Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в локальных сетях

⇐ Предыдущая 54 55 56 575859 60 61 62 63 Следующая ⇒

Оценку уровня безопасности целесообразно проводить по трем классам: I, II и III имея в виду, что по I классу оцениваются локальные сети, в которых средствами защиты перекрыты все перечисленные в табл. 37.1 возможные каналы несанкционированного доступа, по II классу — локальные сети, в которых могут отсутствовать средства защиты от несанкционированного доступа со стороны линий связи и каналов ПЭМИН, по III классу — локальные сети, в которых перекрыт только несанкционированный доступ к персональным компьютерам (см. класс 3 в табл. 5, гл. 1, разд. 7), серверам, средствам контроля и управления функционированием и безопасностью информации. Оценка уровня безопасности внутри класса производится в результате количественной оценки прочности каждого средства защиты, перекрывающего количество возможных каналов несанкционированного доступа в соответствии с присвоенным локальной сети классом.

Критериями оценки уровня безопасности информации в локальных сетях может быть выбрана группа показателей, полученных в результате расчета прочности отдельных средств защиты, составляющих в целом систему защиты. Поэтому с учетом табл.1 целесообразным для оценки уровня безопасности информации в локальных сетях использовать следующую группу показателей:

Р _К _ЛВС - уровень безопасности информации от преднамеренного несанкционированного доступа, контролируемого системой защиты локальной сети;

Р _Ш _ЛВС- уровень безопасности информации на ВКНСД, выходящих за пределы возможностей системы контроля несанкционированного доступа.

При этом оценка прочности средства защиты, перекрывающего один ВКНСД, определяется соответственно по формулам 4 и 15, гл. 1, разд.3, а расчет суммарной прочности защиты при применении на одном ВКНСД нескольких средств защиты производится по формуле 18, гл. 1, разд.3. В конечном итоге значение прочности защиты для контролируемых ВКНСД можно определить на основе выражения:

P_K _ЛКС = P_K _PC U[1-(1- Р₁)(1- Р₂)(1- P₃)(1- P₅)]U[1-(1- P₁)(1- P₂)(1- P₆)]U[1-(1- P₁)(1- P₂)(1- P₃)(1- P₇)]U[1-(1- P₁)(1- P₂)]U[1-(1- P₁)(1- P₂)(1- P₈)(1- P₅)]U[1-(1- P₁)(1- P₂)(1- P₃)(1- P₇)(1- P₅)]

для неконтролируемых ВКНСД:

P_{Ш ЛВС} = P_Ш_PC U P₄ U P₉ U P₁₀

Раздел VIII. Организационно-правовое обеспечение информационной безопасности

Законодательные меры по обеспечению безопасности информации от несанкционированного доступа заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц, пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.

Цель законодательных мер — предупреждение и сдерживание потенциальных нарушителей. В настоящее время в Уголовном кодексе предусматривается три главы, посвященных компьютерным преступлениям.

Глава 1. Информация как объект права собственности.

По "существу сфера безопасности информации — не защита информации, а защита прав собственности на нее.

Рассмотрим особенности информационной собственности.

Исторически традиционным объектом права собственности является материальный объект. Фактически право собственности до настоящего времени являлось вещным правом.

Информация не является материальным объектом, информация — это знание, т. е. отражение действительности в сознании человека (причем истинное или ложное отражение — не существенно, важно, что в сознании). В дальнейшем информация может воплощаться в материальные объекты окружающего нас мира.

Не являясь материальным объектом, информация неразрывно связана с материальным носителем, это — мозг человека или отчужденные от человека материальные носители, такие, как книга, диск и другие виды "памяти" (запоминающие устройства).

С философской точки зрения, видимо, можно говорить об информации как об абстрактной субстанции, существующей сама по себе, но для нас ни хранение, ни передача информации без материального носителя невозможны.

Как следствие, информация как объект права собственности копируема (тиражируема) за счет материального носителя. Материальный объект права собственности некопируем. Действительно, если рассмотреть две одинаковые вещи, то они состоят из одинаковых структур, но материально разных молекул. А информация при копировании остается той же, это — то же знание, та же семантика.

Как следствие, информация как объект права собственности легко перемещается к другому субъекту права собственности без очевидного (заметного) нарушения права собственности на информацию. Перемещение материального объекта к другому субъекту права собственности неизбежно и, как правило, влечет за собой утрату этого объекта первоначальным субъектом права собственности, т. е. происходит очевидное нарушение его права собственности.

Опасность копирования и перемещения информации усугубляется тем, что она, как правило, отчуждаема от собственника, т. е. хранится и обрабатывается в сфере доступности большого числа субъектов, не являющихся субъектами права собственности на эту информацию. Это, например, автоматизированные поисковые системы, информационные сети и т.п.

