CC BY
3
МЕЖДУНАРОДНО-ПРАВОВЫЕ НАУКИ
Правовые и организационные инструменты обеспечения информационной безопасности для информации ограниченного доступа в США
Елин Владимир Михайлович,
к.п.н., доцент Департамента информационной безопасности Финансового университета при Правительстве Российской Федерации; доцент кафедры информационной безопасности МОСУ МВД РФ им. В.Я. Кикотя
Царегородцев Анатолий Валерьевич,
д.т.н., профессор, руководитель департамента информационной безопасности Финансового университета при Правительстве Российской Федерации
В статье рассматриваются особенности применения методов обеспечения информационной безопасности в США для отдельных категорий информации ограниченного доступа. Авторами представлены общие характеристики обеспечения безопасности информации. В статье уделяется существенное внимание особенностям защиты чувствительной информации в США. Представлена методика обеспечения безопасности значимой, но несекретной информации в целях обеспечения ее защиты от несанкционированного использования или раскрытия. В статье сделан вывод о тесной взаимосвязи зарубежных технологических решений с российской системой обеспечения безопасности критической информационной инфраструктуры. В то же время представляется неоправданным отказ российского законодателя от правового института служебной тайны, аналогичного американской «чувствительной информации в области безопасности» (Sensitive Security Information (SSI).
Ключевые слова: информационная безопасность, информация ограниченного доступа, методы обеспечения безопасности, информационные угрозы, уязвимости информационных систем.
сч
О)
Статья подготовлена по результатам исследований, выполненных за счет бюджетных средств по государственному заданию Финуниверситета
При анализе подхода США в сфере обеспечения безопасности отдельных категорий информации ограниченного доступа следует иметь в виду наличие кардинальных отличий между российским и американским системами конфиденциальной информации. Так в США до настоящего времени не существует нормативного регулирования персональных данных, поскольку определена достаточность правового регулирования с помощью The Privacy Act of 1974 [1]. Также американские механизмы обеспечения безопасности сведений, составляющих государственную тайну, представляются излишне сложными и громоздкими. Однако такой подход сформирован в США в течение длительного времени [2] и базируется на четком распределении обязанностей между государственными органами (числом чуть более 20), задействованными в данной сфере [3].
В сфере предоставления ответов государственными органами исполнительной власти на публичные запросы, обнародования и обеспечения доступности информации о деятельности указанных органов в США действует закон «О свободе информации» [4], обязывающий предоставлять доступ к ранее неопубликованной или нераспростра-нявшейся информации и документов, контролируемых федеральным правительством США. При этом FOIA определен ряд категорий информации, затрагивающих сферу конфиденциальности и личных прав, к которым относятся: сведения в сфере национальной обороны или внешней политики, засекреченные в соответствии с указом исполнительной власти; кадровые правила и практики агентств; коммерческая тайна; межведомственные или внутриведомственные меморандумы; персональные и медицинские файлы; информация собранная собранная для целей правоохранительных органов, финансовая информация; геологическая и геофизическая информация.
В 1976 году перечень информации ограниченного доступа изменен с принятием закона Government in the Sunshine Act [5], и начал включать в себя сведения: в сфере национальной обороны; относящиеся к внутренним кадровым правилам и практике; связанные с обвинением лица в совершении преступления; в области соблюдения конфиденциальности [6, 7, 8, 9] относящиеся к следственным действиям и судебным разбирательствам; способствующие финансовым спекуляциям.
В 1996 году в США принят Закон об электронной свободе информации (E-FOIA), согласно положениям которого государственные органы обязаны осуществлять запись информации в электронном виде и предоставлять гражданам свободный доступ к указанным записям.
Порядок обращения секретной информации национальной безопасности определен рядом нормативных актов, к которым можно отнести Приказ Президента США [10] № 13526 от 29 декабря 2009 г., определяющий порядок засекречивания, защиты и рассекречивания информации в сфере национальной безопасности. Определен ряд уровней классификации информации: «Совершенно секретно»1, «Секретно»2, «Конфиденциально». Установлено, что информация подлежит засекречиванию для категорий сведений связанных с военными планами или системами вооружений; сведениями полученными от правительств зарубежных стран; сведения, связанные с разведывательной (в т.ч.тайной) деятельностью, криптологией, а такжеситочниками и методами разведки; зарубежная деятельность Соединенных Штатов; совокупность информации в сфере национальной безопасности США; ядерные программы правительства Соединенных Штатов; и др. [11 ].
