МЕТОДОЛОГІЯ ПОБУДОВИ КЛАСИФІКАТОРА ЗАГРОЗ ДЕРЖАВНИМ ІНФОРМАЦІЙНИМ РЕСУРСАМ
DOI:
https://doi.org/10.18372/2310-5461.22.6820Ключові слова:
державні інформаційні ресурси, нормативно-правове спрямування, класифікація загроз, загроза, конфіденційність, цілісність, доступність, стандартАнотація
На базі проведеного аналізу та дослідження існуючого нормативно-правового та Законодавчого забезпечення, вітчизняних і міжнародних стандартів галузі «Інформаційна безпека» вперше розглянуто питання системного підходу та представлено основи методології побудови загального «Класифікатора загроз Державним інформаційним ресурсам». Авторами пропонується методологічний підхід щодо формування класифікатора загроз державним інформаційним ресурсам на базі запропонованого методу так званої: «Подвійної трійки захисту». Запропоновано інформаційно-аналітичну модель методу «подвійної трійки захисту», як основу формування методології з урахуванням складових процесу захисту інформаційних ресурсів. Спираючись на сучасну вітчизняну і міжнародну нормативно-правову базу та власний науково-професійний досвід, виділені основні концептуальні позиції або складові реалізації процесу «Інформаційної безпеки». Представлено основні концептуальні підходи класифікації загроз державним інформаційним ресурсам (за характером, типом, спрямуванням, методикою кодування загроз, тощо), більш детально розкрито типи загроз державним інформаційним ресурсам нормативно-правового спрямування. Наведено приклади класифікації та методики кодування загроз державним інформаційним ресурсам нормативно-правового спрямування.
Посилання
Інформаційна безпека. Нормативно-правове забезпечення: підруч. / О.К. Юдін. – К.: НАУ, 2011. – 640 с.
Yudin О., Buchyk S. The analysis of normatively–legal providing of defence of state informative resources in informatiоn–telecommunication systems / Science-based technologies . – 2013. – №2 (18) / Engineering Sciences. – P.202-206.
Юдін О.К., Бучик С.С. Правові аспекти формування системи державних інформаційних ресурсів / Безпека інформації.–2014.–№20(1) / Технічні науки.–С.76–82.
Галатенко В.А. Основы информационной безопасности. – Режим доступу: http://www.intuit.ru
Юдін О.К., Бучик С.С. Концептуальний аналіз уразливості державних інформаційних ресурсів / Наукоємні технології.–2013.–№3(19) / Технічні науки.–С.299–304.
Юдін О.К., Бучик С.С. Аналіз загроз державним інформаційним ресурсам / Проблеми інформатизації та управління.–2013.–№4(44) / Технічні науки.–С.93–99.
Марущак А.І. Інформаційні ресурси держави: зміст та проблема захисту // Правова інформатика. – 2009. – № 1. – С.64–70.
Марущак А.І. Щодо поняття «інформаційні ресурси держави» / А.І. Марущак // Інформаційна безпека людини, суспільства, держави. – 2009. – №1 (1). – С. 11-15.
Богуш В.М., Юдін О.К. Інформаційна безпека держави. – К.: “МК-Прес”, 2005. – 432с.
Вихорев С. Классификация угроз информационной безопасности. – Режим доступу: http:// http://www.elvis.ru
Касперский Е. «Основные классы угроз в компьютерном сообществе 2003 года, их причины и способы устранения», JetInfo, 2003 г. №12. – Режим доступу: http://jetinfo.isib.ru/2003/12/2/article2.12.2003.html
Классификация угроз Digital Security (Digital Security Classification of Threats). – Режим доступу: http://www.dsec.ru/products/grif/fulldesc/classification
Типове положення про службу захисту інформації в автоматизованій системі: 1.4-001-2000. — [Чинний від 2000.12.04]. — К. : ДСТСЗІ СБУ, 2000. — № 53.— (Нормативний документ системи технічного захисту інформації).
Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу: НД ТЗІ 1.1-003-99. — [Чинний від 1999.04.28]. — К. : ДСТСЗІ СБУ, 1999. — № 22. — (Нормативний документ системи технічного захисту інформації).
Загальні положення з захисту інформації в комп’ютерних системах від НСД: НД ТЗІ 1.1-002-99. — [Чинний від 1999.04.28]. — К. : ДСТСЗІ СБУ, 1999. — № 22. — (Нормативний документ системи технічного захисту інформації).
Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу: НД ТЗІ 2.5-004-99. — [Чинний від 1999.04.28]. — К. : ДСТСЗІ СБУ, 1999. — № 22. — (Нормативний документ системи технічного захисту інформації).
Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу: НД ТЗІ 2.5-005-99. — [Чинний від 1999.04.28]. — К. : ДСТСЗІ СБУ, 1999. — № 22. — (Нормативний документ системи технічного захисту інформації).
Захист інформації. Технічний захист інформації. Основні положення: ДСТУ 3396.0-96. — [Чинний від 1996.10.10]. — К. : Держстандарт України, 1996. — 20 с.
Захист інформації. Технічний захист інформації. Порядок проведення робіт: ДСТУ 3396.1-96. — [Чинний від 1997.07.01]. — К. : Держстандарт України, 1997. — 32 с.
Захист інформації. Технічний захист інформації. Терміни і визначення: ДСТУ 3396.2-97. — [Чинний від 1998.01.01]. — К. : Держ-стандарт України, 1998. — 20 с.
Information Security Management – Specification With Guidance for Use: ISO/IEC 27001:2005. – Режим доступу: http://www.standarts.-org/standarts/listing/iso_27001.
Information technology – Security techniques – Code of practice for information security management: ISO/IEC 27002: 2005. – Режим доступу: http://www.iso.org/iso/catalogue_detail?csnumber=39612.
Information technology – Security techniques – Information security risk management: ISO/IEC 27005:2008. – Режим доступу: http://www.iso.org/iso/catalogue_detail?csnumber=42107.
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). Утверждена Заместителем директора ФСТЭК России от 15 февраля 2008 г. – Режим доступу: http://fstec.ru
Классы информационной безопасности в международных стандартах. – Режим доступу: http://www.arinteg.ru/articles/klassy-informatsionnoy-bezopasnosti-v-mezhdunarodnykh-standartakh-30970.html