Клиновой Д.В., Рогов П.Д., Белокур Н.А

192 
 
 
Государственное учреждение «Институт экономики природопользования и 
устойчивого развития Национальной академии наук Украины», г. Киев, 
Украина 
 
Децентрализация  в  управлении  природными  ресурсами  в  мире,  как 
показывает мировой опыт, основывается на конституционных нормах отдельно 
взятой  страны  и  зависит,  в  первую  очередь,  от  системы  административно-
территориального  устройства  государства  (унитарное  государство  или 
федерация).  В  обоих  случаях  децентрализация  является  одним  из  наиболее 
распространенных преобразований, осуществляемых во многих странах. Одним 
из ключевых вопросов в процессе децентрализации является информационный 
вопрос,  а  именно  –  информационное  сопровождение  и,  соответственно, 
информационная  безопасность  передачи  государством  на  местный  уровень 
определенных  полномочий.  Таким  образом,  децентрализация  представляет 
соответствующим образом информационно обеспеченный и открытый процесс 
передачи  правительством  полномочий  и  функций  в  управлении  природными 
ресурсами местным институтам, среди которых главную роль играют такие как: 
отраслевые  подразделения  местных  органов  публичной  власти  (называется 
деконцентрацией  или  делегированием);    органы  местного  государственного 
управления  и  самоуправления  (политическая  децентрализация);  группы 
пользователей (деволюция) [1, c.36].  
Опыт децентрализации в управлении природными ресурсами показывает 
разную  ее  эффективность для разных стран.  В первую  очередь  это связано со 
стартовыми  условиями  проведения  реформ  на  определенный  момент.  Как 
можно лучше децентрализация в управлении природопользованием происходит 
там,  где  есть  стойкий,  переосмысленный  для  местных  условий,  опыт 
самостоятельного  природопользования  на  местном  уровне  (пример:  Польша, 
Финляндия)  или  же  давние  или  стойкие  традиции  федеральных  отношений 
(пример:  Швейцария,  США).  В  любом  случае  залогом  эффективной 

193 
 
 
децентрализации  является,  с  одной  стороны,  информационная  открытость  в 
управлении  природными  ресурсами  и  соблюдение  правил  информационной 
безопасности,  построенных  на  принципах  открытого  доступа  граждан  и 
местных  общин  к  информации  и  природным  ресурсам,  а  с  другой  стороны, 
соблюдение  принципа  контроля  государством  информации  о  передачи  прав 
местным  сообществам  и  защиты  стратегически  важной  информации  о 
природных  ресурсах,  которая  носит,  в  необходимой  степени,  закрытый 
характер  (например,  информация  об  определенных  полезных  ископаемых, 
составляющая  государственную  тайну).  Таким  образом,  информационная 
безопасность  в  процессе  децентрализации  власти  предполагает  как  закрытие 
доступа к определенной информации, так и наоборот – открытие информации о 
том,  какие  права  и  полномочия  относительно  каких  ресурсов  передаются 
местным органам власти. 
Опыт  стран  Восточной  Европы,  Балкан,  Азии,  Южной  Америки  [2] 
показывает,  что,  как  правило,  децентрализованные  институты  демонстрируют 
неудовлетворительные результаты по следующим причинам:  

 
реформа  имеет  информационно-закрытый  характер,  не  создает 
подотчетные,  репрезентативные  местные  институты,  теряется  местный 
контроль над ресурсами;  

 
на  местный  уровень  не  передаются  ни  информация  о  природных 
ресурсах,  ни  конструктивные  полномочия  или  не  оговариваются  точно 
такие полномочия, на практике ресурсы не передаются в ведение местных 
общин;  

 
наоборот,  на  местный  уровень  передаются  полномочия,  которые 
местное сообщество осуществить объективно не может в силу отсутствия 
финансовых, информационных или иных средств; 

 
местным  сообществам  передаются  более  широкие  полномочия, 
нежели  это  необходимо,  при  этом  государство  теряет  контроль  над 

194 
 
 
стратегически  важными  ресурсами,  местные  общины,  по  сути, 
присваивают государственную монополию на такие ресурсы; 

