Рус Eng Cn Перевести страницу на:  
Please select your language to translate the article


You can just close the window to don't translate
Библиотека
ваш профиль

Вернуться к содержанию

Полицейская деятельность
Правильная ссылка на статью:

Особенности субъективных угроз информационной безопасности информационных систем в деятельности органов внутренних дел Российской Федерации

Кемпф Виктор Александрович

кандидат технических наук

доцент, кафедра Информатики и специальной техники, Барнаульский юридический институт МВД России

656031, Россия, 22 край, г. Барнаул, пер. Ядринцева, 148, кв. 57

Kempf Viktor Aleksandrovich

PhD in Technical Science

Associate Professor at the Department of Information Science and Special Equipment of Barnaul Institute of Law of the Ministry of Internal Affairs

656031, Russia, 22 krai, g. Barnaul, per. Yadrintseva, 148, kv. 57

kempf_v_a@mail.ru

DOI:

10.7256/2454-0692.2019.5.28030

Дата направления статьи в редакцию:

15-11-2018


Дата публикации:

19-11-2019


Аннотация: Предметом исследования являются субъективные угрозы информационной безопасности информационных систем, используемых в деятельности органов внутренних дел Российской Федерации. Объектом исследования является субъективный (человеческий) фактор. Автор подробно рассматривает профессиональную деятельность сотрудников, как одно из уязвимых звеньев в ведомственных системах обработки и передачи информации, основанных на взаимодействии человека и машины. Вследствие активного внедрения элементов подсистем информационной безопасности в системе Министерства внутренних дел Российской Федерации, особое внимание уделено анализу вероятности нарушений информационной безопасности с учетом влияния угрозы субъективного фактора. Методологическую основу работы составляют общенаучные методы, анализ, обобщение, а также вероятностно-статистический, научно-технический и экспериментальный методы. Научная новизна исследования состоит в рекомендациях по расширению списка нормативно-организационных мероприятий, обеспечивающих безопасность функционирования ведомственных информационных систем. Предлагается внедрение технологий, предназначенных для дистанционного и непосредственного наблюдения состояния сотрудника путем периодического измерения его биометрических параметров, а также электронная оценка и прогнозирование поведения сотрудников.


Ключевые слова:

информационная безопасность, субъективные угрозы, автоматизированная информационная система, деятельность полиции, случайная ошибка, человеческий фактор, умышленное действие, Вредоносное программное обеспечение, методы устранения, биометрические параметры

Abstract: The research subject is the subjective threats to information security of information systems used in the work of internal affairs agencies of the Russian Federation. The research object if the subjective (human) factor. The author studies professional activities of internal affairs officers as one of the weak points in departmental systems of information processing and transmitting based on human-machine interaction. Due to active integration of information security subsystems elements in the system of the Ministry of Internal Affairs, the author gives special attention to the analysis of the probability of information security breaches with account of the influence of the threat of a subjective factor. The research methodology is based on general scientific methods, analysis, generalization, and probabilistic and statistical, scientific and technological and experimental methods. The scientific novelty of the research consists in recommendations to extend the list of organizational activities ensuring safety of departmental information systems. The author suggests introducing processes used for distanced and direct control over the condition of an employee by means of periodical measuring their biometric parameters and computer-based assessment and forecasting of their behaviour.   


Keywords:

information security, subjective threats, automated information system, police activities, random error, human factor, intentional action, Malicious software, elimination methods, biometric parameters

В настоящее время на одном из первых мест в Министерстве внутренних дел Российской Федерации стоят вопросы развития и внедрения автоматизированных информационных систем в деятельности органов внутренних дел, в том числе применения передовых подходов и технологий информатизации МВД России. Информатизация органов внутренних дел обусловлена спецификой деятельности по обеспечению общественной безопасности и правопорядка, основанной на формировании, хранении и использовании огромных массивов информации о гражданах, материальных объектах, правонарушениях и лицах их совершающих, о самих органах и подразделениях, их силах и средствах. Основной целью применения информационных технологий в деятельности органов внутренних дел является существенное повышение качества, изменение содержания и характера труда сотрудников. Благодаря автоматизации целого ряда информационных процессов, сотрудники органов внутренних дел освобождаются от рутинных, трудоемких операций, что, безусловно, увеличивает как производительность их деятельности, так и улучшает ее качество.

