Главная » Разное

Организационно правовые способы нарушения информационной безопасности

Содержание
  1. Способы и методы реализация угроз безопасности информации
  2. ТЕМА 1. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  3. Оглавление:
  4. 1.1.Основные положения теории информационной безопасности информационных систем
  5. 1.2. Нарушения информационной безопасности
  6. 1.3. Концепция информационной безопасности
  7. 1.4. Нормативно-руководящие документы

Способы и методы реализация угроз безопасности информации

Источники угроз в отношении объектов информатизации могут нарушать информационную безопасность следующими возможными способами:

Информационные способы нарушения информационной безопасности включают:

· противозаконный сбор, распространение и использование информации;

· манипулирование информацией (сокрытие или искажение информации);

· незаконное копирование данных и программ;

· незаконное уничтожение информации;

· хищение информации из баз и банков данных;

· нарушение адресности и оперативности информационного обмена;

· нарушение технологии обработки данных и информационного обмена.

Программно-математические способы нарушения информационной безопасности включают:

· внедрение программных закладок на стадии проектирования системы;

· закладки программного продукта на стадии его эксплуатации, позволяющие осуществить несанкционированный доступ или действия по отношению к информации и системам её защиты (блокирование, обход и модификацию систем защиты, извлечение, подмену идентификаторов и т.д.) и приводящие к компрометации системы защиты информации.

Физические способы нарушения информационной безопасности включают:

· уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них неисправностей;

· уничтожение, хищение и разрушение машинных или других оригиналов носителей информации;

· хищение программных или аппаратных ключей, средств защиты информации от несанкционированного доступа;

· воздействие на обслуживающий персонал или пользователей системы с целью создания благоприятных условий для реализации угроз информационной безопасности;

· диверсионные действия по отношению к объектам информационной безопасности (взрывы, поджоги, технические аварии и т.д.).

Радиоэлектронные способы нарушения информационной безопасности включают:

· перехват информации в технических каналах её утечки (за счет побочных электромагнитных излучений, создаваемых техническими средствами обработки и передачи информации за счет наводок в коммуникациях, сети питания, заземления, радиотрансляции, пожарной и охранной сигнализаций и т.д.) и в линиях связи путём прослушивания конфиденциальных разговоров с помощью акустических, виброакустических и лазерных технических средств разведки, прослушивания конфиденциальных телефонных переговоров, путём визуального наблюдения за работой средств отображения информации;

· перехват информации в сетях передачи данных и линиях связи;

· внедрение электронных устройств перехвата информации в технические средства и помещения;

· навязывание ложной информации по сетям передачи данных и линиям связи.

Организационно-правовые способы нарушения информационной безопасности включают:

· закупку несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;

· невыполнение требований законодательства и задержку в разработке и принятии необходимых нормативных правовых, организационно-распорядительных и эксплуатационных документов, а также технических мероприятий в области информационной безопасности.

Результатом воздействия источника угроз на объект информатизации является нарушение безопасности информации путем посягательств (способов воздействия) на информационные ресурсы, информационные системы и процессы являются:

· нарушение конфиденциальности информации, т.е. её утечка, модификация, утрата;

· нарушение целостности информации, т.е. её уничтожение, искажение, подделка и т.п.;

· нарушение доступности информации и работоспособности информационных систем (блокирование данных и информационных систем, разрушение элементов информационных систем, компрометация системы защиты информации и т.п.).

Приведем некоторые возможные методы и способы нарушения безопасности информации:

Источник

ТЕМА 1. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Цели и задачи изучения темы:

  • ознакомить с основными положениями теории информационной безопасности информационных систем;
  • познакомить с понятием угрозы, видами противников и «нарушителей»;
  • ознакомить с видами возможных нарушений информационной системы, а также с анализом способов нарушений информационной безопасности;
  • познакомить с концепцией информационной безопасности;
  • ознакомить с нормативно-руководящими документами в сфере обеспечения информационной безопасности;
  • сформировать представление о месте информационной безопасности экономических систем в национальной безопасности страны;
  • познакомить с информационной безопасностью в условиях функционирования в России глобальных систем.

Оглавление:

1.1.Основные положения теории информационной безопасности информационных систем

На сегодняшний день сеть Интернет становится неотъемлемой частью ведения бизнеса, позволяющей работать с большими массивами информации и осуществлять мгновенную коммуникацию с географически разрозненными регионами. Глобальная сеть Интернет стала универсальным средством связи и общения. Вместе с тем, Интернет является очень трудно контролируемым каналом распространения информации, что приводит к тому, что средства World Wide Web нередко используются для получения несанкционированного доступа к конфиденциальной и закрытой коммерческой информации со стороны злоумышленников и различного рода мошенников. Сеть Интернет играет существенную роль и в так называемой «конкурентной» разведке – сборе сведений о действиях и планах конкурирующих организаций с целью дальнейшего ослабления их рыночных позиций. Различного рода информационные угрозы для деятельности предприятия могут создаваться как единичными мошенниками или хулиганствующими непрофессиональными субъектами, так и мощными, высокопрофессиональными организациями, задействованными в многоуровневых стратегиях конкурентной борьбы.

Специфика бизнеса, человеческий фактор, несовершенство законодательства и технические недостатки современных информационных систем обуславливают повышенный риск корпоративных информационных сетей. К основным нарушениям информационной безопасности, приносящим материальный ущерб, относятся: коммерческий шпионаж, утечки и потери информации из-за халатности сотрудников, внутренние инциденты с персоналом, компьютерные вирусы, нападения хакеров.

Ущерб, как известно, легче предотвратить, чем восполнить. С развитием информационных систем и средств их защиты одновременно совершенствуются и способы нападения со стороны злоумышленников.

Превалирующими по объему потерь преступлениями в информационной сфере являются:

  • распространение вирусов,
  • неавторизованный доступ,
  • кража конфиденциальной информации.

Существующая общемировая тенденция позволяет прогнозировать увеличение доли угроз экономической безопасности именно в сегменте информационных технологий. При этом источником угроз могут быть как несовершенства технологии (различного рода «дыры» и уязвимости в программном обеспечении, веб-браузерах и почтовых клиентах), так и «человеческий фактор», особенности психологии восприятия — любая, даже самая совершенная информационная система (ИС) требует участия оператора, т.е. человека.

