|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
У |
||||||||||
должно подтвердить отсутствие очевидных недостатков в механиз- |
|
|
|
|
|
Т |
||||||||||||||||||||||
|
|
|
стихийные бедствия), последствиями техногенных катастроф (по- |
|||||||||||||||||||||||||
мах изоляции ресурсов и защиты регистрационной информации. |
|
|
|
|
жары, взрывы и др.). Чаще всего ИС страдают от искусственных |
|||||||||||||||||||||||
Класс В1 (в дополнение к требованиям класса С2): каждый храни- |
|
|
|
угроз (преднамеренных). Знание возможных угроз и уязвимых мест |
||||||||||||||||||||||||
мый объект ИС должен иметь отдельную идентификационную метку; |
|
|
|
|
А |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
информационной системы необходимо для того, чтобы выбрать |
|||||||||||||||||||||||||
ИС должна обеспечить реализацию принудительного управления дос- |
|
|
|
наиболее эффективные средства обеспечения безопасности. |
||||||||||||||||||||||||
тупом к хранимым объектам, взаимную изоляцию процессов путем |
|
|
|
|
Г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
Угроза характеризуется следующими параметрами: источник |
||||||||||||||||||||||||
разделения их адресных пространств; должна существовать нефор- |
|
|
|
угрозы, метод воздействия, уязвимые места, которые могут быть |
||||||||||||||||||||||||
мальная или формальная модель политики безопасности. |
|
|
|
|
|
использованы, ресурсы (активы), которые могут пострадать. |
||||||||||||||||||||||
Класс В2 (в дополнение к требованиям класса В1): должна быть |
|
|
|
|
Источники угроз безопасности могут находиться как внутри ин- |
|||||||||||||||||||||||
предусмотрена возможность регистрации событий, связанных с ор- |
|
|
|
формационной системы (внутренние), так и вне ее (внешние). Для |
||||||||||||||||||||||||
ганизацией тайных каналов обмена информацией; ИС должна быть |
|
|
|
одной и той же угрозы (например, кражи) методы противодействия |
||||||||||||||||||||||||
внутренне структурирована и демонстрировать устойчивость к по- |
|
|
|
для внешних и внутренних источников будут разными. |
||||||||||||||||||||||||
пыткам проникновения; тесты должны подтверждать действен- |
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
Самыми частыми и опасными (с точки зрения размера ущерба) |
||||||||||||||||||||||||
ность мер по уменьшению пропускной способности тайных кана- |
|
|
|
являются непреднамеренные ошибки пользователей, операторов, |
||||||||||||||||||||||||
лов передачи информации. |
|
|
|
|
|
|
|
|
|
и |
системныхБадминистраторов и других лиц, обслуживающих ИС. |
|||||||||||||||||
Класс ВЗ (в дополнение к требованиям класса В2): для управле- |
|
Иногда такие ошибки приводят к прямому ущербу (неправильно |
||||||||||||||||||||||||||
|
|
|
||||||||||||||||||||||||||
ния доступом должны использоваться списки управления доступом |
р |
|
введенные данные, ошибка в программе, вызвавшая остановку или |
|||||||||||||||||||||||||
с указанием разрешенных режимов; должна быть предусмотрена |
|
разрушение системы) и/или созданию «слабых» мест, которыми |
||||||||||||||||||||||||||
|
|
|
||||||||||||||||||||||||||
возможность регистрации появления или накопления событий, не- |
|
|
|
могут воспользоваться злоумышленники. Согласно данным Нацио- |
||||||||||||||||||||||||
сущих угрозу политике информационной безопасности; админист- |
|
|
|
нального института стандартов и технологий США 55 % случаев |
||||||||||||||||||||||||
ратор безопасности должен извещаться о попытках нарушения |
по |
|
|
нарушения безопасности информационной системы являются след- |
||||||||||||||||||||||||
|
- |
|
|
|
||||||||||||||||||||||||
литики безопасности, а система в случае продолжения п пыт к |
|
|
|
ствием непреднамеренных ошибок (рис. 5.1). Работа в сети Интер- |
||||||||||||||||||||||||
должна пресекать их наименее болезненным способом; д лжны |
|
|
|
нет делает этот фактор достаточно актуальным, причем источником |
||||||||||||||||||||||||
существовать процедуры и/или механизмы, позволяющие пр изве- |
|
|
|
ущерба могут быть действия как отдельных пользователей и орга- |
||||||||||||||||||||||||
сти восстановление после |
сбоя или |
|
иного |
нарушения раб |
ы |
|
|
|
низаций, так и технологии сети Интернет, что особенно опасно. |
|||||||||||||||||||
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
без ослабления защиты; должна быть продемонстрирована ус ой- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
чивость ИС к попыткам проникновения. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Класс А1 (в дополнение к требованиям класса ВЗ): тесттрован е |
|
|
|
|
Ошибки персонала |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
должно продемонстрировать, чтореализацияИС соответствует формаль- |
|
|
|
|
Проблемы физической защиты |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
Угрозы информационной б зо асностиинформацделятся на два типа – ес- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
ным спецификациям; механизм управления |
|
|
онной безопасно- |
|
|
|
|
Умышленное нарушение |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
стью должен распространяться на весь жизненный цикл все компонен- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
Вирусы |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
тысистемы, имеющиеотношениекобеспечениюбе |
пасности. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
п |
з |
|
|
|
|
|
|
Внешние нападения |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
5.4. Угрозы информационной без |
асн сти |
|
|
|
|
|
|
|
|
0 10 20 30 40 50 60 |
|
|||||||||||||||||
тественные и искусств |
нные |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
. Ест ственные угрозы обусловлива- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
Р |
|
|
|
|
|
|
|
|
|
|
|
Рис. 5.1. Источники угроз информационной безопасности |
||||||||||||||||
ются природными факторами (наводн ния, землетрясения и другие |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
221 |
|
|
|
|
|
|
|
|
|
|
|
|
222 |
|
|
|
|
|
|
|
|
|
|||
Большой ущерб наносят кражи и подлоги, где в большинстве |
|
|
|
|
|
|
|
|
|
Таблица 5.1 |
|||||||
расследованных случаев виновниками оказывались штатные со- |
|
|
|
Классификация угроз информационной безопасности |
|
||||||||||||
трудники организаций, отлично знакомые с режимом работы и за- |
|
|
|
|
|
|
|
У |
|
|
|||||||
щитными мерами. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Признак классификации угроз |
|
|
|
Угроза |
|
|||
Преднамеренные попытки |
получения |
несанкционированного |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
||||||||
доступа через внешние коммуникации занимают в настоящее время |
|
|
|
Доступность |
|
|
С использованием доступа, |
|
|||||||||
около 10 % всех возможных нарушений. В сети Интернет почти |
|
|
|
|
|
|
Т |
|
|
||||||||
|
|
|
|
|
|
скрытых каналов |
|
||||||||||
каждый интернет-сервер по нескольку раз в день подвергается по- |
|
|
|
|
|
|
|
|
|
|
|||||||
пыткам проникновения. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Способ воздействия |
|
Непосредственное воздействие |
||||||
Угрозы информационной безопасности можно разделить: |
|
|
|
|
|
А |
на объект атаки; |
|
|||||||||
|
|
|
|
Г |
|
|
|||||||||||
− на конструктивные (основной целью несанкционированного |
|
|
|
|
воздействие на систему разрешений; |
||||||||||||
доступа является получение копии конфиденциальной инфор- |
|
|
|
|
|||||||||||||
|
|
|
|
опосредованное воздействие |
|||||||||||||
|
|
|
|
|
|
||||||||||||
мации); |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
− деструктивные (несанкционированный доступ приводит к по- |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
Использование средств |
|
Использование штатного |
|
|||||||||||
тере или изменению данных или прекращению сервиса). |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
Б |
|
|
программного обеспечения (ПО), |
|||||||||
В общем случае источники угроз определить нелегко. Они могут |
|
|
|
атаки |
|
|
|||||||||||
|
|
|
|
|
|
разработанного ПО |
|
||||||||||
варьироваться от неавторизованных вторжений злоумышленников |
|
|
|
|
|
|
|
||||||||||
до компьютерных вирусов. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
Глобальные, региональные, |
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Классификация угроз информационной безопасности приведена |
|
и |
Территориальный |
|
|
|
|||||||||||
|
|
|
|
локальные |
|
|
|||||||||||
в табл. 5.1. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Утечка конфиденциальной информации – |
это бескон- |
|
|
|
|
|
|
|
|
||||||||
трольный выход конфиденциальной информации за пределы |
р |
|
Объект, на который |
|
Данные, программы, аппаратура, |
||||||||||||
ИС или круга лиц, которым она была доверена по службе. |
|
нацелена угроза |
|
|
поддерживающая инфраструктура |
||||||||||||
Пути утечки конфиденциальной информации: разглашение, |
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
||||||||
уход информации по различным техническим каналам, не- |
|
|
|
Способ осуществления |
|
Случайные либо преднамеренные |
|||||||||||
санкционированный доступ. |
|
|
|
|
|
о |
|
|
|
|
|
действия природного |
|
||||
Появляется множество вредоносных программ, что не позволя- |
|
|
|
|
|
|
или техногенного характера |
|
|||||||||
ет разработать постоянные и надежные средства |
ты |
н х. |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
от |
|
|
|
|
|
|
|
|
|
|
|
Разновидности вредоносных программ (компьютерных в русов): |
|
|
|
|
|
|
|
||||||||||
|
|
|
Расположение источника |
|
Внутри или вне ИС |
|
|||||||||||
− по виду среды обитания: файловые вирусы, |
агру очные ви- |
|
|
|
угроз |
|
|
|
|
|
|
||||||
русы, файлово-загрузочные вирусы; |
|
|
и |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
− по способу запуска на выполнении: нере идентные вирусы, |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
||||||||
резидентные вирусы; |
|
|
защ |
|
|
|
|
|
Источниками угроз могут выступать: |
|
|
||||||
− |
по способу маскировки: |
немаскирующиеся вирусы, маски- |
|
|
|
|
|
||||||||||
|
|
|
– сама ИС (нарушение информационного обслуживания, т. е. |
||||||||||||||
рующиеся вирусы (самошифрующиеся, невидимые и мутирующие); |
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
||||||||
− |
|
|
о |
|
|
|
|
|
|
задержка предоставления информационных ресурсов абоненту, вы- |
|||||||
по способу распростран ния: троянские программы, |
про- |
|
|
|
|||||||||||||
|
|
|
зывающая нерациональные действия пользователя); |
|
|||||||||||||
граммы-репликаторы («ч рви») и захватчик |
аролей. |
|
|
|
|
|
|
||||||||||
|
|
|
|
|
– пользователи при незаконном захвате привилегий. |
|
|||||||||||
|
|
п |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
224 |
|
|
||
|
|
223 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
У |
На угрозы информационной безобасности влияют различные |
|
|
|
|
|
|
|
Т |
|||||||||||
|
|
|
дательства в области борьбы с преступлениями в сфере компью- |
||||||||||||||||
факторы: |
|
|
|
|
|
|
|
|
|
|
|
|
терной информации. Преступление в сфере компьютерной инфор- |
||||||
− |
политические: изменение геополитической обстановки, ин- |
|
|
|
мации – уголовно |
наказуемое деяние, предметом посягательства |
|||||||||||||
формационная экспансия, изменение политической системы, сис- |
|
|
|
|
|
|
А |
|
|||||||||||
|
|
|
которого является компьютерная информация. |
||||||||||||||||
темы управления, нарушение информационных связей в результате |
|
|
|
По соглашению стран СНГ |
в качестве уголовно наказуемых |
||||||||||||||
образования новых государств, стремление стран к более тесному |
|
|
|
|
|
Г |
|
|
|||||||||||
|
|
|
признаются совершаемые умышленно действия: |
||||||||||||||||
сотрудничеству, низкая общая правовая и информационная культу- |
|
|
|
− неправомерный доступ к охраняемой законом компьютерной |
|||||||||||||||
ра в обществе; |
|
|
|
|
|
|
|
|
|
|
|
|
информации, если это повлекло уничтожение, блокирование, мо- |
||||||
− экономические: переход к рыночной экономике, критическое |
|
|
|
дификацию, копирование информации, нарушение работы компью- |
|||||||||||||||
состояние отраслей промышленности, расширяющаяся кооперация |
|
|
|
тера или сети; |
|
|
|
||||||||||||
с зарубежными странами; |
|
|
|
|
|
|
|
|
|
|
|
− |
создание, использование или распространение вредоносных |
||||||
− |
организационно-технические: |
недостаточная |
нормативно- |
|
|
|
программ; |
|
|
|
|
||||||||
правовая база в сфере информационных отношений, рост объемов |
|
|
й |
|
|
|
|
||||||||||||
|
|
|
− |
нарушение правил эксплуатации компьютера или сети |
|||||||||||||||
информации, передаваемой по каналам связи, обострение кримино- |
|
|
|
имеющим доступ лицом, повлекшее уничтожение, блокирование |
|||||||||||||||
генной обстановки и др. |
|
|
|
|
|
|
|
|
|
|
|
или модификациюБ |
охраняемой законом информации и причинение |
||||||
В последнее время широкое распространение получила компь- |
|
|
|
существенного вреда или тяжкие последствия; |
|||||||||||||||
ютерная преступность – |
любые незаконные, |
|
неправомерные, |
р |
|
− |
незаконное |
использование |
компьютерных программ и баз |
||||||||||
неэтичные действия, связанные с автоматической обработкой и пе- |
|
и |
данных, являющихся объектами авторского права, присвоение ав- |
||||||||||||||||
редачей данных. Существенными причинами активизации компью- |
|
торства, если это причинило существенный ущерб. |
|||||||||||||||||
терных преступлений являются: |
|
|
|
|
|
|
|
Сотрудничество осуществляется в формах обмена информацией; |
|||||||||||
− переход от традиционной «бумажной» технологии хранения |
|
запросов о проведении оперативно-розыскных мероприятий; пла- |
|||||||||||||||||
и передачи сведений на электронную при недостаточном развитии |
|
|
|
нирования и проведения скоординированных мероприятий и опе- |
|||||||||||||||
технологий защиты информации; |
|
|
|
|
|
|
|
|
|
раций по предупреждению, выявлению, пресечению, раскрытия |
|||||||||
− |
объединение вычислительных систем, создание глобальных |
|
|
|
и расследования преступлений в сфере компьютерной информации; |
||||||||||||||
сетей и расширение доступа к информационным ресурсам; |
|
|
|
создания информационных систем, обеспечивающих выполнение |
|||||||||||||||
− |
усложнение программных средств и связанное с э м уменьо- |
|
|
задач по предупреждению, выявлению, пресечению, раскрытию |
|||||||||||||||
шение их надежности и увеличение числа уязвимых мест.т |
|
|
|
и расследованию преступлений в сфере компьютерной информа- |
|||||||||||||||
|
|
|
ции; проведения совместных научных исследований по представ- |
||||||||||||||||
|
|
|
|
|
|
|
з |
|
|
|
|
|
|
|
|
|
|||
Превращение компьютерной преступности в м ровое явлен е |
|
|
|
ляющим взаимный интерес проблемам борьбы с преступлениями |
|||||||||||||||
потребовало международного сотрудничества |
совместного про- |
|
|
|
|||||||||||||||
|
|
|
|
|
о |
|
|
|
|
|
в сфере компьютерной информации; обмена нормативными право- |
||||||||
тиводействия компьютерным преступникам. В этих целях совер- |
|
|
|
выми актами, научно-технической литературой по борьбе с престу- |
|||||||||||||||
шенствуется правовая база, |
в частн сти, |
|
вслед |
|
и |
|
|
|
|||||||||||
|
|
а европейскими |
|
|
|
плениями в сфере компьютерной информации и др. |
|||||||||||||
странами в рамках СНГ заключаются межг сударственные догово- |
|
|
|
|
|
|
|
|
|
||||||||||
ры и соглашения, направленные на б рьбу с к мпьютерной пре- |
|
|
|
|
|
|
|
|
|
||||||||||
ступностью. Страны СНГ обязуются с трудничать в целях обеспе- |
|
|
|
5.5. Методы и средства защиты информации |
|||||||||||||||
чения |
эффективного |
преду |
|
выявления, |
пресечения |
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
реждения, |
|
|
|
Выделяютдваподходакобеспечениюинформационнойбезопасности: |
|||||||||||||
расследования и раскрытия |
|
р сту |
л ний в сфере компьютерной |
|
|
|
|||||||||||||
информации, обеспечивать гармонизацию национального законо- |
|
|
|
− |
фрагментарный, который |
направлен на противодействие |
|||||||||||||
|
Р |
п |
|
|
|
|
|
|
|
четко определенным угрозам в заданных условиях (например, |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
225 |
|
|
|
|
|
|
|
|
|
|
|
|
|
226 |
|
|
|
|
|
|
|
|
|
|
|
|
|
У |
средства управления доступом, автономные средства шифрования, |
|
|
|
|
|
Т |
||||||
|
|
|
(по всему технологическому циклу деятельности) с обязательным |
|||||||||
специализированные антивирусные программы и т. п.). Его досто- |
|
|
|
учетом всех возможных видов угроз. |
||||||||
инством является высокая избирательность к конкретной угрозе. |
|
|
|
По какой бы технологии не строилась комплексная система ин- |
||||||||
Существенным недостатком является отсутствие единой защищен- |
|
|
|
|
А |
|
||||||
|
|
|
формационной безопасности, требуется решение ряда сложных |
|||||||||
ной среды обработки информации, небольшое видоизменение угро- |
|
|
|
разноплановых частных задач в их тесной взаимосвязи (принцип |
||||||||
зы ведет к потере эффективности защиты; |
|
|
|
|
|
|
|
|
Г |
|
|
|
|
|
|
|
|
|
|
системности и комплексности). Наиболее очевидными из них яв- |
|||||
− комплексный, который ориентирован на создание защищен- |
|
|
|
ляются задачи разграничения доступа к информации, ее техниче- |
||||||||
ной среды обработки информации, объединяющей в единый ком- |
|
|
|
ского и криптографического «закрытия», устранение «паразитных» |
||||||||
плекс разнородные меры противодействия угрозам, что позволяет |
|
|
|
излучений технических средств, технической и физической укреп- |
||||||||
гарантировать определенный уровень безопасности и является не- |
|
|
|
ленности объектов, охраны и оснащения их тревожной сигнализа- |
||||||||
сомненным достоинством комплексного подхода. К недостаткам |
|
|
|
цией. Стандартный набор средств защиты информации в составе |
||||||||
этого подхода относят: ограничения на свободу действий пользова- |
|
|
|
современной ИС обычно содержит средства, реализующие методы |
||||||||
телей, чувствительность к ошибкам установки и настройки средств |
|
|
ный |
|
|
|
||||||
|
|
|
программно-технической защиты информации. |
|||||||||
защиты, сложность управления. Данный подход использует боль- |
|
|
|
Современные комплексные системы защиты осуществляют пол- |
||||||||
шинство государственных и крупных коммерческих предприятий |
|
|
|
Бспектр управления всеми процессами, происходящими в ИС. |
||||||||
и учреждений. |
|
|
|
|
|
|
|
|
Они позволяют: |
|
|
|
Защиту информации следует рассматривать как |
регулярный |
р |
|
− |
собирать информацию со всех устройств идентификации |
|||||||
процесс, осуществляемый путем комплексного использования тех- |
|
и |
контроля, обрабатывать ее и управлять исполнительными устрой- |
|||||||||
нических, программных средств и организационных мероприятий |
|
ствами; |
|
|
||||||||
на всех этапах разработки, испытаний и эксплуатации ИС. Требо- |
|
− |
собирать и обрабатывать информацию с оборудования ох- |
|||||||||
вания по защите, предъявляемые к ИС, должны рассматриваться |
|
ранных систем сигнализации, систем видеонаблюдения, пожароту- |
||||||||||
как часть общих функциональных требований к ней. В мир в й |
|
|
|
шения, вентиляции, энергосбережения и др.; |
||||||||
практике используется понятие комплексная система защиты – - |
|
|
|
− создавать журналы учета состояния этих систем и происхож- |
||||||||
вокупность законодательных, организационных и технических мер, |
|
|
|
дения |
изменений, демонстрировать оператору состояние систем |
|||||||
направленных на выявление, отражение и ликвидацию различных |
|
|
|
и аварийные ситуации; |
|
|
||||||
видов угроз безопасности. |
|
|
|
|
со |
|
|
− контролировать состояние всей структуры в режиме реально- |
||||
Комплексная информационная безопасность – такое сос оян е |
|
|
|
го времени при подключении информационных каналов, связы- |
||||||||
условий функционирования человека, объектов, |
техн ческ х |
|
|
|
