УДК 004.056
ИСТОЧНИКИ ДЛЯ ФОРМИРОВАНИЯ ТРЕБОВАНИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ*
А. Г. Пятков, В. В. Золотарев
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31 E-mail:[email protected]
Рассматривается вопрос формирования системы локальной организационно-распорядительной документации в области информационной безопасности, источники для формирования содержащихся в этой документации требований информационной безопасности, дается описание этих источников и их значение в системе документации.
Ключевые слова: организационно-распорядительная документация, общие и частные источники требований информационной безопасности.
SOURCES TO FORM INFORMATION SECURITY REQUIREMENTS IN THE ENTERPRISE
A. G. Pyatkov, V. V. Zolotarev
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russia E-mail:[email protected]
A question of formation of a local official documentation system in Information Security is considered. The sources to form the requirements that are included in this documentation are described. Their meanings are presented.
Keywords: official documentation system, common and private sources of requirements in Information Security.
Возникновение организаций связано с развитием человеческого общества. Организации представляют собой сложную систему, группу людей (сотрудников), деятельность которых координируется для достижения цели организации. Для этого функции, задачи, права и обязанности сотрудников закрепляются в комплексе документов, называемых организационно-распорядительной документацией (ОРД). В них же определяется персональная ответственность за активы и связи на предприятии, что является одним из принципов обеспечения безопасности [1, с. 32]. Распространение информационных технологий, возрастание их значения в бизнесе, на производстве и в повседневной жизни людей поднимает вопрос обеспечения информационной безопасности (ИБ). В каждой конкретной организации вопрос обеспечения ИБ регламентируется комплексом локальной ОРД. Требования к оформлению документов определены и регламентируются ГОСТ Р 6.30-2003. Сложности возникают с порядком составления и требованиями самих ОРД для защиты конфиденциальной информации. Практически в организациях порядок составления распорядительного документа зависит от того, как он прописан в инструкции по делопроизводству организации, так как существующие ГОСТ-ы по управлению ИБ, требованиям к содержанию ОРД носят рекомендательный характер. Но локальная ОРД должна учитывать ряд факторов, например, требования законодательства РФ. Это приводит к вопросу: какие требования ИБ
должны быть учтены в системе локальной ОРД, каковы их источники?
Источники формирования требований для системы локальной ОРД в области ИБ предлагается подразделять на общие и частные. Общие источники определяют набор требований, присущих всем организациям в соответствии с некоторыми условиями, к примеру, обработка персональных данных. Частные источники формируют требования, предъявляемые в зависимости от конкретной ситуации на конкретном предприятии.
В соответствии с концепцией разделения властей, государственная власть разделяется между независимыми друг от друга ветвями: законодательной, исполнительной и судебной [2]. Каждая из этих ветвей власти выполняет свою специфическую функцию. Ветви власти формируют и поддерживают законодательное поле (пространство действия закона). Требования, формируемые этими источниками, обязательны для выполнения всеми предприятиями для осуществления их деятельности на территории государства, если не определено иное (требование не действует или носит рекомендательных характер).
Важную роль в формировании системы организационных мер защиты информации играет законодательство. Законодательство РФ представляет собой иерархическую систему законодательных актов, в ее основе - Конституция РФ, имеющая наивысшую юридическую силу (ст. 15).
*Работа выполнена при поддержке гранта Президента молодым российским учёным, договор № 14.124.13.4037-МК от 04.02.2013.
Методы и средства защиты информации
Источники формирования перечня ОРД по защите информации
Ниже по иерархии находятся федеральные законы, постановления правительства, указы президента. Федеральные законы определяют общие требования и рекомендации по защите информации (ФЗ № 98 от 29.07.2004 г. «О коммерческой тайне» и пр.). В зависимости от ряда факторов (вид циркулируемой информации, объемы данных и пр.) определяются требования законодательства, предъявляемые к предприятию.
В качестве исполнительной власти в области защиты информации на территории РФ выступают регуляторы: Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба безопасности (ФСБ) и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (РКН). Методы и способы защиты информации определяют ФСТЭК и ФСБ. ФСБ регламентирует вопросы ИБ с использованием средств шифрования (криптографии). ФСТЭК осуществляет контроль защиты информации с применением технических средств. РКН является основным исполнительным и надзорным органом по защите персональных данных (ПДн): ведёт реестр операторов, осуществляющих обработку ПДн, проводит проверки соблюдения законодательства в части обеспечения безопасности ПДн. Регуляторами разрабатываются и утверждаются нормативные и методические документы, определяющие состав работ по обеспечению ИБ и требования по ИБ. Данные нормативные и методические документы детализируют требования законодательства РФ и не должны им противоречить.
Судебную ветвь также следует учитывать при формировании требований ИБ в связи с тем, что вопросы нарушения законности в отношении защищаемой информации решаются именно этой ветвью власти. Возможна ситуация, когда на предприятии могут быть не учтены некоторые детали 2-х ветвей (например, в перечень защищаемой информации включена информация, которую можно получить законным путём). Тогда предприятие при возникновении инцидента отстоять в суде свои права не сможет. Уменьшить вероятность такого исхода можно, если учесть судебную практику по таким делам. Согласно ФЗ № 262 от 22.12.2008 г. «Об обеспечении доступа к информации о деятельности судов в РФ» выносимые судами решения, приговоры и иные акты должны быть в общем доступе (ст. 4 и 6). Иными словами, доступ к такой статистике открыт, и может быть проведён её анализ,
что позволит уточнить и дополнить систему локальной ОРД, минимизировать вероятность отрицательно -го решения суда в отношении иска предприятия.
Частные источники формирования требований ИБ включают клиентов предприятия, партнеров и само предприятие. Частные требования предприятия зависят от особенностей деятельности предприятия и представляют собой специфический набор принципов, целей и требований, разработанных организацией в отношении хранения, обработки и передачи информации. Они дополняют требования общих источников с учётом нюансов деятельности предприятия, образуя единое правовое поле предприятия, закрепляются в виде договоров или дополнительных соглашений (соглашение о неразглашении и пр.).
Требования ИБ от всех источников (см. рисунок) следует разделять на обязательные для выполнения и рекомендуемые. Закрепленные в договорах рекомендуемые требования будут носить обязательный характер. Последствия нарушение обязательных требований - различные санкции: материальные (штрафы, приостановка деятельности, уголовная ответственность и пр.) или нематериальные (к примеру, снижение имиджа предприятия) потери для предприятия. Несоблюдение рекомендуемых требований не влечёт санкций, однако может снижать защищенность системы. Аудит ИБ поможет в определении вопроса, приемлемо ли пренебрегать рекомендуемыми требованиями. Важным критерием для такой оценки требований выступает экономическая целесообразность требований. Если затраты на выполнение требования превышают возможные потери от его невыполнения, то такое рекомендуемое требование не целесообразно выполнять для предприятия.
Система локальной ОРД по защите информации должна изменяться динамично совместно с изменениями требований в правовом поле предприятия и страны. Общий перечень требований ИБ рекомендуется использовать при формировании на предприятии системы ОРД. Это позволит дополнить существующие системы ОРД или учесть при их построении те требования ИБ, которые могли быть упущены. Иными словами, требования ИБ должны быть учтены в единой системе ОРД предприятия, соответствующей законодательству РФ и другим источникам требований. Единая система ОРД предприятия позволяет создать правовое поле предприятия в соответствии с его нуждами и допустимыми в стране нормами.
Библиографические ссылки
1. David L. Managing the human factor in information security how to win over staff and influence business managers. West Sussex, Англия : John Wiley & Sons Ltd., 2009. 400 c.
2. Козырев Г. И. Основы социологии и политологии : учебник. М. : Форум : Инфра-М, 2007. 240 с.
References
1. David L. Managing the human factor in information security how to win over staff and influence business managers. West Sussex, England : John Wiley & Sons Ltd., 2009. 400 p.
2. Kozyrev G. I. Oshovy sociologii I politologii: ychebnik. Moscow: ID «Forum» : Infra-M, 2007. 240 p.
© Пятков А. Г., Золотарев В. В., 2013
УДК 004.056
О РАЗРАБОТКЕ АДАПТИВНОЙ СИСТЕМЫ АНАЛИЗА ИНТЕРНЕТ-КОНТЕНТА ДЛЯ ОЦЕНКИ РЕПУТАЦИИ БИЗНЕСА
И. С. Силина
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31 Е-mail: [email protected]
Рассматривается влияние интернет-среды на позицию компании на рынке, а также важность проведения мониторинга и анализа информации в Интернете.
Ключевые слова: репутация компании, мониторинг информации, интеллектуальный анализ.
THE DEVELOPMENT OF ADAPTIVE INTERNET-CONTENT ANALYSIS SYSTEM FOR ASSESSMENT OF BUSINESS REPUTATION
I. S. Silina
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russia. Е-mail: [email protected]
The impact of Internet environment on the company's position in the market is shown, and the importance of monitoring and analysis of information on the Internet is revealed.
Keywords: reputation of the company, monitoring of Information, intellectual analysis.
В современном мире все больше сведений о юридических лицах появляется в сети Интернет. Какую бы деятельность ни вела компания, информация об этой деятельности рано или поздно попадает во Всемирную сеть. Информация о компании в открытом доступе вызывает интерес у клиентов, конкурентов рассматриваемой фирмы, ее партнеров, а также других лиц или структур [1]. Разные справочные ресурсы, независимые порталы, на страницах которых клиенты, конкуренты, бывшие недовольные сотрудники имеют возможность оставлять отзывы самого разнообразного содержания, различные блоги, форумы, сайты, сервисы типа «вКонтакте», «Твиттер» и др. являются мощным и практически неуправляемым механизмом формирования контента, влияющим на репутацию компании.
Репутация - ценный материальный актив, который накапливается годами, но может быть разрушен в одночасье. Хорошая репутация делает компанию более привлекательной для инвесторов, обеспечивает более сильные позиции при выходе на новые рынки и поддержку широких слоев населения. Клиенты поддер-
живают более стабильные отношения с фирмами, обладающими хорошей репутацией. Лучшие специалисты стремятся работать в компаниях с хорошей репутацией. То есть репутация - это значительное конкурентное преимущество. Да и просто компанию с хорошей репутацией труднее «подавить» на рынке.
Отсутствие реакции на комментарии пользователей, игнорирование информационных запросов своей аудитории, отсутствие адресности в размещаемом контенте и т. д., безусловно, отрицательно сказывается на репутации в интернет-среде.
Благодаря современным технологиям любой человек или организация может без особого труда, практически мгновенно и бесплатно создавать и распространять контент. Этот факт оказывает значительное влияние как на саму коммуникацию, так и на область ее исследований. С каждым днем появляется все больше разнообразных методов и методик исследования интернет-среды нового поколения, инструментов и сервисов интеллектуального анализа и обработки данных, веб-аналитики, ряд компаний разрабатывают собственные уникальные методики анализа социаль-