Вопросы для обсуждения. 1. Проанализируйте и сравните природу, отличительные особенно­ сти и социально-политические последствия исторических революций в области информационных и

1. Проанализируйте и сравните природу, отличительные особенно­
сти и социально-политические последствия исторических революций в
области информационных и коммуникационных технологий: от изобре­
тения письменности, печатного станка до радио, телевидения и Интер­
нета. Попробуйте определить: Интернет — это очередной шаг на пути
количественного наращивания скорости и охвата медиатехнологий или
же качественный скачок в развитии передающих технологий?

2. Благодаря чему Интернет вышел из-под контроля своих создате­
лей? Какие особенности технологии и архитектуры Интернета способ­
ствовали лавинообразному росту и распространению сети в глобальных
масштабах?

3. Какие возможности открывают интернет-технологии перед поли­
тически активными людьми? В каких областях общественной и полити­
ческой деятельности такие кампании могут иметь успех?

4. Есть ли у технологического интернет-контроля слабые места?

5. Можно ли утверждать, что новые информационно-коммуникацион­
ные технологии имеют обоюдоострый характер?

Рекомендуемая литература

Касшельс Мануэль. Информационная эпоха. Экономика, общество и куль­тура. М., 2000.

Использование интернет-технологий в решении коммуникативных про­блем в сфере политики и бизнеса. Теория и практика. Доклад Фонда эффективной политики. 2001. 27 февр.

Kedzie, С. R. Communication and Democracy Coincident Revolutions and the Emergent Dictator's Dilemma. RAND, 1997.

Rheingold, H. The virtual community: Homesteading on the electronic frontier. N.Y., 1993.

Rheingold, H. Smart Mobs: The Next Social Revolution. SF. 2002

The Global Course of the Information Revolution: Political, Economic, and Social Consequences, Richard O. Hundley, RAND 2000.

Глава 13

ТЕХНОЛОГИИ И ТЕХНИЧЕСКИЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

§ 1. Правовые технологии обеспечения информационной безопасности

Как уже упоминалось, при перехо­де от индустриального общества к информационному наряду с тради­ционными ресурсами — материаль­ными, энергетическими, техническими и др. — резко возрастает роль ресурсов информационных и интеллектуальных. Знания и ин­формация становятся стратегическим ресурсом общества, определя­ющим перспективы его экономического, социального, культурного развития в новом тысячелетии. Кроме того, информационные ре­сурсы — объект собственности конкретных юридических и физичес­ких лиц, они нуждаются в защите, обеспечении правового режима их владения, распоряжения и пользования.

Особое место отводится информационным ресурсам в услови­ях рыночной экономики. В конкурентной борьбе широко распро­странены разнообразные действия, направленные на получение конфиденциальной информации различными способами. Установ­лено, что сегодня в мире 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа'. В этих условиях защите информации от неправомерного овладения ею отводится значительная и всевозрастающая роль.

Как мы уже говорили, под информационной безопасностью в целом понимается защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий, чреватых нанесением ущерба как владельцам или пользователям информации, так и соответствующим техническим структурам, причем независимо от того, носят ли эти действия естественный или искусственный характер.

В соответствии с Законом РФ от 25 января 1995 г. «Об информа­ции, информатизации и защите информации» целями обеспече­ния информационной безопасности являются:

■ предотвращение разглашения, утечки и несанкционирован­
ного доступа к охраняемым сведениям;

■ предотвращение противоправных действий по уничтожению,
модификации, искажению, копированию, блокированию
информации;

■ предотвращение других форм незаконного вмешательства в
информационные ресурсы и информационные системы;

■ обеспечение правового режима документированной инфор­
мации как объекта собственности;

■ защита конституционных прав граждан на сохранение лич­
ной тайны и конфиденциальности персональных данных,
имеющихся в информационных системах;

■ сохранение государственной тайны, конфиденциальности
документированной информации в соответствии с законо­
дательством;

■ обеспечение прав субъектов в информационных процессах
и при разработке, производстве и применении информаци­
онных систем, технологии и средств их обеспечения.

Как показывает практика, для защиты интересов субъектов информационных отношений необходимо сочетать меры следую­щих уровней:

■ законодательного (законы, нормативные акты, стандарты

и т.п.);

■ административного (действия общего характера, предпри­
нимаемые руководством организации);

■ процедурного (конкретные меры безопасности, имеющие
дело с людьми);

■ программно-технического (конкретные технические меры).

На законодательном уровне закла­дываются общие предпосылки для обеспечения безопасности. Так, Кон­ституция РФ непосредственно не регулирует отношения в области производства и применения новых информационных технологий. Но создает условия для такого регулирования, закрепляя как пра­ва граждан (свободно искать, получать, передавать, производить и распространять информацию любым законным способом —

ст. 29, ч. 4; на охрану личной тайны — ст. 24, ч. 1 и др.), так и обязанности государства (по обеспечению возможности ознаком­ления гражданина с документами и материалами, непосредствен­но затрагивающими его права и свободы, — ст. 24, ч. 2).