 
не  определены  и  не  согласованы  политические  и  социально-
экономические интересы, как местных общин, так и государства, которые 
являются движущим фактором процесса децентрализации. 
Европейские  исследователи  выделяют  три  фактора,  которые  особенно 
серьезно влияют на результат процесса децентрализации [3]: информационный, 
технический  и  финансовый  потенциал  местного  сообщества;  степень 
социально-экономического  равенства,  уровень  развития  гражданского 
общества  и  информационной  свободы;  всеобъемлющий  информационный 
характер и подотчетность местной институциональной базы. 
Этот  процесс  должен  быть  в  необходимой  мере  информационно 
открытым и иметь необходимое информационное обеспечение. Так, в открытом 
доступе  для  органов  центральной  и  местной  власти  и  должны  находиться 
реестры  (кадастры)  земельных,  водных,  лесных  и  минерально-сырьевых 
ресурсов.  Например,  для  некоторых  ресурсов  в  современных  условиях  в 
Украине  крайне  сложно  решить  вопросы  децентрализации  полномочий  из-за 
отсутствия    необходимой  информации.  Так,  согласно  мнению  М.А. Хвесика и 
соавторов [4], передача части властных полномочий относительно управления 
отечественным  фондом  недр  сейчас  является  преждевременной,  поскольку 
отсутствует  необходимая  информационная  составляющая,  обеспечивающая 
экономическую  безопасность  страны  и  её  регионов.  С  2012  года 
Государственный  информационный  геологический  фонд  Украины  прекратил 
выпуск  ежегодного  справочника  “Минеральные  ресурсы  Украины”,  данные  о 
балансовых  запасах  полезных  ископаемых,  их  погашении,  о  количестве 
месторождений отсутствуют уже 4 года. В таких условиях делегирование прав 
местным органам самоуправления на предоставление специальных разрешений 
для  добычи  полезных  ископаемых  не  может  быть  эффективно  обеспечено. 

195 
 
 
Подобные  явления  характерны  и  для  других  видов  природных  ресурсов  – 
водных, земельных, лесных, биологических, рекреационных.  
Задачей обеспечения информационной безопасности любого государства 
в  процессе  децентрализации  в  управлении  природными  ресурсами  является 
создание как можно более полноценной информационной системы с обратной 
связью,  обеспечивающей  защиту  интересов,  как  государства,  так  и  регионов 
при  передаче  управления  природными  ресурсами  в  местные  сообщества. 
Управление природными ресурсами при участии местных сообществ (УПРМС) 
представляет  собой  форму  управления  природными  ресурсами,  которое 
контролируется и  санкционируется самым местным сообществом (например, в 
Украине  -  территориальной  общиной,  которую  представляет  орган  местного 
самоуправления). Оно может касаться разных прав собственности на ресурсы и 
комплексы 
ресурсов. 
Этот 
процесс 
должен 
иметь 
всестороннюю 
информационную  поддержку  таким  образом,  чтобы  вся  необходимая 
информация  о  природных  ресурсах,  которые  передаются  в  использование 
местным сообществам, находилась в распоряжении соответствующих органов и 
граждан. Одновременно с этим необходимо обеспечить защиту информации о 
природных  ресурсах,  которая  зачастую  носит  закрытый  характер  и  не  может 
быть вынесена для открытого доступа. 
Особенно  важным  в  процессе  децентрализации  в  управлении 
природными  ресурсами  является  аспект  информационной  безопасности  для 
вопросов,  касающихся  системы  прав  собственности  на  природные  ресурсы,  в 
которых  право  собственности  предоставляется  сообществу,  а  оно,  в  свою 
очередь выделяет землю или другие ресурсы членам сообщества. 
Выводы: 
1.  Отличительной  чертой  децентрализации  в  управления  природными 
ресурсами местными сообществами является необходимость информационного 
обеспечения и, соответственно, информационной безопасности, этого процесса 
для всех участников процесса. 

196 
 
 
2. Государство должно принимать непосредственное участие в процессах 
децентрализации,  направляя  свои  усилия  на  понимание  происходящих 
процессов; создание рабочих законов (а не законов декларативного характера); 
управление  процессами  децентрализации,  предполагающими  мероприятия 
координации,  организации,  распорядительства,  прогнозирования,  обеспечения 
и контроля, а также обеспечения региональной информационной безопасности 
без участия иностранных “помощников-консультантов”. 
3.  Местным  сообществам,  равно  как  и  государственной  власти,  в 
процессе децентрализации необходимо четко понимать связанные с ним задачи, 
права,  обязанности и ограничения,  которые должны быть определены и четко 
сформулированы с учетом фактора информационной безопасности. 
 
Литература 
1.
 
Основы  системы  прав  собственности  на  природные  ресурсы:  Памятка 
реформаторам  в  странах  Восточной  Европы,  Кавказа  и  Центральной  Азии. 
Отдел по анализу и оценке экологической результативности. Директорат по 
охране окружающей среды: ОЭСР, 2011. – 54 с.   
2.
 
