Формирование системы обеспечения информационной безопасности Российской Федерации в сфере культуры Текст научной статьи по специальности «Компьютерные и информационные науки»

В.А. Конявский, И.Г. Назаров С.Т. Петров, А.А. Тарасов

ФОРМИРОВАНИЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ КУЛЬТУРЫ

В статье рассматривается комплексный подход к обеспечению информационной безопасности в сфере культуры. На основе анализа предметной области и обследования учреждений культуры выявлены основные проблемы и трудности при разработке системы информационной безопасности. Представлены концепция информационной безопасности, методики оценки информационных активов, рисков и угроз, другие методики, комплект политик информационной безопасности, дорожная карта. В предлагаемом комплексе документов впервые освещены основные концептуальные и практические подходы к построению системы информационной безопасности как сферы культуры в целом, так и отдельных учреждений культуры.

Ключевые слова: культура, культурные ценности, информационная безопасность, информационные активы, риски и угрозы.

Введение

Культурная политика признана неотъемлемой частью стратегии национальной безопасности Российской Федерации1. Важность проблем обеспечения информационной безопасности в сфере культуры давно уже признана на государственном уровне, что отражено, в частности, в концептуальном документе - Доктрине информационной безопасности Российской Федерации2. Вместе с тем в одном из самых исчерпывающих списков угроз национальной безопасности Российской Федерации угрозы культуре не упомянуты во-обще3, а проблемы информационной безопасности в сфере культуры не фигурируют даже в 300-страничном проекте Закона о культуре.

© Конявский В.А., Назаров И.Г., Петров С.Т., Тарасов А.А., 2015

Важнейшими причинами такого противоречивого положения дел, на наш взгляд, являются, в том числе, следующие:

- сфера культуры является обширной, всепроникающей и трудноочерчиваемой областью деятельности как с философ-ско-содержательной, так и с прагматической точки зрения, например законодательной;

- вопросы информационной безопасности культуры находятся на своеобразной «нейтральной полосе» между гуманитарными и техническими проблемами;

- в сфере культуры остается низким уровень информатизации, компьютерной грамотности и культуры информационной безопасности.

Попыткой начать разрешение сложной ситуации с информационной безопасностью в культуре стала постановка Минкуль-туры России НИР «Анализ базовых условий и формирование инструментария построения системы обеспечения информационной безопасности в сфере культуры» (открытый аукцион № 0173100007713001485). Результатом НИР стал разработанный авторами в 2013-2014 гг. комплекс документов:

Концепция информационной безопасности;

Методика оценки информационных активов;

Модели угроз и рисков информационной безопасности;

Методики оценки угроз и рисков информационной безопасности;

Методика оценки уязвимостей информационных систем (ресурсов);

Меры обеспечения информационной безопасности информационных систем (ресурсов);

Методика оценки эффективности системы обеспечения информационной безопасности;

Комплект политик информационной безопасности;

Дорожная карта реализации мероприятий по обеспечению информационной безопасности.

При их подготовке было проведено изучение предметной области, включающее анализ нормативно-правовой базы обеспечения информационной безопасности, анализ существующих информационных систем и ресурсов в сфере культуры, а также выявление основных информационных потребностей, влияющих на обеспечение информационной безопасности.

Ниже рассмотрены вопросы построения системы обеспечения информационной безопасности в сфере культуры с учетом полученных в НИР результатов, появления ряда новых документов, таких как «Основы государственной культурной политики», про-

ект «Закона о культуре»4, и начала подготовки новой редакции Доктрины информационной безопасности.

Условия формирования и основные проблемы информационной безопасности в сфере культуры

В условиях стремительного развития информационно-коммуникационных технологий (ИКТ) в России достаточно высокими темпами происходит формирование и повсеместное распространение культурных ценностей, представленных в цифровой форме. Миллионы архивных документов и каталожных карточек, сотни тысяч изданий и музейных экспонатов, десятки тысяч фонограмм и фильмов уже представлены в цифровом виде и многие из них размещены на тысячах сайтах, в разнообразных базах данных. Некоторые проекты в области цифрового наследия культуры масштабны и уникальны, демонстрируют высокий уровень научной проработки и программно-технических решений, представляют собой шедевры дизайна. Государственной программой Российской Федерации «Информационное общество (2011-2020 годы)» предусмотрено создание огромных массивов архивной, библиотечной и музейной информации в цифровой форме. Тем не менее в сфере культуры отсутствуют механизмы гарантии целостности, доступности и, при необходимости, конфиденциальности имеющихся и вновь создаваемых информационных активов.