вающих главный объект с филиалами или другими объектами. |
|||||||
|
|
|
|
т |
|
|
|
|||||
средств и систем, при котором они надежно |
ащ щены от всех воз- |
|
|
|
Для обеспечения информационной безопасности используются |
|||||||
можных видов угроз в ходе непрерывного процесса подготовки, |
|
|
|
следующие методы: законодательные (законы, нормативные акты, |
||||||||
хранения, передачи и обработки инф рмации. |
и |
|
|
|
|
стандарты и т. п.); административно-организационные (действия |
||||||
Корпоративные проекты информаци нн й бе |
пасности разра- |
|
|
|
общего характера, предпринимаемые руководством организации, |
|||||||
батываются при объединении различных ИСзи их к мпонент, под- |
|
|
|
и конкретные меры безопасности, направленные на работу с людь- |
||||||||
систем связи, подсистем обес ечения без |
асн сти в единую ин- |
|
|
|
ми); программно-технические. |
|
||||||
е |
|
|
|
|
|
|
|
|
|
|
|
|
формационную систему с общими техническими средствами, |
|
|
|
К законодательным методам относят комплекс мер, направ- |
||||||||
каналами связи, ПО и базами данныхчто, предполагает обяза- |
|
|
|
ленных на создание и поддержание в обществе негативного (в том |
||||||||
тельную непрерывность проц сса обес ечения безопасности |
|
|
|
числе карательного) отношения к нарушениям и нарушителям ин- |
||||||||
Р |
|
|
|
|
|
|
|
|
|
|
|
|
как во времени (в теч ние вс й жизни ИС), так и в пространстве |
|
|
|
формационной безопасности. |
|
|||||||
|
п |
|
|
|
|
|
|
|
|
|||
|
227 |
|
|
|
|
|
|
|
|
|
|
228 |
Административно-организационные методы. Администрация ор- |
|
|
|
− |
|
У |
|||||||||
|
|
|
доступ контролируется в одной точке, располагающейся |
||||||||||||
ганизации должна осознавать необходимость поддержания режима |
|
|
|
на пути соединения внутренней сети с сетью Интернет или другой |
|||||||||||
безопасности и выделять на эти цели соответствующие ресурсы; осно- |
|
|
|
публичной сетью, являющейся источником потенциальных угроз; |
|||||||||||
вой защиты является политика безопасности и комплекс организаци- |
|
|
|
− |
А |
|
|||||||||
|
|
|
всесубъектыдоступаделятсянагруппыпоIP-адресам(внутренние |
||||||||||||
онных мер (управление персоналом, физическая защита, поддержание |
|
|
|
и внешние пользователи); внешнимпользователям разрешается длядосту- |
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Г |
|
работоспособности, реагирование на нарушения режима безопасно- |
|
|
|
па к внутренним ресурсам сетиТиспользовать один-два сервиса, например |
|||||||||||
сти, планирование восстановительных работ). В любой организации |
|
|
|
электроннуюпочту, атрафикостальныхсервисовотсекается. |
|||||||||||
должен существовать набор регламентов, определяющих действия |
|
|
|
Применение нескольких межсетевых экранов в пределах одной |
|||||||||||
персонала в соответствующих ситуациях. |
|
|
|
|
|
|
|
|
внутренней сети требует организации их скоординированной рабо- |
||||||
Программно-технические методы и средства: |
|
|
|
|
|
|
ты на основе единой политики доступа, что позволяет корректно |
||||||||
− защищенные виртуальные частные сети для защиты инфор- |
|
|
|
обрабатывать пакеты пользователей независимо от того, через ка- |
|||||||||||
мации, передаваемой по открытым каналам связи; |
|
|
|
|
|
|
кую точку доступа проходит их маршрут. |
||||||||
− межсетевые экраны для защиты корпоративной сети от внеш- |
|
|
й |
|
|
||||||||||
|
|
|
При предоставлении информации в сети для гарантированной иден- |
||||||||||||
них угроз при подключении к общедоступным сетям связи; |
|
|
|
|
тификации пользователей необходим специальный механизм, состоящий |
||||||||||
− управление доступом на |
уровне пользователей и защита |
|
|
|
изследующихБпроцедур: |
|
|||||||||
от несанкционированного доступа к информации; |
|
|
|
|
|
|
− |
идентификация – распознавание пользователя по его иден- |
|||||||
− гарантированная идентификация пользователей путем приме- |
р |
|
т фикатору (имени), который пользователь сообщает сети по за- |
||||||||||||
нения токенов (смарт-карты, touch-memory, ключи для USB-портов |
|
и |
просу, сеть проверяет его наличие в своей базе данных; |
||||||||||||
и т. п.) и других средств аутентификации; |
|
|
|
|
|
|
− |
аутентификация – проверка подлинности заявленного поль- |
|||||||
− защита информации на файловом уровне (шифрование фай- |
|
зователя, которая позволяет достоверно убедиться, что пользова- |
|||||||||||||
лов и каталогов) для обеспечения ее надежного хранения; |
|
|
|
тель именно тот, кем себя объявляет (пароль); |
|||||||||||
− защита от вирусов с использованием специализированных |
|
|
|
− |
авторизация – процедура предоставления пользователю оп- |
||||||||||
комплексов антивирусной профилактики и защиты; |
|
|
|
|
|
|
ределенных полномочий и ресурсов сети. |
||||||||
− обнаружение вторжений и активного исследования защищен- |
|
|
|
Эффективным средством повышения надежности защиты данных на ос- |
|||||||||||
ности информационных ресурсов; |
|
|
|
и |
о |
|
|
нове гарантированной идентификации пользователя являются электронные |
|||||||
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
токены, которыехранятперсональныеданныепользователясистемы. |
||||||||
− |
криптографическое преобразование данных для обеспечен я |
|
|
|
Антивирусная защита должна устанавливаться вузлах, накоторых |
||||||||||
|
|
|
|
|
з |
|
|
|
|
|
|||||
целостности, подлинности и конфиденциальности нформац . |
|
|
|
|
информацияхранится, обрабатывается и передается в открытом виде. |
||||||||||
|
|
|
|
|
|
|
|
т |
|
|
|
||||
В настоящее время для организации защищенных VPN-каналов |
|
|
|
Постоянные изменения ИС (реконфигурация программных средств, |
|||||||||||
широко используется комплекс стандартов сети Интернет – IPSec |
|
|
|
||||||||||||
|
|
|
|
обя |
|
|
|
|
|
|
подключение новых рабочих станций ит. п.) могут привести к появлению |
||||
(IP Security), поддержка которого является |
|
ательным условием |
|
|
|
новых угроз и уязвимых мест в системе защиты. В связи с этим особенно |
|||||||||
для |
перспективных VPN-продуктов. Средства |
VPN предприятия |
|
|
|
||||||||||
могут эффективно поддерживать защищенные каналы трех типов: |
|
|
|
важно своевременное их выявление и внесение изменений в соответст- |
|||||||||||
с удаленными и мобильными сотрудниками (защищенный удален- |
|
|
|
вующие настройки системы информационной безопасности, для чего ис- |
|||||||||||
ный доступ), сетями филиалов |
ред риятий (защита интранет), се- |
|
|
|
пользуются средства обнаружения вторжений, которые дополняют за- |
||||||||||
|
е |
|
|
|
|
|
|
|
|
|
щитные функции межсетевых экранов. Межсетевые экраны пытаются |
||||
тями предприятий-партнеров (защита экстранет). |
|
|
|
|
|
|
отсечь потенциально опасный трафик и не пропустить его в защищаемые |
||||||||
Для защиты VPN прим няются м жсетевые экраны, которые |
|
|
|
||||||||||||
реализуют следующую сх му |
|
|
: |
|
|
|
|
|
|
|
|
сегменты, в то время как средства обнаружения вторжений анализируют |
|||
|
Р |
|
|
|
|
|
|
|
|
|
|
результирующий трафик в защищаемых сегментах и выявляют атаки |
|||
|
|
доступа |
|
|
|
|
|
|
|
|
|||||
|
|
|
229 |
|
|
|
|
|
|
|
|
|
|
|
230 |
|
|
|
|
|
|
|
|
|
|
|
|
|
У |
|
наресурсы сети или потенциально опасные действия имогут использо- |
|
|
|
|
|
Т |
|
|||||||
|
|
|
чтобы избежать компрометации ключа впериод транспортировки. Зло- |
|||||||||||
ваться внезащищенных сегментах, например перед межсетевым экраном, |
|
|
|
умышленник, перехватившийключ, сможетчитать, изменятьиподделывать |
||||||||||
дляполученияобщейкартиныобатаках, которымподвергаетсясетьизвне. |
|
|
|
любую информацию, зашифрованнуюили заверенную этим ключом. |
||||||||||
Особую роль в программно-технических методах защиты ин- |
|
|
|
|
А |
|
криптографией |
|||||||
|
|
|
Проблема управления ключами была решена |
|||||||||||
формации играют |
криптографические |
преобразования данных |
|
|
|
с открытым ключом, или асимметричным, концепция которой была |
||||||||
и электронная цифровая подпись. |
|
|
|
|
|
|
|
|
Г |
|
|
|
||
|
|
|
|
|
|
|
|
предложена в 1975 г. В этой схеме применяется пара ключей; от- |
||||||
Криптографический алгоритм или шифр– это математическая фор- |
|
|
|
крытый, который зашифровывает данные, и соответствующий ему |
||||||||||
мула, описывающаяпроцессызашифрованияирасшифрования. Длятого |
|
|
|
закрытый – их расшифровывает. Тот, кто зашифровывает данные, |
||||||||||
чтобы зашифровать открытый текст, криптоалгоритм работает в сочета- |
|
|
|
распространяет свой открытый ключ по всему свету, в то время как |
||||||||||
нии с ключом– словом, числом или фразой. Одно ито же сообщение од- |
|
|
|
закрытый держит в тайне. Любой человек с копией открытого клю- |
||||||||||
ним алгоритмом, но |
с разными ключами |
будет преобразовываться |
|
|
|
ча может зашифровать данные, но прочитать данные сможет только |
||||||||
вразный шифротекст. Защищенность шифротекста целиком зависит от |
|
|
|
тот, у кого есть закрытый ключ (рис. 5.3). |
|
|||||||||
стойкостикриптоалгоритмаисекретностиключа. |
|
|
|
|
й |
|
|
|
|
|||||
В традиционной криптографии один и тот же ключ используется |
|
|
|
Б |
|
|
|
|
||||||
как для зашифрования, так и для расшифрования данных (рис. 5.2). |
|
|
|
|
|
|
|
|||||||
Такой ключ называется симметричным ключом |
(закрытым). |
|
|
|
|
|
|
|
|
|||||
Data Encryption Standart (DES) – пример симметричного алгоритма, |
р |
|
|
|
|
|
|
|||||||
широко применявшегося на Западе с 70-х гг. XX в. в банковской |
|
и |
|
|
|
|
|
|||||||
и коммерческой сферах. Алгоритм шифрования был |
реализован |
|
Рис. 5.3. Этапы шифрования с асимметричным ключом |
|||||||||||
в виде интегральной схемы с длиной ключа в 64 бита. В настоящее |
|
|||||||||||||
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
о |
|
|
|
|
|
|||
время стандарт DES сменяется стандартом Advanced Encryption |
|
Хотя открытый и закрытый ключ математически связаны, однако |
||||||||||||
Standard (AES), где длина ключа составляет до 256 бит. |
т |
|
|
|
вычислениезакрытогоключаизоткрытогопрактическиневыполнимо. |
|||||||||
|
|
|
|
|
|
|
|
Асимметричное шифрование позволяет людям, не имеющим дого- |
||||||
|
|
|
|
|
|
|
|
воренности о безопасности, обмениваться секретными сообщениями. |
||||||
|
|
|
|
|
|
|
|
Необходимость отправителю и получателю согласовывать тайный |
||||||
|
|
|
|
|
|
|
|
ключ по специальному защищенному каналу полностью отпала. |
||||||
|
|
|
|
|
|
|
|
Все коммуникации затрагивают только открытые ключи, тогда как за- |
||||||
|
|
|
|
|
|
|
|
крытые хранятся в безопасности. Примерами |
криптосистем |
|||||
Рис. 5.2. Этапы шифрования с симметричным ключом |
|
|
|
|
с открытым ключом являются Elgamal, RSA, Diffie-Hellman, DSA и др. |
|||||||||
|
|
|
|
Использование криптосистем с открытым ключом предоставляет воз- |
||||||||||
Симметричное шифрование обеспечивает ск р сть вып |
крипто- |
|
|
|
||||||||||
|
|
|
можностьсозданияэлектроннойцифровойподписи(ЭЦП). ЭЦП– эторек- |
|||||||||||
|
|
|
|
лнения |
|
|
|
|
||||||
графических операций, но имеет два существенных нед статка, во-первых, |
|
|
|
визит электронного документа, предназначенный для удостоверения ис- |
||||||||||
большое количество необходимых ключей (кажд музп льзователю отдель- |
|
|
|
точникаданныхизащитыэлектронногодокументаотподделки. Цифровая |
||||||||||
ныйключ); во-вторых, сложности ередачизакрыт ключа. |
|
|
|
|
|
подпись позволяет получателю сообщения убедиться в аутентичности ис- |
||||||||
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
Для установления шифрованной связи гос омощью симметричного ал- |
|
|
|
точника информации (в том, кто является автором информации), прове- |
||||||||||
горитма отправителю и получат лю нужно |
редварительно согласовать |
|
|
|
рить, была ли информация изменена (искажена), пока находилась впути. |
|||||||||
ключ и держать его втайне. Если они находятся в географически удален- |
|
|
|
Таким образом, цифровая подпись является средством аутентификации |
||||||||||
Р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ных местах, то должны приб гнутьпомощик |
доверенного посредника, |
|
|
|
и контроля целостности данных и служит той же цели, что печать или |
|||||||||
|
|
231 |
|
|
|
|
|
|
|
|
|
|
232 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
У |
собственноручный автограф на бумажном листе. Сравнительные ха- |
|
|
|
Т |
|||||||||||
|
|
Простой способ генерации цифровых подписей показан на рис. 5.4. |
|||||||||||||
рактеристики цифровой и обычной подписей приведены в табл. 5.3. |
|
|
А |
|
|||||||||||
|
|
|
|
|
|
|
|
Таблица 5.3 |
|
|
|
|
|
||
Сравнительные характеристики цифровой и обычной подписей |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Г |
|
|
Обычная подпись |
|
|
|
|
|
Цифровая подпись |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
Рис. 5.4. Этапы применения цифровой подписи |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Каждая личность использует |
|
|
Каждая личность использует |
|
|
|
|||||||||
|
|
|
|
|
Вместо шифрования информации открытым ключом информа- |
||||||||||
индивидуальныехарактеристики– |
|
для подписи свой уникальный |
|
|
|
||||||||||
почерк, давлениенаручкуит. д. |
|
|
секретный ключ |
|
|
|
|
|
ция шифруется собственным закрытым с одновременной генераци- |
||||||
|
|
|
|
|
|
|