На законодательном уровне различают две группы мер: направ­ленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности; способствующие повышению об­разованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.

К первой группе следует отнести гл. 28 («Преступления в сфере компьютерной информации») разд. IX новой редакции Уголовно­го кодекса, в которой достаточно полно охарактеризованы основ­ные угрозы информационным системам. Однако до реализации соответствующих статей кодекса еще далеко.

Закон «Об информации, информатизации и защите информа­ции» также можно причислить к этой группе. Важнейшими эле­ментами лежащей в его основе концепции являются объявление информационных ресурсов объектом права собственности и вклю­чение их в состав имущества (ст. 6). В отношении этих объектов установлены:

■ основы правового режима информационных ресурсов (ст. 4);

■ состав государственных информационных ресурсов (ст. 7) и
порядок их формирования (ст. 8);

■ режимы доступа к информационным ресурсам (ст. 10) и по­
рядок их использования (ст. 12, 13);

■ порядок использования информации о гражданах (персо­
нальные данные) как части государственных информаци­
онных ресурсов (ст. 11, 14);

■ порядок сертификации информационных систем, техноло­
гий, средств их обеспечения и лицензирования деятельно­
сти по формированию и использованию информационных
ресурсов (ст. 19);

■ принципы защиты информации и прав субъектов в области
информатизации (ст. 20, 21, 22, 23 и 24).

Насколько можно судить по планам Государственной думы, в настоящее время готовятся законы «О праве на информацию», «О коммерческой тайне», «О персональных данных». Это, безус­ловно, шаги в правильном направлении, так как они позволяют государству охватить все категории субъектов информационных от­ношений.

20 - 4386

Ко второй группе — направляющих и координирующих зако­нов и нормативных актов — относится пакет документов, регла­ментирующих процессы лицензирования и сертификации в обла­сти информационной безопасности. Главная роль здесь отведена Федеральному агентству правительственной связи и информации (ФАПСИ) и Государственной технической комиссии (Гостехко-миссии) при Президенте Российской Федерации.

В связи с этим стоит упомянуть Указ Президента РФ от 3 апре­ля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифроваль­ных средств, а также предоставления услуг в области шифрования информации». Данный указ вводит запрет на:

■ использование государственными организациями и предпри­
ятиями шифровальных средств, включая криптографичес­
кие средства обеспечения подлинности информации (элек­
тронная подпись), и защищенных технических средств хра­
нения, обработки и передачи информации, не имеющих
сертификата ФАПСИ, а также размещение государствен­
ных заказов на предприятиях, в организациях, использую­
щих указанные технические и шифровальные средства, не
имеющие сертификата ФАПСИ;

■ деятельность юридических и физических лиц, связанную с
разработкой, производством, реализацией и эксплуатацией
указанных технических и шифровальных средств и предос­
тавлением соответствующих услуг без лицензий, выданных
ФАПСИ;

■ ввоз на территорию РФ шифровальных средств иностранного
производства без лицензии Министерства внешних экономи­
ческих связей РФ, выданной по согласованию с ФАПСИ.

Указ Президента РФ от 6 марта 1997 г. № 188 определяет поня­тие и содержание конфиденциальной информации. Действия по защите информации от несанкционированного доступа регламен­тирует Указ Президента РФ от 8 мая 1993 г. № 664 «О защите ин­формационно-телекоммуникационных систем и баз данных от утеч­ки конфиденциальной информации по техническим каналам свя­зи», а также постановление Правительства РФ от 15 сентября 1993 г. № 912-51 «Положение о государственной системе защиты инфор­мации от иностранной технической разведки и от утечки по тех­ническим каналам».

В области информационной безопасности законы дополняются нормативными документами, подготовленными соответствующи-

ми ведомствами. Очень важны руководящие документы Гостех-комиссии, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем (ГОСТ 29339-92 «Информационная технология. Защита информа­ции от утечки за счет ПЭМИН* при ее обработке средствами вычислительной техники»; ГОСТ Р 50739-95 «СВТ. Защита от не­санкционированного доступа к информации»; ГОСТ Р 3410-94 «Про­цедуры выработки и проверки электронной подписи на базе асим­метрического криптографического алгоритма»; ГОСТ Р.В. 50170-92 «Противодействие иностранной технической разведке. Терми­ны и определения»). Особенно выделим утвержденный в июле 1997 г. руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самых современных классов защит­ных средств.

