Оглавление
Введение
По - настоящему безопасной
можно считать лишь ту систему, которая
выключена, замурована в бетонный корпус
заперта в помещении со свинцовыми стенами
и охраняется вооруженным караулом, - но
и в этом случае сомнения не оставляют
меня.
Юджин Х. Спаффорд
Развитие новых информационных
технологий и всеобщая компьютеризация
привели к тому, что информационная безопасность
не только становится обязательной, она
еще и одна из характеристик ИС. Существует
довольно обширный класс систем обработки
информации, при разработке которых фактор
безопасности играет первостепенную роль
(например, банковские информационные
системы).
Под безопасностью ИС понимается
защищенность системы от случайного или
преднамеренного вмешательства в нормальный
процесс ее функционирования, от попыток
хищения (несанкционированного получения)
информации, модификации или физического
разрушения ее компонентов. Иначе говоря,
это способность противодействовать различным
возмущающим воздействиям на ИС.
Под угрозой безопасности информации
понимаются события или действия, которые
могут привести к искажению, несанкционированному
использованию или даже к разрушению информационных
ресурсов управляемой системы, а также
программных и аппаратных средств.
Если исходить из классического
рассмотрения кибернетической модели
любой управляемой системы, возмущающие
воздействия на нее могут носить случайный
характер. Поэтому среди угроз безопасности
информации следует выделять как один
из видов угрозы случайные, или непреднамеренные.
Их источником могут быть выход из строя
аппаратных средств, неправильные действия
работников ИС или ее пользователей, непреднамеренные
ошибки в программном обеспечении и т.д.
Такие угрозы тоже следует держать
во внимании, так как ущерб от них может
быть значительным. Однако наибольшее
внимание уделяется угрозам умышленным,
которые, в отличие от случайных, преследуют
цель нанесения ущерба управляемой системе
или пользователям. Это делается нередко
ради получения личной выгоды.
Человека, пытающегося нарушить
работу информационной системы или получить
несанкционированный доступ к информации,
обычно называют взломщиком, а иногда
«компьютерным пиратом» (хакером).
В своих противоправных действиях,
направленных на овладение чужими секретами,
взломщики стремятся найти такие источники
конфиденциальной информации, которые
бы давали им наиболее достоверную информацию
в максимальных объемах с минимальными
затратами на ее получение. С помощью различного
рода уловок и множества приемов и средств
подбираются пути и подходы к таким источникам.
В данном случае под источником информации
подразумевается материальный объект,
обладающий определенными сведениями,
представляющими конкретный интерес для
злоумышленников или конкурентов.
Сегодня можно утверждать, что
рождается новая современная технология
-- технология защиты информации в компьютерных
информационных системах и в сетях передачи
данных. Реализация этой технологии требует
увеличивающихся расходов и усилий. Однако
все это позволяет избежать значительно
превосходящих потерь и ущерба, которые
могут возникнуть при реальном осуществлении
угроз ИС и ИТ.
В нашей стране с начала 90-х
годов начала строиться совершенно новая
финансово-кредитная система, произошло
становление новых форм собственности,
в том числе и интеллектуальной собственности.
Еще не так давно вся собственность нашей
страны (тогда еще СССР) была государственной.
Промышленность страны была в той или
иной степени на "военных рельсах",
поэтому промышленные секреты были военными
и охранялись нашей мощной системой спецслужб.
Сейчас ситуация кардинально
изменилась. Отдельные частные компании
ведут свои научные разработки, в каждой
организации автоматизирована система
бухгалтерского учета - все это и многое
другое разрабатывается, обрабатывается
и хранится при помощи компьютеров. А для
передачи данных используются компьютерные
сети. Само собой разумеется, такая информация
может быть интересна для конкурирующих
организаций, а значит, появляется проблема
ее защиты. Но под "защитой информации"
следует понимать не только спектр технических
мероприятий - программных и аппаратных,
но и законодательных.
