Текст книги "Правовые аспекты системы безопасности"

Группа ПДТР является самостоятельным подразделением СБ и подчиняется руководителю СБ. В своей деятельности группа ПДТР руководствуется нормативными документами по ЗИ.

Данное направление в ЗИ характеризуется тем, что ЗЛ для получения информации использует самые разнообразные технические средства, начиная с традиционно визуального наблюдения за деятельностью банка и заканчивая проникновением в помещение банка с целью установки закладных устройств.

Отличительной особенностью данного направления является то, что защищаемая информация имеет, как правило, кроме основной среды передачи информации еще несколько побочных сред. Поясним это на примере. Пусть два сотрудника банка, находясь в выделенном помещении, ведут деловой разговор. Для них основной средой передачи информации является воздушное пространство. Предположим, что ЗЛ находится в пределах видимости, но за пределами контролируемой зоны. Тогда он может получить информацию с помощью направленных микрофонов, визуального наблюдения артикуляции губ разговаривающих сотрудников, с помощью лазерного съема информации со стекол окон банка, за которыми происходит разговор, и возможно с использованием радиозакладок. Наличие нескольких сред основного сигнала показано на рис. 7.

Из приведенного примера следует, что информация может иметь несколько различных форм представления и для каждой ее формы существует не одна, а несколько сред ее существования. Следовательно, основная цель ПДТР состоит в том, чтобы контролировать и блокировать весь спектр колебаний, начиная от единиц герц и заканчивая рентгеновским излучением. Таким образом, общая постановка данного направления ЗИ может быть представлена схемой:

"Источник информации → Среда → Сигнал → Приемник ЗЛ"

Рис. 7. Среды опасного сигнала

Исходя из представленной схемы определяются задачи группы ПДТР и возникает методология ЗИ от технических средств разведки, которая включает в себя следующие ключевые моменты:

1. Определение источников информации.

2. Определение сред, где может существовать информация.

3. Определение опасных сигналов в выявленных средах.

4. Измерение величины опасного сигнала.

5. Уменьшение величины или скрытие (зашумление) опасного сигнала в соответствии с нормативными документами.

Группа защиты информации от НСД в ЭВМ является самостоятельным структурным подразделением СБ и подчиняется начальнику СБ. Целью деятельности группы НСД является защита информации, обрабатываемой в ЭВМ и передаваемой по линиям связи. В своей деятельности группа НСД руководствуется нормативными документами, национальными и международными стандартами по обработке и ЗИ. В целях экономии средств на разработку программного обеспечения и систем защиты допускается привлечение специалистов сторонних организаций.

Блокирование НСД к информации в ЭВМ является в настоящее время весьма актуальной и сложной задачей. Это обусловлено различными причинами, к которым в первую очередь следует отнести: невозможность без ЭВМ эффективной работы банка; реализацию сложных сетевых режимов работы; присутствие человеческого фактора.

Угрозы НСД носят алгоритмический характер, многие задачи которого не решены в настоящее время. Сформулируем основные проблемы данного направления. Это в первую очередь система разграничения доступа. Данная проблема предусматривает отсутствие возможности как несанкционированного считывания, так и несанкционированной записи информации. В противном случае будет нанесен ущерб законному владельцу информации (нарушение безопасности информации). Сложность данной проблемы заключается в том, что ПЭВМ разрабатывается из предрасположенности к ее пользователю, а вопросы ЗИ считаются второстепенными, т. к. они ограничивают возможности пользователей.

Системы разграничения доступа обычно базируются на моделях матричного типа и реализуются в виде специальных компонент операционных систем или систем управления базами данных. Однако они имеют существенный недостаток – необходимость детального описания прав каждого пользователя для каждой технологической ситуации, что делает их достаточно громоздкими.

Для преодоления указанного недостатка используют иерархические или многоуровневые модели защиты, которые используют концепцию ядра безопасности. При этом создание ядра безопасности как изолированной совокупности программно-аппаратных средств имеет тот недостаток, что необходимо доказать корректность его функционирования, а также появляется проблема полной формальной верификации.

В обоих случаях на безопасность информации существенно влияет человеческий фактор. Данное обстоятельство обусловлено тем, что децентрализация доступа к разнородным информационным объектам, а также отсутствие эффективных средств изоляции программ и данных позволяет взломщикам (хакерам) получить доступ к защищаемой информации.

