CC BY
3
Российские организационно-правовое инструменты методологически обеспечивающие безопасность информации ограниченного доступа при осуществлении антикоррупционной деятельности
Елин Владимир Михайлович,
к.п.н., доцент департамента информационной безопасности Финансового университета при Правительстве Российской Федерации; доцент кафедры информационной безопасности МОСУ МВД РФ им. В.Я Кикотя E-mail: elin_vm@mail.ru
Царегородцев Анатолий Валерьевич,
д.т.н., профессор, руководитель Департамента информационной безопасности Финансового университета при Правительстве Российской Федерации
В настоящее время в нашей стране разработаны и применяются методика защиты информации ограниченного доступа, не составляющей государственную тайну, а также методика защиты персональных данных. К сожалению, предлагаемые решения не нашли своего отражения в базе методологического инструментария Минтруда России.
В статье представлены методики применяемые для обеспечения информационной безопасности информации ограниченного доступа при обработке в информационных системах в Российской Федерации. Произведен анализ методологий обработки информации при использовании системы «Посейдон» в качестве ИКТ-технологии в при осуществлении деятельности связанной с профилактикой коррупционных правонарушений. Значительное внимание уделяется методическим рекомендациям Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ) по защите информации ограниченного доступа в государственных информационных системах и информационных системах обработки персональных данных. Представлен вывод о возможности применения методических рекомендаций ФСТЭК применительно к методологическому обеспечению антикоррупционной деятельности.
Ключевые слова: информационная безопасность, информация ограниченного доступа, методы обеспечения безопасности, информационные угрозы, уязвимости информационных
см о см
Статья подготовлена по результатам исследований, выполненных за счет бюджетных средств по государственному заданию Финуниверситета
В современной Российской Федерации проблеме борьбы с коррупцией уделяется значительное внимание, поскольку в течение обозримой истории Ойкумены, во все времена и во всех странах коррупция противопоставляла, с одной стороны, законные интересы общества и государства, а с другой стороны, получаемую государственными служащими для себя лично или для третьих лиц выгоду в виде денег, ценностей, имущества услуг или прав.
В Российской Федерации законодатель относит к коррупционной деятельности злоупотребление служебным положением, дачу взятки, получение взятки, злоупотребление полномочиями, коммерческий подкуп либо иное незаконное использование физическим лицом своего должностного положения [1].
При этом противодействие коррупции, включающее в себя предупреждение, выявление, пресечение, раскрытие и расследование причин коррупции и коррупционных правонарушений составляет элемент деятельности федеральных органов государственной власти (включая Совет при Президенте Российской Федерации по противодействию коррупции[2]), органов государственной власти субъектов Российской Федерации, органов местного самоуправления, институтов гражданского общества, организаций и физических лиц.
Информационно-коммуникационной технологией для обеспечения профилактики коррупционных преступлений определена автоматизированная система обработки информации «Посейдон», реализующая информационно-аналитическое обеспечение аналитической и проверочной деятельности в целях противодействия коррупции. В процессе функционирования «Посейдона» анализируется и проверяется деятельность по соблюдению антикоррупционных ограничений, запретов и требований [3], в том числе и на размещаемую в системе информацию (в состав которой могут входить персональные данные), поскольку состав и источники информации определяются ее координатором совместно с оператором системы «Посейдон» с участием поставщиков информации.
Защита информации ограниченного доступа в системе «Посейдон», ее использование и предоставление осуществляются в соответствии с законодательством Российской Федерации. При этом Федеральный Закон «О противодействии коррупции» связывает защиту информации с запретом для должностных лиц «разглашать или использовать в целях, не связанных с выполнением служеб-
ных обязанностей, сведения, отнесенные к информации ограниченного доступа, ставшие им известными в связи с выполнением служебных обязанностей» [1]
Существуют специальные требования [4] по размещению и наполнению разделов сайтов связанных с антикоррупционными мероприятиями, исполнение которых возложено на федеральные государственные органы, Центральный банк Российской Федерации, Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, государственные корпорации (компании) и иные организации (далее: ФОИВ).
