.2008 г. N 687; ФЗ «Об обеспечении единства измерений» от 26.06.2008 N 102-ФЗ; ФЗ «О безопасности» от 28.12.2010 N 390-ФЗ [2-10] и др. Нормативную техническую базу образуют документы, непосредственно определяющие организационные и технические требования по защите информации, порядок их выполнения и контроля эффективности принимаемых мер защиты. К таким документам относятся: - национальные стандарты РФ; - требования и рекомендации по защите информации; - нормативные и методические документы, определяющие критерии эффективности защиты информации и порядок их контроля. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства РФ об информации, информационных технологиях и о защите информации. Ответственность за нарушение требований по защите информации ограниченного доступа устанавливают следующие нормативно-правовые акты: - Гражданский кодекс РФ (ст. 15, 16), ФЗ «О защите прав потребителя» - устанавливают гражданскую ответственность; - Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 г. № 195-ФЗ (ст. 13.11-13.14); Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ст. 57, 86; гл. 39 и др.); ФЗ «О защите прав потребителя» - устанавливают административную ответственность; - Уголовный кодекс РФ (от 13.06.1996) (ст. 138, 140, 183, 238; гл. 28 (ст. 272-274) и др.) - устанавливает уголовную ответственность [11-15]. В Уголовном кодексе РФ, как наиболее сильнодействующем законодательном акте по предупреждению преступлений и привлечению нарушителей к уголовной ответственности, вопросам безопасности информации посвящены следующие главы и статьи: Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений; Статья 140. Отказ в предоставлении гражданину информации; Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну; Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей; Статья 283. Разглашение государственной тайны; Статья 284. Утрата документов, содержащих государственную тайну [15]. Особое внимание уделяется компьютерным преступлениям, ответственность за которые предусмотрена в специальной, 28 главе кодекса «Преступления в сфере компьютерной информации». Глава 28 включает следующие статьи: Статья 272. Неправомерный доступ к компьютерной информации. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ; Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети [15]. Классы информации по категории доступа Информация, в зависимости от категории доступа к ней, подразделяется на общедоступную и информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Не может быть ограничен доступ в соответствии с ФЗ «Об информации, информационных технологиях и о защите информации» [4]: 1) к нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; 2) информации о состоянии окружающей среды; 3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); 4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; 5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами. Информация с ограниченным доступом делится на конфиденциальную и секретную (информацию, составляющую государственную тайну). К сведениям, представляющим государственную тайну, относится информация: - в военной области; - в области экономики, науки, техники, имеющая стратегическое значение; - в области внешней политики и внешней экономической деятельности; - в области разведывательной, контрразведывательной и оперативно-розыскной деятельности. Отнесение информации к государственной тайне осуществляется в соответствии с ФЗ РФ от 21.07.1993 № 5485-1 «О государственной тайне» [3]. В соответствии с указом Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера» [16] к конфиденциальной информации относятся: - сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях; - сведения, составляющие тайну следствия и судопроизводства; - служебная тайна; - профессиональная тайна (врачебная, нотариальная, адвокатская, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.); - коммерческая тайна; - сведения о сущности изобретения. После изучения нормативно-правовых документов и определения списка конфиденциальных документов организации следует переходить к следующему этапу - этапу определения количественных характеристик степени ценности данных документов. Определение ценности информации При отнесении информации к разряду защищаемой надо исходить из принципа экономической выгоды и безопасности фирмы. Чрезмерное сокрытие информации по деятельности фирмы может обернуться потерей прибыли, т. к. условия рынка требуют широкой рекламы производимой продукции и услуг. Пренебрежительное отношение к конфиденциальной информации также ведет к большим потерям, таким как срыв переговоров; утрата