Ribot  J.C.  Waiting  for  Democracy.  The  Politics  of  Choice  in  Natural  Resource 
Decentralization, WRI Report World Resources Institute: Washington, DC, 2004. 
– 142 p. 
3.
 
Meinzen-Dick  R.,  di  Gregorio  M.,  Dohrn  S.  Decentralization,  Pro-poor  Land 
Policies  and  Democratic  Governance//  CAPRi  Working  Paper:  CGIAR  and 
UNDP, № 80, June 2008. – 36 p.  
4.
 
 Економічні  аспекти  управління  природними  ресурсами  та  забезпечення 
сталого  розвитку  в  умовах  децентралізації  влади  в  Україні  /  [за  наук.  ред. 
акад.  НААН  України,  д.е.н.,  проф.  М.А. Хвесика,  д.г.-м.н.,  проф. 
С.О. Лизуна; Державна установа «Інститут економіки природокористування 
та сталого розвитку Національної академії наук України»]. – К. : ДУ ІЕПСР 
НАН України, 2015. – 72 с. 

197 
 
 
Корченко А.Г.
1
, Казмирчук С.В.
1
, Алимсеитова Ж.К.
2
, Жекамбаева М.Б.
2 
ПРОГРАММНОЕ СРЕДСТВО ОЦЕНИВАНИЯ РИСКОВ 
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ COBRA 
1
Национальный авиационный университет, Киев, Украина, 
2
Казахский национальный исследовательский университет имени  
К.И. Сатпаева, Алматы, Республика Казахстан 
 
На  сегодняшний  день  существует  достаточно  широкое  множество 
инструментальных  средств  анализа  и  оценивания  риска  (САОР).  В  работе  [1] 
осуществлен  анализ  понятия  риска,  в  различных  предметных  областях 
человеческой  деятельности,  для  последующей  его  интерпретаций  в  области 
информационной  безопасности  (ИБ).  Также  в  [2]  была  предложена  кортежная 
модель  базовых  характеристик  риска  (КМР).  Такой  подход  дает  возможность 
относительно  КМР  унифицировать  процесс  исследования  соответствующих 
САОР и повысить эффективность осуществления их выбора.  
В  связи  с  этим,  целью  данной  работы  является  проведение  исследования 
САОР  (с  использованием  предложенного  в  [2]  подхода)  для  определения  их 
набора  характеристик,  по  которым  можно  осуществить  сравнительный  анализ 
таких средств. Это повысит эффективность решения задач в области ИБ. 
В  качестве  исходного  материала  исследования  было  взято  наиболее 
известные и используемые на практике САОР – COBRA, CRAMM. 
Методика COBRA (Consultative Objective and Bi-Functional Risk Analysis, 
разработчик  –  C & A  Systems  Security  Ltd,  Великобритания) ориентирована  на 
поддержку  требований  стандарта  ISO  17799  посредством  тематических 
вопросников 
(checklist’s), 
используемых 
в 
ходе 
оценки 
рисков 
информационных  активов  и  электронных  бизнес  транзакций  компании  [5].  В 
комплект  программного  обеспечения  (ПО)  входят  модули  COBRA  ISO  17799 
Security Consultant, COBRA Policy Compliance Analyst и COBRA Data Protection 
Consultant,  а  также  менеджер  модуля  COBRA,  используемый для  настройки и 

198 
 
 
изменения  снабжаемой базы  знаний.  На  основе  инициализации  тематического 
вопросника осуществляется оценка и анализ риска по следующим категориям: 
высокоуровневая; 
безопасности 
информационных 
технологий 
(ИТ); 
оперативная  ИТ  и  бизнеса;  инфраструктуры  электронной  коммерции.  Модули 
тематического 
вопросника 
информационно 
поддерживают 
отдельные 
приложения,  например:  APP-MAN  (Application  level  security  management)  – 
управления  безопасностью;  APPAUDIT  (Application  level  Auditing)  –  аудит; 
APPCNTRL  (Application  Staff  control)  –  контроль  штата;  APPDEPND 
(Application  Staff  dependency)  –  зависимость  штата;  AUDIT  (System  Audit)  – 
проверка системы и т.д.  
Как  видно  из  запроса,  здесь  нет  конкретизации  по  украденному,  что  не 
позволяет  четко  определить  степень  урона  и  на  какие  характеристики 
безопасности  ресурсов  информационных  систем  (ИС)  повлиял  тот  или  иной 
инцидент. Такой подход дает возможность реализовать лишь достаточно грубое 
оценивание  риска.  Воровство  (с  учетом  [3])  есть  субъективной  активной 
угрозой  КЦД-типа,  конфиденциальность,  целостность  и  доступность  в  этом 
случае  нарушается,  например,  с  исчезновением  единственного  экземпляра 
определенных  информационных  ресурсов,  кража  также  может  быть  связана  с 
подменной  данных  перед  их  вводом  или  в  процессе  вывода  [3]  и  т.д. 
Относительно  базовых  характеристик  риска  [2]  для  методики  COBRA  можно 
получить  отображения  таких  составляющих:  BC
1
,  BC
2
.  Так,  компоненту  BC
1
 
