МЕТОДЫ ОЦЕНКИ УЩЕРБА В ИНФОРМАЦИОННОЙ ДЕЯТЕЛЬНОСТИ - Студенческий научный форум

X Международная студенческая научная конференция Студенческий научный форум - 2018

Личный портфель

МЕТОДЫ ОЦЕНКИ УЩЕРБА В ИНФОРМАЦИОННОЙ ДЕЯТЕЛЬНОСТИ

Толстогузов А.А.
 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
Введение

Информационная сфера, «…являясь системообразующим фактором жизни общества..»1, является также весьма привлекательной сферой деятельности для нечистоплотных людей и просто преступников. Ежегодно совершается множество правонарушений в области поиска, создания, обработки, передачи, получения, хранения, защиты и использования информационных активов.

Под информационным активом понимается информация с реквизитами, позволяющими ее идентифицировать, и имеющая ценность для организации.

Особенностью правонарушений в информационной сфере является то, что существенный вред можно нанести внезапно, минимальными силами и средствами, находясь практически вне зоны реальной досягаемости. Противоправные действия в области информационных технологий, такие как нарушение работы ЭВМ и АСУ, несанкционированное уничтожение, модификация, копирование информационных активов, могут привести не только к большому имущественному ущербу, но и нанесению физического вреда людям.

Важно выявлять характер и размер причиненного вреда или ущерба. Определение размера ущерба важно не только для решения вопроса о его возмещении, но и для правильной квалификации правонарушения, определения вида ответственности (гражданско-правовая, административная или уголовная). Так, согласно ст. 272 УК РФ, в зависимости от размера ущерба, за неправомерный доступ к информации возможно наказание от штрафа до ограничения свободы на срок до 5 лет.

В случае кражи или повреждения материального объекта ущерб определяется на основании стоимости его замены или восстановления. Оценить ущерб от нарушения свойств нематериального объекта, такого как информационный актив, гораздо сложнее.

Нарушение свойств информационного актива может привести как к материальному (прямому и косвенному), так и нематериальному ущербу. Для следственных органов трудности обычно возникают при оценке косвенного материального ущерба (например, упущенной выгоды), а особенно нематериального ущерба (например, подрыва репутации).

На практике отсутствует однозначная позиция относительно количественной оценки правового ущерба в информационной сфере.

Цель работы – рассмотреть возможные методы оценки ущерба в информационной деятельности.

Задачи работы:

  1. рассмотреть правонарушения и преступления в информационной сфере в качестве возможной основы определения ущерба в информационной сфере;

  2. проанализировать методы оценки информационного ущерба.

Реферат состоит из введения, двух параграфов, заключения и списка использованной литературы.

1. Правонарушения и преступления в информационной сфере как возможная основа определения ущерба

Часто оценка ущерба происходит при расследовании преступлений и правонарушений, поэтому в качестве метода оценки данного ущерба возможно обратиться к практике в данной сфере, так как там много где регламентируются вопросы его возмещения.

Количественная оценка величины ущерба позволяет определить реальные последствия от совершенного правонарушения. Согласно п. 2 ст. 15 ГК РФ, убытки включают в себя расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, реальный ущерб (утрата или повреждение имущества) и упущенную выгоду, заключающуюся в неполучении доходов вследствие нарушения права2.

Как уже упоминалось выше, правонарушения в информационной сфере можно разделить на уголовные, административные и гражданско-правовые. Ниже приведены основные статьи, устанавливающие ответственность за правонарушения в информационной сфере, приведенные в Уголовном кодексе РФ (таблица 1) и Кодексе РФ об административных правонарушениях (таблица 2). Для каждой статьи указано, какие свойства информационных активов (ИА) при этом нарушаются: конфиденциальность (К), целостность (Ц) и/или доступность (Д).

Таблица 1

Нарушение свойств информации при совершении уголовных преступлений в информационной сфере3

Статья Уголовного кодекса РФ

(№ 63-ФЗ РФ)

Нарушаемые свойства ИА

Номер

Название

К

Ц

Д

137

Нарушение неприкосновенности частной жизни

+

-

-

138

Нарушение тайны переписки, телефонных

переговоров, почтовых, телеграфных или иных

сообщений

+

-

-

138.1

Незаконный оборот специальных технических

средств, предназначенных для негласного

получения информации

+

-

-

140

Отказ в предоставлении гражданину

информации

-

-

+

142

Фальсификация избирательных документов,

документов референдума

-

+

-

142.1

Фальсификация итогов голосования

-

+

-

144

Воспрепятствование законной

-

-

+

146

Нарушение авторских и смежных прав

-

+

-

172.1

Фальсификация финансовых документов учета

-

+

-

183

Незаконное получение и разглашение сведений,

составляющих коммерческую или банковскую

тайну

+

-

-

187

Неправомерный оборот средств платежей

+

+

+

237

Сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей

-

+

+

272

Неправомерный доступ к компьютерной

+

+

+

273

Создание, использование и распространение вредоносных компьютерных программ

+

+

+

274

Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

+

+

+

Таблица 2

Нарушение свойств информации при совершении административных правонарушений в информационной сфере4