возможностей заключения выгодных контрактов; отказ от решений, становящихся экономически неэффективными в результате разглашения информации; дополнительные финансовые затраты для принятия новых решений; снижение рыночной стоимости продукции или сокращение объемов продаж; разрыв или существенное снижение уровня деловых отношений с партнерами; потеря возможности патентования и продажи лицензий; ухудшение условий получения кредитов; появление трудностей (сокращение объемов продаж, приобретении оборудования; сокращение рынка сбыта вследствие опережающих поставок аналогичной продукции конкурентом; сокращение конкурентами затрат на проведение научных и опытных работ. Ценность информации определяется степенью ее полезности для владельца. Цена, как и ценность информации, связана с полезностью информации для конкретных людей, организаций, государств. Информация может быть ценной для ее владельца, но бесполезной для других. В этом случае информация не может быть товаром, а следовательно, она не имеет и цены. Как любой товар, информация имеет себестоимость, которая определяется затратами на ее получение. Себестоимость зависит от выбора путей получения информации и минимизации затрат при добывании необходимых сведений выбранным путем. Для каждой «единицы» защищаемой информации есть несколько параметров, которые необходимо учитывать: - статичность; - размер и тип доступа; - время жизни; - стоимость создания; - стоимость потери конфиденциальности; - стоимость скрытого нарушения целостности; - стоимость утраты. Статичность определяет, может ли защищаемая информация изменяться в процессе нормального использования. Так изменяется содержимое базы данных при добавлении новых или модификации существующих записей. Размер и тип доступа (последовательный или произвольный) также накладывают ограничения на средства защиты. Время жизни информации - это важный параметр, определяющий, как долго информация должна находиться в статусе защищаемой. Время устаревания информации изменяется в довольно широких границах. Для каких-то субъектов она устаревает за доли секунд, для других остается актуальной в течение долгого времени. Время жизни большей части персональной информации (банковской, медицинской и т. п.) соответствует времени жизни владельца - после его смерти разглашение такой информации уже никому не принесет ни вреда, ни выгоды. Для каждого государственного секрета, как правило, тоже определен период, в течение которого информация не должна стать публичной. Однако с некоторых документов грифы не снимаются никогда - это случай, когда время жизни информации не ограничено. Стоимость создания является численным выражением совокупности ресурсов (финансовых, человеческих, временных), затраченных на создание информации. Фактически это ее себестоимость. Стоимость потери конфиденциальности выражает возможные убытки, которые понесет владелец информации, если к ней получат неавторизованный доступ сторонние лица. Как правило, стоимость потери конфиденциальности многократно превышает себестоимость информации. По истечении времени жизни информации стоимость потери ее конфиденциальности становится равной нулю. Зависимость ценности информации от времени приближенно определяется в соответствии с выражением где С0 - ценность информации в момент ее возникновения (получения); t - время от момента возникновения информации до момента определения ее стоимости; τ - время от момента возникновения информации до момента ее устаревания. Стоимость скрытого нарушения целостности выражает убытки, которые могут возникнуть вследствие внесения изменений в информацию, если факт модификации не был обнаружен. Нарушения целостности могут носить различный характер. Они могут быть как случайными, так и преднамеренными. Модификации может подвергаться не только непосредственно текст сообщения или документа, но и дата отправки или имя автора. Стоимость утраты описывает ущерб от полного или частичного разрушения информации. При обнаружении нарушения целостности и невозможности получить ту же информацию из другого источника информация считается утраченной. Рассмотрим способ формирования списка конфиденциальных документов фирмы (организации) с учетом рассмотренных ранее свойств информации. Алгоритм формирования перечня конфиденциальных документов Для составления перечня сведений конфиденциального характера рассмотрим решение указанной задачи на базе метода анализа иерархий. Этот метод предусматривает для решения тех или иных задач использование опроса группы экспертов, являющихся специалистами в сфере рассматриваемого вопроса [17]. Для формирования перечня конфиденциальных документов и определения степени их важности необходимо выполнить следующие этапы: 1. Изучить нормативно-правовые документы, касающиеся вопросов определения защищаемой информации для данной организации. 