Безопасность информационных технологий

Формирование глобального информационного общества с особой остротой ставит проблему развития культуры информационной безопасности. В Доктрине информационной безопасности Российской Федерации, принятой в декабре 2016 года, как одна из основных угроз определяется низкая осведомленность граждан в вопросах обеспечения личной информационной безопасности.

Одним из наиболее важных механизмов повышения компетентности и формирования культуры информационной безопасности, помимо массового обучения людей, являются методы пропаганды и создания «горячих линий». Они позволяют широкой общественности брать на себя инициативу в наблюдении и уведомлении о компьютерных инцидентах. Развитие подобных подходов целесообразно осуществлять с учетом накопленного сегодня международного опыта.

С этой целью в статье рассматривается европейский опыт создания системы информационно-консультативной помощи в области предупреждения угроз безопасности использования общедоступных и корпоративных информационных систем, а также ликвидации последствий проявления угроз в информационной сфере. Анализ опыта реализации пилотного проекта европейской системы оповещения и обмена информацией выявил целесообразность проектирования подобных систем на основе модели управления с четырьмя игроками, объединяющей операторов сети, производителей информации (которые являются поставщиками ИТ-продуктов или специалистами в области ИТ-безопасности), локальных информационных посредников и потребителей информации. В качестве модели информационного потока может быть выбран узел, который запускает локальный веб-портал, предоставляющий информацию для конечных пользователей, формирует новую информацию, адаптирует информацию к ограничениям различных каналов распространения и к характеристикам целевых групп конечных пользователей. Методология пилотного проекта может быть использована при проектировании и развертывании системы оповещения и обмена информацией, ориентированной на конечных пользователей нескольких регионов или стран, сотрудничающих в области информационной безопасности.

Информационная безопасность, осведомленность по вопросам информационной безопасности, система оповещения и обмена информацией, культура информационной безопасности.

1 Малюк А.А., Литинская Л.В., Коваленко С.Ю. Формирование информационной культуры общества - важнейший фактор обеспечения информационной безопасности "Безопасность информационных технологий", вып.4, 2009. сс. 17-24.

2 Ghernouti-Hélie. A National Strategy for an Effective Cybersecurity Approach and Culture. 2010 International Conference on Availability, Reliability and Security, 2010, pp. 370 - 373.

3 Mahfuth Amjad, Yussof Salman, Baker Asmidar Abu, Nor'ashikin Ali. A systematic literature review: Information security culture. 2017 International Conference on Research and Innovation in Information Systems (ICRIIS), 2017, pp.1-6.

4 Martins, A. and Eloff, J. 'Information Security Culture' IFIP TC11 International Conference on Information Security, Cairo, Egypt, 7- 9 May 2002.

5 Малюк, А. А.; Полянская, О. Ю. Зарубежный опыт формирования в обществе культуры информационной безопасности. Безопасность информационных технологий, [S.l.], v. 23, n. 4, p. 25-37, dec. 2016. ISSN 2074-7136. Доступно на: . Дата доступа: 12 dec. 2017.

6 Малюк А.А., Полянская О.Ю. Формирование современной культуры информационной безопасности "Инфофорум", журнал "Бизнес и Безопасность в России", октябрь, 2008.

7 Schlienger, T. and S. Teufel 'Analysing Information Security Culture: Increased Trust by an Appropriate Information Security Culture' 14th International Conference on Database and Expert Systems Applications (DEXA 2003), Prague, Czech Republic, September 2003.

8 Schlienger, T. and S. Teufel 'Information Security Culture - From Analysis to Change.' Proceedings of ISSA 2003, Johannesburg, South Africa, 9-11 July 2003.

9 Schlienger, T. and S. Teufel. 'Information Security Culture - The Socio-Cultural Dimension in Information Security Management.' IFIP TC11 International Conference on Information Security, Cairo, Egypt, 7-9 May 2002

10 Alain Esterle, Hanno Ranck, and Burkard Schmitt (edited by Burkard Schmitt). "Information security. A new challenge for the EU". Chaillot Paper no. 76, 2005. [Электронный ресурс] URL: http://www.iss.europa.eu/uploads/media/cp076 .pdf.

11 Popp Robert; Poindexter John. Countering Terrorism through Information and Privacy Protection Technologies. IEEE Security & Privacy. 2006, Volume 4, Issue 6, pp. 18-27.