(исходя  из  указанного  примера)  соответствует,  например,  значение  BC
11
= 
«Кража».  Это  действие  приводит  к  нарушению  определённых  характеристик 
безопасности атакованных ресурсов и может быть связано со значением BC
27
= 
«НКЦД». 
После обработки инициализированных данных система генерирует отчет, в 
котором  описана  детальная  оценка  (Detailed  Risk  Assessment  (continued))  по 
следующим  характеристикам  риска:  категория  (RISK  CATEGORY);  уровень 
(RISK  LEVEL);  оценка  (RISK  ASSESSMENT).  Например:  КАТЕГОРИЯ 

199 
 
 
РИСКА – «Непредвиденная ситуация в бизнесе»; УРОВЕНЬ РИСКА – 96,61%; 
ОЦЕНКА  РИСКА  –  «Персонал  плохо  подготовлен  к  непредвиденным 
ситуациям,  нет  планирования  действий  в  непредвиденных  ситуациях  и  не 
выполняются требования к ним». Отметим, что в анализируемой методике риск 
отображается  тремя  базовыми  характеристиками,  первая  и  последняя  из 
которых  несут  в  себе  BC
1 
и  BC
2
.  составляющие  (название  категории  и 
комментарии  к  ней),  а  оставшаяся  –  составляющую,  которой  соответствует 
«УРОВЕНЬ  РИСКА»,  представленный  в  процентах  (вероятность  наступления 
риска),  в  связи  с  этим  (учитывая  [2])  уровень  риска  можно  отобразить  через 
компонент BC
3
. Все рассматриваемые действия (BC
1
), которые отображаются в 
запросах,  собраны  в  категории  риска,  например,  действие  рассмотренное  в 
примере  запроса  BC
11 
входит  в  категорию  риска  «Непредвиденная  ситуация  в 
бизнесе  (НСБ)»,  следовательно  характеристику  в  данной  категории  риска 
можно представить как 
1НСБ
BC
{
}
1
1НСБ1
1НСБ2
1НСБbc
BC
,BC
,...,BC

, где 
1НСБ1
BC
= «Кража» 
(
1
bc
 – количество идентификаторов угроз для категории НСБ) [2]. 
Анализ  показал,  что  прямого  использования  компонента  BC
2
  в  системе 
нет,  но  прослеживается  логическая  связь  с  ним,  поэтому  считаем  его 
присутствие  косвенным.  Здесь  и  далее  для  обозначения  косвенных 
характеристик  в  кортеже  будет  использоватьсясимвол  *,  т.е. 
*
2
BC
.  После 
проведенного  анализа  с  учетом  КМР  [2]  кортеж  для  этой  методики  можем 
представить в виде <BC
1
, 
*
2
BC
, BC
3
>. 
Система  Risk  Watch  (разработчик  –  компания  Risk  Watch,  США) 
отображает  требования  стандартов  ISO/IEC   27001  и  ISO/IEC  27002,  NIST  а 
также COBIT IV. Процесс анализа и оценивания риска производится в четыре 
фазы.  Фаза  1  –  описание  ИС  организации  с  точки  зрения  ИБ  (определение 
предмета исследования). Здесь описываются такие параметры предприятия, как 
тип  организации,  состав  исследуемой  системы,  базовые  требования  в  области 
ИБ.  Фаза  2  –  ввод  данных.  Для  выявления  уязвимостей  инициализируется 
тематический  вопросник  (ТВ),  база  которого  содержит  более  600  запросов. 

