Информационная безопасность региона: анализ содержания термина, моделей оценки и некоторых вопросов управления Текст научной статьи по специальности «Экономика и бизнес»

УДК 65.012:378

Ю. М. Брумштейн, А. Н. Подгорный

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РЕГИОНА:

АНАЛИЗ СОДЕРЖАНИЯ ТЕРМИНА, МОДЕЛЕЙ ОЦЕНКИ И НЕКОТОРЫХ ВОПРОСОВ УПРАВЛЕНИЯ

Введение

Построение «экономики знаний» требует наращивания информационных и интеллектуальных ресурсов общества, обеспечения условий их эффективного и безопасного использования, соблюдения прав интеллектуальной собственности на эти ресурсы. Одновременно в условиях компьютеризации общества расширяется номенклатура угроз информационной безопасности (ИБ); растет интенсивность и расширяется номенклатура видов «атак» на различные виды информационных ресурсов (ИР); увеличивается зависимость «целостности» информационного пространства от качества работы каналов связи, надежности хранения ИР, эффективности обеспечения санкционированного доступа к ним и защиты от несанкционированного доступа. Поэтому вопросы комплексного обеспечения ИБ в современном обществе становятся все более актуальными, а затраты на эти цели возрастают. В литературе вопросы ИБ рассматриваются в основном для отдельных предприятий (организаций) [1], страны в целом или отдельных пользователей. В то же время специфические аспекты ИБ регионов остаются исследованными недостаточно полно, поэтому основными целями исследования были: комплексный анализ понятий «информационное пространство региона» (ИПР) и «ИБ региона» (ИБР); исследование структуры угроз для ИБР; разработка количественных моделей/методов оценок ИБР; анализ групп организаций и физических лиц, оказывающих особенно значительное влияние на ИБР; некоторых факторов, связанных с управлением ИБР.

Общая характеристика структуры информационного пространства регионов

В России ИПР частично обособлены от федерального и общемирового ИП. При этом доля использования «местных» ИР в деятельности региональных физических и юридических лиц может составлять 10-70 % (как правило, 15-25 %). Основные причины такой относительной обособленности: более высокая интенсивность внутрирегиональных информационных контактов между юридическими и физическими лицами по сравнению с межрегиональными и международными контактами; активное использование сведений из региональных СМИ и сайтов в Интернете; размещение в них объявлений, откликов и пр. В то же время сайты, которые принято относить к «социальным сетям», носят, как правило, федеральный характер.

В общем случае ИПР формируется совокупностью: ИР «местного характера» с ограниченным доступом для физических и юридических лиц (часть таких ИР физически может размещаться на серверах вне региона); ИР юридических лиц, фактически ведущих деятельность в регионе (в том числе и организаций, юридически зарегистрированных вне региона); внутри- и внерегио-нальных ИР со свободным доступом для неограниченного круга лиц; каналов массового (в том числе СМИ) и селективного распространения ИР в регионе; средств обеспечения инициативного доступа физических и юридических лиц к внутри- и внерегиональным ИР, включая провайдеров услуг доступа к Интернету; средств контроля/регулирования доступа к ИР и пр.

Следует отметить, что создание/получение/накопление/распространение ИР в регионе может осуществляться физическими и юридическими лицами с применением различных технических и программных средств; для обеспечения ИБ могут использоваться правовые, организационные, программные, аппаратно-программные и другие средства; ИР могут быть представлены в бумажной, электронной и иных формах. Особую группу составляют ИР, хранящиеся непосредственно в мозгу людей. Интеллектуальные ресурсы, представляющие собой совокупность не только знаний, но и умений, с нашей точки зрения, целесообразно рассматривать как часть ИР.

В общем случае ИПР региона может включать в себя: актуальные и уже не актуальные ИР (последние могут быть важны для ретроспективного анализа, построения прогнозов и пр.); помимо достоверной информации также ложную, умышленно неполную и сфальсифицированную информацию; в особую группу также принято выделять «официальную информацию» органов государственного управления, статистических органов и пр.

Направлениями фальсификации информации могут, в частности, быть: изменения дат событий, наименований организаций и должностных лиц; частичное изменение формулировок судебных решений и пр. В ИПР может попадать (а затем сохраняться на сайтах в Интернете) также тенденциозная и непроверенная информация, часть которой затем оказывается ложной.