Распространение телекоммуникационных технологий в сфере платежных систем увеличивает риски потери информации именно в звене «пользователь/оператор» — «информационная система». Если добавить к этому распространение мобильной связи и различного рода служб мгновенных сообщений, то получается весьма обширное поле для упражнений специалистов «социальной инженерии», ставящих своей задачей получение конфиденциальной информации. Эффективным средством борьбы с подобного рода рисками является увеличение ответственности и компетентности сотрудников, работающих с ИС.

При разработке эффективной защиты информационных систем должны быть поставлены следующие цели:

  • обеспечить конфиденциальность данных в ходе их хранения, обработки или при передаче по каналам связи (конфиденциальность — свойство информации, состоящее в том, что информация не может быть получена неавторизованным пользователем во время ее хранения, обработки и передачи);
  • обеспечить целостность данных в ходе их хранения, обработки или при передаче по каналам связи. Целостность рассматривается в двух аспектах. Во-первых, это целостность данных, заключающаяся в невозможности модификации данных неавторизованным пользователем или процессом во время их хранения, обработки и передачи. Во-вторых, это целостность системы, заключающаяся в том, что ни один компонент системы не может быть удален, модифицирован или добавлен в обход или нарушение политики безопасности;
  • обеспечить доступность данных, хранимых в локальных вычислительных сетях, а также возможность их своевременной обработки и передачи. Обеспечение доступности предполагает, что обладающий соответствующими правами пользователь, субъект или процесс может использовать ресурс в соответствии с правилами, установленными политикой безопасности, не ожидая дольше заданного промежутка времени. Доступность направлена на поддержание системы в работоспособном состоянии, обеспечивая своевременное и точное ее функционирование;
  • обеспечить наблюдаемость. Наблюдаемость направлена на обеспечение возможности ИТ-системы фиксировать любую деятельность пользователей и процессов, использование пассивных объектов, а также однозначно устанавливать идентификаторы причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения политики безопасности и обеспечения ответственности пользователей за выполненные действия;
  • обеспечить гарантии. Гарантии — это совокупность требований, составляющих некую шкалу оценки, для определения степени уверенности в том, что:
    • функциональные требования действительно сформулированы и корректно реализованы;
    • принятые меры защиты, как технические, так и организационные, обеспечивают адекватную защиту системы, информационных процессов и ресурсов;
    • обеспечена достаточная защита от преднамеренных ошибок пользователей или ошибок программного обеспечения;
    • обеспечена достаточная стойкость от преднамеренного проникновения и использования обходных путей.

Обеспечение гарантий — общая задача, без решения которой решение остальных четырех не имеет смысла.

Адекватная защита информации требует соответствующей комбинации политики безопасности, организационных мер защиты, технических средств защиты, обучения и инструктажей пользователей и плана обеспечения непрерывной работы.

Задачи информационной безопасности (да и безопасности любого другого рода) сводятся, как правило, к минимизации ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий.

Соответственно, составляющими информационной безопасности являются:

  • определение объектов, на которые могут быть направлены угрозы;
  • выявление существующих и возможных угроз;
  • определение возможных источников угрозы;
  • оценка рисков;
  • методы и средства обнаружения враждебного воздействия;
  • методы и средства защиты от известных угроз;
  • методы и средства реагирования при инцидентах.

Вкратце все это можно сформулировать следующим образом. Основными задачами информационной безопасности являются:

  1. Выявление и недопущение нарушений, а также условий для их реализации.
  2. Создание механизма оперативного мониторинга и реагирования на нарушения.
  3. Создание условий для максимально возможного возмещения ущерба от нарушений.

Все эти три задачи реализуются за счет проведения соответствующих организационных мероприятий и применения аппаратно/программных средств защиты конфиденциальной информации.

Виды противников или «нарушителей» информационной безопасности (ИБ). Среди внешних противников ИБ за последние годы существенно возросло число инцидентов, связанных с использованием так называемых брешей в системном программном обеспечении для несанкционированного проникновения через сеть Интернет в информационные ресурсы, увеличилось количество случаев нарушения нормальной работы из-за влияния программ-вирусов, возросло количество отказов в обслуживании, связанных с переполнением буфера при появлении «спама» в электронной почте.

Наибольшую проблему представляют происшествия, связанные с отказом в обслуживании (DOS — Denial-of-Service), поскольку в результате их негативного проявления организация, как правило, на длительное время теряет доступ к ресурсам и услугам сети Интернет. Это представляет серьезную опасность для предприятий так называемого непрерывного цикла работы (транспорт, энергетика, связь, неотложная медицинская помощь и т.д).

Анализ структуры внутренних угроз показывает, что наиболее серьезные нарушения в области ИБ представляют такие негативные проявления человеческого фактора в работе персонала, как самовольная установка и использование нерегламентированного программного обеспечения, увеличение случаев использования оборудования и ресурсов в личных целях. Одновременно отмечается снижение количества случаев, связанных с установкой и использованием нерегламентированного оборудования вследствие ужесточения контроля со стороны администрации.

1.2. Нарушения информационной безопасности

Анализ угроз ИБ. О рганизация обеспечения ИБ должна носить комплексный характер. Она должна основываться на глубоком анализе всевозможных негативных последствий. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению (уязвимостей) и как следствие определение актуальных угроз информационной безопасности. Исходя из этого, моделирование и классификацию источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки:источники угроз – уязвимость – угроза (действие) – последствия.

Источники угроз – это потенциальные антропогенные, техногенные и стихийные угрозы безопасности.

Под угрозой (в целом) понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим — либо интересам. Под угрозой интересам субъектов информационных отношений понимают потенциально возможное событие, процесс или явление которое посредством воздействия на информацию или другие компоненты ИС может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

Уязвимость – это присущие объекту ИС причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта ИС, свойствами архитектуры ИС, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформы, условиями эксплуатации, невнимательностью сотрудников.

Последствия – это возможные действия реализации угрозы при взаимодействии источника угрозы через имеющиеся уязвимости.

Классификация угроз информационной безопасности

Основными угрозами информации являются :

  • Хищение (копирование информации);
  • Уничтожение информации;
  • Модификация (искажение) информации;
  • Нарушение доступности (блокирование) информации;
  • Отрицание подлинности информации;
  • Навязывание ложной информации.

Классификация источников угроз ИБ

Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем источники угроз могут находиться как внутри ИС – внутренние источники, так и вне нее – внешние источники.

Все источники угроз информационной безопасности можно разделить на три основные группы:

  • Обусловленные действиями субъекта (антропогенные источники) – субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированны как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.
  • Обусловленные техническими средствами (техногенные источники) – эти источники угроз менее прогнозируемы и напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.
  • Стихийные источники. Данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия, или др. обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы.