Методическими рекомендациями[5] определены основные подразделы в разделе «Противодействие коррупции», расположенного на площадке официальных сайтов ФОИВ в информационно-телекоммуникационной сети интернет и позволяют проводить мониторинг для определения рейтинга органов исполнительной власти по исполнению антикоррупционных требований. Методология предусматривает формирования подразделов, перечень которых ограничивается тематикой антикоррупционных нормативно-правовых актов, антикоррупционной экспертизой, комиссионную информацию о соответствующем служебном поведении и отсутствии конфликта интересов, данных о доходах, расходах, об имуществе и обязательствах имущественного характера, а также образцов документов, связанных с противодействием коррупции и инструменты обеспечения двусторонней связи для сообщений о проявлении коррупции.
Таким образом, при информационно-аналитическом обеспечении аналитической и проверочной деятельности в целях противодействия коррупции с использованием ГИС «Посейдон» методические документы Роструда не не предполагают проведение комплекса мероприятий по защите информации ограниченного доступа.
С другой стороны, Указом Президента Российской Федерации [6] установлено, что вопросы государственной безопасности, связанные с реализацией как специальных, так и контрольных функций по применению некриптографического инструментария в сфере защиты информации ограниченного доступа (далее - техническая защита информации) реализуются Федеральной службой по техническому и экспортному контролю (ФСТЭК России). При этом понятие защиты информации ограниченного доступа включает в себя также предотвращение утечки информации ограниченного доступа по техническим каналам, защиту от специальных воздействий на как на саму информацию, так и на ее носители. Цели злоумышленника при этом несущественны и могут включать в себя добывание, уничтожение, искажение и блокирование доступа к нформации ограниченного доступа.
В рамках реализации обязанностей ФСТЭК России разработал методологию защиты информации ограниченного доступа в ГИС либо в негосу-
дарственных информационных системах[7]. Здесь информация выступает каак государственный информационный ресурс.
Объектами защиты в информационной системе выступают информация (в первую очередь компьютерные данные и программное обеспечение), информационные технологии и технические средства обработки и передачи данных и средства защиты информации.
Субъектами методологии выступают операторы ГИС, обладатели информации и заказчики по созданию ГИС, осуществляющие защиту информации в ГИС. Деятельность субъекта осуществляется на основании требований Российской Федерации о защите информации [8] и дополнительно регламентируется договорными обязанностями связанными с требованиями к участнику по обеспечению защиты информации.
Защита содержащейся в ГИС информации обеспечивается обладателем информации и оператором ГИС путем выполнения требований к организации и мерам защиты содержащейся в информационной системе информации.
Принимаемый субъектами комплекс организационно-технических мер защиты направлен на обеспечение целостности, доступности и конфиденциальности информации путем предотвращения ее неправомерных уничтожения, модифицирования, доступа, копирования, предоставле-ния,распространения или блокирования.
Комплекс предусмотренных методологией нормативно-организационных мероприятий включает в себя формирование требований к системе защиты информации, разразработку и внедрение указанной системы с ее последующей аттестацией с последующим вводом системы в действие. Обеспечение защиты информации осуществляется как в процессе эксплуатации, так и при выводе информационной системы из эксплуатации, а также после принятия решения об окончании обработки информации.
В основу совокупности требований к защите информации ограниченного доступа в аттестованной информационной системе положены рекомендации государственных стандартов[9], в связи с чем после принятия решения о необходимости защиты информации в аттестованной государственной информационной системе следует осуществить классификацию информационной системы по требованиям защиты информации. Исходя из того, что информационная безопасность определяется как состояние защищенности, следует определить совокупность угроз безопасности информации и, противопоставив конкретной угрозе комплекс противомер, осуществить разработку модели угроз безопасности информации и совокупности требований к системе р защиты информации. Д
Классификация информационной системы осу- Ч
т
ществляется в зависимости от уровня значимости К обрабатываемой информации и масштаба инфор- ё мационной системы (федеральный, региональный, у объектовый). А
см о см
Три уровня значимости информации связуются с возможностью наступления существенных, умеренных или незначительных негативных последствий для обладателя информации или оператора от нарушения конфиденциальности, целостности или доступности информации.
Негативные последствия связуются с невозможностью выполнения возложенных функций (полностью или частично), с недостаточной эффективностью или с необходимостью привлечения дополнительных сил и средств.
При обработке в информационной системе двух и более видов информации уровень значимости информации определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации.
Устанавливаются три класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Класс защищенности подразделяется от третьего (низкого) к первому (высокому) уровням.
После осуществления анализа внешних и внутренних нарушителей и определения их потенциала определяются уязвимости государственной аккредитуемой информационной системы и формируются предложения по противодействию угрозам безопасности информации в целях обеспечения конфиденциальности, целостности, доступности как основных свойств безопасности информации. При этом следует иметь в виду, что для определения информационных угроз следует банк данных угроз ФСТЭК России, характеризующийся в качестве рекомендации.
Структура и состав информационной системы, а также физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы обеспечивающие различные режимы обработки информации как в системе в целом, так и в ее отдельных сегментах относятся к функциональным характеристикам информационной системы. К ним также относятся инструменты взаимодействия с иными информационными системами и информационно-телекоммуникационными сетями и иные характеристики.
Модель угроз безопасности информации должна включать в себя структурно-функциональные характеристики информационной системы, ее описание, перечень угроз безопасности и способы их реализации, модель нарушителя, представляющую собой характеристику возможностей нарушителя, уязвимости информационной системы и последствия от нарушения свойств безопасности информации.
Политика информационной безопасности служит основой для формирования совокупности требования к системе защиты информации.
На основании технического задания на создание информационной системы или системы защиты информации обладатель информации либо заказчик на разработку информационной системы обязан организовать разработку системы защиты информации информационной системы, в основу которой надлежит положить требования стандартов на создание автоматизированных систем [10].
Проектирование системы защиты информации напрямую связано с представлением субъектов и объектов доступа, методов управления доступом, типов доступа и правил разграничения доступа участников к ресурсам информационной системы. При проектировании следует представить предложения по инструментарию защиты информации, структуре системы защиты информации, совокупности сертифицированных средств защиты информации и требований к параметрам настройки программного обеспечения.
Согласно требованиями технических регламентов [11] на разработку проектной и эксплуатационной документации системы защиты информации следует согласовать документацию с оператором информационной системы с учетом функциональных возможностей имеющихся сертифицированного инструментария защиты информации.
Организационные меры защиты информации реализуются на этапе внедрения СЗИ и включают в себя подготовку регламентных документов направленных на координацию деятельности администраторов и пользователей информационной системы с учетом правил разграничения доступа и ограничений действий пользователя по управлению и конфигурированию аттестованной информационной системы. Инструментарий предусматривает разработку комплекс учений по реализации мер защиты направленных на выявление инцидентов и мониторинг уровня защищенности информации согласно обязательным правилам и процедурам. При этом документами по защите информации определен комплекс обязательных правил и процедур.
Помимо разработки документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации осуществляются анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению. К числу мероприятий осуществляемых в отношении СЗИ на данном этапе также относятся: установка и настройка, предварительные испытания, опытная эксплуатация, приемочные испытания СЗИ в информационной системе.
На стадии аттестации информационной системы обладатель информации, заказчик или оператор информационной системы осуществляют организационные и технические мероприятия предусматриваемые в качестве аттестационных испытаний. После оценки эффективности аттестационных испытаний следует соотнести требования ФСТЭК России с установленными системами защиты.
Методы проведения аттестационных испытаний и проверок также определены ФСТЭК России и включают в себя экспертно-документальный метод, метод анализа уязвимостей информационной системы и метод тестирования.
В том случае, когда в ГИС помимо иной информации ограниченного доступа производится обработка персональных данных, одновременно применяются различные методологии: защиты информации ограниченного доступа не составляющей государственную тайну и требования к защите персональных данных при их обработке в информационных системах персональных данных [12].
Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) осуществляется путем реализации комплекса организационных и технических мер, определенного ФСТЭК России [13] на основании требований ч. 4 ст. 19 ФЗ «О персональных данных» [14].
Обеспечение безопасности персональных данных осуществляется путем нейтрализации актуальных угроз безопасности персональных данных, причем для обеспечения каждого из уровней защищенности персональных данных разработаны конкретные составы и содержание мер по обеспечению безопасности персональных данных.
