Московский экономический журнал 2/2021

image_pdfimage_print

DOI 10.24411/2413-046Х-2021-10106

ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ГОСУДАРСТВЕННЫХ БАЗ ДАННЫХ И АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ

PROBLEMS OF ENSURING INFORMATION SECURITY OF STATE DATABASES AND AUTOMATED INFORMATION SYSTEMS OF THE RUSSIAN FEDERATION

Баранов Роман Геннадьевич, Национальный исследовательский университет «Высшая школа экономики»

Гневанов Михаил Владимирович, Национальный исследовательский университет «Высшая школа экономики»

Baranov Roman Genadievich, HSE University, msc.baranov.r@gmail.com

Gnevanov Mikhail Vladimirovich, HSE University, gnevanov.m@gmail.com

Аннотация. В статье рассмотрена актуальная на сегодняшний день проблема обеспечения информационной безопасности государственных баз данных и автоматизированных информационных систем. Проанализированы существующие подходы к обеспечению информационной безопасности. С помощью анализа различных показателей, выявлено три  блокафакторов угроз информационной безопасности государственных баз данных и автоматизированных информационных систем. Из этих блоков определён один наиболее подверженный риску утечки данных, характерный именно для российской среды. Обоснован вывод о необходимости комплексного подхода при формировании системы защиты информации БД и АИС. Разработана блок-схема структуры комплексного подхода к информационной безопасности в контексте государственного сектора.

Summary. The article considers the current problem of ensuring the information security of state databases and automated information systems. The existing approaches to ensuring information security are analyzed. Using the analysis of various indicators, three blocks of threats to the information security of state databases and automated information systems were identified. Of these blocks, one is identified that is most at risk of data leakage, which is specific to the Russian environment. The conclusion about the need for an integrated approach in the formation of a database and AIS information security system is justified. A block diagram of the structure of an integrated approach to information security in the context of the public sector has been developed.

Ключевые слова: обеспечение информационной безопасности, база данных, автоматизированная информационная система, государственный сектор, защита информации.

Keywords: information security, database, automated information system, public sector, information security.

Технический и технологический прогресс, а также развитие информационно-телекоммуникационных технологий, влечет за собой накопление большого массива данных и геометрического роста обращающейся информационной массы [1].С увеличением количества разнообразия данных и информации, появились методы и способы их систематизации, структурирования, обработки и хранения с целью дальнейшего эффективного использования. Таким образом,указанная выше цель взаимодействия с массивами данных и информацией, образуют общие понятийные обозначение, это «база данных» и «автоматизированная информационная система» [2]. На сегодняшний день, государственные базы данных и автоматизированные информационные системы являются ключевыми элементами в системе функционирования государства и жизнедеятельности общества. Информация, содержащаяся в БД и АИС, операторами которых выступают государственные органы власти, носит исключительно важное и конфиденциальное значение, она не предназначена для свободного обращения, поэтому соблюдение принципа ограничения доступа и обеспечения безопасного функционирования, строго контролируется. Высокая ценность информации и данных, содержащихся в государственных БД и АИС, порождает интерес со стороны различных заинтересованных  субъектов и лиц, с целью получения и дальнейшего использования в своих интересах [3]. Отсюда появляется проблема утечки конфиденциальных данных и информации. Так анализируя последние отчеты компаний специализирующихся на анализе утечек конфиденциальной информации, видна тенденция на стабильное ежегодное увеличение количества инцидентов. В 2019 году зарегистрировано на 22% больше случаев утечек информации, чем в 2018 году.Если взять продолжительный временной промежуток и представить значение в количественном выражении, начиная с момента наблюдения и регистрации фактов утечек аналитическим центром InfoWatch, то в 2006 году было 157 случаев, а в 2019 уже 1276 случаев, рост более чем в 8 раз [6].Также, в СМИ часто появляются новости с фактами утечек информации из государственных баз данных и АИС [7; 8; 9]. Указанные выше тезисы, только подтверждают актуальность проблемы утечки информации из государственных баз данных и информационных автоматизированных систем.

Историю развития баз данных условно разделим на два этапа. Первый этап, в широком смысле слова можно описать в виде любого осознанного действия направленного на структурирование, упорядочивание, обработку и хранение некоторого объёма данных без использования электронных вычислительных машин. Например, в 4000 году до нашей эры древнее население Южной Месопотамии (Шумеры) в своем быту практиковали вести учет царской казны и налогов, собираемых с населения. [4] Этот исторический факт положил начало формированию предметной области работы с данными и условно он продолжался до момента появления электронных вычислительных машин. Стоит отметить, что в этом примере понятие база данных и автоматизация, представлена в обобщённом виде на стыке областей архивирования и письменности. В современном понимании, в котором мы привыкли представлять себе базу данных, она появилась в середине 1960 годов. Чарльз Уильям Бахман американский ученый в области разработки программ для ЭВМ, на базе корпорации GeneralElectric, создал первую в мире высокопроизводительную сетевую базу данных IntegratedDataStore (IDS). В 1964 году IDS была представлена широкому кругу потребителей, работающая на компьютере GE-200 с операционной системой GeneralComprehensiveOperatingSystem (GCOS). За эту разработку в 1973 году Бахман получил самую престижную премию в области информатики – премию Тьюринга [5]. С момента свершения указанного выше факта и по сегодняшнее время, справедливо обозначим этот период как второй этап развития предметной области баз данных.

Анализируя степень проработанности проблемы в современном научном сообществе, можно сделать вывод, что авторы классифицируют каналы утечек на две основные группы: прямые и косвенные.

К косвенным относится:

  • воровство или потеря носителей информации;
  • дистанционноефотографирование, прослушивание;
  • перехват электромагнитных излучений.

К прямым относится:

  • инсайдерство (человеческий фактор)
  • прямое копирование

В дополнение, каналы утечки информации можно разделить по физическим свойствам и принципам функционирования. Данное разделение представлено на рисунке 1.

Используя метод анализа научной литературы и нормативно-правовых актов по предметной области исследования, выделю триблока укрупнённых факторов угроз информационной безопасности государственных БД и АИС: технологический, человеческий и правовое обеспечение. Технологическийфактор включает в себя средства, которые связаны с развитием техники, технологий, инноваций и науки.Например, изобретения, машины, аппаратные и программные средства, системы и сети. Человеческий фактор угрозы безопасности включает, сферы которые связаны непосредственно с воздействием на живой субъект, который взаимодействует с БД и АИС. Под субъектом в этом случае подразумевается в широком смысле слова человек, индивид. Он может выступать в роли действующего работника, оператора, партнера, контрагента когда-то имевшего доступ или даже индивид, непроизвольно ставший обладателем или доступом к БД и АИС. Главными условиями, идентифицирующими присутствие человеческого фактора угрозы информационной безопасности, является наличие индивида и имеющиеся у него информация или возможности её получения. При реализации сценария получения информации в данном случае, подход к объекту воздействия (человек, индивид) основывается на психофизиологических методах и способах воздействия с точки зрения природы человека, а не его должности или статуса [10]. Также, к этой сфере отнесем и личную материальную заинтересованность индивида, которая  обосновывается особенностями и психологической характеристикой личности индивида[11]. К третьему блоку, относится нормативно-правовое регулирования и выработка государственной политики в области обеспечении и защиты информации. Сюда относятся как принятые на федеральном уровне законы, доктрины, указы президента РФ, международные стандарты, так и внутренние документы, ЛНА, решение, разработанные внутри государственного органа выступающего оператором БД или АИС [12; 13; 14; 15]. Необходимо подчеркнуть, что угроза слива информации по блоку человеческого фактора, наиболее вероятна применительно к государственным органам в Российской Федерации. Так, Экспертно-аналитический центрInfoWatch провел исследование, которое показало, что за 9 месяцев 2020 года зарегистрировано 1773 случая утечки информации ограниченного доступа из коммерческих компаний, государственных организаций и органов власти во всем мире. В общей сложности скомпрометировано 9,93 млрд записей персональных (ПДн) и платежных данных. В России за исследуемый период зафиксировано 302 утечки информации ограниченного доступа, это на 5,6% больше, чем в январе-сентябре 2019 г. Авторы исследования отмечают, что по сравнению с картиной во всем мире, где превалируют утечки по вине внешних злоумышленников — 52,6% случаев, в России подавляющее большинство инцидентов связано с внутренними нарушителями — более 79% [16].По итогу указанной выше информации, составим блок-схему представленную на рисунке 2.

Подводя итог, изучения проблемы обеспечения информационной безопасности государственных баз данных и автоматизированных информационных систем в Российской Федерации, ключевой вывод состоит в необходимости использования комплексного подхода при создании системы защиты информации и предупреждению утечек данных. Выделено три блока – технический, человечески и правовой, которые составляют скелет структуры обеспечения информационной безопасности БД и АИС. Наиболее уязвимым, с точки зрения обеспечения безопасности государственных баз данных, через который происходит наибольший процент утечек информации, является блок «человеческий фактор». Отмечу, что наибольший риск по этому блоку факторов характерен для государственного сектора России, в других странах превалирует технический блок, что подтверждают ранее проведенные исследования.Поэтому наибольшие ресурсы по обеспечению безопасности должны быть задействованы именно на этом блоке. Стоит отметить, что в коммерческом секторе, ситуация противоположна и наибольшее ресурсы тратятся на блок «технический фактор». Таковое различие обусловлено характером информации и данных, содержащихся в базах. Если в коммерческом секторе, это информация касающиеся хозяйственной деятельности субъекта, то в государственном это стратегически важная информация функционировании и жизнедеятельности страны. В соответствии с этим различаются цели получения таковой информации. В первом случае цель, как правило, ограничивается получением финансовой выгоды или наживы, в то время как во втором, это намного более  широкий спектр применения полученных данных в политических, социальных, экономических, научно- технологических и других целях. Информация из данной статьи будет полезна, государственным органам и другим заинтересованным организациям при практическом создании структуры обеспечения информационной безопасности своих баз данных и автоматизированных информационных систем, а также вносит дополнительный научный вклад в проработанность предметной области обеспечении информационной безопасности БД и АИС.

Литература

  1. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. – М.: Энергоатомиздат, 1994 г.
  2. Кабанов А.С., Лось А.Б., Першаков А.С., Теоретические основы компьютерной безопасности, М: РИО МИЭМ, 2010 г.
  3. Проскурин В.Г., Защита программ и данных, ИД «Академия», 2011 г.
  4. Емельянов, В. В. ШУМЕР // Большая российская энциклопедия. — М., 2017. — Т. 35. — С. 153—155.
  5. Andrew L. Russell. Oral-History:Charles Bachman. IEEE Oral History Network (April 9, 2011)
  6. Глобальное исследование утечек конфиденциальной информации в первом полугодии 2019 года // INFOWATCH.RU – Официальный сайт аналитического центра InfoWatch. URL: infowatch.ru (дата обращения: 25.12.2020)
  7. Власти Москвы подтвердили утечку персональных данных москвичей, переболевших COVID-19 // Информационное агентство ТАСС. [Электронный ресурс]URL:https://tass.ru/obschestvo/10212281(дата обращения: 10.11.2020)
  8. В открытом доступе оказалась база данных российских автовладельцев // Газета «Ведомости» [Электронный ресурс]URL:https://www.vedomosti.ru/technology/articles/2020/05/14/830287-baza-avtovladeltsev(дата обращения: 10.11.2020)
  9. В даркнет утекла база данных проголосовавших по поправкам в Конституцию // Компания «РБК» [Электронный ресурс]URL:https://www.rbc.ru/technology_and_media/04/08/2020/5f28ce729a7947056524fb49(дата обращения: 10.11.2020)
  10. Марютина Т. М., Ермолаев О. Ю. Введение в психофизиологию. — М., 2004. — 400 с.
  11. Логинова Н. А. Психологическая наука — дело всей жизни Бориса Герасимовича Ананьева // Санкт-Петербургский университет. — 2007. — 22 окт
  12. Доктрина информационной безопасности Российской Федерации // Справочная правовая система «КонсультантПлюс». URL: http://www.consultant.ru/document (дата обращения: 01.11.2020)
  13. Закон РФ «О государственной тайне» от 21.07.1993 N 5485-1// Справочная правовая система «КонсультантПлюс». URL: http://www.consultant.ru/document (дата обращения: 10.11.2020)
  14. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ// Справочная правовая система «КонсультантПлюс». URL: http://www.consultant.ru/document (дата обращения: 10.11.2020)
  15. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ// Справочная правовая система «КонсультантПлюс». URL: http://www.consultant.ru/document (дата обращения: 22.11.2020)
  16. Пандемия изменила ландшафт утечек: в России почти 80% случаев компрометации данных произошли по вине сотрудников // Экспертно-аналитический центр ГК InfoWatchURL:https://www.infowatch.ru/company/presscenter/news/30710 (дата обращения: 10.12.2020)
  17. ISO 27000 – Международные стандарты управления информационной безопасностью [Электронный ресурс]. URL: http://www.iso27000.ru(дата обращения: 15.01.2021)