Казалось бы, такая мелочь, но
это важно с двух точек зрения.
Во-первых, защита законом прав,
свобод и собственности - необходимые
условия построения правового государства.
Во-вторых, при поимке "компьютерных
злоумышленников" появляется дилемма:
что с ними делать, ведь предать их правосудию
невозможно.
На сегодняшний день,
юридически сформулированы три принципа
информационной безопасности, которая
должна обеспечивать:
- целостность данных;
- конфиденциальность информации;
- доступность информации для
всех зарегистрированных пользователей.
Основные направления защиты информации
Основные направления защиты
информации – охрана государственной,
коммерческой, служебной, банковской тайн,
персональных данных и интеллектуальной
собственности.
Государственная тайна – защищаемые
государством сведения в области его военной,
внешнеполитической, экономической, разведывательной,
контрразведывательной и оперативно-розыскной
деятельности, распространение которых
может нанести ущерб безопасности Российской
Федерации.
Сведения могут считаться
государственной тайной (могут быть засекречены),
если они отвечают следующим требованиям:
- соответствуют перечню сведений,
составляющих государственную тайну,
не входят в перечень сведений, не подлежащих
засекречиванию, и отвечают законодательству
РФ о государственной тайне (принцип законности);
- целесообразность засекречивания
конкретных сведений установлена путем
экспертной оценки вероятных экономических
и иных последствий, возможности нанесения
ущерба безопасности РФ, исходя из баланса жизненно важных интересов
государства, общества и личности (принцип
обоснованности);
- ограничения на распространение
этих сведений и на доступ к ним установлены с момента их получения
(разработки) или заблаговременно (принцип
своевременности);
- компетентные органы и их должностные
лица приняли в отношении конкретных сведений
решение об отнесении их к государственной
тайне и засекречивании и установили
в отношении их соответствующий режим
правовой охраны и защиты (принцип обязательной
защиты).
Коммерческая тайна охраняется
при содействии государства. Примером
этого утверждения могут служить многочисленные
факты ограничения доступа иностранцев
в страну (в Китае – для защиты секретов
производства фарфора), в отдельные отрасли
экономики или на конкретные производства.
В России к коммерческой тайне относили
промысловую тайну, но затем она была ликвидирована
как правовой институт в начале 30-х годов
и в связи с огосударствлением отраслей
экономики защищалась как государственная
и служебная тайна. Сейчас начался обратный
процесс.
Информация может
составлять коммерческую тайну, если она
отвечает следующим требованиям (критерии
правовой охраны):
- имеет действительную или потенциальную
коммерческую ценность в силу ее неизвестности
третьим лицам;
- не подпадает под перечень сведений,
доступ к которым не может быть ограничен,
и перечень сведений, отнесенных к государственной
тайне;
- к ней нет свободного доступа
на законном основании;
- обладатель информации принимает
меры к охране ее конфиденциальности.
К коммерческой тайне
не может быть отнесена информация:
- содержащаяся в учредительных документах;
- содержащаяся в документах, дающих право заниматься предпринимательской деятельностью (регистрационные
удостоверения, лицензии и т. д.);
- содержащаяся в годовых отчетах, бухгалтерских балансах, формах государственных статистических
наблюдений и других формах годовой бухгалтерской
отчетности, включая аудиторские заключения,
а также в иных, связанных с исчислением
и уплатой налогов и других обязательных платежей;
- содержащая сведения об оплачиваемой деятельности государственных служащих, о задолженностях работодателей по выплате заработной платы и другим выплатам социального характера, о численности и кадровом составе работающих;
- содержащаяся в годовых отчетах фондов об использовании имущества;
- подлежащая раскрытию эмитентом ценных бумаг, профессиональным участником рынка ценных бумаг и владельцем ценных бумаг в соответствии с законодательством
Российской Федерации о ценных бумагах;
- связанная с соблюдением экологического
и антимонопольного законодательства, обеспечением безопасных
условий труда, реализацией продукции, причиняющей вред здоровью
населения, другими нарушениями законодательства
Российской Федерации, законодательства
субъектов Российской Федерации, а также
содержащая данные о размерах причиненных при этом убытков;
- о деятельности благотворительных
организаций и иных некоммерческих организаций, не связанной
с предпринимательской деятельностью;
- о наличии свободных рабочих
мест;
- о хранении, использовании или
перемещении материалов и использовании технологий, представляющих
опасность для жизни и здоровья граждан или окружающей среды;
- о реализации государственной
программы приватизации и об условиях
приватизации конкретных объектов;
- о размерах имущества и вложенных
средствах при приватизации;
- о ликвидации юридического
лица и о порядке и сроке подачи заявлений
или требований его кредиторами;
- для которой определены ограничения
по установлению режима коммерческой тайны в соответствии
с федеральными законами и принятыми в целях их реализации подзаконными
актами.