В мире глобальных сетей норматив­но-правовая база должна разраба­тываться с учетом международной практики. Российские стандарты и сертификационные нормативы еще не приведены в соответствие с международными информационными технологиями и уровнем информационной безопасности. Есть много причин, по которым это следует сделать в ближайшем будущем. Одна из них — необхо­димость защищенного взаимодействия с зарубежными организа­циями и зарубежными филиалами российских организаций. Вто­рая (более существенная) — доминирование аппаратно-программ­ных продуктов зарубежного производства.

Требует законодательного решения и вопрос об отношении к таким изделиям. Здесь выделяются два аспекта: независимость в области информационных технологий и информационная безопас­ность. Использование зарубежных продуктов в некоторых крити­чески важных системах (в первую очередь военных) в принципе может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встра­ивания закладных элементов. В большинстве случаев потенциаль­ные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использова­ния зарубежных разработок (ввиду сложностей их сертификации) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то ос­нований.

* ПЭМИН — побочные электромагнитные излучения и наводки.

20*

Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно сложна, однако она мо­жет быть успешно решена. Сложившаяся в Европе система серти­фикации по требованиям информационной безопасности позво­лила оценить операционные системы, системы управления база­ми данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в серти­фикационных испытаниях в состоянии снять противоречие между независимостью в области информационных технологий и инфор­мационной безопасностью без снижения уровня национальной без­опасности.

Главное же, чего не хватает современному российскому зако­нодательству (и что можно почерпнуть из зарубежного опыта), это позитивной направленности. Информационная безопасность — новая область деятельности, здесь важно научить, разъяснить, помочь, а не запретить и наказать. Необходимо осознать важность данной проблематики, понять основные пути решения соответ­ствующих задач, скоординировать научные, учебные и производ­ственные планы. Государство может сделать это оптимальным об­разом. Здесь не нужно больших материальных затрат, требуются лишь интеллектуальные вложения.

Пример позитивного законодательства — Британский стан­дарт BS 7799:1995, описывающий основные положения поли­тики безопасности. Более 60% крупных организаций использу­ют этот стандарт в своей практике, хотя закон этого не требует. Еще один пример — Computer Security Act (США), возлагаю­щий на конкретные государственные структуры ответственность за методическую поддержку работ в области информационной безопасности. Со времени вступления этого закона в силу (1988) действительно было разработано много важных и полезных до­кументов.

В заключение перечислим перспективные направления законо­дательной деятельности государства в области обеспечения инфор­мационной безопасности:

■ разработка новых законов с учетом интересов всех катего­
рий субъектов информационных отношений;

■ ориентация на созидательные, а не карательные законы;

■ интеграция в мировое правовое пространство;

■ учет современного состояния информационных технологий.

Опираясь на государственные пра­вовые акты и ведомственные ру­ководящие документы, отдельные организации (фирмы, предприя­тия) могут разрабатывать собственные нормативно-правовые до­кументы, ориентированные на обеспечение информационной бе­зопасности. К таким документам относятся:

■ положение о сохранении конфиденциальной информации;

■ перечень сведений, составляющих конфиденциальную ин­
формацию;

■ положение о специальном делопроизводстве и документоо­
бороте;

■ перечень сведений, разрешенных к опубликованию в откры­
той печати;

■ положение о работе с иностранными фирмами и их пред­
ставителями;

■ обязательство сотрудника о сохранении конфиденциальной
информации;

■ памятка сотруднику о сохранении коммерческой информа­
ции.

Основанием мер административного уровня, т.е. мер, предпри­нимаемых руководством организации, является политика безопас­ности — совокупность документированных управленческих реше­ний, направленных на защиту информации и ассоциированных с ней ресурсов. Она определяет стратегию организации в области информационной безопасности, а также меру внимания и то ко­личество ресурсов, которые руководство считает целесообраз­ным выделить для этих целей.

Работы по созданию комплексной системы информационной безопасности в организации включают в себя следующие этапы:

■ анализ состава и содержания конфиденциальной информа­
ции, циркулирующей на конкретном объекте защиты;

■ анализ ценности информации для организации с позиций
возможного ущерба от ее получения злоумышленниками
(конкурентами);

■ оценка уязвимости информации, доступности ее для средств
злоумышленника;

■ исследование действующей системы информационной бе­
зопасности в организации;

■ оценка затрат на разработку новой (или совершенствование
действующей) системы;

■ организация мер защиты информации;

■ закрепление персональной ответственности;

■ реализация новой технологии обеспечения информацион­
ной безопасности;

■ создание обстановки сознательного отношения к информа­
ционной безопасности;

■ контроль результатов разработки и прием в эксплуатацию
новой системы информационной безопасности².

Эти этапы можно считать типовыми для разработки системы защиты, так как они охватывают практически весь объем работ на организационном уровне.

