Функции государственной системы по обеспечению информационной безопасности.

· Оценка состояния ИБ в стране, определение приоритетов по интересам в информационной сфере и установление их баланса в конкретных условиях.

· Выявление и учет источников угроз, их мониторинг и классификация.

· Определение основных направлений предотвращения угроз или минимизации ущерба.

· Организация исследований в сфере обеспечения ИБ.

· Разработка и принятие законов и иных нормативных правовых актов.

· Разработка федеральных целевых и ведомственных программ обеспечения ИБ, координация работ по их реализации.

· Организация единой системы лицензирования, сертификации, экспертизы и контроля.

· Страхование информационных рисков.

· Подготовка специалистов по ИБ, в том числе в правоохранительных и судебных органах.

· Информирование общественности о реальной ситуации в сфере обеспечения ИБ и работе государственных органов в этой сфере.

· Изучение практики обеспечения ИБ, пропаганда передового опыта в регионах.

· Правовая защита прав и интересов граждан, интересов общества и государства в сфере ИБ.

· Обучение самозащите физических лиц от основных угроз в информационной сфере.

· Содействие разработке и принятию норм международного права в сфере обеспечения ИБ.

· Установление стандартов и нормативов в сфере обеспечения ИБ.

Ответственность за нарушение законодательства в информационной сфере. За непредоставление информации гражданам, палатам Федерального Собрания РФ и Счетной палате РФ (статьи 140 и 287), а также за сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей (статья 237), в Уголовном кодексе РФ (от 13.06.1996 г.) предусмотрена ответственность в случае неправомерного засекречивания, нарушения требований по составу предоставляемых сведений, неопубликования сведений, нарушения права граждан на бесплатное получение информации, сокрытия сведений об обстоятельствах, создающих опасность для жизни или здоровья людей, несвоевременного предоставления сведений, сокрытия информации, сообщения ложных сведений, ограничения права на предоставление информации, искажения сведений, нарушения свободного международного информационного обмена. Защита права на доступ к информации может осуществляться в форме, находящейся за пределами юрисдикции (самозащита своих прав и законных интересов) и в юрисдикционной форме (в административном или в судеб­ном порядке). В административном порядке – через подачу жалобы на должностное лицо (орган) в вышестоящую инстанцию, специальный орган – Судебную палату по информационным спорам при Президенте РФ. В судебном порядке – через подачу иска (жалобы) для рассмотрения в гражданском, административном или уголовном судопроизводстве. В гражданском судопроизводстве потерпевший вправе использовать основные способы защиты гражданских прав по статье 12 Гражданского кодекса РФ от 30.11.1996 г., в том числе требовать: признания права; прекращения действий, нарушающих право или создающих угрозу его нарушения; признания недействительным акта государственного органа или органа местного самоуправления; восстановления права; возмещения убытков; компенсации морального ущерба. В Кодексе РФ об административных правонарушениях от 30.12.2001 г. [19] предусматривается административная ответственность за следующие нарушения: нарушение права граждан на ознакомление со списком избирателей (статья 5.1); изготовление или распространение анонимных агитационных материалов (статья 5.12); умышленное уничтожение, повреждение агитационных печатных материалов (статья 5.14); непредоставление или неопубликование отчетов о расходовании средств на подготовку и проведение выборов, референдума (статья 5.17); непредоставление или неопубликование сведений об итогах голосования или о результатах выборов (статья 5.25); невыполнение обязанностей по регистрации в судовых документах операций с вредными веществами и смесями (статья 8.16); изготовление или эксплуатация технических средств, не соответствующих государственным стандартам или нормам на допускаемые уровни радиопомех (статья 13.8); непредоставление сведений федеральному антимонопольному органу (статья 19.8); непредоставление информации для составления списков присяжных заседателей (статья 17.6); невыполнение законных требований прокурора (в том числе на предоставление информации) (статья 17.7); несообщение сведений о гражданах, состоящих или обязанных состоять на воинском учете (статья 21.4); нарушение порядка и сроков предоставления сведений о несовершеннолетних, нуждающихся в передаче на воспитание и др. (статья 5.36); нарушение порядка предоставления обязательного экземпляра документов и др. (статья 13.23); отказ в предоставлении гражданину информации (статья 5.39); злоупотребление свободой массовой информации (статья 13.15); воспрепятствование распространению продукции средства массовой информации (статья 13.16); воспрепятствование приему радио- и телепрограмм (статья 13.18); нарушение правил распространения обязательных сообщений (статья 13.17). Уголовная ответственность в этой сфере предусмотрена в УК РФ от 13.06.1996 г. в следующих случаях: отказ в предоставлении гражданину информации (статья 140); сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей (статья 237); отказ в предоставлении информации Федеральному Собранию РФ или Счетной палате РФ (статья 287).

