CC BY
4
МЕЖДУНАРОДНО-ПРАВОВЫЕ НАУКИ
Особенности применения организационно-правового инструментария обеспечения информационной безопасности в странах Евросоюза
Елин Владимир Михайлович,
к.п.н., доцент Департамента информационной безопасности Финансового университета при Правительстве Российской Федерации; доцент кафедры информационной безопасности МОСУ МВД РФ им. В. Я Кикотя
Царегородцев Анатолий Валерьевич,
д.т.н., профессор, руководитель Департамента информационной безопасности Финансового университета при Правительстве Российской Федерации
В настоящее время в нашей стране в целях повышения качественных характеристик борьбы с коррупционными правонарушениями осуществляется активное применение современных информационных технологий, применение которых обеспечивает предупреждение, выявление, пресечение, раскрытие и расследование причин коррупции и коррупционных правонарушений. В статье раскрываются централизовано применяемые в странах Евросоюза методики обеспечения информационной безопасности отдельных категорий информации ограниченного доступа, основанные на определении критериев серьезности нарушения контекста, на совокупности требований по обеспечению эффективной и согласованной деятельности сертифицированных модулей Cybersecurity Assessments, а также на применении интероперабельного набора инструментов управления рисками в странах Евросоюза. В статье делается вывод о том, что применяющиеся в странах Евросоюза методики обеспечения безопасности некоторых категорий информации ограниченного доступа базируется на применении критериев оценки контекста обработки данных, идентификации информации, характеристике угроз и вероятности наступления неблагоприятных последствий с учетом обстоятельств нарушения. К несомненным положительным чертам представленных в статье методик относится их высокая вариативность и отсутствие жестких требований построения систем безопасности информационных систем обработки информации ограниченного доступа.
Ключевые слова: информационная безопасность, информация ограниченного доступа, методы обеспечения безопасности, информационные угрозы, уязвимости информационных
Статья подготовлена по результатам исследований, выполненных за счет бюджетных средств по государственному заданию Финуниверситета
В настоящее время в нашей стране в целях повышения качественных характеристик борьбы с коррупционными правонарушениями [1] осуществляется активное применение современных информационных технологий, применение которых обеспечивает предупреждение, выявление, пресечение, раскрытие и расследование причин коррупции и коррупционных правонарушений.
В качестве информационно-коммуникационной технологии обеспечения профилактики коррупционных преступлений определена автомтизирован-ная система обработки информации «Посейдон», реализующая информационно-аналитическое обеспечение аналитической и проверочной деятельности в целях противодействия коррупции [2]. состав и источники информации, содержащейся в системе «Посейдон», определяются ее координатором совместно с оператором системы «Посейдон» с участием поставщиков информации. В состав информации могут входить персональные данные лиц.
Защита информации ограниченного доступа в системе «Посейдон», ее использование и предоставление осуществляются в соответствии с законодательством Российской Федерации. При этом Федеральный Закон «О противодействии коррупции» [1] связывает защиту информации с необходимостью исполнения должностными лицами запретов и ограничений по разглашению или использованию известную им в связи с выполнением возложенных на них обязанностей информации ограниченного доступа в целях, не связанных с выполнением служебных обязанностей.
В сложившихся условиях особый интерес представляет анализ зарубежного опыта по разработке и применению методологий обеспечения информационной безопасности отдельных категорий информации ограниченного доступа, некоторые из которых представлены в данной статье.
Методология оценки серьезности нарушений персональных данных устанавливает критерии оценки для определения серьезности нарушения, к которым относит: контекст обработки данных (Data Processing Context (DPC), простоту идентификации (Ease of Identification (EI) и обстоятельства нарушения (Circumstances of breach (CB) [3].
Окончательное значение серьезности нарушений рассчитывается по формуле:
SE=DPC*EI+CB (1)
5 -о
сз ж
■с
При этом показатели для параметров расчета определяются с учетом ряда табличных критериев:
В основе методологии оценки нарушений персональных данных положено применения критерия критичности данного набора данных DPC в конкретном контексте обработки. Результат относится к определенному диапазону значений, который соответствует одному из четырех уровней серьезности: низкий, средний, высокий и очень высокий. Контекст обработки данных рРС) наряду с типом взломанных данных учитывает факторы контекста обработки. Предварительный балл DPC получаем в результате классификации персональных данных: простые, поведенческие, финансовые и конфиденциальные данные, затем параметр корректируется с учетом контекстуальных факторов, связанных с конкретным типом данных.
