УДК 004.056.5
*О.К. Юдін, д-р техн.
наук, проф.; **С.С. Бучик, к.т.н,
доц.;
*О.І. Варченко
*Національний авіаційний університет
**
Житомирський військовий інститут імені С.П. Корольова
Державного університету телекомунікацій
КЛАСИФІКАТОР ЗАГРОЗ ДЕРЖАВНИМ ІНФОРМАЦІЙНИМ РЕСУРСАМ. МЕТОДОЛОГІЯ ПОБУДОВИ
Проведений аналіз нормативно-правового забезпечення
захисту державних інформаційних ресурсів (ДІР) в інформаційній сфері нашого
суспільства свідчить про малосистемний характер відповідної діяльності, спостерігається
нечітка спрямованість визначення класів загроз різним видам ДІР (мало
деталізовані, або відсутні). Крім того, на концептуальному
та нормативному рівні не визначено перелік і
класифікація загроз інформаційним ресурсам держави, не розроблено нормативно-правового
документу, стандарту щодо поняття державних інформаційних ресурсів, його складових та
відповідної їм моделі загроз [1,2,3].
Проводячи
аналітично-правовий аналіз побудови класифікатора та моделі загроз державним
інформаційним ресурсам, а також розглядаючи загально-сформовану систему та
найбільш поширені класифікації загроз інформаційним ресурсам підприємств,
організацій і установ з різними формами власності, можна зробити висновок про відсутність загально-спрямованої системи
класифікації загроз ДІР.
Виходячи з наведеного, необхідно
побудувати основи методології створення класифікатора загроз, принципів та
методик представлення, семантики і системи кодування різних класів загроз ДІР.
В межах досліджень необхідно визначити концептуальні питання побудови
класифікатора загроз ДІР та більш детально представити зазначену модель для
першого широкого класу загроз нормативно-правового спрямування.
Розглядаючи
існуючи підходи до класифікації загроз інформаційним
ресурсам, можна встановити велике різноманіття напрямів та підходів [4,5,6]:
Аналізуючи
Закони України, Доктрину інформаційної безпеки України, існуючі стандарти, технічні
специфікації, та сучасне нормативно-правове забезпечення можна побудувати
наступну загальну систему законодавчої бази (базовий перелік), що впливає на
формування класифікації загроз ДІР (рис.1), а також визначити напрями аналізу
нормативно-правових актів (НПА).
|
|
|
Рис.1.
Основні нормативно-правові документи , що формують напрямки аналізу
створення класифікації загроз ДІР |
Авторами пропонується методологічний підхід, щодо
формування класифікатора загроз ДІР на базі запропонованого методу так званої:
«Подвійної трійки захисту». Можна визначити три базових властивості інформації, що
підлягають захисту при формуванні будь якої політики безпеки та безпосередньо
при проектуванні різних видів комплексних систем захисту інформації. Тобто, існує
законодавчо затверджена трійка властивостей інформації, яка є підґрунтям опису
першої платформи «подвійної трійки
захисту».
Розглядаючи другий етап створення основ методології формування
класифікатора, необхідно встановити базові напрями забезпечення безпеки інформації та її властивостей.
Наведені
результати досліджень дозволяють встановити наступну трійку другої
платформи методу «подвійної трійки захисту», платформи – технологій та процедур
захисту інформаційних ресурсів, що є обов’язковою для реалізації політики і
побудови різних видів систем безпеки. Зазначена трійка послідовно пов’язана від складової
нормативно-правового до інженерно-технічного забезпечення ІБ, де кожний попередній елемент є основою для наступного.
Авторами запропоновано інформаційно-аналітичну
модель методу «подвійної трійки захисту», як основу формування методології з урахуванням
складових процесу захисту інформаційних ресурсів. Перша платформа ІБ - складові, що підлягають захисту (властивості
інформації): конфіденційність; цілісність; доступність. Друга платформа ІБ - складові, що реалізують систему захисту
(методи та засоби): нормативно-правові; організаційні; інженерно-технічні. Дана
інформаційно-аналітична модель є підґрунтям для формування «Класифікатора
загроз ДІР» з подальшим поділом класифікації за характером спрямованості та виду загроз. Функціональний профіль
загрози визначено за процедурою дій порушника.
Опис класифікатора
складається з чотирьох числових частин.
Класифікатор включає: позначення спрямування загрози (01,02,03), позначення, що
характеризує тип загроз (0х.1. конфіденційність, 0х.2. цілісність , 0х.3. доступність),
позначення виду загрози в залежності від типу (0х.1.х., 0х.2.х., 0х.3.х.),
додаткова інформація про направленість загрози. Всі частини класифікатора
відділяються один від одного крапкою (рис.2).
Рис.2. Класифікатор загроз державним інформаційним ресурсам
(1 – спрямування, 2 – тип, 3 – вид, 4 – додаткова інформація)
Приклад представлення
класифікатора та системи кодування
загроз ДІР нормативно-правового спрямування представлено в табл.1.
ЛІТЕРАТУРА
1.
Інформаційна безпека. Нормативно-правове забезпечення:
підруч. / О.К. Юдін. – К.: НАУ, 2011. – 640 с.
2.
Yudin О., Buchyk S. The analysis of normatively–legal providing
of defence of state informative resources in informatiоn–telecommunication systems / Science-based technologies
. – 2013. – №2 (18) / Engineering Sciences. – P.202-206.
3.
Юдін О.К., Бучик С.С. Правові аспекти
формування системи державних інформаційних ресурсів / Безпека
інформації.–2014.–№20(1) / Технічні науки.–С.76–82.
4.
Галатенко В.А. Основы
информационной безопасности. – Режим доступу: http://www.intuit.ru
5.
Юдін О.К., Бучик С.С. Концептуальний аналіз
уразливості державних інформаційних ресурсів / Наукоємні технології.–2013.–№3(19)
/ Технічні науки.–С.299–304.
6.
Юдін О.К., Бучик С.С. Аналіз загроз державним
інформаційним ресурсам / Проблеми інформатизації та управління.–2013.–№4(44) /
Технічні науки.–С.93–99.