Вторая проблема НСД, тесно примыкающая к первой, это проблема создания надежных протоколов обмена информацией как между пользователями, так и во время работы всего вычислительного процесса. В настоящее время основные черты ее решения уже наметились как в вопросах стандартизации работы средств вычислительной техники, так и при использовании криптографических средств.

Третья проблема данного направления, объединяющая первые две, это проблема создания защищенных информационных технологий. Она является комплексной с функциональной и алгоритмической точек зрения. Отметим только, что проблема компьютерного вируса, так нашумевшая несколько лет назад, относительно просто решается в рамках защищенных информационных технологий путем соблюдения организационных, алгоритмических и профилактических мероприятий.

Резюмируя, можно сказать, что создание защищенных информационных технологий (создание защищенной программной среды) является главной задачей группы защиты информации от НСД.

Криптографическая группа является структурным подразделением СБ. В своей работе она руководствуется нормативными документами Гостехкомиссии РФ и «Инструкцией по обеспечению криптографической защиты банка».

Целью деятельности криптографической группы является обеспечение защиты информации при передаче ее по каналам связи. Основными задачами криптографической службы являются:

1) обеспечение аттестованными аппаратными и программными средствами криптографической защиты;

2) выработка ключей для пользователей;

3) инструктаж и контроль за работой пользователей при работе со средствами криптографической защиты;

4) проверка функционирования и ремонт средств криптографической защиты.

Криптографическая группа должна состоять только из штатных сотрудников банка. Ее состав и численность определяется производственной необходимостью.

Учебный центр (УЦ) является самостоятельным структурным подразделением СБ. В УЦ с помощью как штатного, так и привлеченного профессорско-преподавательского состава осуществляется подготовка и переподготовка сотрудников СБ и персонала объекта по различным спектрам проблемы обеспечения безопасности. Содержание и объем подготовки должны иметь теоретическую и прикладную направленность на основе соблюдения принципов оптимального сочетания фундаментализации и профессионализации обучения.

Основной учебной специализацией являются должностные обязанности сотрудников СБ и объекта. Учебные программы должны предусматривать формирование базовых основ правовых знаний по вопросам безопасности, психологическую, физическую, специальную, медицинскую, огневую, техническую подготовку.

Процесс обучения и переподготовки должен носить комплексный характер, обеспечивающий гармоничное сочетание учебной, научной и воспитательной работы, направленной на достижение высокого профессионализма слушателей.

Базовое обучение и подготовку желательно осуществлять по модульной схеме с учетом конкретных требований к профессиональным качествам каждого из обучаемых.

В структуре УЦ необходимо иметь специальное подразделение, предназначенное для решения задач определения на основе современных психофизиологических и иных методик профессиональной пригодности кандидатов для замещения вакантных должностей на объекте и его СБ.

Пресс-группа осуществляет функции по проведению целевых пропагандистских акций в интересах создания благоприятной для объекта защиты обстановки в конкурентной и партнерской среде, определяет объем информации об объекте, передаваемый в средства массовой информации, организует пресс-конференции и брифинги для российских и зарубежных корреспондентов, поддерживает деловые и неформальные отношения с источниками в СМИ. Важное место занимает анализ отечественной и иностранной прессы об объекте.

Группа собственной безопасности (ГСБ) является структурным подразделением СБ, подчиненным непосредственно первому руководителю службы безопасности объекта. ГСБ обеспечивает безопасность деятельности СБ объекта, защиту ее сотрудников, осуществляет комплексные мероприятия по предупреждению, выявлению и пресечению фактов противоправной деятельности со стороны сотрудников СБ, разрабатывает меры по защите информации и служебной тайны о службе безопасности объекта.

Вывод: мы рассмотрели концепцию и структуру СЗ банка на основе принципов мировой практики защиты. Однако, как подчеркивалось во введении, обеспечение безопасности для каждого конкретного случая является сугубо индивидуальным, т. к. имеются специфические особенности каждого объекта защиты. Выявление этих особенностей является сложной задачей, как при разработке конкретной концепции, так и построения и эксплуатации СЗ. Здесь необходима помощь опытных специалистов.