Рассмотрев особенности информации как объекта права собственности, подчеркнем, что в остальном информация, очевидно, ничем не отличается от традиционных объектов права интеллектуальной собственности.

Право собственности включает три правомочия собственника, составляющих содержание (элементы) права собственности: право распоряжения; право владения; право пользования.

Субъект права собственности на информацию может передать часть своих прав (распоряжение), не теряя их сам, другим субъектам, например "хранителю", т. е. владельцу материального носителя информации (это — владение или пользование) или пользователю (это — пользование и, может быть, владение).

Для информации право распоряжения подразумевает исключительное право (т. е. никто другой, кроме собственника) определять, кому эта информация может быть предоставлена (во владение и пользование).

Право владения подразумевает иметь эту информацию в неизменном виде. Право пользования подразумевает право использовать эту информацию в своих интересах.

Таким образом, к информации, кроме субъекта права собственности на эту информацию, могут иметь доступ другие субъекты права собственности как законно, санкционирование (это — субъекты права на элементы собственности), так и незаконно, несанкционированно. Возникает сложная система взаимоотношений между этими субъектами права собственности.

Эти взаимоотношения должны регулироваться и охраняться, так как отклонения от них могут привести к перемещению информации, что влечет за собой нарушение права собственности субъекта на эту информацию. Другими словами, речь идет о реализации права собственности на информацию. Под этим будем понимать государственную или частную (или государственно-частную) инфраструктуру, предотвращающую нарушение права собственности на информацию.

В принципе, как и для любого объекта собственности, такая инфраструктура состоит из цепочки: законодательная власть — судебная власть — исполнительная власть (закон — суд — наказание).

Закон должен предусматривать ответственность и полномочия субъектов права собственности (на элементы собственности). Каждый такой субъект в рамках предоставленных ему собственником полномочий несет перед ним ответственность за предусмотренное законом и подтвержденное судом превышение этих полномочий, которое привело или могло привести к нарушению права собственности собственника информации.

Итак, несмотря на ряд особенностей, информация наряду с традиционными материальными объектами может и должна рассматриваться законом как объект права собственности.

Любой закон о собственности в целях защиты права собственника, зафиксировав субъекты и объекты права собственности, должен регулировать отношения между ними. Особенности регулирования этих отношений зависят от специфики объектов права собственности.

В рассматриваемом случае информационной собственности ввиду перечисленных выше особенностей информации как объекта права собственности (копируемость, перемещаемость, отчуждаемость) закон должен регулировать отношения субъектов, а также субъектов и объектов права собственности на информацию в целях защиты прав как собственника, так и законных владельцев и пользователей информации для защиты информационной собственности от разглашения, утечки — несанкционированного ознакомления с ней, ее обработки, в частности копирования, модификации или уничтожения. Учитывая возможность хищения информации вместе с ее носителем, необходимо указать и на эту угрозу, в результате осуществления которой могут также произойти утечка и утрата информации. Под модификацией информации понимается несанкционированное ее изменение, корректное по форме и содержанию, но другое по смыслу.

В правовой практике России информация определяется в качестве объекта права в первой части Гражданского кодекса РФ (ст. 128), принятой Государственной Думой 21.10.94 г. Федеральным законом "Об информации, информатизации и защите информации" от 20.02.95 г. определено, что информационные ресурсы, т. е, отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как материальное имущество собственника (ст. 4.1, ст. 6.1). Этим же законом впервые вводится понятие документированной информации с ограниченным доступом (ст. 10.2), которая подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию (т. е. представляющую коммерческую, личную, служебную и другие тайны).

Таким образом, можно определить цель обеспечения безопасности информации, которая заключается в защите прав собственности на нее, и задачи безопасности информации, которые заключаются в защите ее от утечки, модификации и утраты.

Глава 2. Информация как коммерческая тайна

Понятие "коммерческой тайны" введено в практику Российской Федерации с 1 января 1991 г. статьей 33 закона "О предприятиях в СССР", и сформировано на сегодняшний день в Федеральном законе Российской Федерации от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» статья 3 которого гласит:

1) коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

2) информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны;

3) режим коммерческой тайны - правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности;

4) обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны;

5) доступ к информации, составляющей коммерческую тайну, - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации;

6) передача информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности;

7) контрагент - сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию;

8) предоставление информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций;

9) разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

Для того чтобы иметь возможность контролировать деятельность предприятий, правительство России выпустило 5 декабря 1991 г. постановление № 35 "О перечне сведений, которые не могут составлять коммерческую тайну". Положения данного закона отражены в статье 5 Федерального закона Российской Федерации от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»

Порядок защиты государственной тайны регулируется Законом РФ "О государственной тайне" (От 21 июля 1993 года, № 5485-1 (в ред. Федерального закона от 06.10.97 № 131-ФЗ) и связанным с данным законом постановлением Правительства РФ "Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности" от 4.09.95 г. № 870.