Основными субъектами права
на коммерческую тайну являются обладатели
коммерческой тайны, их правопреемники.
Обладатели коммерческой тайны
– физические (независимо от гражданства)
и юридические (коммерческие и некоммерческие
организации) лица, занимающиеся предпринимательской
деятельностью и имеющие монопольное
право на информацию, составляющую для
них коммерческую тайну.
Уровни
доступа к информации с точки зрения законодательства
Вся информация с
точки зрения права делится на несколько
основных сегментов:
- Информация без ограничения
права доступа. К такому рода информации, например, относится:
- информация общего пользования,
предоставляемая пользователям бесплатно;
- информация о состоянии окружающей
природной среды, ее загрязнении – сведения (данные), полученные
в результате мониторинга окружающей
природной среды, ее загрязнения (Федеральный
закон от 2 мая 1997 г. № 76-ФЗ «Об уничтожении химического оружия»);
- информация в области работ
по хранению, перевозке, уничтожению химического
оружия – сведения о состоянии здоровья
граждан и объектов окружающей среды в
районах размещения объектов по хранению
химического оружия и объектов по уничтожению
химического оружия, мероприятиях
по обеспечению химической, санитарно-гигиенической, экологической
и пожарной безопасности при проведении работ по хранению,
перевозке и уничтожению химического
оружия, а также о мерах по предотвращению
возникновения чрезвычайных ситуаций и ликвидации их последствий при выполнении указанных работ, предоставляемая
по запросам граждан и юридических лиц,
в том числе общественных объединений
(Федеральный закон от 2 мая 1997 г. № 76-ФЗ «Об уничтожении химического оружия», статья 1.2).
- Информация, содержащая сведения
об обстоятельствах и фактах, представляющих угрозу жизни, здоровью
граждан, не подлежит засекречиванию, не может быть отнесена
к тайне.
- Информация с ограниченным
доступом – государственная тайна, служебная тайна, коммерческая
тайна, банковская тайна, профессиональная тайна и персональные данные
как институт охраны права неприкосновенности частной жизни.
- Информация, распространение
которой наносит вред интересам общества, законным интересам и
правам граждан, – порнография; информация, разжигающая национальную,
расовую и другую рознь; пропаганда и призывы
к войне, ложная реклама, реклама со скрытыми
вставками и т. п. – так называемая «вредная»
информация.
- Объекты интеллектуальной собственности
(то, что не может быть отнесено к информации с ограниченным
доступом, но охраняется особым порядком
через институты интеллектуальной собственности
– авторское право, патентное право,
средства индивидуализации и т. п. Исключение составляют ноу-хау, которые
охраняются в режиме коммерческой тайны).
Методы и средства обеспечения
безопасности информации
Методы защиты информации представляют
собой основу механизмов защиты. К основным
методам защиты относятся: управление доступом,
препятствие, маскировка, регламентация,
принуждение, побуждение.
Управление доступом
– метод защиты информации с помощью использования
всех ресурсов информационной технологии.