Формирование, использование и защита информационных активов затруднены по ряду причин, включая низкий уровень информатизации отрасли, слабую проработку нормативно-правовой базы, отсутствие элементарных навыков информационной безопасности. Одна из основных причин множества нерешенных проблем в этой области связана с отсутствием системы управления и принятия решений по информатизации и информационной безопасности культуры на всех уровнях: от лиц, отвечающих за государственную культурную и информационную политику, до директора краеведческого музея.

Культурная политика - чрезвычайно широкая и в значительной мере неопределенная предметная область, которая охватывает такие сферы государственной и общественной жизни, как «все виды культурной деятельности, гуманитарные науки, образование, межнациональные отношения, поддержка русской культуры за рубежом, международное гуманитарное и культурное сотрудничество, а также воспитание и самовоспитание граждан, просвещение,

развитие детского и молодежного движения, формирование информационного пространства страны»5.

Разнообразны и многочисленны объекты информационных угроз, к которым потенциально относятся и все культурные ценности, а именно нравственные и эстетические идеалы, нормы и образцы поведения, языки, диалекты и говоры, национальные традиции и обычаи, исторические топонимы, фольклор, художественные промыслы и ремесла, произведения культуры и искусства, результаты и методы научных исследований культурной деятельности, имеющие историко-культурную значимость здания, сооружения, предметы и технологии, уникальные в историко-культурном отношении территории и объекты. Большинство имеющихся угроз не идентифицированы и не ранжированы.

Один из основных объектов угроз - информационные активы не инвентаризированы и не проведена их оценка, в том числе в силу отсутствия соответствующих методик.

Перманентно возникают новые, быстроменяющиеся и зачастую трудноидентифицируемые угрозы национальной культуре, связанные с процессами глобализации и массового распространения ИКТ.

Многие объекты культуры уникальны, в том числе в силу этого чрезвычайно трудно оценить соответствующие информационные риски и возможный ущерб. Серьезной проблемой являются риски информационной безопасности, имеющие организационный характер. Зачастую не определены зоны информационной ответственности организаций, отвечающих за целые сегменты культурной деятельности. Практически у всех учреждений культуры отсутствуют политики информационной безопасности.

Для формулировки и закрепления целей, задач, принципов и основных направлений информационной безопасности культуры Российской Федерации в области формирования, использования и совершенствования информационных активов и информационной инфраструктуры культуры для развития в России информационного общества на основе традиционных культурных ценностей и с учетом особенностей пройденного исторического пути был подготовлен проект концептуального документа.

При подготовке документа учитывался большой комплекс источников в области культуры, информационных технологий и безопасности. Особо следует отметить Хартию Юнеско о сохранении цифрового наследия, Стратегию развития информационного общества в Российской Федерации, Доктрину информационной безопасности Российской Федерации.

Проект Концепции информационной безопасности Российской Федерации в сфере культуры

Основной целью обеспечения информационной безопасности Российской Федерации в сфере культуры является предотвращение (минимизация) ущерба культуре в результате деструктивных воздействий на информацию и информационную инфраструктуру, могущих привести к нарушению достоверности, аутентичности, конфиденциальности, доступности и целостности информации, связанной с культурными ценностями и деятельностью в сфере культуры.

Концепция является базовым документом по созданию и развитию системы обеспечения информационной безопасности Российской Федерации в сфере культуры и предназначена для использования в практической деятельности должностных лиц, ответственных за создание, использование и развитие информационных активов и инфраструктуры в сфере культуры, представителей проектных и сервисных организаций по обеспечению требуемого уровня защищенности информации и инфраструктуры в сфере культуры, а также участников информационного взаимодействия в сфере культуры, по соблюдению ими установленных требований информационной безопасности.