Простота идентификации (Е1), представляет собой характеристику затратности установления личности физических лиц и определяет возможность соотнесения персональных данных с конкретным физическим лицом. С учетом абсолютных значений баллов различают незначительный, ограниченный, значительный и максимальный уровни Е1. В случае ничтожной возможности по прямой (например, на основе имени) или косвенной (например, на основе идентификационного номера) идентификации личности при определенных заранее заданных условиях, сложности сопоставления данных с конкретным человеком может быть присвоен наименьший балл. Идентификация также может быть произведена в результате взлома данных, непосредственно на основе взломанных данных без специальных идентифицирующих личность человека исследований.
Обстоятельства нарушения (СВ) представляют собой конкретные обстоятельства, связанные с типом нарушения, включая главным образом утрату безопасности взломанных данных с учетом таких элементов как потеря безопасности (конфиденциальность, целостность, доступность) и злонамеренный умысел, что позволяет дополнить DPC и Е1..
Нарушение конфиденциальности связывают с возможностью получения информации неуполномоченными субъектами либо субъектами, не имеющими законного доступа. Количественные и качественные характеристики субъектов -нарушителей определяют степень потери конфиденциальности информации.
Потеря целостности происходит в случае изменения содержания исходной информации, что может нанести ущерб заинтересованному лицу. Наиболее серьезная ситуация возникает, когда существуют серьезные возможности того, что измененные данные были использованы таким образом, который мог нанести вред человеку.
Потеря доступности происходит, когда утрачивается возможность доступа к запрашиваемым исходным данным, что может носить временный (данные могут быть восстановлены, но это займет определенный период времени, и это может нане-
сти ущерб человеку), либо постоянный (данные не могут быть восстановлены) характер.
Злонамеренность умысла следует связывать человеческой или технической ошибкой, либо с неправомерным воздействием.
Баллы, полученные за каждый элемент СВ, суммируются.
Окончательная оценка представлена в таблице 1 и показывает уровень серьезности нарушения с учетом влияния на физических лиц.
Таблица 1. Уровень серьезности утечки данных
SE < 2 Низкий Люди либо не будут затронуты, либо могут столкнуться с некоторыми неудобствами, которые они без проблем преодолеют (затраты на повторный ввод информации, досада, раздражение и т.д.).
2 < SE < 3 Средний Люди могут столкнуться со значительными неудобствами, которые они в состоянии преодолеть, несмотря на некоторые трудности (дополнительные расходы, отказ в доступе к бизнес-услугам, страх, непонимание, стресс, незначительные физические недуги и др.).
3 < SE< 4 Высокий Люди могут столкнуться со значительными последствиями, которые они в состоянии преодолеть, пусть и с серьезными трудностями (утрата финансовых средств, занесение в черный список банками, материальный ущерб, потеря работы, повестка в суд, ухудшение здоровья и др.).
4 < SE Очень высокий Физические лица могут столкнуться со значительными, или необратимыми последствиями, которые они не могут преодолеть (существенный долг или неспособность работать, долгосрочные психологические или физические недуги, смерть и др.).
Методология отраслевых оценок кибербез-опасности (Sectoral Cybersecurity Assessments Далее: «Методология SCSA») определяет совокупность требований по обеспечению эффективной и согласованной деятельности сертифицированных модулей Cybersecurity Assessments (CSA) [4].
Выделяют следующие задачи: выполнение требований безопасности и гарантии услуг, процессов или продуктов ИКТ; обеспечение гарантированных уровней поддержки и применение инструментов встроенной безопасности.
Исследователи выделяют ряд особенностей методологии SCSA:
- основой оценки кибербезопасности на отраслевом уровне выступают цели функционирования ИКТ в отрасли, основные активы и связанные с ними риски, на основе анализа информации об использовании подсистем, продуктов или услуг. Важным параметром при анализе ки-беругроз (CTI), необходимым для определения требований безопасности и гарантии к подсистемам ИКТ, продуктам ИКТ или услугам ИКТ на основе риска, выступают сведения о потен-
циальных злоумышленниках, их мотивах и возможностях;
- применение методологии SCSA основывается на применении внутренних эталонных уровней риска, безопасности и надежности, позволяет интегрировать и подходы к обеспечению кибер-безопасности по секторам, продуктам и процессам, в том числе и основанных на основании требований ISO/IEC 15408 [5].