Угрозы, как правило, появляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности в ИС. Уязвимости присущие ИС, неотделимы от нее, и обуславливаются недостатками процесса функционирования, свойствами архитектуры ИС, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.

Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации).

Устранение или существенно ослаблен ие уя звимостей, влияет на возможности реализации угроз безопасности информации.

Существуют следующая классификация уязвимостей:

Объективные — зависят от особенностей построения и технических характеристик оборудования, применяемого в ИС. Полное устранение этих уязвимостей невозможно, они могут существенно ослабляться техническими и инженерно – техническими методами. К ним можно отнести:

  1. Сопутствующие техническим средствам излучения:
  • Электромагнитные (побочные излучения элементов технических средств, кабельных линий технических средств, излучения на частотах работы генераторов, на частотах самовозбуждения усилителей);
  • Электрические (наводки электромагнитных излучений на линии и проводки, просачивание сигналов в сети электропитания, в цепи заземления, неравномерность потребления тока электропитания );
  • Звуковые (акустические, виброакустические ).
  1. Активизируемые:
  • Аппаратные закладки (устанавливаемые в телефонные линии, в сети электропитания, в помещениях, в технических средствах);
  • Программные закладки (вредоносные программы, технологические выходы из программ, нелегальные копии ПО).
  1. Определяемые особенностями элементов:
  • Элементы, обладающие электроакустическими преобразованиями (телефонные аппараты, громкоговорители, микрофоны);
  • Элементы подверженные воздействию электромагнитного поля (магнитные носители, микросхемы).
  1. Определяемые особенностями защищаемого объекта:
  • Местоположением объекта (отсутствие контролируемой зоны, наличие прямой видимости объектов, удаленных и мобильных элементов объекта);
  • Организацией каналов обмена информацией (использование радиоканалов, глобальных информационных сетей, арендуемых каналов).

Субъективные зависят от действий сотрудников, в основном устраняются организационными и программно – аппаратными методами:

  1. Ошибки:
  • При подготовке и использовании программно обеспечения (при разработке алгоритмов и программного обеспечения, инсталляции и загрузке программного обеспечения, эксплуатации программного обеспечения, вводе данных);
  • При управлении сложными системами (при использовании возможностей самообучения систем, организация управления потоками обмена информации);
  • При эксплуатации технических средств (при включении/выключении технических средств, использовании технических средств охраны, использование средств обмена информацией).
  1. Нарушения:
  • Режима охраны и защиты (доступа на объект, доступа к техническим средствам);
  • Режима эксплуатации технических средств (энергообеспечения, жизнеобеспечения);
  • Режима использования информации (обработка и обмен информацией, хранение и уничтожение носителей информации, уничтожения производственных отходов и брака);
  • Режима конфиденциальности (сотрудники в не рабочее время, уволенные сотрудники; обиженные сотрудники).

Случайные – зависят от особенностей окружающей ИС среды и непредвиденных обстоятельств.

  1. Сбои и отказы:
  • Отказы и неисправности технических средств (обрабатывающих информацию, обеспечивающих работоспособность средств обработки информации, обеспечивающих охрану и контроль доступа);
  • Старение и размагничивание носителей информации (дискет и съемных носителей, жестких дисков, микросхем, кабелей и соединительных линий);
  • Сбои программного обеспечения (операционных систем и СУБД, прикладных программ, сервисных программ, антивирусных программ);
  • Сбои электроснабжения (оборудования, обрабатывающего информацию; обеспечивающего и вспомогательного оборудования);
  1. Повреждения:
  • Жизнеобеспечивающих коммуникаций (электр о-, водо-, газо-, теплоснабжения, канализации; кондиционирования и вентиляции) ;
  • Ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий; корпусов технологического оборудования).

Обзор потенциальных угроз безопасности.

Читайте также:  Способы заделки концов канатных стропов

Территориально распределенная структура ИС создает ряд предпосылок для реализации разнообразия потенциальных угроз ИБ, которые могут нанести ущерб ИС. Это разнообразие настолько велико, что не позволяет предусмотреть каждую угрозу. Поэтому анализируемые характеристики угроз надо выбирать с позиций здравого смысла, одновременно выявляя не только сами угрозы, размер потенциального ущерба, но их источники и уязвимости системы.

Для любой ИС характерны антропогенные, техногенные и стихийные источники угроз, которые воздействуют на систему через ее уязвимости, характерные для любой ИС (как бы она идеально не была построена), реализуя тем самым угрозы ИБ.

Определим потенциальные угрозы ИБ для ИС.

Антропогенные источники угроз ИБ

В качестве антропогенного источника угроз для ИС можно рассматривать субъекта (личность), имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними так и внутренними, как случайными, так и преднамеренными. Внутренние и внешние источники могут использовать различные классы уязвимостей: объективные, субъективные, случайные. Методы противодействия для данной группы управляемы, и напрямую зависят от службы безопасности.

Внешние источники — напрямую вызваны деятельностью человека. Среди которых можно выделить: случайные и преднамеренные.

Случайные (непреднамеренные). Данные источники могут использовать такие классы уязвимостей, как субъективные и случайные. Субъективные могут выражаться в ошибках, совершенных при проектировании ИС и ее элементов, ошибками в программном обеспечении. Случайные могут определятся различного рода сбоями и отказами, повреждениями, проявляемыми в ИС. К таким источникам можно отнести персонал поставщиков различного рода услуг, персонал надзорных организаций и аварийных служб, др. Действия (угрозы) исходящие от данных источников совершаются по незнанию, невнимательности или халатности, из любопытства, но без злого умысла. Основные угрозы от таких действий – уничтожение, блокирование, искажение информации.

Преднамеренные. Проявляются в корыстных устремлениях субъектов (злоумышленников). Основная цель таких источников – умышленная дезорганизация работы, вывода системы из строя, разглашения и искажения конфиденциальной информации за счет проникновение в систему посредством несанкционированного доступа (НСД) и утечки по техническим каналам. Угрозы от таких источников могут быть самые разные: хищение (копирование информации); уничтожение информации; модификация информации; нарушение доступности (блокирование) информации; навязывание ложной информации. В качестве таких источников могут выступать: потенциальные преступники (террористы) и хакеры; недобросовестные партнеры; представители силовых структур.

Для реализации этих угроз внешние преднамеренные источники могут использовать следующие три класса уязвимостей: объективные; субъективные; случайные. Каждым отдельным источником может использоваться определенный класс уязвимостей, в зависимости от преследуемой цели. Например, хакеры могут воспользоваться сбоями в программном обеспечении (случайные уязвимости), недобросовестные партнеры, для получения доступа к информации, могут воспользоваться активизируемыми программными закладками, встроенными в поставленном ими же программном обеспечении (объективные уязвимости), др.

Внутренние источники – как правило, представляют собой первоклассных специалистов в области эксплуатации программного обеспечения и технических средств, знакомых со спецификой решаемых задач, структурой и основными функциями и принципами работы программно – аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств ИС. К таким источника можно отнести: основной персонал; представителей служб безопасности; вспомогательный персонал; технических персонал (жизнеобеспечение, эксплуатация). Внутренние антропогенные источники, в связи с их положением в ИС, для реализации угроз, могут использовать каждый из классов уязвимостей (объективные, субъективные, случайные), опять же в зависимости от преследуемых целей. Угрозы от таких источников, также могут самые разные: хищение (копирование информации); уничтожение информации; модификация информации; нарушение доступности (блокирование) информации; навязывание ложной информации.

От реализации угроз, исходящих от антропогенных источников, последствия для ИС могут быть самыми различными от сбоя в работе, до краха системы в целом. НСД и утечка по техническим каналам может привести: к неконтролируемой передаче пользователями конфиденциальной информации; заражению компьютеров и сетей ИС компьютерными вирусами; нарушению целостности (уничтожению) информации, хранящейся в базах данных и серверах; преднамеренному блокированию серверов и сетевых служб; НСД к различным информационно — вычислительным ресурсам.

Угрозы этой группы, могут реализовываться различными методами: аналитические; технические; программные; социальные; организационные.

При организации защиты службы ИБ должны определять степень доступности каждого источника к защищенному объекту, квалификацию и привлекательность совершения деяний со стороны источника угрозы.

Меры защиты (противодействия) от таких источников должны тщательно продумываться, к ним можно отнести:

  • Правовые (законы, уставы, приказы, постановления);
  • Организационные (разработка и утверждение функциональных обязанностей должностных лиц службы ИБ; физический контроль доступа; разработка правил управления доступом к ресурсам системы; явный и скрытый контроль за работой персонала системы; проведение регулярных семинаров, спецкурсов для администраторов сетей ИС, с целью обеспечения соответствия уровня знаний современным требованиям; мн. др.);
  • Технические (предполагается наличие методик определения угроз и каналов утечки информации и знание средств добывания (снятия) информации);
  • Инженерно-технические (обеспечивающие предотвращение несанкционированного доступа посторонних лиц на объекты защиты)
  • Программно-технические (методы идентификации и аутентификации пользователей; регистрация действий пользователей; средства защиты от НСД, межсетевые экраны);
  • др.

Список способов противодействия должен, в случае необходимости пополнятся новыми средствами защиты.

Источники угроз данной группы, напрямую зависят от свойств техники и, поэтому требуют не меньшего внимания. Данные источники также могут быть как внутренними, так и внешними.

Внешние источники – средства связи (телефонные линии); сети инженерных коммуникаций (водоснабжение, канализации).

Внутренние источники – некачественные технические средства обработки информации; некачественные программные средства обработки информации; вспомогательные средства охраны (охраны, сигнализации, телефонии); другие технические средства, применяемые в ИС.

Данная группа источников менее прогнозируема и напрямую зависит от свойств техники применяемой в ИС и поэтому требует особого внимания со стороны служб ИБ. Угрозы от таких источников могут быть следующие: потеря информации, искажение блокирование, др. Для предотвращения таких угроз необходимо использовать (по возможности) надежную вычислительную и другую необходимую для надежного функционирования технику, лицензионное программное обеспечение (ПО). Также во время анализа, не стоит упускать непредвиденные ошибки пользователей во время эксплуатации техники и ПО. Таки ошибки могут создать слабости, которыми в свою очередь могут воспользоваться злоумышленники. Согласно статистике, 65% потерь – следствие таких ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябанностью как пользователей, так и персонала.

Данная группа источников отличается большим разнообразием и непредсказуемостью. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, прежде всего, понимаются природные катаклизмы: пожары; землетрясения; ураганы; наводнения; различные непредвиденные обстоятельства. Возникновение этих источники тяжело спрогнозировать, а противодействовать им тем более. Несмотря на это, службы информационной безопасности (СИБ), должны уделять им не малое внимание, т.к. результат от их реализации один – ущерб ИС, и там уже не важно каким образом он был нанесен (пожар, землетрясение, др.). Поэтому должны применяться всевозможные методы противодействия — организационные, технические, др., а также разрабатываться планы действий в результате возникновения любого из них. Должны проводится семинары по обучению персонала и других пользователей ИС уметь вести себя в чрезвычайных ситуациях. Угрозы от таких источников могут быть разными от блокирования информации, до ее уничтожения. Данным источникам можно сопоставить различные классы уязвимостей. Например, стихийные источники могут воздействовать на ИС через случайные уязвимости (повреждения жизнеобеспечивающих коммуникаций), субъективные уязвимости (нарушения при эксплуатации) и могут привести к таким последствиям как пожар, сбой в электроснабжении и другим непредсказуемым последствиям. При организации мер защиты, службы безопасности должны учитывать особенности обстановки расположения (различные климатические, сейсмологические условия и др.).

Анализ угроз ИБ является одним из ключевых моментов политики безопасности любой ИС. Разрабатывая политику безопасности, соответствующим службам целесообразно использовать системный подход.

Под системностью понимается, прежде всего, то, что защита информации заключается не только в создании соответствующих механизмов, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла ИС, с применением единой совокупности законодательных, организационных и технических мер, направленных на выявление, отражение и ликвидации различных видов угроз информационной безопасности.

Таксономия нарушений информационной безопасности вычислительной системы и причины, обуславливающие их существование. В настоящее время системы обнаружения вторжений (intrusion detection systems, IDS) получают все большее распространение среди компаний различного масштаба. Они бывают разные – сетевые и хостовые, для серверов и рабочих станций, для архитектур Fast Ethernet и Gigabit Ethernet, для обнаружения и предотвращения атак. Самыми популярными по праву считаются сетевые решения, контролирующие сразу множество узлов в сети. Именно эти системы обладают широким спектром возможных применений — их используют на периметре и в демилитаризованной зоне, в сегменте IP-телефонии и в беспроводных сетях, для защиты баз данных и Web-серверов, и т.д. Но все эти варианты объединены одной целью – обнаружение и предотвращение атак.