ей открытого ключа. Если информация может быть расшифрована |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
открытым ключом автора документа, то этим подтверждается ав- |
||
Попытка подделки подписи |
|
|
Любая попытка подписать |
|
|
|
|
||||||||
|
|
|
|
|
|
новый |
|
|
|||||||
обнаруживается с помощью |
|
|
документ без знания |
|
|
|
|
|
торство. В противном случае подпись считается поддельной |
||||||
|
|
|
|
|
|
|
Для того чтобы не зашифровывать весь текст и затем пересылать |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
графологической экспертизы |
|
|
соответствующего ключа |
|
|
|
|
его вБзашифрованном виде, при формировании ЭЦП используется |
|||||||
|
|
|
|
не имеет успеха |
|
|
|
|
|
компонент – односторонняя хэш-функция, которая выбирает |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
фрагмент произвольной длины, называемый прообразом (сообще- |
||
Подпись и подписываемый до- |
|
|
Цифровая подпись документа |
|
р |
||||||||||
|
|
|
н е любого размера) и генерирует строго зависящий от прообраза |
||||||||||||
|
|
|
|
|
|||||||||||
кумент передаются только вме- |
|
есть функция от содержания |
|
|
|
||||||||||
|
|
|
|
код фиксированной длины. Хэш-функция гарантирует, что если |
|||||||||||
сте на одном листе бумаги |
|
|
этого документа и секретного |
|
|
|
нформация будет каким-либо образом изменена, то в результате |
||||||||
|
|
|
|
ключа |
|
|
|
о |
иполучится совершенно иное хэш-значение (дайджест сообщения). |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Полученный дайджест зашифровывается закрытым ключом отпра- |
||
|
|
|
|
|
|
|
|
вителя и представляет собой электронную подпись, которая может |
|||||||
Переделать подпись отдельно |
|
|
Цифровая подпись может |
|
|
|
|
||||||||
от документа нельзя |
|
|
|
передаваться отдельно |
|
|
|
|
прикрепляться к документу и передаваться вместе с исходным со- |
||||||
|
|
|
|
|
|
|
общением или же передаваться отдельно от него. При получении |
||||||||
|
|
|
|
от документа |
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
сообщения заново вычисляется дайджест подписанных данных, |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
расшифровывается ЭЦП открытым ключом отправителя, тем са- |
||
Подпись не зависит |
|
|
|
Копияцифровогоподп санного |
|
|
|||||||||
|
|
|
|
|
мым сверяется целостность данных и их источник. Если вычислен- |
||||||||||
от содержания документа, |
|
|
|
|
|
|
т |
|
|
||||||
|
|
документа не отл чается |
|
|
|
|
ный и полученный с сообщением дайджесты совпадают, то инфор- |
||||||||
на котором оно поставлена |
|
|
от |
оригинала |
|
|
|
|
|
||||||
|
|
|
|
|
|
|
мация после подписания не была изменена. |
||||||||
|
|
|
|
|
|
|
и |
|
|
|
|
ЕсливпроцессеформированияЭЦПприменяется стойкаяодносторон- |
|||
Копии подписанного документа |
|
|
|
з |
|
|
|
|
|
няяхэш-функция, тонетникакогоспособавзятьчью-либоподписьсодно- |
|||||
недействительны, если каждая |
|
|
|
|
|
|
|
|
|
го документа иприкрепитьее к другому или же любым образом изменить |
|||||
из этих копий не имеет своей |
|
|
|
его |
|
|
|
|
|
|
подписанное сообщение. Малейшее изменение в подписанном документе |
||||
оригинальной, |
е |
|
|
|
|
|
|
|
будетобнаруженовпроцессесверкиЭЦП(рис. 5.5). |
||||||
а не скопированной подписи |
|
|
|
|
|
|
|
|
|
Цифровой сертификат ключа – это информация, прикрепленная |
|||||
п |
|
|
|
|
|
|
|
к открытому ключу пользователя и дающая возможность другим |
|||||||
Р |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
установить, является ли ключ подлинным и верным. Цифровые |
||||||||
|
|
|
|
|
|
|
|
|
|
||||||
|
|
233 |
|
|
|
|
|
|
|
|
|
|
|
234 |
|
|
|
|
|
|
|
|
|
|
|
По мнению многих специалистов, будущее системы защиты– это |
||
|
|
|
|
|
|
|
|
|
|
централизованноеуправлениеиединственные «точкивхода» дляпользо- |
||
|
|
|
|
|
|
|
|
|
|
вателей. Втаких централизованных системах администратор может |
||
|
|
|
|
|
|
|
|
|
|
|
|
У |
|
|
|
|
|
|
|
|
|
|
управлять доступом и проверкой полномочий из одного пункта, а сервер |
||
|
|
|
|
|
|
|
|
|
|
санкционирования или единый сервер паролей должен содержать |
||
|
|
|
|
|
|
|
|
|
|
нетолькоБДпаролей, ноиправилаограниченияправдоступа. |
||
|
|
|
|
|
|
|
|
|
|
|
Т |
|
|
|
|
|
|
|
|
|
|
|
5.6. Правовые аспекты информационной безопасности |
||
|
|
|
|
|
|
|
|
|
|
А |
|
|
|
|
|
|
|
|
|
|
|
|
Правовое обеспечение безопасности ИС – совокупность законо- |
||
Рис. 5.5. Детализация процесса применения цифровой подписи |
|
|
|
|
дательных и морально-этических средств, регламентирующих пра- |
|||||||
|
|
|
|
Г |
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
сертификаты ключей упрощают задачу определения принадлежно- |
|
|
|
вила и нормы поведения при обработке и использовании информа- |
||||||||
|
|
|
ции, информационных ресурсов и ИС. |
|||||||||
сти открытых ключей предполагаемым владельцам и аналогичны |
|
|
|
Законодательные средства – законодательные акты страны, ко- |
||||||||
физическому сертификату (паспорту, водительскому удостовере- |
|
|
|
торымиБрегламентируются правила использования и обработки ин- |
||||||||
нию и пр.). Они нужны для того, чтобы сделать невозможной по- |
|
|
|
формации ограниченного доступа и устанавливаются меры ответ- |
||||||||
пытку выдать ключ одного человека за ключ другого. ЭЦП на сер- |
|
|
|
ственности за нарушение этих правил (гражданское, администра- |
||||||||
тификате указывает, что |
сведения сертификата |
были заверены |
|
|
|
т вное, уголовное право). |
|
|
||||
доверенным третьим лицом или организацией. |
|
|
|
|
й |
|
|
|||||
|
|
|
и |
Морально-этические средства – всевозможные нормы, которые |
||||||||
Система сертификации может реализовываться в виде храни- |
|
сложились традиционно или складываются по мере распространения |
||||||||||
лища-депозитария, называемого |
сервером |
сертификатов (серве- |
|
вычислительных средств в данной стране или обществе. Они большей |
||||||||
ром-депозитарием открытых ключей), или инфраструктур й |
т- |
|
частью не являются обязательными, однако несоблюдение их обычно |
|||||||||
р |
|
|||||||||||
крытых ключей, предполагающего дополнительные возможн |
|
|
ведет к потере авторитета, престижа человека илигруппы лиц. |
|||||||||
администрирования ключей. |
|
|
|
|
|
|
В соответствии с нормами законодательства Республики Бела- |
|||||
Сервер-депозитарий – это сетевая база данных, санкци ни- |
|
|
|
русь физические и юридические лица имеют равные права на раз- |
||||||||
рующая пользователей на включение и извлечение из нее цифро- |
|
|
|
работку и производство ИС, технологий и средств их обеспечения. |
||||||||
вых сертификатов. Он может выполнять некоторые функц |
о |
|
|