Управление доступом включает следующие
функции защиты:
• идентификация специалистов, персонала
и ресурсов информационной технологии
(присвоение каждому объекту персонального
идентификатора);
• опознание (установление подлинности)
объекта или субъекта по предъявленному
им идентификатору;
• проверка полномочий (соответствие
дня недели, времени суток, запрашиваемых
ресурсов и процедур установленному регламенту);
• разрешение и создание условий работы
в пределах установленного регламента;
• регистрация (протоколирование) обращений
к защищаемым ресурсам;
• реагирование (сигнализация, отключение,
задержка работ, отказ в запросе) при попытке
несанкционированных действий.
Препятствие
– метод физического преграждения пути
злоумышленнику к защищаемой информации
(к аппаратуре, носителям информации и
т. д.).
Маскировка –
метод защиты информации путем ее криптографического
закрытия. Этот метод сейчас широко применяется
как при обработке, так и при хранении
информации, в том числе на дискетах. При
передаче информации по каналам связи
большой протяженности данный метод является
единственно надежным.
Регламентация
– метод защиты информации, создающий
по регламенту в информационных технологиях
такие условия автоматизированной обработки,
хранения и передачи защищаемой информации,
при которых возможности несанкционированного
доступа к ней сводились бы к минимуму.
Принуждение
– метод защиты, когда специалисты и персонал
информационной технологии вынуждены
соблюдать правила обработки, передачи
и использования защищаемой информации
под угрозой материальной, административной
или уголовной ответственности.
Побуждение –
метод защиты, побуждающий специалистов
и персонал автоматизированной информационной
технологии не разрушать установленные
порядки за счет соблюдения сложившихся
моральных и этических норм.
Рассмотренные методы обеспечения безопасности
в информационных технологиях реализуются
на практике за счет применения различных
средств защиты. Все средства защиты информации
делятся на формальные и неформальные
виды.
Формальные средства
защиты – это средства, выполняющие
защитные функции строго по заранее предусмотренной
процедуре без непосредственного участия
человека
Неформальные средства
защиты – это средства защиты, которые
определяются целенаправленной деятельностью
человека, либо регламентируют эту деятельность.
К основным формальным средствам защиты,
которые используются в информационных
технологиях для создания механизмов
защиты, относятся технические и программные.
Технические
средства реализуются в виде электрических,
электромеханических и электронных устройств.
Технические средства, в свою очередь,
делятся на аппаратные и физические.
Аппаратные средства, представляют
собой устройства, встраиваемые непосредственно
в вычислительную технику, или устройства,
которые сопрягаются с подобной аппаратурой
по стандартному интерфейсу.
Физические средства,
представляют собой автономные устройства
и системы, создающие физические препятствия
для злоумышленников (замки, решетки, охранная
сигнализация и т.д.).
Программные
средства представляют собой программное
обеспечение, специально предназначенное
для выполнения функций защиты информации.
Неформальные средства
защиты. К основным неформальным средствам
защиты относятся: организационные,
морально-этические и законодательные
средства.
Организационные
средства представляют
собой организационно-технические и организационно-правовые
мероприятия, осуществляемые в процессе
создания и эксплуатации вычислительной
техники, аппаратуры телекоммуникаций
для обеспечения защиты информации в информационных
технологиях. Организационные мероприятия
охватывают все структурные элементы
аппаратуры на всех этапах их жизненного
цикла (строительство и оборудование помещений
экономического объекта, проектирование
информационной технологии, монтаж и наладка
оборудования, испытания, эксплуатация
и т. д.).
Морально-этические
средства реализуются в виде всевозможных
норм, которые сложились традиционно или
складываются по мере распространения
вычислительной техники и средств связи.
Эти нормы большей частью не являются
обязательными как законодательные меры,
однако несоблюдение их ведет к утечке
информации и нарушению секретности.
Законодательные
средства определяются законодательными
актами страны, в которых регламентируются
правила пользования, обработки и передачи
информации ограниченного доступа и устанавливаются
меры ответственности за нарушения этих
правил.