книги / Основы информационной безопасности

между этим стандартом и принятыми в данной организации принципами системы защиты информации. Таким образом, правильный с методологическойточкизренияподходкпроблемаминформационнойбезопасности начинается с выявления субъектов информационных отношений иинтересов этихсубъектов, связанных сиспользованием информационных систем. Из этого довольно очевидного положения можно вывести два важных для нас следствия:

–трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты;

–информационная безопасность не сводится исключительно к защите информации, это принципиально более широкое понятие.

Субъект информационных отношений может пострадать (понести материальные и/или моральные убытки) не только от несанкционированного доступа к информации, но и от поломки системы, вызвавшей перерыв в работе.

Вопросы для самоконтроля к главе 9

1.Дайтеопределениетермину«комплексноеобеспечениеинформационной безопасности»?

2.Рассмотрите основные принципы построения комплексной системы защиты информации.

3.Что включает в себя понятие «информационная безопас-

ность»

4.Перечислите основные требования к информационной безопасности организации (учреждения).

321

ГЛАВА 10

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ОТ УГРОЗ ИБ

Методы и средства защиты от угроз информационной безопасности можно представить общей классификацией (рис. 10.1), в соответствии с которой процессы защиты можно укрупнено разделить на три большие группы: предотвращение, парирование и нейтрализация угроз.

Предотвращение угроз ИБ включает в себя технологии, осуществляющие упреждение и предупреждение возможного проникновения, а также организацию и реализацию защиты объекта на начальном этапе нападения.

К технологиям парирования угроз относятся методы и приемы, препятствующие или ограничивающие воздействие на защищенный объект.

Нейтрализация предусматривает применение средств устранения и ликвидации угроз, частичной или полной их нейтрализации в случае проникновения на объект либо диверсии.

Далее рассмотрим более подробно каждую из перечисленных выше угроз.

10.1. Технологии предотвращения угроз ИБ

Организационныеиправовыеметодызащитыпроцессовпереработки информации в компьютерных системах (КС) занимают первое место в технологиях предотвращения угроз ИБ. Наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения ее безопасности. Меры безопасности направлены на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемых процессов обработки информации.

Зарубежные публикации последних лет показывают, что злоупотребления информацией, передаваемой по каналам связи, совершенствовались не менее интенсивно, чем средства их предупреждения. В этом случае для защиты обработки информации требуется не просто разработка частных механизмов защиты, а организация целого комплекса

322

Рис. 10.1. Общая классификация методов и средств защиты ИБ

323

мер, то есть использование специальных средств, методов и мероприятий. Новая современная разработка – это технология защиты процессов переработки информации в компьютерных информационных системах

исетях передачи данных.

Корганизационным иправовым методам исредствам предотвращения угроз ИБ относятся:

– государственная политика безопасности информационных технологий (ИТ);

– правовой статус КС, информации, систем защиты информации владельцев и пользователей информации и т. д.;

– иерархическая структура государственных органов политики безопасности ИТ;

– система стандартизации, лицензирования и сертификации средств защиты информации;

– воспитание патриотизма и бдительности, повышение уровня образования и ответственности граждан в области ИТ.

Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, ведомствах, учреждениях и организациях. При рассмотрении вопросов безопасности обработки информации такая деятельность относится к организационным методам защиты процессов переработки информации. Эти методы включают в себя меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня безопасности обработки информации.

Организационные методы защиты переработки информации тесно связаны с правовым регулированием в области ИБ. В соответствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях (независимо от форм собственности) для защиты процессов переработки информации создаются специальные службы безопасности (на практике они могут называться и иначе). Эти службы подчиняются, как правило, руководству учреждения. Руководители служб обеспечивают создание и функционирование систем защиты. На организационном уровне решаются следующие задачи обеспечения ИБ в КС:

324

–разработка системы защиты процессов переработки информации;

–ограничение доступа на объект и к ресурсам КС;

–разграничение доступа к ресурсам КС;

–планирование мероприятий;

–разработка документации;

–воспитание и обучение обслуживающего персонала и пользователей;

–сертификация средств защиты обработки информации;

–лицензирование деятельности по защите процессов переработки информации;

–аттестация объектов защиты;

–совершенствование системы защиты процессов переработки информации;

–оценка эффективности функционирования системы защиты;

–контроль выполнения установленных правил работы в КС. Организационные методы являются основой комплексной системы

обеспечения защиты процессов переработки информации в КС. Только с помощью этих методов возможно объединение на правовой основе технических, программных и криптографических средств защиты обработки информации в единую комплексную систему. Конкретные организационные методы защиты будут приводиться при рассмотрении предотвращения угроз ИБ. Наибольшее внимание организационным мероприятиям уделяется при изложении вопросов построения и организации функционирования комплексной системы обеспечения защиты процессов переработки информации.