Применение криптографических методов обеспечения информационной безопасности персональных данных в ИСПДн регламентируются Приказом ФСБ России № 378[15].
Заключение
Таким образом, применение информационно-коммуникационных технологий в целях реализация задачи противодействия коррупции и профилактики коррупционных преступлений с использованием автоматизированной системы обработки информации «Посейдон» предполагает информационно-аналитическую и проверочую деятельность. При этом перед координатором системы «Посейдон», ее оператором, а также поставщиками информации определен круг задач, связанных не только с анализом и проверкой деятельности по соблюдению антикоррупционных ограничений, запретов и требований, но также и по выполнению требований обеспечения безопасности информации ограниченного доступа.
В настоящее время в нашей стране разработаны и применяются методика защиты информации ограниченного доступа, не составляющей государственную тайну, а также методика защиты персональных данных. К сожалению, предлагаемые решения не нашли своего отражения в базе методологического инструментария Минтруда России.
Литература
1. Федеральный Закон от 25.10.2008 г. № 273-ФЗ «О противодействии коррупции» // СЗ РФ, 29.12.2008, № 52 (ч. 1), ст. 6228
2. Указ Президента Российской Федерации от 19.05.2008 г. № 815 «О мерах по противодействию коррупции»// СЗ РФ, 26.05.2008, № 21, ст. 2429
3. Указ Президента РФ от 25.04.2022 № 232 «О государственной информационной системе в области противодействия коррупции «Посейдон» и внесении изменений в некоторые акты Президента Российской Федерации» (вместе с «Положением о государственной информационной системе в области противодействия коррупции «Посейдон»)//http://www. kremlin.ru/ а^/Ьапк/47769
4. Приказ Минтруда России от 7 октября 2013 г. № 530н «О требованиях к размещению и наполнению подразделов, посвященных вопросам противодействия коррупции, официальных сайтов федеральных государственных органов, Центрального банка Российской Федерации, Пенсионного фонда Российской Федерации, Фонда социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования, государственных корпораций (компаний), иных организаций, созданных на основании федеральных законов, и требованиях к должностям, замещение которых влечет за собой размещение сведений о доходах, расходах, об имуществе и обязательствах имущественного характера» //РГ, № 295, 30.12.2013
5. Методические рекомендации для проведения мониторинга размещения на официальных сайтах федеральных органов исполнительной власти в информационно-телекоммуникационной сети «Интернет» актуальной информации о мерах по профилактике и противодействию коррупции// Текст документа приведен в соответствии с публикацией на сайте https://ros-mintrud.ru/ по состоянию на 05.07.2023
6. Указ Президента РФ от 16.08.2004 № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» // СЗ РФ, 23.08.2004, № 34, ст. 3541
7. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» // РГ, № 136, 26.06.2013.
8. Закон РФ № 149-ФЗ «Об информации, информационных технологиях и о защите информации» / СЗ РФ, 31.07.2006, № 31 (1 ч.), ст. 3448,
9. ГОСТ Р 51563 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»; ГОСТ Р 51624 «Защита информации. Автома- р тизированные системы в защищенном испол- Д нении. Общие требования» Е
10. ГОСТ 34.601 «Информационная технология. К Комплекс стандартов на автоматизированные ё системы. Автоматизированные системы. Ста- у дии создания» А
11. ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»
12. Постановление Правительства РФ от 1.11. 2012 года № 1119 «Об утверждении требований содержащейся в государственных информационных системах»// СЗ РФ, 2012, № 45, ст. 6257
13. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»// РГ, № 107, 22.05.2013.
14. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»// СЗ РФ, 31.07.2006, № 31 (1 ч.), ст. 3451
15. Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»// РГ, № 211, 17.09.2014
RUSSIAN ORGANIZATIONAL AND LEGAL INSTRUMENTS METHODOLOGICALLY ENSURING THE SECURITY OF RESTRICTED ACCESS INFORMATION WHEN CARRYING OUT ANTI-CORRUPTION ACTIVITIES
Elin V.M., Tsaregorodtsev A.V.