12 Ryan J. J. C. H. Information security tools and practices: what works? IEEE Transactions on Computers, 2004, Volume: 53, Issue: 8, pp. 1060 - 1063.

13 Schjolberg S., Ghernaouti-Hélie S. A Global Treaty on Cybersecurity and Cybercrime, Second edition, 2011. [Электронный ресурс] URL: http://www.cybercrimelaw.net/documents/.

14 Talib Shuhaili; Clarke Nathan L.; Furnell Steven M. An Analysis of Information Security Awareness within Home and Work Environments. 2010 International Conference on Availability, Reliability and Security, 2010, pp.196-203.

15 The promotion of a culture of security for information systems and networks in OECD countries. [Электронный ресурс] URL: http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=DSTI/ICCP/REG(2005)1/FINAL&docLanguage=En.

16 AlHogail Areej, Mirza Abdulrahman. Information security culture: A definition and a literature review. 2014 World Congress on Computer Applications and Information Systems (WCCAIS), 2014, IEEE, pp.1-7.

17 Ngo L. Zhou, W. Warren, M. Understanding transition towards organizational culture change. Proceedings of the 3rd Australian Information Security Management Conference, Perth Australia, 2005.

18 Ruighaver, A.B. & Maynard, S. Organizational Security Culture: More Than Just an End-User Phenomenon. Proceedings of the 21st IFIP TC-11 International Information Security Conference (IFIP/SEC 2006). May 22, 2006, Karlstad, Sweden, pages 425-430.

19 Ruighaver, A.B., Maynard, S. & S. Chang (2006) Organizational Security Culture: Extending the End-User Perspective. Computers & Security, Volume 26, Issue 1, February 2007, Pages 56-62.

20 Sunthoshan Govender; Elmarie Kritzinger; Marianne Loock. The influence of national culture on information security culture.2016 IST-Africa Week Conference, Year: 2016, pp. 1-9.

21 Cybersecurity policy making at a turning point. Analysing a new generation of national cybersecurity strategies for the Internet Economy. [Электронный ресурс] URL: http://www.oecd.org/officialdocuments/.

22 OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security. [Электронный ресурс] URL: http://www.ftc.gov/bcp/conline/edcams/infosecurity/popups/OECD_guidelines.pdf

23 Summary of responses to the survey on the implementation of the OECD guidelines for the security of information systems and networks: towards a culture of security. [Электронный ресурс] URL: http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=DSTI/ICCP/REG(2003)8/FINAL&docLanguage=En.

24 Commission of the European Communities "Commission Decision of 22 April 2005 establishing the European Research Advisory" Official Journal of the European Union. Board (2005/516/EC), 2005.

25 Commission of the European Communities. "Critical Infrastructure Protection in the Fight against Terrorism" (COM(2004)702). 2004, [Электронный ресурс] Сайт Европейской комиссии. URL: http://europa.eu.int/comm/justice_home/doc_centre/criminal/terrorism/doc/com_2004_702_en.pdf.

26 Commission of the European Communities. "Green Paper on a European Programme for Critical Infrastructure Protection" (COM(2005) 576), 2005. [Электронный ресурс] Сайт Европейской комиссии. URL: http://www.libertysecurity.org/IMG/pdf/EC_-_Green_Paper_on_CI_-_17.11.2005.pdf.

27 Communication: A strategy for a Secure Information Society. 31.05.2006. [Электронный ресурс] Сайт Европейской комиссии. URL: http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=2766 .

28 Council Resolution of 22 March 2007 on a Strategy for a Secure Information Society in Europe. Council of the European Union, Official Journal of the European Union. (C68 /01), 2007. [Электронный ресурс] Сайт Европейского Союза. URL: http://eur-lex.europa.eu/LexUriServ/site/en/oj/2007/c_068/c_06820070324en00010004.pdf.

29 European Commission Information Society. "Availability and Robustness of Electronic Communication Infrastructures (ARECI) Study". [Электронный ресурс] URL: http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/areci_study/index_en.htm.

30 European Commission Justice and Home Affairs. "Freedom, Security and Justice; Protect Infrastructures". [Электронный ресурс] URL: http://ec.europa.eu/justice_home/fsj/terrorism/protection/fsj_terrorism_protection_infrastruct_en.htm.

31 Proposal for a Directive of the Council on the identification and designation of European Critical Infrastructure and the assessment of the need to improve their protection. European Commission Justice and Home Affairs. 2006. [Электронный ресурс] URL: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52006PC0787 :EN:NOT.