Государство должно обеспечить защиту процессов переработки информации как в масштабах всего государства, так и на уровне организаций и отдельных граждан. Для решения этой проблемы государство обязано:

1)выработатьгосударственнуюполитикубезопасностивобластиИТ;

2)законодательно определить правовой статус компьютерных систем, информации, систем защиты процессов переработки информации, владельцев и пользователей информации и т. д.;

3)создатьиерархическуюструктуругосударственныхорганов, вырабатывающих и проводящих в жизнь политику безопасности ИТ;

325

4)создать систему стандартизации, лицензирования и сертификации в области защиты процессов переработки информации;

5)обеспечить приоритетное развитие отечественных защищенных

ИТ;

6)повышать уровень образования граждан в области ИТ, воспитывать у них патриотизм и бдительность;

7)установить ответственность граждан за нарушения законодательства в области ИТ.

Политика государства в области безопасности ИТ должна быть единой. Исходя из этой позиции, в Российской Федерации вопросы ИБ изложены в Концепции национальной безопасности РФ, утвержденной Указом Президента РФ от 17.12.1997 г. № 1300 и затем уже в Доктринеинформационнойбезопасности. ВКонцепциинациональнойбезопасности РФ определены важнейшие задачи государства в области ИБ:

1)установлениенеобходимогобалансамеждупотребностьювсвободном обмене информацией и допустимыми ограничениями ее распространения;

2)совершенствование информационной структуры, ускорениеразвития новых ИТ и их широкое внедрение, унификация средств поиска, сбора, хранения и анализа информации с учетом вхождения России

вглобальную информационную инфраструктуру;

3)разработка соответствующей нормативной правовой базы и координация деятельности органов государственной власти и других органов, решающих задачи обеспечения ИБ;

4) развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

5) защита государственного информационного ресурса, прежде всеговфедеральныхорганахгосударственнойвластиинапредприятиях оборонного комплекса.

Усилия государства должны быть направлены на воспитание ответственности граждан за неукоснительное выполнение правовых норм в области ИБ. Необходимо использовать все доступные средства для формирования у граждан патриотизма, чувства гордости за принадлежность к стране, коллективу. Важной задачей государства является также повышение уровня образования граждан в области ИТ. Большая роль

326

вэтой работе принадлежит образовательной системе государства, государственным органам управления, средствам массовой информации. Это важное направление реализации политики ИБ.

Законодательная база обеспечения информацией обоснована соци- ально-экономическими изменениями в обществе, происшедшими в последние годы. Они требовали законодательного регулирования отношений, складывающихся в области информационных технологий. В связи с этим был принят Федеральный закон «Об информации, информатизации и защите информации» от 25.01.1995 г. № 24–ФЗ, в котором даны определения основных терминов: «информация», «информатизация», «информационные системы», «информационные ресурсы», «конфиденциальная информация», «собственник и владелец информационных ресурсов», «пользователь информации». Государство гарантирует право владельца информации независимо от форм собственности распоряжаться ею в пределах, установленных законом. Владелец информации имеет право защищать свои информационные ресурсы, устанавливать режимдоступакним. Взаконеопределеныправаиобязанностиграждан и государства по доступу к информации. В нем установлен общий порядок разработки и сертификации информационных систем, технологий, средств их обеспечения, а также порядок лицензирования деятельности

всфере ИТ. В этом законе определены цели и режимы защиты процессов переработки информации, а также порядок защиты прав субъектов

всфере информационных процессов и информатизации.

Другимважнымправовымдокументом, регламентирующимвопросы защитыинформациивКС, являетсязаконРФ«Огосударственнойтайне» от 21.07.1993 г. № 5485–1, который определяет уровни секретности государственной информации (грифы секретности) и соответствующую степеньважностиинформации. РуководствуясьданнымзакономиПеречнем сведений, отнесенных к государственной тайне, введенным в действие Указом Президента РФ от 30.11.1995 г., соответствующие государственные служащие устанавливают гриф секретности информации.

Отношения, связанные с созданием программ и баз данных, регулируются законом РФ «О правовой охране программ для электронных вычислительныхмашинибазданных» от23.09.1992 г. №3523–1 изаконом РФ «Об авторском праве и смежных правах» от 09.07.1993 г. № 5352–1.