Это объясняется тем, что любое нарушение безопасности обусловлено тремя основными причинами:

1) недооценкой степени риска;

2) наличием нештатных ситуаций, которыми может воспользоваться ЗЛ (стандартность мышления разработчиков СЗ);

3) неблагоприятными внешними или внутренними условиями, а также их создание ЗЛ для инициации нештатных ситуаций.

Общая концепция безопасности банка позволяет строить отдельную концепцию для каждого направления защиты. Последующие главы детально раскрывают задачи и особенности работы каждой группы СБ.

Лекция 5. Организационно-правовое обеспечение защиты информации

Учебные вопросы:

1. Правовое регулирование и организация работ по защите информации.

2. Руководящие нормативно-технические, методические и организационные документы в области информационной безопасности.

3. Организационные мероприятия и процедуры по обеспечению защиты информации в автоматизированных системах.

Вопрос 1. Правовое регулирование и организация работ по защите информации

Вопросы развития и внедрения безопасных информационных технологий тесным образом связаны не только с решением научно-технических проблем, но и с вопросами правового регулирования общественных отношений в процессе информатизации. При этом их решение в большой степени зависит не только от уровня развития вычислительной техники, но и от признания за информацией статуса товара, продукта общественного производства. Установление в законодательном порядке права собственности на информацию является важнейшим аспектом формирования информационной политики государства.

Разработка и внедрение законодательной базы информатизации невозможны без активной государственной информационной политики, направленной на построение по единому замыслу организационно-правового механизма управления информационными процессами, увязанного с научно-технической программой информатизации.

Серьезным шагом в направлении создания правовых норм, закрепляющих права и обязанности граждан, коллективов и государства на информацию, является принятие Закона РФ "Об информации, информатизации и защите информации"[3]. В указанном законе определен правовой режим информации, правила, процедуры и распределение ответственности в области защиты информации в системах ее обработки, установлен порядок правовой защиты и гарантии реализации прав и ответственности субъектов информационных взаимоотношений.

В области информатизации закон разработан как базовый по признакам охвата важнейших направлений и условий, закрепления правовых институтов и форм отношений, имеющих значение для дальнейшего развития законодательства, разработки подзаконных актов и организационных структур в этой области.

Наиболее существенными с рассматриваемых позиций в законе являются:

– статья, устанавливающая общий правовой режим информации, в которой определено отношение к информации как к возможному объекту собственности граждан, коллективов, государства и общества в целом (общественное достояние), а также как к возможному объекту пользования, с учетом деления информации на категории открытого и ограниченного доступа;

– статья, закрепляющая за собственником информации права на действия по отношению к ней и признающая за информацией статуса имущества юридических лиц;

– статья, декларирующая право собственности на программно-информационную продукцию наряду с авторскими правами;

– статья, определяющая режим доступа к информации. Глава 4 закона полностью посвящена вопросам защиты информации и информационных систем, причем подчеркивается, что защита информации в системах ее обработки направлена на обеспечение важнейших конституционных прав личности, коллектива и государства, на охрану прав собственности, обеспечения безопасности населения, безопасности и обороноспособности страны. Физическим и юридическим лицам предоставлено право на защиту информации и систем ее обработки от преступных посягательств, несанкционированных действий и других видов угроз.

В статье 20 провозглашены цели защиты информации и систем ее обработки, статья 15 определяет требования к владельцу информационной системы по обеспечению уровня защиты информации в соответствии с правилами, установленными собственником информации, а статья 19 предусматривает создание государственной системы сертификации продукции по требованиям безопасности информации и лицензирования деятельности предприятий по оказанию услуг в области защиты информации.

Весьма важной с точки зрения осуществления права на информацию, защиту прав субъектов отношений в области информатизации является глава 3, в которой для физических и юридических лиц, являющихся участниками информационных отношений, гарантируются такие виды юридической защиты, как судебная защита, страхование интересов собственника, обеспечение возмещения ущерба, оказание юридической помощи и т. п.

Вопросы ответственности за нарушения и посягательства на информацию и информационные системы должны быть предусмотрены в уголовном и гражданском законодательстве. Однако ни в одном из уголовных кодексов бывших союзных республик нет статей, специально посвященных компьютерным преступлениям. Нет таких определений и в гражданском законодательстве и в нормах административного права об ответственности за нарушения в сфере использования средств вычислительной техники. Только в уголовном законе может быть определено, что именно является преступлением, то есть деянием, запрещаемым под страхом наказания. В законодательстве об административных правонарушениях устанавливаются нормы ответственности за правонарушения, не повлекшие общественно опасных последствий.

Действующее уголовное законодательство при небольшой корректировке может быть использовано при квалификации некоторых компьютерных преступлений. Так, умышленное уничтожение носителей с машинной информацией, уничтожение (удаление) файлов, изменение (модификация) записей файлов может квалифицироваться по статье 98 УК РФ "Умышленное уничтожение или повреждение государственного или общественного имущества". Для того чтобы заработали уголовно-правовые и административно-правовые нормы, необходимо, чтобы законом был установлен порядок санкционированного доступа к информации в автоматизированные системы (АС).

По действующему законодательству информация сама но себе предметом хищения быть не может, однако может использоваться для совершения других преступлению, например для получения сведений, составляющих государственную тайну, и дальнейшего их разглашения (статья 75 УК РФ).

Действующие правовые нормы трактуют понятие «хищение» как изъятие информации из пользования настоящим владельцем. При несанкционированном копировании никакого изъятия из пользования не происходит. Однако и нормы, касающиеся защиты авторских прав, не всегда подходят, хотя "Основами гражданского законодательства" они распространены на программно-информационную продукцию. Для реализации авторского права на компьютерную информацию соответствующие нормы должны быть включены в гражданский кодекс. В связи с этим представляется целесообразным ввести в законодательство норму, трактующую хищение информации как уголовное преступление.

Проблема квалификации компьютерных преступлений, ее "узкие места" и возможные перспективы решения достаточно полно изложена в работах [4, 5], откуда цитируются вышеуказанные предложения.

В качестве возможного правового решения этой проблемы можно привести некоторые положения проекта Закона Российской Федерации "Об ответственности за правонарушения при работе с информацией" [6].

Отличительной особенностью этого закона с точки зрения безопасности обрабатываемой информации можно признать статью 4, определяющую следующие основания уголовной, административной или дисциплинарной ответственности за совершенные правонарушения:

– нарушение технологии обработки информации, норм и требований по ее защищенности и правил доступа к ней;

– несанкционированный доступ к информации, программным средствам или в информационную систему;

– хищение информации (как оконченное преступление или действие в составе: государственной измены, шпионажа, промышленного шпионажа, незаконного присвоения, передачи и использования коммерческой тайны);

– неправомерное искажение, модификация и уничтожение информации и программных средств, изготовление заведомо непригодного программного обеспечения;

– изготовление и распространение программ-вирусов. Кроме того, статьи раздела 4, полностью посвященного компьютерным правонарушениям, предусматривают уровень ответственности различных групп субъектов правовых отношений за возможные нарушения норм, требований и правил, установленных по отношению к обрабатываемой информации и самим информационным системам.

Исходя из приведенных правовых актов и предложений, можно определенным образом прогнозировать состояние законодательства в области безопасности информации при существующих тенденциях его развития.

Определенные особенности содержит в себе проблема доказательства вины правонарушителя.

Зарубежные исследования показывают, что, несмотря на успехи отдельных злоумышленников в проникновении в компьютерные системы и сети, большую опасность представляют законные пользователи этих систем и сетей, которые повинны в 80 % правонарушений.

Учитывая то обстоятельство, что терминалами АС, узлами сетей и даже отдельными ПЭВМ пользуется большое количество официально допущенных к работе пользователей, задача поиска правонарушителя серьезно затрудняется. Хотя в состав программного обеспечения АС, не говоря уже о современных системах защиты информации от НСД, входят средства контроля и протоколирования действий пользователей и посторонних лиц, доказать вину конкретного субъекта, предъявляя ему в качестве улики его идентификатор или пароль, достаточно сложно по двум причинам. Во-первых, юридически очень сложно доказать, что эти атрибуты сохраняются в надлежащей тайне, к тому же пароли часто бывают групповыми. Во-вторых, такие улики и способ их нахождения не зафиксированы законодательно. Более того, эти улики не являются неотъемлемыми характеристиками личности, какими являются, например, подпись или отпечатки пальцев в криминалистике.