200 
 
 
Задается  частота  возникновения  каждой  из  выделенных  угроз,  степень 
уязвимости  и  ценность  ресурсов  (активов)  (рис. 1),  на  основании  чего 
рассчитывается эффективность внедрения средств ЗИ [4]. 
По  аналогии  с  ПО 
COBRA  в  Risk  Watch  (для 
упрощения 
ввода 
и 
обработки 
данных) 
множество  запросов  ТВ 
инициируются  посредством  выбора  данных  из  набора  вариантов.  Фаза  3  – 
оценка  риска.  Рассчитывается  профиль  рисков,  и  выбираются  меры 
обеспечения ИБ. Для этого устанавливаются связи между ранее определенными 
ресурсами,  потерями,  угрозами  и  уязвимостями,  а  риск  оценивается 
посредством ожидаемых потерь за год. Например, если стоимость сервера 


150 000$, а вероятность его уничтожения при пожаре в течение года р=0,01, то 
ожидаемые  потери  составят 

m
1 500$,  т.е. 
v
p
m


,  где  p  –  вероятность 
возникновения  угрозы,  а  v  –  стоимость  ресурса.  Отметим,  что  Risk  Watch 
базируется на таких данных NIST, как LAFE (Local Annual Frequency Estimate) 
и  SAFE  (Standard  Annual  Frequency  Estimate),  соответственно  отражающих 
годовую  частоту  реализации  угроз  в  локализованной  (например,  в  городе)  и 
глобализованной  (например,  в  Северной  Америке)  области.  Получить  оценки 
LAFE  и  SAFE,  например,  для  Казахстана  проблематично,  поскольку  нет 
необходимой статистики. Фаза 4 – генерация отчета. Формируются диаграммы 
и  таблица  детального  представления  соответствия  и  несоответствия 
(относительно  запросов)  требованиям стандарта,  а  также диаграмма потерь. С 
учетом  стоимости  ресурса  осуществляется  оценка  ожидаемых  потерь  (по 
конкретному активу) от реализации одной угрозы (ALE) [4]
F
EF
A
ALE



, где: 
А  (AssetVal)  –  стоимость  ресурса  (данные,  программы,  аппаратура  и  т.д.);  EF 
(ExposureFactor)  –  коэффициент  воздействия  (процентная  часть  от  стоимости 
актива,  подвергаемой  риску);  F  (Frequency)  –  частота  возникновения 
 
Рис. 1. Окно инициализации параметров 

201 
 
 
нежелательного  события.  Например,  пусть  аппаратное  средство  стоит 
А=10 000$,  коэффициент  воздействия  на  него  EF=0,5,  а  частота  F=0,2,  то 
ожидаемые  потери  составят  AEL=1000$.  После  идентификации  активов  и 
воздействий оценивается  общий риск  для  ИС  (сумма  всех  частных  значений). 
Для  оценивания  отдельно  взятой  пары  «угроза-ресурс»  используется  формула 
SLE
ARO
ALE


.  Эффект  от  внедрения  средств  безопасности  определяется 
параметром  ROI  (Returnon  Investment  –  возврат  инвестиций),  показывающий 
отдачу от вложений за период времени. 
Относительно  КМР  с  учетом  [2]  для  Risk  Watch  определим  кортеж.  Так 
компонентуBC
1 
(исходя  из  указанного  примера  категорий  потерь) 
соответствуют, например, значения BC
11
= «Задержка и отказ в обслуживании», 
BC
12
=  «Раскрытие  информации»,  BC
13
=  «Уничтожение  оборудования»  и  т.д. 
Эти  действия  приводят  к  нарушению  определенных  характеристик  ИБ 
атакованных  ресурсов  и  соответственно  связываются  со  значениями  BC
23
= 
«НД»,  BC
21
=  «НК»,  BC
25
=  «НЦД».  Анализ  риска  происходит  во  время 
обработки  данных  инициируемых  через  ТВ,  который  используется  при 
прохождении  фазы  1.  Для  определения  ALE  используется  компонент  BC
5
,  а 
риском  являются  ожидаемые  потери  за  год,  которые  также  можно 
интерпретировать как расходы(BC
6
).С учетом КМР, кортеж для этой методики 
можно представить в виде <BC
1
, 
*
2
BC
, BC
5
, BC
6
>. 
Таким образом, в работе с учетом предложенного в [2] подхода, проведено 
исследование  САОР  в  виде  соответствующего  ПО  и  определен  наборбазовых 
характеристик,  по  которым  можно  осуществить  сравнительный  анализ 
соответствующих  средств  оценивания  и  выбрать  наиболее  подходящие  для 
решения определенного класса задач ЗИ. 

жүктеу/скачать 7,09 Mb.

Достарыңызбен бөлісу: