Информационная безопасность

По месторасположению источника угрозы делятся на :

внешние (источник воздействия или злоумышленник расположен вовне системы);

внутренние (источник угрозы располагается внутри охраняемого периметра);

угрозы  внешним информационным потокам (источник угрозы находится вне охраняемого периметра, но воздействует не на саму систему, а на потоки данных, направленных к ней или от нее).

 

Примерами внешних угроз являются:

попытка считать закрытую информацию с сервера извне сети предприятия при наличии уязвимостей в программном обеспечении сервера (угроза конфиденциальности);

видео- и аудио- наблюдение, сканирование диапазона электромагнитных волн с целью организации канала утечки информации (угроза конфиденциальности);

попытка установить извне  в систему троянскую программу  с целью изменения внутри системы  важной информации (угроза целостности);

атака извне, направленная на вывод из строя программного обеспечения  на некоторое время (угроза доступности).

Примерами внутренних угроз являются:

установка подслушивающих устройств (угроза конфиденциальности);

несанкционированное копирование  или изменение внутренней информации сотрудником предприятия, завербованным  конкурентами (угроза конфиденциальности и целостности);

установка в автоматизированную систему программы, которая может  заблокировать некоторые важные операции в системе по условному  сигналу по сети (угроза доступности).

Примерами угроз внешним информационным потокам являются:

прослушивание каналов передачи данных (телефонных, компьютерных, радиочастоты) (угроза конфиденциальности);

модификация передаваемых по открытой сети компьютерных данных (угроза целостности);

вывод из строя внешнего оборудования (телекоммуникационной компании), отвечающего за передачу данных по внешним каналам (угроза доступности).

По уровню воздействия на информацию угрозы подразделяются на:

угрозы семантического уровня (смысловой нагрузки, заключенной  в информации);

угрозы уровня представления  информации;

угрозы уровня носителя информации.

Подведем  итоги

угроза – это ситуация, в которой возможно нарушение информационной безопасности;

по своей природе угрозы делятся на несанкционированные (умышленные) и непреднамеренные (непредумышленные);

по месторасположению  источника – на внешние, внутренние и на информационные потоки;

по уровню воздействия  на информацию – на семантические, уровня представления и уровня носителя.

вопросы для самоконтроля

1. Приведите примеры угроз,  которые являются нарушением  целостности и доступности.

________________________________________________________

________________________________________________________

________________________________________________________

 

2. Приведите примеры непредумышленных  угроз.

________________________________________________________

________________________________________________________

________________________________________________________

 

3.  К какому классу  месторасположения источника Вы  бы отнесли распространение компьютерных  вирусов по сети предприятия?

_____________________________________________________

________________________________________________________

______________________________________________________

 

4.  Приведите примеры  операций, при проведении которых  могут существовать угрозы уровня  представления информации.

_____________________________________________________

________________________________________________________

______________________________________________________

 

 

 

 

 

Вопрос 1.3. Правовые основы защиты информации на предприятии

В результате изучения данной темы Вы будете знать

обзор общей ситуации в области правовой защиты информации,

законодательные и нормативные акты, регулирующие защиту государственной и коммерческой тайны и средства технической  защиты информации.

 

Область правовой защиты информации в нашей стране (впрочем, и во многих других странах), к сожалению, находится  только лишь на этапе становления. Нормативная  база, начиная с 1991 года и до наших  дней, состоит в основной массе  из разрозненных документов (за исключением  небольшого количества пакетов, которые  будут рассмотрены далее). В подавляющем  большинстве направлений законодательные  и иные регламентирующие акты находятся  в течение нескольких лет на этапе  проектов.

Судопроизводство по нарушениям в области информационной безопасности выполняется редко и в подавляющей  массе по делам, без сомнений нарушающих и смысл и букву закона. Во многих спорных случаях дела переквалифицируются в обвинения по более традиционным областям права (например, в прибыль упущенных возможностей для коммерческой тайны).

Наиболее проработанными областями права в сфере защиты информации являются:

защита государственной  тайны;

защита коммерческой тайны (в меньшей степени);

нормативные акты в области  технических методов и средств  защиты информации.

Так, на сегодняшний день есть перечень сведений о гражданине, составляющих конфиденциальную информацию, но нет  актов, регламентирующих их охрану или  карающих их разглашение.

 

В последнее время активно  ведется законотворческая деятельность в области защиты персональных конфиденциальных данных.

Основополагающим документом в области защиты гос.тайны является Закон РФ от 21 июля 1993 г. № 5485-1 "О государственной тайне" (с изменениями от 6 октября 1997 г., 30 июня 2003 г., 11 ноября 2003 г.).