Защита информации и прав субъектов в области информационных процессов и информатизации регулируется главой 5 Федерального закона РФ № 24-ФЗ "Об информации, информатизации и защите информации", принятого 20 февраля 1995 г.

По вопросам связанным с защитой государственной тайны, поскольку это достаточно емкий самостоятельный информационный блок, к тому же достаточно специфичный в рамках данного учебного пособия, рекомендуем студентам обратиться к специальной литературе, где данный вопрос хорошо рассмотрен и на этот счет имеется достаточно много материала (рекомендуем начинать с журнала "Вопросы защиты информации" ВИМИ за 1995 г. и соответствующего закона «О гостайне»).

Здесь считаем целесообразным уделить некоторое внимание вопросу коммерческой тайны.

В приведенном ниже перечне сведения сгруппированы по тематическому принципу. Предлагаемое разделение на группы носит рекомендательный характер и может быть изменено в зависимости от специфики сведений, составляющих коммерческую тайну конкретного предприятия (организации). Сведения, включенные в данный перечень, могут быть коммерческой тайной только с учетом особенностей конкретного предприятия (организации).

1. Сведения о финансовой деятельности: прибыль, кредиты, товарооборот; финансовые отчеты и прогнозы; коммерческие замыслы;

фонд заработной платы;

стоимость основных и оборотных средств;

кредитные условия платежа;

банковские счета;

плановые и отчетные калькуляции.

2. Информация о рынке:

цены, скидки, условия договоров, спецификация продукции;

объем, история, тенденции производства и прогноз для конкретного продукта;

рыночная политика и планы;

маркетинг и стратегия цен;

отношения с потребителями и репутация;

численность и размещение торговых агентов;

каналы и методы сбыта;

политика сбыта;

программа рекламы.

3. Сведения о производстве и продукции:

сведения о техническом уровне, технико-экономических характеристиках разрабатываемых изделий;

сведения о планируемых сроках создания разрабатываемых изделий;

сведения о применяемых и перспективных технологиях, технологических процессах, приемах и оборудовании;

сведения о модификации и модернизации ранее известных технологий, процессов, оборудования;

производственные мощности;

состояние основных и оборотных фондов;

организация производства;

размещение и размер производственных помещений и складов;

перспективные планы развития производства;

технические спецификации существующей и перспективной продукции;

схемы и чертежи отдельных узлов, готовых изделий, новых разработок;

сведения о состоянии программного и компьютерного обеспечения;

оценка качества и эффективности;

номенклатура изделий;

способ упаковки;

доставка.

4. Сведения о научных разработках:

новые технологические методы, новые технические, технологические и физические принципы, планируемые к использованию в продукции предприятия;

программы НИР;

новые алгоритмы;

оригинальные программы.

5. Сведения о системе материально-технического обеспечения: сведения о составе торговых клиентов, представителей и посредников;

потребности в сырье, материалах, комплектующих узлах и деталях, источники удовлетворения этих потребностей; транспортные и энергетические потребности.

6. Сведения о персонале предприятия: численность персонала предприятия; определение лиц, принимающих решение.

7. Сведения о принципах управления предприятием:

сведения о применяемых и перспективных методах управления производством;

сведения о фактах ведения переговоров, предметах и целях совещаний и заседаний органов управления;

сведения о планах предприятия по расширению производства;

условия продажи и слияния фирм.

8. Прочие сведения:

важные элементы систем безопасности, кодов и процедур доступа к информационным сетям и центрам;

принципы организации защиты коммерческой тайны.

Федеральным законом «О банках и банковской деятельности" № 395-1от 02.12.1990 г.» введено понятие "банковской тайны".

Под банковской тайной подразумевается обязанность кредитного учреждения сохранять тайну по операциям клиентов, ограждение банковских операций от ознакомления с ними посторонних лиц, прежде всего конкурентов того или иного клиента, тайну по операциям, счетам и вкладам своих клиентов и корреспондентов. Иначе банковскую тайну можно определить как личную тайну вкладчика банка. В итоге коммерческая тайна банка включает коммерческую тайну самого банка и личную тайну вкладчика.

Уголовный кодекс Российской Федерации включает в себя статьи регламентирующие исход прецедентов в области безопасности информации:

⇐ Предыдущая 54 55 56 575859 60 61 62 63 Следующая ⇒

Поделиться с друзьями:

Дата добавления: 2014-12-08; Просмотров: 1086; Нарушение авторских прав?; Мы поможем в написании вашей работы!
Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление

Генерация страницы за: 0.066 сек.