Защита информации от несанкционированного доступа (работа 2)

Введение

Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться ею ни с кем или не с каждым человеком. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и в дальнейшем расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцу получить какой-либо выигрыш: материальный, политический и т.д.

В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности - информационная безопасность, достигаемая за счет использования комплекса систем, методов и средств защиты информации предпринимателя от возможных злоумышленных действий конкурентов и с целью сохранения ее целостности и конфиденциальности.

Изменения, происходящие в экономической жизни России – создание финансово-кредитной системы, предприятий различных форм собственности оказывают существенное влияние на вопросы защиты информации.

В частности, к этой ситуации относится факт хищения технической и деловой информации. Как правило, это хищение связано с потерей стратегически важной информации, способной привести фирму к банкротству. Это хищение можно квалифицировать как преступление, так как ведет к потере материальных и финансовых ценностей.

Ответственность за защиту информации лежит на низшем звене руководства. Но также кто-то должен осуществлять общее руководство этой деятельностью, поэтому в организации должно иметься лицо в верхнем звене руководства, отвечающее за поддержание работоспособности информационных систем.

«Безопасность» необходимо рассматривать как качество развития мер безопасности, которые направлены на предотвращение внутренних и внешних угроз.

В этой связи становится актуальным рассмотреть вопрос, касающийся защиты документированной информации от несанкционированного доступа, выявить основные способы защиты информации.

Глава 1. Защита от несанкционированного доступа к информации. Термины и определения

Шифр – последовательность операций, проводимых над открытыми (закрытыми) данными и ключом с целью получения закрытой (открытой) последовательности.

Ключ – конкретное для каждого нового кода значение каких-нибудь характеристик алгоритма криптографической защиты.

Гамма шифра – это некоторая псевдослучайная последовательность заданной длины, используемая для шифрования.

Гаммирование – процесс наложения гаммы шифра на открытые данные.

Зашифровывание – процесс преобразования открытых данных в закрытые с помощью шифра и ключа.

Расшифровывание – процедура преобразования закрытых данных в открытые с помощью шифра и ключа.

Шифрование – зашифровывание и (или) расшифровывание.

Дешифрование – совокупность действий по преобразованию закрытых данных в открытые без знания ключа и (или) алгоритма зашифровывания.

Имитозащита – защита от ложной информации. Осуществляется по собственным алгоритмам, с помощью выработки имитовставки.

Имитовставка – последовательность данных определенной длины, полученных специальными методами гаммирования из открытых исходных данных. Содержимое имитовставки является эталоном для проверки всей остальной информации.

Доступ к информации (Accesstoinformation) - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.

Правила разграничения доступа (Securitypolicy) - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Санкционированный доступ к информации (Authorizedaccesstoinformation) - Доступ к информации, не нарушающий правила разграничения доступа.

Несанкционированный доступ к информации (Unauthorizedaccesstoinformation) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Защита от несанкционированного доступа (Protectionfromunauthorizedaccess) - предотвращение или существенное затруднение несанкционированного доступа.

Субъект доступа (Accesssub>ject) - лицо или процесс, действия которых регламентируются правилами разграничения доступа.

Объект доступа (Accessobject) - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.

Матрица доступа (Accessmatrix) - таблица, отображающая правила разграничения доступа.

Уровень полномочий субъекта доступа (sub>jectprivilege) - совокупность прав доступа субъекта доступа.

Нарушитель правил разграничения доступа (Securitypolicyviolator) - субъект доступа, осуществляющий несанкционированный доступ к информации.

Модель нарушителя правил разграничения доступа (Securitypolicyviolater'smodel) - абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.

Комплекс средств защиты (Trustedcomputingbase) - совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.

Система разграничения доступа (Securitypolicyrealization) - совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах.

Идентификатор доступа (Accessidentifier) - уникальный признак субъекта или объекта доступа.

Идентификация (Identification) - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Пароль (Password) - идентификатор субъекта доступа, который является его (субъекта) секретом.

Аутентификация (Authentication) - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.

Защищенное средство вычислительной техники (Trustedcomputersystem) - средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты.

Средство защиты от несанкционированного доступа (Protectionfacility) - пограммное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение несанкционированного доступа.

Модель защиты (Protectionmodel) - абстрактное (формализованное или Неформализованное) описание комплекса программно-технических средств и/или организационных мер защиты от несанкционированного доступа.

Безопасность информации (Informationsecurity) - состояние защищенности инфоpмации, обpабатываемой средствами вычислительной техники или автоматизированной системы от внутpенних или внешних угроз.

Целостность информации (Informationintegrity) - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).

Конфиденциальная информация (Sensitiveinformation) - информация, требующая защиты.

Дискреционное управление доступом (Discretionaryaccesscontrol) - разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.