При этом в условиях продолжающегося масштабного развития ведомственной информатизации, осуществляемой во взаимодействии с планом развития информационно-телекоммуникационной инфраструктуры Российской Федерации, в МВД России существенно возрастают требования к подготовке кадров для подразделений органов внутренних дел. Одновременно улучшается оснащение этих подразделений современными образцами технических средств, эффективно эксплуатировать которые может лишь хорошо подготовленный сотрудник. Повышается необходимость формирования квалифицированного кадрового состава для четкого выполнения поставленных задач, а также сведения к минимуму количества ошибок и сбоев при внедрении и эксплуатации систем.

Особенностью профессиональной деятельности сотрудников органов внутренних дел Российской Федерации в информационных системах и телекоммуникационных сетях является то, что она строго регламентирована в соответствии возложенными на сотрудников функциональными задачами. Нарушения и отклонения от установленных правил и норм трактуются либо как умышленные действия, либо как непреднамеренные действия или случайные ошибки. Составляя два главных класса угроз безопасности, и те, и другие зачастую приводят к серьезным последствиям [1]. С учетом того, что используемые в органах внутренних дел информационные и телекоммуникационные системы и их элементы являются критичными для жизнедеятельности общества и государства, ущерб, наносимый этими нарушениями, может быть весьма существенен. Таким образом, существующая вероятность нарушений делает профессиональную деятельность сотрудников одним из уязвимых звеньев в ведомственных системах обработки и передачи информации, основанных на взаимодействии человека и машины. Кроме того, вопрос угрозы субъективного (человеческого) фактора особо остро встает в последние годы во время активного внедрения элементов подсистем информационной безопасности в системе Министерства внутренних дел Российской Федерации.

Субъективный или человеческий фактор является объектом изучения многих наук, что предопределило в конечном итоге появление междисциплинарных теорий, отражающих его сущностные характеристики [2]. При научном анализе такого явления, как человеческий фактор, возникает несколько существенных проблем. Во-первых, сам термин «человеческий фактор» многозначен по своему содержанию и его всестороннему изучению в том или ином виде посвящена практически вся социология. Во-вторых, подобное многообразие проявления «человеческого фактора» придает ему междисциплинарный характер и создает определенные трудности в выделении его в качестве отдельного направления для изучения. В-третьих, отсутствует (или является слишком абстрактной) общая теория человеческого фактора.

Большинство встречающихся в научной литературе интерпретаций понятия «человеческий фактор» сводятся к двум позициям: термин рассматривается как «процесс» или как «свойство» [4]. Позиция рассматривающая человеческий фактор как процесс (субъектную деятельность) определяет его как «специфическое обозначение функционирования человека в системе социальных, экономических, производственных, научно-технических, организационно-управленческих и др. отношений». При рассмотрении же человеческого фактора как свойства, он определяется как «совокупность психологических, физиологических, антропометрических и других характеристик человека, его возможностей и ограничений». Каждая из этих позиций, безусловно, имеет право на существование т.к. они в значительной степени дополняют друг друга, охватывая широкий спектр умышленных и ошибочных действий.

Классификация умышленных действий в целом весьма разнообразна и во многом зависит от профессионального статуса человека и занимаемой им должности. При этом не все из возможных действий распространяются на сотрудников органов внутренних дел в первую очередь вследствие их дисциплинированности.

Причины, способствующие ошибочным действиям человека, можно объединить в несколько групп [6]:

– недостаточность информационного обеспечения или его отсутствие. Особенно сильно эта проблема может проявляться в экстремальных ситуациях и в условиях дефицита времени на принятие решения во время несения службы;

– ошибки, вызванные воздействием внешних факторов (отвлечение внимания от возникшей проблемы);

– ошибки, вызванные физическим и психологическим состоянием и свойствами человека (внезапный стресс при общей монотонной работе, эмоциональная напряжённость, импульсивность или, наоборот, подавленная реакция на проблему);

– ограниченность ресурсов поддержки и исполнения принятого решения;

– отсутствие учёта человеческого фактора в списке возможных причин инцидента.

Сравнивая результаты аналитики одного из ведущих российских разработчиков систем защиты корпоративной информации InfoWatch за период времени с 2008 по 2018 год [3], можно утверждать, что рост угрозы со стороны человеческого фактора вырос практически втрое (с 30 % до 85 %).

К рассматриваемым в приведенных аналитических данных субъективным угрозам, в частности относятся:

• Кража информации — 64 %;

• Вредоносное программное обеспечение — 60 %;

• Покушение на систему безопасности — 48 %.

• Спам — 45 %;

• Халатность сотрудников — 43 %;

• Аппаратные и программные сбои — 21 %;

• Кража оборудования — 6 %;

• Финансовое мошенничество — 5 %.

Приведенные данные наглядно демонстрируют что, наиболее распространенными субъективными угрозами являются кража информации, вредоносное программное обеспечение и покушение на систему безопасности. Нельзя не отметить и высокий процент субъективных угроз, вызванных халатностью сотрудников.

В силу высокой проработанности вопросов организационного обеспечения деятельности сотрудников органов внутренних дел влияние данной проблемы на систему МВД России в целом минимально, однако проявления подобных ошибок, как показывает практика, имеют вовсе не нулевую вероятность, и этот факт побуждает оценить степень влияния и риск проявления подобных инцидентов. Одним из широко известных примеров подобного инцидента является проникновение 12 мая 2017 года в ведомственную сеть МВД вируса-шифровальщика WannaCry. По словам первого заместителя Министра внутренних дел Российской Федерации А.В. Горового из-за не соблюдения «правил пользования информационными системами» и «попытки присоединить служебный компьютер к Интернету» вирус атаковал ряд компьютеров ведомственной сети.

Анализируя общемировые показатели влияния на безопасность информации субъективного фактора по разным источникам можно выделить следующее соотношение [5]:

25 % – непосредственное влияние через действия пользователей, специалистов по обеспечению работ, внешних лиц, заинтересованных в защищаемой информации;

75 % – опосредованное влияние через созданную человеком автоматизированную информационную систему, используемую технологическую базу, а так же через внешние, созданные человеком условия функционирования информационной инфраструктуры.

Можно увидеть, что субъективный фактор в своем деструктивном проявлении создает реальную повседневную угрозу информационной безопасности. Учитывая изложенное, очевидно, что возникает потребность в проведении исследований, целью которых является изучение степени влияния субъективного фактора на функционирование защищаемого объекта, а также определение способов сведения до минимума рассматриваемой угрозы в системе Министерства внутренних дел Российской Федерации.

Проведенный анализ работы частных охранных структур и фирм, обеспечивающих внедрение и эксплуатацию информационных систем, задействованных для охраны объектов, позволил выделить основные субъективные риски. Размер выборки для изучения и анализа составил 800 человек сотрудников служб безопасности на 9 охраняемых объектах. Метод анализа апробирован. Основой метода являлись: опрос, тестирование, наблюдение.

Как основные выявлены следующие проблемы:

I. 10,4 % — неправильно контролируемый допуск (излишнее доверие, несоблюдение регламентов по отношению к проверяющим);

II. 15 % — неполное умение обращаться с оборудованием систем безопасности;

III. 4,6 % — полное неумение обращаться с оборудованием;

IV. 14 % — неполное знание регламентов и правил.

V. 1,3 % — полное незнание регламентов и политики безопасности.

В 54,7 % случаев за время анализа ошибок не выявлено.

Таким образом, в общей сложности 45,3 % процентов исследуемых случаев в разной степени представляли собой угрозу для системы безопасности: либо из-за технических ошибок по вине персонала, либо из-за действий злоумышленников происходил отказ в обслуживании систем безопасности как на короткое, так и на длительное время.

Анализ основных причин проявления человеческих ошибок и методов их устранения, проведенный на основе наблюдений и подробного изучения организации безопасности внутри исследуемых объектов позволил составить общие рекомендации, значительно снижающие вероятность реализации субъективных угроз:

1. Разработка методических рекомендаций, четких регламентов, подробных приказов, а также принятие зачетов и выполнение специально разработанных тестов;

2. Отведение большого количества часов на практику, закрепление навыков, отработка действий до автоматизма, разбор спорных ситуаций;

3. Регулярное тестирование систем безопасности: проведение специальных проверок, контрольное наблюдение;

4. Правильный анализ и качественная оценка рисков;

5. Исключение технической либо иной другой разведки по отношению к пунктам безопасности.

Помимо организационных моментов, имеющих повсеместную практику внедрения, снижение рисков информационной безопасности в деятельности сотрудников, вызванных субъективным фактором, в органах внутренних дел Российской Федерации представляется актуальным проведение следующих мероприятий:

• Разработка и внедрение технологий, предназначенных для дистанционного и непосредственного наблюдения состояния сотрудника путем периодического измерения его биометрических параметров;

• Электронная оценка и прогнозирование поведения сотрудников органов внутренних дел, а также иного персонала по обслуживанию объектов Министерства внутренних дел Российской Федерации: установка программного обеспечения и дополнительных видеокамер, фиксирующих пассивность и активность субъекта по ряду невербальных признаков.

Проведённый анализ трудовой и служебной деятельности, а также процессов эксплуатации и интегрирования информационных систем, предназначенных для обеспечения функционирования МВД России в рамках полномочий, позволяет установить, что степень влияния субъективного фактора сильно отличается от тенденций, наблюдаемых в коммерческих фирмах и иных негосударственных организациях. Несомненно, проявление человеческого фактора присутствует, но организационная политика служебных проверок и расследований позволяет выявлять инциденты, разбирать их коллегиально и предотвращать появление подобных ошибок.

В заключение важно отметить, что служебная дисциплина в рядах сотрудников органах внутренних дел, соблюдение сотрудником установленных законодательством Российской Федерации, присягой сотрудника органов внутренних дел Российской Федерации, контрактом, а также приказами и распоряжениями Министра внутренних дел Российской Федерации, приказами и распоряжениями прямых и непосредственных руководителей (начальников) соблюдение порядка и правил выполнения служебных обязанностей минимизирует риск возникновения угроз безопасности информации в информационных системах МВД. Установленный порядок взаимодействия позволяет избежать серьезного ущерба и угроз информационным системам от субъективного фактора, но вместе с тем, каждая система должна стремиться к тому, чтобы культура безопасности входила в ее повседневную привычку, что, несомненно, поднимет планку профессионализма и качества выполнения служебных обязанностей сотрудниками органов внутренних дел.

Библиография
1. Смолян Г.Л., Солнцева Г.Н. Человеческий фактор в обеспечении безопасности информационной инфраструктуры // Сборник: Проблемы управления информационной безопасностью. Институт системного анализа РАН. 2002. – 224 с.
2. Тиц С.Н. Человеческий фактор [Электронный ресурс] : электрон. учеб. пособие / Самар. гос. аэрокосм. ун-т им. акад. С. П. Королева – Самара : Изд-во СГАУ, 2012 .– 64 с.
3. Глобальное исследование утечек конфиденциальной информации в I полугодии 2018 года : Данные отчетов Аналитического Центра InfoWatch [Электронный ресурс] .– Режим доступа : https://www.infowatch.ru/analytics/reports (Дата обращения 24.10.2018).
4. Будников С. А., Паршин Н. В. Информационная безопасность автоматизированных систем : учебное пособие / Центр повышения квалификации специалистов по технической защите информации (ЦПКС ТЗИ). - Воронеж : Изд-во им. Е. А. Болховитинова, 2009. - 287 с.
5. Еркин А. В. Человеческий фактор в обеспечении информационной безопасности автоматизированной системы электронного документооборота: теория и практика проявления // Уральский институт управления - филиал РАНХиГС. Вопросы управления. 2011. №3. С.31-39.
6. Корнаев Н.В. Учёт влияния субъективного фактора на защиту информации при внедрении и эксплуатации информационных систем в деятельности органов внутренних дел Российской Федерации // Сборник : Информационные технологии, связь и защита информации МВД России – 2017 С. 60-62.
References
1. Smolyan G.L., Solntseva G.N. Chelovecheskii faktor v obespechenii bezopasnosti informatsionnoi infrastruktury // Sbornik: Problemy upravleniya informatsionnoi bezopasnost'yu. Institut sistemnogo analiza RAN. 2002. – 224 s.
2. Tits S.N. Chelovecheskii faktor [Elektronnyi resurs] : elektron. ucheb. posobie / Samar. gos. aerokosm. un-t im. akad. S. P. Koroleva – Samara : Izd-vo SGAU, 2012 .– 64 s.
3. Global'noe issledovanie utechek konfidentsial'noi informatsii v I polugodii 2018 goda : Dannye otchetov Analiticheskogo Tsentra InfoWatch [Elektronnyi resurs] .– Rezhim dostupa : https://www.infowatch.ru/analytics/reports (Data obrashcheniya 24.10.2018).
4. Budnikov S. A., Parshin N. V. Informatsionnaya bezopasnost' avtomatizirovannykh sistem : uchebnoe posobie / Tsentr povysheniya kvalifikatsii spetsialistov po tekhnicheskoi zashchite informatsii (TsPKS TZI). - Voronezh : Izd-vo im. E. A. Bolkhovitinova, 2009. - 287 s.
5. Erkin A. V. Chelovecheskii faktor v obespechenii informatsionnoi bezopasnosti avtomatizirovannoi sistemy elektronnogo dokumentooborota: teoriya i praktika proyavleniya // Ural'skii institut upravleniya - filial RANKhiGS. Voprosy upravleniya. 2011. №3. S.31-39.
6. Kornaev N.V. Uchet vliyaniya sub''ektivnogo faktora na zashchitu informatsii pri vnedrenii i ekspluatatsii informatsionnykh sistem v deyatel'nosti organov vnutrennikh del Rossiiskoi Federatsii // Sbornik : Informatsionnye tekhnologii, svyaz' i zashchita informatsii MVD Rossii – 2017 S. 60-62.

Результаты процедуры рецензирования статьи

В связи с политикой двойного слепого рецензирования личность рецензента не раскрывается.
Со списком рецензентов издательства можно ознакомиться здесь.

Предмет исследования - субъективные угрозы информационной безопасности информационных систем, используемых в деятельности органов внутренних дел Российской Федерации.
Методология исследования - общенаучные методы (анализ, обобщение).
Актуальность статьи присутствует.
Научная новизна не прослеживается. Отсутствует как таковое само исследование.
Стиль, структура, содержание. Здесь тоже много замечаний.
Структура статьи должна соответствовать научно-исследовательской работе (предмет и методы исследования, апелляция к оппонентам, выводы и научная новизна).
В статье отмечается, что профессиональная деятельность сотрудников ОВД в информационных системах и телекоммуникационных сетях «строго регламентирована». Но ссылок на НПА нет.
Автор только в середине статьи говорит о том, что «возникает потребность в проведении исследований, целью которых является изучение степени влияния субъективного фактора на функционирование защищаемого объекта, а также определение способов сведения до минимума рассматриваемой угрозы в системе Министерства внутренних дел Российской Федерации». И где эти исследования.
Нет ссылок на исследования других авторов и соответственно отсутствует материал для анализа. Да и анализ работы частных охранных структур и фирм проводился автором или кем-то другим? Соответственно и выводы откуда следуют. Проверить нельзя.
Автор отмечает также, что «Большинство встречающихся в научной литературе интерпретаций понятия «человеческий фактор» сводятся к двум позициям: термин рассматривается как «процесс» или как «свойство»». А сам ссылается лишь на учебное пособие.
Слова «Проведённый анализ трудовой и служебной деятельности, а также процессов эксплуатации и интегрирования информационных систем, предназначенных для обеспечения функционирования МВД России…» требуют своего подкрепления. Так как за этим следует, что «проявление человеческого фактора присутствует, но организационная политика служебных проверок и расследований позволяет выявлять инциденты, разбирать их коллегиально и предотвращать появление подобных ошибок». А вот здесь просто необходимо добавить те нормативные и методические разработки (правила, инструкции), даже если они ДСП, для того чтобы читатели поняли, что это не просто слова.
Библиография представлена 2 учебными пособиями, 3 статьями и данными отчетов Аналитического Центра InfoWatch. Для статьи мало. Необходимо минимум 10–15 источников (требование издательства NB). Не верится, что кроме этих авторов никто этими проблемами не занимался. На самом деле есть много статей в журналах NB и других издательств. Для научной полемики нужно обращаться к текстам статей, монографий или диссертационных работ оппонентов.
Апелляция к оппонентам присутствует, но в свете того, что представлено только три научные работы, причем только одна конкретно по теме (Корнаев Н.В.), этого мало.
Выводы – статья требует доработки в части научной новизны, библиографии, апелляции к оппонентам, выводам и ссылкам на проводимые опросы, тестирование, наблюдение. Интерес читательской аудитории может появиться после доработки статьи.