2. Сформировать примерный перечень документов организации. 3. Определить приблизительную ценность информации, содержащейся в документах. При этом в совокупности учитываются такие критерии, как стоимость создания, стоимость разглашения, влияние на непрерывность ведения бизнеса, содержащейся в указанных документах, время жизни документа и т. д. 4. Сформировать перечень конфиденциальных документов фирмы (организации). 5. Оценить важность документа. 6. Рассчитать отношение согласованности экспертов. Для оценки важности документа можно использовать экспертные методы, в частности метод попарных сравнений альтернатив. В нашем случае альтернативами являются документы, для которых необходимо получить веса важности. Метод основан на парных сравнениях альтернативных вариантов по различным критериям с использованием девятибалльной шкалы. Числовые значения различной степени превосходства одного документа над другим приведены в табл. 1. Таблица 1 Шкала для сравнения документов Степень превосходства Числовое значение Равная важность 1 Умеренное превосходство одного над другим 3 Существенное превосходство одного над другим 5 Значительное превосходство одного над другим 7 Очень сильное превосходство одного над другим 9 Соответствующие промежуточные значения 2, 4, 6, 8 Пусть задано конечное число объектов (документов) . Необходимо построить вектор, состоящий из неотрицательных вещественных компонент такой, что . Числа интерпретируются как весовые коэффициенты, определяющие важность или полезность объекта . Чем больше значение , тем выше полезность объекта . Основным объектом в рассматриваемом методе является матрица парных сравнений. Элемент матрицы интерпретируется как коэффициент превосходства i-го объекта над j-м объектом. Если , то i-й объект важнее j-го. Легко доказать, что искомый вектор является собственным вектором матрицы S, соответствующим максимальному собственному числу матрицы , и может быть найден как решение сиcтемы уравнений . Таблицы позволяют рассчитать коэффициенты важности объектов сравнения. Для этого нужно вычислить собственные векторы матрицы, а затем пронормировать их. Для вычисления собственного вектора матрицы используется формула Задав субъективно порог (равный значению коэффициента важности пограничного документа, отнесение которого к конфиденциальному неочевидно), можно сформировать примерный перечень конфиденциальных документов организации. При заполнении матриц попарных сравнений человек может делать ошибки. Одной из возможных ошибок является нарушение транзитивности: из , может не следовать ( - элементы матрицы попарных сравнений). Кроме того, возможны нарушения согласованности численных суждений: . Для обнаружения несогласованности предложен подсчет индекса согласованности сравнений, осуществляемый по матрице парных сравнений. Изложим алгоритм этого подсчета. 1. В матрице парных сравнений суммируются элементы каждого столбца. 2. Сумма элементов каждого столбца умножается на соответствующие нормализованные компоненты вектора весов, определенного из этой же матрицы. 3. Полученные числа суммируются, значение суммы обозначаем как 4. Находим индекс согласованности L = (- n) / (n - l), где n - число сравниваемых элементов (размер матрицы). 5. Вычисляется отношение согласованности T = L / R, где R - число случайной согласованности, которое выбирается из табл. 2. Таблица 2 Числа случайной согласованности Размер матрицы 3 4 5 6 7 8 9 10 R 0,58 0,9 1,12 1,24 1,31 1,41 1,45 1,49 Расчётный пример Пусть имеются 3 альтернативы для сравнения - С1, С 2, С 3. Матрица соответствует следующим предпочтениям: альтернатива С1 существенно превосходит альтернативу С2 и умеренно превосходит альтернативу С3; альтернатива С2 умеренно превосходит альтернативу С3. Тогда собственные векторы для С1, С2 и С3 имеют соответственные значения 2,47; 0,848; 0,48. Нормирование этих чисел дает: = 0,65; = 0,22; = 0,13, где - вес i-й альтернативы. Итак, альтернатива С1 имеет наибольший статус. Заключение Экспертный метод попарного сравнения альтернатив имеет практическое применение при решении задачи определения степени ценности документа, поскольку позволяет определить не только его место в перечне конфиденциальных документов, но и числовое значение степени важности документа. Данная задача имеет практическое значение и является вспомогательной при построении системы информационной безопасности объекта.