Информационная безопасность региона и номенклатура угроз для нее

В литературе есть определения ИБ для государства, юридических и физических лиц, но не для регионов. Типичное определение ИБ для предприятия [1] - «защищенность информации, которой располагает предприятие (производит, передает и получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении». По аналогии определим ИБР как «защищенность: ИР юридических и физических лиц в регионе от несанкционированного доступа, раскрытия, уничтожения, модификации; от утраты доступа к открытым ИР; от замедления прохождения информации по каналам ее распространения/связи; от распространения ложной информации; от фальсификации, умышленной неполноты и несвоевременности представления информации, связанной с регионом; от распространения информации, объективно направленной на дестабилизацию социально-экономического положения в регионе». Такое определение относится к ИПР в целом, а не только к ИР региона. Прокомментируем теперь подробнее некоторые виды угроз ИБР.

Интенсификация «информационных контактов» физических и юридических лиц с внешней для них информационной средой объективно снижает уровень ИБ - как для самих этих лиц, так и для региона в целом. Это касается, в частности, защищенности от спама, вирусов, угроз несанкционированного доступа к ИР и распространения персональной информации.

Появление в ИПР ложной, сфальсифицированной и неполной информации, тенденциозно подобранных ее фрагментов может носить не только случайный (спонтанный) характер, но и быть результатом конкуренции вне- и внутрирегиональных политических и экономических элит, отдельных коммерческих организаций или их групп, в том числе внутрирегиональных. Ложная информация может «вбрасываться» в ИПР изнутри региона и извне его. Сюда же примыкают публикации в СМИ негативных материалов, обычно приуроченные к определенным событиям. Особенно характерно использование тенденциозной, ложной и сфальсифицированной информации в рамках различных избирательных кампаний - внутрирегиональных и федеральных.

Ложная и тенденциозная информация может касаться: возникновения чрезвычайных ситуаций на социальных, промышленных, транспортных и военных объектах; решений должностных лиц и законодательных органов, затрагивающих интересы больших масс граждан и (или) бизнес-структур; подготовки таких решений; неудовлетворительной санитарно-эпидемиологической и экологической обстановки в регионе, отдельных населенных пунктах или территориях; высокой вероятности криминальных и террористических угроз; сообщений о вероятности банкротства организаций, их рейдерских захватов, массовых увольнений персонала и пр.

Ложная и сфальсифицированная информация может передаваться устно; распространяться в виде печатных материалов, в том числе на практике и без указания места публикации; размещаться на сайтах в Интернете; передаваться средствами электронной почты, в том числе через «анонимные мэйлеры», и т. д. Эффективность устного распространения ложной и сфальсифицированной информации определяется рядом факторов: ее субъективной правдоподобностью; значимостью для юридических и физических лиц; актуальностью; доверием физических и юридических лиц к такой информации с учетом прошлого опыта, уровня образованности и пр.

Печатное распространение ложной и сфальсифицированной информации через СМИ имеет место относительно редко, в том числе из-за возможных «юридических и экономических» последствий (санкций). Однако юридические процедуры, направленные на принудительную публикацию опровержений ложной и сфальсифицированной информации, длительны, трудоемки, а сами опровержения вне контекста исходных публикаций часто малопонятны читателям.

Бороться с ложной и сфальсифицированной информацией, размещенной в Интернете, еще сложнее, т. к. процедуры принудительного удаления таких ИР с сайтов по решениям судов сейчас малоэффективны даже для доменных зон «.ги» и «.Би». При этом попавшая в Интернет информация часто является легкодоступной через поисковые системы (в отличие о печатных СМИ, архивные подшивки которых обычно можно получить лишь в библиотеках, а найти в них

конкретный материал, не зная номера, - достаточно проблематично). Распространение ложной и сфальсифицированной информации через электронную почту практикуется, но в ряде случаев блокируется программными средствами в качестве спама (в том числе при массовых рассылках из одного источника во много адресов). Отметим, что адреса электронной почты организаций в настоящее время достаточно доступны - их принято указывать в справочниках, на визитках и пр. Каналов появления информации об электронных адресах физических лиц также достаточно много. Помимо визиток отметим еще обязательное указание таких адресов при регистрации на различных сайтах в Интернете; публикациях в научных изданиях и некоторых СМИ; заполнении различных печатных/электронных анкет при участии в массовых мероприятиях и пр.

Ущерб от ложной и сфальсифицированной информации определяется совокупностью факторов: сколько людей/организаций с ней фактически ознакомились; какая часть из них поверила этой информации (и насколько); какая часть из них участвовала в дальнейшем распространении такой информации; каковы были последствия решений, принятых (или, наоборот, не принятых) на основе этой информации; насколько быстрым и эффективным было официальное опровержение ложной/сфальсифицированной информации и (или) информирование населения о фактических событиях (иногда неудачные опровержения могут даже способствовать распространению ложной информации); общая степень доверия физических и юридических лиц к региональным органам власти и СМИ. Отметим еще, что ущерб может носить «немедленный» характер, а также проявляться с запаздыванием - иногда значительным.