Право каждого гражданина на свободный поиск, получение, пере- |
||||||||
ад- |
|
|
|
|||||||||
министрирования, необходимые |
организации для поддержан я |
|
|
|
дачу, производство и распространение информации – одно из ос- |
|||||||
политики безопасности, например, хранить только |
сти |
|
|
|
новных прав гражданина, закрепленных Конституцией Республики |
|||||||
, удовле- |
|
|
|
|||||||||
творяющие определенным критериям. |
|
|
|
|
|
|
Беларусь. Существует информация, набор сведений, распростране- |
|||||
В настоящее время создаются центры сертификации, которые |
|
|
|
ние которых может наносить ущерб предприятиям, учреждениям, |
||||||||
|
|
|
|
|
ключи |
|
|
|
|
организациям или государству в целом. Один из правовых способов |
||
издают цифровые сертификаты и п дписывают их своим закры- |
|
|
|
|||||||||
тым ключом. Используя открытый ключ центразсертификации, |
|
|
|
взаимного согласования и увязки этих основополагающих прав – |
||||||||
любой пользователь, желающий |
р верить |
длинность конкрет- |
|
|
|
установление различного правового режима для различных видов |
||||||
ного сертификата, сверяет |
од ись центра сертификации и удо- |
|
|
|
информации, информационных ресурсов и ИС. |
|||||||
стоверяется в целостности сод ржащойся в сертификате инфор- |
|
|
|
В соответствии с нормами белорусского законодательства доку- |
||||||||
мации и, что более важно, во взаимосвязанности сведений |
|
|
|
ментированная информация может быть двух видов: открытая (об- |
||||||||
сертификата и открытого ключа. |
|
|
|
|
|
|
|
щедоступная) и информация ограниченного доступа. |
||||
|
|
п |
|
|
|
|
|
|
|
|
|
|
|
|
235 |
|
|
|
|
|
|
|
|
236 |
|
е |
|
|
|
|
|
|
|
|
|
|||
Р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
У |
Документированная информация с ограниченным доступом де- |
|
|
|
|
Т |
||||||||||
|
|
|
продуктов также включают: патентную защиту, присвоение статуса |
||||||||||||
лится на две категории: государственные секреты (защищаемые |
|
|
|
производственных секретов, лицензионные соглашения и контракты. |
|||||||||||
государством сведения в соответствии с законом «О защите госу- |
|
|
|
Лицензионные соглашения распространяются на все аспекты пра- |
|||||||||||
дарственных секретов») и конфиденциальная информация, пред- |
|
|
|
А |
|
||||||||||
|
|
|
вовой охраны программных продуктов, включая авторское право, па- |
||||||||||||
ставляющая собой документированную информацию, доступ к ко- |
|
|
|
тентную защиту, производственные секреты. Наиболее часто исполь- |
|||||||||||
торой ограничен в соответствии с законодательством Республики |
|
|
|
Г |
|
|
|||||||||
|
|
|
зуются лицензионные соглашения на передачу авторских прав. |
||||||||||||
Беларусь. Чаще других при разработке ИС появляется необходи- |
|
|
|
Лицензия– договор на передачу одним лицом (лицензиаром) другому |
|||||||||||
мость обработки двух категорий конфиденциальной информации, |
|
|
|
лицу (лицензиату) права на использование имени, продукции, техно- |
|||||||||||
а именно персональных данных и коммерческой тайны. |
|
|
|
|
логии или услуги. Лицензиар увеличивает свои доходы сбором лицен- |
||||||||||
Персональные данные– сведения о фактах, событиях и обстоятельст- |
|
|
|
зионных платежей, расширяет область распространения программы; |
|||||||||||
вах жизни гражданина, позволяющие идентифицировать его личность. |
|
|
|
лицензиат извлекает доходы за счет их применения. В лицензионном |
|||||||||||
Всоответствии с Законом «Об информации, информатизации и защите |
|
|
|
соглашении оговариваются все условия эксплуатации программных |
|||||||||||
информации» персональные данные отнесены к категории конфиденци- |
|
|
й |
|
|
||||||||||
|
|
|
продуктов, в том числе создание копий. Автором программных про- |
||||||||||||
альной информации. В Республике Беларусь, как и в других странах ми- |
|
|
|
дуктов признается физическое лицо, врезультате творческой деятель- |
|||||||||||
ра, осуществляется правовое регулирование сбора, обработки, хранения, |
|
и |
ностиБкоторого они созданы. Автору, независимо от его имуществен- |
||||||||||||
распространенияииспользованияперсональныхданных. |
|
|
|
ных прав, принадлежат личные авторские права: авторство, имя, |
|||||||||||
|
|
|
|
|
|||||||||||
Информация составляет служебную или коммерческую тайну, |
р |
|
неприкосновенность (целостность) программ. Программные продукты |
||||||||||||
если она имеет действительную или потенциальную коммерческую |
|
могут использоваться третьими лицами – пользователями на основа- |
|||||||||||||
|
|
|
|||||||||||||
ценность в силу неизвестности ее третьим лицам, к ней нет свобод- |
|
|
|
н и договора с правообладателем. |
|||||||||||
ного доступа на законных основаниях собственник или обладатель |
|
|
|
Первый кодекс компьютерной этики IEEE Code of Ethics был |
|||||||||||
информации принимает меры к охране ее конфиденциальности. |
до |
|
|
разработан в Институте инженеров электроники и электротехники |
|||||||||||
|
|
|
|
||||||||||||
ИС могут находиться в собственности физических и юридиче- |
|
|
|
в 1979 г. Затем этические кодексы были приняты Ассоциацией раз- |
|||||||||||
с нормами законодательства Республики Беларусь. |
|
соответств |
|
|
|
работающих в сети, другие формулируют только основные прин- |
|||||||||
ских лиц, государства. Собственник ИС может использовать ее са- |
|
|
|
работчиков компьютерных технологий (ACM Code of ethics and |
|||||||||||
мостоятельно или передать право владения и пользования другим |
|
|
|
professional conduct), Ассоциацией профессионалов информацион- |
|||||||||||
лицам. Он устанавливает порядок предоставления |
информации |
, ус- |
|
|
|
ных технологий (Code of ethics of the Association of Information |
|||||||||
ловия доступа пользователей к ней, условия распространения - |
|
|
|
Technology Professionals), международной гильдией программистов |
|||||||||||
кументов, обеспечивает защиту информации, осущес вляет необ- |
|
|
|
(IPG Code of Ethics). В настоящее время их насчитывается уже |
|||||||||||
ходимое |
лицензирование |
и сертификацию |
ИС в |
|
и |
|
|
|
не один десяток, некоторые содержат различные «заповеди» для |
||||||
Различные компоненты |
|
|
го |
|
|
|
|
|
|
ципы самодисциплины. Компьютерная этика устанавливает еди- |
|||||
(чаще всего программные продукты |
|
|
|
||||||||||||
и базы данных) и в целом ИС могут являться |
бъектами авторского |
|
|
|
ные, основанные на этических представлениях принципы деятель- |
||||||||||
права. Это происходит в тех случаях, к гда ИС являются результа- |
|
|
|
ности в сети Интернет, распространив их и на компьютерных |
|||||||||||
|
|
|
|
п |
зф рмах, которые при- |
|
|
|