Поэтому для доказательств вины преступника или правонарушителя необходимо включить в законодательство нормы, дающие возможность использовать в целях доступа в АС средства аутентификации личности по характеристикам, присущим конкретному субъекту, какими являются за рубежом средства распознавания пользователей по голосу, отпечаткам пальцев, геометрии кисти руки, радужной оболочке глаз, динамическим характеристикам подписи и т. д.

При рассмотрении проблемы подтверждения личности правонарушителя с помощью технических средств возникают следующие вопросы:

– какими техническими средствами можно обеспечить подлинную аутентификацию пользователя АС при правомерном или несанкционированном доступе к информации?

– с какой вероятностью должен идентифицироваться пользователь АС в случае применения технических средств?

– какими методами или способами может быть признана подлинность пользователя АС?

И все же основная проблема правового регулирования вопросов безопасности информации лежит не в этой плоскости.

Любой закон будет действовать только при условии предусмотрения механизма его реализации в виде организационных структур, обеспечивающих выполнение положений этого закона на всех уровнях управления.

В этом смысле показательны законы Германии, Франции, директивы президента США по защите информации. Так, в Германии для реализации требований, правил и процедур по защите информации введен институт уполномоченных по защите, назначаемых законодательной властью, начиная от уровня федерального министерства внутренних дел и кончая уровнем администрации любой фирмы. Во Франции на республиканском уровне соответствующие функции по защите информации выполняются Национальной комиссией по информатике и свободам, а в США – руководящей группой по обеспечению безопасности.

Подобная иерархическая структура управления деятельностью по обеспечению безопасности информации предусмотрена в Законе [3] для координации, организационно-методического руководства деятельностью в этой области, контроля защищенности информации, осуществления других связанных с этим функций.

Правовые аспекты защиты информации наиболее тесно связаны с вопросами организации работ и процедурами технологического процесса обработки информации.

С помощью правовых норм должны быть решены такие вопросы, как отнесение информации к категориям открытого и ограниченного доступа, определение полномочий по доступу к информации, права должностных чип на установление и изменение полномочий, способы и процедуры доступа, порядок контроля, документирования и анализа действий персонала, ответственность за нарушение установленных требований и правил, а также соответствующие штрафные санкции.

Предложения по структуре законодательного обеспечения в области защиты информации изложены в [7].

Административное регулирование и практическая деятельность в области защиты информации в нашей стране были связаны на начальном этапе своего развития, в основном, с защитой государственных секретов. Государственные секреты защищали, прежде всего, от утраты, утечки в традиционной сфере обращения документов, в меньшей степени придавая значение их защите при автоматизированной обработке. Вполне естественно поэтому, что не уделялось должного внимания защите от несанкционированного уничтожения или искажения информации в автоматизированных системах. Лишь в области передачи информации по линиям связи учитывалась возможность утечки секретной и навязывания ложной информации, и велись работы по их предупреждению. В результате к концу 80-х годов сложилась ситуация, когда на государственном уровне отсутствовали утвержденные нормативно-технические требования по защите информации от НСД.

Единственным официальным документом, в очень общем виде определявшим требования в этой области, была инструкция по секретному делопроизводству, в ряде разделов которой содержались некоторые рекомендации по вопросам организации автоматизированной обработки информации. Это не означало, однако, что в стране не занимались серьезно вопросами защиты информации от НСД, но организована эта работа была и координировалась в лучшем случае на отраслевом уровне.

Для устранения этого недостатка по инициативе Гостехкомиссии СССР (ныне Гостехкомиссия России) была разработана Государственная научно-техническая программа по созданию средств вычислительной техники общего назначения в защищенном исполнении, в которой большое внимание уделялось проведению исследований и разработке нормативно-технических документов в области защиты информации от НСД.

Серьезным результатом интеграции в рамках одного государственного органа всего комплекса вопросов по защите информации стала разработка и становление государственной системы защиты информации, предусматривающей реализацию единой научно-технической политики по комплексной защите информации на всех уровнях управления [8].