Мандатное управление доступом (Mandatoryaccesscontrol) - разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.

Многоуровневая защита (Multilevelsecure) - защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности.

Концепция диспетчера доступа (Referencemonitorconcept) - концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам.

Диспетчер доступа (Securitykernel) - технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа; ядро защиты.

Администратор защиты (Securityadministrator) - субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации.

Метка конфиденциальности (Sensitivitylabel) - элемент информации, который характеризует конфиденциальность информации, содержащейся в объекте.

Верификация (Verification) - процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на надлежащее соответствие.

Класс защищенности средств вычислительной техники (Protectionclassofcomputersystems) - определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации.

Показатель защищенности средств вычислительной техники (Protectioncriterionofcomputersystems) - характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники.

Система защиты секретной информации (Secretinformationsecuritysystem) - комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в автоматизированных системах.

Система защиты информации от несанкционированного доступа (Systemofprotectionfromunauthorizedaccesstoinformation) - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах.

Средство криптографической защиты информации (Cryptographicinformationprotectionfacility) - средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

Сертификат защиты (Protectioncertificate) - документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и/или распространение их как защищенных.

Сертификация уровня защиты (Protectionlevelcertification) - процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите.

Глава 2. Основы правового регулирования отношений, связанных с конфиденциальной информацией

Законодательством Российской Федерации установлено, что документированная информация (документы), является общедоступной, за исключением отнесенной законом к категории ограниченного доступа.

При этом документированная информация с ограниченным доступом подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию. Оба указанных вида информации подлежат защите от незаконного распространения (разглашения) и относится к охраняемой законодательством тайне.

Отношения, возникающие при создании, накоплении, обработке, хранении и использовании документов, содержащих информацию, составляющую государственную тайну, регулируются соответствующими законодательными актами. Основным из них является Закон Российской Федерации “О государственной тайне” от 21 июля 1993 г. № 5485-1, с внесенными в него последующими изменениями. Имеется ряд подзаконных правовых нормативных актов, регламентирующих организацию защиты государственной тайны, ведение секретного делопроизводства, порядок допуска к государственной тайне должностных лиц и граждан Российской Федерации.

Порядок обращения с документированной конфиденциальной информацией регламентирован в целом ряде законодательных актов и, в первую очередь, в Конституции Российской Федерации.

Так, Конституцией Российской Федерации (ст.23) установлено право граждан на неприкосновенность личной жизни, личной и семейной тайны, тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. При этом ограничение этого права допускается только на основании судебного решения.

В Федеральном законе “Об информации, информатизации и защите информации” конфиденциальная информация определяется как документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (ст.2).

Обобщенное понятие конфиденциальной информации в значительной мере конкретизировано в перечне сведений конфиденциального характера, утвержденном Указом Президента Российской Федерации от 6 марта 1997 г. № 188. Согласно данному перечню сведения конфиденциального характера группируются по нескольким основным категориям.

Во-первых, это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Второй категорией указанных сведений является информация, составляющая тайну следствия и судопроизводства.

Далее в перечне определена группа служебных сведений, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.

Другой группой сведений в перечне указана информация, связанная с профессиональной деятельностью, доступ к которой ограничен в соответствии с конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных разговоров и т.д.)

К следующей группе конфиденциальных сведений отнесена информация, связанная с коммерческой деятельностью, доступ к которой ограничен в соответствии с гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

И завершается перечень сведений конфиденциального характера информацией о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них.

Ряд вопросов, связанных с защитой конфиденциальной информации, регулируется Уголовно-процессуальным кодексом Российской Федерации.

Так, в нем имеются положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых отправлений, телеграфных и иных сообщений.

Глава 3. Правовая защита конфиденциальной информации и ответственность за неправомерные действия в отношении этой информации

Защита конфиденциальной информации от неправомерных посягательств на основе норм гражданского, административного либо уголовного права.

Поскольку ГК РФ относит конфиденциальную информацию к нематериальным благам (ст.150), защита гражданских прав юридических и физических лиц, связанных с конфиденциальной информацией, регулируются преимущественно соответствующими нормами гражданского законодательства.

Так, ст.11 Части первой ГК РФ предусматривает судебную защиту гражданских прав. Защиту нарушенных или оспоренных гражданских прав, согласно этой статье осуществляет в соответствии с подведомственностью дел, установленной процессуальным законодательством, суд, арбитражный суд или третейский суд.

ГК РФ определены также способы защиты гражданских прав (ст.12), большинство которых могут применяться в связи с защитой конфиденциальной информации.

Основными способами такой защиты являются:

- пресечение действий, нарушающих право на защиту конфиденциальной информации или создающих угрозу его нарушения;

- восстановление положения, существовавшего до нарушения права на защиту конфиденциальной информации;

- прекращение или изменение конкретного правоотношения, связанного с конфиденциальной информацией.

УК РФ также содержит ряд положений, относящихся к защите конфиденциальной информации и ответственности за ее неправомерное использование (ст. 137,138,310).

Ст.138 УК РФ предусматривает ответственность за другие правонарушения, связанные с нарушением права на защиту конфиденциальной информации. В ней определена ответственность за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

Установлено, что нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается штрафом или исправительными работами.

Ст.138 УК РФ предусматривает также, что это же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью.

Следует иметь в виду, что нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений имеет место в случае незаконного ознакомления с перепиской, почтовыми или телеграфными сообщениями, прослушиванием чужих переговоров. Таким же нарушением является ознакомление с информацией, поступившей по телетайпу, телефаксу и другим телекоммуникациям.

Статьей 13.12 Кодекса АП предусмотрена ответственность за нарушение правил защиты информации. Так, нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), влечет наложение административного штрафа.

Мера ответственности за разглашение информации с ограниченным доступом, в том числе конфиденциальной информации, установлена статьей 13.14 Кодекса АП. В соответствии с этой статьей разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа.

Глава 4. Порядок учета, хранения и использования документов, содержащих конфиденциальную информацию

конфиденциальный информация учет хранение

В законодательных актах РФ не регламентирован в полной мере порядок учета, хранения и использования документов, содержащих конфиденциальную информацию.

Вместе с тем, в некоторых законах содержатся отдельные положения, определяющие общие принципы учета, хранения и использования документов, содержащих конфиденциальную информацию.

В целом же, в РФ не имеется нормативного правового акта, который устанавливал бы единый порядок учета, хранения и использования документов, содержащих конфиденциальную информацию. Это объясняется тем, что понятие «конфиденциальная информация» включает в себя самые разные категории информации ограниченного доступа. По этой же причине крайне сложной и вряд ли целесообразной представляется разработка какого-либо единого нормативного документа, регламентирующего работу с документами, содержащими все виды конфиденциальной информации.

Вместе с тем, в некоторых федеральных органах исполнительной власти и коммерческих структурах имеются нормативные акты или методические документы, устанавливающие порядок обращения с конфиденциальной информацией и документами, ее содержащими.

Указанные акты могут быть оформлены в виде положений, правил, инструкций и преимущественно носят обязательный характер.

Как правило, документы, регламентирующие работу с носителями конфиденциальной информации, предназначены сугубо для внутреннего использования и имеют определенные ограничения в доступе, часто с ограничительным грифом “Для служебного пользования”.

По этой причине в данной работе невозможно изложить достаточно подробно требования, предъявляемые к работе с документами, содержащими конфиденциальную информацию, тем более со ссылками на конкретные акты.

Вместе с тем, допустимой является характеристика основных принципов этой работы, которые носят преимущественно универсальных характер и которыми руководствуются при организации защиты конфиденциальной информации.

Любая организация, независимо от формы собственности, заинтересованная в сохранении того или иного вида информации, принимает меры к регламентации деятельности своих подразделений и отдельных работников, связанной с этой информацией. Как правило, при этом устанавливается порядок создания носителей информации (документов на бумажной основе, машинных и электронных документов), их учета, режима хранения, доступа к ним, использования информации ограниченного распространения, уничтожения носителей информации.

Одним из главных правил работы с документами, содержащими конфиденциальную информацию, является определение категорий сведений, подлежащих защите в данной организации. Для этого в организации должен быть разработан типовой или примерный перечень сведений ограниченного распространения, которые содержатся в документах, образующихся в процессе деятельности данной организации. В перечень включаются не только сведения, которые имеются в документах, создаваемых организацией, но и сведения, получаемые из других источников, если необходимо обеспечить их конфиденциальность.

Указанный перечень согласуется с заинтересованными подразделениями, а также, если будет признано целесообразным, с организациями – партнерами, после чего утверждается руководителем организации и вводится в действие.

Далее в организации разрабатывается порядок оформления, учета, хранения, отправления, использования и уничтожения документов, содержащих конфиденциальную информацию.

Наиболее удобным при оформлении документов ограниченного распространения является присвоение им соответствующего ограничительного грифа, например, - “Для служебного пользования ” или “Конфиденциально”.

Для внутреннего и внешнего обращения документов, содержащих конфиденциальную информацию, в организации и подчиненных ей подразделениях создается система учета этих документов. Эта система предусматривает регистрацию документов на всех стадиях их прохождения, начиная с создания (тиражирования) и завершая их уничтожением. Система учета может быть традиционной – в виде комплексов журналов учета, либо автоматизированной (на базе ПЭВМ и ЛВС) с необходимыми элементами защиты информации.

В акте, регламентирующем работу с документами, содержащими конфиденциальную информацию, должен быть, как отмечалось, определен порядок хранения этих документов у исполнителей, в подразделении документационного обеспечения или режимном подразделении организации, порядок отправки и получения документов, выдачи их исполнителям, тиражировании, исполнения запросов по данным документам и другие вопросы.

В частности, следует установить порядок снятия ранее введенных ограничений в использовании документов, содержащих конфиденциальную информацию, а также внесения соответствующих изменений в учеты.

Безусловно, необходимой является регламентация проверок выполнения установленных требований в работе с документами ограниченного распространения, включая проверки сохранности документов.

В большинстве организаций негосударственной формы собственности по аналогии с государственными органами устанавливается порядок допуска работников к различным категориям сведений ограниченного распространения. В зависимости от специфики деятельности той или иной организации решение вопросов допуска возлагается на режимное подразделение, подразделение документационного обеспечения или кадровую службу. Однако в любом случае координирующая роль в решении этих вопросов должна быть у режимного подразделения организации.

Выбор той или иной системы защиты конфиденциальной информации в негосударственных структурах зависит от руководства этих структур, которые, с учетом ценности защищаемой информации, определяют средства и методы охраны указанных сведений, в том числе правила работы с документами. При этом гарантирующим в максимальной степени сохранность информации является порядок работы с документами, близкий или аналогичный тому, который установлен для документов, содержащих сведения, составляющие государственную тайну.

Для организации и осуществления мероприятий по защите информации в любом учреждении, независимо от формы собственности, требуются определенные условия, важнейшими из которых являются наличие регламентирующей базы, квалифицированного персонала подразделения по защите информации и необходимых материально-технических средств.4

Таковы, в целом, основные правила защиты конфиденциальной информации.

Заключение

Комбинированием средств защиты можно добиться относительно хорошей защищенности информации. Невозможно абсолютно защитить информацию от несанкционированного доступа (взлома). Любой из этих способов поддается взлому в некоторой степени. Вопрос в том, будет ли выгодно взламывать или нет. Если затраты ресурсов на защиту (стоимость защиты) больше чем затраты на взлом, то система защищена плохо.

Не существует никаких "абсолютно надежных" методов защиты информации, гарантирующих полную невозможность получения несанкционированного доступа. Можно утверждать, что достаточно квалифицированные системные программисты, пользующиеся современными средствами анализа работы программного обеспечения (отладчики, дизассемблеры, перехватчики прерываний и т.д.), располагающие достаточным временем, смогут преодолеть практически любую защиту от несанкционированного доступа. Этому способствует "открытость" операционной системы MS-DOS, которая хорошо документирована и предоставляет любой программе доступ к любым программным и аппаратным ресурсам компьютера.

Поэтому при проектировании системы защиты от несанкционированного доступа следует исходить из предположения, что рано или поздно эта защита окажется снятой.

Иногда защищать программы от копирования вообще нецелесообразно. Фирма Microsoft в основном не защищает от копирования свои программные продукты.

Таким образом, для выбора способа организации защиты от НСД и от копирования необходим индивидуальный подход в каждом конкретном случае.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

    Федеральный Закон «Об информации, информатизации и защите информации» от 25.01.1995 г. № 24-ФЗ (в ред. Федерального закона от 10.01.2003 N 15-ФЗ).

    Закон Российской Федерации “О государственной тайне” от 21 июля 1993 г. № 5485-1.

    Андреева В.И. Понятие документа и делопроизводства. // Журнал "Справочник секретаря и офис-менеджера". №8. 2006. С. 22.

    Бачило И.Л. Современные правовые проблемы документирования информации Документация в информационном обществе: электронное делопроизводство и электронный архив. М.: ВНИИДАД, 2000. 234 с.

    Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право, учебник. Спб.: Юридический центр Пресс, 2001. 225 с.

    Гедрович Ф.А. Цифровые документы: проблемы обеспечения сохранности // Вестник архивиста. № 1. 2004. С.120-122.

    Клименко С.В., Крохин И.В., Кущ В.М., Лагутин Ю.Л. Электронные документы в корпоративных сетях. М., 2001. 345с.

    Копылов В.А. Информационное право: Учебное пособие. М.: Юрист, 2003. 456 с.

    Кушнаренко Н.Н. Документоведение. Киев: Знание, 2000 .460 с.

    Ларьков Н.С. Документоведение. М.: Издательство АСТ, 2006. 427 с.

    Стенюков М.В. Документоведение и делопроизводство: Конспект лекций. Делопроизводство. М.: ПРИОР, 2006. 173 с.

    13.Фатьянов А.А. Правовое регулирование электронного документооборота учебно-практическое пособие (Серия "Библиотечка "Российской газеты"). М.: Издательство: Российская газета. Вып. 21. 2005.