Стандарт BS 7799:1995 рекомендует включать в документ, ха­рактеризующий политику безопасности организации, следующие разделы:

■ вводный, подтверждающий озабоченность высшего руковод­
ства проблемами информационной безопасности;

■ организационный, содержащий описание подразделений,
комиссий, групп и т.д., отвечающих за работы в области
информационной безопасности;

■ классификационный, описывающий материальные и ин­
формационные ресурсы и необходимый уровень их защиты
в организации;

■ штатный, характеризующий меры безопасности, применя­
емые к персоналу (описание должностей с точки зрения
информационной безопасности, организация обучения и
переподготовки персонала, порядок реагирования на
нарушения режима безопасности и т.п.);

■ освещающий вопросы физической защиты;

■ управляющий, описывающий подход к управлению компь­
ютерами и компьютерными сетями;

■ описывающий правила разграничения доступа к производ­
ственной информации;

■ характеризующий порядок разработки и сопровождения
систем;

■ описывающий меры, направленные на обеспечение непре­
рывной работы организации;

■ юридический, подтверждающий соответствие политики безо­
пасности действующему законодательству.

Разработка и осуществление политики безопасности строятся на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализи­рованы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безо­пасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения про­граммы и т.п.

Что касается российского общества, то на сегодняшний день административный уровень — это белое пятно в отечественной практике информационной безопасности. В нашей стране, по сути, нет законов, обязывающих организации иметь политику безопас­ности. Ни одно из ведомств, курирующих информационную безо­пасность, не предлагает типовых разработок в данной области. Мало кто из руководителей знает, что такое политика безопасности, еще меньшее число организаций такую политику имеет. В то же время без подобной основы прочие меры информационной безо­пасности повисают в воздухе, они не могут быть всеобъемлющи­ми, систематическими и эффективными. Например, меры защиты от внешних хакеров и от собственных обиженных сотрудников дол­жны быть совершенно разными, поэтому в первую очередь необ­ходимо определить, какие угрозы чреваты наибольшим ущербом. (По статистике, наибольший ущерб происходит от случайных оши­бок персонала, обусловленных неаккуратностью или некомпетент­ностью, поэтому в первую очередь важны не хитрые технические средства, а меры обучения, тренировка персонала и регламенти­рование его деятельности.)

Разрабатывая политику безопасности, следует учитывать спе­цифику конкретных организаций. Бессмысленно переносить прак­тику режимных государственных организаций на коммерческие структуры, учебные заведения или персональные компьютерные системы. Для того чтобы¹ избежать подобной ситуации, целесооб­разно разработать, во-первых, основные принципы политики бе­зопасности, а во-вторых — готовые шаблоны для наиболее важных разновидностей организаций.

Анализ ситуации на административном уровне информацион­ной безопасности доказывает важность созидательного, а не кара­тельного законодательства. Можно потребовать от руководителей политики безопасности (и в перспективе это правильно), но сна­чала нужно разъяснить, научить, показать, для чего она нужна и как ее разрабатывать.

В отечественных организациях на­коплен богатый опыт составления и реализации процедурных (орга­низационных) мер безопасности,

т.е. мер, реализуемых людьми. Однако проблема состоит в том, что это меры из докомпьютерного прошлого, и они поэтому нуждают­ся в существенном пересмотре.

На наш взгляд, целесообразно выделить следующие группы процедурных мер, направленных на обеспечение информацион­ной безопасности:

управление персоналом;

физическая защита;

поддержание работоспособности;

реагирование на нарушения режима безопасности;

планирование восстановительных работ.

Управление персоналом в контексте информационной безо­пасности является в России весьма неразработанным направлени­ем деятельности как в государственных, так и в корпоративных структурах. Во-первых, для каждой должности должны существо­вать квалификационные требования по информационной безопас­ности. Во-вторых, в должностные инструкции следует в обязатель­ном порядке включать разделы, касающиеся информационной бе­зопасности. В-третьих, каждому работнику необходимо освоить меры безопасности как в теории, так и на практике (причем по­добные тренировки желательно проводить не менее двух раз в год).

Государству и корпорациям в равной степени необходима соб­ственная система информационной (гражданской) обороны. Кро­ме того, нужно спокойно, без нагнетания страстей разъяснять на­селению не только преимущества, но и опасности использования современных информационных технологий. Причем акцент, на наш взгляд, следует делать не на военную или криминальную сторону вопроса, а на чисто гражданские аспекты, связанные с поддержа­нием нормального функционирования аппаратного и программ­ного обеспечения, т.е. на проблемы доступности и целостности данных. Разумеется, разделы, касающиеся информационной безо­пасности, должны стать частью школьных и тем более вузовских курсов информатики.

Меры физической защиты информации известны с давних вре­мен, но сегодня они нуждаются в доработке в связи с распрост-

Дата добавления: 2014-12-16; Просмотров: 416; Нарушение авторских прав?; Мы поможем в написании вашей работы!