- Методология SCSA формирует взаимосвязь между стандартами серий ISO/IEC 27000 и ISO/ IEC 15408, обеспечивая:
- обмен результатами оценки рисков, спецификациями безопасности и гарантиями на основании метода сопоставления, устраняющего расхождения в терминологии и обеспечивающего передачу информации;
- применение масштабируемых средств контроля с заданным уровнем безопасности в соответствии со способностью анализа рисков и защиты от атак. При этом заинтересованные стороны несут ответственность за выявление рисков и участвуют в определении требований безопасности, что позволяет связать совокупность рисков и затрат для снижения этих рисков;
- применение методологии SCSA обеспечивает согласованность в реализации уровней доверия на основании типовых схем применения, что позволяет использовать различные сертификаты.
Методология предлагает участникам отдельные алгоритмы поведения, основанные на совокупности типичных обязанностей:
- координирующий орган определяет правила по которым заинтересованные организации могут принимать участие работе отраслевой системы ИКТ;
- совокупность предоставляемых инфраструктурных услуг, продуктов и процессов ИКТ, возможность их повсеместного использования, уровень детализации функций и уровней безопасности определяется координирующим органом;
- качество отраслевых систем основано на требованиях соглашений об оказании услуг, заключаемых между конечными пользователями отраслевых услуг ИКТ с «поставщиком услуг ИКТ» или «розничным продавцом услуг ИКТ». Методология SCSA реализует подход сценария
риска для обеспечения согласованности и обратимости соображений риска, потенциала атаки, безопасности и гарантии, которые соединяют все три уровня отраслевой оценки.
Первоначальный этап вычислений напрямую связан с анализом информации о функциональных активах бизнес-процессов. Последующие вычисления базируются на модели возможных атак и потенциальных последствия указанных атак для заявленных активов. Для консолидации оценки воздействия и вероятности конкретного инцидента и дальнейшего присвоения классов мета-риска (MRC) следует применять положения стандарта ISO/IEC 27005 [6].
Классы мета-риска в дальнейшем распространяют на все вспомогательные активы и используют для определения требований безопасности для подсистем, продуктов, услуг и процессов ИКТ.
Информация о риске, в частности MRC, применяется к конкретному вспомогательному активу, наследуется от оценки первичной информации или функционального актива, поддерживаеи-ого оцениваемым вспомогательным активом. Для отраслевой оценки на высоком уровне как часть контекста используют CTI и информацию о нарушителях с учетом их потенциала и мотивов, в результате чего формируют перечень потенциальных типов нарушителей, с указанием целей, мотивации, а также оценки используемых нарушителями средств.
Подход в организационной системе управления информационной безопасностью (ISMS) базируется на оценке уровня риска как функции воздействия (последствий) события и вероятности его возникновения, причем методология позволяет оценить ущерб в результате инцидента лишь при условии высокой вероятности события либо при низкой степени воздействия на ИКТ, в связи с чем для предлагаемая модель сертифицируется для каждого сектора экономики на основании сопоставимых уровней риска.
Оценки отраслевых рисков проводятся координирующим органом сектора или разработчиком отраслевой схемы сертификации кибербезопасности с привлечением заинтересованных сторон и координирующих организаций («владельцев бизнес-рисков»), а также потребителей отраслевых услуг.
Методология SCSA базируется на сценариях риска, разрабатываемых отраслевыми заинтересованными сторонами с учетом возможного причиняемого ущерба.
Идентификация сценариев основывается на средствах и мотивации нарушителей, а также на их возможности оказывать влияние на функциональные (основные или вспомогательные) активы. По результатам идентификации сценариев риска заинтересованные стороны производят оценку вероятности реализации сценария, причем сценарий риска может касаться целей нескольких заинтересованных сторон.
Инструменты управления рисками в Евросоюзе (Interoperable EU Risk Management Framework ("EU RM")
Интероперабельный набор инструментов EU RM [7] обеспечивает справочную структуру для интерпретации, сравнения и агрегирования результатов полученных с помощью различных методов оценки риска [8]. Это позволяет заинтересованным сторонам работать над общими угрозами и сценариями рисков [9] и сравнивать уровни рисков, даже в тех случаях, когда они оцениваются с помощью различных или собственных инструментов и методов, что позволяет разработать комплексное представление о состоянии кибербезопасности организаций
5 -о
сз ж
■с
в отношении конкретных или возникающих угроз в разных секторах и странах.
