Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdf•структурирование органов государственной власти и мест ного самоуправления, чьи должностные лица обязаны пре доставлять информацию (пример — государственная систе ма научно-технической информации, положение о которой утверждено постановлением Правительства РФ от 24 июля 1997 г. № 950);
•установление обязанности должностных лиц на основании документов предоставлять по запросам граждан информа цию, доступ к которой не ограничен законом;
•публикацию в общедоступных изданиях документирован ной информации, подлежащей обязательному распростра нению, всех перечней по установлению ограничений и за претов в информационной сфере, перечня органов государ ственной власти и местного самоуправления (с указанием их функций и адресов);
•создание общедоступных баз данных в органах государст венной власти и местного самоуправления, в том числе на общедоступных серверах с указанием в средствах массо вой информации их адресов и порядка получения инфор мации;
•порядок предоставления информации, предусматриваю щий сроки, объем и форму предоставления информации в зависимости от правового статуса организации, в адрес ко торой направлен запрос;
•установление источников финансирования и покрытия рас ходов, связанных с предоставлением информации, в соот ветствии с нормой Гражданского кодекса РФ (п. 2 ст. 779),
когда предоставление информации отнесено к обязательст вам о возмездном оказании услуг.
Важное значение для реализации информационных прав гра ждан на доступ к информации имеет Послание Президента РФ Федеральному Собранию РФ от 17 февраля 1998 г., где в целях обеспечения информационной открытости государственной вла сти гражданскому обществу определены следующие задачи:
•радикальное обновление функций, методов, критериев дея тельности существующих информационных служб органов исполнительной власти;
•сужение области ведомственных тайн;
•уточнение с помощью общественных организаций гаран тий предоставления общественно значимой официальной информации;
•обучение государственных служащих практической работе в условиях информационной открытости;
•установление каналов двусторонней связи государственных органов с общественными организациями, занимающими ся аналогичными проблемами (экологическими, социаль ными и др.).
Ответственность за нарушение законодательства в информационной сфере
За непредоставление информации гражданам, палатам Феде рального Собрания РФ и Счетной палате РФ (ст. 140 и 287), а также за сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей (ст. 237), в Уголовном кодексе РФ предусмотрена ответственность.
Ответственность в действующем законодательстве оговорена в случае неправомерного засекречивания, нарушения требова ний по составу предоставляемых сведений, неопубликования сведений, нарушения права граждан на бесплатное получение информации, сокрытие (непредоставление) сведений об обстоя тельствах, создающих опасность для жизни или здоровья людей, несвоевременное предоставление сведений, сокрытие информа ции, сообщение ложных (недостоверных) сведений, ограничение права на предоставление информации, искажение сведений, на рушение свободного международного информационного обмена.
Защита права на доступ к информации может осуществляться:
•в форме, находящейся за пределами юрисдикции (самоза щита своих прав и законных интересов);
•в юрисдикционной форме (в административном или в су дебном порядке).
Вадминистративном порядке защита прав осуществляется через подачу жалобы лицом, чьи права нарушены, на должност ное лицо (орган) в вышестоящую инстанцию.
Всудебном порядке защиту прав осуществляет лицо, которое может выбрать любой способ защиты нарушенных прав — через подачу иска (жалобы) для рассмотрения в гражданском, админи стративном или уголовном судопроизводстве.
При рассмотрении иска в гражданском судопроизводстве потерпевший вправе использовать основные способы защиты
гражданских прав, предусмотренных в ст. 12 Гражданского ко декса РФ, в том числе требовать:
•признания права;
•прекращения действий, нарушающих право или создаю щих угрозу его нарушения;
•признания недействительным акта государственного орга на или органа местного самоуправления;
•восстановления права;
•возмещения убытков;
•компенсации морального ущерба.
Случаи возможной административной ответственности при нарушении права на доступ к объективной информации доста точно многочисленны.