327

Наоснованииприведенных правовыхдокументовведомства (министерства, объединения, корпорации и т. п.) разрабатывают нормативные документы (приказы, директивы, руководства, инструкции и др.), регламентирующие порядок использования и защиты процессов переработки информации в подведомственных организациях.

Важным правовым вопросом является установление юридического статуса КС иособенно статуса информации, получаемой с применением КС. Статус информации, или ее правомочность, служит основанием для выполнения (невыполнения) определенных действий. Например, в одних автоматизированных системах управления (АСУ) соответствующее должностноелицоимеетюридическоеправоприниматьрешениятолько на основании информации, полученной из АСУ. В других АСУ для принятия решения необходимо получить подтверждающую информацию по другим каналам. В одной и той же АСУ решение может приниматься как с получением подтверждающей информации, так и без нее.

Примером может служить организация перевода денег с помощью АСУ. До определенной суммы денежный перевод осуществляется автоматически при поступлении соответствующей заявки. Для перевода крупной суммы денег выполняются дополнительные процедуры проверки правомочности такой операции. Для этого может быть затребована дополнительная информация, в том числе и по дублирующей системе, а окончательное решение о переводе денег может принимать должностное лицо. Правовой статус информации устанавливается с учетом ее стоимости (важности) и степени достоверности, которую способна обеспечить компьютерная система.

Важной составляющей правового регулирования в области ИТ является установление ответственности граждан за противоправные действия при работе с КС. Преступления, совершенные с использованием КСилипричинившиеущербвладельцамкомпьютерныхсистем, получили название компьютерных преступлений. В нашей стране 01.01.1997 г. введен в действие новый Уголовный кодекс РФ (УК РФ). В него впервыевключенаглава28, вкоторойопределенауголовнаяответственность за преступления в области компьютерных технологий.

Вст. 272 предусмотрены наказаниязанеправомерныйдоступккомпьютерной информации, охватывающие диапазон от денежного штрафа в размере 200 минимальных заработных плат до лишения свободы

328

на срок до пяти лет. Отягощающим вину обстоятельством является совершение преступления группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сетям.

Ст. 273 устанавливает ответственность за создание, использование и распространение вредоносных (вредительских) программ для ЭВМ. По этой статье предусмотрено наказание в виде штрафа в размере заработной платы или иного дохода осужденного или наказание от двух месяцев лишения свободы до семи лет (в зависимости от последствий).

Вст. 274 определенаответственностьзанарушениеправилэксплуатации ЭВМ, системы ЭВМ или их сетей. Нарушение правил эксплуатации лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сетям, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет либо обязательными работами на срок от 180 до 200 ч. Если те же деяния повлекли тяжкие последствия, то предусмотрено лишение свободы на срок до четырех лет.

Другие законодательные акты (законы РФ, указы и распоряжения Президента РФ), а также организационно-методические и руководящие документы Государственной технической комиссии при Президенте РФ указывают на организационно-правовую реализацию ИБ путем комплексной защиты информационной деятельности в России.

Организация такой защиты на государственном уровне проводится

всоответствии со структурой государственных органов обеспечения политики ИБ в РФ (рис. 10.2).

При этом государственные органы выполняют следующие функции: выработка политики ИБ, подготовка законодательных актов и нормативных документов, контроль над выполнением установленных норм обеспечения безопасности процессов переработки информации.

Возглавляет государственные органы обеспечения ИБ Президент РФ. ОнруководитСоветомбезопасностиРФиутверждаетуказы, касающиеся обеспечения безопасности процессов переработки информации

вгосударстве.

329

Рис. 10.2. Структура государственных органов обеспечения ИБ в РФ

Общее руководство системой ИБ наряду с решением других вопросов государственной безопасности страны осуществляют Президент и Правительство РФ.

Органом исполнительной власти, непосредственно занимающимся вопросами государственной безопасности, является Совет безопасности РФ. В его состав входит Межведомственная комиссия по ИБ, которая готовит указы Президента РФ, выступает с законодательной инициативой, координирует деятельность руководителей министерств и ведомств в области ИБ государства.

Рабочим органом Межведомственной комиссии по ИБ является Государственная техническая комиссия при Президенте РФ, которая осуществляет подготовку проектов законов, разрабатывает нормативные документы (Решения Государственной технической комиссии), организует сертификацию средств защиты процессов переработки информации (за исключением криптографических средств), лицензирование деятельности в области производства средств защиты и обучения специалистов по защите процессов переработки информации. Эта ко-

330