Закон определяет перечень сведений, составляющих гос.тайну (подробный список из 87 пунктов приведен в Указе Президента РФ от 30 ноября 1995 г. № 1203 "Об утверждении перечня сведений, отнесенных к государственной тайне"):

сведения в военной  области;

сведения в области  экономики, науки и техники;

сведения в области  внешней политики и экономики;

сведения в области  разведывательной, контрразведывательной  и оперативно-розыскной деятельности.

Также Закон "О государственной  тайне" определяет порядок работы с сведениями, составляющими гос.тайну, и перечень мер по обеспечению их защиты.

Организационные меры по защите сведений, составляющих гос.тайну приведены в Инструкции "О порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне" (утв. постановлением Правительства РФ от 28 октября 1995 г. N 1050, с изменениями от 8 августа 2003 г.).

Основополагающим документом в области защиты коммерческой тайны является недавно принятый Закон РФ от 29 июля 2004 года № 98-ФЗ "О коммерческой тайне", вобравший в себя многие разрозненные определения и положения, существовавшие до этого. В законе дано определение коммерческой тайны, как законно полученных сведений, разглашение которых может принести ущерб их владельцу, и в отношении которых он (владелец) предпринял меры по защите.

В Законе перечислены:

сведения, которые не могут  составлять коммерческую тайну;

порядок предоставления коммерческой тайны органам государственной  власти;

требования по мерам обеспечения  защиты коммерческой тайны в рамках трудовых и гражданско-правовых отношений  с обеих сторон.

Закон не ограничивает владельца  коммерческой тайны в выборе средств для ее защиты, но указывает, что они не должны противоречить конституционным нормам, наносить вред здоровью и нравственности людей, а также нарушать законные права других лиц.

Со стороны Уголовного Кодекса Российской Федерации предусмотрены следующие санкции за нарушения в области защиты информации – см. табл. 1.3.1

 

Таблица 1.3.1. Санкции УК РФ

Вид нарушения	статья	штраф, МРОТ	лишение свободы
Нарушение неприкосновенности частной жизни	137	200–800	до 6 мес.
Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных  и иных сообщений	138	50–500	до 3 лет1
Незаконное получение  и разглашение сведений, составляющих коммерческую или банковскую тайну	183	100–500	до 3 лет
Неправомерный доступ к компьютерной информации	272	200–800	до 5 лет
Создание, использование  и распространение вредоносных  программ для ЭВМ	273	200–500	до 7 лет2
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети	274	–	до 4 лет2

 

Примечание: наказание в  виде лишения свободы применяется  в случаях, если имели место :

(¹) факт производства или сбыта специализированной техники;

(²) тяжкие последствия, непреднамеренно вызванные выводом из строя ЭВМ или сети ЭВМ.

Нормативная база в области технических средств защиты информации формируется следующими документами:

ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

ГОСТ 28147-89. Системы обработки  информации. Защита криптографическая. Алгоритм криптографического преобразования.

ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.

ФАПСИ было выделено из состава  КГБ в ходе его реструктуризации, занималось техническими средствами защиты информации в первую очередь государственной  важности и упразднено в 2003 году. Прежние  функции ФАПСИ Темаены между ФСБ и Министерством Обороны.

 

ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.

Требованиями Федерального Агентства Правительственной Связи  и Информации (ФАПСИ) (ныне упразднено).

Руководящими документами  Государственной Технической Комиссии России (ГТК).

Подведем  итоги

в целом ситуация в области  правового обеспечения процессов  защиты информации в стране находится  на этапе становления;

наиболее проработаны  вопросы защиты государственной  тайны и технических средств  защиты информации;

ведется активная деятельность по созданию законодательных актов  в области коммерческой и персональной тайны.

вопросы для самоконтроля

1. Перечислите основные  нормативные акты в области  защиты государственной тайны  РФ.

________________________________________________________

________________________________________________________

________________________________________________________

 

2. Перечислите основные  нормативные акты в области  защиты коммерческой тайны РФ.

________________________________________________________

________________________________________________________

________________________________________________________

 

3.  Какие нарушения  информационной безопасности караются  Уголовным Кодексом РФ?

_____________________________________________________

________________________________________________________

______________________________________________________

 

 

Тема 2. Теория организации  доступа в информационных системах

 

Теория  организации доступа в информационных системах строится на введении трех основных понятий: субъекта, объекта и операции, и построении законов (правил), по которым определяется, какие операции может выполнять конкретный субъект над конкретным объектом.

Основными задачами, возникающими при этом, являются обеспечение:

полноты охвата субъектов;

однозначной и надежной их идентификации;

полноты охвата объектов;

однозначности определения  правил доступа;

неразрывности действия правил доступа во времени;

постоянного контроля за надлежащим исполнением системы организации ограниченного доступа на практике.

Информационные системы  привносят специфику в данную область:

виртуальностью субъекта – в компьютере от имени конкретного физического лица обычно работает один или несколько процессов, управляемые им и имеющие его привилегии;