К угрозам для ИБР отнесем также информацию, которая может: способствовать появлению/разжиганию межнациональной и межконфессиональной розни; содержит призывы к насилию, в том числе и в неявной форме; дестабилизировать экономическую ситуацию в регионе, значительно снизить его инвестиционную или рекреационную привлекательность; затруднить или исключить принятие рациональных социально-экономических и иных решений; нанести значительный вред «имиджу» региона в целом.

В связи с описанными выше видами угроз отметим, что термины «информационная диверсия» и «информационная война» в настоящее время используются не только в общественнополитической литературе, но и в научной, включая публикации по информационной безопасности. При этом под «информационной диверсией» обычно понимается однократный «вброс» ложной информации, а под «информационной войной» - систематическое (или, по крайней мере, достаточно длительное) использование такой информации.

Отдельно укажем следующие виды угроз для ИБР: несанкционированный доступ к ИР, являющимся «коммерческой тайной» организаций; «утечки» информации о деятельности юридических и физических лиц; нарушение прав физических лиц на «персональную информацию»; умышленное «блокирование» распространения в ИПР информации, значимой для физических и юридических лиц; создание и распространение (умышленное или неумышленное) вредоносных программных средств, спама и пр. Работа с персональными данными регулируется Федеральным законом «О персональных данных», по которому «операторы» таких данных контролируются Роскомнадзором. По оценкам Роскомнадзора, количество таких операторов на 01.08.2010 для Астраханской области (около 1 млн жителей) составляло 50 000, причем в общероссийский реестр операторов из них на тот момент было включено лишь около 1 200 [2].

Здесь уместно отметить: аналогичный закон «О корпоративных данных», предусматривающий учет/контроль «операторов» корпоративных данных в России, отсутствует; обязательный контроль всех юридических лиц в отношении соблюдения правил ИБ законодательством не предусмотрен (в отличие от правил охраны труда, пожарной безопасности и др.).

Экономическая доступность легального получения коммерческих программных и программно-аппаратных средств защиты информации для юридических и физических лиц определяется соотношением стоимостей «приобретения и эксплуатации таких средств» и «доходов их потенциальных потребителей», поэтому более «бедные» регионы обычно находятся в худшем положении в отношении возможностей легального обеспечения ИБ. Применение же, например, контрафактных копий программных средств защиты может снижать ИБР: из-за невозможности или затрудненности своевременной установки обновлений, в том числе антивирусных/антиспамовых баз; невозможности получения консультаций у разработчиков таких средств; обращения к ним за помощью при появлении неизвестных ранее вредоносных программ и пр. В связи с этим отметим: для коммерческих программных средств защиты обычно есть бесплат-

ный период эксплуатации (обычно месяц со дня инсталляции); часть программных средств защиты является «бесплатно распространяемыми» или даже «бесплатными при домашнем использовании». Однако использование «бесплатных» средств достаточно ограничено. По крайней мере, для личных целей чаще всего применяются контрафактные копии таких коммерческих программных средств, несмотря на невысокую стоимость приобретения их легальных копий.

Анализ возможных подходов к оценке информационной безопасности регионов

Формализованная оценка уровня ИБР может быть дана как

*1 = у*(и2 / ив), (1)

где иг - уровень угроз для ИБР, учитывающий не только интенсивность «атак», но и их дивер-сифицированность по направлениям и типам; ив - уровень защищенности ИПР (включая соб*

ственно ИР); у - коэффициент, обеспечивающий приведение правой части формулы к безразмерной величине. «Атаки» на ИПР могут иметь место как изнутри, так и извне региона.

В силу принятого определения (1), величину *1 будем считать не зависящей от «произведения объема ИР, относящихся к региону, на ценность этих ИР» (О). Тогда в линейном приближении величина вероятного ущерба для региона от «атак» может быть оценена как

и(^ = у**(О / *1), (2)

**

где у - некоторый коэффициент, обеспечивающий приведение результата к стоимостным показателям. Отметим, что ио в (1) определяется, помимо других факторов, еще и качеством программно-технической защиты ПЭВМ и компьютерных сетей; квалификацией обычных пользователей ЭВМ, системных администраторов организаций и пр. При линейной модели учета компонентной структуры угроз в (1)

*2 = £ (а (у*(г)(и«/и«)))/ £ аг-, (3)

1=1 1=1

где I - количество учитываемых в модели компонент ИБР; {а}=1 1 - безразмерные весовые

коэффициенты для компонент; у*(г) - коэффициенты, обеспечивающие приведение к безраз-

мерной форме. Оценки параметров для (3) могут быть даны экспертно [3] и на основе экспериментально-статистических данных. Для (3) нормировка на размер региона, так же как и для (1), не нужна. С использованием (3) аналог (2) может быть записан как

и(й) = у***(О / *2), (4)

где у*** - коэффициент, обеспечивающий приведение ущерба к стоимостной форме.