Эта система предусматривает создание и функционирование органа управления государственной системой защиты информации в лице Гостехкомиссии, осуществляющей координацию деятельности органов и организаций в области защиты информации, обрабатываемой техническими средствами, организационно-методическое руководство этой деятельностью, разработку и финансирование научно-технических программ по защите информации, утверждения нормативно-технической документации, функции государственного органа по сертификации продукции по требованиям безопасности информации, лицензирование деятельности предприятий по оказанию услуг в этой области.

Деятельность по защите секретной информации в информационных системах должна осуществляться во взаимодействии с органами государственной безопасности. В этой работе Гостехкомисия должна опираться на ведущие научные центры страны, специализирующиеся в различных направлениях безопасности информации, и отраслевые и республиканские органы защиты информации, являющиеся следующим уровнем управления и связующим звеном с предприятиями и организациями, испытывающими потребность в защите информации.

На предприятиях в целях защиты информации в системах ее автоматизированной обработки должны создаваться службы обеспечения безопасности информации.

Государственная система защиты информации дополняется системой контроля защищенности информации в лине уполномоченных государством органов, осуществляющих обязательный контроль за выполнением требований по защите информации, являющейся собственностью государства. Такие контрольные органы могут предоставлять для собственников негосударственной конфиденциальной информации услуги по оценке соответствия уровня защищенности этой информации установленным требованиям.

Конкретная организационная структура государственной системы защиты информации может изменяться в зависимости от складывающейся в стране политической и экономической ситуации, роль Гостехкомиссии в этой системе может стать другой государственный орган управления.

Необходимость существования государственной системы защиты информации и соответствующих организационных структур подтверждается не только в условиях так называемой административно-командной системы, но и в странах с развитыми рыночными отношениями. Зарождающаяся правовая основа защиты информации, приобретающая особенно большое значение в условиях сосуществования различных форм собственности, может опираться только на конкретные организационные структуры, осуществляющие законотворческую деятельность и являющиеся базой механизма реализации законов. Нельзя забывать, что и органы юстиции как неотъемлемая принадлежность любого государства, в случае противоправной деятельности по отношению к информации должны опираться на какие-то организационные структуры.

Важными элементами государственной системы защиты информации являются подсистема лицензирования деятельности предприятий по оказанию услуг в области защиты информации и подсистема сертификации средств вычислительной техники по требованиям безопасности информации. Функционирование указанных подсистем должно стимулировать разработку и внедрение современных, высококачественных технических средств и защитить потребителя продукции и услуг от недобросовестной работы исполнителя.

Подсистема лицензирования направлена на создание условий, при которых право заниматься работами по защите информации для стороннего заказчика представлено только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию) [9].

Подсистема сертификации СВТ по требованиям безопасности информации, являющаяся частью государственной системы защиты информации, одновременно составляет часть государственной системы сертификации продукции, действующей под управлением органов стандартизации [10].

Более детально вопросы сертификации и лицензирования в области защиты информации изложены в пособие [20].

Важным организационным документом государственной системы защиты информации является "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники" [11]. Указанное положение устанавливает единый в стране порядок исследований, разработок, введения в действие и эксплуатации защищенных от НСД к информации СВТ и АС.

Положение определяет организационную структуру и порядок проведения работ, систему государственных нормативных актов, стандартов, руководящих документов по этой проблеме, порядок разработки и приемки защищенных СВТ и АС, порядок их эксплуатации и контроля защищенности. Система нормативно-технических документов, предусмотренная Положением, определяет работу в двух направлениях:

– разработка СВТ общего и специального назначения, защищенных от утечки, искажения или уничтожения информации, включая разработку программных и технических (в том числе криптографических) средств и систем защиты информации от НСД;

– разработка, внедрение и эксплуатация защищенных АС различного уровня и назначения, создаваемых как на базе защищенных СВТ, прошедших сертификационные испытания, так и на базе несертифицированных средств и систем, например систем собственной разработки.

Исходя из практических потребностей, в Положении определены различные варианты разработки защищенных СВТ (в том числе программных и технических средств защиты информации от НСД), среди которых предусматривается разработка:

– защищенных общесистемных программных средств (ОС, СУБД, телемониторов, сетевых программных средств);

– защищенных программных средств на базе общесистемного программного обеспечения, находящегося в эксплуатации и поставляемого вместе с незащищенными СВТ предприятиями-изготовителями или Государственным фондом алгоритмов и программ;