Статья Кодекса об административных правонарушениях

(№ 195-ФЗ)

Нарушаемые свойства ИА

Номер

Название

К

Ц

Д

5.1, 5.4,

5.13, 5.25,

5.46

Статьи о возможных нарушениях при проведении референдума

-

+

+

5.39

Отказ в предоставлении информации

-

-

+

6.1

Сокрытие источника заражения ВИЧ-инфекцией, венерической болезнью и контактов, создающих опасность заражения

-

-

+

6.30

Невыполнение обязанностей об информировании граждан о получении медицинской помощи в рамках программы государственных гарантий бесплатного оказания

гражданам медицинской помощи и территориальных программ государственных

гарантий бесплатного оказания гражданам медицинской помощи

-

-

+

7.12

– Нарушение авторских и смежных прав, изобретательских и патентных прав

+

-

+

8.5

Сокрытие или искажение экологической информации

+

+

10.7

Сокрытие сведений о внезапном падеже или об одновременных массовых заболеваниях животных

+

11.30

Умышленное сокрытие авиационного происшествия или инцидента

+

+

13.11

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах

(персональных данных)

+

+

14.48

Представление недостоверных результатов

исследований (испытаний)

-

+

-

13.14

Разглашение информации с ограниченным доступом

+

-

-

15.6

Непредставление (несообщение) сведений,

необходимых для осуществления налогового контроля

-

-

+

13.19

Нарушение порядка представления статистической информации

-

-

+

Выявление свойств информационных активов, подверженных воздействию, позволяет облегчить оценку ущерба.

2. Анализ методов оценки информационного ущерба

Вопрос оценки ущерба информационным активам зачастую рассматривается в методиках анализа рисков. В информационной безопасности (ИБ) анализ рисков возник в связи с необходимостью прогнозирования и сопоставления затрат на систему защиты информации и возможного ущерба от реализации угроз. Наиболее известные методы оценки: качественный и количественный анализ5.

В качественном анализе посредством экспертных оценок определяется зависимость значения риска от определенных факторов – вероятности наступления события и величины ущерба от наступления данного события. Значения большинства из необходимых параметров принимается на основе мнений экспертов, что ставит результаты в зависимость от их квалификации и профессионализма.

Количественная оценка применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человеческих ресурсах и т.д. Такой анализ часто использует инструментарий теории вероятностей, математической статистики, теории исследования операций.

Сравнив существующие подходы к оценке рисков, можно сделать вывод, что только количественная оценка позволяет конкретно рассчитать возможный ущерб.

Рассмотрим подходы к оценке ущерба в наиболее распространенных количественных методиках оценки рисков: CRAMM, RiskWatch, ГРИФ. Данный выбор обусловлен популярностью этих методик и наличием достаточно полной информации о них в литературе свободного доступа6.

В основе методики CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения. Выделяются следующие виды причинения ущерба ресурсам системы: недоступность, разрушение, нарушение конфиденциальности, модификация, ошибки, связанные с передачей информации.

Для оценки возможного ущерба используют следующие параметры: ущерб репутации организации, нарушение действующего законодательства, ущерб для здоровья персонала, ущерб, связанный с разглашением персональных данных, финансовые потери от разглашения информации, финансовые потери, связанные с восстановлением ресурсов, потери, связанные с невозможностью выполнения обязательств, дезорганизация деятельности. Для информационных активов и программного обеспечения осуществляется оценка ущерба по балльной шкале со значениями от 1 до 10, которым соответствуют диапазоны значений потерь, выраженных в деньгах7.

В методике RiskWatch показателем ущерба является параметр ожидаемых годовых потерь (Annual Loss Expectancy, ALE), который может быть рассчитан двумя способами. RiskWatch использует определенные американским институтом стандартов NIST оценки, называемые LAFE и SAFE. LAFE (Local Annual Frequency Estimate) – показывает, сколько раз в год в среднем данная угроза реализуется в данном месте. SAFE (Standard Annual Frequency Estimate) – показывает, сколько раз в год в среднем данная угроза реализуется в этой «части мира». Стоит отметить, что для отечественных организаций использование данных оценок проблематично, что обусловлено, прежде всего, сложностью сбора достоверной статистики, характеризующей частоту реализации угроз в разных частях страны.

ГРИФ – программный продукт отечественного производства компании Digital Security. Основной особенностью ГРИФ является то, что оценка ущерба осуществляется отдельно для нарушения конфиденциальности, целостности и доступности информационного актива.

Такой подход, прежде всего, позволяет декомпозировать задачу оценки ущерба от нарушения безопасности информационного актива на три отдельные, непересекающиеся подзадачи: оценку потерь от нарушения конфиденциальности, целостности и доступности информации.

Заключение

На сегодняшний день информационная среда является очень привлекательной сферой деятельности для правонарушителей. С каждым годом совершается все больше преступлений в области поиска, создания, обработки, передачи, получения, хранения, защиты и использования информационных активов. В стандарте ЦБ РФ СТОБР ИББС под информационным активом понимается информация с реквизитами, позволяющими ее идентифицировать, и имеющая ценность для организации. Особенностью правонарушений в информационной сфере является то, что существенный вред можно нанести внезапно, минимальными силами и средствами.

Помимо непосредственно деятельности по раскрытию правонарушений оценка ущерба в информационной деятельности необходима для оценки вредных факторов, которые случились не только в результате правонарушений. Экономический ущерб может повлечь слабая информационная безопасность, различные не специальные действия. Человеческие ошибки при работе с информацией и многое другое. Однако все это может существенно отразиться на экономическом состоянии компании.

Ущерб может быть как реальный, который оценить проще выраженный в виде материальных потерь от действий в информационной сферы компании. Так же ущерб может носить и косвенный характер, например потеря репутации компании при утрачивании ею информационных данных своих клиентов или что-то в этом роде.

В заключении необходимо сказать о том, что информационная сфера становится все важней в настоящее время, поэтому необходимо уделять существенное значение информационной безопасности.

Список использованной литературы

  1. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 29.07.2017) (с изм. и доп., вступ. в силу с 26.08.2017) // Российская газета, № 113, 18.06.1996, № 114, 19.06.1996, № 115, 20.06.1996, № 118, 25.06.1996.

  2. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 27.11.2017, с изм. от 04.12.2017) // Российская газета, № 256, 31.12.2001.

  3. Вихров Н.М., Нырков А.П., Каторин Ю.Ф., Шнуренко А.А., Башмаков А.В., Соколов С.С., Нурдинов Р.А.. Анализ информационных рисков // Морской вестник. 2015. №3. С.81-84.

  4. Зайцева Н.М. Количественная оценка потерь от правонарушений в информационной среде // Региональная информатика и информационная безопасность Сборник трудов. Санкт-Петербургское общество информатики, вычислительной техники, систем связи и управления. 2016. С. 87-88.

  5. Никуленко Е.Д., Губенко Н.Е. Анализ модели для оценки потерь, связанных с реализацией угроз и уязвимостей для информационных систем // Сборник материалов II всеукраинской научно-технической конференции студентов, аспирантов и молодых ученных «Информационные управляющие системы и компьютерный мониторинг». Донецк: ДонНТУ, 2013 Т.1. С. 260-263.

  6. Пыркин Н.Н. Экономический ущерб от несанкционированного доступа к информационной системе предприятия сферы услуг // Вестник Поволжского государственного университета сервиса. Серия: Экономика. 2016. № 9. С. 105-110.

1 Вихров Н.М., Нырков А.П., Каторин Ю.Ф., Шнуренко А.А., Башмаков А.В., Соколов С.С., Нурдинов Р.А. Анализ информационных рисков // Морской вестник. 2015. №3. С.82.

2 Зайцева Н.М. Количественная оценка потерь от правонарушений в информационной среде // Региональная информатика и информационная безопасность Сборник трудов. Санкт-Петербургское общество информатики, вычислительной техники, систем связи и управления. 2016. С. 87-88

3 Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 29.07.2017) (с изм. и доп., вступ. в силу с 26.08.2017) // Российская газета, № 113, 18.06.1996, № 114, 19.06.1996, № 115, 20.06.1996, № 118, 25.06.1996.

4 Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 27.11.2017, с изм. от 04.12.2017) // Российская газета, № 256, 31.12.2001

5 Вихров Н.М., Нырков А.П., Каторин Ю.Ф., Шнуренко А.А., Башмаков А.В., Соколов С.С., Нурдинов Р.А.. Анализ информационных рисков // Морской вестник. 2015. №3. С.81-84

6 Никуленко Е.Д., Губенко Н.Е. Анализ модели для оценки потерь, связанных с реализацией угроз и уязвимостей для информационных систем // Сборник материалов II всеукраинской научно-технической конференции студентов, аспирантов и молодых ученных «Информационные управляющие системы и компьютерный мониторинг». Донецк: ДонНТУ, 2013 Т.1, С. 262.

7 Пыркин Н.Н. Экономический ущерб от несанкционированного доступа к информационной системе предприятия сферы услуг // Вестник Поволжского государственного университета сервиса. Серия: Экономика. 2016. № 9. С. 107.

Просмотров работы: 548