Однако, к сожалению, эти системы, призванные идентифицировать и отражать нападения хакеров, сами могут быть подвержены несанкционированным воздействиям, которые могут нарушить работоспособность этой системы, что не позволит ей выполнять поставленные перед ней задачи. По этой причине целесообразно рассмотреть единую классификацию (таксономию) атак на системы обнаружения вторжения.

В первую очередь обычно атакуют сенсор. Поскольку сенсор – это совокупность аппаратно/программных средств, то его работа невозможна без операционной системы, сетевого драйвера и сетевой карты. Рассмотрим возможные атаки на сенсор, начиная с самого «низа».

Сетевая карта. Этот компонент задействуется для двух целей – получение доступа к сетевому трафику, в котором ищутся следы атак (если речь не идет о специальных платах обнаружения атак, вставляемых в шасси коммутатора или маршрутизатора, или специальном ПО обнаружения атак для маршрутизатора), а также для передачи на консоль управления сигналов тревоги.

Сетевой драйвер. Неправильная реализация сетевого стека позволяет посылать на сенсор определенным образом сформированные пакеты, что приводит к блокировке системы («синий экран»).

Возможны вторжения через «прорехи» в операционных системах. Через этот компонент атаки на IDS более чем реальны.

Модуль захвата данных. В том случае, если он оперирует сетевыми пакетами, то достаточно послать на него либо нестандартные (т.е. несоответствующие) пакеты, либо организовать «лавинный» трафик, который сенсор не способен обработать. Если он оперирует журналом регистрации, то можно «переполнить» этот журнал и старые события будут перезаписаны новыми.

Подсистема реагирования. Даже если система IDS обнаружила атаку, то достаточно не дать ей прореагировать на нападение и эффективность системы обнаружения вторжений будет сведена к нулю.

Следующим компонентом системы обнаружения атак является сервер управления, на который и поступают сигналы тревоги от сенсора. Поскольку сервер управления в свою очередь взаимодействует с сенсором, консолью или базой данных, то если противник сможет заблокировать эти каналы, то система IDS не сможет нормально функционировать.

База данных, хранящая события. Кроме блокирования ее взаимодействия с сервером управления, противник может попытаться ее переполнить ложными сигналами тревоги.

Сетевое оборудование тоже может стать мишенью для хакеров, что приведет к нарушению взаимодействия между компонентами IDS. Например, можно отключить порт, к которому подключен любой из компонентов системы обнаружения атак.

Для проведения атак на систему обнаружения вторжений противник может использовать также и механизм аутентификации. Для этого достаточно удалить ключ аутентификации одного из компонентов IDS и процесс аутентификации уже не выполнится. Следовательно, компоненты не смогут обмениваться между собой информацией.

1.3. Концепция информационной безопасности

Концепция Информационной Безопасности – это система взглядов на проблему обеспечения Информационной Безопасности, взаимоувязывающая правовые, организационные и программно-аппаратные меры защиты и основанная на анализе защищенности информационной системы в разрезе видов угроз и динамики их развития.

Правовую основу Концепции должна составлять Конституция Российской Федерации, законы Российской Федерации «О безопасности», «О государственной тайне», «Об информации, информатизации и защите информации», Основы законодательства Российской Федерации об Архивном фонде и архивах, другие законодательные акты Российской Федерации, а также международные договоры и соглашения, заключенные или признанные Российской Федерацией, определяющие права и ответственность граждан, общества и государства в информационной сфере.

В зависимости от требований к режиму Информационной Безопасности, различают базовый и повышенный уровни ее обеспечения.

Базовый уровень Информационной Безопасности предполагает упрощенный подход к анализу рисков, при котором рассматривается стандартный набор распостраненных угроз без оценки вероятностей их проявления. Для нейтрализации угроз применяется типовой комплекс контрмер, а вопросы эффективности в расчет не берутся. Подобный подход приемлем, если ценность защищаемых ресурсов в данной организации не слишком высока.

В ряде случаев базового уровня недостаточно. Для обеспечения повышенного уровня Информационной Безопасности необходимо знать параметры, характеризующие степень безопасности информационной системы и количественные оценки угроз, уязвимостей и рисков по отношению к ценности информационных ресурсов. Как правило, выбор концепции проводится на основе анализа нескольких вариантов по критерию стоимость/эффективность.

Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности можно говорить о единой концепции Информационной Безопасности.

Анализ мирового и отечественного опыта обеспечения Информационной Безопасности диктует необходимость создания целостной системы безопасности, взаимоувязывающей правовые, организационные и программно-аппаратные меры защиты и использующей современные методы прогнозирования, анализа и моделирования ситуаций.

Из анализа действующего законодательства вытекает, что правовой защите подлежит главным образом документированная информация (документ), зафиксированная на материальном носителе с реквизитами, т.е. информация, облеченная в форму, позволяющую ее идентифицировать.

При этом неправомерный доступ к компьютерной информации считается преступлением, если:

  • компьютерная информация охраняется законом, а именно отвечает нормам Закона «Об информации, информатизации и защите информации» (в частности ст. 2 и 5 Закона);
  • неправомерный доступ привел к уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или сети (ст. 272 УК).

Эти действия наказываются либо штрафом, либо исправительными работами, либо лишением свободы сроком до двух лет.

Те же действия, совершенные с использованием служебного положения, влекут за собой наказание в более суровой форме (ст. 272 ч. 2 УК). Это означает, что хакеры со стороны несут меньшую уголовную ответственность чем сотрудники организации или лица, допущенные к ее компьютерной информации по договорам.

УК содержит понятие «вредоносные программы», под которое подпадают программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, а также приводящие к нарушению работы информационной системы (ст. 273 УК). В настоящее время у таких программ множество специфических названий, так что обобщающий термин был просто необходим.

К разряду преступлений относится нарушение правил эксплуатации ЭВМ и сетей, если это приводит к уничтожению, блокированию или модификации компьютерной информации, что, в свою очередь, наносит существенный вред или влечет за собой тяжкие последствия (ст. 274 УК). Понятия «существенный вред» и «тяжкие последствия» УК не конкретизирует, как и не дает разъяснении, чему или кому причинен вред: информации, бизнесу, репутации фирмы или гражданина. Очевидно, что ответы на эти вопросы даст лишь судебная практика. В зависимости от тяжести последствий такие преступления наказываются лишением свободы на срок либо до трех либо до семи лет (ст. 273 ч. 1 и 2 УК).

Читайте также:  Как избавиться от гайморита народными способами

Наряду с этими компьютерно-ориентированными статьями используются остальные, позволяющие квалифицировать противоправное деяние как подпадающее под их юрисдикцию. Проблема в значительной степени связана с объективными возможностями правоохранительной системы обеспечить соответствующую реакцию на тот объем информации о реальной преступности, который ей надлежит полномасштабно перерабатывать. Чем более ограничены эти возможности, тем, соответственно, более значительную часть сигналов о преступлениях система вынуждена от себя отталкивать, оставляя ту или иную часть преступности «в тени».

Кроме того, понятно, что государственные и коммерческие структуры, которые подверглись нападениям, не хотят афишировать их последствия и недостаточную эффективность своих систем защиты. Поэтому совершаемые преступления далеко не всегда становятся достоянием гласности. Не следует думать, что информационные преступления является лишь отечественной национальной спецификой.

Согласно сведениям Института защиты компьютеров The Computer Security Institute (CSI, San Francisco, USA) и ФБР:

  • свыше 50% организаций не имеют плана действий на случай компьютерного вторжения;
  • более 60% ответивших не имеют стратегии для сохранения доказательств, необходимых для дальнейшего судебного рассмотрения;
  • более 70% респондентов не имеют устройств, предупреждающих о вторжении в их коммуникационные и информационные системы;
  • меньше чем 36% указали, что они уведомят правоохранительные органы в случаях нападения на информационные системы;
  • более 70% указали на опасение антирекламы как на основную причину отказа обращаться в правоохранительные органы.

Первое что можно предложить — ограничить количество лиц, имеющих доступ к информации. Зафиксировать тех кто имеет доступ, ввести протоколирование работы с информацией и установить за всем этим контроль.

Одним из лучших способов защиты корпоративной информации до недавнего времени считался свод правил, регламентирующий работу с информацией и страхующий от случайных потерь данных. Под потерями данных в данном случае понимается как разглашение личной и корпоративной информации, так и ее несанкционированное изменение или физическое уничтожение. Однако, как показывает практика, эффективность таких мер, при непланомерном подходе без учета специфики организации, невысока.

Как уберечь информацию от потерь и несанкционированного доступа заинтересованных лиц? Можно предложить следующий набор административных мер:

  • структурировать работу организации;
  • формализовать потоки документов и упорядочить их хранение;
  • регламентировать правила работы с документами;
  • исключить доступ к корпоративной информации сотрудников организации после уведомления их об увольнении.

При разработке организационных мер необходимо помнить, что существует как минимум три способа потери данных: с использованием личного контакта, средств компьютерной техники и технических каналов передачи данных.

  1. Потеря данных с использованием личного контакта обычно осуществляется либо путем непосредственного доступа к рабочему месту и связана с неосторожностью или злонамеренностью производимых на компьютере операций либо посредством дистанционного доступа или автономного управления рабочим местом при помощи специализированных вредоносных программ.
  2. Использование компьютеров для обработки информации, хотим мы того или нет, сопровождается ошибками в работе программного обеспечения, отказами аппаратуры и как следствие потерями данных.
  3. Потеря в каналах передачи данных может быть вызвана как неисправностью канала так и внешними воздействиями, такими как прослушивание канала, перенаправление информации, находящейся в канале, зашумление или физическое блокирование канала и т.п.

Выбор контрмер и управление рисками.

При разработке концепции Информационной Безопасности организации необходимо выработать стратегию управления рисками различных классов.

Возможно несколько подходов:

  • уклонение от риска. Например, вынесение Web-сервера за пределы локальной сети организации позволит избежать несанкционированного доступа в локальную сеть со стороны Web-клиентов;
  • уменьшение риска. Например, грамотное использование средств аутентификации снижает вероятность несанкционированного доступа;
  • изменение характера риска. Если не удается уклониться от риска или уменьшить степень его воздействия, можно применить некоторые меры страховки;
  • принятие риска. На практике многие риски не могут быть уменьшены до пренебрежимо малой величины. Необходимо знать остаточную величину риска.

По завершениии разработки стратегии управления рисками, можно перейти к следующему этапу работ по обеспечению Информационной Безопасности — выбору средств защиты.

Информационная безопасность экономических систем играет ключевую роль в обеспечении жизненно важных интересов Российской Федерации. Это в первую очередь обусловлено насущной потребностью создания развитой и защищенной информационной среды общества. Именно через информационную среду осуществляются угрозы национальной безопасности в различных сферах деятельности государства.

Экономический потенциал государства все в большей степени определяется объемом информационных ресурсов и уровнем развития информационной инфраструктуры. При этом постоянно растет уязвимость экономических структур от недостоверности получаемой по открытым каналам связи экономической информации, ее запаздывания и блокирования, незаконного использования посторонними в корыстных целях.

Информационная среда, являясь системообразующим фактором во всех сферах национальной безопасности, активно влияет на состояние политической, экономической, оборонной и других составляющих национальной безопасности Российской Федерации. В то же время она представляет собой самостоятельную сферу национальной безопасности, в которой необходимо обеспечить защиту информационных ресурсов, систем их формирования, распространения и использования, информационной инфраструктуры, реализацию прав на информацию государства, юридических лиц, граждан.

Основными целями обеспечения информационной безопасности экономических систем являются:

  • защита национальных интересов России в условиях глобализации информационных процессов, формирования мировых информационных сетей и стремления США и других развитых стран к информационному доминированию;
  • обеспечение органов государственной власти и управления, предприятий достоверной, полной и своевременной информацией, необходимой для принятия эффективных решений, а также предотвращение нарушений целостности и незаконного использования экономических информационных ресурсов;

К основным задачам обеспечения информационной безопасности экономических систем относятся:

  • выявление, оценка и прогнозирование источников угроз информационной безопасности экономических систем;
  • разработка государственной политики обеспечения информационной безопасности экономических систем, комплекса мероприятий и механизмов ее реализации;
  • разработка нормативно-правовой базы обеспечения информационной безопасности экономических систем, координация деятельности органов государственной власти и управления и предприятий по обеспечению информационной безопасности;
  • развитие системы обеспечения информационной безопасности экономических систем, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения;
  • обеспечение активного участия России в процессах создания и использования глобальных информационных сетей и систем.

1.4. Нормативно-руководящие документы

Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы. Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства. Место информационной беопасности экономических систем в национальной безопасности страны.