32 Network and Information Security: Commission seeks to improve network and information security in Europe. 31.05.2006. [Electronic resource] European Commission. URL: http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=2679.

33 EISAS Roadmap, ENISA, 2011. [Электронный ресурс] Сайт Агентства по сетевой и информационной безопасности Европейского союза (ENISA). URL: https://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap.

34 FISHA project, [Электронный ресурс] Сайт проекта по созданию структуры для обмена информацией и оповещения FISHA (The Framework for Information Sharing and Alerting). URL: http://fisha-project.eu /.

35 Dandurand Luc, Serrano Oscar . Towards improved cyber security information sharing. 2013 5th International Conference on Cyber Conflict (CYCON 2013), IEEE Conference Publications, 2013, pp.1-16.

36 Desourdis Robert I., Contestabile John M. Information sharing for situational understanding and command coordination in emergency management and disaster response. 2011 IEEE International Conference on Technologies for Homeland Security(HST), 2011, pp. 26 - 32.

37 Do Hoang Giang, Ng Wee Keong . Privacy-preserving approach for sharing and processing intrusion alert data. 2015 IEEE Tenth International Conference on Intelligent Sensors, Sensor Networks and Information Processing (ISSNIP). 2015, pp.1-6.

38 Feledi Danie, Fenz Stefan. Challenges of Web-Based Information Security Knowledge Sharing. 2012 Seventh International Conference on Availability, Reliability and Security, 2012, pp.514-521.

39 Holgado Pilar; López de Vergara Jorge E.; Villagrá Víctor A.; Sanz Iván; Amaya Antonio. Sharing information about security alerts using semantic web technologies. 2010 International Conference on Network and Service Management, 2010, pp. 270-273.

40 Ivanc Blaž ; Blažič Borka Jerman. Information Security Aspects of the Public Safety Data Interoperability Network. 2016 European Intelligence and Security Informatics Conference (EISIC), 2016, pp. 88-91.

41 Kokkonen Tero ; Hautamäki Jari, Siltanen Jarmo, Hämäläinen Timo. Model for sharing the information of cyber security situation awareness between organizations. 23rd International Conference on Telecommunications (ICT), 2016, IEEE Conference Publications, pp. 1-5.

42 EISAS Basic Toolset report, ENISA, 2011. [Электронный ресурс] Сайт Агентства по сетевой и информационной безопасности Европейского союза (ENISA). URL: https://www.enisa.europa.eu/publications/eisas-basic-toolset.

43 Bishop M. Education in information security. IEEE Concurrency.2000, Volume 8, Issue 4, pp.4-8.

44 Chia, P. Maynard, S., and Ruighaver, A.B. 'Exploring Organisational Security Culture' Sixth Pacific Asia Conference on Information Systems, Tokyo, Japan, 2-3 September, 2002.

45 Chia, P. Maynard, S., and Ruighaver, A.B. 'Understanding Organisational Security Culture' in Information Systems: The Challenges of Theory and Practice, Hunter, M. G. and Dhanda, K. K. (eds), Information Institute, Las Vegas, USA, 2003, pp. 335 - 365.

46 Dojkovski, S., Lichtenstein, S and Warren, M. Information Security Culture in Small and Medium Sized Enterprises: A Socio-Cultural Framework, Proceedings of 6th Australian Information Warfare & Security Conference, School of Information Systems, Deakin University, Geelong, Australia, 2005.

47 Dojkovski, S., Lichtenstein, S. and Warren, M. Challenges in Fostering an Information Security Culture in Australian Small and Medium Sized Enterprises, Proceedings of the 5th European Conference on Information Warfare and Security, Academic Conference Limited, United Kingdom, 2006.

48 EISAS Deployment Feasibility Study ENISA, 2013. [Электронный ресурс] Сайт Агентства по сетевой и информационной безопасности Европейского союза (ENISA). URL: http://www.enisa.europa.eu/publications/eisas-deployment-feasibility-study.

49 Network and Information Security: Commission seeks to improve network and information security in Europe. 31.05.2006. [Электронный ресурс] European Commission. URL: http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=2679.

50 EISAS Large-Scale Pilot, Collaborative Awareness Raising for EU Citizens & SMEs ENISA, 2012. [Электронный ресурс] Сайт Агентства по сетевой и информационной безопасности Европейского союза (ENISA). URL: https://www.enisa.europa.eu/.../eisas-large-scale-pilot.