Так, в Кодексе РСФСР об административных правонаруше ниях предусматривается административная ответственность за следующие нарушения:
•распространение ложных сведений о кандидате (ст. 403);
•нарушение права граждан на ознакомление со списком из бирателей (ст. 405);
•изготовление или распространение анонимных агитацион ных материалов (ст. 409);
•умышленное уничтожение, повреждение агитационных пе чатных материалов (ст. 4010);
•непредставление или неопубликование отчетов о расходо вании средств на подготовку и проведение выборов (рефе рендума) (ст. 4011);
•непредоставление либо неопубликование сведений об ито гах голосования или о результатах выборов (ст. 4013);
•невыполнение обязанностей по регистрации в судовых документах операций с вредными веществами и смесями (ст. 58);
•изготовление или эксплуатация технических средств, не соответствующих государственным стандартам или нормам на допускаемые уровни радиопомех (ст. 1393);
•непредставление сведений федеральному антимонопольно му органу (ст. 1571);
•непредставление информации для составления списков присяжных заседателей (ст. 1657);
•невыполнение законных требований прокурора (в том чис ле на предоставление информации) (ст. 1651);
•нарушение порядка представления контрольных и обяза тельных экземпляров (ст. 1713);
•непредставление, несообщение информации о военнообя занных, призывниках (ст. 1902, 1904, 1905, 1906);
•нарушение порядка и сроков представления сведений о не совершеннолетних, нуждающихся в передаче на усыновле ние, под опеку и др. (1931).
Впроекте Кодекса РФ об административных правонаруше ниях предлагается дополнить этот перечень новыми статьями (за счет обобщения части статей в действующем Кодексе), преду сматривающими административную ответственность за:
•нарушение порядка и сроков представления отчетной и иной обязательно представляемой информации, предостав ление неверной информации;
•отказ в предоставлении информации;
•злоупотребление свободой печати и массовой информации;
•воспрепятствование распространению продукции средств массовой информации;
•воспрепятствование приему радио- и телепрограмм;
•нарушение правил распространения обязательных сообще ний. Уголовная ответственность в этой сфере предусмотре на в Уголовном кодексе РФ в следующих статьях:
—ст. 140 — отказ в предоставлении гражданину инфор мации;
—ст. 237 — сокрытие информации об обстоятельствах, со здающих опасность для жизни или здоровья людей;
—ст. 287 — отказ в предоставлении информации Федеральному Собранию РФ или Счетной палате РФ.
Контрольные вопросы
1. |
Что та к о е н ац и о н ал ь н ы е |
интересы ? К а к и е д р у ги е виды и нтересов |
вам и з |
|
|
вестны? |
|
|
|
2. |
В чем м огут закл ю ч ать ся |
национальны е интересы России? |
|
|
3 . |
В чем закл ю ч ается н ац и о н аль н ая б езо пасно сть , ее опр ед ел ени я? |
|
||
4 . |
Что та к о е ур о в н и о б е с п е ч ен и я н ац и о н ал ь н о й |
б езо п асн о сти ? |
|
|
5 . |
В чем состоят основ ны е угрозы б е зо п асн о сти |
России? |
|
|
6 . |
К а к и е им ею тся о сно в ны е напр ав л ени я о б е с п е ч ен и я б езо п асн о сти |
и како в а |
||
|
их взаим осв язь с и н ф о р м а ц и о н н о й безопасно стью ? |
|
||
7 . |
Что та к о е и н ф о р м ац и о н н ая безопасно сть, каковы ее основны е аспекты ? |
||||||
8 . |
В чем |
закл ю ч аю тся ж и зн е н н о важ ны е |
интересы в и н ф о р м а ц и о н н о й сф ере |
||||
|
и угрозы ж и з н е н н о важ ны м интересам в и н ф о р м а ц и о н н о й сф ере? |
||||||
9 . |
У к а ж и т е основ ны е законы , отн осящ и еся |
к о р га н и за ц и и и ф у н кц и о н и р о в а н и ю |
|||||
|
системы |
и н ф о р м а ц и о н н о й б езо п асн о сти |
и защ иты и н ф о р м ац и и . |
||||
1 0 . |
У к а ж и т е |
основ ны е причины , со зд аю щ и е |
в о зм о ж н о сть п р и м ен ен и я и н ф о р м а |
||||
|
ц и о н н о го о р у ж и я против РФ. |
|
|
|
|
||
11 . |
Что та к о е и н ф о р м ац и о н н ая война и и н ф о р м а ц и о н н о е превосходство? |
||||||
1 2 . |
Что т а к о е и н ф о р м а ц и о н н о е о р у ж и е , каковы его |
р азно ви д ности ? |
|||||
1 3 . |
Каковы |
при нц и п ы , основны е |
зад ачи и ф ун кц и и о б есп еч ен и я и н ф о р м а ц и о н |
||||
|
ной б езо п асн о сти ? |
|
|
|
|
||
1 4 . |
В чем закл ю ч аю тся ф ун кци и |
го суд ар ств ен н о й |
системы по |
о б е с п е ч ен и ю и н |
|||
|
ф о р м ац и о н н о й безо п асн о сти ? |
|
|
|
|
||
15 . |
Каковы |
основ ны е отечественны е и зар уб еж н ы е |
стандарты |
в области и н ф о р |
|||
|
м ац и о н н о й б езо пасно сти ? |
|
|
|
|
||
16 . |
К а ка я систем а назы вается б езо п асн о й и какая н ад еж н о й ? |
|
|||||
17 . |
Како вы основ ны е предм етны е напр ав л ени я ЗИ? |
|
|
||||
18 . |
Что та к о е |
го суд ар ств ен н ая тайна? |
|
|
|
||
1 9 . |
Что та к о е |
ко м м ер ч е с ка я тайна? |
|
|
|
||
2 0 . |
Что та к о е сл у ж е б н а я тайна? |
|
|
|
|
||
2 1 . |
Что та к о е |
пр о ф есси о нал ь ная тайна? |
|
|
|
||
2 2 . |
Что та к о е персон аль ны е данны е? |
|
|
|
|||
2 3 . |
Что т а к о е и сто ч н и ки права на доступ к и нф орм ац ии ? |
|
|||||
2 4 . |
Каковы у р о в н и д о ступа к и нф орм ац ии с то ч ки зр ен и я законод ател ьств а? |
||||||
2 5 . |
Что т а к о е |
и н ф о р м ац и я о гр а н и ч е н н о го р асп р о стр ан ен и я? |
|
||||
2 6 . |
Како вы |
виды д о ступ а к и нф орм ац ии ? |
|
|
|
||
2 7 . |
В чем |
м о ж е т закл ю чать ся отв етств енность за |
н а р у ш е н и е |
зако нод ател ьств а |
|||
в и н ф о р м а ц и о н н о й сф ере?
Глава 2 УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СИСТЕМ ОБРАБОТКИ ИНФОРМАЦИИ И МЕТОДЫ БОРЬБЫ С НИМИ
В автоматизированных системах обработки информации (СОИ), в состав которых может входить защищаемый ПК (часто сам ПК может рассматриваться как СОИ индивидуального поль зователя) могут возникать различного рода угрозы информаци онной безопасности.
Под такой угрозой в СОИ понимают возможность возникно вения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежела тельные воздействия на информацию (см. также рис. 1.1):
•нарушение (или опасность нарушения) физической целост ности;
•несанкционированная модификация (или угроза такой мо дификации);
•несанкционированное получение (или угроза такого полу чения);
•несанкционированное размножение информации.
2.1. Преднамеренные угрозы безопасности СОИ и направления защиты
Угрозы безопасности СОИ
Рассмотрим кратко преднамеренные угрозы безопасности СОИ. Реализация угрозы будет называться а т а к о й . Классифи кацию угроз безопасности можно проводить по различным при знакам (рис. 2.1).
Угрозы
безопасности
Рис. 2.1. Классы угроз безопасности СОИ
Цели реализации угрозы:
•нарушение конфиденциальности информации (информа ция в СОИ имеет большую ценность для ее владельца). Ее несанкционированное использование другими лицами на носит значительный ущерб интересам владельца;
•нарушение целостности информации (полная или частич ная дезинформация — ценная информация может быть ут рачена или обесценена путем ее несанкционированного удаления или модификации). Ущерб может быть намного больше, чем при нарушении конфиденциальности;
•частичное или полное нарушение работоспособности СОИ (нарушение доступности, так как диапазон услуг, предос тавляемых современными СОИ, весьма широк, отказ в об служивании может существенно повлиять на работу поль зователя).
Принципы воздействия на СОИ:
• атака с использованием с т а н д а р т н ы х к а н а л о в дос тупа субъекта системы (пользователя, процесса) к объекту (файлу данных, каналу связи и т. д.). Под доступом пони мается воздействие субъекта (выполнение некоторой опе рации) на объект, приводящее к возникновению информа ционного потока от объекта к субъекту. При этом происхо дит взаимодействие субъекта и объекта и, следовательно, изменяется состояние объекта. Воздействие, основанное на этом принципе, проще, более информативнее и от него легче защититься;
• атака с использованием с к р ы т ы х к а н а л о в . Под скры тым каналом понимается путь передачи информации, по зволяющий двум взаимодействующим процессам обмени ваться информацией таким образом, который нарушает системную политику безопасности. При этом используют ся лишь побочные эффекты от взаимодействия двух субъ ектов, что не оказывает влияние на состояние системы. Здесь воздействие организовывать относительно трудно, принцип отличается меньшей информативностью и слож ностью обнаружения и устранения. Эти каналы бывают двух типов:
— с к р ы т ы е к а н а л ы с п а м я т ь ю (позволяющие про извести чтение или запись информации другого процесса непосредственно или с помощью промежуточных объек тов для хранения информации — временная память);
— с к р ы т ы е в р е м е н н ы е к а н а л ы (один процесс мо жет получать информацию о действиях другого процесса, используя интервалы между какими-либо событиями — например, интервал времени между началом и концом процесса ввода-вывода дает информацию о размере вво димой или выводимой информации).
Характер воздействия на СОИ:
•активное воздействие (всегда связано с выполнением пользователем каких-либо действий, выходящих за рамки его обязанностей и нарушающих существующую политику безопасности — доступ к определенным наборам данных, программам, вскрытие пароля и т. д.). В результате изме няется состояние системы (осуществляется с использова нием доступа и/или с использованием доступа и скрытых каналов);
•пассивное воздействие (осуществляется путем наблюдения каких-либо побочных эффектов и их анализа — например, прослушивание линии связи между двумя узлами сети). При этом нарушается только конфиденциальность инфор мации (так как при нем никаких действий с объектами и субъектами не производится), а состояние системы не из меняется.
Причины появления используемой ошибки защиты. Реализация какой-либо угрозы становится возможной, если в системе име ется ошибка или брешь в защите. Ошибка может быть обуслов лена одной из следующих причин:
•неадекватность политики безопасности реальной СОИ (разработанная для данной системы политика безопасно сти настолько не отражает реальные аспекты обработки информации, что становится возможным использование этого несоответствия для выполнения несанкционирован ных действий). Модель никогда не может точно соответст вовать реальной системе, но в одних случаях это не может приводить к нарушениям, а в других — может. Такие дей ствия даже нельзя назвать несанкционированными, по скольку защита от них не предусмотрена политикой безо пасности и система защиты в принципе неспособна их предотвратить (необходимо разработать новую политику безопасности);
•ошибки административного управления, под которыми по нимается некорректная реализация или поддержка приня-
той политики безопасности в данной системе (например, неправильное определение прав доступа к определенным наборам данных);
• ошибки в алгоритмах программ, в связях между ними и т. д., которые возникают на этапе проектирования программных продуктов и благодаря которым их можно использовать совсем не так, как описано в документа ции (например, ошибка в программе аутентификации пользователя системой дает возможность с помощью оп ределенных действий пользователю войти в систему без пароля);
•ошибки реализации программ (ошибки кодирования), свя зей между ними и т. д., которые возникают на этапе реали зации или отладки. Они могут служить источником недо кументированных свойств (например, люки, которые обна
ружить труднее всего).
Способы активного воздействия на объект атаки:
•непосредственное воздействие на объект атаки, в том числе
сиспользованием привилегий (например, непосредствен ный доступ к набору данных, программе, службе, каналу связи и т. д.), воспользовавшись какой-либо ошибкой (нуж но применить контроль доступа);
•воздействие на систему разрешений, в том числе с захватом привилегий (здесь несанкционированные действия выпол няются относительно прав пользователей, а сам доступ к объекту потом осуществляется законным образом — на пример, захват привилегий);
•опосредованное воздействие через других пользователей, в том числе:
—«маскарад», когда пользователь присваивает себе ка ким-либо образом полномочия другого, выдавая себя за него;
—«использование вслепую» (один пользователь заставляет другого выполнить необходимые действия, которые для системы защиты не выглядят несанкционированными — для этой угрозы может использоваться вирус, который выполняет необходимые действия и сообщает тому, кто его внедрил о результате). Для предотвращения подобных действий требуется постоянный контроль за работой СОИ в целом и со стороны пользователей за своими набо рами данных.