Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования

Согласно ст. 29 Конституции РФ каждый вправе свободно искать, получать, передавать, производить, распространять информацию любым законным способом. Конституция также закрепляет право доступа каждого к информации, непосредственно затрагивающей его права и свободы (ст. 24). Также согласно ст. 42 Конституции каждый имеет право на достоверную информацию о состоянии окружающей среды (уголовная ответственность должностных лиц по ст. 237 Уголовного Кодекса РФ вплоть до пяти лет лишения свободы). Эти положения Конституции соответствуют нормам Международного пакта о гражданских и политических правах от 16 декабря 1996 г.

В Гражданском Кодексе РФ нормы об информации направлены, в том числе на обеспечение предпринимательских отношений.

Информация является самостоятельным объектом гражданского права (ст. 128 ГК РФ). Выражение «право собственности на информацию» юридически некорректно, поскольку информация - это абстрактный, идеальный объект. В этом состоит ее основное отличие от вещей - объектов материального мира.

В ряде гражданских договоров предусматривается обязанность предоставления информации (например, покупателю о товаре - ст. 495; клиентом - экспедитору - ст. ст. 840, 853; по договору коммерческой концессии: правообладателем - пользователю - ст. 1031 ГК РФ и т.д.).

Обязанность предоставления информации предусмотрена в некоторых организациях (например, в ОАО - для всеобщего сведения - зст. 97; в хозяйственном товариществе - каждому участнику - ст. 67).

Особое регулирование применяется в отношении трех видов информации:

· сведений, отнесенных к государственной тайне;

· конфиденциальной документированной информации;

· персональных данных.

Перечень сведений, составляющих государственную тайну, установлен в ст. 5 Закона РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне» и Указом Президента РФ от 30 ноября 1995 г. № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне».

Перечень сведений, составляющих коммерческую тайну организации, определяет ее руководитель с учетом требований Федерального закона от 29 июня 2004 г. № 98-ФЗ «О коммерческой тайне», ст. 139 ГК РФ и Указа Президента РФ от 6 марта 1997 г. № 188 «О Перечне сведений конфиденциального характера».

К служебной тайне можно отнести любые сведения, известные работнику в связи с исполнением им своих должностных обязанностей. Сохранение в тайне служебной информации зачастую не обусловлено ее коммерческой ценностью. Нередко разглашение конфиденциальной информации допускают работники, в чьи обязанности вообще не входит работа с данными сведениями (например, обслуживающий персонал). В тех случаях, когда законодательство устанавливает особые требования к ее соблюдению, принято говорить о профессиональной тайне (адвокатской, врачебной, аудиторской, нотариальной тайне и пр.).

Следует отличать информацию, способную к охране в режиме тайны, от способностей лица к полезной деятельности, т.е. знаний, навыков, умений, которые не могут быть использованы без него. Например, это деловые качества работника - способности выполнять трудовую функцию с учетом профессионально-квалификационных и личностных качеств. Использование своих профессиональных навыков и умений даже при работе у другого работодателя не является нарушением конфиденциальности.

Нормативно-правовые документы регулирующие защиту информации:

На сегодняшний день в нашей стране создана стабильная законодательная основа в области защиты информации.

Основополагающим законом можно назвать Федеральный закон РФ «О информации, информационных технологиях и о защите информации». Статья 16 Закона характеризует понятие «Защита информации» и определяет её направленность на:

1 - обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2 - соблюдение конфиденциальности информации ограниченного доступа;

3 - реализацию права на доступ к информации.

«Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации».

Так же Закон устанавливает обязанности обладателей информации и операторов информационных систем. Эти обязанности сводятся к обеспечению:

1. предотвращения несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2. своевременного обнаружения фактов несанкционированного доступа к информации;

3. предупреждению возможности неблагоприятных последствий нарушения порядка доступа к информации;

4. недопущению воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.

Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

Что касается «кодифицированного» регулирования обеспечения информационной безопасности, то нормы Кодекса об административных правонарушениях РФ и Уголовного кодекса РФ, так же содержат необходимые статьи.

В ст. 13.12 КоАП РФ говориться о нарушении правил защиты информации, в частности:

1) Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации;

2) Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации;

3) Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну;

4) Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну;

5) Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации.

Так же ст. 13.13, предусматривающая наказание за незаконную деятельность в области защиты информации. И ст. 13.14. в которой предусматривается наказание за разглашение информации с ограниченным доступом.

Статья 183. УК РФ предусматривает наказание за незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну.