профессионалов, и на пользователей сетей. Международная феде- |
||||||
том творческого труда и представлены в тех |
|
|
|
||||||||||||
знаются в стране в качестве объектов авт рск |
права. |
|
|
|
|
рация по информационным технологиям (IFIP) рекомендовала при- |
|||||||||
|
|
Правовые |
|
|
|
|
|
|
|
|
нять кодексы компьютерной этики национальным организациям |
||||
Во многих странах несанкционированное копирование программ |
|
|
|
||||||||||||
в целях продажи или б сплатного рас ространения рассматривает- |
|
|
|
с учетом местных культурных и этических традиций. |
|||||||||||
ся как государственное пр сту л ние, карается штрафом или тю- |
|
|
|
Во всех кодексах содержатся нормы, основанные на соблюдении |
|||||||||||
ремным |
Р |
м тоды защиты |
программных |
|
|
|
четырех главных моральных принципов: privacy (тайна частной |
||||||||
заключением. |
|
|
|
|
|
||||||||||
|
|
|
|
237 |
|
|
|
|
|
|
|
|
|
|
238 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
У |
|
жизни), |
accuracy |
(точность), |
property |
(частная собственность) |
|
|
|
|
|
Т |
|
|||||||
|
|
|
2. Исполнительную и правоприменительную деятельность по ис- |
|||||||||||||||
и accessibility (доступность). Модель компьютерной этики, осно- |
|
|
|
полнению законодательства в области информации, информатиза- |
||||||||||||||
ванная на этих принципах, получила название PAPA по первым бу- |
|
|
|
ции, защиты информации органами государственной власти и управ- |
||||||||||||||
квам слов, составляющих сущность модели. |
|
|
|
|
|
|
|
|
А |
|
|
|||||||
|
|
|
|
|
|
|
ления, организациями (юридическими лицами), гражданами. |
|||||||||||
Принцип privacy выражает право человека на автономию и сво- |
|
|
|
Нормотворческая деятельность: |
|
|||||||||||||
боду в частной жизни, право на защиту от вторжения в нее органов |
|
|
|
Г |
|
|
|
|||||||||||
|
|
|
1. Оценка состояния действующего законодательства и разра- |
|||||||||||||||
власти и других людей. Соблюдение его особенно важно в связи |
|
|
|
ботка программы его совершенствования. |
|
|||||||||||||
с созданием автоматизированных банков Данных, содержащих раз- |
|
|
|
2. Создание организационно |
правовых механизмов обеспечения |
|||||||||||||
личные сведения о личности. |
|
|
|
|
|
|
|
|
|
|
информационной безопасности. |
|
|
|||||
Точное соблюдение инструкций по эксплуатации систем и обработке |
|
|
|
3. Формирование правового статуса всех субъектов в системе |
||||||||||||||
информации, честное и социально-ответственное отношение к своим |
|
|
|
информационной безопасности и определение их ответственности |
||||||||||||||
обязанностямпредполагаютнормы, основанныенапринципеaccuracy. |
|
|
|
|
за обеспечение информационной безопасности. |
|
||||||||||||
Принцип property означает неприкосновенность частной собст- |
|
|
й |
|
|
|
|
|||||||||||
|
|
|
4. Разработка организационно правового механизма сбора и анали- |
|||||||||||||||
венности и является основой имущественного порядка в экономике. |
|
|
|
за статистических данных о воздействии угроз информационной безо- |
||||||||||||||
Следование этому принципу означает соблюдение права собствен- |
|
и |
пасностиБиих последствиях сучетом всех категорий информации. |
|||||||||||||||
ности на информацию и норм авторского права. |
|
|
|
|
5. Разработка законодательных и других нормативных актов, ре- |
|||||||||||||
|
|
|
|
|
|
|||||||||||||
Принцип accessibility – один из главных принципов информаци- |
р |
|
гулирующих порядок ликвидации последствий воздействий угроз; |
|||||||||||||||
онного |
общества, |
определяет |
право граждан на информацию |
|
восстановление права и ресурсов; реализация компенсационных мер. |
|||||||||||||
|
|
|
||||||||||||||||
и предполагает доступ каждого субъекта общества к информацион- |
|
|
|
Исполнительная и правоприменительная деятельность: |
||||||||||||||
ным технологиям и к любой, необходимой для него информации, |
|
|
|
1. Разработка процедур применения законодательства и норма- |
||||||||||||||
разрешенной для доступа. |
|
|
|
|
|
о |
|
|
тивных актов к субъектам, совершившим преступления и проступ- |
|||||||||
|
|
|
|
|
|
|
|
|
|
|||||||||
Нормативно-правовая база, регламентирующая права, обязанн сти и |
|
|
|
ки при работе с закрытой информацией. |
|
|||||||||||||
|
|
|
|
|
|
|
|
государст |
|
|
|
2. Разработка составов правонарушений с учетом специфики |
||||||
ответственность субъектов, действующих в информационной сфере |
|
|
|
|||||||||||||||
вРеспубликеБеларусь, развиваетсяпоследующимнаправлениям: |
|
|
|
|
|
уголовной, гражданской, административной и дисциплинарной |
||||||||||||
|
|
|
|
|
|
|
безопасности |
|
|
|
|
2. Обеспечение баланса интересов отдельных субъектов и госу- |
||||||
− разработка концепции информационной безопаснос и; |
|
|
|
|
|
ответственности. |
|
|
|
|
||||||||
− разработка нормативно-правовых, организационно-ме од ческих |
|
|
|
Деятельность |
по правовому обеспечению |
информационной |
||||||||||||
документов, регламентирующих деятельность органов |
|
|
- |
|
|
|
безопасности строится на трех фундаментальных положениях: |
|||||||||||
венной власти вобласти обеспечения информационной |
|
; |
|
|
|
|
1. Соблюдение |
законности |
(предполагает |
наличие законов |
||||||||
|
|
|
|
|
и иных нормативных документов, их применение и исполнение |
|||||||||||||
− разработка правовых и организационных меропр ят й, |
обес- |
|
|
|
||||||||||||||
печивающих сохранение и развитие информационных ресурсов; |
|
|
|
|
субъектами права в области информационной безопасности). |
|||||||||||||
− формирование правового статуса субъект в системы инфор- |
|
|
|
дарства (предусматривает приоритет государственных интересов |
||||||||||||||
мационной безопасности, определение их |
|
тветственности за обес- |
|
|
|
|||||||||||||
печение информационной безопасн сти. |
|
з |
|
|
|
|
|
|
как общих интересов всех субъектов. Ориентация на свободы, пра- |
|||||||||
Правовое обеспечение информаци нн й без пасн сти в Респуб- |
|
|
|
ва и интересы граждан не принижает роль государства в обеспече- |
||||||||||||||
|
|
|
себя |
|
|
|
|
|
|
|
|
нии национальной безопасности в целом и в области информаци- |
||||||
лике Беларусь включает в |
: |
|
|
|
|
|
|
|
|
|
||||||||
1. Нормотворческую д ят льность осозданию законодательст- |
|
|
|
онной безопасности в частности). |
|
|||||||||||||
ва, регулирующего общ ств нные отношения в области информа- |
|
|
|
3. Неотвратимость наказания (выполняет роль важнейшего профилак- |
||||||||||||||
|
|
Р |
|
п |
|
|
|
|
|
|
|
тического инструмента в решении вопросов правового обеспечения). |
||||||
ционной безопасности. |
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
239 |
|
|
|
|
|
|
|
|
|
|
|
240 |
|