Концепция имеет следующую структуру: общие положения и основные понятия, проблемная ситуация,

цели и задачи обеспечения информационной безопасности, принципы обеспечения и построения системы информационной безопасности,

субъекты информационной безопасности, объекты информационной безопасности, обеспечение информационной безопасности. Основное содержание обеспечения информационной безопасности в сфере культуры состоит в поддержании правовых, информационных, социокультурных и институциональных механизмов, а также ресурсных возможностей государства и общества на уровне, отвечающем национальным интересам Российской Федерации в сфере обеспечения безопасности культуры и информации.

Состояние информационной безопасности в сфере культуры зависит от духовного, культурного, научно-технического и экономического потенциала страны, а также эффективности функционирования системы обеспечения информационной безопасности как части системы национальной безопасности.

Стратегическими целями информационной безопасности в сфере культуры являются:

обеспечение безопасности информационных активов как части культурного наследия;

недопущение несанкционированного использования информации, влияющей на безопасность культурного наследия;

обеспечение информационной безопасности сферы культуры как отрасли.

Долгосрочными целями информационной безопасности в сфере культуры являются:

обеспечение гарантированного сохранения и доступа к информации, представляющей в полноте и целостности культурные ценности Российской Федерации;

обеспечение защищенности информации и инфраструктуры, связанной с охраной культурных ценностей Российской Федерации, а также информации, связанной с обеспечением прав на результаты интеллектуальной деятельности и персональные данные;

формирование доверенной информационной среды как основы единого цифрового культурно-исторического пространства Российской Федерации;

обеспечение всеобщей доступности цифрового наследия; обеспечение непрерывности управления в сфере культуры и непрерывности функционирования учреждений культуры в информационной сфере.

Субъектами отношений в области информационной безопасности культуры, а также носителями и выразителями интересов в этой области являются: народ России;

этнические и культурные сообщества; граждане России;

Российская Федерация и ее регионы; Министерство культуры Российской Федерации; органы федеральной, региональной и муниципальной власти; учреждения культуры различной ведомственной подчиненности и форм собственности;

юридические лица, действующие в сфере культуры и информации;

деятели культуры и работники сферы культуры; международное сообщество и граждане иностранных государств; интеллектуальные информационные системы. Концепции, стандарты и иные документы в области информационной безопасности разрабатываются, как правило, в контексте

организации. Такой подход может быть адаптирован и применен к учреждениям культуры и органам управления культурой. Однако значительная и значимая часть культурных ценностей (например, язык, обычаи, верования) заведомо не укладывается в масштаб какой-либо организации и даже в государственные и национальные рамки.

Это выдвигает перед обеспечением информационной безопасности в сфере культуры весьма сложные и малоисследованные задачи, существенно расширяет круг субъектов и их интересов по сравнению с традиционно рассматриваемыми субъектами и интересами в области информационной безопасности.

В Концепции выделены основные национальные интересы по обеспечению информационной безопасности в сфере культуры. Эти интересы заключаются:

в развитии информационной составляющей обеспечения духовного единства российского общества, основанного на культурных и исторических традициях;

в развитии и защите прав и свобод граждан в области культуры и информации, пользовании учреждениями культуры, доступа к культурным ценностям;

в увеличении защищенности российской культуры от деструктивных воздействий, прежде всего информационного характера;

в уменьшении регионального, социального и профессионального информационного неравенства в сфере культуры;

в вовлечении граждан в обеспечение сохранности исторического и культурного наследия, наращивания информационного потенциала культуры;

в обеспечении полноты, сохранности и доступности цифрового культурного наследия Российской Федерации;

в превращении российской культуры в мировой ресурс развития глобального информационного общества.

В силу ограниченности объема статьи мы не рассматриваем здесь интересы иного масштаба и иных субъектов.

Объектом информационной безопасности в сфере культуры является объект с присущими ему свойствами, обусловленными информацией или информационной инфраструктурой, связанными с деятельностью в сфере культуры. Национальные и иные интересы в информационной области сферы культуры являются объектом информационной безопасности.