Закон о государственной тайне (в редакции Федерального закона от 06.10.97 N 131-ФЗ) (с изменениями, внесенными Постановлением Конституционного Суда РФ от 27.03.1996 N 8-П) – основной нормативный руководящий документ. Этот Закон содержит ряд статей и регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.

Положения Закона обязательны для исполнения на территории Российской Федерации и за ее пределами органами законодательной, исполнительной и судебной властей (далее — органы государственной власти), местного самоуправления предприятиями, учреждениями и организациями независимо от их организационно — правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства, либо обязанными по своему статусу исполнять требования законодательства Российской Федерации о государственной тайне.

В настоящем Законе используются следующие основные понятия:

  • государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно – розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;
  • носители сведений, составляющих государственную тайну, – материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;
  • система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;
  • допуск к государственной тайне – процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций – на проведение работ с использованием таких сведений;
  • доступ к сведениям, составляющим государственную тайну, – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну;
  • гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него;
  • средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации;
  • перечень сведений, составляющих государственную тайну, – совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.

В данном Законе:

  • приведен перечень сведений, составляющих государственную тайну;
  • регламентированы принципы отнесения сведений к государственной тайне и засекречивания этих сведений;
  • определены сведения, не подлежащие отнесению к государственной тайне и засекречиванию;
  • определен порядок отнесения сведений к государственной тайне;
  • определен порядок засекречивания сведений и их носителей;
  • определены реквизиты носителей сведений, составляющих государственную тайну;
  • установлены три степени секретности сведений, составляющих государственную тайну (а также соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секретно» и «секретно»);
  • определен порядок определения размеров ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения сведений, составляющих государственную тайну;
  • определен порядок рассекречивания сведений;
  • определен порядок рассекречивания носителей сведений, составляющих государственную тайну;
  • определена взаимная передача сведений, составляющих государственную тайну, органами государственной власти, предприятиями, учреждениями и организациями, а также другим государствам;
  • определены органы защиты государственной тайны;
  • определен допуск должностных лиц и граждан к государственной тайне;
  • определены основания для отказа должностному лицу или гражданину в допуске к государственной тайне;
  • определены условия прекращения допуска должностного лица или гражданина к государственной тайне;
  • определены ограничения прав должностного лица или гражданина, допущенных или ранее допускавшихся к государственной тайне;
  • определена ответственность за нарушение законодательства Российской Федерации о государственной тайне;
  • определен порядок сертификации средств защиты информации;
  • определены источники финансирования мероприятий по защите государственной тайны.

Правила отнесения сведений к той или иной степени секретности устанавливаются Правительством Российской Федерации. Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

В деле обеспечения информационной безопасности несомненный успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

  • законодательного;
  • административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
  • процедурного (меры безопасности, ориентированные на людей);
  • программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

См. подробнее в хрестоматии

На законодательном уровне отметим две группы мер:

  • меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);
  • направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

Самое важное (и, вероятно, самое трудное) на законодательном уровне – создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года. В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 – право на знание достоверной информации о состоянии окружающей среды.

В принципе, право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.

Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 – право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации (в редакции от 15 мая 2001 года) фигурируют такие понятия, как банковская, коммерческая и служебная тайны. Согласно статье 139, информация составляет служебную или коммерческую тайну в том случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.

Весьма совершенным в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 – «Преступления в сфере компьютерной информации» – содержит три статьи:

  • статья 272. Неправомерный доступ к компьютерной информации;
  • статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;
  • статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Первая имеет дело с посягательствами на конфиденциальность, вторая – с вредоносным ПО, третья – с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе «О государственной тайне» (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон «Об информации, информатизации и защите информации» от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.

Некоторые из этих определений:

  • информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
  • документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
  • информационные процессы – процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
  • информационная система – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;
  • информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
  • информация о гражданах (персональные данные) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
  • конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;
  • пользователь (потребитель) информации – субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.
Читайте также:  Способы формирования практических знаний

Обратим внимание на гибкость определения конфиденциальной информации, которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закладывающее основу защиты последних.

Данный Закон выделяет следующие цели защиты информации:

  • предотвращение утечки, хищения, утраты, искажения, подделки информации;
  • предотвращение угроз безопасности личности, общества, государства;
  • предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
  • предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
  • защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
  • сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
  • обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Закон гласит, что «Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу». По сути дела, это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных отношений.

Режим защиты информации устанавливается:

  • в отношении сведений, отнесенных к государственной тайне, – уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;
  • в отношении конфиденциальной документированной информации – собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;
  • в отношении персональных данных – федеральным законом.«

Здесь явно выделены три вида защищаемой информации, ко второму из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная информация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности, а остальные аспекты ИБ – забыты.

Обратим внимание на то, что защиту государственной тайны и персональных данных берет на себя государство; а за другую конфиденциальную информацию отвечают ее собственники.

Как же защищать информацию? В качестве основного закон предлагает для этой цели мощные универсальные средства: лицензирование и сертификацию. Из статьи 19 следует, что и нформационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации «О сертификации продукции и услуг».

Закон «О лицензировании отдельных видов деятельности» от 8 августа 2001 года номер 128-ФЗ (Принят Государственной Думой 13 июля 2001 года).

  • лицензия – специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю;
  • лицензируемый вид деятельности – вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим Федеральным законом;
  • лицензирование – мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действия лицензий, аннулированием лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий;
  • лицензирующие органы – федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с настоящим Федеральным законом;
  • Лицензиат – юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности.

Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Важное значение имеют следующие виды:

  • распространение шифровальных (криптографических) средств;
  • техническое обслуживание шифровальных (криптографических) средств;
  • предоставление услуг в области шифрования информации;
  • разработка и производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
  • выдача сертификатов ключей электронных цифровых подписей, регистрация владельцев электронных цифровых подписей, оказание услуг, связанных с использованием электронных цифровых подписей и подтверждением подлинности электронных цифровых подписей;
  • выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
  • разработка и (или) производство средств защиты конфиденциальной информации;
  • техническая защита конфиденциальной информации;
  • разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

Необходимо учитывать, что, согласно статье 1, действие данного Закона не распространяется на следующие виды деятельности:

  • деятельность, связанная с защитой государственной тайны;
  • деятельность в области связи;
  • образовательная деятельность.

Подчеркнем, что данный Закон не препятствует организации Интернет-Университетом учебных курсов по информационной безопасности (не требует получения специальной лицензии; ранее подобная лицензия была необходима). В свою очередь, Федеральный Закон «Об образовании» не содержит каких-либо специальных положений, касающихся образовательной деятельности в области ИБ.

Закон «Об электронной цифровой подписи» номер 1-ФЗ (принят Государственной Думой 13 декабря 2001 года), развивающий и конкретизирующий приведенные выше положения закона «Об информации. ».

Целью данного Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

Закон вводит следующие основные понятия:

  • электронный документ – документ, в котором информация представлена в электронно-цифровой форме;
  • электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
  • владелец сертификата ключа подписи – физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);
  • средства электронной цифровой подписи – аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
  • сертификат средств электронной цифровой подписи – документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;
  • закрытый ключ электронной цифровой подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;
  • открытый ключ электронной цифровой подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;
  • сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
  • подтверждение подлинности электронной цифровой подписи в электронном документе – положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;
  • пользователь сертификата ключа подписи – физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;
  • информационная система общего пользования – информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
  • корпоративная информационная система – информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Согласно Закону, электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

  • сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
  • подтверждена подлинность электронной цифровой подписи в электронном документе;
  • электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Закон определяет сведения, которые должен содержать сертификат ключа подписи:

  • уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;
  • фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима запись об этом вносится удостоверяющим центром в сертификат ключа подписи;
  • открытый ключ электронной цифровой подписи;
  • наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи;
  • наименование и местонахождение удостоверяющего центра, выдавшего сертификат ключа подписи;
  • сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.

Зарубежное законодательство в области информационной безопасности. Ключевую роль играет американский «Закон об информационной безопасности» (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Его цель – реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах, без ограничений всего спектра возможных действий.

Характерно, что уже в начале Закона называется конкретный исполнитель – Национальный институт стандартов и технологий (НИСТ), отвечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к информации, а также от краж и подлогов, выполняемых с помощью компьютеров. Таким образом, имеется в виду как регламентация действий специалистов, так и повышение информированности всего общества.

Закон обязывает НИСТ координировать свою деятельность с другими министерствами и ведомствами, включая Министерство обороны, Министерство энергетики, Агентство национальной безопасности (АНБ) и т.д., чтобы избежать дублирования и несовместимости.

Помимо регламентации дополнительных функций НИСТ, Закон предписывает создать при Министерстве торговли комиссию по информационной безопасности, которая должна:

  • выявлять перспективные управленческие, технические, административные и физические меры, способствующие повышению ИБ;
  • выдавать рекомендации Национальному институту стандартов и технологий, доводить их до сведения всех заинтересованных ведомств.

В законодательстве ФРГ имеется весьма развернутый (44 раздела) Закон о защите данных (Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325)). Он целиком посвящен защите персональных данных.

В данном случае устанавливается приоритет интересов национальной безопасности над сохранением тайны частной жизни. В остальном права личности защищены весьма тщательно. Например, если сотрудник фирмы обрабатывает персональные данные в интересах частных компаний, он дает подписку о неразглашении, которая действует и после перехода на другую работу.

Международные стандарты информационного обмена. В мировой практике принято использовать следующую схему работы в рамках «электронного государства»: между субъектами, вступающими во взаимодействие, создается единое информационное пространство (среда электронного взаимодействия), и принимаются единые стандарты предоставления информации и обмена данными, а также стандарты на структуру данных. Интеграция разных информационных систем в рамках единого информационного пространства происходит посредством их реализации в виде веб-сервисов с использованием в качестве основного стандарта регистра UDDI (Universal Description, Discovery and Integration).

Этот стандарт позволяет искать и регистрировать информацию, организовывать взаимосвязи между различными базами данных.

Для описания функциональных особенностей работы сервисов и клиентских интерфейсов, а также для организации доступа к сервисам отдельных информационных систем используются протоколы WSDL (Web Services Description Language) и SOAP (Simple Object Access Protocol). Стандартом на структуру предоставляемых данных и документы выступает XML (eXtended Markup Language), широко применяемый для создания информационных ресурсов в последнее время благодаря его универсальности и независимости от используемой платформы.

Так, например, в Великобритании для работы «электронного правительства» организован Шлюз государственных служб (Government Gateway), предоставляющий гражданам и частным компаниям доступ ко всем органам власти по сети интернет. Каждое из ведомств может создавать и использовать свою собственную независимую компьютерную систему и задавать свои бизнес-процессы, однако на уровне единой среды взаимодействия используется общий формат. Таким образом, в качестве единой информационной среды использована уже существующая коммуникационная сеть, а вся информация предоставляется в стандарте XML. Это позволяет людям и организациям просто и согласованно получать доступ к любому государственному учреждению, ведомству или органу местной власти и обмениваться с ним информацией. Любые устройства и информационные системы (персональные компьютеры, веб-серверы, порталы, цифровые телевизоры, интернет-киоски) способны отправлять информацию на языке XML в Government Gateway, где с помощью реализованных там правил будет определяться организация, для которой эта информация предназначена. Кроме того, правила обработки определяют способ дальнейшей передачи данных. После этого информация поступает в соответствующее ведомство, а в случае необходимости Шлюз государственных служб может преобразовать ее в понятный для конечной системы формат.

Аналогично подошли к выбору стандартов и в некоторых других европейских странах – Германии, Дании, а также в США.

В России также принят курс на использование общемировых стандартов. Принято решение о том, что создаваемые информационные системы будут базироваться на принципах построения международного регистра, универсального описания поиска и интеграции данных. Это так называемый регистр UDDI, позволяющий не только регистрировать и находить информацию, но и организовывать взаимодействие между базами данных. При формировании каталогов, целесообразно использовать стандарт XML. Он позволяет всем информационным системам экспортировать уже хранящуюся в их справочниках информацию в регистр без проведения дополнительных операций, при этом постоянно совершенствуется и развивается.

Кроме того, на федеральном уровне ведется работа по подготовке единых стандартов на данные и метаданные (то есть правила описания данных, их структуры и содержимого):

  • создается каталог стандартных государственных данных. Этот каталог должен описывать элементы и типы данных, используемых при разработке согласованных XML-схем официальных государственных документов и сообщений, а также в соответствующих стандартах административных регламентов и услуг;
  • каталог стандартных XML-схем документов и сообщений, содержащий их все согласованные и утвержденные схемы, используемый ведомствами при создании ЭАР и в процессе обмена информацией между собой;
  • стандарт на метаданные также играет весьма большое значение, поскольку именно метаданные позволяют эффективно искать информацию и создавать архивы с записями электронных документов.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.