Financial University under the Government of the Russian Federation
Currently, in our country, methods for protecting restricted access information that do not constitute a state secret, as well as methods for protecting personal data, have been developed and are being applied. Unfortunately, the proposed solutions were not reflected in the base of methodological tools of the Russian Ministry of Labor. The article presents methods used to ensure information security of restricted access information when processed in information systems in the Russian Federation. An analysis was made of information processing methodologies when using the Poseidon system as an ICT technology in carrying out activities related to the prevention of corruption offenses. Considerable attention is paid to the methodological recommendations of the Federal Service for Technical and Export Control of the Russian Federation (FSTEC RF) on the protection of restricted access information in state information systems and information systems for processing personal data. A conclusion is presented about the possibility of applying the methodological recommendations of the FSTEC in relation to the methodological support of anti-corruption activities.
Keywords: information security, restricted information, security methods, information threats, information system vulnerabilities.
References
1. Federal Law of October 25, 2008 No. 273-FZ "On Combating Corruption" // SZ RF, December 29, 2008, No. 52 (Part 1), Art. 6228
2. Decree of the President of the Russian Federation dated May 19, 2008 No. 815 "On measures to combat corruption" // SZ RF, 05.26.2008, No. 21, Art. 2429
3. Decree of the President of the Russian Federation dated April 25, 2022 No. 232 "On the state information system in the field of anti-corruption "Poseidon" and amendments to some acts of the President of the Russian Federation" (together with the "Regulations on the state information system in the field of anti-corruption "Poseidon") //http://www.kremlin.ru/acts/bank/47769
4. Order of the Ministry of Labor of Russia dated October 7, 2013 No. 530n "On the requirements for the placement and filling of subsections dedicated to anti-corruption issues on the official websites of federal government bodies, the Central Bank of the Russian Federation, the Pension Fund of the Russian Federation, the Social Insurance Fund of the Russian Federation, the Federal compulsory health insurance fund, state corporations (companies), other organizations created on the basis of federal laws, and requirements for positions, the filling of which entails posting information on income, expenses, property and property-related liabilities" // RG, No. 295, 12/30/2013
5. Methodological recommendations for monitoring the placement on the official websites of federal executive authorities on the Internet information and telecommunications network of up-to-date information on measures to prevent and combat corruption // The text of the document is given in accordance with the publication on the website https://rosmintrud.ru / as of 07/05/2023
6. Decree of the President of the Russian Federation dated 08/16/2004 No. 1085 "Issues of the Federal Service for Technical and Export Control" // SZ RF, 08/23/2004, No. 34, Art. 3541
7. Order of the FSTEC of Russia dated February 11, 2013 No. 17 "On approval of requirements for the protection of information that does not constitute a state secret, contained in state information systems" // RG, No. 136, 06/26/2013.
8. Law of the Russian Federation No. 149-FZ "On information, information technologies and information protection" / SZ RF, 07.31.2006, No. 31 (1 part), art. 3448,
9. GOST R 51563 "Information protection. The procedure for creating automated systems in a secure design. General provisions"; GOST R 51624 "Information protection. Automated systems in a secure design. General requirements"
10. GOST 34.601 "Information technology. Set of standards for automated systems. Automated systems. Stages of creation"
11. GOST 34.201 "Information technology. A set of standards for automated systems. Types, completeness and designation of documents when creating automated systems"
12. Decree of the Government of the Russian Federation of November 1. 2012 No. 1119 "On approval of the requirements contained in state information systems" // SZ RF, 2012, No. 45, Art. 6257
13. Order of the FSTEC of Russia dated February 18, 2013 No. 21 "On approval of the composition and content of organizational and technical measures to ensure the security of personal data during their processing in personal data information systems" // RG, No. 107, 05/22/2013.
14. Federal Law of July 27, 2006 No. 152-FZ "On Personal Data" // Federal Law of the Russian Federation, July 31, 2006, No. 31 (1 part), Art. 3451
15. Order of the FSB of Russia dated July 10, 2014 No. 378 "On approval of the composition and content of organizational and technical measures to ensure the security of personal data during their processing in personal data information systems using cryptographic information protection tools necessary to fulfill the requirements established by the Government of the Russian Federation protection of personal data for each level of securi-ty"// RG, No. 211, 09.17.2014
см о
CM