К числу важнейших объектов обеспечения информационной безопасности Российской Федерации в сфере культуры относятся:

русский язык как фактор духовного единения народов многонациональной России, язык межгосударственного общения

народов - государств-участников Содружества Независимых Государств;

языки, нравственные ценности, культурное наследие народов и народностей Российской Федерации;

объекты интеллектуальной собственности. Основными типами объектов информационной безопасности в сфере культуры являются: информационные активы; информационная инфраструктура;

информационные процессы, связанные с осуществлением деятельности в сфере культуры;

культурные ценности, другие объекты культуры; субъекты информационной деятельности, связанные со сферой культуры.

Информационные активы включают: цифровые образы объектов культуры; метаданные культурных ценностей; учетную информацию по культурным ценностям; справочную информацию по культурным ценностям; нормативно-правовую и управленческую документацию и сообщения;

персональные данные;

иную информацию в сфере культуры, представляющую ценность для государства, общества или граждан.

Информационные активы могут иметь цифровую и аналоговую форму, относиться к материальной или нематериальной части культурного наследия. Основными объектами информационной защиты в целях настоящей Концепции являются цифровые информационные активы, представляющие культурные ценности.

Информационные активы должны быть идентифицированы, описаны и инвентаризированы. Информационные активы сферы культуры могут включаться в реестр государственных (региональных, муниципальных) информационных ресурсов.

Для целей настоящей Концепции наиболее важными свойствами информационной безопасности активов являются их доступность и сохранность. Описание информационных активов, подлежащих защите, должно находиться в специальных реестрах.

Основными угрозами информационной безопасности Российской Федерации в сфере культуры являются:

низкие темпы формирования качественных информационных ресурсов и развития информационной инфраструктуры в сфере

культуры, проходящие без учета требований информационной безопасности;

непреднамеренные неблагоприятные воздействия на информацию и элементы информационной инфраструктуры;

массовое деструктивное информационное воздействие на традиционные культурные ценности;

противоправное использование информации, связанной с обеспечением безопасности культурных ценностей и объектов культуры;

неправомерное распространение информации, затрагивающей интересы граждан и правообладателей.

Видами угроз информационной безопасности Российской Федерации в сфере культуры являются:

дезорганизация и разрушение системы информационного обеспечения накопления и сохранения культурных ценностей;

угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

угрозы информационному обеспечению государственной культурной политики Российской Федерации.

Целью обеспечения информационной безопасности является защита интересов субъектов информационных отношений, возникающих при функционировании информационных систем. Данная цель достигается посредством:

соблюдения установленного порядка использования, полноты, целостности, достоверности информации;

предотвращения утечки, хищения, утраты информации, а также неправомерных действий по ее уничтожению, модификации, искажению, несанкционированному копированию, блокированию; предотвращения других форм незаконного вмешательства в функционирование информационных систем;

сохранности информации конфиденциального характера в соответствии с действующим законодательством Российской Федерации, нормативными правовыми актами и методическими документами в области обеспечения информационной безопасности;

соблюдения прав пользователей в соответствии с их полномочиями (ролями) по доступу к информационным процессам, технологиям, сервисам и средствам их обеспечения в информационных системах;

сохранения возможности управления процессом обработки и пользования информацией;

обучения обслуживающего персонала информационных систем правилам безопасной работы с комплексом программно-технических средств системы.

Обеспечение информационной безопасности включает совокупность мер организационного и программно-технического уровня, направленных на защиту информационных ресурсов от угроз безопасности. Экономический эффект от реализации этих мер проявляется в снижении величины возможного материального, морального и иных видов ущерба.

В дальнейшем при подготовке перспективных документов по информационной безопасности культуры следует, на наш взгляд, проводить структуризацию интересов, объектов, угроз, рисков и др. по группам, связанным с информационным потенциалом, информационным пространством, а также правами и обязанностями в сфере культуры.

Проекты методик и иных документов по обеспечению информационной безопасности в сфере культуры

Предлагаемые материалы опираются на международные, национальные и отраслевые стандарты, включая семейство стандартов менеджмента информационной безопасности ГОСТ Р ИСО/МЭК 27000, методические и нормативные документы ФСТЭК и ФСБ в области информационной безопасности6, ряд иных действующих и разрабатываемых документов. В представленных методиках нашли отражение международные и национальные методические, инструктивные, научно-исследовательские и иные материалы в области организации архивного, библиотечного и музейного дела, а также цифрового наследия. В данных документах реализуется применение риск-ориентированного подхода к обеспечению информационной безопасности в сфере культуры.

Для принятия решений в области развития культуры, ее информатизации, обеспечения информационной безопасности необходима оценка значимости информационных активов в сфере культуры. Инвентаризация и оценка информационных активов и систем является отправной точкой для оценки угроз и рисков.

Оценка (историческая, стоимостная, иная) культурных ценностей в целом и оценка значимости информационных активов в частности являются сложными процессами, зависящими от множества факторов: культурно-исторических, религиозных, идеологических, социально-экономических, финансовых и иных7.

Оценка значимости информационного актива представляет собой совокупную оценку объекта культуры и цифрового объекта. Спектр информационных активов сферы культуры чрезвычайно широк: от оцифрованной рукописи до репутации учреждения культуры. В связи с этим создание какой-либо типовой методики оценки информационных активов сферы культуры весьма проблематично, хотя, очевидно, возможна общая структура методики для оценки различных типов активов.

В документе «Методика оценки информационных активов» приведена такая общая структура. К структурным элементам методики относятся показатели и критерии значимости информационных активов; оценка сферы применения; оценка значимости информационных систем и активов на различных этапах их жизненного цикла; вывод из оборота, ликвидация активов; корректировка оценки.

Схемы оценки и уровни значимости информационных активов и систем в сфере культуры включают схемы оценки объектов цифрового наследия и их портфелей (собраний, коллекций), оценки значимости информационно-поисковых систем, а также оценку значимости веб-сайтов.

На данную методику можно опираться при выборе процедур оценки разнородных информационных активов, представляющих различные типы культурных ценностей и являющихся результатом различных видов культурной деятельности. Примеры оценки разнородных активов с помощью метода анализа иерархий приведены нами ранее8-9.

Комплексный анализ объектов, угроз и рисков представлен в документе «Модели угроз и рисков информационной безопасности».

Основными типами объектов информационной безопасности в сфере культуры являются: информационные активы;

информационная инфраструктура и ее элементы; информационные процессы, связанные с осуществлением деятельности в сфере культуры;

культурные ценности, другие объекты культуры; субъекты информационной деятельности, связанные со сферой культуры.

Основными угрозами информационной безопасности Российской Федерации в сфере культуры являются:

низкие темпы формирования качественных информационных ресурсов и развития информационной инфраструктуры в сфере культуры, проходящие без учета требований информационной безопасности;

непреднамеренные неблагоприятные воздействия на информацию и элементы информационной инфраструктуры;

массовое деструктивное информационное воздействие на традиционные культурные ценности;

противоправное использование информации, связанной с обеспечением безопасности культурных ценностей и объектов культуры;

неправомерное распространение информации, затрагивающей интересы граждан и правообладателей.

Видами угроз информационной безопасности Российской Федерации в сфере культуры являются:

дезорганизация и разрушение системы информационного обеспечения накопления и сохранения культурных ценностей, включая архивы;

угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

угрозы информационному обеспечению государственной политики Российской Федерации.

В «Методике оценки угроз и рисков информационной безопасности» представлены оценки угроз и рисков объектам информационной безопасности в сфере культуры, проведенные на основе собственного ранжирования угроз и рисков с применением апробированных методик, применяемых в различных сферах и областях, таких как банковская деятельность10 и защита персональных данных11.

Представлен перечень классов основных источников угроз информационной безопасности, их описание и возможный ущерб, приведены классы защищенности информационных систем и методики оценки угроз и рисков.

Для эффективной защиты информационных активов в сфере культуры необходимы удобные средства и методы постоянной и оперативной корректировки политики безопасности с учетом изменения характера угроз, возникновения новых угроз, изменений в конфигурации информационных систем, статистики эксплуатации и др.

Кроме того, следует оценивать адекватность применяемых и планируемых мер защиты, из возможных (в том числе вновь появляющихся) мер защиты необходимо оперативно выбирать наиболее эффективные (в том числе экономически).

Представляемая методика должна обеспечить решение следующих задач:

документирование угроз;

сравнительная оценка угроз (для определения уязвимостей информационных активов и первоочередных направлений защиты);

абсолютная оценка угроз в терминах ожидаемого материального ущерба от их реализации;

оценка эффективности и экономического обоснования мер защиты;

возможность проведения анализа вида «что, если...». Предлагаемая ниже методика рассматривает практически применимый вариант решения всех перечисленных задач в некотором разумном приближении.

Основные объекты угроз, в частности информационные активы и элементы инфраструктуры, а также существенные характеристики этих угроз были рассмотрены нами выше. В методике содержатся:

сценарии реализации угроз и упрощенное матричное описание; оценка вероятности неумышленных начальных угроз; оценка вероятности умышленных начальных угроз; технико-экономическое обоснование мер защиты; порядок (алгоритм) проведения оценки угроз; схема анализа рисков;

алгоритм оценки рисков с помощью метода анализа иерархий. Разработанная «Методика оценки уязвимостей информационных систем (ресурсов) в сфере культуры» применима для оценки уязвимостей, позволяющих реализовать следующие основные деструктивные действия:

уничтожение программными средствами или физическим воздействием;

модификация информации; хищение носителя информации; блокирование информации; копирование информации.

Настоящая методика является модельной и на ее основе должны разрабатываться частные методики оценки уязвимостей конкретных информационных систем (ресурсов) Минкультуры России и подведомственных учреждений.

Уязвимости присущи следующим видам активов: физическое окружение;

персонал, процедуры управления, администрирования и механизмы контроля;

процессы деятельности и получаемые услуги;

технические средства, программное обеспечение, телекоммуникационное оборудование;

информационные ресурсы.

Методика включает общий порядок оценки, идентификацию уязвимостей, оценивание уязвимостей. Для целей идентификации все существующие уязвимости делятся на две группы: технические и организационные.

Для идентификации технических уязвимостей проводятся следующие мероприятия по анализу защищенности: ручные проверки системной конфигурации; сетевое и хостовое сканирование; тестовые испытания; тесты на проникновение; анализ программных кодов.

Организационные уязвимости обычно заключаются в отсутствии или неправильном применении механизмов контроля. Поэтому основным источником идентификации организационных уязвимостей служат документы, содержащие лучшие мировые практики в области обеспечения информационной безопасности, например семейство стандартов ¡БО/ШС 27000.

Для оценки уязвимостей необходимо идентифицировать существующие механизмы обеспечения информационной безопасности и оценить, насколько они результативны. Уязвимости в данной методике оцениваются по трехуровневой качественной шкале. Значение уровня уязвимости показывает, насколько вероятно успешное осуществление угрозы с использованием данной уязвимости в случае, если эта угроза будет реализовываться.

Документ «Меры обеспечения информационной безопасности информационных систем (ресурсов)» детализирует организационные и технические меры защиты информации. Методический документ предназначен для формирования мер обеспечения информационной безопасности для конкретных информационных систем (ресурсов) в сфере культуры на основе оценок угроз, рисков и уязвимостей.

Выбор мер защиты информации для их реализации в информационной системе осуществляется в ходе проектирования системы защиты информации в соответствии с техническим заданием на создание информационной системы и техническим заданием на создание системы защиты информации информационной системы.

Меры защиты информации выбираются исходя из класса защищенности информационной системы, определяющего требуемый уровень защищенности содержащейся в ней информации, и угроз

безопасности информации, включенных в модель угроз безопасности информационной системы, а также с учетом структурно-функциональных характеристик информационной системы, к которым относятся структура и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, взаимосвязи с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности функционирования системы.

Правила и процедуры по реализации требований о защите информации и мер защиты информации в конкретной информационной системе определяются в эксплуатационной документации на систему защиты информации и организационно-распорядительных документах по защите информации.

В информационной системе подлежат реализации следующие меры защиты информации:

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита носителей информации;

регистрация событий безопасности;

антивирусная защита;

обнаружение (предотвращение) вторжений; контроль (анализ) защищенности информации; обеспечение целостности информационной системы и информации;

обеспечение доступности информации; защита среды виртуализации; защита технических средств;

защита информационной системы, ее средств и систем связи и передачи данных.

«Методика оценки эффективности системы обеспечения информационной безопасности» предназначена для оценки эффективности применения совокупности мер и средств технической защиты информации на типовых объектах информатизации как от отдельной угрозы, так и от заданной совокупности антропогенных и техногенных угроз.

В методике используется основной показатель степени защищенности информации, показывающий, насколько ущерб от реализации

заданной совокупности угроз безопасности информации меньше неприемлемого уровня. Производные (сравнительные) показатели являются вспомогательными и рассчитываются на основе показателя «степень защищенности информации», определенного для условий отсутствия и применения оцениваемых мер и средств защиты.

Общий алгоритм расчета показателей основан на следующих допущениях:

перечень и характеристики возможных угроз заданы или установлены до проведения расчетов;

техногенные угрозы безопасности информации на объекте информатизации имеются всегда;

угрозы могут быть реализованы независимо друг от друга; ущерб от реализации совокупности угроз аддитивен относительно ущерба, наносимого в результате выполнения разных деструктивных действий при реализации одной или разных угроз;

если одно и то же деструктивное действие может выполняться при реализации разных угроз, то ущерб от его выполнения не суммируется по угрозам;

опасность деструктивного действия оценивается применительно к самой важной информации, конфиденциальность, целостность или доступность которой нарушается при выполнении данного деструктивного действия;

влияние мер и средств технической защиты информации на эффективность защиты информации взаимонезависимо.

В методике приведены алгоритмы определения коэффициентов опасности деструктивных действий, выявления состава возможных угроз безопасности информации, определения состава деструктивных действий, которые могут быть выполнены при реализации угроз, оценки коэффициентов опасности деструктивных действий. Также рассмотрен порядок: определения вероятностей реализации угроз безопасности информации и выполнения деструктивных действий; учета мер и средств технической защиты информации при оценке опасности угроз; учета влияния мер и средств технической защиты информации на вероятность реализации угроз; учета влияния мер и средств технической защиты информации на коэффициенты опасности угроз. Для реализации алгоритмов приводится перечень необходимых исходных данных, порядок их подготовки и проведения расчетов по методике.

В приложениях к методике приведены необходимые формы анкет и примеры, связанные с ее использованием.

Политика информационной безопасности призвана донести в сжатом виде до сотрудников, посетителей и партнеров учреждения

культуры цели, задачи и защитные меры как по информационной безопасности в целом, так и по ее отдельным аспектам12.

«Комплект политик информационной безопасности в сфере культуры» включает на данный момент следующие документы:

модельная политика информационной безопасности учреждения культуры;

политика инвентаризации информационных активов в сфере культуры;

политика обеспечения целостности информационных активов в сфере культуры;

политика по обеспечению информационной безопасности при управлении доступом к информационным ресурсам; политика обработки персональных данных; политика по антивирусной защите;

политика мониторинга инцидентов информационной безопасности;

политика реализации системы обеспечения информационной безопасности.

Массовое использование информационных технологий в сфере культуры, специфика отдельных видов культурной деятельности потребуют формирования как общих, так и «специфических» политик в области информационных технологий и информационной безопасности. В частности, необходимы:

политика использования цифровой подписи; политика безопасного применения облачных решений; политика безопасности цифрового наследия Российской Федерации;

политика безопасности Государственного каталога Музейного фонда Российской Федерации;

политика безопасности единого читательского билета; политика безопасности шеЬ-сайтов учреждений культуры. В документе «Дорожная карта реализации мероприятий по обеспечению информационной безопасности» представлены общее описание «дорожной карты», система показателей и схема плана мероприятий до 2018 г. Предметом плана является система мер по обеспечению информационной безопасности культуры в целом, а также отдельных видов культурной деятельности и культурных ценностей. «Дорожной картой» предусматриваются:

включение мер по защите информации в приоритеты деятельности органов исполнительной власти и учреждений культуры;

разработка нормативно-правовой базы информационной безопасности в сфере культуры;

внедрение лучших практик и систем обеспечения информационной безопасности в деятельности Минкультуры России и подведомственных учреждений, субъектах Российской Федерации;

формирование цифровой доверенной среды культурно-исторического пространства России;

повышение доступности и сохранности культурного наследия за счет реализации мер по обеспечению информационной безопасности;

повышение культуры информационной безопасности граждан и организаций Российской Федерации.

Среди мероприятий Дорожной карты можно выделить разработку ведомственных стандартов информационной безопасности; создание программно-технического комплекса «Реестр защищенных информационных активов в сфере культуры»; создание прототипа ведомственной системы информационной безопасности; разработку распределенной системы долговременного хранения электронных документов.

Заключение

Разработка инструментария системы обеспечения информационной безопасности в сфере культуры является задачей, решение которой необходимо рассматривать в неразрывной связи с вопросами сохранения и доступности культурного наследия Российской Федерации.

Подготовленные документы должны позволить создать эффективную систему информационной безопасности в сфере культуры как часть системы сохранения культурного наследия народов Российской Федерации и являются неотъемлемой частью политики в области общенациональной и информационной безопасности, использования «мягкой силы» в международных отношениях, в развитии информационного общества.

В результате создания системы информационной безопасности на основе разрабатываемого инструментария:

увеличится сохранность и доступность культурных ценностей; повысится упорядоченность и возрастет качество информационных систем и ресурсов;

возрастет защищенность информационных систем и ресурсов активов как части культурного наследия;

будут обеспечены меры информационной безопасности сферы культуры как отрасли.

Важными задачами следующих этапов являются подготовка комплекса документов в отдельных областях культурной деятель-

ности (архивное, музейное, библиотечное дело и др.); создание иерархий взаимоувязанных документов от национальной безопасности до учреждения культуры; увязка информационной безопасности с другими видами безопасности (разработка документов по комплексной безопасности в сфере культуры).

Примечания

Основы государственной культурной политики [Электронный ресурс] // Президент России. URL: http://news.kremlin.ru/media/events/files/ 41d526a877638a8730eb.pdf (дата обращения: 09.01.2015). Доктрина информационной безопасности Российской Федерации [Электронный ресурс] // Совет Безопасности Российской Федерации. URL: http:// www.scrf.gov.ru/documents/6/5.html (дата обращения: 09.01.2015). Кордонский С.Г. Классификация и ранжирование угроз // Отечественные записки. 2013. № 2 (53). С. 52-73.

Проект Закона о культуре в Российской Федерации [Электронный ресурс] // Министерство культуры России. URL: http://mkrf.ru/upload/mkrf/ mkdocs2014/26_11_2014_1.docx (дата обращения: 09.01.2015). Основы государственной культурной политики [Электронный ресурс]. См., например: Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 г. Москва «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Шестаков В.А. Комплексная концепция музейной безопасности. СПб.: АНО НИИ СМД, 2013. 199 с.

Петров С.Т, Тарасов А.А. Обеспечение безопасности информационных активов в сфере культуры // Вестник МФЮА. 2014. № 3. С. 57-64. Сорокин АД, Казарин О.В, Петров СТ, Тарасов А.А. Применение метода анализа иерархий в области сохранения цифрового наследия // Современные проблемы и задачи обеспечения информационной безопасности: Тр. Всеросс. науч.-практ. конф. «СИБ - 2014» / Отв. ред. О.А. Макарова. М., 2014. С. 67-73. Зенкевич В., Шатов В. Информационные риски: анализ и количественная оценка // Бухгалтерия и банки. 2007. № 1. С. 50-53.

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена приказом ФСТЭК России 14 февраля 2008 г. [Электронный ресурс] // ФСТЭК России. URL: http://fstec.ru/component/attachments/ download/290 (дата обращения: 09.01.2015).

Коваленко Ю.И, Матюнин С.А. Разработка политики информационной безопасности организации. М.: МИНИТ ФСБ России, 2013. 172 с.

2

3

4

5

3

7

3

9

10

11