Другой подход к оценке уровня ИБР (*з) может основываться на оценке величины ущерба для региона (и$)), связанного с фактической реализацией угроз ИБР за период времени & в прошлом:

*3 =е(и^)Г)/(А )), (5)

где е - коэффициент, обеспечивающий приведение к безразмерной форме; А - нормирующий параметр, позволяющий априорно сравнивать разные регионы. Им, помимо О, оценки для которого достаточно приблизительны, могут быть: численность населения региона; ежегодный валовой региональный продукт и т. д. При этом следует учитывать, что данные об ущербах от «атак» за предшествующий период обычно не полны из-за не полностью или несвоевременно выявленных ущербов юридическим и физическим лицам; умышленного «сокрытия» информации об ущербах юридическими лицами (особенно коммерческими) для сохранения их рыночного «имиджа». Поэтому *3 обычно будет несколько заниженным.

Под и^ можно понимать и оценку ущерба за некоторый период в будущем. Для «линейной» модели ущербов для А-й группы участников ИПР (с количеством участников фк), при общей номенклатуре количества угроз в I видов, величину ущерба определим как

Фк

(I ^

II (р) )-Й>

ч 1=1)=1

(6)

где Ji - количество элементов в списке «вариантов реализации ущерба» для угрозы /-го вида;

Р1 )) - вероятность варианта реализации /-го вида угроз, приводящего к ущербу м)']'1) для одно-

(к)

i,)

i,)

го «участника» из А-й группы. При этом IР1 )к) может быть и меньше, и больше «1», если

)=1

считать, что «варианты» могут реализовываться независимо друг от друга. Для суммарного ущерба по региону при количестве групп «участников» ИПР К будем иметь

К

(к)

(7)

к=1

Параметры [Р1 ))], [^(к)] могут оцениваться в основном экспертно. Модель (7) описывает

и

взаимно независимую реализацию видов угроз ИБ, причем, фактически, только однократно для каждого вида за период. Если известны или могут быть оценены средние количества раз возникновения i-х видов угроз (pi) за период, то, в предположении отсутствия влияния реализовавшейся угрозы 1-го вида на вероятность реализации последующих угроз того же и иных видов, вместо (7) будем иметь

(к)]

Фк

( I ( J^

I р 2: (р

ч i =1 Ч ) =1

*(к ) w. (к) ) 1 • •

•> 1,)

(8)

//

J

Группы организаций и физических лиц, играющие ключевую роль в отношении информационной безопасности регионов

Этих групп несколько, причем их роль лишь частично определяется численностями физических и юридических лиц, входящих в них.

1. Региональные вузы и ссузы, особенно имеющие профильные ИТ-специальности (в понятие «региональные вузы» мы включаем и региональные филиалы иногородних вузов). Причины значительного влияния этой группы организаций на ИБР: при обучении закладывается культура работы с ИР; в части региональных вузов осуществляется подготовка специалистов по ИБ для регионов, последующее повышение их квалификации; для студентов высока интенсивность информационного обмена - в том числе скачивания информации с вне- и внутрирегиональных источников ИР в Интернете. Этому способствуют, в частности, повышение скоростей доступа к Интернет-ресурсами и повсеместный переход к «безлимитным» тарифам доступа.

2. Провайдеры услуг доступа к Интернету по проводным и беспроводным сетям. Контроль трафика на наличие вирусов и спама ими обычно не осуществляется, а надежность доступа не всегда высока. Частично это связано и с перебоями в электроснабжении.

3. СМИ, включая печатные СМИ, телевидение, радио. При этом роль печатных СМИ во многом определяется их тиражами. Особо отметим «районные многотиражки», участвующие в формировании «внутрирайонных» информационных пространств.

4. Владельцы и сотрудники региональных порталов и сайтов в Интернете. Содержание размещаемой на них информации обычно контролируется - либо до размещения, либо после. Если на порталах есть электронная почта, то она нередко проверяется антивирусными и антиспамовыми средствами, что повышает уровень ИБР.

5. Фирмы по сборке/поставке компьютерного оборудования (в том числе с предустановленными программными средствами) и его ремонту. Уровень надежности аппаратных средств этого оборудования, а также оперативность выполнения ремонтов являются важными компонентами ИБР. Отметим, что сдача ПЭВМ «на прокат» в большинстве регионов не практикуется.