При этом указывается, что руководители федеральных министерств и ведомств вправе первоначально засекречивать информацию на основании Распоряжению Президента США [12].
В настоящее время в США в системе информационной безопасности и электронного государства значительное внимание уделяется проблеме обеспечения безопасности значимой, но несекретной информации в целях обеспечения ее защиты от несанкционированного использования или рас-крытия[13].
При этом для практического обеспечения безопасности значимой (чувствительной) информации, не относящейся к категории секретной, используется понятие «чувствительной информации в области безопасности» (Sensitive Security Information (SSI), обеспечение безопасности которой имеет своей задачей защиту федеральных операций (активов), общественное здоровье и безопасность граждан или долгосрочное экономическое процветание нации. Методика разработана на основании требований закона США о безопасности компьютерной информации [12].
Применение инструментария чувствительной информации следует связывать прежде всего с необходимостью описания или отражения уровня обеспечения устойчивости элементов критической информационной инфраструктуры США (КИИ США) при вредоносном воздействии на нее в форме компьютерной атаки. При этом устойчивость элементов следует связывать с оценкой уязвимо-
1 Следует связывать с исключительно серьезным ущербом национальной безопасности США, каковой невозможно описать или идентифицировать
Связывается с серьезным ущербом национальной безопасности (можно идентифицировать или описать).
сти критической инфраструктуры, что, в свою очередь, влечет необходимость оценки уязвимости и рисков, тестирования безопасности и планирование управления рисками (аудит рисков).
К категории «чувствительной» информацией несекретного характера SSI следует относить сведения о способности любого элемента КИ США защищаться от вторжения, вмешательства, кражи или опасного воздействия, физических или компьютерных атак или любого другого агрессивного воздействия, наносящего вред межгосударственным информационным связям и международной торговле США, угрожающего здоровью или безопасности граждан; информацию об оценке жизнеспособности систем, данные о проектировании или оценке факторов уязвимости систем безопасности любого элемента критической инфраструктуры США, в частности, о результатах тестирования безопасности, оценке и управления рисками. В сведения данной категории также включены возникающие оперативные проблемы или решения в отношении безопасности любого элемента критической инфраструктуры США: сведения о ремонте, восстановлении, модернизации, реконструкции, перемещении и обеспечении бесперебойной работы любого её элемента.
Существующая в США структура критической информационной инфраструктуры включает в себя критические системы (в совокупности с необходимыми для их эксплуатации, обслуживания и распределения средствами и запасами); основные товары и услуги, к которым относятся телекоммуникации, электроэнергия, нефтегазовые и транспортные резервы, биологические, химические, радиологические и другие опасные материалы; деятельность в банковской, финансовой здравоохранительной сферах, обеспечение функционирования водоснабжения, канализации и аварийных служб; а также обеспечение непрерывности деятельности и политико-экономической деятельности правительства США.
Поскольку чувствительная информация подлежит обработке как в физических и интеллектуальных системах, так и в их инфраструктурах и виртуальных структурах, постольку сведения могут представляться как в виде документа на классическом носителе (в бумажной форме), так и в форме электронного документа. Указанное обстоятельство вызывает ряд сложностей при проставлении маркировки: «Чувствительная» информация в области безопасности - распространять только на законной основе». Сложность вызывает то обстоятельство, что маркировку следует наносить на нижнюю часть обложки, в название страницы, на первую страницу документа. Обозначение «Чувствительная информация в области безопасности. Распространять информацию только на основе разрешения» проставляется также на конверт с письменным документом при его пересылке.
В случае передачи документа в электронно-цифровой форме по электронным каналам связи передаче сообщения должно предшествовать
5 -а
сз ж
<
уведомление: «Чувствительная для безопасности информация - распространение только на основе разрешения». Меры инструментальной защиты SSI информации направленные на обеспечение от ее раскрытия неуполномоченными лицами включает в себя комплекс мер как против устного раскрытия, так и иключать возможность визуального доступа к информации.