Функциональными компонентами набора инструментов Еи RM являются следующие: отображение терминологии; сопоставление активов; картирование угроз и уровней риска. Набор инструментов Еи RM облегчает согласование действий по четырем направлениям менеджмента рисков:
- предоставляет набор интероперабельных терминов, основанных на нормативно-правовой базе и международных стандартах, которые используются для установления контекста RM. Это позволяет дать однозначное описание и понимание деятельности RM, осуществлять сопоставление между набором инструментов Еи RM и соответствующими методологиями RM, независимо от используемой методологии RM;
- определяет объем среды применения оценки рисков, предоставляя классификацию основных и дополнительных активов участников. Классификация облегчает разработку однозначных сценариев риска и правильную интерпретацию соответствующих активов подлежащих учету в процессе оценки риска, после чего организации смогут определить, применим ли сценарий риска или атаки и каким образом;
- позволяет определить сценарии риска, связанные с конкретной угрозой или группой угроз;
- сопоставление рассчитанных с использованием выбранного метода RM значений рисков с общей шкалой рисков, на основании чего оператор нормализует результаты на основе процесса сопоставления уровней риска, специально разработанного для каждого RM. В процессе сопоставления соотносят шкалу рисков выбранного внутреннего метода со шкалой рисков набора инструментов, предоставляя тем самым заинтересованным сторонам средства для использования общей эталонной шкалы оценки рисков.
В информационной системе защите подлежат основные и вспомогательные активы, персонал, коммуникации и организационную инфраструктуру.
В число основных активов относят основные бизнес-процессы, услуги и функции предоставляемые третьими лицами; компьютерные данные (информация) для обслуживания конкретных производственных процессов.
В перечень вспомогательных активов включено аппаратное обеспечение, устройства и оборудование (в т.ч. вычислительные и сетевые устройства), средства массовой информации, устройства Интернета вещей (1оТ), устройства операционных технологий (ОТ), телекоммуникационные устройства, периферийные устройства и устройства хранения; 5= программное обеспечение и приложения (включая ^ системное программное обеспечение и операци-^ онные системы, встроенное программное обеспечение, промежуточное программное обеспечение, Ц пакетное программное обеспечение и бизнес-
приложения/приложения для конечных пользователей).
Категоризация активов осуществляется на основании адаптированных к потребностям инструментария требований стандартов ^О/1ЕС 27005:2018.
В качестве основных угроз определены: природные и промышленные угрозы, ошибки и непреднамеренные сбои, преднамеренные нападения и сервисные угрозы (облачные сервисы и сервисы, предоставляемые третьими лицами).
После определения категорий угроз каждая отдельная угроза связуется с категориями активов, на которые она может повлиять и с последствиями, которые это может вызвать с точки зрения конфиденциальности, целостности и доступности.
Уровень риска информационной безопасности определяется как показатель степени воздействия потенциального события и связывается с вероятностью возникновения угрозы и ее влиянием на активы организации.
Риск определяют как произведение вероятности возникновения и влияния угрозы.
Вероятность возникновения угрозы представляет собой оценку вероятности того, что конкретная угроза может использовать конкретную уязвимость или совокупность уязвимостей. Методология Еи RM использует уровни вероятности возникновения непреднамеренных угроз: ежедневная, ежемесячная, ежегодная, один раз в 10 лет и один раз в столетие. Инструментарий Еи RM определяет пять дискретных уровней вероятности возникновения угрозы: очень высокий (угроза, скорее всего, материализуется, поскольку существуют связанные с ней уязвимости и отсутствуют адекватные меры безопасности), высокий (угроза может материализоваться, потому что существуют связанные уязвимости, которые можно использовать, и применяются неэффективные или устаревшие меры безопасности), умеренный (угроза потенциально может материализоваться, поскольку существуют уязвимости, которые можно использовать, и несмотря на то, что они были закрыты мерами безопасности), низкий (угроза вряд ли материализуется, так как все связанные с ней уязвимости закрыты соответствующими мерами безопасности), очень низкий (возникновение угрозы крайне маловероятно).
Уровень воздействия определяется как уровень ущерба, который может быть оценен в результате различных действий, Инструментарий Еи RM определяет следующие пять уровней воздействия, описываемых с точки зрения операционных, правовых, финансовых и других последствий: очень высокий, высокий, умеренное, низкий, очень низкое.
Таким образом? можно сделать вывод о том, что применяющиеся в странах Евросоюза методики обеспечения безопасности некоторых категорий информации ограниченного доступа базируется на применении критериев оценки контекста обработки данных, идентификации информации,
характеристике угроз и вероятности наступления неблагоприятных последствий с учетом обстоятельств нарушения. К несомненным положительным чертам представленных методик относится их высокая вариативность и отсутствие жестких требований построения систем безопасности информационных систем обработки информации ограниченного доступа.
Литература
1. Федеральный закон от 25.10.2008 г. № 273-ФЗ «О противодействии коррупции» // СЗ РФ, 29.12.2008, № 52 (ч. 1), ст. 6228
2. Указ Президента РФ от 25.04.2022 № 232 «О государственной информационной системе в области противодействия коррупции «Посейдон» и внесении изменений в некоторые акты Президента Российской Федерации» (вместе с «Положением о государственной информационной системе в области противодействия коррупции «Посейдон»)//http://www.kremlin.ru/ acts/bank/47769
3. Recommendations for a methodology of the assessment of severity of personal data breaches. Working Document, v1.0, December 2013/Euro-pean Union Agency for Network and Information Security
4. Methodology for sectoral cybersecurity assess-ments.eu cybersecurity certification framework. Sept.2021/ENISA.142 P.S
5. ГОСТ Р ИСО/МЭК 15408-1-2012 "Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model". Национальный Стандарт Российской Федерации "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий"
6. ГОСТ Р ИСО\МЭК 27005-2010 Национальный Стандарт Российской Федерации "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Information technology. Security techniques. Information security risk management.
7. Interoperable EU Risk Management Toolbox. February. 2023
8. Сборник структур управления рисками с потенциальной функциональной совместимостью// https://www.enisa.europa.eu/publications/ compendium-of-risk-management frameworks
9. Интероперабельная система управления рисками ЕС /https://www.enisa.europa.eu/publica-tions/interoperable-eu-risk-management framework
FEATURES OF THE APPLICATION OF ORGANIZATIONAL AND LEGAL TOOLS FOR ENSURING INFORMATION SECURITY IN THE EUROPEAN UNION COUNTRIES
Elin V.M., Tsaregorodtsev A.V.
Financial University under the Government of the Russian Federation
Currently, in our country, in order to improve the quality of the fight against corruption offenses, modern information technologies are actively used, the use of which ensures the prevention, identification, suppression, disclosure and investigation of the causes of corruption and corruption offenses. The article reveals the methods of ensuring information security of certain categories of restricted information that are centrally applied in the European Union countries, based on determining criteria for the severity of a violation of the context, on a set of requirements to ensure the effective and consistent operation of certified Cybersecurity Assessments modules, as well as on the use of an interoperable set of risk management tools in countries of the European Union.
The article concludes that the methods used in the European Union to ensure the security of certain categories of restricted information are based on the application of criteria for assessing the context of data processing, identification of information, characteristics of threats and the likelihood of adverse consequences taking into account the circumstances of the violation. The undoubted positive features of the methods presented in the article include their high variability and the absence of strict requirements for constructing security systems for information processing systems of limited access.
Keywords: information security, restricted information, security methods, information threats, information system vulnerabilities.
References
1. Federal Law of October 25, 2008 No. 273-FZ "On Combating Corruption" // SZ RF, December 29, 2008, No. 52 (Part 1), Art. 6228
2. Decree of the President of the Russian Federation dated April 25, 2022 No. 232 "On the state information system in the field of anti-corruption "Poseidon" and amendments to some acts of the President of the Russian Federation" (together with the "Regulations on the state information system in the field of anti-corruption "Poseidon") //http://www.kremlin.ru/acts/bank/47769
3. Recommendations on methods for assessing the severity of personal data violations. Working paper, version 1.0, December 2013/European Union Agency for Network and Information Security.
4. Methodology for industry assessments of cybersecurity. EU Cybersecurity Certification Framework. September 2021/ENI-SA.142 P.S.
5. GOST R ISO/IEC 15408-1-2012 "Information technologies. Safety precautions. Criteria for assessing IT security. Part 1. Introduction and general model." National standard of the Russian Federation "Information technology. Security methods and means. Criteria for assessing the security of information technologies"
6. GOST R ISO\IEC 27005-2010 National standard of the Russian Federation "Information technologies. Security methods and means. Information security risk management. Information Technology. Safety precautions. Information security risk management.
7. EU compatible risk management tools. February. 2023
8. Collection of risk management frameworks with reliable inter-operability// https://www.enisa.europa.eu/publications/compen-dium-of-risk-management frameworks
9. EU Interoperable Risk Management System/ https://www.eni-sa.europa.eu/publications/interoperable-eu-risk-management framework
5 -a
C3 ж
<