6. Фирмы, поставляющие средства связи (прежде всего сотовые телефоны), а также ремонтные организации соответствующего профиля.

7. Фирмы, обеспечивающие работу (эксплуатацию) каналов связи, включая сотовую. При этом характеристики «тарифных планов» могут влиять и на интенсивность «голосовых контактов», и на объемы использования «беспроводного Интернета».

8. Системные администраторы и другие лица, обеспечивающие информационную безопасность компьютерного оборудования организаций. Достаточно часто они «обслуживают» также личные (домашние) ПЭВМ сотрудников этих организаций или просто знакомых.

9. Контролирующие организации и правоохранительные органы.

Некоторые вопросы управления информационной безопасностью регионов

В силу большого количества домашних ПЭВМ они оказывают существенное влияние на ИБР. При этом управление соблюдением правил ИБ затрудняется тем, что на таких ПЭВМ, помимо взрослых, систематически работают и дети, в том числе младшего школьного возраста. Отметим, что в большинстве регионов специальных региональных программ по повышению культуры пользователей домашних ПЭВМ в отношении их ИБ нет.

Для школ регламентация вопросов ИБ осуществляется ведомственными документами и поддерживается поставками соответствующих программных средств. Они, в частности, позволяют блокировать посещение детьми некоторых типов сайтов. Для региональных вузов вопросы ИБ обычно решаются в рамках управлений/отделов информационных технологий, специальных отделов по ИБ обычно нет. Аналогичная ситуация наблюдается и в большинстве малых и средних предприятий, причем часть функций ИБ в них выполняют «режимные подразделения». Только в некоторых организациях (в основном крупных) существуют подразделения «информационной безопасности». К ним можно отнести, например, банки. Отметим еще, что сертификация юридических и физических лиц в отношении ИБ может осуществляться в рамках объединений организаций, в том числе региональных.

Возможности органов государственного и муниципального управления в отношении ИБР-менеджмента достаточно ограничены. Они обычно включают в себя: обеспечение полноты и своевременности информирования юридических и физических лиц о происходящих событиях; пресечение распространения ложной и сфальсифицированной информации; иногда - координацию работы юридических и физических лиц в сфере ИБР. Работа правоохранительных органов в отношении ИБР обычно связывается с деятельностью отделов «К», работой прокуратуры и пр.

Выводы

1. Информационная безопасность регионов не является «механической суммой» ИБ для физических и юридических лиц, а носит более сложный характер - из-за наличия развитой системы взаимосвязей этих лиц.

2. Оценка информационной безопасности регионов возможна как качественная, так и количественная, в том числе инвариантная по отношению к размеру региона.

3. Особую опасность для ИБР представляет распространение ложной, сфальсифицированной и тенденциозной информации.

4. Возможности по управлению информационной безопасностью региона существуют на уровне физических и юридических лиц, включая органы государственного и муниципального управления регионов, а также правоохранительных органов.

СПИСОК ЛИТЕРАТУРЫ

1. Анохин А. Н. Методы экспертных оценок. - Обнинск: ИАТЭ, 1996. - 148 с.

2. Защита персональных данных // Высший пилотаж. Журнал группы компаний «Пилот» для бухгалтеров. - 2010. - № 4 (13). - С. 5.

3. Садердинов А. А., Трайнёв В. А., Федулов А. А. Информационная безопасность предприятия. - М.: Изд.-торг. корпорация «Дашков и Ко», 2004. - 336 с.

Статья поступила в редакцию 27.08.2010, в окончательном варианте - 15.12.2010

REGION INFORMATION SAFETY:

ANALYSIS OF TERM INTENSION,

ESTIMATION MODELS AND SOME QUESTIONS OF MANAGEMENT

Yu. M. Brumshteyn, A. N. Podgorny

The intension of the terms "region information space" and "region information safety" (RIS) is analyzed in the paper. The possible threats structure for RIS is investigated. Models for quantitative estimation of RIS are offered, which enable to compare RIS levels of different regions. Sources, occurrence reasons, distribution channels of false, falsified and tendentious information, and also its influence on RIS, are considered. Possible approaches to the struggle against such kind of information are described. The influence on RIS of "personal" and "corporate" data securities is estimated. Types of the organizations, which influence on RIS is especially high, are noted. Some questions of RIS management at regions level are also considered.

Key words: information safety, region, methods of a quantitative estimation, information space, structure of threats, false and falsified information, tendentious information, information distribution, access control, management of information safety.