Ответственность за функционирование систем, использующих в своей деятельности SSI информацию несут руководители соответствующих структур и подразделений в соответствии с Директивой США DR3080-01 «Планирование отчётов», в соответствии с положениями которой на руководителя службы информационной безопасности возложены обязанности по разработке стратегии обеспечения безопасности указанной категории чувствительной информации, создание системы управления записями, разработка политики и процедур поддержки и утилизации записей в соответствии с требованиями, установление объема ресурсов обеспечения безопасности пунктов связи. На руководителя также возлагается ряд обязанностей в раках подготовки к чрезвычайным ситуациям, разрабатывает политику и стандарты для защиты ИТ-системы. Как мы видим, представленный комплекс требования при проведении аналогии с российским законодательством совмещает в себе требования как к руководителям Департаментов информационной безопасности объектов критической инфраструктуры в рамках требований закона «О безопасности критической инфраструктуры в Российской Федерации», так и требований законодательства о безопасном интернете в Российской Федерации.
Несмотря на то обстоятельство, что интернет является детищем военно-промышленного комплекса США он не должен использоваться для передачи SSI информации, в связи с невозможностью обеспечения ее безопасности.
При обработке информации указанной категории в государственных учреждениях оборудование и технические средства должно обеспечивать максимально возможного уровней защиты и безопасности для самого высокого уровня конфиденциальности информации.
Существует категорический запрет на использование домашних персональных компьютеров для хранения или передачи SSI, что следует связывать с высоким уровнем рисков безопасности конфиденциальной информации.
Государственные системы защиты представленной категории информации включают криптографические методы, инструментарий обеспечения сетевой безопасности, физическую защиту, соблюдение требований политики и стандартов информационной безопасности.
Для конкретной информации, относящейся к ка— тегории SSI руководители организаций подготав-S2 ливается перечень лиц для работы с четко ограни-Я ченным перечнем сведений. Назначенные сотруд-° ники предупреждается о допуске SSI информации, ¡в ознакамливаются с Директивами об установлении
критериев определения SSI и предупреждаются об ответственности за нарушение ее сохранности.
Хранение и обработка SSI информации информационных объектах осуществляется с применением физических, административных и программно-технических мер защиты, причем персонал заранее извещается о порядке применения адекватных мер и процедур защиты SSI в целях обеспечения ее безопасности. Сотрудники организации предупреждаются об ответственности в результате потери, неправильного использования или несанкционированного доступа, учатся проводить анализ рисков, определять и выявлять потенциальные угрозы и уязвимости, инструменты и процедуры восстановления критических информационных технологий инфраструктуры после серьёзных сбоев, программы управления рисками и реализации материалов исследований и анализа управления, эффективности технологии обеспечения системы живучести, резервного копирования и восстановления данных, соблюдения требований стратегии оформления.
При осуществлении практической деятельности в области обеспечения безопасности SSI управление записями (rekording menegment (RM) рекомендовано осуществлять в соответствии с рекомендациями стандарта ISO 15489:2001[14] (с 01.01.2024 года 15489-1:2016) выделяющего самостоятельную сферу эффективного и систематического контроля процесс создания получения, ведения, использования и уничтожения компьютерной информации в качестве инструмента управления электронными записями (ERM). По результатам применения стандарта электронная запись приобретает свойства доказательства или свидетельства совершения юридически значимого акта. При этом принципиальное отличие редакции стандартов 2001 и 2016 годов состоит в том, что новая редакция стандарта ссылается на нормы ISO 30300-2011 «Information and documentation. Management system for records» («Информация и документация. Системы управления документами») в качестве основополагающего стандарта регулирования всех систем управления документами.
Система управления электронными записями основано на включении уникальных идентифика-торов1 для отдельных категорий компьютерных
данных, обеспечении защиты от несанкциониро-
2
ванных изменений в записях и создании надежного контрольного журнала3 для обеспечения подотчетности и раскрытия электронных данных.
1 Уникальные идентификаторы обычно генерируются в базе данных для системного администрирования и отслеживания, и их не следует путать со ссылочными кодами, которые могут состоять более чем из одной части.
2 Несанкционированные изменения предотвращаются путем внедрения герметичных ручных процедур или использования программных приложений (таких как шифрование или цифровая подпись), чтобы предотвратить изменение документа после того, как он был объявлен записью.