Раздел 2: Общие сведения о защите информации

Характеристики информации. Информацией являются любые данные, находящиеся в памяти ВС, любое сообщение, пересылаемое по сети, и любой файл, хранящийся на каком-либо носителе. Информацией является любой результат работы человеческого разума: идея, технология, программа, данные (медицинские, статистические, финансовые), независимо от формы их представления. Все, что не является физическим предметом и может быть использовано человеком, описывается одним словом – информация. У каждой «единицы» защищаемой информации есть параметры, рассмотренные ниже. Статичность определяет возможности изменения в процессе нормального использования. Передаваемое по сети зашифрованное сообщение и документ с цифровой подписью изменяться не должны. Изменяются постоянно данные на зашифрованном диске, находящемся в использовании, содержимое базы данных при добавлении новых или модификации существующих записей. Размер единицы защищаемой информации может накладывать дополнительные ограничения на используемые средства ЗИ. Так блочные алгоритмы шифрования в некоторых режимах оперируют порциями данных фиксированной длины, а использование асимметричных криптографических алгоритмов приводит к увеличению размера данных при шифровании. Тип доступа (последовательный или произвольный) также накладывает ограничения на средства ЗИ – использование потокового алгоритма шифрования для больших объемов данных с произвольным доступом требует разбиения данных на блоки и генерации уникального ключа для каждого из них. Время жизни информации – очень важный параметр, определяющий, насколько долго информация должна оставаться защищенной. Существует информация, время жизни которой составляет минуты, например отданный приказ о начале атаки или отступления во время ведения боевых действий. Содержимое приказа и без расшифровки станет ясно противнику по косвенным признакам. Время жизни большей части персональной информации (банковской, медицинской и т.п.) соответствует времени жизни владельца – после его смерти разглашение информации уже никому не принесет ни вреда, ни выгоды. Для каждого государственного секрета, как правило, тоже определен период, в течение которого информация не должна стать публичной. Однако с некоторых документов грифы не снимаются никогда – это случай, когда время жизни информации не ограничено. Никогда не должна разглашаться информация и о ключах шифрования, вышедших из употребления, т.к. у противника могут иметься в наличии все старые зашифрованные сообщения и, получив ключ, он сможет обеспечить себе доступ к тексту сообщений. Стоимость создания является численным выражением совокупности финансовых, человеческих, временных ресурсов, затраченных на создание информации (ее себестоимость). Стоимость потери конфиденциальности выражает потенциальные убытки, которые понесет владелец информации, если к ней получат неавторизованный доступ сторонние лица. Как правило, она многократно превышает себестоимость информации. По истечении времени жизни информации стоимость потери ее конфиденциальности становится равной нулю. Стоимость скрытого нарушения целостности выражает убытки, которые могут возникнуть вследствие внесения изменений в информацию, если факт модификации не был обнаружен. Нарушения целостности могут быть случайными или преднамеренными. Модификации может подвергаться не только текст сообщения или документа, но также дата отправки или имя автора. Стоимость утраты описывает ущерб от полного или частичного разрушения информации. При обнаружении нарушения целостности и невозможности получить ту же информацию из другого источника информация считается утраченной.