Федеральным законом «Об информации, информатизации и защите информации» определено, что государственные информационные ресурсы Российской Федерации являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа.

Понятие государственной тайны определено в Законе «О государственной тайне» как «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации» (ст. 2).

Таким образом, исходя из баланса интересов государства, общества и граждан, область применения Закона ограничена определенными видами деятельности: военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной.

Закон определил, что основным критерием является принадлежность засекречиваемых сведений государству.

Закон также закрепил создание ряда органов в области защиты государственной тайны, в частности, межведомственной комиссии по защите государственной тайны, ввел институт должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, с одновременным возложением на них персональной ответственности за деятельность по защите государственной тайны в сфере их ведения.

Одним из наиболее актуальных нормативно-правовых актов, регламентирующих информационную безопасность в коммерческих и государственных организациях, является закон 152-ФЗ «О персональных данных» от 27 июля 2006 года.

Устанавливается необходимость защиты персональных данных на протяжении всего жизненного цикла: с момента создания до архивирования или утилизации. В частности говорится о необходимости защиты персональных данных от утечек по техническим каналам, несанкционированного доступа и с помощью шифрования. Следует заметить, что во многих информационных сетях персональные данные хранятся и используются совместно с другой конфиденциальной информацией. За несоблюдение закона 152-ФЗ предусматривается как административная, так и уголовная ответственность. Более того, в ряде случаев за нарушения закона «О персональных данных» у оператора персональных данных может быть отозвана лицензия на осуществление деятельности. Использование DLP-решений позволит привести систему управления информационной безопасностью организации в соответствие с законом 152-ФЗ «О персональных данных» и защитить персональные данные от утечек и несанкционированного доступа.

2.3. Ряды динамики и их предварительная обработка.

Динамические процессы, происходящие в экономических системах, чаще всего проявляются в виде ряда последовательно расположенных в хронологическом порядке значений того или иного показателя, который в своих изменениях отражает ход развития изучаемого явления в экономике.

Эти значения, в частности, могут служить для обоснования (или отрицания) различных моделей социально-экономических систем. Они служат также основой для разработки прикладных моделей особого вида, называемых трендовыми моделями.

Прежде всего дадим ряд определений. Последовательность наблюдений одного показателя (признака), упорядоченных в зависимости от последовательно возрастающих или убывающих значений другого показателя (признака), называют динамическим рядом, или рядом динамики. Если в качестве признака, в зависимости от которого происходит

упорядочение, берется время, то такой динамический ряд называется временным рядом. Так как в экономических процессах, как правило, упорядочение происходит в соответствии со временем, то при изучении последовательных наблюдении экономических показателей все три приведенных выше термина используются как равнозначные. Составными элементами рядов динамики являются, таким образом, цифровые значения показателя, называемые уровнями этих рядов, и моменты или интервалы времени, к которым относятся

уровни.

Временные ряды, образованные показателями, характеризующими экономическое явление на определенные моменты времени, называются моментными. Если уровни временного ряда образуются путем агрегирования за определенный промежуток (интервал) времени, то такие ряды называются интервальными временными рядами .

Временные ряды могут быть образованы как из абсолютных значений экономических показателей, так и из средних или относительных величин — это производные ряды .

Под длиной временного ряда понимают время, прошедшее от начального момента наблюдения до конечного. Часто длиной ряда называют количество уровней, входящих во временной ряд. Если во временном ряду проявляется длительная («вековая») тенденция изменения экономического показателя, то говорят, что имеет место тренд. Таким образом, под трендом понимается изменение, определяющее общее направление развития, основную тенденцию временных рядов. В связи с этим экономико-математическая динамическая модель, в которой развитие моделируемой экономической системы отражается через тренд ее основных показателей, называется трендовой моделью. Для выявления тренда во временных

рядах, а также для построения и анализа трендовых моделей используется аппарат теории вероятностей и математической статистики, разработанный для простых статистических

совокупностей. Отличие временных экономических рядов от простых статистических совокупностей заключается прежде всего в том, что последовательные значения уровней временного ряда зависят друг от друга. Поэтому применение выводов и формул теории вероятностей и математической статистики требует известной осторожности при анализе

временных рядов, особенно при экономической интерпретации результатов анализа.

Предположим, имеется временной ряд, состоящий из n уровней: y1,y2,y3,...,yn.