3 Журналы аудита формируются как ключ к сохранению связи между записью и описываемым событием и гарантируют надежную цепочку хранения, позволяя узнать, что было сказа-
Стандарт состоит из двух частей: стандарта и технического отчета. ISO 15489-1:2016 «Information and documentation. Records management. General» и ISO 15489-1:2016 «Information and documentation. Records management. Concepts and principles».
Стандарт регулирует деятельность в отношении документов, их систем и метаданных; политик и процедур управления документами; мониторинга и анализа бизнес-деятельности; мер и средств контроля и управления документами.
Проведение мониторинга факторов риска осуществляется на основании стандарта NiSt SP 800137 "Information Security Continuous Monitoring for Federal information Systems and Organizations" («Непрерывный мониторинг информационной безопасности для федеральных информационных систем и организаций»). Стандарт формирует логически связанный Фреймворк управления рисками (RMF, Risk Management Framework) [16,17,18] на основании детального подхода к моделированию угроз и расчету рисков. Оценка рисков осуществляется как результат решения конкретной подзадачи, раскрываемой приложениями к стандарту. Приложения также определяют перечень возможных источников угроз и уязвимостей, источники их происхождения и способы борьбы с ними.
Стандарт является практикоориентированным, поскольку предлагает инструментальную базу предназначенную для обеспечения непрерывного мониторинга информационной безопасности с использованием систем Security Information and Event Management (SIEM) и систем визуализации данных. В российской Федерации аналогичный подход применяется в рамках функционирования ГосСОПКА и Национального координационного центра по компьютерным инцидентам (НКЦКИ), анализирующих данные о компьтерных атаках в отношении критической инфраструктуры Российской Федерации и обеспечивающих координацию субъектов критической информационной инфраструктуры.
Инструментальная база может содержать инструментарий использования открытых и общедоступных спецификаций (например Security Content Automation Protocol - SCAP) обеспечивающих интеграцию с таким программным обеспечением как Help Desk, а также системами управления инвентаризацией, конфигурациями и реагирования на инциденты. Имеющиеся предложения по поддержке большого количества источников данных создают отчеты на основе drill-down рассматриваемых данных.
Стратегия непрерывного мониторинга информационной безопасности применяется в целях обеспечения безопасности и конфиденциальности информационных систем и основана в первую очередь на построении стратегии бизнес-процессов и информационных систем и назначении ролей. Безопасность информационных систем также тес-
но в записи в определенный момент времени, как ее содержание развивалось к этому моменту и кто был причастен к ней.
но связана с необходимостью выбора тестового набора систем для сбора данных, разработки как программ непрерывного мониторинга, так и архитектуры системы мониторинга, а также с комплексом иных мероприятий.
Таким образом, можно сделать вывод о тесной взаимосвязи зарубежных технологических решений с российской системой обеспечения безопасности критической информационной инфраструктуры. В то же время представляется неоправданным отказ российского законодателя от правового института служебной тайны, аналогичного американской «чувствительной информации в области безопасности» (Sensitive Security Information (SSI).
Литература
1. The Privacy Act of 1974// https://www.govin-fo.gov/content/pkg/STATUTE-88/pdf/STAT-UTE-88-Pg1896.pdf
2. Курганов А.В. История становления системы защиты информации в США
3. Батуева Е.В. Американская концепция угроз информационной безопасности и ее международно-политическая составляющая. Дис. Канд. Пол. Наук. М., 2014
4. Freedom of Information Act (FOIA) // https:// home.treasury.gov/footer/freedom-of-informa-tion-act#:~: text=The%20Freedom%20of%20 Information%20Act%20(FOIA)%20gives%20 any%20person%20the, information%20found%20 in%20the%20FOIA.
5. Government in the Sunshine Act // https://www.gsa. gov/policy-regulations/policy/federal-advisory-committee-management/legislation-and-regula-tions/government-in-the-sunshine-act
6. Fair Credit Reporting Act 1971,
7. Health Insurance Portability and Accountability Act 1996 (HIPAA),
8. Gramm-Leach-Bliley Act 1999 (GLA),
9. Children's Online Privacy Protection Act 2000 (COPPA)
10. Executive Order 13526 of December 29, 2009 «Classified National Security Informations/Federal Register Vol. 75, No. 2. Tuesday, January 5, 2010. Title 3- The President
11. Control and Protection of «Sensitive Security Information». - URL: http://www.ocio. Usda. gov/di-rectives/doc/DR3440-002.htm (дата обращения: 10.06.23);
12. Memorandum for Heads of all Federal Departments and Agencies. Office of the Attorney General. October 12, 2001 // https://sgp.fas.org/other-gov/usda3440-02.html
13. Каштанов С.А. Защита «чувствительной» информации в органах государственной власти с точки зрения информационной безопасности// Научно-практический журнал. Безопасность регионов. 2011. № 2 (9). С. 79-85
14. ISO 15489-1:2001 «Information and documentation — Records management — Part 1: General» (Международный стандарт ИСО 15489-1:2001
5 -a
сз ж
<
«Информация и документация — Управление документами. Часть 1: Общие принципы») // ISO International Organization for Standardization
15. NIST SP 800-53»Security and Privacy Controls for Information Systems and Organizations» («Меры обеспечения безопасности и конфиденциальности для информационных систем и организаций»);
16. NIST SP 800-37 «Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy» («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности»)
17. NIST Risk Management Framework (RMF)
18. NIST SP 800-39 « Управление рисками информационной безопасности»
THE ARTICLE WAS PREPARED BASED ON THE RESULTS OF RESEARCH CARRIED OUT AT THE EXPENSE OF BUDGET FUNDS UNDER THE STATE ASSIGNMENT OF THE FINANCIAL UNIVERSITY
Elin V.M., Tsaregorodtsev A.V.
Financial University under the Government of the Russian Federation
The article discusses the specifics of applying information security methods in the United States for certain categories of restricted access information. The authors present general characteristics of information security. The article pays significant attention to the peculiarities of protecting sensitive information in the United States. A methodology for ensuring the security of significant but unclassified information is presented in order to ensure its protection from unauthorized use or disclosure. The article concludes that there is a close relationship between foreign technological solutions and the Russian system for ensuring the security of critical information infrastructure. At the same time, the refusal of the Russian legislator from the legal institution of official secrets, similar to the American "sensitive security information" (Sensitive Security Information (SSI), seems unjustified.
Keywords: information security, restricted information, security methods, information threats, information system vulnerabilities.
References
1. The Privacy Act of 1974 // https://www.govinfo.gov/content/pkg/ STATUTE-88/pdf/STATUTE-88-Pg1896.pdf
2. Kurganov A.V. The history of the formation of the information security system in the USA
3. Batueva E.V. The American concept of information security threats and its international political component. dis. Cand. Floor. Sci. M., 2014
4. Freedom of Information Act (FOIA) // https://home.treasury. gov/footer/freedom-of-information-act#:~: text=The%20Free-dom%20of%20Information%20Act%20(FOIA)%20gives%20 any%20person%20the, information%20found%20in%20 the%20FOIA.
5. Government in the Sunshine Act // https://www.gsa.gov/policy-regulations/policy/federal-advisory-committee-management/ legislation-and-regulations/government-in-the-sunshine-act
6. Fair Credit Reporting Act 1971,
7. Health Insurance Portability and Accountability Act 1996 (HI-PAA),
8. Gramm-Leach-Bliley Act 1999 (GLA),
9. Children's Online Privacy Protection Act 2000 (COPPA)
10. Executive Order 13526 of December 29, 2009 "Classified National Security Information"//Federal Register Vol. 75, No. 2. Tuesday, January 5, 2010. Title 3—The President
11. Control and Protection of "Sensitive Security Information". -URL: http://www.ocio. Usda. gov/directives/doc/DR3440-002. htm (accessed 06/10/23);
12. Memorandum for Heads of all Federal Departments and Agencies. Office of the Attorney General. October 12, 2001 // https:// sgp.fas.org/othergov/usda3440-02.html
13. Kashtanov S.A. Protection of "sensitive" information in government bodies from the point of view of information security // Scientific and practical journal. Regional security. 2011. No. 2 (9). P. 79-85
14. ISO 15489-1:2001 "Information and documentation - Records management - Part 1: General" // ISO International Organization for Standardization
15. NIST SP 800-53 "Security and Privacy Controls for Information Systems and Organizations" ("Security and Privacy Controls for Information Systems and Organizations");
16. NIST SP 800-37 "Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy"
17. NIST Risk Management Framework (RMF)
18. NIST SP 800-39 "Information Security Risk Management"
СЧ O)