Угрозы защищенности информации. При рассмотрении вопросов ИБ практически все авторы выделяют три вида угроз: конфиденциальности информации; целостности информации; отказа в обслуживании. Нарушение конфиденциальности возникает тогда, когда к какой-либо информации получает доступ лицо, не имеющее на это права. Этот вид угроз, пожалуй, наиболее часто встречается в реальном мире. Именно для уменьшения подобных угроз рекомендуется хранить в сейфах документы, содержащие секретные сведения, а при работе с такими документами вводить специальные защитные процедуры (допуски, журналы регистрации и т.п.). Нарушение целостности происходит при внесении умышленных или неумышленных изменений в информацию. Примером может являться, например, подделка документов. Чтобы избежать этого, используются специальная бумага (с водяными знаками, голограммами и т.д.), печати и подписи. Для заверки подлинности документов существуют нотариальные службы. Отказ в обслуживании угрожает не самой информации, а АС, в которой эта информация обрабатывается. При возникновении отказа в обслуживании уполномоченные пользователи не могут получить своевременный доступ к необходимой информации, хотя имеют на это полное право.

Защита информации. Защита информации (ЗИ) – комплекс мероприятий, направленных на обеспечение важнейших аспектов ИБ (целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных) [1]. Система называется безопасной, если она, используя соответствующие аппаратные и программные средства, управляет доступом к информации так, что только должным образом авторизованные лица или же действующие от их имени процессы получают право читать, писать, создавать и удалять информацию. Очевидно, что абсолютно безопасных систем нет, и здесь речь идет о надежной системе в смысле «система, которой можно доверять». Система считается надежной, если она с использованием достаточных аппаратных и программных средств обеспечивает одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа. Основными критериями оценки надежности являются политика безопасности (ПБ) и гарантированность. ПБ как активный компонент ЗИ (включает в себя анализ возможных угроз и выбор соответствующих мер противодействия), отображает тот набор законов, правил и норм поведения, которым пользуется конкретная организация при обработке, защите и распространении информации. Выбор конкретных механизмов ЗИ производится в соответствии со сформулированной ПБ. Гарантированность как пассивный элемент ЗИ, отображает меру доверия, которое может быть оказано архитектуре и реализации системы (насколько корректно выбраны механизмы ЗИ). В надежной системе должны регистрироваться события, касающиеся ИБ (механизм подотчетности протоколирования, дополняющийся анализом запомненной информации, то есть аудитом).

