*О.К. Юдін, д-р техн. наук, проф.; **С.С. Бучик,
к.т.н, доц.
*Національний авіаційний
університет
** Житомирський військовий
інститут імені С.П. Корольова
Державного університету
телекомунікацій
КЛАСИФІКАЦІЯ
ЗАГРОЗ ДЕРЖАВНИМ ІНФОРМАЦІЙНИМ РЕСУРСАМ ОГРАНІЗАЦІЙНОГО СПРЯМУВАННЯ.
МЕТОДОЛОГІЯ ПОБУДОВИ КЛАСИФІКАТОРА
Визначення
організаційної складової з урахуванням захисту інформаційних ресурсів, є
обов’язковим процесом при розробці комплексних систем захисту інформації згідно
вітчизняних та міжнародних вимог і стандартів. Організаційна складова, це
частка базової платформи інформаційної безпеки державних інформаційних ресурсів:
нормативно-правове, організаційне та технічне забезпечення. Даному питанню
приділяють широку увагу багато професійно спрямованих організацій та вчених.
Так, цей елемент є обов’язковою складовою законодавчої та нормативно-правової
бази країни з умов створення міжнародних, державних, галузевих стандартів,
нормативних документів технічного й криптографічного захисту інформації (НД
ТЗІ, НД КЗІ), інструкцій операторів
робочих станцій, тощо.
Прикладом
впровадження організаційної складової в розбудові системи менеджменту
інформаційної безпеки може служити
класифікатор загроз інформаційної безпеки DSECCT (Digital Security
Classification of Threats), розроблений фахівцями компанії Digital Security [1].
Показано, що на базі встановленої моделі загроз організаційного характеру,
впроваджується безпосередньо сама система регламентації процесів функціонування
автоматизованої системи (АС) та корегується діяльність персоналу з метою
максимального утруднення або повного виключення процедур реалізації загроз
інформаційним ресурсам.
Виходячи
з наведеного, актуальним є проведення подальшої розробки та вдосконалення
методології побудови класифікатора загроз державним інформаційним ресурсам на основі
платформи організаційного спрямування, розбудови базових прикладів кодифікації за розробленою методологією «подвійної трійки»
та опис основних загроз організаційного спрямування.
Авторами
здійснено ретельний аналіз світових тенденцій організаційно-правової
систематизації різних класів моделей й політик безпеки інформаційних систем
(ІС). В попередніх роботах викладено основні розробки та представлено ряд
сучасних теоретичних та практичних підходів до вирішення нормативно-правових та
організаційно-технічних завдань реалізації процесу взаємопов’язаної процедури
кодифікації й формування стандартизованого
класифікатора загроз [2,3,4,5].
Актуальність
дослідження обумовлена необхідністю введення чіткої системи класифікації загроз
державним інформаційним ресурсам (ДІР) за організаційним спрямуванням. Даний
напрям досліджень є подальшим розвитком теорії створення реєстру державних
інформаційних ресурсів, а також
встановлює концептуальні підходи до побудови сучасних моделей порушника
й загроз ДІР [2,3].
Досліджуючи
підхід розроблений Віхоревим С. В. [6], при класифікації загроз інформаційній
безпеці спостерігається відсутність прямих посилань на клас організаційних
загроз, як складової загальної моделі. Основою його класифікації є так звана
категорія класифікації загроз, як збиток інформаційним ресурсам або бізнес
процесам організації.
Звертаючись
до переліку типових загроз інформаційної безпеки, пов’язаних з міжнародним
стандартом ISO/IEC 27002:2005, можна
побачити відсутність у прямій постановці класифікацію загроз організаційного спрямування
(наприклад присутні: фізичні загрози, юридичні загрози, загрози антропогенних
та природних катастроф, загрози нецільового використання комп’ютерного
обладнання та мережі, порушення правил безпеки та витоку інформації через
співробітників організації і т.д.).
Все
більш поширюється практика вирішення питання класифікації загроз інформаційним
ресурсам, що тісно пов’язана з теорією управління ризиками. Так, професор
Астахов О. М. в своєму підході при класифікації
загроз, також окремо не виділяє і не посилається на категорію загроз
організаційного спрямування. Його підхід заснований на міжнародних стандартах
системи менеджменту інформаційної безпеки з умов організації безперервності
бізнес процесів й мінімізації ризиків [7].
Класифікація
загроз інформаційній безпеці представлена професором
Корченко А. Г., виконана за такими основними базовими ознаками, як вплив та
порушення основних властивостей інформації: конфіденційності (К-тип), цілісності (Ц-тип), доступності
(Д-тип), або їх комбінації (КЦ-тип, КД-тип, ЦД-тип, КЦД-тип), а також за
природою джерела (об’єктивна і суб’єктивна). У вказаній постановці, до класифікації, не визначені загрози
організаційного спрямування [8].
В
нормативному документі Адміністрації Держспецзв'язку НД ТЗІ 1.4-001-2000
«Типове положення про службу захисту інформації в автоматизованій системі»
(затверджено наказом Департаменту спеціальних телекомунікаційних систем та
захисту інформації Служби безпеки України від 04.12.2000 року №53, із змінами
згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 № 806) приведені
основні загрози для інформації в автоматизованих системах (АС) та вказано, що
основою для проведення аналізу ризиків і формування вимог до комплексної
системи захисту інформації (КСЗІ) є розробка моделі загроз та моделі порушника.
Дана класифікація загроз побудована за загальноприйнятою формою і ознаками.
Зокрема, загрози для інформації, що обробляється в АС, залежать від
характеристик обчислювальної системи (ОС), фізичного середовища, персоналу,
технологій обробки та інших чинників і можуть мати об'єктивну або суб'єктивну
природу. Загрози, що мають суб'єктивну природу, поділяються на випадкові
(ненавмисні) та навмисні. Жодного прямого посилання на класифікацію загроз, що
наведена авторами в попередніх дослідженнях не визначено.
Таким
чином, можна дійти висновку: формування моделей загроз, методика опису та їх
класифікація, представлення що ґрунтується на різноманітті загроз інформації
організаційного спрямування, як безпосередньо визначений клас загроз ДІР –
відсутній. Авторами досліджень
встановлено, що представлена методологія формування класифікатора загроз ДІР за
відповідним спрямуванням платформ «подвійної трійки захисту»
(нормативно-правовим, організаційним, інженерно-технічним) не розглядалась та
даний напрямок не вирізнявся зовсім [3].
Перед
тим, як навести опис загроз ДІР організаційного спрямування, нагадаємо про
складові, що відносяться до методології побудови класифікатора. Визначено, що підґрунтям
для формування «Класифікатора загроз ДІР» є запропонована авторами методологія
«подвійної трійки захисту» інформаційних ресурсів, основою якої є дві платформи
[3]. Перша платформа інформаційної безпеки (ІБ) - складові, що підлягають
захисту (властивості інформації): конфіденційність; цілісність; доступність.
Друга платформа ІБ - складові, що реалізують систему захисту (методи та
засоби): нормативно-правові; організаційні; інженерно-технічні.
Відповідно до цього отримана наступна
початкова класифікація та методика кодування в цілому для ДІР (рис.1):
|
|
|
Рис.1. Класифікація загроз ДІР
за характером спрямування |
де
загрози організаційного спрямування (02)
- виникають у результаті навмисного або ненавмисного порушення регламентації
виробничої діяльності та взаємовідносин виконавців на нормативно-правовій
основі, що виключає або суттєво утруднює реалізацію процесів протидії несанкціонованому порушенню властивостей інформації (інформаційних ресурсів). В
даній статті розглядаються загрози тільки організаційного спрямування, принципи
їх класифікації і кодифікації.
Далі
введемо поділ загроз у відповідності до першої платформи основних властивостей
інформації (рис.2).
|
|
|
Рис.2.
Поділ загроз організаційного спрямування у відповідності до основаних
властивостей інформації |
Здійснимо
опис загроз ДІР організаційного
спрямування. Авторами ретельно було вивчено попит формування класифікації
загроз, розглянуто і доповнено переліки сучасними видами з урахуванням вимог
різних галузей діяльності суспільства та країни.
Пропонується
ввести додаткові принципи класифікації (представлені в середній частині рис.2), по-перше: загрози ДІР стратегічного характеру (02_1). До них требо віднести загрози, що
стосуються питань національної безпеки, відсутності або не виконання цільових
програм чи доктрин, послабленням галузевих взаємозв’язків органів державної й
законодавчої влади, тощо. Практично всі ці загрози загального типу та мають
вплив на всі три властивості ресурсу одночасно: конфіденційність, цілісність,
доступність (02_1.1_2_3.1, К,Ц,Д 01,02,03). Більшість зазначеного
типу загроз представлено в законодавчих та нормативних актах, таких як:
Концепції, Доктрини, Державні Програми тощо.
По-друге, необхідно професійно деталізувати
питання захисту інформаційних ресурсів безпосередньо для самої інформаційної
системи обробки, а також процесів зберігання і передачі ДІР (ІС ДІР,
РеєстрЕлДІР, ДепозитарійЕлДІР) –
загрози ДІР тактичного характеру (02_2). Однак, формалізуємо цей розподіл тільки
підкреслюючи додаткові принципи класифікації за стратегічним або тактичним
характером, а кодифікацію зробимо наскрізну за наявністю повного переліку
загроз.
Представлений
нижче перелік, зрозуміло, не є повним і догматичним. Більш широкий опис буде відображено
у монографії «Класифікатор загроз Державним інформаційним ресурсам». Класифікація також динамічно буде поновлюватись
й коректуватись на основі постійного розвитку інформатизації суспільства.
На
основі вищенаведеного та з урахуванням запропонованому авторами підходу щодо
класифікатора загроз ДІР [2], можна скласти наступну (як приклад) класифікацію ДІР організаційного
спрямування (табл.1).
Виходячи
з вищевказаного, основним результатом дослідження автори вважають подальше
удосконалення та розширення методології побудови класифікатора загроз ДІР за
рахунок розробки класифікатора наступного широкого класу загроз організаційного
спрямування.
Таким
чином, авторами продовжена тематика
побудови класифікатора загроз ДІР, а саме визначені загрози організаційного
спрямування. Наведено приклад класифікації загроз ДІР організаційного
спрямування. Намічено напрямки подальших досліджень, а саме: проведення
досліджень загроз інженерно-технічного спрямування для завершення створення
класифікатора загроз ДІР.