В самом общем случае временной ряд экономических показателей можно разложить на четыре структурно образующих элемента:

• тренд, составляющие которого будем обозначать Ut, t = 1,2,..,n;

• сезонная компонента, обозначаемая через Vt, t = 1,2,..,n;

• циклическая компонента, обозначаемая через Ct, t = 1,2,..,n;

• случайная компонента, которую будем обозначать ξt, t = 1,2,. ..,n.

Под трендом, как уже отмечалось выше, понимается устойчивое систематическое изменение процесса в течение продолжительного времени. Во временных рядах экономических процессов могут иметь место более или менее регулярные колебания. Если они носят строго периодический или близкий к нему характер и завершаются в течение одного года, то их называют сезонными колебаниями. В тех случаях, когда период колебаний составляет несколько лет, то говорят, что во временном ряде присутствует циклическая компонента.

Тренд, сезонная и циклическая компоненты называются регулярными, или систематическими компонентами временного ряда. Составная часть временного ряда, остающаяся после выделения из него регулярных компонент, представляет собой случайную, нерегулярную компоненту. Она является обязательной составной частью любого временного ряда в

экономике, так как случайные отклонения неизбежно сопутствуют любому экономическому явлению. Если систематические компоненты временного ряда определены правильно,

что как раз и составляет одну из главных целей при разработке трендовых моделей, то остающаяся после выделения из временного ряда этих компонент так называемая остаточная

последовательность (ряд остатков) будет случайной компонентой ряда, т.е. будет обладать следующими свойствами:

• случайностью колебаний уровней остаточной последовательности;

• соответствием распределения случайной компоненты нормальному закону распределения;

• равенством математического ожидания случайной компоненты нулю;

• независимостью значений уровней случайной последовательности, то есть отсутствием существенной автокорреляции.

Проверка адекватности трендовых моделей основана на проверке выполняемости у остаточной последовательности указанных четырех свойств. Если не выполняется хотя бы

одно из них, модель признается неадекватной; при выполнении всех четырех свойств модель адекватна. Данная проверка осуществляется с использованием ряда статистических критериев. Отметим, что в дальнейшем мы не будем рассматривать циклическую компоненту временных родов; укажем только, что для моделирования и прогнозирования сезонных и циклических экономических процессов используются специальные методы (индексный и спектральный анализы, выравнивание по ряду Фурье и др.).

Предварительный анализ временных рядов экономических показателей заключается в основном в выявлении и устранении аномальных значений уровней ряда, а также в

определении наличия тренда в исходном временном ряде.

Рассмотрим эти операции более подробно.

Под аномальным уровнем понимается отдельное значение уровня временного ряда, которое не отвечает потенциальным возможностям исследуемой экономической системы и которое, оставаясь в качестве уровня ряда, оказывает существенное влияние на значения основных характеристик временного ряда, в том числе на соответствующую трендовую модель. Причинами аномальных наблюдений могут быть ошибки технического порядка, или ошибки первого рода: ошибки при агрегировании и дезагрегировании показателей, при передаче информации и другие технические причины. Ошибки первого рода подлежат выявлению и устранению. Кроме того, аномальные уровни во временных рядах могут возникать из-за воздействия факторов, имеющих объективный характер, но проявляющихся эпизодически, очень редко — ошибки второго рода; они устранению не подлежат.

Для выявления аномальных уровней временных рядов используются методы, рассчитанные для статистических совокупностей.

Метод Ирвина, например, предполагает использование следующей формулы:

λ = |yt — yt-1|/σy, t=2,3,...,n

где среднеквадратическое отклонение σy рассчитывается в свою очередь с использованием формул:

Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования - student2.ru

Расчетные значения А.2, ^з - Д- сравниваются с табличными значениями критерия Ирвина Ха, и если оказываются больше табличных, то соответствующее значение yt уровня

ряда считается аномальным. Значения критерия Ирвина для уровня значимости а = 0,05, т.е. с 5%-ной ошибкой, приведены в табл

Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования - student2.ru После выявления аномальных уровней ряда обязательно определение причин их возникновения. Если точно установлено, что они вызваны ошибками первого рода, то они устраняются либо заменой аномальных уровней простой средней арифметической двух соседних уровней ряда, либо заменой аномальных уровней соответствующими значениями по кривой, аппроксимирующей данный временной ряд.

Для определения наличия тренда в исходном временном ряду применяется несколько методов; рассмотрим два из них.

Метод проверки разностей средних уровней. Реализация этого метода состоит из четырех этапов.

На п е р в о м э т а п е исходный временной ряд y1,y2,y3,...,yn разбивается на две примерно равные по числу уровней части: в первой части n1 первых уровней исходного ряда, во

второй — n2 остальных уровней (n1+n2=n).

На в т о р о м э т а п е для каждой из этих частей вычисляются средние значения и дисперсии:

Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования - student2.ru

Третий э т а п заключается в проверке равенства (однородности) дисперсий обеих частей ряда с помощью F- критерия Фишера, которая основана на сравнении расчетного значения этого критерия:

Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования - student2.ru

с табличным (критическим) значением критерия Фишера Fa с заданным уровнем значимости (уровнем ошибки) а. В качестве а чаще всего берут значения 0,1 (10%-ная ошибка),

0,05 (5%-ная ошибка), 0,01 (1%-ная ошибка). Величина 1 — a называется доверительной

вероятностью.

Если расчетное значение F меньше табличного Fa, то гипотеза о равенстве дисперсий принимается и переходят к четвертому этапу. Если F больше или равно Fa, гипотеза о

равенстве дисперсий отклоняется и делается вывод, что данный метод для определения наличия тренда ответа не дает.

На ч е т в е р т о м э т а п е проверяется гипотеза об отсутствии тренда с использованием t-критерия Стьюдента. Для этого определяется расчетное значение критерия Стьюдента по формуле:

Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования - student2.ru

Если расчетное значение t меньше табличного значения статистики Стьюдента ta с заданным уровнем значимости а, гипотеза принимается, т.е. тренда нет, в противном случае тренд есть. Заметим, что в данном случае табличное значение ta берется для числа степеней свободы, равного n1+n2-2 при этом данный метод применим только для рядов с монотонной тенденцией.

Метод Фостера—Стьюарта. Этот метод обладает большими возможностями и дает более надежные результаты по сравнению с предыдущим. Кроме тренда самого ряда (как говорят,

тренда в среднем), он позволяет установить наличие тренда дисперсии временного ряда: если тренда дисперсии нет, то разброс уровней ряда постоянен; если дисперсия увеличивается, то ряд «раскачивается» и т. д. Реализация метода также содержит четыре этапа.

На п е р в о м э т а п е производится сравнение каждого уровня исходного временного ряда, начиная со второго уровня, со всеми предыдущими, при этом определяются две числовые

последовательности:

Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования - student2.ru на втором э т а п е вычисляются величины s и d:

Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования - student2.ru

Нетрудно заметить, что величина s, характеризующая изменение временного ряда, принимает значения от 0 (все уровни ряда равны между собой) до n-1 (ряд монотонный).

Величина d характеризует изменение дисперсии уровней временного ряда и изменяется от -(га-1) (ряд монотонно убывает) до (n-1) (ряд монотонно возрастает).

Третий э т а п заключается в проверке гипотез: можно ли считать случайными

1) отклонение величины s от величины (J. — математического ожидания величины s для ряда, в котором уровни расположены случайным образом,

2) отклонение величины d от нуля.

Эта проверка проводится с использованием расчетных значений t-критерия Стьюдента для средней и для дисперсии:

Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования - student2.ru

На ч е т в е р т о м э т а п е расчетные значения ts и td сравниваются с табличным значением t-критерия Стьюдента с заданным уровнем значимости ta. Если расчетное значение меньше табличного, то гипотеза об отсутствии соответствующего тренда принимается; в противном случае тренд есть. Например, если ts больше табличного значения ta, a td меньше ta, то для данного временного ряда имеется тренд в среднем, а тренда дисперсии уровней ряда нет.

Перейдем к вопросу сглаживания временных рядов экономических показателей. Очень часто уровни экономических рядов динамики колеблются, при этом тенденция развития экономического явления во времени скрыта случайными отклонениями уровней в ту или иную сторону. С целью более четко выявить тенденцию развития исследуемого

процесса, в том числе для дальнейшего применения методов прогнозирования на основе трендовых моделей, производят сглаживание (выравнивание) временных рядов.

Методы сглаживания временных рядов делятся на две основные группы:

1) аналитическое выравнивание с использованием кривой, проведенной между конкретными уровнями ряда так, чтобы она отображала тенденцию, присущую ряду, и одновременно освобождала его от незначительных колебаний;

2) механическое выравнивание отдельных уровней временного ряда с использованием фактических значений соседних уровней.

Суть методов механического сглаживания заключается в следующем. Берется несколько

первых уровней временного ряда, образующих интервал сглаживания. Для них подбирается полином, степень которого должна быть меньше числа уровней, входящих в интервал сглаживания; с помощью полинома определяются новые, выравненные значения уровней в середине интервала сглаживания. Далее интервал сглаживания сдвигается на один уровень ряда вправо, вычисляется следующее сглаженное значение и т. д.

Самым простым методом механического сглаживания является метод простой скользящей средней. Сначала для временного ряда y1,y2,...,yn определяется интервал сглаживания m (m < n). Если необходимо сгладить мелкие беспорядочные колебания, то интервал сглаживания берут по возможности большим; интервал сглаживания уменьшают, если нужно сохранить более мелкие колебания. При прочих равных условиях интервал сглаживания рекомендуется брать нечетным. Для первых m уровней временного ряда вычисляется их средняя арифметическая; это будет сглаженное значение уровня ряда, находящегося в середине интервала сглаживания. Затем интервал сглаживания сдвигается на один уровень вправо, повторяется вычисление средней арифметической и т.д. Для вычисления сглаженных уровней ряда щ применяется формула:

Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования - student2.ru

В результате такой процедуры получаются n-m+ 1 сглаженных значений уровней ряда; при этом первые р и последние р уровней ряда теряются (не сглаживаются).

Другой недостаток метода в том, что он применим лишь для рядов, имеющих линейную тенденцию.

Метод взвешенной скользящей средней отличается от предыдущего метода сглаживания тем, что уровни, входящие в интервал сглаживания, суммируются с разными весами. Это связано с тем, что аппроксимация ряда в пределах интервала сглаживания осуществляется с использованием полинома не первой степени, как в предыдущем случае, а степени, начиная со второй. Используется формула средней арифметической взвешенной:

Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования - student2.ru

причем веса pt определяются с помощью метода наименьших квадратов. Эти веса рассчитаны для различных степеней аппроксимирующего полинома и различных интервалов

сглаживания. Так, для полиномов второго и третьего порядков числовая последовательность весов при интервале сглаживания m = 5 имеет вид: {-3; 12; 17; 12; - 3 } , а при m = 7

имеет вид: {-2; 3; 6; 7; 6; 3; - 2 } . Для полиномов четвертой и пятой степеней и при интервале сглаживания m = 7 последовательность весов выглядит следующим образом: {5; -

30; 75; 131; 75; - 3 0 ; 5}.

К этой же группе методов выравнивания временных рядов примыкает метод экспоненциального сглаживания. Его особенность заключается в том, что в процедуре нахождения сглаженного уровня используются значения только предшествующих уровней ряда, взятые с определенным весом, причем вес наблюдения уменьшается по мере удаления его от момента времени, для которого определяется сглаженное значение уровня ряда. Если для исходного временного ряда y1,y2,...,yn соответствующие сглаженные значения уровней обозначить через St, t = 1,2, ..., n, то экспоненциальное сглаживание осуществляется по формуле:

Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования - student2.ru

где a — параметр сглаживания (0 < a < 1); величина 1 — a называется коэффициентом

дисконтирования.

Используя приведенное выше рекуррентное соотношение для всех уровней ряда, начиная с первого и кончая моментом времени t, можно получить, что экспоненциальная средняя,

т.е. сглаженное данным методом значение уровня ряда, является взвешенной средней всех предшествующих уровней:

Нормативно-правовые акты Российской Федерации, регламентирующие информационную безопасность и их требования - student2.ru

здесь S0— величина, характеризующая начальные условия.

В практических задачах обработки экономических временных рядов рекомендуется (необоснованно) выбирать величину параметра сглаживания в интервале от 0,1 до 0,3. Других точных рекомендаций для выбора оптимальной величины параметра а пока нет. В отдельных случаях Р. Браун предлагает определять величину а исходя из длины сглаживаемого ряда: a=2/(n+1)

Что касается начального параметра So, то в конкретных задачах его берут или равным значению первого уровня ряда y1, или равным средней арифметической нескольких первых

членов ряда.

Указанный выше порядок выбора величины S0 обеспечивает хорошее согласование сглаженного и исходного рядов для первых уровней. Если при подходе к правому концу

временного ряда сглаженные этим методом значения при выбранном параметре а начинают значительно отличаться от соответствующих значений исходного ряда, необходимо

перейти на другой параметр сглаживания. Заметим, что при этом методе сглаживания не теряются ни начальные, ни конечные уровни сглаживаемого временного ряда.

< Билет 3 >

Наши рекомендации