Задачи защиты информации. Секретность (privacy, confidentiality, secrecy) – одна из самых востребованных задач ЗИ. Пока для хранения используются неэлектронные средства (бумага, фотопленка), секретность обеспечивается административными методами (хранение в сейфах, транспортировка в сопровождении охраны и т.д.). Но когда информация обрабатывается на компьютерах и передается по открытым каналам связи, административные методы оказываются бессильны и на помощь приходят методы ИБ. Нужно сделать возможным хранение и передачу данных в таком виде, чтобы противник, даже получив доступ к носителю или среде передачи, не смог получить сами защищенные данные. Целостность (data integrity) – очень важная задача. В процессе хранения, обработки и передачи по каналам связи данные могут быть искажены случайно или преднамеренно. Проверка целостности необходима, когда интерпретация неправильных данных может привести к серьезным последствиям, например при возникновении ошибки в сумме банковского перевода или значении скорости самолета, заходящего на посадку. Контроль целостности заключается в том, чтобы позволить утверждать, что данные не были модифицированы либо определить факт искажения. Идентификация (identification) необходима для отождествления пользователя с уникальным идентификатором. Тогда ответственность за все действия, при выполнении которых предъявлялся данный идентификатор, возлагается на пользователя, за которым этот идентификатор закреплен. Аутентификация (data origin, authentication) является необходимым дополнением к идентификации и предназначена для подтверждения истинности (аутентичности) пользователя, предъявившего идентификатор. Тогда пользователь должен получить возможность работать. Уполномочивание (authorization) сводится к тому, что ни один пользователь не должен получить доступ к системе без успешного выполнения идентификации и последующей аутентификации и ни один пользователь не должен получить доступ к ресурсам, если он не уполномочен на такие действия специальным разрешением. Контроль доступа (access control) – комплексное понятие, обозначающее совокупность методов и средств, предназначенных для ограничения доступа к ресурсам. Доступ должны иметь только уполномоченные пользователи, и попытки доступа должны протоколироваться. Право собственности (ownership) используется для предоставления пользователю законного права на использование ресурса и возможность его передачи в собственность другому пользователю. Право собственности обычно является составной частью системы контроля доступа. Сертификация (certification) – процесс подтверждения некоторого факта стороной, которой пользователь доверяет. Чаще всего сертификация используется для удостоверения принадлежности открытого ключа конкретному пользователю или компании, т.к. эффективное использование инфраструктуры открытых ключей возможно лишь при наличии системы сертификации, Организации, занимающиеся выдачей сертификатов, называются удостоверяющими центрами. Подпись (signature) позволяет получателю документа доказать, что данный документ был подписан именно отправителем. Подпись не может быть перенесена на другой документ, отправитель не может от нее отказаться, любое изменение документа приведет к нарушению подписи, и любой пользователь, при желании, может самостоятельно убедиться в подлинности подписи. Неотказуемость (non-repudiation) – свойство схемы информационного обмена, при котором существует доказательство, которое получатель сообщения способен предъявить третьей стороне, чтобы та смогла независимо проверить, кто является отправителем сообщения. То есть отправитель сообщения не имеет возможности отказаться от авторства, т.к. существуют математические доказательства того, что никто кроме него не способен создать такое сообщение. Расписка в получении (receipt) передается от получателя к отправителю и может впоследствии быть использована отправителем для доказательства того, что переданная информация была доставлена получателю не позже определенного момента, указанного в расписке. Датирование (time stamping) часто применяется совместно с подписью и позволяет зафиксировать момент подписания документа. Это может быть полезно, например, для доказательства первенства, если один документ был подписан несколькими пользователями, каждый из которых утверждает, что именно он является автором документа. Кроме этого датирование широко используется в сертификатах, которые имеют ограниченный срок действия. Если действительный сертификат был использован для подписи, а затем соответствующей службой сертифицирующего центра была проставлена метка времени, то такая подпись должна признаваться правильной и после выхода сертификата из употребления. Если же отметка времени отсутствует, то после истечения срока действия сертификата подпись не может быть признана корректной. Аннулирование (annul)используется для отмены действия сертификатов, полномочий или подписей. Если участник информационного обмена или принадлежащие ему ключи и сертификаты скомпрометированы, необходимо предотвратить его доступ к ресурсам и отказать в доверии соответствующим сертификатам, т.к. ими могли воспользоваться злоумышленники. Также процедура аннулирования может быть использована в отношении удостоверяющего центра. Свидетельствование (witnessing) – удостоверение (подтверждение) факта создания или существования информацией некоторой стороной, не являющейся создателем. Анонимность (anonymity) – довольно редко вспоминаемая задача. Сильным мира сего – правительствам и корпорациям – не выгодно, чтобы пользователь мог остаться анонимным при совершении каких-либо действий в информационном пространстве. Возможно, по этой причине проекты по обеспечению анонимности носят единичный характер и, как правило, долго не живут. Да и средства коммуникации, в подавляющем большинстве, позволяют определить маршрут передачи того или иного сообщения, а значит, вычислить отправителя.

Все перечисленные задачи сформулированы, исходя из потребностей существующего информационного мира. Возможно, со временем часть задач потеряет свою актуальность, но более вероятно, что появятся новые задачи, нуждающиеся в решении.

Основные предметные направления защиты информации. Основные предметные направления ЗИ – охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности.