/>СОДЕРЖАНИЕ 1 Введение 3 2 Законодательные и административные меры для регулирования вопросов защиты информации 5 3 Технические и программно-математические методы защиты информации 8 4 Методы защиты информации и их главные недостатки: 10 5 Заключение 13 6 Список литературы 14
Введение
Данная работа представляет собойсокращенный, актуализированный с учетом ряда происшедших за последний периодизменений, вариант учебного пособия книги «Организация безопасности вобласти защиты информации», опубликованной в 1998 г. в МИФИ. Не проходящийи не снижающийся интерес к этой проблематике, объясняется тем, что происходящиев стране процессы существенно затронули проблему организации системы защитыинформации во всех ее сферах — разработки, производства, реализации,эксплуатации средств защиты, подготовки соответствующих кадров. Прежниетрадиционные подходы в современных условиях уже не в состоянии обеспечитьтребуемый уровень безопасности государственно значимой и частнойконфиденциальной информации, циркулирующей в информационно-телекоммуникационныхсистемах страны.
Существенным фактором, до настоящеговремени оказывающим значительное влияние на положение дел в области защитыинформации, является то, что до начала 90-х годов нормативное регулирование в даннойобласти оставляло желать лучшего. Система защиты информации в нашей стране в товремя определялась существовавшей политической обстановкой и действовала восновном в интересах Специальных служб государства, Министерства обороны иВоенно-промышленного комплекса. Цели защиты информации достигались главнымобразом за счет реализации принципа «максимальной секретности», всоответствии с которым доступ ко многим видам информации был просто ограничен.Никаких законодательных и иных государственных нормативных актов, определяющихзащиту информационных прав негосударственных организаций и отдельных граждан,не существовало. Средства криптографической защиты информации использовалисьтолько в интересах государственных органов, а их разработка была прерогативойисключительно специальных служб и немногих специализированных государственныхпредприятий. Указанные предприятия строго отбирались и категорировались поуровню допуска к разработке и производству этих средств. Сами изделия тщательнопроверялись компетентными государственными органами и допускались кэксплуатации исключительно на основании специальных заключений этих органов.Любые работы в области криптографической защиты информации проводилась наосновании утвержденных Правительством страны специальных секретных нормативныхактов, полностью регламентировавших порядок заказа, разработки, производства иэксплуатации шифровальных средств. Сведения о этих средствах, их разработке,производстве, и использовании как в стране, так и за рубежом были строго засекречены,а их распространение предельно ограничено. Даже простое упоминание окриптографических средствах в открытых публикациях было запрещено.
В настоящее время можно отметить, чтоправовое поле в области защиты информации получило весомое заполнение. Конечнонельзя сказать, что процесс построения цивилизованных правовых отношенийуспешно завершен и задача правового обеспечения деятельности в этой области ужерешена. Важно другое — на мой взгляд, можно констатировать, что уже имеетсянеплохая законодательная база, вполне позволяющая, с одной стороны,предприятиям осуществлять свою деятельность по защите информации в соответствиитребованиями действующих нормативных актов, а с другой — уполномоченнымгосударственным органам на законной основе регулировать рынок соответствующихтоваров и услуг, обеспечивая необходимый баланс интересов отдельных граждан,общества в целом и государства.
В последнее время в различныхпубликациях муссируется вопрос о том, что созданный механизм государственногорегулирования в области защиты информации используется государственнымиорганами, уполномоченными на ведение лицензионной деятельности, для зажимаконкуренции и не соответствует ни мировому опыту, ни законодательству страны. Вэтой связи, во-первых, хотели бы отметить, что по состоянию на декабрь месяц1996 года Федеральным агентством правительственной связи и информации приПрезиденте Российской Федерации оформлена 71 лицензия на деятельность в областизащиты информации. Официально в выдаче лицензии отказано только одной фирме.Еще одному предприятию, кстати, государственному отказано в продлении лицензииза нарушения условий ее действия. Среди лицензиатов — предприятия различныхформ собственности и ведомственной принадлежности, включая такие частные фирмы,как: «Авиателеком», «Аргонавт», «Анкей»,«КомФАКС», «Инфотекс» и другие. Полный список лицензий,выданных ФАПСИ публикуется в печати, в том числе и в изданиях фирмы«Гротек».
Кроме того, чтобы остудить бушующиевокруг данной проблемы страсти, считаю полезным подробнее ознакомиться симеющимся опытом зарубежного законодательства и требованиями российскихнормативных актов в области защиты информации.
Законодательные и административныемеры для регулирования вопросов защиты информации
Законодательные и административныемеры для регулирования вопросов защиты информации на государственном уровнеприменяются в большинстве научно-технически развитых стран мира. Компьютерныепреступления приобрели в странах с развитой информационно-телекоммуникационнойинфраструктурой такое широкое распространение, что для борьбы с ними вуголовное законодательство введены специальные статьи.
Первый закон о защите информации былпринят в Соединенных Штатах Америки в 1906 году. В настоящее время в СШАимеется около 500 законодательных актов по защите информации, ответственностиза ее разглашение и компьютерные преступления. Проблемы информационнойбезопасности рассматриваются американской администрацией как один из ключевыхэлементов национальной безопасности. Национальная политика США в области защитыинформации формируется Агентством национальной безопасности (АНБ). При этомнаиболее важные стратегические вопросы, определяющие национальную политику вданной сфере, как правило, решаются на уровне Совета национальной безопасности,а решения оформляются в виде директив Президента США. Среди таких директивследует отметить следующие:
директива PD/NSC-24 «Политика вобласти защиты систем связи» (1977 год, Д. Картер), в которой впервыеподчеркивается необходимость защиты важной несекретной информации в обеспечениинациональной безопасности;
директива SDD-145 «Национальнаяполитика США в области безопасности систем связи автоматизированныхинформационных систем» (1984 год, Р. Рейган), которая стала юридическойосновой для возложения на АНБ функции по защите информации и контролю забезопасностью не только в каналах связи, но и в вычислительных и сложныхинформационно-телекоммуникацион-ных системах.
В период с 1967 года по настоящеевремя в США принят целый ряд федеральных законов, создавших правовую основу дляформирования и проведения единой государственной политики в областиинформатизации и защиты информации с учетом интересов национальной безопасностистраны. Это законы «О свободе информации» (1967 год), «Осекретности» (1974 год), «О праве на финансовую секретность»(1978 год), «О доступе к информации о деятельности ЦРУ» (1984 год),«О компьютерных злоупотреблениях и мошенничестве» (1986 год), «Обезопасности компьютерных систем» (1987 год) и некоторые другие.
Во Франции государственному контролюподлежат изготовление, экспорт и использование шифровального оборудования.Экспорт возможен только с разрешения Премьер-министра страны, выдаваемого послеконсультаций со специальным комитетом по военному оборудованию. Импортшифровальных средств на территорию Французской республики вообще запрещен.Закон объявляет экспорт и снабжение криптографическими средствами безспециального разрешения преступлением, которое наказывается штрафом в размередо 500 000 франков или тюремным заключением на срок от 1 до 3 месяцев.
Нормы и требования российскогозаконодательства включают в себя положения ряда нормативных актов РоссийскойФедерации различного уровня.
19 февраля 1993 года Верховным СоветомРоссийской Федерации был принят закон «О федеральных органахправительственной связи и информации» N 4524-1. Статья 11 данного законапредоставила Федеральному агентству права по определению порядка разработки,производства, реализации, эксплуатации шифровальных средств, предоставленияуслуг в области шифрования информации, а также порядка проведения работ повыявлению электронных устройств перехвата информации в технических средствах ипомещениях государственных структур. Таким образом, закон Российской Федерации«О федеральных органах правительственной связи и информации» являетсяпервым собственно российским правовым нормативным актом, который вводитсертификацию в области защиты информации и дата его принятия — 19 февраля1996г. — является исходной точкой от которой необходимо вести отсчетограничения прав на занятие предпринимательской деятельностью.
Новым шагом в деле правовогообеспечения деятельности в области защиты информации явилось принятиеФедеральным собранием России Федерального закона «Об информации,информатизации и защите информации» от 20.02.95 N 24-ФЗ. Данный законвпервые официально вводит понятие «конфиденциальной информации»,которая рассматривается как документированная информация, доступ к которойограничивается в соответствии с законодательством Российской Федерации, иустанавливает общие правовые требования к организации защиты такой информации впроцессе ее обработки, хранения и циркуляции в технических устройствах иинформационных и телекоммуникационных системах и комплексах и организацииконтроля за осуществлением мероприятий по защите конфиденциальной информации.При этом следует подчеркнуть, что Закон не разделяет государственную и частнуюинформацию как объект защиты в том случае, если доступ к ней ограничивается.
Кроме того, закон определяет нагосударственно-правовом уровне электронную цифровую подпись как средство защитыинформации от несанкционированного искажения, подмены (имитозащиты) иподтверждения подлинности отправителя и получателя информации (аутентификациисторон). В соответствии со статьей 5 «юридическая сила документа,хранимого, обрабатываемого и передаваемого с помощью автоматизированныхинформационных и телекоммуникационных систем, может подтверждаться электроннойцифровой подписью». При этом «юридическая сила электронной цифровойподписи признается при наличии в автоматизированной системепрограммно-технических средств, обеспечивающих идентификацию подписи, исоблюдении установленного режима их использования». Далее закон раскрываеттребования, предъявляемые к специализированным программно-техническимсредствам, реализующим электронную цифровую подпись, и порядку их использованияв информационно-телекомму-никационных системах.
Так Статья 20 определяет основные целизащиты информации. В соответствии с этой статьей таковыми, в частности,являются: предотвращение утечки, хищения, утраты, искажения и подделкиинформации; предотвращение угроз безопасности личности, общества и государства;предотвращение несанкционированных действий по уничтожению, модификации,искажению, копированию, блокированию информации; защита конституционных правграждан на сохранение личной тайны и конфиденциальности персональных сведений;сохранение государственной тайны и конфиденциальности информации.
Пункт 3 статьи 21 возлагает контрольза соблюдением требований к защите информации, за эксплуатацией специальныхсредств защиты информации, а также обеспечение организационных мер защитыинформационных систем, обрабатывающих информацию с ограниченным доступом, внегосударственных структурах на органы государственной власти.
Статья 23 Закона «Об информации,информатизации и защите информации» посвящена защите прав субъектов всфере информационных процессов и информатизации. Статья устанавливает, чтозащита прав субъектов в данной сфере осуществляется судом, арбитражным судом итретейскими судами, которые могут создаваться на постоянной или временнойоснове.
Технические ипрограммно-математические методы защиты информации
Учитывая, что предметом данной работыявляются организация безопасности в области защиты информации прежде необходимодать ряд основных понятий данной сферы деятельности.
Защита информации — комплекс мероприятий, проводимых с целью предотвращенияутечки, хищения, утраты, несанкционированного уничтожения, искажения,модификации (подделки), несанкционированного копирования, блокированияинформации и т.п.
Средства защиты информации — технические, криптографические,программные и другие средства, предназначенные для защиты информации, средства,в которых они реализованы, а также средства контроля эффективности защитыинформации.
Эффективность защиты информации — степень соответствия достигнутыхрезультатов действий по защите информации поставленной цели защиты.
Контроль эффективности защиты информации — проверка соответствия эффективностимероприятий по защите информации установленным требованиям или нормамэффективности защиты.
Безопасность информации (информационная безопасность) — состояние информации,информационных ресурсов и информационных и телекоммуникационных систем, прикотором с требуемой вероятностью обеспечивается защита информации.
Требования по безопасности информации — руководящие документы ФАПСИ,регламентирующие качественные и количественные критерии безопасности информациии нормы эффективности ее защиты.
Криптографическая защита — защита данных при помощикриптографического преобразования преобразования данных.
Криптографическое преобразование — преобразование данных при помощишифрования и (или) выработки имитовставки.
Итак Информациюдостаточно условно можно разделить на сведения, отнесенные кгосударственной тайне, конфиденциальную информацию, персональную информацию и остальную информацию. Рассматриватьпервый тип мы не будем. Согласно списку терминов и определений ГостехкомиссииРоссии конфиденциальная информация — это информация, требующая защиты (любая, ее назначение и содержание неоговариваются). Персональные данные — это сведения о гражданах илипредприятиях. В соответствии с Федеральным законом № 24 «Об информации, информатизации и защите информации» «защите подлежит любая документированнаяинформация, неправомерное обращение с которой может нанести ущербсобственнику, владельцу или иному лицу». Из описанного следует, что ВЫобязаны заботиться о сохранности своей информации. Например, никтокроме меня не вправе разглашать мою дату рождения, а ведь она хранится на всехпредприятиях, где я работал и работаю.
В данной работе небудут затронуты информация, распространяемая по каналам связи (телефония, WEB, E-mail,локальные сети и т.д.), а также проблемы, связанные с ее перехватом,блокировкой и защитой. Это связано с широтой проблемы и другими методами защиты. Основное вниманиемы сосредоточим на информации, хранимой и используемой на предприятии или у граждан. Отчего же необходимо защищать информацию? Ответ — в Положении «О государственномлицензировании деятельности в области защиты информации» №60, гдеговорится, что «защита информации — комплекс мероприятий, проводимых с целью предотвращенияутечки, хищения, утраты, несанкционированного уничтожения, искажения,модификации (подделки), несанкционированного копирования, блокирования информации и т.п.». Пример- в одном из РЭУ подмосковного города были похищены компьютеры, и в результатебыла обнародована информация о прописке граждан. Также в современных российских условияхне следует сбрасывать со счета и попытки предприятий скрыть данные от силовыхведомств. Правомочность этих действий мы не оспариваем, но каждое предприятиесамо решает, какие данные оно хочет обнародовать, какие — нет (по определениюконфиденциальной информации). Кстати, информация, хранимая на компьютерах, не можетиспользоваться как улики в уголовно-гражданских делах, но вполне возможно ееприменение для выполнения следственных действий.
Защитуинформации следуетрассматривать как неотъемлемую часть хранения. Невозможно обеспечить серьезную защиту, не выполняярезервное копирование информации. К счастью, обеспечить сохранность копий гораздо проще, дляэтого достаточно административных мер (хранение в несгораемых сейфах). Емкостьстриммеров, CD-R, CD-RW, DVD достаточна для составления резервных копий ивосстановления из них в кратчайшие сроки. Пренебрежение данными мерами чреватодаже по техническим соображениям — надежность технических средств хранения далека от 1(а вероятность сбоя Windows 95/98 в течение рабочего дня равна 1), и потерять информацию по причинепрограммного сбоя или поломки накопителя очень обидно и дорого. Известны случаипотери бухгалтерской отчетности за три месяца, восстановление заняло двамесяца, штрафы за несвоевременное представление отчетности превысили стоимостьсломавшегося накопителя более чем в 100 раз, не считая приостановки лицензии икосвенных потерь.
Методы защитыинформациии их главныенедостатки: Административные меры
Если территория(помещение) предприятия имеет охрану, персоналу можно доверять, локальная сетьне имеет выходов в глобальные сети, то такую защищенность надо признать оченьвысокой. Однако это идеальный случай, и в практике такое не всегда выполнимо(пример — персональная база жителей Санкт-Петербурга из ГУВД, обнародованная наCD). Пренебрегать этим методом нельзя, и он, как правило, дополняет иликонтролирует другие методы.
Защитасредствамиоперационной системы
MS-DOS, как наиболеераспространенная операционная система, не представляет каких-либо методов защиты. Это наиболееоткрытая операционная система, и на ее базе разработано много различныхаппаратных и программных средств, в частности — виртуальные кодируемые или шифруемые диски,блокираторы загрузки и тд. Однако имеющиеся средства дисассемблирования,отладчики, а также большое количество квалифицированных программистов сводят нанет все программные методы. DR-DOS, как одна из разновидностей MS-DOS, хоть иподдерживает блокировку файлов, но загрузка с дискеты или с другого накопителяделает бесполезной использование встроенных систем защиты. Windows 95/98основаны на базе MS-DOS, и им присущи все ее недостатки. Парольная системаWindows 95/98 не выдерживает никакой критики, и даже установка дополнительныхмодулей системной политики не решает данную задачу. Windows NT и Novell, хотя ирешают задачу защиты, но… вот простейший пример — у Вас похитили, или изъяли вустановленном порядке, компьютер. Диск установили вторым — и все вашеадминистрирование, на которое потрачены тысячи (если не миллионы) человеко-часов,-уже никому не помеха.
Я не хотел упоминатьв данной работе защиту информации установкой пароля BIOS, но большое количествонаблюдаемых установок данного пароля вынудило затронуть и данный метод.Максимум что надо для блокировки, это — открыть компьютер, установить перемычкуи снять ее (самое большее — две минуты). Есть два (известных мне) исключения — системы с часами на базе микросхем DALLAS и переносные компьютеры. Здесьзадачка не так просто решается. Помогает снятие накопителя и установка его вдругой компьютер (опять же две минуты). Блокировка загрузки операционной системы
По этому пути идутмногие фирмы. У данного метода опять-таки недостатки всплывают, если ккомпьютеру или накопителю можно получить доступ. Известные платы перехватываютпрерывание по загрузке, однако Setup современных компьютеров позволяетблокировать эту возможность, изъятие этой платы или накопителя сводит на неткажущуюся мощь данного средства. Физическое уничтожение накопителя
Это наиболее древнийи действенный метод, вспомните сжигание, съедание бумаг. Конечно, в наше времяон становится более изощренным, в частности, к компьютерной безопасности можноприобщить следующие методы: выкинуть из окна винчестер или целиком компьютер, сломать дискету; электромагнит, пробивающий насквозь накопитель или дискету (московская разработка, последствия очень впечатляющие); пиропатрон, установленный под накопителем (за хранение и применение взрывчатых веществ предусмотрена уголовная ответственность).
Данным методам оченьтяжело что-то противопоставить, но при ложном срабатывании слишком великастоимость потерь. Имеются в виду только материальные потери, так как грамотноеведение резервного копирования решает задачу восстановления в кратчайшие сроки.Очень интересно, конечно, кроме последнего пункта, что эти меры не требуютникакого согласования, лицензирования и сертификации, если они выполнены силамисамого предприятия. Например, нельзя обвинить изготовителя окна, что он сталвиновником уничтожения информации, если компьютер был с него скинут. Очень распространеноиспользование сменных HDD или магнитооптических дисков. Однако опыт ихиспользования, особенно при постоянном изъятии, говорит о значительномсокращении срока их службы (удары по винчестеру) и частых сбоях (характерныхдля магнитооптики).
Стирание информации
Метод имеет многообщего с предыдущим и в тоже время лишен ряда его недостатков, так как теряетсятолько информация, а не накопитель (яркий пример — стирание пленки в фильме«Гений»). Информацию восстанавливаем с резервной копии — и нет проблем.Программное стирание и комплексы, использующие данную функцию, требуютнахождения компьютера исключительно под напряжением. Это трудно выполнимо, дажемощные UPS не могут обеспечить работу компьютеров более часа. Пример: одинкомплекс дал сбой, так как удаляемый файл был открыт программой и блокировкаоперационной системы остановила дальнейшее удаление. Аппаратное стирание,выполняющее свои функции без участия компьютера, особенно при наличиирезервного источника питания, устраняет эти проблемы. Скорость уничтожения, какправило, соизмерима со скоростью работы самого накопителя. Хотя для магнитнойленты возможно и мгновенное стирание. Данные устройства могут применятся нетолько в помещении офиса, но, например, и в кейсе, при перевозке информации.
Шифрование данных
Это одно из мощнейшихметодов. Начнем его рассмотрение с определения по ГОСТ 19781: Шифрование — этопроцесс преобразования открытых данных в зашифрованные при помощи шифра илизашифрованных данных в открытые при помощи шифра — совокупность обратимыхпреобразований множества возможных открытых данных на множество возможныхзашифрованных данных, осуществляемых по определенным правилам с применениемключей (конкретное секретное состояние некоторых параметров алгоритмакриптографического преобразования данных, обеспечивающее выбор одногопреобразования). Стойкость современных шифровальных систем достаточно высока, ибудем считать ее достаточной. Но —!!! Вот тут-то мы и получаем мощноесопротивление со стороны законодательства. Во-первых, разработчик, продавец иустановщик должны иметь лицензию. Но и этого мало! ДАЖЕ ПОЛЬЗОВАТЕЛЬ обязаниметь лицензию ФАПСИ. В России разрешено использование только одного алгоритмаи принципиально невозможно получить, а значит и использовать, импортныеразработки! Например, появившаяся в печати реклама комплекса «SecretDisk» о продаже его в магазинах просто непонятна (одно из двух — или этоне шифрование или это уголовно наказуемо). Статья 4 Указа № 334 прямо гласит:«В интересах информационной безопасности РФ и усиления борьбы сорганизованной преступностью запретить деятельность юридических и физическихлиц, связанную с разработкой, производством, реализацией и эксплуатациейшифровальных средств, а также защищенных технических средств хранения, обработкии передачи информации, предоставлением услуг в области шифрования информации, без лицензий,выданных ФАПСИ». Сможете ли вы применить данный метод после этихразъяснений?
Приобретаемыетехнические устройства защиты информации могут не иметь сертификации, при условии, что они не будутиспользованы в государственных и банковских учреждениях. Однакопредприятие-продавец должно иметь лицензию на право занятия даннойдеятельностью. Ответственность за использование несертифицированных средств, как ни странно,лежит на самом потребителе, хотя он может (или должен? и куда?) обратиться дляпроверки на соответствие данной системы.
Заключение
Итак, подведем итоги. Эту работу ни в коемслучае не следует рассматривать как полную (есть о чем поговорить !?) и, несодержащий ошибок или противоречий. Но однако известно множество случаев, когда фирмы (не толькозарубежные !!!) ведут между собой настоящие «шпионские войны», вербуясотрудников конкурента с целью получения через них доступа к информации, составляющую коммерческую тайну.Регулирование вопросов, связанных с коммерческой тайной, еще не получило вРоссии достаточного развития. Принятый еще в 1971 году КЗоТ несмотря намногочисленные изменения безнадежно устарел и не обеспечивает соответствующегосовременным реалиям регулирования многих вопросов, в том числе и о коммерческойтайне. Наличие норм об ответственности, в том числе уголовной, может послужитьработникам предостережением от нарушений в данной области, поэтомуцелесообразно подробно проинформировать всех сотрудников о последствияхнарушений. В то же время надо отдавать себе отчет, что ущерб, причиненныйразглашением коммерческой тайны, зачастую имеет весьма значительные размеры(если их вообще можно оценить). Компенсировать убытки, потребовав их возмещенияс виновного работника, скорее всего не удастся, отчасти из-за несовершенногопорядка обращения имущественных взысканий на физических лиц, отчасти — простоиз-за отсутствия у физического лица соответствующих средств. Хотелось бы надеяться чтосоздающееся в стране система защиты информации и формирование комплекса мер поее реализации не приведет к необратимым последствиям на пути зарождающегося вРоссии информационно — интеллектуального объединения со всем миром.
Список литературы
1. Статья«Правовые средства защиты конфиденциальной информации» журнал «Банковское дело в Москве» № 15 1998г
2. по материалам “Компьютер Price”, №312000г
3. «Организация безопасности вобласти защиты информации», 1998 г. МИФИ.
4. Законы инормативные акты правительства РФ