Академический Документы
Профессиональный Документы
Культура Документы
ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ
Курс Б Т О 1
© Copyright 2001-2012 Учебный Центр «Информзащита»
Информзащита
У чебным ц ентр
3
ОГЛАВЛЕНИЕ
rill
I Информзащита
—■
— Учебным центр
Организационные...................................................4 9
Технологические...................................................50
Меры физической защиты........................................... 50
Технические....................................................... 50
Достоинства и недостатки различных видов мер защиты............... 51
Законодательные и морально-этические м е р ы ...................... 51
Организационные м е р ы ............................................. 51
Физические и технические средства з а щ и т ы ........................51
Основные принципы построения системы обеспечения безопасности
информации в автоматизированной системе............................ 52
Законность........................................................ 52
Системность....................................................... 53
Комплексность..................................................... 53
Своевременность...................................................53
Непрерывность защиты............................................. 53
Преемственность и совершенствование............................. 54
Разделение функций............................................... 54
Разумная достаточность (экономическая целесообразность,
сопоставимость возможного ущерба и затрат) ..................... 54
Персональная ответственность.....................................54
Минимизация полномочий................... ....................... 54
Взаимодействие и сотрудничество................................. 54
Гибкость системы защиты.......................................... 55
Открытость алгоритмов и механизмов з а щ и т ы ...................... 55
Простота применения средств з а щ и т ы .............................. 55
Научная обоснованность и техническая реализуемость............. 55
Специализация и профессионализм................................. 55
Взаимодействие и координация.....................................55
Обязательность контроля.......................................... 55
В ы в о д ы ...............................................................5 6
Р а з д е л I - Т е м а 5: П р а в о в ы е о с н о в ы о б е с п е ч е н и я б е з о п а с н о с т и и н ф о р м а ц и о н н ы х
технологий .......................................................................57
Вв е д е н и е ............................................................ 57
Защищаемая информация .............................................. 58
Персональные данные.............................................. 63
Коммерческая тайна............................................... 71
Служебная тайна...................................................73
Банковская тайна..................................................7 4
Информация в ключевых системах информационной инфраструктуры ... 75
Лицензирование ...................................................... 7 6
Сертификация средств защиты и аттестация объектов информатизации . .84
Сертификация...................................................... 94
Аттестация........................................................ 96
Новое поколение нормативно-технических документов
(ГОСТ Р ИСО/МЭК 15408-2008)......................................... 99
Специальные требования и рекомендации по технической защите
конфиденциальной информации........................................ 104
Юридическая значимость электронных документов с электронной
подписью ........................................................... 106
Ответственность за нарушения в сфере защиты информации ........... 111
Статья 183. Незаконное получение и разглашение сведений,
составляющих коммерческую или банковскую т а й н у ................ 111
Информзащита
Учебным ц ентр
5
=4^
6
Информзащита
У чебн ы м ц е н т р
7
Р а з д е л 1 1 - Т е м а 10: Д о к у м е н т ы , р е г л а м е н т и р у ю щ и е п р а в и л а п а р о л ь н о й и
антивирусной защиты ............................................................ 187
Инструкция по организации парольной з а щ и т ы .......................... 187
Инструкция по орга н и з а ции антивирусной з а щ и т ы ...................... 188
Применение средств а нтивирусного контроля ........................ 189
Действия при обнаружении вирусов .................................. 189
О т в е т с т в е н н о с т ь ....................................................... 190
Р а з д е л 1 1 - Т е м а 11: Д о к у м е н т ы , р е г л а м е н т и р у ю щ и е п о р я д о к д о п у с к а к р а б о т е и
изменения полномочий п о л ь з о в а т е л е й а в т о м а т и з и р о в а н н о й с и с т е м ы .................. 191
Правила именования п о л ь з о в а т е л е й .................................. 191
Процедура авто р и з а ц ии с о т р у д н и к о в ................................. 192
Р а з д е л II - Т е м а 12: Д о к у м е н т ы , р е г л а м е н т и р у ю щ и е п о р я д о к и з м е н е н и я
к о н ф и г у р а ц и и а п п а р а т н о - п р о г р а м м н ы х с р е д с т в а в т о м а т и з и р о в а н н о й с и с т е м ы .......... 194
Обеспечение и контроль физической целостности и неизменности
ко н фигурации а п п а р а т но-программных средств автоматизированной
с и с т е м ы ............................................................... 194
Регламентация процессов обслуживания и осуществления
модификации аппаратных и программных средств
автоматизированной с и с т е м ы ..........................................195
Процедура внесения изменений в конфигурацию аппаратных и
программных средств защищённых серверов и рабочих с т а н ц и й .....196
Э кстренная моди ф и к а ц ия (обстоятельства форс-мажор) ............. 199
Р а з д е л II - Т е м а 13: Р е г л а м е н т а ц и я п р о ц е с с о в р а з р а б о т к и , и с п ы т а н и я , опытной
э к с п л у а т а ц и и , в н е д р е н и я и с о п р о в о ж д е н и я з а д а ч .................................. 2 00
В з аимодействие по д р а з д елений на этапах проектирования,
разработки, испытания и внедрения новых автоматизированных
п о д с и с т е м ................................................................ 201
При проектировании и р а з р а б о т к е ....................................201
При проведении и с п ы т а н и й ............................................ 202
При сдаче в промышленную э к с п л у а т а ц и ю ............................ 202
В процессе э к с п л у а т ации (сопровождения) .......................... 202
Р а з д е л II - Т е м а 14 : О п р е д е л е н и е т р е б о в а н и й к з а щ и т е и к а т е г о р и р о в а н и е
р е с у р с о в . П роведение информационных об следований и анализ подсистем
а в т о м а т и з и р о в а н н о й с и с т е м ы к а к о б ъ е к т а з а щ и т ы .................................. 204
Информзащита
^ — УчеЁнмя ц ентр
8
'- г
Информзащита
У чв би ы н ц ен т р
9
J Информзащита
U Учебмми ц ентр
Классификация уязвимостей по степени р и с к а .................... 287
Получение информации по уязвимостям............................ 295
Часто используемые уязвимости («Тор 20») ...................... 297
Классификация а т а к ................................................ 298
Классификация атак по ц е л я м .....................................298
Классификация по местонахождению нарушителя ................... 298
Механизмы реализации а т а к ....................................... 2 99
Примеры а т а к ....................................................... 30 0
Перехват паролей к почтовым я щ и к а м ............................. 300
Определение операционной системы у з л а ..........................301
Атака SynFlood...................................................302
Атака «ARP-Spoofing»............................................ 304
Переполнение буфера............................................. 304
Ошибка обработки WMF-файлов (CVE-2005-4560) ................... 305
Выводы .......................................................... 305
Средства защиты с е т е й ............................................. 306
Р а з д е л I V - Т е м а 23: Н а з н а ч е н и е , в о з м о ж н о с т и , и о с н о в н ы е з а щ и т н ы е м е х а н и з м ы
межсетевых экранов .............................................................. 307
В в е д е н и е ........................................................... 307
МЭ - основные сведения ............................................ 308
Механизмы защиты, реализуемые М Э ............................... 308
Фильтрация сетевого трафика.....................................308
Трансляция адресов.............................................. 30 9
Шифрование трафика.............................................. 311
Классификация М Э ...................................................311
Введение......................................................... 311
Пакетные фильтры................................................ 312
Пакетный фильтр iptables в ОС L i n u x ............................ 313
Достоинства и недостатки пакетных филь т р о в .................... 315
Иллюстрация статичности пакетных ф и л ь т р о в ..................... 316
Шлюзы уровня соединения......................................... 318
Stateful inspection ............................................... 319
Варианты расположения МЭ .......................................... 322
Полит и к а б е з о п а с н о с т и и М Э ............................................. 324
Недостатки М Э ...................................................... 32 6
Общий обзор...................................................... 32 6
Туннелирование...................................................326
Что такое «HoneyNet»? ............................................. 328
Введение......................................................... 328
Назначение и особенности........................................ 328
Типовая схема «HoneyNet»........................................ 32 8
Р а з д е л I V - Т е м а 24: А н а л и з с о д е р ж и м о г о п о ч т о в о г о и W e b - т р а ф и к а (Co n t e n t
S e c u r i t y ) .......................................................................3 31
В в е д е н и е ........................................................... 331
Постановка з а д а ч и ................................................. 331
Электронная п о ч т а ................................................. 331
HTTP - т р а ф и к ...................................................... 332
Варианты решений задачи анализа содержимого ...................... 332
Системы анализа содержимого........................................ 334
Р а з д е л I V - Т е м а 25: В и р т у а л ь н ы е ч а с т н ы е с е т и ................................ 337
Информзащита
11
В в е д е н и е ........................................................... 337
Виды виртуальных частных сетей.................................... 338
Решение на базе ОС Windows 2003 ................................... 339
VPN на основе криптошлюза «Континент-К»...........................339
Угрозы, связанные с использованием V P N ............................ 342
Раздел IV - Тема 2 б : Обнаружение и устранение уязвимостей. Возможности
СКАНЕРОВ БЕЗОПАСНОСТИ........................................................... 344
Контроль эффективности системы защиты............................. 344
Классификация средств анализа защищённости....................... 344
Обзор средств анализа защищённости сетевого уровня ............... 347
Обзор средств анализа защищённости уровня узла ................... 351
Специализированный анализ защищённости............................ 352
Раздел IV - Тема 2 7 : Мониторинг событий безопасности........................ 354
В в е д е н и е ........................................................... 354
Введение в управление журналами событий...........................354
Категории журналов событий.........................................354
Инфраструктура управления журналами событий...................... 355
Способы построения инфраструктуры управления журналами событий .. .357
Реализация инфраструктуры управления журналами событий на основе
протокола syslog .................................................. 357
Инфраструктура «SEM» .............................................. 358
Дополнительные компоненты инфраструктуры управления журналами . . . .359
Средства сбора и анализа сетевого т р афика..................... 35 9
Системы обнаружения атак уровня у з л а ...........................3 60
Дополнительные утилиты и инструменты...........................3 60
Введение в технологию обнаружения а т а к ............................ 3 60
Классификация систем обнаружения а т а к ............................. 363
Классификация по источнику д а н н ы х .............................. 363
Классификация по технологии обнаружения....................... 364
Механизмы реагирования.......................................... 367
Специализированные системы обнаружения а т а к ...................... 369
Список литературы...............................................................371
Информзащита
— центр
Введение в курс «Безопасность
информационных технологий»
Описание курса
Программа учебного курса «БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИИ» утверждена Федеральной службой по техническому и экспортному
контролю (ФСТЭК России) в качестве программы курсов повышения квалификации и
профессиональной переподготовки руководителей и специалистов подразделений
технической защиты информации.
Информзащита
У i6 n i
13
Й5
Информзащита
Приобретаемые В ходе изучения курса слушатели приобретают знания и практические навыки
знания и навыки по:
■ основам обеспечения безопасности информационных
технологий, современным концепциям построения и
эффективного применения комплексных систем защиты
информации в АС;
■ современным методам и средствам технической защиты
информации, подходам к выбору необходимых программно
аппаратных средств защиты информации в АС и сетях;
■ планированию защиты, рациональному распределению функций
по ТЗИ между подразделениями и сотрудниками предприятия,
по организации их взаимодействия на различных этапах
жизненного цикла подсистем АС;
■ основам проведения информационных обследований и анализа
подсистем АС как объектов защиты;
■ разработке организационно-распорядительных документов по
вопросам защиты информации;
■ порядку применения средств защиты информации от
несанкционированного доступа (СЗИ НСД);
■ проблемам информационной безопасности в сетях
Internet/Intranet, уязвимостям сетевых протоколов и служб,
атакам в 1Р-сетях;
■ межсетевым экранам, средствам анализа защищённости,
средствам обнаружения атак, порядку их применения для
обнаружения и устранения уязвимостей в информационных
системах и обеспечения безопасности в IP-сетях;
■ основам поиска и использования оперативной информации о
новых уязвимостях в системном и прикладном программном
обеспечении, о средствах защиты, и другой актуальной
информации по обеспечению безопасности ИТ.
Информзащита
15
Структура курса
Информзащита
—^
День 4 Тема 15: Планы защиты и планы обеспечения непрерывной работы и
восстановления подсистем автоматизированной системы.
Тема 16: Основные задачи подразделений обеспечения безопасности
информационных технологий. Организация работ по обеспечению
безопасности информационных технологий.
Тема 17: Концепция безопасности информационных технологий предприятия
(организации).
Раздел III. Средства защиты информации от несанкционированного
доступа
Тема 18: Назначение и возможности средств защиты информации от
несанкционированного доступа.
Тема 19: Рекомендации по выбору средств защиты информации от
несанкционированного доступа.
Тема 20: Аппаратно-программные средства защиты информации от
несанкционированного доступа.
Тема 21: Возможности применения штатных и дополнительных средств защиты
информации от несанкционированного доступа.
Информзащита
Учебным ц ентр
Раздел I .
Основы безопасности
информационных технологий
Информзащита
Раздел I - Тема 1:
Актуальность проблемы обеспечения
безопасности информационных технологий
Информзащита
Учебным центр
19
Информзащита
—^
■ количественным и качественным совершенствованием способов доступа
пользователей к информационным ресурсам;
■ отношением к информации, как к товару, переходом к рыночным
отношениям в области предоставления информационных услуг;
■ многообразием видов угроз и возникновением новых возможных каналов
несанкционированного доступа к информации;
■ ростом числа квалифицированных пользователей вычислительной техники и
возможностей по созданию ими нежелательных программно
математических воздействий на системы обработки информации;
■ увеличением потерь (ущерба) от уничтожения, фальсификации, разглашения
или незаконного тиражирования информации (возрастанием уязвимости
различных затрагиваемых субъектов);
■ развитием рыночных отношений в сфере информационных технологий (в
области разработки, поставки, обслуживания вычислительной техники,
разработки программных средств, в том числе средств защиты).
Острота проблемы обеспечения безопасности субъектов информационных отношений,
защиты их законных интересов при использовании информационных и управляющих
систем, хранящейся и обрабатываемой в них информации все более возрастает. Этому
есть целый ряд объективных причин.
Прежде всего - это расширение сферы применения средств вычислительной техники
и возросший уровень доверия к автоматизированным системам управления и
обработки информации. Компьютерным системам доверяют самую ответственную
работу, от качества выполнения которой зависит жизнь и благосостояние многих людей.
Автоматизированные системы управляют технологическими процессами на
предприятиях и атомных электростанциях, управляют движением самолётов и поездов,
выполняют финансовые операции, обрабатывают секретную и конфиденциальную
информацию.
Изменился подход и к самому понятию «информация». Этот термин все чаще
используется для обозначения особого товара, стоимость которого зачастую превосходит
стоимость автоматизированной системы, в рамках которой он существует.
Осуществляется переход к рыночным отношениям в области создания и предоставления
информационных услуг, с присущей этим отношениям конкуренцией и промышленным
шпионажем.
Проблема зашиты автоматизированных систем становится ещё более серьёзной и в связи
с развитием и распространением информационно-телекоммуникационных сетей,
территориально распределённых систем и систем с удалённым доступом к совместно
используемым ресурсам.
Доступность средств вычислительной техники и, прежде всего, персональных ЭВМ
привела к распространению компьютерной грамотности в широких слоях населения,
что закономерно, привело к увеличению числа попыток неправомерного вмешательства в
работу государственных и коммерческих автоматизированных систем, как со злым
умыслом, так и чисто «из спортивного интереса». К сожалению, многие из этих попыток
имеют успех и наносят значительный урон всем заинтересованным субъектам
информационных отношений.
Отставание в области создания стройной и непротиворечивой системы законодательно
правового регулирования отношений в сфере накопления, использования и защиты
информации создаёт условия для возникновения и широкого распространения
«компьютерного хулиганства» и «компьютерной преступности».
Информзащита
Учебным иемтр
21
Информзащита
Учв&ньм ц ентр
преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый
уровень обеспечения безопасности соответствующий существующим угрозам (рискам).
Суть защиты ресурсов корпоративных сетей —есть управление рисками, связанных с
использованием этих сетей.
Что же такое риск?
Мы уже уточнили, что угроза - это нежелательное событие, наносящее ущерб субъектам.
Риск - это оценка опасности определённой угрозы. Риск выражает вероятностно
стоимостную оценку возможных потерь (ущерба) и характеризуется:
■ вероятностью успешной реализации угрозы А,;
■ стоимостью потерь (ущерба) в случае реализации угрозы В,.
Стоимостную составляющую информационной безопасности хорошо иллюстрирует
упрощённая формула оценки издержек, связывающая количественные характеристики
рисков, стоимость реализации мер защиты и суммарные издержки.
R Rmax
Информзащита
23
I Информзащита
— Учебным центр
3. Внутренние затраты на ликвидацию последствий нарушений политики безопасности
ИТ (затраты, понесённые в результате того, что требуемый уровень защищённости не
был достигнут);
4. Внешние затраты на ликвидацию последствий нарушения политики безопасности
ИТ;
5. Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по
предотвращению нарушений политики безопасности ИТ (предупредительные
мероприятия).
Затраты на формирование и под держание звена управления системой защиты
информации (организационные затраты):
■ затраты на формирование политики безопасности ИТ;
■ затраты на приобретение и ввод в эксплуатацию программно-технических
средств (серверов, компьютеров конечных пользователей (настольных и
мобильных), периферийных устройств и сетевых компонентов;
■ затраты на приобретение и настройку средств защиты информации;
■ затраты на содержание персонала, стоимость работ и аутсорсинг.
Затраты на контроль (определение и подтверждение достигнутого уровня защищённости
ресурсов АИС):
■ контроль за соблюдением политики безопасности ИТ:
- затраты на контроль реализации функций, обеспечивающих управление
безопасностью ИТ;
- затраты на организацию взаимодействия между подразделениями для
решения конкретных задач по обеспечению безопасности ИТ;
- затраты на проведение аудита безопасности по каждой части АС;
- материально-техническое обеспечение системы контроля доступа к
объектам и ресурсам;
■ плановые проверки и испытания:
- затраты на проверки и испытания средств защиты информации;
- затраты на проверку навыков эксплуатации средств защиты персоналом;
- затраты на обеспечение работы лиц, ответственных за реализацию
конкретных процедур безопасности по подразделениям;
- оплата работ по контролю правильности ввода данных в прикладных
системах;
- оплата инспекторов по контролю требований, предъявляемых к
средствам защиты при разработке систем (контроль на стадии
проектирования и спецификации требований);
■ внеплановые проверки и испытания:
- оплата работы испытательного персонала специализированных
организаций;
- обеспечение испытательного персонала материально-техническими
средствами;
■ затраты на внешний аудит:
Информзащита
25
Информзащита
У чеб н ы й ц е н т р
26
■ потери новаторства:
- затраты на проведение дополнительных исследований и разработки
новой рыночной стратегии;
- отказ от организационных, научно-технических или коммерческих
решений, ставших неэффективными в результате утечки сведений, и
затраты на разработку новых средств ведения конкурентной борьбы;
- потери от снижения приоритета в научных исследованиях и
невозможности патентования и продажи лицензий на научно
технические достижения;
■ прочие затраты:
- заработная плата секретарей и служащих, организационные и прочие
расходы, которые непосредственно связаны с предупредительными
мероприятиями;
- другие виды возможного ущерба, в том числе связанные с
невозможностью выполнения функциональных задач.
Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по
предотвращению нарушений политики безопасности ИТ (предупредительные
мероприятия):
■ затраты на управление системой безопасности ИТ:
- затраты на планирование системы безопасности ИТ;
- затраты на изучение возможностей инфраструктуры по обеспечению
безопасности ИТ;
- затраты на техническую поддержку персонала при внедрении средств
защиты информации и процедур, а также планов по безопасности ИТ;
- проверка сотрудников на лояльность, выявление угроз безопасности ИТ;
- организация системы допуска исполнителей и сотрудников к
защищаемым ресурсам;
■ регламентное обслуживание средств защиты информации:
- затраты, связанные с обслуживанием и настройкой программно
технических средств защиты информации, ОС и сетевого оборудования;
- затраты, связанные с организацией сетевого взаимодействия и
безопасного использования ИС;
- затраты на поддержание системы резервного копирования и ведения
архива данных;
- проведение инженерно-технических работ по установлению
сигнализации, оборудованию хранилищ конфиденциальных документов,
защите телефонных линий связи, СВТ и т.п.;
■ аудит системы безопасности ИТ:
- затраты на контроль изменений состояния информационной среды;
- затраты на систему контроля за действиями исполнителей;
■ обеспечение соответствия используемых ИТ заданным требованиям:
- затраты на обеспечение соответствия используемых ИТ требованиям по
безопасности, совместимости и надёжности, в том числе анализ
Информзащита
27
Информзащита
У ч е б н и к ц ентр
■ непосредственный и одновременный доступ к ресурсам (в том числе и
информационным) большого числа пользователей (субъектов) различных
категорий;
■ высокая степень разнородности используемых средств вычислительной
техники и связи, а также их программного обеспечения;
■ отсутствие специальных средств защиты в большинстве типов технических
средств, широко используемых в АС.
Трудности решения практических задач обеспечения безопасности конкретных АС
связаны с отсутствием развитой стройной теории и необходимых научно-технических и
методических основ обеспечения защиты информации в современных условиях.
Информзащита
У ч е б » ^ ж центр
29
Раздел I - Тема 2:
Основные понятия в области безопасности
информационных технологий
Информзащита
А В Т О М А Т И ЗИ РО В А Н Н А Я С И С ТЕМ А
Обслуживающий Конечные
персонал пользователи
Т ехнические средства
Г*
П1 ■tm . Программное обеспечение
Данные (информация)
Информзащита
У чеб и ьм центр
31
В процессе своей деятельности субъекты могут находиться друг с другом в разного рода
отношениях, в том числе, касающихся вопросов получения, хранения, обработки,
распространения и использования определённой информации. Такие отношения между
субъектами будем называть информационными отношениями, а самих участвующих в
них субъектов —субъектами информационных отношений.
Различные субъекты по отношению к определённой информации могут (возможно,
одновременно) выступать в качестве (в роли):
■ источников (поставщиков) информации;
■ потребителей (пользователей) информации;
■ собственников, владельцев, обладателей, распорядителей информации и
систем ее обработки;
■ физических и юридических лиц, о которых собирается информация;
■ участников процессов обработки и передачи информации и т.д.
Для успешного осуществления своей деятельности по управлению объектами некоторой
предметной области субъекты информационных отношений могут быть заинтересованы
в обеспечении:
■ своеврем енного дост упа (за приемлемое для них время) к необходимой им
информации и определенным автоматизированным службам (услугам);
■ конфиденциальности (сохранения в тайне) определенной части
информации;
■ достоверности (полноты, точности, адекватности, целостности)
информации и защиты от навязывания им ложной (недостоверной,
искаженной) информации (то есть от дезинформации);
■ защиты части информации от незаконного ее тиражирования (защиты
авторских прав, прав интеллектуальной собственности, прав собственника
информации);
■ разграничения ответственности за нарушения законных прав (интересов)
других субъектов информационных отношений и установленных правил
обращения с информацией;
■ возможности осуществления непрерывного контроля и управления
процессами обработки и передачи информации и т.д.
Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных свойств и
возможностей, субъект информационных отношений является уязвимым, то есть
Jl Информзащита
потенциально подверженным нанесению ему ущерба (прямого или косвенного,
морального или материального) посредством воздействия на критичную для него
информацию, её носители и процессы её обработки либо посредством неправомерного
использования такой информации.
Поэтому все субъекты информационных отношений в той или иной степени
(в зависимости от размеров ущерба, который им может быть нанесён) заинтересованы
в обеспечении своей информационной безопасности.
Об этом же самом, только другими словами, сказано в первой части стандарта
ГОСТ Р ИСО/МЭК 15408-2008 «Информационная технология. Методы обеспечения
безопасности. Критерии оценки безопасности информационных технологий»
(см. Рис. 1.3.2).
Информзащита
службам всегда, когда в обращении к ним возникает необходимость
(готовность к обслуживанию поступающих от субъектов запросов);
■ целостность информации —такое свойство информации, которое
заключается в ее существовании в неискаженном виде (неизменном по
отношению к некоторому фиксированному ее состоянию).
Точнее говоря, субъектов интересует обеспечение более широкого
свойства - достоверности информации, которое складывается из
адекватности (полноты и точности) отображения состояния предметной
области и непосредственно целостности информации, то есть ее
неискаженности. Однако, мы ограничимся только рассмотрением вопросов
обеспечения целостности информации, так как вопросы адекватности
отображения выходят далеко за рамки проблемы безопасности ИТ;
■ конфиденциальность информации —такую субъективно определяемую
(приписываемую собственником) характеристику (свойство) информации,
которая указывает на необходимость введения ограничений на круг
субъектов, имеющих доступ к данной информации, и обеспечиваемую
способностью системы (инфраструктуры) сохранять указанную
информацию в тайне от субъектов, не имеющих прав на доступ к ней.
Объективные предпосылки подобного ограничения доступности
информации для одних субъектов заключены в необходимости защиты
законных интересов других субъектов информационных отношений.
Поскольку в нашем случае (речь об информационной безопасности) ущерб субъектам
информационных отношений может быть нанесён только опосредованно, через
определённую информацию и её носители, то закономерно возникает заинтересованность
субъектов в защите этой информации, её носителей, процессов и систем её обработки.
Отсюда следует, что в качестве объектов, подлежащих защите с целью обеспечения
безопасности субъектов информационных отношений, должны рассматриваться:
информация, любые её носители (отдельные компоненты и АС в целом) и процессы её
обработки (передачи).
Вместе с тем, говоря о защите АС, всегда следует помнить, что уязвимыми, в конечном
счёте, являются именно заинтересованные в обеспечении определённых свойств
информации и систем её обработки субъекты (информация, равно как и средства её
обработки, не имеют своих интересов, которые можно было бы ущемить). Поэтому, под
безопасностью АС или циркулирующей в ней информации, всегда следует понимать
косвенное обеспечение безопасности соответствующих субъектов, участвующих в
процессах автоматизированного информационного взаимодействия.
Термин «безопасность информации» нужно понимать как защищённость информации
от нежелательного для соответствующих субъектов информационных отношений её
разглашения (нарушения конфиденциальности), искажения или утраты (нарушения
целостности, фальсификации) или снижения степени доступности (блокирования)
информации, а также незаконного её тиражирования (неправомерного использования).
Поскольку субъектам информационных отношений ущерб может бьггь нанесён также
посредством воздействия на процессы и средства обработки критичной для них
информации, то становится очевидным необходимость обеспечения защиты системы
обработки и передачи данной информации от несанкционированного вмешательства в
процесс её функционирования, а также от попыток хищения, незаконной модификации
и/или разрушения любых компонентов данной системы.
Под «безопасностью автоматизированной системы» (системы обработки
информации, компьютерной системы) следует понимать защищённость всех её
компонентов (технических средств, программного обеспечения, данных, пользователей и
персонала) от разного рода нежелательных для соответствующих субъектов воздействий.
Информзащита
34
Информзащита
Учебный u*wrp
было бы правильнее трактовать не как «несанкционированный доступ» (к информации), а
шире, —как «несанкционированные (неправомерные) действия», наносящие ущерб
субъектам информационных отношений.
Информзащита
Раздел I - Тема 3:
Угрозы безопасности информационных
технологий
Информзащита
У чебмын центр
37
Информзащита
V*— *•------ ц ентр
38
Информзащита
У ч об и ьм центр
39
Информзащита
Рис. 1.3.1. Классификация угроз по источникам и мотивации
Информзащита
У чебный центр
41
I -1
Г Информзащита
У ч е б н ш ц ентр
сигнализации, видеонаблюдения, радиотрансляции и т.п.) и инженерные
коммуникации (системы отопления, кондиционирования, заземления и т.п.);
■ перехват данных, передаваемых по каналам связи, и их анализ с целью
выяснения протоколов обмена, правил вхождения в связь и авторизации
пользователя и последующих попыток их имитации для проникновения в
систему;
■ хищение носителей информации (магнитных дисков, лент, микросхем
памяти, запоминающих устройств и целых ПЭВМ);
■ несанкционированное копирование носителей информации;
■ хищение производственных отходов (распечаток, записей, списанных
носителей информации и т.п.);
■ чтение остаточной информации из оперативной памяти и с внешних
запоминающих устройств;
■ чтение информации из областей оперативной памяти, используемых
операционной системой (в том числе подсистемой защиты) или другими
пользователями, в асинхронном режиме используя недостатки
мультизадачных операционных систем и систем программирования;
■ незаконное получение паролей и других реквизитов разграничения доступа
(агентурным путём, используя халатность пользователей, путём подбора,
путём имитации интерфейса системы и т.д.) с последующей маскировкой
под зарегистрированного пользователя («маскарад»);
■ несанкционированное использование терминалов пользователей, имеющих
уникальные физические характеристики, такие как номер рабочей станции в
сети, физический адрес, адрес в системе связи, аппаратный блок
кодирования и т.п.;
■ вскрытие шифров криптозащиты информации;
■ внедрение аппаратных «спецвложений», программных «закладок» и
«вирусов» («троянских коней» и «жучков»), то есть таких участков
программ, которые не нужны для осуществления заявленных функций, но
позволяющих преодолевать систему защиты, скрытно и незаконно
осуществлять доступ к системным ресурсам с целью регистрации и передачи
критической информации или дезорганизации функционирования системы;
■ незаконное подключение к линиям связи с целью работы «между строк», с
использованием пауз в действиях законного пользователя от его имени с
последующим вводом ложных сообщений или модификацией передаваемых
сообщений;
■ незаконное подключение к линиям связи с целью прямой подмены
законного пользователя путём его физического отключения после входа в
систему и успешной аутентификации с последующим вводом
дезинформации и навязыванием ложных сообщений.
Следует заметить, что чаще всего для достижения поставленной цели злоумышленник
использует не один, а некоторую совокупность из перечисленных выше путей.
Классификация каналов проникновения в автоматизированную
систему и утечки информации
Все каналы проникновения в систему и утечки информации разделяют на прямые и
косвенные. Под косвенными понимают такие каналы, использование которых не требует
проникновения в помещения, где расположены компоненты системы. Для использования
Информзащита
43
Таблица 1.3.1
Информзащита
У ч еб н о м ц е н т р
Неформальная модель нарушителя
Нарушения и преступления, в том числе и компьютерные, совершаются людьми. Как
говорится, бывают «виртуальные преступления», но «виртуальных преступников» не
бывает. В этом смысле вопросы безопасности автоматизированных систем во многом по
своей сути являются вопросами человеческих отношений и человеческого поведения.
Исследования проблемы обеспечения безопасности компьютерных систем ведутся в
направлении раскрытия природы явлений, заключающихся в нарушении целостности и
конфиденциальности информации, дезорганизации работы компьютерных систем.
Серьёзно изучается статистика нарушений, вызывающие их причины, личности
нарушителей, суть применяемых нарушителями приёмов и средств, используемые при
этом недостатки систем и средств их защиты, обстоятельства, при которых было
выявлено нарушение, и другие вопросы, которые могут быть использованы при
построении моделей потенциальных нарушителей.
Неформальная модель нарушителя отражает его практические и теоретические
возможности, априорные знания, время и место действия и т.п. Для достижения своих
целей нарушитель должен приложить некоторые усилия, затратить определённые
ресурсы. Зная причины нарушений, можно либо повлиять на сами эти причины (конечно,
если это возможно), либо точнее определить требования к системе защиты от данного
вида нарушений или преступлений.
Нарушитель —это лицо, предпринявшее попытку выполнения запрещённых операций
(действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных
интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и
т.п.) и использующее для этого различные возможности, методы и средства.
Следует заметить, что при отсутствии правил (запретов и ограничений) не существует и
нарушителей (если нет правил, значит, нечего и нарушать). Поэтому борьба с
нарушениями всегда должна начинаться с установления чётких правил (ограничений,
политики безопасности).
Злоумышленник —это нарушитель, намеренно (умышленно, со злым умыслом) идущий
на нарушение.
При построении модели нарушителя обычно формулируются предположения:
■ о категориях лиц, к которым может принадлежать нарушитель;
■ о мотивах действий нарушителя и преследуемых им целях;
■ о квалификации нарушителя и его технической оснащенности (об
используемых для совершения нарушения методах и средствах);
■ о характере возможных действий нарушителей.
По отношению к АС нарушители могут быть внутренними (из числа обслуживающего
персонала и пользователей системы) или внешними (посторонними лицами).
Внутренним нарушителем может быть лицо из следующих категорий сотрудников:
■ конечные пользователи (операторы) системы;
■ персонал, обслуживающий технические средства (инженеры, техники);
■ сотрудники отделов разработки и сопровождения ПО (прикладные и
системные программисты);
■ сотрудники службы безопасности АС;
■ руководители различных уровней.
Информзащита
У чвбм ьш ц е н т р
45
Информзащита
Ф
46
Информзащита
У ч еб н ы й ц е н т р
47
10%
9%
2% 4%
Как видно, более половины (55%) проблем возникает из-за ошибок пользователей и
обслуживающего персонала системы. К этому надо добавить нарушения со стороны
обиженных (9%) и нечестных (10% нарушений) сотрудников организаций.
Согласно одному из последних обзоров аналитического подразделения журнала
The Economist, информационная безопасность является одной из самых приоритетных
проблем для 78% из 254 опрошенных по всему миру первых лиц компаний. Респонденты
признавали, что большую часть проблем создают сами сотрудники корпораций. По
статистике опроса, источник 83% проблем с безопасностью находится внутри компании.
Сотрудники Компании являются самой массовой категорией нарушителей в силу их
многочисленности, наличия у них санкционированного доступа на территорию, в
помещения и к ресурсам системы, разнообразия мотивов совершения разного рода
небезопасных действий. Причём подавляющее большинство нарушений со стороны
сотрудников носит неумышленный характер. Однако, ущерб, который они при этом
наносят Компании, весьма значителен. Именно поэтому борьба с ошибками
пользователей и обслуживающего персонала АС является одним из основных
направлений работ по обеспечению безопасности.
Итак, цель защиты ИТ - это минимизация рисков для субъектов. Защита (обеспечение
безопасности) ИТ - это непрерывный процесс управления рисками, связанный с
выявлением информационных активов (ценностей), подлежащих защите, определением
стоимости этих активов, размеров ущерба и риска, разработкой плана действий по защите
и выбором технологий, реализующих этот план.
На практике это означает сведение всех значимых для субъектов угроз к допустимому
(приемлемому) уровню остаточного риска, и защиту наиболее важных (критичных)
информационных ресурсов исходя из существующих возможностей и предоставленных
финансовых средств.
Выводы
Уязвимыми являются буквально все основные структурно-функциональные элементы
современных АС. Защищать компоненты АС необходимо от всех видов воздействий:
Информзащита
стихийных бедствий и аварий, сбоев и отказов технических средств, ошибок персонала и
пользователей, ошибок в программах и от преднамеренных действий злоумышленников.
Имеется широчайший спектр вариантов (путей) преднамеренного или случайного
несанкционированного доступа к данным и вмешательства в процессы обработки и
обмена информацией (в том числе, управляющей согласованным функционированием
различных компонентов сети).
Правильно построенная (адекватная реальности) модель нарушителя, в которой
отражаются его практические и теоретические возможности, априорные знания, время и
место действия и т.п. характеристики - важная составляющая успешного проведения
анализа риска и определения требований к составу и характеристикам системы защиты.
Обеспечение безопасности ИТ - это многоплановая деятельность, связанная с
выявлением информационных активов (ценностей), подлежащих защите, определением
стоимости этих активов, размеров ущерба и риска, разработкой плана действий по их
защите и выбором технологий, реализующих этот план.
Информзащита
Учебным ц ентр
49
Раздел I - Тема 4:
Виды мер и основные принципы обеспечения
безопасности информационных технологий
Целью рассмотрения данной темы является обзор видов известных мер противодействия
угрозам безопасности АС (контрмер), а также основных принципов построения систем
защиты информации.
Виды мер противодействия угрозам безопасности
По способам осуществления все меры защиты информации, её носителей и систем её
обработки подразделяются на:
■ правовые (законодательные);
■ морально-этические;
■ организационные (административные и процедурные);
■ технологические;
■ физические;
■ технические (аппаратурные и программные).
Правовые (законодательные)
К правовым мерам защиты относятся действующие в стране законы, указы и другие
нормативные правовые акты, регламентирующие правила обращения с информацией,
закрепляющие права и обязанности участников информационных отношений в процессе
её получения, обработки и использования, а также устанавливающие ответственность за
нарушения этих правил, препятствуя тем самым неправомерному использованию
информации и являющиеся сдерживающим фактором для потенциальных нарушителей.
Правовые меры защиты носят в основном упреждающий, профилактический характер и
требуют постоянной разъяснительной работы с пользователями и обслуживающим
персоналом АС.
М о р а л ьн о -эти ч е ск и е
Информзащита
Технологические
К данному виду мер защиты относятся разного рода технологические решения и приёмы,
основанные обычно на использовании некоторых видов избыточности (структурной,
функциональной, информационной, временной и т.п.) и направленные на уменьшение
возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных
им прав и полномочий. Примером таких мер является использование процедур двойного
ввода ответственной информации, инициализации ответственных операций только при
наличии разрешений от нескольких должностных лиц, процедур проверки соответствия
реквизитов исходящих и входящих сообщений в системах коммутации сообщений,
периодическое подведение общего баланса всех банковских счетов и т.п.
Меры физической защиты
Физические меры защиты основаны на применении разного рода механических, электро-
или электронно-механических устройств и сооружений, специально предназначенных
для создания физических препятствий на возможных путях проникновения и доступа
потенциальных нарушителей к компонентам системы и защищаемой информации, а
также средств визуального наблюдения, связи и охранной сигнализации. К данному типу
относятся также меры и средства контроля физической целостности компонентов АС
(пломбы, наклейки и т.п.).
Технические
Технические меры защиты основаны на использовании различных электронных
устройств и специальных программ, входящих в состав АС и выполняющих
(самостоятельно или в комплексе с другими средствами) функции защиты.
Взаимосвязь рассмотренных выше мер обеспечения безопасности приведена на Рис. 1.4.1.
Информзащита
У чебн ы м ц е н т р
51
Информзащита
У ч еЁ м ьи ц е н т р
и т.п.). Вместе с самими средствами защиты эти люди образуют так называемое «ядро
безопасности». В этом случае, стойкость системы безопасности будет определяться
стойкостью персонала из ядра безопасности системы, и повышать её можно только за
счёт организационных (кадровых) мероприятий, законодательных и морально-этических
мер.
Но, даже имея совершенные законы и проводя оптимальную кадровую политику, все
равно проблему защиты до конца решить не удастся.
Во-первых, потому, что вряд ли удастся найти персонал, в котором можно было быть
абсолютно уверенным, и в отношении которого невозможно было бы предпринять
действий, вынуждающих его нарушить запреты.
Во-вторых, даже абсолютно надёжный человек может допустить случайное,
неумышленное нарушение.
Основные принципы построения системы обеспечения
безопасности информации в автоматизированной системе
Построение системы обеспечения безопасности информации в АС и её
функционирование должны осуществляться в соответствии со следующими основными
принципами:
■ законность
■ системность
■ комплексность
■ непрерывность
■ своевременность
■ преемственность и непрерывность совершенствования
■ разумная достаточность
■ персональная ответственность
■ разделение функций
■ минимизация полномочий
■ взаимодействие и сотрудничество
■ гибкость системы защиты
■ открытость алгоритмов и механизмов защиты
■ простота применения средств защиты
■ научная обоснованность и техническая реализуемость
■ специализация и профессионализм
■ взаимодействие и координация
■ обязательность контроля
Законность
Предполагает осуществление защитных мероприятий и разработку системы безопасности
информации в АС в соответствии с действующим законодательством в области
информации, информационных технологий и защиты информации, других нормативных
правовых актов, руководящих и нормативно-методических документов по безопасности
информации, утверждённых органами государственной власти в пределах их
Информзащита
53
Информзащита
У ч е б т м ц ентр
Преемственность и совершенствование
Предполагают постоянное совершенствование мер и средств защиты информации на
основе преемственности организационных и технических решений, кадрового состава,
анализа функционирования АС и её системы защиты с учётом изменений в методах и
средствах перехвата информации и воздействия на компоненты АС, нормативных
требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
Разделение функций
Принцип Разделения функций, требует, чтобы ни один сотрудник организации не имел
полномочий, позволяющих ему единолично осуществлять выполнение критичных
операций. Все такие операции должны быть разделены на части, и их выполнение должно
быть поручено различным сотрудникам. Кроме того, необходимо предпринимать
специальные меры по недопущению сговора и разграничению ответственности между
этими сотрудниками.
Разумная достаточность
(экономическая целесообразность, сопоставимость возможного ущерба и затрат)
Предполагает соответствие уровня затрат на обеспечение безопасности информации
(ценности информационных ресурсов) величине возможного ущерба от их разглашения,
утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения
безопасности информационных ресурсов не должны заметно ухудшать эргономические
показатели работы АС, в которой эта информация циркулирует. Излишние меры
безопасности, помимо экономической неэффективности, приводят к утомлению и
раздражению персонала.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока
информация находится в обращении, принимаемые меры могут только снизить
вероятность негативных воздействий или ущерб от них, но не исключить их полностью.
При достаточном количестве времени и средств возможно преодолеть любую защиту.
Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения
безопасности. Высокоэффективная система защиты стоит дорого, использует при работе
существенную часть ресурсов компьютерной системы и может создавать ощутимые
дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный
уровень защиты, при котором затраты, риск и размер возможного ущерба были бы
приемлемыми (задача анализа риска).
П ерсональная о тветствен н о сть
Информзащита
У ч еб ны й ц ентр
55
Информзащита
56
Информзащита
У чвбм ы и ц е я т р
57
Раздел I - Тема 5:
Правовые основы обеспечения безопасности
информационных технологий
Введение
Современный этап развития системы обеспечения информационной безопасности
государства и общества характеризуется переходом от тотального сокрытия большого
объёма сведений к гарантированной защищённости принципиально важных данных,
обеспечивающей:
■ конституционные права и свободы граждан, предприятий и организаций в
сфере информатизации;
■ необходимый уровень безопасности информации, подлежащей защите;
■ защищенность систем формирования и использования информационных
ресурсов (технологий, систем обработки и передачи данных).
Ключевым моментом политики государства в данной области является осознание
необходимости защиты любых информационных ресурсов и информационных
технологий, неправомерное обращение с которыми может нанести ущерб их обладателю
(собственнику, владельцу, пользователю) или иному лицу.
В Стратегии развития информационного общества в Российской Федерации
(утверждена Президентом Российской Федерации 07.02.2009 № Пр-212) одной из
ключевых задач, требующих решен™ для достижения целей формирования и развития
информационного общества в России значится противодействие использованию
потенциала информационных и телекоммуникационных технологий в целях угрозы
национальным интересам России:
■ обеспечение безопасности функционирования информационно
телекоммуникационной инфраструктуры;
■ обеспечение безопасности функционирования информационных и
телекоммуникационных систем ключевых объектов инфраструктуры
Российской Федерации, в том числе критических объектов и объектов
повышенной опасности;
■ повышение уровня защищённости корпоративных и индивидуальных
информационных систем;
■ создание единой системы информационно-телекоммуникационного
обеспечения нужд государственного управления, обороны страны,
национальной безопасности и правопорядка;
■ совершенствование правоприменительной практики в области
противодействия угрозам использования информационных и
телекоммуникационных технологий во враждебных целях;
■ обеспечение неприкосновенности частной жизни, личной и семейной тайны,
соблюдение требований по обеспечению безопасности информации
ограниченного доступа;
■ противодействие распространению идеологии терроризма и экстремизма,
пропаганде насилия.
Информзащита
—^1
58
Информзащита
59
Информзащита
Учвбмьм центр
8) предоставление информации - действия, направленные на получение информации
определённым кругом лиц или передачу информации определённому кругу лиц;
9) распространение информации - действия, направленные на получение информации
неопределённым кругом лиц или передачу информации неопределённому кругу лиц;
10) электронное сообщение - информация, переданная или полученная пользователем
информационно-телекоммуникационной сети;
11) документированная информация - зафиксированная на материальном носителе
путём документирования информация с реквизитами, позволяющими определить такую
информацию или в установленных законодательством Российской Федерации случаях её
материальный носитель;
12) оператор информационной системы - гражданин или юридическое лицо,
осуществляющие деятельность по эксплуатации информационной системы, в том числе
по обработке информации, содержащейся в её базах данных.
Согласно ст. 6 данного Федерального закона обладатель информации имеет право:
■ разрешать или ограничивать доступ к информации, определять порядок и
условия такого доступа;
■ использовать информацию, в том числе распространять ее, по своему
усмотрению;
■ передавать информацию другим лицам по договору или на ином
установленном законом основании;
■ защищать установленными законом способами свои права в случае
незаконного получения информации или ее незаконного использования
иными лицами;
■ осуществлять иные действия с информацией или разрешать осуществление
таких действий.
При этом обладатель информации обязан:
■ соблюдать права и законные интересы иных лиц;
■ принимать меры по защите информации;
■ ограничивать доступ к информации, если такая обязанность установлена
федеральными законами.
Кроме того, обладатель информации, оператор информационной системы, в случаях,
установленных законодательством Российской Федерации, обязаны обеспечить.
■ предотвращение несанкционированного доступа к информации и (или)
передачи ее лицам, не имеющим права на доступ к информации;
■ своевременное обнаружение фактов несанкционированного доступа к
информации;
я предупреждение возможности неблагоприятных последствий нарушения
порядка доступа к информации;
■ недопущение воздействия на технические средства обработки информации,
в результате которого нарушается их функционирование;
■ возможность незамедлительного восстановления информации,
модифицированной или уничтоженной вследствие несанкционированного
доступа к ней;
■ постоянный контроль за обеспечением уровня защищенности информации.
Информзащита
61
Информзащита
62
Информзащита
У чвби ьш ц е н т р
63
Ш Информзащита
У чебные ц ентр
обработки персональных данных, состав персональных данных, подлежащих обработке,
действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных
данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие
персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной
системе персональных данных и (или) в результате которых уничтожаются материальные
носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится
невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на
территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу.
Меры по обеспечению безопасности персональных данных при их обработке:
1. Оператор при обработке персональных данных обязан принимать необходимые
организационные и технические меры, в том числе использовать шифровальные
(криптографические) средства, для защиты персональных данных от неправомерного или
случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению
безопасности персональных данных при их обработке в информационных системах
персональных данных, требования к материальным носителям биометрических
персональных данных и технологиям хранения таких данных вне информационных
систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством
Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются
федеральным органом исполнительной власти, уполномоченным в области обеспечения
безопасности, и федеральным органом исполнительной власти, уполномоченным в
области противодействия техническим разведкам и технической защиты информации, в
пределах их полномочий и без права ознакомления с персональными данными,
обрабатываемыми в информационных системах персональных данных.
Информзащита
Учебны й цемтр
65
Информзащита
персональных данных, относящихся к соответствующему субъекту персональных
данных, с момента такого обращения или получения такого запроса на период проверки;
2. В случае подтверждения факта недостоверности персональных данных оператор на
основании документов, представленных субъектом персональных данных или его
законным представителем либо уполномоченным органом по защите прав субъектов
персональных данных, или иных необходимых документов обязан уточнить
персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в
срок, не превышающий трёх рабочих дней с даты такого выявления, обязан устранить
допущенные нарушения. В случае невозможности устранения допущенных нарушений
оператор в срок, не превышающий трёх рабочих дней с даты выявления неправомерности
действий с персональными данными, обязан уничтожить персональные данные. Об
устранении допущенных нарушений или об уничтожен™ персональных данных
оператор обязан уведомить субъекта персональных данных или его законного
представителя, а в случае, если обращение или запрос были направлены
уполномоченным органом по защите прав субъектов персональных данных, также
указанный орган.
4. В случае достижения цепи обработки персональных данных оператор обязан
незамедлительно прекратить обработку персональных данных и уничтожить
соответствующие персональные данные в срок, не превышающий трёх рабочих дней с
даты достижения цели обработки персональных данных, если иное не предусмотрено
федеральными законами, и уведомить об этом субъекта персональных данных или его
законного представителя, а в случае, если обращение или запрос были направлены
уполномоченным органом по защите прав субъектов персональных данных, также
указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих
персональных данных оператор обязан прекратить обработку персональных данных и
уничтожить персональные данные в срок, не превышающий трёх рабочих дней с даты
поступления указанного отзыва, если иное не предусмотрено соглашением между
оператором и субъектом персональных данных. Об уничтожен™ персональных данных
оператор обязан уведомить субъекта персональных данных.
Следует также отметить, что Российская Федерация ратифицировала Конвенцию Совета
Европы о защите физических лиц при автоматизированной обработке персональных
данных Федеральным законом от 19.12.2005 № 160 ФЗ «О ратификации Конвенции
Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных», в котором установлено следующее:
1) Российская Федерация заявляет, что ... не будет применять Конвенцию к
персональным данным:
а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;
б) отнесённым к государственной тайне в порядке, установленном законодательством
Российской Федерации о государственной тайне;
2) Российская Федерация заявляет, что ... будет применять Конвенцию к персональным
данным, которые не подвергаются автоматизированной обработке, если применение
Конвенции соответствует характеру действий, совершаемых с персональными данными
без использования средств автоматизации;
3) Российская Федерация заявляет, что ... оставляет за собой право устанавливать
ограничения права субъекта персональных данных на доступ к персональным данным о
себе в цепях защиты безопасности государства и общественного порядка.
Информзащита
67
Информзащита
Достаточность принятых мер по обеспечению безопасности персональных данных при их
обработке в информационных системах оценивается при проведении государственного
контроля и надзора.
Работы по обеспечению безопасности персональных данных при их обработке в
информационных системах являются неотъемлемой частью работ по созданию
информационных систем.
Средства зашиты информации, применяемые в информационных системах, в
установленном порядке проходят процедуру оценки соответствия.
Обмен персональными данными при их обработке в информационных системах
осуществляется по каналам связи, защита которых обеспечивается путём реализации
соответствующих организационных мер и (или) путём применения технических средств.
Размещение информационных систем, специальное оборудование и охрана помещений, в
которых ведётся работа с персональными данными, организация режима обеспечения
безопасности в этих помещениях должны обеспечивать сохранность носителей
персональных данных и средств защиты информации, а также исключать возможность
неконтролируемого проникновения или пребывания в этих помещениях посторонних
лиц.
Возможные каналы утечки информации при обработке персональных данных в
информационных системах определяются Федеральной службой по техническому и
экспортному контролю и Федеральной службой безопасности Российской Федерации в
пределах их полномочий.
Безопасность персональных данных при их обработке в информационной системе
обеспечивает оператор или лицо, которому на основании договора оператор поручает
обработку персональных данных (далее - уполномоченное лицо). Существенным
условием договора является обязанность уполномоченного лица обеспечить
конфиденциальность персональных данных и безопасность персональных данных при их
обработке в информационной системе.
Мероприятия по обеспечению безопасности персональных данных при их обработке в
информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке,
формирование на их основе модели угроз;
б) разработку на основе модели угроз системы зашиты персональных данных,
обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и
способов защиты персональных данных, предусмотренных для соответствующего класса
информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением
заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с
эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в
информационных системах, правилам работы с ними;
е) учёт применяемых средств защиты информации, эксплуатационной и технической
документации к ним, носителей персональных данных;
ж) учёт лиц, допущенных к работе с персональными данными в информационной
системе;
з) контроль за соблюдением условий использования средств защиты информации,
предусмотренных эксплуатационной и технической документацией;
Информзащита
У чебн ы м ц е н т р
69
Информзащита
хранении биометрических персональных данных вне информационных систем
персональных данных.
Под материальным носителем понимается машиночитаемый носитель информации (в
том числе магнитный и электронный), на котором осуществляются запись и хранение
сведений, характеризующих физиологические особенности человека и на основе которых
можно установить его личность (далее - материальный носитель).
Настоящие требования не распространяются на отношения, возникающие при
использовании:
а) оператором информационной системы персональных данных (далее - оператор)
материальных носителей для организации функционирования информационной системы
персональных данных, оператором которой он является;
б) бумажных носителей для записи и хранения биометрических персональных данных.
Порядок передачи материальных носителей уполномоченным лицам утверждает
оператор. Оператор вправе установить не противоречащие требованиям законодательства
Российской Федерации дополнительные требования к технологиям хранения
биометрических персональных данных вне информационных систем персональных
данных в зависимости от методов и способов защиты биометрических персональных
данных в информационных системах персональных данных этого оператора. Оператор
обязан:
а) осуществлять учёт количества экземпляров материальных носителей;
б) осуществлять присвоение материальному носителю уникального идентификационного
номера, позволяющего точно определить оператора, осуществившего запись
биометрических персональных данных на материальный носитель.
Информзащита
У чебны м ц е н т р
71
Информзащита
■ определение перечня информации, составляющей коммерческую тайну;
■ ограничение доступа к информации, составляющей коммерческую тайну,
путем установления порядка обращения с этой информацией и контроля за
соблюдением такого порядка;
■ учет лиц, получивших доступ к информации, составляющей коммерческую
тайну, и/или лиц, которым такая информация была предоставлена или
передана;
■ регулирование отношений по использованию информации, составляющей
коммерческую тайну, работниками на основании трудовых договоров и
контрагентами на основании гражданско-правовых договоров;
■ нанесение на материальные носители (документы), содержащие
информацию, составляющую коммерческую тайну, грифа «Коммерческая
тайна» с указанием обладателя этой информации (для юридических лиц -
полное наименование и место нахождения, для индивидуальных
предпринимателей —фамилия, имя, отчество гражданина, являющегося
индивидуальным предпринимателем, и место жительства).
Меры по охране конфиденциальности информации признаются разумно достаточными,
если:
■ исключается доступ к информации, составляющей коммерческую тайну,
любых лиц без согласия ее обладателя;
■ обеспечивается возможность использования информации, составляющей
коммерческую тайну, работниками и передачи ее контрагентам без
нарушения режима коммерческой тайны.
Режим коммерческой тайны не может быть использован в целях, противоречащих
требованиям защиты основ конституционного строя, нравственности, здоровья, прав и
законных интересов других лиц, обеспечения обороны страны и безопасности
государства.
К сожалению, вступивший в действие Федеральный закон от 29.07.2004 № 98-ФЗ
«О коммерческой тайне» не в полной мере обеспечивает неприкосновенность
соответствующей информации. В соответствии со статьёй 6 этого Закона, «Обладатель
информации, составляющей коммерческую тайну, по мотивированному требованию
органа государственной власти, иного государственного органа, органа местного
самоуправления предоставляет им на безвозмездной основе информацию, составляющую
коммерческую тайну» При отказе собственника информационных ресурсов добровольно
вьщать информацию, составляющую коммерческую тайну, она может быть получена в
судебном порядке. При этом какого-либо возмещения издержек собственника на
предоставление информации не предусматривается. Кроме того, данный Закон не
предусматривает отмены ранее принятых нормативных документов по вопросам защиты
коммерческой тайны, в том числе и в части, противоречащей Закону. Данное
обстоятельство, к сожалению, не способствует устранению существовавших до принятия
Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» правовых
коллизий.
Также, следует отметить наличие методических документов по технической защиты
информации, составляющей коммерческую тайну, выпущенных ФСТЭК России:
■ Методические рекомендации по технической защите информации,
составляющей коммерческую тайну (утверждены Заместителем директора
ФСТЭК России 25.12.2006);
Информзащита
У чеби*** ц е и т р
73
Информзащита
При необходимости подключения информационных систем, информационно
телекоммуникационных сетей и средств вычислительной техники, указанных выше, к
информационно-телекоммуникационным сетям международного информационного
обмена такое подключение производится только с использованием специально
предназначенных для этого средств защиты информации, в том числе шифровальных
(криптографических) средств, прошедших в установленном законодательством
Российской Федерации порядке сертификацию в Федеральной службе безопасности
Российской Федерации и (или) получивших подтверждение соответствия в Федеральной
службе по техническому и экспортному контролю. Выполнение данного требования
является обязательным для операторов информационных систем, владельцев
информационно-телекоммуникационных сетей и (или) средств вычислительной техники.
Государственные органы в целях защиты общедоступной информации, размещаемой в
информационно-телекоммуникационных сетях международного информационного
обмена, используют только средства защиты информации, прошедшие в установленном
законодательством Российской Федерации порядке сертификацию в Федеральной службе
безопасности Российской Федерации и (или) получившие подтверждение соответствия в
Федеральной службе по техническому и экспортному контролю.
Размещение технических средств, подключаемых к информационно
телекоммуникационным сетям международного информационного обмена, в
помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются
вопросы, содержащие сведения, составляющие государственную тайну, осуществляется
только при наличии сертификата, разрешающего эксплуатацию таких технических
средств в указанных помещениях. Финансирование расходов, связанных с размещением
технических средств в указанных помещениях федеральных органов государственной
власти, осуществляется в пределах бюджетных ассигнований, предусмотренных в
федеральном бюджете на содержание этих органов.
Банковская тайна
В ст.26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской
деятельности» сказано, что «Кредитная организация, Банк России гарантируют тайну об
операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие
кредитной организации обязаны хранить тайну об операциях, счетах и вкладах её
клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной
организацией, если это не противоречит федеральному закону».
Кроме всего прочего, согласно ст.857 части второй Гражданского кодекса Российской
Федерации (Федеральный закон от 25.01.1996 № 14-ФЗ) «Банк гарантирует тайну счёта и
банковского вклада, операций по счёту и сведений о клиенте».
Следовательно к основным объектам банковской тайны, согласно действующему
законодательству, относятся:
■ Тайна банковского счета - сведения о счетах клиентов и корреспондентов
и действиях с ними в кредитной организации (о расчетном, текущем,
бюджетном, депозитном, валютном, корреспондентском и т.п. счете, об
открытии, закрытии, переводе, переоформлении счета и т.п.);
■ Тайна операций по банковскому счету —сведения о принятии и зачислении
поступающих на счет клиента денежных средств, о выполнении его
распоряжений по перечислению и выдаче соответствующих сумм со счета, а
также проведении других операций и сделок по банковскому счету,
предусмотренных договором банковского счета или законом,
установленными в соответствии с ним банковскими правилами, обычаями
делового оборота;
Информзащита
У чебны » цеитр
75
Информзащита
Учебным центр
■ по области применения, в которой извлекается выгода от монопольного
владения (экономическая —коммерческая, политическая, военная и т.п.);
■ по степени важности (гриф).
Другие Федеральные законы и нормативные правовые акты Российской Федерации
предусматривают:
■ лицензирование деятельности предприятий, учреждений и организаций в
области защиты информации;
■ сертификацию средств защиты информации и средств контроля
эффективности защиты, используемых в АС;
■ аттестацию (аттестование) автоматизированных информационных
систем, обрабатывающих информацию с ограниченным доступом на
соответствие требованиям по безопасности информации при проведении
работ со сведениями соответствующей степени конфиденциальности
(секретности);
■ возложение решения вопросов организации лицензирования, аттестации и
сертификации на органы государственного управления в пределах их
компетенции, определенной законодательством Российской Федерации;
■ создание автоматизированных информационных систем в защищенном
исполнении и специальных подразделений, обеспечивающих защиту
информации с ограниченным доступом, являющейся собственностью
государства, а также осуществление контроля защищенности информации и
предоставление прав запрещать или приостанавливать обработку
информации в случае невыполнения требований по обеспечению ее защиты;
■ определение прав и обязанностей субъектов в области защиты информации.
Лицензирование
Лицензирование —деятельность лицензирующих органов по предоставлению,
переоформлению лицензий, продлению срока действия лицензий в случае, если
ограничение срока действия лицензий предусмотрено федеральными законами,
осуществлению лицензионного контроля, приостановлению, возобновлению,
прекращению действия и аннулированию лицензий, формированию и ведению реестра
лицензий, формированию государственного информационного ресурса, а также по
предоставлению в установленном порядке информации по вопросам лицензирования.
Лицензия - специальное разрешение на право осуществления юридическим лицом или
индивидуальным предпринимателем конкретного вида деятельности (выполнения работ,
оказания услуг, составляющих лицензируемый вид деятельности), которое
подтверждается документом, выданным лицензирующим органом на бумажном носителе
или в форме электронного документа, подписанного электронной подписью, в случае,
если в заявлении о предоставлении лицензии указывалось на необходимость выдачи
такого документа в форме электронного документа.
Законодательство Российской Федерации предусматривает установление Правительством
Российской Федерации порядка ведения лицензионной деятельности, перечня видов
деятельности, на осуществление которых требуется лицензия, и органов,
уполномоченных на ведение лицензионной деятельности.
В соответствии со статьёй 12 Федерального закона от 04.05.2011 № 99-ФЗ
«О лицензировании отдельных видов деятельности» обязательному лицензированию
подлежат следующие виды деятельности (в области защиты информации):
■ разработка, производство, распространение шифровальных
(криптографических) средств, информационных систем и
Информзащита
У чебн ы м ц е н т р
77
Информзащита
Лицензионными требованиями, предъявляемыми к соискателю лицензии на
осуществление деятельности по технической защите конфиденциальной информации
(далее - лицензия), являются:
а) наличие у соискателя лицензии:
• юридического лица - специалистов, находящихся в штате соискателя лицензии,
имеющих высшее профессиональное образование в области технической защиты
информации либо высшее техническое или среднее профессиональное (техническое)
образование и прошедших переподготовку или повышение квалификации по вопросам
технической защиты информации;
• индивидуального предпринимателя - высшего профессионального образования в
области технической защиты информации либо высшего технического или среднего
профессионального (технического) образования при условии прохождения им
переподготовки или повышения квалификации по вопросам технической защиты
информации;
б) наличие помещений для осуществления лицензируемого вида деятельности,
соответствующих установленным законодательством Российской Федерации
техническим нормам и требованиям по технической зашите информации и
принадлежащих соискателю лицензии на праве собственности или на ином законном
основании;
в) наличие на праве собственности или на ином законном основании контрольно
измерительного оборудования (прошедшего в соответствии с законодательством
Российской Федерации метрологическую поверку (калибровку) и маркирование),
производственного и испытательного оборудования, соответствующего требованиям по
техническим характеристикам и параметрам, устанавливаемым Федеральной службой по
техническому и экспортному контролю (при выполнении работ и (или) оказании услуг,
предусмотренных подпунктами "а", "в", "г" и "е" пункта 4 Положения);
г) наличие на праве собственности или на ином законном основании средств контроля
защищенности информации от несанкционированного доступа, сертифицированных по
требованиям безопасности информации, в соответствии с перечнем, утверждаемым
Федеральной службой по техническому и экспортному контролю (при выполнении работ
и (или) оказании услуг, предусмотренных подпунктами "б", "в" и "г" пункта 4
Положения);
д) наличие автоматизированных систем, предназначенных для обработки
конфиденциальной информации, а также средств защиты такой информации, прошедших
процедуру оценки соответствия (аттестованных и (или) сертифицированных по
требованиям безопасности информации) в соответствии с законодательством Российской
Федерации;
е) наличие предназначенных для осуществления лицензируемого вида деятельности
программ для электронно-вычислительных машин и баз данных, принадлежащих
соискателю лицензии на праве собственности или на ином законном основании;
ж) наличие технической документации, национальных стандартов и методических
документов, необходимых для выполнения работ и (или) оказания услуг,
предусмотренных пунктом 4 настоящего Положения, в соответствии с утверждаемым
Федеральной службой по техническому и экспортному контролю перечнем и
принадлежащих соискателю лицензии на праве собственности или на ином законном
основании;
з) наличие системы производственного контроля в соответствии с установленными
стандартами (при выполнении работ, указанных в подпункте "в" пункта 4 Положения).
Информзащита
79
Информзащита
Учебный центр
Таким образом, вся деятельность по обеспечению технической защиты
конфиденциальной информации подпадает под обязательное лицензирование, т.е.
владелец АС, в рамках которой обрабатывается, хранится или передаётся
конфиденциальная информация, должен обладать лицензией на проведение работ по
технической защите информации, либо привлекать для проведения подобных работ
компании, обладающие такой лицензией.
Другим важным документом, требующим особого внимания, является постановление
Правительства Российской Федерации от 16.04.2012 № 313 «Об утверждении положения
о лицензировании деятельности по разработке, производству, распространению
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, выполнению работ, оказанию услуг в области шифрования
информации, техническому обслуживанию шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств (за исключением случая,
если техническое обслуживание шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств, осуществляется для
обеспечения собственных нужд юридического лица или индивидуального
предпринимателя)».
К шифровальным (криптографическим) средствам (средствам криптографической
защиты информации), включая документацию на эти средства, относятся:
а) средства шифрования - аппаратные, программные и программно-аппаратные
шифровальные (криптографические) средства, реализующие алгоритмы
криптографического преобразования информации для ограничения доступа к ней, в том
числе при ее хранении, обработке и передаче;
б) средства имитозащиты - аппаратные, программные и программно-аппаратные
шифровальные (криптографические) средства (за исключением средств шифрования),
реализующие алгоритмы криптографического преобразования информации для ее
защиты от навязывания ложной информации, в том числе защиты от модифицирования,
для обеспечения ее достоверности и некорректируемости, а также обеспечения
возможности выявления изменений, имитации, фальсификации или модифицирования
информации;
в) средства электронной подписи;
г) средства кодирования - средства шифрования, в которых часть криптографических
преобразований информации осуществляется с использованием ручных операций или с
использованием автоматизированных средств, предназначенных для выполнения таких
операций;
д) средства изготовления ключевых документов - аппаратные, программные,
программно-аппаратные шифровальные (криптографические) средства, обеспечивающие
возможность изготовления ключевых документов для шифровальных
(криптографических) средств, не входящие в состав этих шифровальных
(криптографических) средств;
е) ключевые документы - электронные документы на любых носителях информации, а
также документы на бумажных носителях, содержащие ключевую информацию
ограниченного доступа для криптографического преобразования информации с
использованием алгоритмов криптографического преобразования информации
(криптографический ключ) в шифровальных (криптографических) средствах;
ж) аппаратные шифровальные (криптографические) средства - устройства и их
компоненты, в том числе содержащие ключевую информацию, обеспечивающие
Информзащита
У ч е б н ы * и ви тр
81
Информзащита
е) приемной аппаратуры для радиовещания, коммерческого телевидения или аналогичной
коммерческой аппаратуры для вещания на ограниченную аудиторию без шифрования
цифрового сигнала, кроме случаев использования шифрования исключительно для
управления видео- или аудиоканалами и отправки счетов или возврата информации,
связанной с программой, провайдерам вещания;
ж) оборудования, криптографические возможности которого недоступны пользователю,
специально разработанного и ограниченного для осуществления следующих функций:
• исполнение программного обеспечения в защищенном от копирования виде;
• обеспечение доступа к защищенному от копирования содержимому,
хранящемуся только на доступном для чтения носителе информации, либо
доступа к информации, хранящейся в зашифрованной форме на носителях, когда
эти носители информации предлагаются на продажу населению в идентичных
наборах;
• контроль копирования аудио- и видеоинформации, защищенной авторскими
правами;
з) шифровального (криптографического) оборудования, специально разработанного и
ограниченного применением для банковских или финансовых операций в составе
терминалов единичной продажи (банкоматов), POS-терминалов и терминалов оплаты
различного вида услуг, криптографические возможности которых не могут быть
изменены пользователями;
и) портативных или мобильных радиоэлектронных средств гражданского назначения
(например, для использования в коммерческих гражданских системах сотовой
радиосвязи), которые не способны к сквозному шифрованию (то есть от абонента к
абоненту);
к) беспроводного оборудования, осуществляющего шифрование информации только в
радиоканале с максимальной дальностью беспроводного действия без усиления и
ретрансляции менее 400 м в соответствии с техническими условиями производителя (за
исключением оборудования, используемого на критически важных объектах);
л) шифровальных (криптографических) средств, используемых для защиты
технологических каналов информационно-телекоммуникационных систем и сетей связи,
не относящихся к критически важным объектам;
м) товаров, у которых криптографическая функция гарантированно заблокирована
производителем.
Лицензионными требованиями при осуществлении лицензируемой деятельности
являются:
а) наличие у соискателя лицензии (лицензиата) права собственности или иного законного
основания на владение и использование помещений, сооружений, технологического,
испытательного, контрольно-измерительного оборудования и иных объектов,
необходимых для осуществления лицензируемой деятельности;
б) выполнение соискателем лицензии (лицензиатом) при осуществлении лицензируемой
деятельности требований по обеспечению информационной безопасности,
устанавливаемых в соответствии со статьями 11.2 и 13 Федерального закона "О
федеральной службе безопасности";
в) наличие у соискателя лицензии (лицензиата) условий для соблюдения
конфиденциальности информации, необходимых для выполнения работ и оказания услуг,
составляющих лицензируемую деятельность, в соответствии с требованиями о
соблюдении конфиденциальности информации, установленными Федеральным законом
"Об информации, информационных технологиях и о защите информации";
Информзащита
Учебным центр
83
Информзащита
измерений", принадлежащих ему на праве собственности или ином законном
основании и необходимых для выполнения работ и оказания услуг, указанных в
пунктах 1 -11,16 -19 перечня;
ж) представление соискателем лицензии (лицензиатом) в лицензирующий орган перечня
шифровальных (криптографических) средств, в том числе иностранного производства, не
имеющих сертификата Федеральной службы безопасности Российской Федерации,
технической документации, определяющей состав, характеристики и условия
эксплуатации этих средств, и (или) образцов шифровальных (криптографических)
средств;
з) использование соискателем лицензии (лицензиатом) предназначенных для
осуществления лицензируемой деятельности программ для электронных
вычислительных машин и баз данных, принадлежащих соискателю лицензии
(лицензиату) на праве собственности или ином законном основании.
Информзащита
У чебн ы м ц е н т р
85
Информзащита
также средств её защиты, прошедших процедуру оценки соответствия
(аттестованных и (или) сертифицированных по требованиям безопасности
информации) в соответствии с законодательством Российской Федерации.
В остальных случаях сертификация и аттестация носят добровольный характер
(добровольная сертификация и аттестация) и может осуществляться по инициативе
заказчика или владельца объекта информатизации.
В Федеральном законе от 27.12.2002 № 184-ФЗ «О техническом регулировании» даны
следующие определения:
■ оценка соответствия - прямое или косвенное определение соблюдения
требований, предъявляемых к объекту;
■ подтверждение соответствия - документальное удостоверение соответствия
продукции или иных объектов, процессов проектирования (включая изыскания),
производства, строительства, монтажа, наладки, эксплуатации, хранения,
перевозки, реализации и утилизации, выполнения работ или оказания услуг
требованиям технических регламентов, положениям стандартов, сводов правил
или условиям договоров;
■ сертификация - форма осуществляемого органом по сертификации
подтверждения соответствия объектов требованиям технических регламентов,
положениям стандартов, сводов правил или условиям договоров;
■ декларирование соответствия - форма подтверждения соответствия
продукции требованиям технических регламентов;
■ технический регламент - документ, который принят международным
договором Российской Федерации, ратифицированным в порядке, установленном
законодательством Российской Федерации, или межправительственным
соглашением, заключённым в порядке, установленном законодательством
Российской Федерации, или федеральным законом, или указом Президента
Российской Федерации, или постановлением Правительства Российской
Федерации, или нормативным правовым актом федерального органа
исполнительной власти по техническому регулированию и устанавливает
обязательные для применения и исполнения требования к объектам технического
регулирования (продукции, в том числе зданиям, строениям и сооружениям или к
связанным с требованиями к продукции процессам проектирования (включая
изыскания), производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации и утилизации);
■ форма подтверждения соответствия —определённый порядок
документального удостоверения соответствия продукции или иных объектов,
процессов проектирования (включая изыскания), производства, строительства,
монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации,
выполнения работ или оказания услуг требованиям технических регламентов,
положениям стандартов или условиям договоров;
■ схема подтверждения соответствия - перечень действий участников
подтверждения соответствия, результаты которых рассматриваются ими в
качестве доказательств соответствия продукции и иных объектов установленным
требованиям.
Подтверждение соответствия осуществляется в целях:
■ удостоверения соответствия продукции, процессов проектирования (включая
изыскания), производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации и утилизации, работ, услуг или иных объектов
техническим регламентам, стандартам, сводам правил, условиям договоров;
Информзащита
У чебн ы м ц е н т р
87
I Информзащита
« ' Уче&ньм центр
реализации, утилизации, захоронения соответственно указанной продукции и указанных
объектов обязательными требованиями наряду с требованиями технических регламентов
являются требования, установленные государственными заказчиками, федеральными
органами исполнительной власти, уполномоченными в области обеспечения
безопасности, обороны, внешней разведки, противодействия техническим разведкам и
технической защиты информации, государственного управления использованием
атомной энергии, государственного регулирования безопасности при использовании
атомной энергии, и (или) государственными контрактами (договорами). Особенности
оценки соответствия указанной продукции (работ, услуг) и объектов, а также
соответственно процессов их проектирования (включая изыскания), производства,
строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации,
утилизации, захоронения устанавливаются Правительством Российской Федерации.
Технический регламент должен содержать перечень и (или) описание объектов
технического регулирования, требования к этим объектам и правила их идентификации в
целях применения технического регламента. Технический регламент должен содержать
правила и формы оценки соответствия (в том числе в техническом регламенте могут
содержаться схемы подтверждения соответствия, порядок продления срока действия
выданного сертификата соответствия), определяемые с учетом степени риска, предельные
сроки оценки соответствия в отношении каждого объекта технического регулирования и
(или) требования к терминологии, упаковке, маркировке или этикеткам и правилам их
нанесения. Технический регламент должен содержать требования энергетической
эффективности.
Оценка соответствия проводится в формах:
■ государственного контроля (надзора);
■ аккредитации;
■ испытания;
■ регистрации;
■ подтверждения соответствия;
■ приёмки и ввода в эксплуатацию объекта, строительство которого закончено;
■ и в иной форме.
Не включённые в технические регламенты требования к продукции или к связанным с
ними процессам проектирования (включая изыскания), производства, строительства,
монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации,
правилам и формам оценки соответствия, правила идентификации, требования к
терминологии, упаковке, маркировке или этикеткам и правилам их нанесения не могут
носить обязательный характер.
Обязательное подтверждение соответствия проводится только в случаях, установленных
соответствующим техническим регламентом, и исключительно на соответствие
требованиям технического регламента. Объектом обязательного подтверждения
соответствия может быть только продукция, выпускаемая в обращение на территории
Российской Федерации.
Форма и схемы обязательного подтверждения соответствия могут устанавливаться
только техническим регламентом с учётом степени риска недостижения целей
технических регламентов.
Декларация о соответствии и сертификат соответствия имеют равную юридическую силу
и действуют на всей территории Российской Федерации в отношении каждой единицы
продукции, выпускаемой в обращение на территории Российской Федерации во время
действия декларации о соответствии или сертификата соответствия, в течение срока
Информзащита
У чеб н ы м ц е н т р
89
Информзащита
■ информацию об объекте подтверждения соответствия, позволяющую
идентифицировать этот объект;
■ наименование технического регламента, на соответствие требованиям которого
подтверждается продукция;
■ указание на схему декларирования соответствия;
■ заявление заявителя о безопасности продукции при её использовании в
соответствии с целевым назначением и принятии заявителем мер по обеспечению
соответствия продукции требованиям технических регламентов;
■ сведения о проведённых исследованиях (испытаниях) и измерениях, сертификате
системы качества, а также документах, послуживших основанием для
подтверждения соответствия продукции требованиям технических регламентов;
■ срок действия декларации о соответствии;
■ иные предусмотренные соответствующими техническими регламентами
сведения.
Срок действия декларации о соответствии определяется техническим регламентом.
Форма декларации о соответствии утверждается федеральным органом исполнительной
власти по техническому регулированию.
Оформленная заявителем декларация о соответствии подлежит регистрации в едином
реестре деклараций о соответствии в течение трёх дней. Порядок формирования и
ведения единого реестра деклараций о соответствии, порядок регистрации деклараций о
соответствии, предоставления содержащихся в указанном реестре сведений определяются
уполномоченным Правительством Российской Федерации федеральным органом
исполнительной власти.
Обязательная сертификация осуществляется органом по сертификации на основании
договора с заявителем. Схемы сертификации, применяемые для сертификации
определённых видов продукции, устанавливаются соответствующим техническим
регламентом.
Соответствие продукции требованиям технических регламентов подтверждается
сертификатом соответствия, выдаваемым заявителю органом по сертификации.
Сертификат соответствия включает в себя:
■ наименование и местонахождение заявителя;
■ наименование и местонахождение изготовителя продукции, прошедшей
сертификацию;
■ наименование и местонахождение органа по сертификации, выдавшего
сертификат соответствия;
■ информацию об объекте сертификации, позволяющую идентифицировать этот
объект;
■ наименование технического регламента, на соответствие требованиям которого
проводилась сертификация;
■ информацию о проведённых исследованиях (испытаниях) и измерениях;
■ информацию о документах, представленных заявителем в орган по сертификации
в качестве доказательств соответствия продукции требованиям технических
регламентов;
■ срок действия сертификата соответствия.
Информзащита
Учвбмми центр
91
Информзащита
У че&ньм центр
92
Информзащита
У ч еб н ы й ц е н т р
93
Информзащита
■ Временная методика оценки защищённости помещений от утечки речевой
конфиденциальной информации по каналам электроакустических
преобразований
• и другие;
■ в области криптографического преобразования информации при ее хранении
и передаче по каналам связи:
• ГОСТ 28147-89. Системы обработки информации. Защита
криптографическая. Алгоритм криптографического преобразования;
• ГОСТ Р 34.10-2001. Информационная технология. Криптографическая
защита информации. Процессы формирования и проверки электронной
цифровой подписи;
• ГОСТ Р 34.11-94. Функция хеширования;
• документы ФСБ России:
■ Положение о разработке, изготовлении и обеспечении эксплуатации
шифровальной техники, систем связи и комплексов вооружения,
использующих шифровальную технику (ПШ-93);
■ Положение о разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты информации
(Положение ПКЗ-2005);
■ Инструкция об организации и обеспечении безопасности хранения,
обработки и передачи по каналам связи с использованием средств
криптографической защиты информации с ограниченным доступом, не
содержащей сведений, составляющих государственную тайну;
• и другие.
Остановимся более детально на вопросах сертификации средств защиты. Следует
отметить, что после передачи лицензирующих подразделений ФАПСИ в ведение
ФСБ России основные принципы системы лицензирования и сертификации не
изменились. Все ранее выданные ФАПСИ лицензии и сертификаты оставались
действительными на обозначенный в них срок.
Сертификация
Под сертификацией средств защиты информации по требованиям безопасности
информации понимается деятельность по подтверждению их соответствия требованиям
государственных стандартов или иных нормативных документов по защите информации,
утверждённых уполномоченными федеральными органами исполнительной власти в
пределах ргх компетенции.
Сертификат соответствия —документ, выданный по правилам системы сертификации
для подтверждения соответствия сертифицированной продукции установленным
требованиям.
Знак соответствия - зарегистрированный в установленном порядке знак, которым по
правилам, установленным в данной системе сертификации, подтверждается соответствие
маркированной им продукции установленным требованиям.
Средства защиты информации (СЗИ) - технические, криптографические, программные
и другие средства, предназначенные для защиты сведений конфиденциального характера,
а также средства контроля эффективности защиты информации.
Руководящий документ ФСТЭК России «Средства вычислительной техники. Зашита от
несанкционированного доступа к информации. Показатели защищённости средств
Информзащита
Учебным ц ентр
95
Информзащита
^
*— Уче&ньм ц ентр
^Г1
Также следует отметить руководящий документ ФСТЭК Росс™ «Средства
вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа
к информации. Показатели защищённости от несанкционированного доступа к
информации», который устанавливает классификацию межсетевых экранов (МЭ) по
уровню защищённости от несанкционированного доступа к информации на базе перечня
показателей защищённости и совокупности описывающих их требований (см. Рис. 1.5.4).
Межсетевой экран —локальное (однокомпонентное) или функционально-
распределённое средство (комплекс), реализующее контроль за информацией,
поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством
фильтрации информации, т.е. её анализа по совокупности критериев и принятия решения
о её распространении в (из) АС.
Информзащита
У ч е б н ы * и ви тр
97
I Информзащита
У чебнм ! центр
"^Г1
0i $
J. с
"\
1Д 1Г IB 1Б ] A ” 1 группа
9 классов
^ защищенности
2Б | 2A 1 2 гРУппа от НСД
ЗБ v ЗА 3 'py” na
J Рис.
1.5.5. Классы защищённости АС
Информзащита
У чебным ц ентр
99
J 1 1 1
1Д 1Г 1В 1Б 1А АС
3 СВТ
ВДВ
4 1 МЭ
Информзащита
Ф
100
по унификации национальных стандартов. В 1993 году организации США, Канады,
Великобритании, Франции, Германии и Нидерландов [Национальный институт
стандартов и технологии, Агентство национальной безопасности (США), Учреждение
безопасности коммуникаций (Канада), Агентство информационной безопасности
(Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы
исполнения Программы безопасности и сертификации ИТ (Великобритания), Центр
обеспечения безопасности систем (Франция)], объединили свои усилия в рамках проекта,
получившего название «Общие критерии оценки безопасности информационных
технологий» (Common Criteria for Information Technology Security Evaluation).
Разработка версии 1.0 «Общих критериев...» была завершена в январе 1996 года и
одобрена международной организацией по стандартизации (ISO) уже в апреле 1996 года.
Появление международного стандарта явилось новым этапом в развитии нормативной
базы оценки информационной безопасности. Новые критерии обеспечили взаимное
признание результатов стандартизованной оценки безопасности на мировом рынке ИТ.
«Общие критерии...» обобщили содержание и опыт использования «Оранжевой книги»,
развили оценочные уровни доверия «Европейских критериев...», воплотили в реальные
структуры концепцию типовых профилей защиты «Федеральных критериев...». В
«Общих критериях...» проведена классификация широкого набора функциональных
требований и требований доверия к безопасности, определены способы их группирования
и принципы использования.
В мае 1998 года была опубликована версия 2.0 «Общих критериев...» и на её основе в
июне 1999 года был принят международный стандарт ISO/IEC 15408:1999 (Information
technology — Security techniques — Evaluation criteria for IT security).
Практически одновременно с «Общими критериями...» разрабатывались версии «Общей
методологии оценки безопасности информационных технологий». В августе 1999 года
опубликована версия 1.0 «Общей методологии оценки..» (часть 2) для оценочных уровней
доверия (ОУД) \А . В январе 2004 году опубликованы версии 2.2, а в августе 2005 г.
версии 2.3 «Общих критериев.. .» и «Общей методологии оценки..». Именно они легли в
основу стандартов ISO/IEC 15408:2005 и ISO/IEC 180:2005 (Information technology —
Security techniques — Methodology for П security evaluation) соответственно.
В июле 2005 года опубликованы новые версии 3.0 «Общих критериев...» и «Общей
методологии оценки..», в которых предыдущие версии подверглись существенной
ревизии. Однако, как показало обсуждение этих версий в международном сообществе,
далеко не все предложенные авторами изменения были целесообразны и корректны. В
результате, в сентябре 2006 года появились версии 3.1 «Общих критериев...» и «Общей
методологии оценки..», которые и были признаны официальными версиями. Именно эти
версии, с определёнными доработками, легли в основу уже третьей и на данный момент
последней, версии стандарта ISO/IEC 15408, части которого вышли в 2008 и 2009 годах.
Надо сказать, что Россия достаточно сильно отставала от этого движения. Только в 2002
году постановлением Госстандарта России году был принят
ГОСТ Р ИСО/МЭК 15408-2002, содержащий полный аутентичный текст международного
стандарта ISO/IEC 15408:1999 (введён в действие с 1 января 2004 года). Вскоре была
принята вторая редакция стандарта - ГОСТ Р ИСО/МЭК 15408-2008, содержащая
полный текст международного стандарта ISO/IEC 15408:2005. Однако, как уже было
сказано, с 2005 по 2008 годы международный стандарт подвергся серьёзным
переработкам, которые не нашли своего отражения в действующей в России версии
документа.
Главная тенденция, которая прослеживается на протяжении целого ряда стандартов в
области информационной безопасности — отказ от жёсткой универсальной шкалы
классов безопасности и обеспечение гибкости в подходе к оценке безопасности
различных типов ИТ-продуктов. Именно это стремление объясняет столь сложную на
первый взгляд логическую структуру стандарта ISO/IEC 15408.
Информзащита
УчвСмьм центр
101
Информзащита
Общие критерии предполагается использовать как при задании требований к продуктам и
системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла.
Стандарт ГОСТ Р ИСО/МЭК 15408-2008 не меняет сложившейся в России методологии
защиты, однако по уровню систематизации, полноте и степени детализации требований,
универсальности и гибкости значительно превосходит действующие в настоящее время
руководящие документы.
В качестве основы для разработки нормативных документов по оценке безопасности
информационных технологий был принят руководящий документ (РД) «Безопасность
информационных технологий. Критерии оценки безопасности информационных
технологий» (введён в действие с 1 августа 2002 г. приказом председателя
Гостехкомиссии России от 19.06.2002 № 187), который и применяется при проведении
сертификации средств защиты информации. Самым главным недостатком РД является
то, что он был на разработан на основе старой редакции ОК и не учитывает всех тех
изменений, которые были внесены в ISO/TEC 15408.
Основной целью РД является повышение доверия к безопасности продуктов и систем
информационных технологий. Положения руководящего документа направлены на
создание продуктов и систем информационных технологий с уровнем безопасности,
адекватным имеющимся по отношению к ним угрозам и проводимой политике
безопасности с учётом условий применения, что должно обеспечить оптимизацию
продуктов и систем ИГ по критерию «эффективность - стоимость».
Под безопасностью информационной технологии понимается состояние ИТ,
определяющее защищённость информации и ресурсов ИТ от действия объективных и
субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также
способность ИТ выполнять предписанные функции без нанесения неприемлемого ущерба
субъектам информационных отношений.
Доверие к безопасности ИТ обеспечивается, как реализацией в них необходимых
функциональных возможностей, так и осуществлением комплекса мер по обеспечению
безопасности при разработке продуктов и систем ИТ, проведением независимых оценок
их безопасности и контролем её уровня при эксплуатации.
Требования к безопасности конкретных продуктов и систем ИТ устанавливаются исходя
из имеющихся и прогнозируемых угроз безопасности, проводимой политики
безопасности, а также с учётом условий их применения. При формировании требований
должны в максимальной степени использоваться компоненты требований,
представленные в настоящем руководящем документе. Допускается также использование
и других требований безопасности, при этом уровень детализации и способ выражения
требований, представленных в настоящем руководящем документе, должны
использоваться в качестве образца. Требования безопасности могут задаваться
Заказчиком в техническом задании на разработку продуктов и систем ИТ или
формироваться Разработчиком при создании им продуктов ИТ самостоятельно.
Требования безопасности, являющиеся общими для некоторого типа продуктов или
систем ИТ, могут оформляться в виде представленной в настоящем руководящем
документе структуры, именуемой «Профиль защиты». Профили защиты, прошедшие
оценку в установленном порядке, регистрируются и помещаются в каталог оценённых
профилей защиты.
Оценка и сертификация безопасности ИТ проводится на соответствие требованиям,
представляемым Разработчиком продукта или системы ИТ в Задании по безопасности.
Требования заданий по безопасности продуктов и систем ИТ, предназначенных для
использования в областях применения, регулируемых государством, должны
соответствовать требованиям установленных профилей защиты.
Руководящий документ состоит из трёх частей.
Информзащита
У чебн ы м ц е н т р
103
Информзащита
У ч еб ной ц ентр
104
Информзащита
105
Информзащита
Учеймьм ц«мтр
воздействий с целью нарушения целостности (модификации, уничтожения) и
доступности информации в процессе её обработки, передачи и хранения, а также
работоспособности технических средств.
При защите информации в локальных вычислительных сетях (ЛВС) конфиденциальная
информация может обрабатываться только в ЛВС, расположенных в пределах
контролируемой зоны.
Средства зашиты информации от НСД должны использоваться во всех узлах ЛВС
независимо от наличия (отсутствия) конфиденциальной информации в данном узле ЛВС
и требуют постоянного квалифицированного контроля настроек СЗИ администратором
безопасности информации. Класс защищённости ЛВС определяется в соответствии с
требованиями действующих руководящих документов ФСТЭК России.
Для управления, контроля защищённости ЛВС и распределения системных ресурсов в
ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой,
передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по
требованиям безопасности информации средства защиты.
Юридическая значимость электронных документов с
электронной подписью
Вопросы юридической значимости электронных документов представлены в
приведённых ниже нормативных документах.
Гражданский кодекс Российской Федерации. Часть 1. Глава 9. Статья 160. Письменная
форма сделки:
2. Использование при совершении сделок факсимильного воспроизведения подписи с
помощью средств механического или иного копирования, электронно-цифровой подписи
либо иного аналога собственноручной подписи допускается в случаях и в порядке,
предусмотренных законом, иными правовыми актами или соглашением сторон.
Гражданский кодекс Российской Федерации. Часть 1. Глава 28. Статья 434. Форма
договора:
2. Договор в письменной форме может быть заключён путём составления одного
документа, подписанного сторонами, а также путём обмена документами посредством
почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи,
позволяющей достоверно установить, что документ исходит от стороны по договору.
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»:
Статья 11. Документирование информации
4. В целях заключения гражданско-правовых договоров или оформления иных
правоотношений, в которых участвуют лица, обменивающиеся электронными
сообщениями, обмен электронными сообщениями, каждое из которых подписано
электронной подписью или иным аналогом собственноручной подписи отправителя
такого сообщения, в порядке, установленном федеральными законами, иными
нормативными правовыми актами или соглашением сторон, рассматривается как обмен
документами.
5. Право собственности и иные вещные права на материальные носители, содержащие
документированную информацию, устанавливаются гражданским законодательством.
Федеральный закон от 06.04.2011 № 63-Ф3 «Об электронной подписи» определяет
основные понятия, связанные с ЭП следующим образом:
■ электронная подпись - информация в электронной форме, которая
присоединена к другой информации в электронной форме (подписываемой
Информзащита
107
Информзащита
Настоящий Федеральный закон регулирует отношения в области использования
электронных подписей при совершении гражданско-правовых сделок, оказании
государственных и муниципальных услуг, исполнении государственных и
муниципальных функций, при совершении иных юридически значимых
действий.
Статья 3. Правовое регулирование отношений в области использования
электронных подписей
1. Отношения в области использования электронных подписей регулируются
настоящим Федеральным законом, другими федеральными законами,
принимаемыми в соответствии с ними нормативными правовыми актами, а
также соглашениями между участниками электронного взаимодействия. Если
иное не установлено федеральными законами, принимаемыми в соответствии с
ними нормативными правовыми актами или решением о создании
корпоративной информационной системы, порядок использования электронной
подписи в корпоративной информационной системе может устанавливаться
оператором этой системы или соглашением между участниками электронного
взаимодействия в ней.
2. Виды электронных подписей, используемых органами исполнительной власти
и органами местного самоуправления, порядок их использования, а также
требования об обеспечении совместимости средств электронных подписей при
организации электронного взаимодействия указанных органов между собой
устанавливает Правительство Российской Федерации.
Статья 5. Виды электронных подписей
1. Видами электронных подписей, отношения в области использования которых
регулируются настоящим Федеральным законом, являются простая электронная
подпись и усиленная электронная подпись. Различаются усиленная
неквалифицированная электронная подпись (далее - неквалифицированная
электронная подпись) и усиленная квалифицированная электронная подпись
(далее - квалифицированная электронная подпись).
2. Простой электронной подписью является электронная подпись, которая
посредством использования кодов, паролей или иных средств подтверждает
факт формирования электронной подписи определённым лицом.
3. Неквалифицированной электронной подписью является электронная подпись,
которая:
1) получена в результате криптографического преобразования информации с
использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ
после момента его подписания;
4) создаётся с использованием средств электронной подписи.
4. Квалифицированной электронной подписью является электронная подпись,
которая соответствует всем признакам неквалифицированной электронной
подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном
сертификате;
2) для создания и проверки электронной подписи используются средства
электронной подписи, получившие подтверждение соответствия требованиям,
установленным в соответствии с настоящим Федеральным законом.
Информзащита
У ч еб м ьм ц е н т р
109
Информзащита
1. Электронные подписи, созданные в соответствии с нормами права
иностранного государства и международными стандартами, в Российской
Федерации признаются электронными подписями того вида, признакам которого
они соответствуют на основании настоящего Федерального закона.
2. Электронная подпись и подписанный ею электронный документ не могут
считаться не имеющими юридической силы только на том основании, что
сертификат ключа проверки электронной подписи выдан в соответствии с
нормами иностранного права.
Статья 9. Использование простой электронной подписи
1. Электронный документ считается подписанным простой электронной
подписью при выполнении в том числе одного из следующих условий:
1) простая электронная подпись содержится в самом электронном документе;
2) ключ простой электронной подписи применяется в соответствии с правилами,
установленными оператором информационной системы, с использованием
которой осуществляются создание и (или) отправка электронного документа, и в
созданном и (или) отправленном электронном документе содержится
информация, указывающая на лицо, от имени которого был создан и (или)
отправлен электронный документ.
2. Нормативные правовые акты и (или) соглашения между участниками
электронного взаимодействия, устанавливающие случаи признания электронных
документов, подписанных простой электронной подписью, равнозначными
документам на бумажных носителях, подписанным собственноручной
подписью, должны предусматривать, в частности:
1) правила определения лица, подписывающего электронный документ, по его
простой электронной подписи;
2) обязанность лица, создающего и (или) использующего ключ простой
электронной подписи, соблюдать его конфиденциальность.
3. К отношениям, связанным с использованием простой электронной подписи, в
том числе с созданием и использованием ключа простой электронной подписи,
не применяются правила, установленные статьями 1 0 - 1 8 настоящего
Федерального закона.
4. Использование простой электронной подписи для подписания электронных
документов, содержащих сведения, составляющие государственную тайну, или в
информационной системе, содержащей сведения, составляющие
государственную тайну, не допускается.
Статья 10. Обязанности участников электронного взаимодействия при
использовании усиленных электронных подписей
При использовании усиленных электронных подписей участники электронного
взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в
частности не допускать использование принадлежащих им ключей электронных
подписей без их согласия;
2) уведомлять удостоверяющий центр, выдавший сертификат ключа проверки
электронной подписи, и иных участников электронного взаимодействия о
нарушении конфиденциальности ключа электронной подписи в течение не более
чем одного рабочего дня со дня получения информации о таком нарушении;
3) не использовать ключ электронной подписи при наличии оснований полагать,
что конфиденциальность данного ключа нарушена;
Информзащита
У ч«бмьш ц е н т р
I ll
J Информзащита
t -- ^ У ч еб ны * ц ентр
платы или иного дохода осуждённого за период до восемнадцати месяцев с лишением
права занимать определённые должности или заниматься определённой деятельностью на
срок до трёх лет либо лишением свободы на срок до пяти лет.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлёкшие
тяжкие последствия, -
наказываются лишением свободы на срок до десяти лет.
В настоящее время состав компьютерных преступлений приведён в главе 28 Уголовного
кодекса Российской Федерации «Преступления в сфере компьютерной информации» и
содержит три статьи.
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть
информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние
повлекло уничтожение, блокирование, модификацию либо копирование информации,
нарушение работы ЭВМ, системы ЭВМ или их сети, -
наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной
платы или иного дохода осуждённого за период до восемнадцати месяцев, либо
исправительными работами на срок до одного года, либо лишением свободы на срок до
двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или
организованной группой либо лицом с использованием своего служебного положения, а
равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -
наказывается штрафом в размере от ста тысяч до трёхсот тысяч рублей или в размере
заработной платы или иного дохода осуждённого за период от одного года до двух лет,
либо исправительными работами на срок от одного года до двух лет, либо арестом на
срок от трёх до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение
вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы,
заведомо приводящих к несанкционированному уничтожению, блокированию,
модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ
или их сети, а равно использование либо распространение таких программ или машинных
носителей с такими программами -
наказываются лишением свободы на срок до трёх лет со штрафом в размере до двухсот
тысяч рублей или в размере заработной платы или иного дохода осужденного за период
до восемнадцати месяцев.
2. Те же деяния, повлёкшие по неосторожности тяжкие последствия, -
наказываются лишением свободы на срок до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ,
системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим
доступ к ЭВМ, системе ЭВМ или их сети, повлёкшее уничтожение, блокирование или
модификацию охраняемой законом информации ЭВМ, если это деяние причинило
существенный вред, -
наказывается лишением права занимать определённые должности или заниматься
определённой деятельностью на срок до пяти лет, либо обязательными работами на срок
от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до
двух лет.
2. То же деяние, повлёкшее по неосторожности тяжкие последствия, -
наказывается лишением свободы на срок до четырёх лет.
Информзащита
113
Информзащита
114
Информзащита
2. В случае неисполнения или ненадлежащего исполнения договора авторского заказа, за
которое автор несёт ответственность, автор обязан возвратить заказчику аванс, а также
уплатить ему неустойку, если она предусмотрена договором. При этом общий размер
указанных выплат ограничен суммой реального ущерба, причинённого заказчику.
Статья 1301. Ответственность за нарушение исключительного
права на произведение
В случаях нарушения исключительного права на произведение автор или иной
правообладатель наряду с использованием других применимых способов защиты и мер
ответственности, установленных настоящим Кодексом (статьи 1250, 1252 и 1253), вправе
в соответствии с пунктом 3 статьи 1252 настоящего Кодекса требовать по своему выбору
от нарушителя вместо возмещения убытков выплаты компенсации:
в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по
усмотрению суда;
в двукратном размере стоимости экземпляров произведения или в двукратном размере
стоимости права использования произведения, определяемой исходя из цены, которая
при сравнимых обстоятельствах обычно взимается за правомерное использование
произведения.
Статья 1311. Ответственность за нарушение исключительного
права на объект смежных прав
В случаях нарушения исключительного права на объект смежных прав обладатель
исключительного права наряду с использованием других применимых способов защиты
и мер ответственности, установленных настоящим Кодексом (статьи 1250,1252 и 1253),
вправе в соответствии с пунктом 3 статьи 1252 настоящего Кодекса требовать по своему
выбору от нарушителя вместо возмещения убытков выплаты компенсации:
в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по
усмотрению суда;
в двукратном размере стоимости экземпляров фонограммы или в двукратном размере
стоимости права использования объекта смежных прав, определяемой исходя из цены,
которая при сравнимых обстоятельствах обычно взимается за правомерное
использование такого объекта.
Статья 1472. Ответственность за нарушение исключительного
п р а в а на с е к р е т п р о и з в о д с т в а
Информзащита
Статья 11. Охрана конфиденциальности информации
в рамках трудовых отношений
1. В целях охраны конфиденциальности информации работодатель обязан :
1) ознакомить под расписку работника, доступ которого к информации, составляющей
коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с
перечнем информации, составляющей коммерческую тайну, обладателями которой
является работодатель и его контрагенты;
2) ознакомить под расписку работника с установленным работодателем режимом
коммерческой тайны и с мерами ответственности за его нарушение;
3) создать работнику необходимые условия для соблюдения им установленного
работодателем режима коммерческой тайны.
2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется
с его согласия, если это не предусмотрено его трудовыми обязанностями.
3. В целях охраны конфиденциальности информации работник обязан
1) выполнять установленный работодателем режим коммерческой тайны;
2) не разглашать информацию, составляющую коммерческую тайну, обладателями
которой являются работодатель и его контрагенты, и без их согласия не использовать эту
информацию в личных целях;
5) передать работодателю при прекращении или расторжении трудового договора
имеющиеся в пользовании работника материальные носители информации, содержащие
информацию, составляющую коммерческую тайну.
6. Трудовым договором с руководителем организации должны предусматриваться его
обязательства по обеспечению охраны конфиденциальности информации, обладателем
которой являются организация и её контрагенты, и ответственность за обеспечение
охраны её конфиденциальности.
8. Работник имеет право обжаловать в судебном порядке незаконное установление
режима коммерческой тайны в отношении информации, к которой он получил доступ в
связи с исполнением им трудовых обязанностей.
Статья 14. Ответственность за нарушение
Федерального закона «О коммерческой тайне»
1. Нарушение настоящего Федерального закона влечёт за собой дисциплинарную,
гражданско-правовую, административную или уголовную ответственность в
соответствии с законодательством Российской Федерации.
2. Работник, который в связи с исполнением трудовых обязанностей получил доступ к
информации, составляющей коммерческую тайну, обладателями которой являются
работодатель и его контрагенты, в случае умышленного или неосторожного разглашения
этой информации при отсутствии в действиях такого работника состава преступления
несёт дисциплинарную ответственность в соответствии с законодательством Российской
Федерации.
3. Органы государственной власти, иные государственные органы, органы местного
самоуправления, получившие доступ к информации, составляющей коммерческую тайну,
несут перед обладателем информации, составляющей коммерческую тайну, гражданско-
правовую ответственность за разглашение или незаконное использование этой
информации их должностными лицами, государственными или муниципальными
служащими указанных органов, которым она стала известна в связи с выполнением ими
должностных (служебных) обязанностей.
Информзащита
У ч еб и ь ж ц е н т р
117
Информзащита
Раздел I - Тема б :
Государственная система защиты
информации
Введение
Структура государственной системы защиты информации в Российской Федерации, её
задачи и функции, основы организации защиты сведений, отнесённых в установленном
порядке к государственной или служебной тайне, определены в «Положении о
государственной системе защиты информации в Российской Федерации от иностранных
технических разведок и от её утечки по техническим каналам», утверждённом
постановлением Совета Министров - Правительства Российской Федерации
от 15.09.1993 №912-51.
Настоящее Положение является документом, обязательным для выполнения при
проведении работ по защите информации, содержащей сведения, составляющие
государственную или служебную тайну, в органах (аппаратах, администрациях)
представительной, исполнительной и судебной властей Российской Федерации,
республик в составе Российской Федерации, автономной области, автономных округов,
краёв, областей, городов Москвы и Санкт-Петербурга и в органах местного
самоуправления (далее именуются - органы государственной власти), на предприятиях и
в их объединениях, учреждениях и организациях независимо от их организационно
правовой формы и формы собственности (далее именуются - предприятия).
Работы по защите информации в органах государственной власти и на предприятиях
проводятся на основе актов законодательства Российской Федерации.
Защита информации осуществляется путём выполнения комплекса мероприятий по
предотвращению утечки информации по техническим каналам, несанкционированного
доступа к ней, предупреждению преднамеренных программно-технических воздействий с
целью разрушения (уничтожения) или искажения информации в процессе обработки,
передачи и хранения, по противодействию иностранным техническим разведкам, а также
путём проведения специальных работ, порядок организации и выполнения которых
определяется Правительством Российской Федерации.
Мероприятия по защите информации являются составной частью управленческой,
научной и производственной деятельности и осуществляются во взаимосвязи с другими
мерами по обеспечению установленного режима секретности проводимых работ.
Главными направлениями работ по защите информации являются:
■ обеспечение эффективного управления системой защиты информации;
■ определение сведений, охраняемых от технических средств разведки, и
демаскирующих признаков, раскрывающих эти сведения;
■ анализ и оценка реальной опасности перехвата информации техническими
средствами разведки, несанкционированного доступа, разрушения
(уничтожения) или искажения информации путем преднамеренных
программно-технических воздействий в процессе ее обработки, передачи и
хранения в технических средствах, выявление возможных технических
каналов утечки сведений, подлежащих защите;
■ разработка организационно-технических мероприятий по защите
информации и их реализация;
■ организация и проведение контроля состояния защиты информации.
Информзащита
0
Учаб и м » Щ И р
119
I Информзащита
в-— У ч е б м ь * центр
^ Г1
■ контроль состояния защиты информации в органах государственной власти
и на предприятиях.
Государственную систему защиты информации образуют (см. Рис. 1.6.1):
■ Федеральная служба по техническому и экспортному контролю и ее
центральный аппарат;
■ Федеральная служба безопасности Российской Федерации, Министерство
внутренних дел Российской Федерации, Министерство обороны Российской
Федерации, Федеральная служба охраны Российской Федерации, Служба
внешней разведки Российской Федерации, их структурные подразделения по
защите информации;
■ структурные и межотраслевые подразделения по защите информации
органов государственной власти;
■ управления Федеральной службы по техническому и экспортному контролю
по федеральным округам;
■ головная научно-исследовательская организация в Российской Федерации по
защите информации (ФГУП «Научно-исследовательский испытательный
институт проблем технической защиты информации» Федеральной службы
по техническому и экспортному контролю);
■ головные и ведущие научно-исследовательские, научно-технические,
проектные и конструкторские организации по защите информации органов
государственной власти;
■ предприятия, проводящие работы по оборонной тематике и другие работы с
использованием сведений, отнесенных к государственной или служебной
тайне, их подразделения по защите информации;
■ предприятия, специализирующиеся на проведении работ в области защиты
информации;
■ высшие учебные заведения и институты повышения квалификации по
подготовке и переподготовке кадров в области защиты информации.
ФСТЭК России является межведомственным коллегиальным органом и возглавляет
государственную систему защиты информации.
Права и функции ФСТЭК России и её центрального аппарата определяются
«Положением о Федеральной службе по техническому и экспортному контролю»,
утверждённым Указом Президента Российской Федерации от 16.08.2004 № 1085 и
«Положением о государственной системе защиты информации в Российской Федерации
от иностранных технических разведок и от её утечки по техническим каналам»,
утверждённом постановлением Совета Министров - Правительства Российской
Федерации от 15.09.1993 № 912-51.
Права и функции в области защиты информации Федеральной службы безопасности
Российской Федерации, Министерства обороны Российской Федерации, Министерства
внутренних дел Российской Федерации, Федеральной службы охраны Российской
Федерации и Службы внешней разведки Российской Федерации определяются
положениями об этих органах.
Информзащита
У чебн ы м ц е н т р
121
Головная научно
Управления Ф СТЭ К России ФСТЭК
исследовательская
по федеральным округам России организация по ЗИ
Предприятия, специализирующиеся на
выполнении работ в области ЗИ
Предприятия, проводящие работы с
использованием сведений, отнесенных к
Высшие учебные заведения и институты
государственной или служебной тайне,
повышения квалификации по подготовке и
их подразделения по ЗИ
переподготовке кадров в области ЗИ
I Информзащита
Учебный ц ентр
должности и освобождение от должности руководителей этих подразделений
производятся по согласованию с ФСТЭК России.
Допускается создание при органе государственной власти в соответствии с актами
законодательства Российской Федерации самостоятельных предприятий различных
организационно-правовых форм и форм собственности, на которые могут быть
возложены функции структурных, а также межотраслевых подразделений по защите
информации.
В целях обеспечения принципа коллегиальности при рассмотрении важнейших вопросов
защиты информации в органах государственной власти могут создаваться технические
комиссии, межотраслевые или отраслевые советы.
Управления ФСТЭК России по федеральным округам, в пределах своих зон
ответственности:
■ проверяют и оценивают состояние защиты информации и оказывают
методическую помощь на местах в организации и проведении мероприятий
по защите информации;
■ участвуют в аттестовании объектов по выполнению требований обеспечения
защиты информации при проведении работ со сведениями соответствующей
степени секретности.
Границы зон ответственности специальных центров определяет директор
ФСТЭК России.
Головная научно-исследовательская организация в Российской Федерации по защите
информации, головные и ведущие научно-исследовательские, научно-технические,
проектные и конструкторские организации по защите информации органов
государственной власти в пределах своей специализации разрабатывают научные основы
и концепции, проекты федеральных программ, нормативно-технических и методических
документов по защите информации, обобщают и анализируют информацию о силах и
средствах технической разведки, прогнозируют её возможности, осуществляют
разработку (корректировку) модели иностранной технической разведки и методик оценки
её возможностей, проводят научные исследования и работы по созданию технических
средств защиты информации и контроля за её эффективностью.
Организация работ по защите информации на предприятиях осуществляется их
руководителями.
В зависимости от объёма работ по защите информации руководителем предприятия
создаётся структурное подразделение по защите информации либо назначаются штатные
специалисты по этим вопросам.
Подразделения по защите информации (штатные специалисты) на предприятиях
осуществляют мероприятия по защите информации в ходе выполнения работ с
использованием сведений, отнесённых к государственной или служебной тайне,
определяют совместно с заказчиком работ основные направления комплексной зашиты
информации, участвуют в согласовании технических (тактико-технических) заданий на
проведение работ, дают заключение о возможности проведения работ с информацией,
содержащей сведения, отнесённые к государственной или служебной тайне.
Указанные подразделения (штатные специалисты) подчиняются непосредственно
руководителю предприятия или его заместителю. Работники этих подразделений
(штатные специалисты) приравниваются по оплате труда к соответствующим категориям
работников основных структурных подразделений.
Для проведения работ по защите информации могут привлекаться на договорной основе
специализированные предприятия, имеющие лицензии на право проведения работ в
области защиты информации.
Информзащита
123
Информзащита
телевизионные устройства, средства изготовления, тиражирования
документов и другие технические средства обработки графической,
смысловой и буквенно-цифровой информации), используемые для
обработки информации, содержащей сведения, отнесенные к
государственной или служебной тайне;
■ технические средства и системы, не обрабатывающие информацию, но
размещенные в помещениях, где обрабатывается (циркулирует)
информация, содержащая сведения, отнесенные к государственной или
служебной тайне, а также сами помещения, предназначенные для ведения
секретных переговоров.
Целями защиты информации являются:
■ предотвращение утечки информации по техническим каналам;
■ предотвращение несанкционированного уничтожения, искажения,
копирования, блокирования информации в системах информатизации;
■ соблюдение правового режима использования массивов, программ
обработки информации, обеспечение полноты, целостности, достоверности
информации в системах обработки;
■ сохранение возможности управления процессом обработки и пользования
информацией.
Защита информации осуществляется путём:
■ предотвращения перехвата техническими средствами информации,
передаваемой по каналам связи;
■ предотвращения утечки обрабатываемой информации за счет побочных
электромагнитных излучений и наводок, создаваемых функционирующими
техническими средствами, а также электроакустических преобразований;
■ исключения несанкционированного доступа к обрабатываемой или
хранящейся в технических средствах информации;
■ предотвращения специальных программно-технических воздействий,
вызывающих разрушение, уничтожение, искажение информации или сбои в
работе средств информатизации;
■ выявления возможно внедренных на объекты и в технические средства
электронных устройств перехвата информации (закладных устройств);
■ предотвращения перехвата техническими средствами речевой информации
из помещений и объектов.
Предотвращение перехвата техническими средствами информации, передаваемой по
каналам связи, достигается применением криптографических и иных методов и средств
защиты, а также проведением организационно-технических и режимных мероприятий.
Предотвращение утечки обрабатываемой информации за счёт побочных
электромагнитных излучений и наводок, а также электроакустических преобразований
достигается применением защищённых технических средств, аппаратных средств
защиты, средств активного противодействия, экранированием зданий или отдельных
помещений, установлением контролируемой зоны вокруг средств информатизации и
другими организационными и техническими мерами.
Исключение несанкционированного доступа к обрабатываемой или хранящейся в
технических средствах информации достигается применением специальных программно
технических средств защиты, использованием криптографических способов защиты, а
также организационными и режимными мероприятиями.
Информзащита
У ч еб и ьш ц е н т р
125
Информзащита
внешней разведки Российской Федерации и Федеральной службой охраны Российской
Федерации, структурными и межотраслевыми подразделениями органов государственной
власти, входящими в государственную систему защиты информации, и предприятиями в
соответствии с их компетенцией.
Акты проверок предприятий рассылаются их руководителями в орган, проводивший
проверку, и в орган государственной власти по подчинённости предприятия.
ФСТЭК России организует контроль силами центрального аппарата и управлений
ФСТЭК России по федеральным округам. Она может привлекать для этих целей
подразделения по защите информации органов государственной власти.
Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции
контроль в органах государственной власти и на предприятиях, обеспечивает
методическое руководство работами по контролю (за исключением объектов и
технических средств, защита которых входит в компетенцию ФСБ России, МВД России,
Минобороны России, СВР России, ФСО Росси).
Управления ФСТЭК России по федеральным округам, в пределах своей компетенции
осуществляют контроль в органах государственной власти и на предприятиях,
расположенных в зонах ответственности этих центров.
Органы государственной власти организуют и осуществляют контроль на подчинённых
им предприятиях через свои подразделения по защите информации. Повседневный
контроль за состоянием защиты информации на предприятиях проводится силами их
подразделений по защите информации.
Контроль на предприятиях негосударственного сектора при выполнении работ с
использованием сведений, отнесённых к государственной или служебной тайне,
осуществляется органами государственной власти, ФСТЭК России, ФСБ России, и
заказчиком работ в соответствии с их компетенцией.
Защита информации считается эффективной, если принимаемые меры соответствуют
установленным требованиям или нормам.
Несоответствие мер установленным требованиям или нормам по защите информации
является нарушением.
Нарушения по степени важности делятся на три категории:
■ первая - невыполнение требований или норм по защите информации, в
результате чего имелась или имеется реальная возможность ее утечки по
техническим каналам;
■ вторая - невыполнение требований по защите информации, в результате
чего создаются предпосылки к ее утечке по техническим каналам;
■ третья - невыполнение других требований по защите информации.
При обнаружении нарушений первой категории руководители органов государственной
власти и предприятий обязаны:
■ немедленно прекратить работы на участке (рабочем месте), где обнаружены
нарушения и принять меры по их устранению;
■ организовать в установленном порядке расследование причин и условий
появления нарушений с целью недопущения их в дальнейшем и привлечения
к ответственности виновных лиц;
■ сообщить в ФСТЭК России, ФСБ России, руководству органа
государственной власти и заказчику о вскрытых нарушениях и принятых
мерах.
Информзащита
У чебны м ц е н т р
127
Информзащита
128
Раздел I - Тема 7:
Основные защитные механизмы, реализуемые
в рамках различных мер и средств защиты
Информзащита
У чеб н ы й ц е н т р
129
ж
J L -'
я к
Информзащита
У ч е б н ы ! центр
В связи с этим в Международном стандарте ISO/IEC 27002 рекомендуется использовать в
информационной системе сервисы, не допускающие передачу пароля в открытом виде.
Именно поэтому, современные защищённые информационные системы применяют, как
правило, хеширование и шифрование передаваемых паролей, а также одноразовые
пароли.
В качестве эффективного средства против подбора паролей могут быть использованы
организационные меры в виде систематической смены пароля пользователями.
Другим важным достоинством парольной аутентификацией является её интеллектуальная
составляющая, т.е. связь с разумом и сознанием пользователя. В совершенных с точки
зрения безопасности информационных системах пароли должны храниться
исключительно в «человеческой» памяти пользователей без записи на любой
материальный носитель информации.
Другой способ аутентификации связан с использованием «отчуждаемых» элементов,
которыми уникально обладают пользователи (смарт-карты, дискеты, ключевые
контейнеры, радиочастотные бесконтактные карточки, электронные таблетки iButton и
т.п.). Как правило, подобный механизм применяется в совокупности с дополнительной
парольной аутентификацией (вводом PIN-кода), образуя двухфакторную систему
аутентификации. Типичным примером двухфакгорной аутентификации является защита
ключевых контейнеров на различных носителях (смарт-картах, е-токенов и др.) с
помощью PIN-кода.
В качестве другого примера двухфакгорной аутентификации можно привести
технологию RSA Secure ГО, показанную на Рис. 1.7.2.
Запрос на аутентификацию
I D 1____________ ш а SecurlD'
Псевдослучайное число A i
________ I D 2____________
Ш
E J
2
Псевдослучайное число А 2
Li Ш п
______ ID п
Информзащита
У чебн ы м ц е н т р
131
И Информзащита
Учебным центр
Субъект - это активный компонент системы (пользователь, процесс, программа),
действия которого регламентируются правилами разграничения доступа.
Доступ к информации - ознакомление с информацией (чтение, копирование), её
модификация (корректировка), уничтожение (удаление) и т.п.
Доступ к ресурсу —получение субъектом возможности манипулировать данным
ресурсом (использовать, управлять, изменять настройки и т.п.).
Правила разграничения доступа - совокупность правил, регламентирующих права
доступа субъектов к объектам в некоторой системе.
Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение
установленных в системе правил разграничения доступа.
Авторизация —предоставление аутентифицированному субъекту соответствующих
(предписанных установленным порядком) прав на доступ к объектам системы: какие
данные и как он может использовать (какие операции с ними выполнять), какие
программы может выполнять, когда, как долго и с каких терминалов может работать,
какие ресурсы системы может использовать и т.п.
Авторизованный субъект доступа - субъект, которому предоставлены
соответствующие права доступа к объектам системы (полномочия).
Авторизация пользователей осуществляется с использованием следующих основных
механизмов реализации разграничения доступа:
■ механизмов избирательного управления доступом, основанных на
использовании атрибутных схем, списков разрешений и т.п.;
■ механизмов полномочного управления доступом, основанных на
использовании меток конфиденциальности ресурсов и уровней допуска
пользователей;
■ механизмов обеспечения замкнутой среды доверенного программного
обеспечения (индивидуальных для каждого пользователя списков
разрешенных для использования программ),
поддерживаемых механизмами идентификации и аутентификации пользователей при их
входе в систему.
Технические средства разграничения доступа к ресурсам АС должны рассматриваться
как составная часть единой системы контроля доступа субъектов:
■ на контролируемую территорию;
■ в отдельные здания и помещения организации;
■ к элементам АС и элементам системы защиты информации (физический
доступ);
■ к информационным и программным ресурсам АС.
Механизмы управления доступом субъектов к объектам доступа выполняют основную
роль в обеспечении внутренней безопасности компьютерных систем. Их работа строится
на концепции единого диспетчера доступа. Сущность этой концепции состоит в том, что
диспетчер доступа (монитор ссылок) - выступает посредником-контролером при всех
обращениях субъектов к объектам (см. Рис. 1.7.3).
Информзащита
У чвб м и аи тр
133
Правила
iразграничения
• доступа
ia
Субъект
доступа
Информзащита
У ч в б и м центр
Основу базы данных средств разграничения доступа в общем случае составляет
абстрактная матрица доступа или её реальные представления. Каждая строка этой
матрицы соответствует субъекту, а столбец - объекту АС. Каждый элемент этой матрицы
представляет собой кортеж (упорядоченную совокупность значений), определяющий
права доступа (для всех возможных видов доступа —чтение, модификация, удаление и
т.п.) определённого субъекта к определённому объекту (см. Рис. 1.7.4).
1 2
объекты
.. J J+1
а к
П рава д оступа
i-го с у о ъ е к т а
а
t ... K j-M y о б ъ е к т у
а>
&
ю
>- /,
о
Информзащита
У чеб н ы м ц е н т р
135
1 ^1l*N
Информзащита
y~ irfiiii ы центр
■ так как списки управления доступом связаны с субъектом, то при удалении
объекта возможно возникновение ситуации, при которой субъект может
иметь права на доступ к несуществующему объекту.
Атрибутные схемы
Информзащита
У чебн ы м ц е н т р
137
J Информзащита
1-» —^ У ч е б н а ц ентр
138
Информзащита
139
Информзащита
криптографического преобразования информации без использования программ для
электронных вычислительных машин;
з) программные шифровальные (криптографические) средства - программы для
электронных вычислительных машин и их части, в том числе содержащие ключевую
информацию, обеспечивающие возможность преобразования информации в соответствии
с алгоритмами криптографического преобразования информации в программно
аппаратных шифровальных (криптографических) средствах, информационных системах
и телекоммуникационных системах, защищенных с использованием шифровальных
(криптографических) средств;
и) программно-аппаратные шифровальные (криптографические) средства - устройства и
их компоненты (за исключением информационных систем и телекоммуникационных
систем), в том числе содержащие ключевую информацию, обеспечивающие возможность
преобразования информации в соответствии с алгоритмами криптографического
преобразования информации с использованием программ для электронных
вычислительных машин, предназначенных для осуществления этих преобразований
информации или их части.
Криптографические технологии защиты информации позволяют решать следующие
задачи:
■ аутентификация абонентов;
■ контроль целостности данных;
■ закрытие данных, хранимых в АС или передаваемых по каналам связи;
■ разграничение ответственности на основе обеспечения аутентичности и
неотказу емости.
Основным достоинством криптографических методов является то, что они обеспечивают
высокую гарантированную стойкость защиты, которую можно рассчитать и выразить в
числовой форме (средним числом операций или временем, необходимым для раскрытия
зашифрованной информации или вычисления ключей).
К числу основных недостатков криптографических методов следует отнести:
■ значительные затраты ресурсов (времени, производительности процессоров)
на выполнение криптографических преобразований информации;
■ трудности совместного использования зашифрованной (подписанной)
информации, связанные с управлением ключами (генерация, распределение
и т.д.);
■ высокие требования к сохранности секретных ключей и защиты открытых
ключей от подмены.
Криптография делится на два класса: криптография с симметричными ключами и
криптография с открытыми ключами.
Криптография с симметричными ключами
В криптографии с симметричными ключами (классическая криптография) абоненты
используют один и тот же (общий) ключ (секретный элемент), как для шифрования, так и
для расшифрования данных.
Следует выделить следующие преимущества криптографии с симметричными ключами:
■ относительно высокая производительность алгоритмов;
■ высокая криптографическая стойкость алгоритмов на единицу длины ключа.
К недостаткам криптографии с симметричными ключами следует отнести:
Информзащита
У чебн ы м ц е н т р
141
J Информзащита
Учеймь* центр
Г*
ШещттшШ
ключ
Канал
▼
«■в
Щуфрование связи Расшифрование Я
ь#* ЭД
ЭД
ГС=> т$
Г
I .....
" Открытый
О тправитель КЛЮЧ Получатель
ЯЛ
— к эд •
W
I
I Расшифрсешие |
Шифрование
ф *
Hash
(ЭД) Канал I
Т
А
связи I
.J
I
Информзащита
Учебным ц ентр
143
Комбинированный метод
(шифрование) Шифр„К1ПОЧ
О ткры ты й
текст для
секретной
пер едачи
Генератор
случайного
ключа
А )
Информзащита
N
Доверие к открытому ключу и цифровые сертификаты
Центральным вопросом схемы открытого распределения ключей является вопрос доверия
к полученному открытому ключу партнёра, который в процессе передачи или хранения
может быть модифицирован или подменен. Для широкого класса практических систем
(системы электронного документооборота, системы Клиент-Банк, межбанковские
системы электронных расчётов), в которых возможна личная встреча партнёров до начала
обмена ЭД, эта задача имеет относительно простое решение - взаимная сертификация
открытых ключей.
Эта процедура заключается в том, что каждая сторона при личной встрече удостоверяет
подписью уполномоченного лица и печатью бумажный документ - распечатку
содержимого открытого ключа другой стороны. Этот бумажный сертификат является, во-
первых, обязательством стороны использовать для проверки подписи под входящими
сообщениями данный ключ, и, во-вторых, обеспечивает юридическую значимость
взаимодействия. Действительно, рассмотренные бумажные сертификаты позволяют
однозначно идентифицировать мошенника среди двух партнёров, если один из них
захочет подменить ключи.
Таким образом, для реализации юридически значимого электронного взаимодействия
двух сторон необходимо заключить договор, предусматривающий обмен сертификатами.
Сертификат представляет собой документ, связывающий личностные данные владельца и
его открытый ключ. В бумажном виде он должен содержать рукописные подписи
уполномоченных лиц и печати.
В системах, где отсутствует возможность предварительного личного контакта партнёров,
необходимо использовать цифровые сертификаты, выданные и заверенные ЭП
доверенного посредника - удостоверяющего или сертификационного центра.
На Рис. 1.7.9 показана схема электронного взаимодействия двух партнёров с участием
центра сертификации (ЦС).
ЭЛ Пеятра ..
С ертиф икации
Информзащита
145
Сертификат Х509
Идентификатор пользователя
ЭП эмитента
Сертификат может выпушен
только уполномоч екньгм Идентификатор алгоритма ЭП
эмитентом (С А) н содержит
рннствент ю ЭП эмитент*
Информзащита
Уче&нмй центр
■ проверку аннулирования сертификата.
В случае если сертификат партнёра не утратил свою силу, а ЭП используется в
отношениях, в которых она имеет юридическое значение, открытый ключ партнёра
извлекается из сертификата. На основании этого открытого ключа может быть проверена
ЭП партнёра под ЭД.
Важно отметить, что в соответствии с Федеральным законом «Об электронной подписи»
подтверждением подлинности ЭП в ЭД является положительный результат проверки
соответствующим сертифицированным средством ЭП с использованием сертификата
ключа подписи (см. Рис. 1.7.11).
ЦС, обеспечивая безопасность взаимодействия партнёров, выполняет следующие
функции:
■ создает сертификаты ключей проверки электронных подписей и выдает
такие сертификаты лицам, обратившимся за их получением (заявителям);
■ устанавливает сроки действия сертификатов ключей проверки электронных
подписей;
■ аннулирует выданные этим удостоверяющим центром сертификаты ключей
проверки электронных подписей;
■ выдает по обращению заявителя средства электронной подписи, содержащие
ключ электронной подписи и ключ проверки электронной подписи (в том
числе созданные удостоверяющим центром) или обеспечивающие
возможность создания ключа электронной подписи и ключа проверки
электронной подписи заявителем;
■ ведет реестр выданных и аннулированных этим удостоверяющим центром
сертификатов ключей проверки электронных подписей (далее - реестр
сертификатов), в том числе включающий в себя информацию,
содержащуюся в выданных этим удостоверяющим центром сертификатах
ключей проверки электронных подписей, и информацию о датах
прекращения действия или аннулирования сертификатов ключей проверки
электронных подписей и об основаниях таких прекращения или
аннулирования;
■ устанавливает порядок ведения реестра сертификатов, не являющихся
квалифицированными, и порядок доступа к нему, а также обеспечивает
доступ лиц к информации, содержащейся в реестре сертификатов, в том
числе с использованием информационно-телекоммуникационной сети
«Интернет»;
■ создает по обращениям заявителей ключи электронных подписей и ключи
проверки электронных подписей;
■ проверяет уникальность ключей проверки электронных подписей в реестре
сертификатов;
■ осуществляет по обращениям участников электронного взаимодействия
проверку электронных подписей;
■ осуществляет иную связанную с использованием электронной подписи
деятельность.
Информзащита
У чеб н ы м ц е н т р
147
tn ;
"Формирование
ЭП
ЭД
Г
ЭД
I
1 Проверка сертификата с пополню открытого нпоча ЦС. 2Лкпорг открытего кпюта
отправителя. 3. Проверка ЭП отправителя
Информзащита
V'pwfii» 1 центр
148
требует доверия только относительно малому числу корневых ЦС. В то же время эта
модель позволяет иметь различное число ЦС, выдающих сертификаты.
* I ч
Выдающий (issuing) > Ц
Г,
Информзащита
У чеб н ы й ц е н т р
149
■ содержимое ресурса;
■ списки управления доступом;
■ атрибуты файлов;
Алгоритмы контроля:
■ сравнение с эталоном;
■ вычисление контрольных сумм (сигнатур);
■ формирование ЭП и имитовставок;
Время контроля:
■ до загрузки ОС;
■ при наступлении событий;
■ по расписанию.
Обнаружение атак
Обнаружение вторжений (атак) - это процесс мониторинга событий, происходящих в
АС, с целью поиска признаков нарушений безопасности.
Выше было сказано, что нарушением безопасности (просто нарушением или атакой)
называется реализация угрозы безопасности (наступление соответствующего события).
Например, просматривая журнал регистрации событий и обнаружив там большое
количество неудачных попыток аутентификации за короткий промежуток времени
(Рис. 1.7.13), можно сделать вывод, что произошла атака «подбор пароля». В данном
случае, определённое число неудачных попыток аутентификации за определённый
период времени —это и есть признак нарушения безопасности.
Теоретически, поиск признаков атак может выполняться вручную (в этом случае он
сводится к рассмотренному выше анализу собранной средствами регистрации
информации, что, в принципе, позволяет выявить факты совершения нарушений), но суть
механизма обнаружения атак состоит именно в автоматизации данного процесса.
Таким образом, система (средство) обнаружения вторжений (атак) - это программное
(или программно-аппаратное) обеспечение, автоматизирующее процесс обнаружения
атак.
Для приведённого выше примера с журналом это означает, что система будет непрерывно
осуществлять мониторинг журнала «Security» и при обнаружении там определённого
количества записей, свидетельствующих о неудачных попытках аутентификации за
единицу времени, будет произведено соответствующее оповещение (Рис. 1.7.14).
Информзащита
V’ WiBi m i ц ентр
150
Считается, что впервые механизм обнаружения атак был «обозначен» в работе Джеймса
Андерсена (James Anderson) «Computer Security Threat Monitoring and Surveillance»
(Рис. 1.7.15).
1 .1 In tro d u c tio n
T h is i s th e T in s ! r e p o r t o f a s tu d y , t h e p u r p o s e o f w h ic h w a s t o im p r o v e
s y s te m s .
Информзащита
Учебным центр
151
Информзащита
Учобмьм центр
■^Г1
защиты или частичной потере работоспособности АС вследствие некорректной работы
средств защиты.
Внедрение средств защиты осложняется ещё и тем, что правильно настроить данные
средства с первого раза обычно не представляется возможным. Это, как правило, связано
с отсутствием у заказчика полного детального списка всех подлежащих защите
аппаратных, программных и информационных ресурсов системы и готового
непротиворечивого перечня прав и полномочий каждого пользователя АС по доступу к
ресурсам системы.
Поэтому, этап внедрения средств защиты информации обязательно в той или иной мере
включает действия по первоначальному выявлению, итеративному уточнению и
соответствующему изменению настроек средств защиты. Эти действия должны
проходить для владельцев и пользователей системы как можно менее болезненно.
Очевидно, что те же самые действия неоднократно придётся повторять администратору
безопасности и на этапе эксплуатации системы каждый раз при изменениях состава
технических средств, программного обеспечения, персонала и пользователей и т.д. Такие
изменения происходят довольно часто, поэтому средства управления системы защиты
должны обеспечивать удобство осуществления необходимых при этом изменений
настроек системы защиты. Такова «диалектика» применения средств защиты. Если
система защиты не учитывает этой диалектики, не обладает достаточной гибкостью и не
обеспечивает удобство перенастройки, то такая система очень быстро становится не
помощником, а обузой для всех, в том числе и для администраторов безопасности, и
обречена на отторжение.
Для поддержки и упрощения действий по настройке средств защиты в системе защиты
необходимо предусмотреть следующие возможности:
■ выборочное подключение имеющихся защитных механизмов, что
обеспечивает возможность реализации режима постепенного поэтапного
усиления степени защищенности АС;
■ так называемый «мягкий» режим функционирования средств защиты, при
котором несанкционированные действия пользователей (действия с
превышением полномочий) фиксируются в системном журнале обычным
порядком, но не пресекаются (то есть не запрещаются системой защиты).
Этот режим позволяет выявлять некорректности настроек средств защиты (и
затем производить соответствующие их корректировки) без нарушения
работоспособности АС и существующей технологии обработки
информации;
■ возможности по автоматизированному изменению полномочий пользователя
с учетом информации, накопленной в системных журналах (при работе как в
«мягком», так и обычном режимах).
С увеличением масштаба защищаемой АС усиливаются требования к организации
удалённого управления средствами защиты. Поэтому те решения, которые приемлемы
для одного автономного компьютера или небольшой сети из 10 - 15 рабочих станций,
совершенно не устраивают обслуживающий персонал (в том числе и администраторов
безопасности) больших сетей, объединяющих несколько сотен рабочих станций.
Для решения проблем управления средствами защиты в больших сетях в системе
необходимо предусмотреть следующие возможности:
■ должны поддерживаться возможности управления механизмами защиты как
централизованно (удаленно, с рабочего места администратора безопасности
сети), так и децентрализованно (непосредственно с конкретной рабочей
станции). Причем любые изменения настроек защитных механизмов,
произведенные централизованно, должны автоматически распространяться
Информзащита
Учебиын ивитр
153
Информзащита
154
Информзащита
155
Информзащита
156
Выводы
Универсальные механизмы защиты, имеющиеся в арсенале специалистов по
безопасности, обладают своими достоинствами и недостатками и могут применяться в
различных вариациях и совокупностях в конкретных методах и средствах защиты.
Повышать уровень стойкости системы защиты за счёт применения более совершенных
физических и технических средств можно только до уровня стойкости персонала из ядра
безопасности системы. Успех или неудача масштабного применения систем защиты
информации зависит от наличия в них развитых средств управления режимами работы
защитными механизмами, и реализации функций, позволяющих существенно упрощать
процессы установки, настройки и эксплуатации средств защиты.
И-
L j Информзащита
157
Раздел II.
Обеспечение безопасности
информационных технологий
Информзащита
Уче&ньм центр
Раздел II - Тема 8:
Организационная структура системы
обеспечения безопасности информационных
технологий
Информзащита
159
Информзащита
С *-"" Г ч я Г н п и центр
■^г
160
■ эффективный контроль за соблюдением сотрудниками подразделений -
пользователями и обслуживающим АС персоналом, —требований по
обеспечению безопасности информации;
■ проведение постоянного анализа эффективности и достаточности принятых
мер и применяемых средств защиты информации, разработку и реализацию
предложений по совершенствованию системы защиты информации в АС.
Организационные (административные) меры регламентируют процессы
функционирования системы обработки данных, использование её ресурсов, деятельность
персонала, а также порядок взаимодействия пользователей с системой таким образом,
чтобы в наибольшей степени затруднить или исключить возможность реализации угроз
безопасности.
Цели создания системы обеспечения информационной
безопасности
Конечной целью создания системы обеспечения безопасности информационных
технологий является предотвращение или минимизация ущерба (прямого или
косвенного, материального, морального или иного), наносимого субъектам
информационных отношений посредством нежелательного воздействия на информацию,
её носители и процессы обработки.
Основной задачей системы защиты является обеспечение необходимого уровня
доступности, целостности и конфиденциальности компонентов (ресурсов) АС
соответствующими множеству значимых угроз методами и средствами.
Обеспечение информационной безопасности —это непрерывный процесс, основное
содержание которого составляет управление рисками через управление людьми,
ресурсами, средствами защиты и т.п. Люди - обслуживающий персонал и конечные
пользователи АС, —являются неотъемлемой частью автоматизированной (то есть
«человеко-машинной») системы. От того, каким образом они реализуют свои функции в
системе, существенно зависит не только её функциональность (эффективность решения
задач), но и её безопасность.
Уровень информационной безопасности организации существенно зависит от
деятельности следующих категорий сотрудников и должностных лиц организации
(см. Рис. 2.8.1):
■ сот рудников ст рукт урны х подразделений (конечных пользователей АС),
решающих свои функциональные задачи с применением средств
автоматизации;
■ программистов, осуществляющих разработку (приобретение и адаптацию)
необходимых прикладных программ (задач) для автоматизации
деятельности сотрудников организации;
■ сотрудников подразделения внедрения и сопровождения ПО,
обеспечивающих нормальное функционирование и установленный порядок
инсталляции и модификации прикладных программ (задач);
■ сотрудников подразделения эксплуатации ТС, обеспечивающих
нормальную работу и обслуживание технических средств обработки и
передачи информации и системного программного обеспечения;
■ системных администраторов штатных средств защиты (ОС, СУБД и т.п.);
■ сотрудников подразделения защиты информации, оценивающих
состояние безопасности ИТ, определяющих требования к системе защиты,
разрабатывающих организационно-распорядительные документы по
вопросам обеспечения безопасности ИТ (аналитиков), внедряющих и
Информзащита
Учебны й центр
161
Руководство
организации
Служба Служба
безопасности автоматизации
Аналитики Программисты
Информзащита
Учебный центр
Руководство должно признать комплекс мер по обеспечению безопасности ИТ частью
производственного процесса.
Как сказано в стандарте ISO 27002 (BS 7799) высшее руководство должно поставить
чёткую цель и показать свою поддержку и заинтересованность в вопросах безопасности
ИТ, распространение политики безопасности ИТ среди сотрудников организации. В
организации должны проводиться регулярные совещания руководства по вопросам
корректировки политики безопасности ИТ и координации действий персонала.
Чтобы добиться понимания и осознания важности проблем безопасности ИТ необходимо
осуществлять постоянное воздействие на руководителей, показывая актуальность данной
проблемы —учить (информировать, образовывать) на чужих и собственных примерах
(инцидентах). В этих целях можно использовать различные меры и способы, например
такие как:
■ извлечение максимальной пользы из любых случившихся инцидентов с
акцентом на важность решений вопросов по обеспечению безопасности ИТ;
■ организация собственных показательных мероприятий (например,
демонстрация слабости парольной защиты). Проведение подобных
мероприятий требует предварительного согласования с руководством,
документального оформления и осторожности при реализации.
■ демонстрация реальных документов других организаций по вопросам
обеспечения безопасности ИТ.
Влияние на безопасность информационных технологий
со стороны Службы безопасности
Наиболее значимым звеном, оказывающим влияние на безопасность ИТ организации,
являются аналитики и администраторы средств защиты, контроля и управления
безопасностью.
Аналитики отвечают за анализ состояния безопасности ИТ, определение требований к
защищённости различных подсистем АС и выбор методов и средств защиты.
Администраторы средств защиты, контроля и управления безопасностью отвечают за
эффективное применение специализированных средств защиты.
Влияние на безопасность информационных технологий
со стороны подразделения автоматизации
Наиболее существенное влияние на безопасность ИТ организации в подразделении
автоматизации оказывают специалисты подразделений разработки, внедрения и
сопровождения ПО, эксплуатации технических средств и общего программного
обеспечения, системные администраторы.
Программисты осуществляют разработку (приобретение и адаптацию) необходимых
прикладных программ (задач) для автоматизации деятельности сотрудников организации.
Влияние программистов может быть непреднамеренным (ошибки) и преднамеренным
(закладки, люки). Практика показывает, что ошибки кода всегда присутствуют в любой
программе.
Подразделение внедрения и сопровождения ПО обеспечивает нормальное
функционирование прикладных программ (задач).
Подразделение эксплуатации обеспечивает нормальную работу и обслуживание
технических (вычислительных средств и средств телекоммуникации) и общего
(системного) программного обеспечения.
Администраторы серверов, приложений, баз данных и т.п. отвечают за эффективное
применение штатных средств защиты и разграничения доступа всех используемых ОС и
СУБД.
Информзащита
163
Информзащита
164
Информзащита
Учебмыш ц *м тр
165
Информзащита
У ч е б м м центр
■ наличие специального подразделения обеспечения безопасности ИТ, с
функциями определения требований к защите конкретных ресурсов,
организации их защиты и контроля;
■ разработка правильной системы организационно-распорядительных и
нормативно-методических документов, определяющих политику
безопасности (регламенты по вопросам безопасности АС для всех категорий
сотрудников организации);
■ наличие института ответственных за обеспечение безопасности ИТ в
подразделениях и на технологических участках АС;
■ наличие в организации должного уровня исполнительской дисциплины.
Политика безопасности организации
Политика безопасности организации в области ИТ - это совокупность документируемых
решений в виде программных, аппаратных, организационных, административных,
юридических, физических мер, методов, средств, правил и инструкций, чётко
регламентирующих все аспекты деятельности организации в области безопасности ИТ.
Основная цель политики безопасности —информирование пользователей, сотрудников и
руководства о наложенных на них обязательных требованиях по защите технолог™ и
информационных ресурсов.
Все документально оформленные решения, формирующие политику безопасности ИТ,
должны быть утверждены руководством и опубликованы. Все сотрудники организации
должны быть ознакомлены с политикой безопасности ИТ. Концептуальные вопросы
политики безопасности организации целесообразно изложить в «Концепции
обеспечения безопасности в автоматизированной системе организации».
Основные составляющие политики безопасности ИТ:
■ определение целей политики безопасности;
■ определение принципов обеспечения и границ применяемости политики
безопасности;
■ краткое разъяснение (дайджест) политики безопасности;
■ соответствие законодательным актам и стандартам;
■ определение правил приобретения информационных технологий, которые
отвечают требованиям безопасности;
■ определение политики обеспечения непрерывности работы и
восстановления АС;
■ определение политики конфиденциальности стандартных сервисов
(электронная почта (ЭП), Интернет, VPN, мобильные пользователи);
■ определение политики аутентификации (пароли, рекомендации по
аутентификации удалённых субъектов и использованию
аутентифицирующих устройств);
■ определение политики разграничения доступа и привилегии для различных
категорий сотрудников (пользователей, системных администраторов,
администраторов безопасности, руководителей);
■ обнаружение и блокирование вирусов и других вредоносных программ;
■ определение порядка разработки и сопровождения АС;
■ обучение персонала по вопросам безопасности ИТ;
Информзащита
167
щ Информзащита
Учебмьм центр
168
Информзащита
У чебны й ц ентр
169
Информзащита
■V
170
Информзащита
У чеб н ы й м ем тр
171
Информзащита
У ч а й м ш ц ентр
виде «Положения об определении требований по защите (категорировании)
ресурсов»;
■ определяет типовые конфигурации и настройки программно-аппаратных
средств защиты информации для АРМ различных категорий (требуемых
степеней защищённости);
■ по заявкам руководителей структурных подразделений (используя
формуляры АРМ и формуляры задач) проводит анализ возможности
решения (а также совмещения) указанных задач на конкретных АРМ (с
точки зрения обеспечения безопасности) и принимает решение об отнесении
АРМ к той или иной группе по степени защищённости;
■ совместно с подразделениями технического обслуживания Службы
автоматизации проводит работы по установке на АРМ программно
аппаратных средств защиты информации;
■ согласовывает и утверждает предписания на эксплуатацию АРМ
(формуляры АРМ), подготовленные в подразделениях организации;
■ обеспечивает проведение необходимых дополнительных специальных
мероприятий по обеспечению безопасности информации;
■ определяет организацию, методики и средства контроля эффективности
противодействия попыткам несанкционированного доступа к информации
(НСД) и незаконного вмешательства в процесс функционирования АС.
Подразделение автоматизации (отдел эксплуатации и отдел телекоммуникаций)
■ по заявкам руководителей структурных подразделений (используя
формуляры АРМ и формуляры задач) проводит анализ возможности
решения указанных задач на конкретных АРМ и уточнение содержания
необходимых для этого изменений в конфигурации аппаратных и
программных средств АРМ;
■ на основе утверждённых заявок начальников структурных подразделений
установленным порядком производит:
- установку (развёртывание, обновление версий) программных средств,
необходимых для решения на АРМ конкретных задач (используя
полученные в фонде алгоритмов и программ дистрибутивы и формуляры
задач);
- удаление (затирание) программных пакетов, необходимость в
использовании которых отпала;
- установку (развёртывание) новых АРМ или подключение
дополнительных устройств (узлов, блоков), необходимых для решения
на АРМ конкретных задач;
- изъятие или замену ПЭВМ (отдельных устройств, узлов, блоков),
необходимость в использовании которых отпала, предварительно
осуществляя установленным порядком затирание остаточной
информации на изымаемых машинных носителях;
■ принимает участие в заполнении (корректировке сведений) формуляров
АРМ и выдаче предписаний на эксплуатацию АРМ;
■ в своей деятельности сотрудники отдела эксплуатации руководствуются
«Инструкцией по установке, модификации и техническому обслуживанию
программного обеспечения и аппаратных средств АРМ АС организации».
Подразделение автоматизации (фонд алгоритмов и программ)
■ ведёт общий перечень задач, решаемых в АС организации;
Информзащита
У чебн ы м ц ен т р
173
J Информзащита
w -*■— - Учебньш ц ентр
автоматизированной обработки информации, должны быть отражены требования по
обеспечению безопасности информации при работе в АС.
Задачи организации и функции по обеспечению безопасности ИТ её подразделений и
сотрудников в перечисленных выше документах должны формулироваться с учётом
положений действующего в России законодательства по информатизации и защите
информации (Федеральных законов, Указов Президента Российской Федерации,
постановлений Правительства Российской Федерации и других руководящих и
нормативно-методических документов).
Конкретизация задач и функций структурных подразделений, а также детальная
регламентация действий сотрудников организации, их ответственность и полномочия по
вопросам обеспечения безопасности информации при эксплуатации АС должны
осуществляться как путём дополнения существующих документов соответствующими
пунктами, так и путём разработки и введения в действие дополнительных внутренних
организационно-распорядительных документов по обеспечению безопасности ИТ.
В целях обеспечения единого понимания всеми подразделениями и должностными
лицами (сотрудниками) организации проблем и задач по обеспечению безопасности ИТ в
организации целесообразно разработать «Концепцию обеспечения безопасности
информационных технологий». В Концепции на основе анализа современного
состояния информационной инфраструктуры организации и интересов организации в
области обеспечения безопасности ИТ должны определяться основные задачи по защите
информации и процессов её обработки, намечаться подходы и основные пути решения
данных задач.
Необходимым элементом организации работ по обеспечению безопасности информации,
её носителей и процессов обработки в АС организации является категорирование, то есть
определение требуемых степеней защищённости (категорий) ресурсов АС (информации,
задач, каналов взаимодействия задач, компьютеров, персонала). Для обеспечения
управления и контроля за соблюдением установленных требований к защите информации
и с целью обеспечения дифференцированного подхода к защите конкретных АРМ
различных подсистем АС организации необходимо разработать и принять «Положение
об определении требований по защите (категорировании) ресурсов» в АС
организации. В этом документе необходимо отразить вопросы взаимодействия
подразделений организации при определении требуемой степени защищённости ресурсов
АС организации в зависимости от степени ценности обрабатываемой информации,
характера обработки и обязательств по обеспечению безопасности информации перед
сторонними организациями и физическими лицами.
Целесообразно введение классификации защищаемой информации, включаемой в
«Перечень информационных ресурсов, подлежащих защите», не только по уровню
конфиденциальности (конфиденциально, строго конфиденциально и т.д.), но и по уровню
ценности информации (определяемой величиной возможных прямых и косвенных
экономических потерь в случае нарушения её целостности и несвоевременности
представления - своевременности решения задач).
В данном Перечне необходимо также указывать подразделения организации, являющиеся
владельцами конкретной защищаемой информации и отвечающие за установление
требований к режиму её защиты.
Любые изменения состава и полномочий пользователей подсистем АС должны
производиться установленным порядком согласно специальной «Инструкции по
внесению изменений в списки пользователей АС и наделению их полномочиями
доступа к ресурсам системы».
Меры безопасности при вводе в эксплуатацию новых рабочих станций и серверов, а
также при изменениях конфигурации технических и программных средств
существующих компьютеров в АС должны определяться «Инструкцией по установке,
Информзащита
Учебным центр
175
Информзащита
Раздел II - Тема 9:
Обязанности конечных пользователей и
ответственных за обеспечение
безопасности информационных технологий в
подразделениях
Информзащита
Учебным центр
177
Информзащита
■ выполнять требования «Инструкции по организации антивирусной защиты в
АС» в части касающейся действий пользователей рабочих станций;
■ немедленно ставить в известность ответственного за безопасность
информации и руководителя подразделения в случае утери носителей
ключевой информации, индивидуального устройства идентификации или
при подозрении компрометации личных ключей и паролей, а также при
обнаружении:
- нарушений целостности пломб (наклеек, нарушении или несоответствии
номеров печатей) на аппаратных средствах или иных фактов совершения
в его отсутствие попыток несанкционированного доступа к закреплённой
за ним защищённой рабочей станции;
- некорректного функционирования установленных на рабочей станции
технических средств защиты;
- несанкционированных (произведённых с нарушением установленного
порядка) изменений в конфигурации программных или аппаратных
средств рабочей станции;
- непредусмотренных формуляром рабочей станции отводов кабелей и
подключённых устройств;
- отклонений в нормальной работе системных и прикладных программных
средств, затрудняющих эксплуатацию рабочей станции, выхода из строя
или неустойчивого функционирования узлов рабочей станции или
периферийных устройств (дисководов, принтера и т.п.), а также перебоев
в системе электроснабжения;
■ присутствовать при работах по изменению аппаратно-программной
конфигурации закреплённой за ним рабочей станции, по завершении таких
работ проверять её работоспособность.
Категорически ЗАПРЕЩАЕТСЯ.
■ использовать компоненты программного и аппаратного обеспечения АС не
по назначению (в неслужебных целях);
■ самовольно вносить какие-либо изменения в конфигурацию аппаратно
программных средств рабочей станции или устанавливать дополнительно
любые программные и аппаратные средства, не предусмотренные
формуляром рабочей станции;
■ осуществлять обработку конфиденциальной информации в присутствии
посторонних (не допущенных к данной информации) лиц;
■ записывать и хранить конфиденциальную информацию (сведения
ограниченного распространения) на неучтённых носителях (гибких
магнитных дисках и т.п.);
■ оставлять включённой без присмотра свою рабочую станцию (компьютер),
не активизировав средства защиты от НСД (временную блокировку экрана и
клавиатуры);
■ передавать кому-либо свой персональный ключевой носитель (дискету,
iButton, Smart Card, Proximity, eToken и т.п.) кроме ответственного за
информационную безопасность или руководителя своего подразделения
установленным порядком, делать неучтённые копии ключевого носителя,
снимать с него защиту записи и вносить какие-либо изменения в записанные
на носитель файлы;
■ использовать свои ключи ЭП для формирования электронной подписи
любых электронных документов, кроме электронных документов,
регламентированных технологическим процессом на его рабочем месте;
Информзащита
Уче&иьа* ц ентр
179
Информзащита
180
■ хранить формуляры защищённых рабочих станций, контролировать их
соответствие реальным конфигурациям рабочих станций и вести учёт
изменений их аппаратно-программной конфигурации (заявки, на основании
которых были произведены данные изменения);
■ вести «Журнал учёта ключевых дискет подразделения», хранить,
осуществлять приём и выдачу ключевых дискет ответственным
исполнителям подразделения в строгом соответствии с установленным
порядком работы с ключевыми дискетами, осуществлять контроль за
правильность использования ключевых дискет сотрудниками своего
подразделения (технологического участка);
■ осуществлять контроль за порядком учёта, создания, хранения и
использования резервных и архивных копий массивов данных, машинных
(выходных) документов (в соответствии с Планом обеспечения непрерывной
работы и восстановления (ОНРВ) АС);
■ проводить работу по выявлению возможных каналов неправомерного
вмешательства в процесс функционирования АС и осуществления НСД к
информации и техническим средствам ПЭВМ. При выявлении таковых
сообщать о них руководству подразделения и специалистам подразделения
обеспечения безопасности ИТ;
■ инструктировать сотрудников подразделения по вопросам обеспечения
безопасности информации и правилам работы с используемыми СЗИ.
Ответственный за обеспечение безопасности информации имеет право:
■ требовать от сотрудников подразделения - пользователей АС соблюдения
установленных технологий обработки информации и выполнения
инструкций по обеспечению безопасности информации в АС;
■ инициировать проведение служебных расследований по фактам нарушения
установленных требований обеспечения безопасности ИТ,
несанкционированного доступа, утраты, порчи защищаемой информации и
технических компонентов АС;
■ обращаться к руководителю подразделения с требованием прекращения
работы на рабочих станциях при несоблюдении установленной технологии
обработки информации и невыполнении требований по безопасности ИТ;
■ подавать свои предложения по совершенствованию организационных,
технологических и технических мер защиты на своём участке работы;
■ обращаться в подразделение обеспечения безопасности ИТ за необходимой
технической и методологической помощью в своей работе.
Ответственность за нарушения
Для создания необходимой юридической основы процедур привлечения сотрудников к
ответственности за нарушения в области обеспечения безопасности ИТ необходимо,
чтобы:
■ в Уставе организации, во всех положениях о структурных подразделениях и
в функциональных (технологических) обязанностях всех сотрудников,
участвующих в процессах автоматизированной обработки информации,
были отражены требования по обеспечению безопасности ИТ при работе в
АС;
■ каждый сотрудник (при приёме на работу) подписывал трудовой договор, в
котором определены обязательства по соблюдению установленных
требований по сохранению государственной, служебной и коммерческой
Информзащита
Учвбмми ц ентр
181
Информзащита
■ оповещать обо всех изменениях требований в документах (в части
касающейся);
■ периодически повторять инструктажи и обучение.
Порядок работы с носителями ключевой информации
В некоторых подсистемах АС для обеспечения контроля за целостностью передаваемых
по технологическим цепочкам электронных документов (ЭД), а также для подтверждения
их подлинности и авторства могут использоваться средства электронной подписи (ЭП).
Каждому сотруднику (исполнителю), которому в соответствии с его функциональными
обязанностями предоставлено право постановки на ЭД цифровой подписи, выдаётся
персональный ключевой носитель информации (например, дискета), на который записана
уникальная ключевая информация («ключ электронной подписи»), относящаяся к
категории сведений ограниченного доступа.
Этапы жизненного цикла ключей:
■ генерация ключей;
■ использование ключей;
■ хранение ключей;
■ передача ключей;
■ уничтожение ключей;
■ обновление ключей.
Ошибки в технологиях распространения ключей, небрежное хранение становятся
причиной того, что злоумышленник получает доступ к строго конфиденциальной
информации и может под делать ЭП владельца.
Чтобы избежать всевозможных ошибок, в организации должна быть разработана
«Политика безопасности при работе с носителями ключевой информации», которая
должна содержать ответы на основные вопросы:
■ кто должен формировать ключи для пользователей;
■ где должны храниться ключи;
■ должен ли владелец ключей (т.е. пользователь) иметь лицензию на
деятельность по техническому обслуживанию шифровальных средств;
■ как восстановить зашифрованную информацию при потере ключа;
■ кто должен изготовлять ключевые носители;
■ как должны уничтожаться ключевые носители;
■ кто должен уничтожать ключевые носители и т.д.
Кроме всего прочего, необходимо учитывать, что политики безопасности ИТ в
отношении ключей ЭП и ключей шифрования существенно различаются. При
регламентации порядка работы с ключами шифрования необходимо помнить, что
получение доступа к зашифрованным данным требует передачи копии секретного ключа,
а также необходимо обеспечить хранение секретного ключа у агента восстановления (на
случай его утраты без компрометации) и архивное хранение секретного ключа после
истечения срока его использования. А вот ключ ЭП не должен ни с кем разделяться и
после истечения срока действия - уничтожаться, плюс ко всему необходимо обеспечить
архивное хранение открытых ключей после их использования.
Информзащита
V ча Ы тт и ви тр
Персональный ключевой носитель (чаще всего - дискета) обычно изготавливается в
центре управления ключевыми системами (ЦУКС) или удостоверяющем центре (УЦ) на
основании заявки, подписанной руководителем подразделения исполнителя.
Генерация уникальной ключевой информации и её запись на дискету осуществляется на
специально оборудованном автономном «АРМ генерации ключей», программное
обеспечение которого выполняет функции, регламентированные технологическим
процессом формирования ключей электронной подписи, уполномоченными
сотрудниками подразделения обеспечения безопасности ИТ - специалистами ЦУКС в
присутствии самого исполнителя, маркируется, учитывается в «Ведомости выдачи
ключевых дискет» ЦУКС и выдаётся ему под роспись. Оснащение «АРМ генерации
ключей» должно гарантировать, что уникальная секретная ключевая информация
исполнителя записывается только на его персональный носитель.
Для обеспечения возможности восстановления ключевой информации исполнителя, в
случае выхода ключевого носителя из строя, обычно создаётся его рабочая копия. Для
того, чтобы при копировании с эталонного носителя на рабочий ключевой носитель его
содержимое не попадало на какой-либо промежуточный носитель, копирование должно
осуществляться только на защищённых «АРМ генерации ключей».
Ключевые носители должны иметь соответствующие этикетки, на которых отражается:
регистрационный номер носителя (по «Ведомости выдачи...»), дата изготовления и
подпись уполномоченного сотрудника подразделения обеспечения информационной
безопасности, изготовившего носитель, вид ключевой информации - ключевой носитель
(эталон) или ключевой носитель (рабочая копия), фамилия, имя, отчество и подпись
владельца - исполнителя.
Персональные ключевые носители (эталон и рабочую копию) исполнитель должен
хранить в специальном пенале, опечатанном личной печатью.
В подразделении учёт и хранение персональных ключевых носителей исполнителей
должен осуществляться ответственным за обеспечение безопасности информации (при
его отсутствии - руководителем подразделения), который ведёт «Журнал учёта ключевых
носителей исполнителей подразделения (технологического участка)». Ключевые
носители должны храниться в сейфе ответственного за информационную безопасность
подразделения в индивидуальных пеналах, опечатанных личными печатями
исполнителей. Пеналы извлекаются из сейфа только на время приёма (выдачи) рабочих
копий ключевых носителей исполнителям. Эталонные копии ключевых носителей
исполнителей должны постоянно находиться в опечатанном пенале и могут быть
использованы только для восстановления установленным порядком рабочей копии
ключевого носителя при выходе последнего из строя. Наличие эталонных ключевых
носителей в пеналах проверяется исполнителями и ответственным за обеспечение
безопасности информации в подразделении при каждом вскрьггии и опечатывании
пенала.
Контроль за обеспечением безопасности технологии обработки электронных документов
в АС, в том числе за действиями исполнителей, выполняющих свою работу с
применением персональных ключевых носителей, осуществляется ответственными за
информационную безопасность подразделений в пределах своей компетенции и
сотрудниками подразделения обеспечения безопасности ИТ.
Ключи проверки электронной подписи исполнителей установленным порядком
регистрируются специалистами ЦУКС или УЦ в справочнике ключей проверки ЭП,
используемом при проверке подлинности документов по установленным на них ЭП.
Обязанности исполнителя
Исполнитель, которому в соответствии с его должностными функциями предоставлено
право постановки на ЭД электронной подписи, несёт персональную ответственность за
Информзащита
сохранность и правильное использование вверенной ему ключевой информации и
содержание документов, на которых стоит его ЭП.
Он обязан:
■ лично присутствовать в ЦУКС при изготовлении своей ключевой
информации (от момента включения до момента выключения «АРМ
генерации ключей»), чтобы быть уверенным в том, что содержание его
ключевых дискет (эталонной и рабочей копии) не компрометировано;
■ под роспись в «Ведомости выдачи ключевых носителей» ЦУКС получить
эталонный и рабочий ключевые носители и убедиться, что они правильно
маркированы. Зарегистрировать (учесть) их у ответственного за
информационную безопасность своего подразделения, положить их в пенал,
опечатать его своей личной печатью и передать пенал на хранение
ответственному за обеспечение безопасности информации установленным
порядком;
■ использовать для работы только рабочую копию своего ключевого носителя;
■ в начале рабочего дня получать, а в конце рабочего дня сдавать
ответственному за обеспечение безопасности информации рабочую копию
своего ключевого носителя. При каждом вскрытии пенала (для извлечения
из него или помещения в него рабочей копии ключевого носителя), они оба
обязаны убедиться в целостности и подлинности печати на пенале, а также в
наличии в нем эталонного ключевого носителя и сделать запись о
выдаче/приёме носителя. Если печать на пенале нарушена (и/или эталонный
носитель отсутствует), то носитель считается скомпрометированным;
■ сдавать свой персональный ключевой носитель на временное хранение
ответственному за информационную безопасность, например на время
отсутствия исполнителя на рабочем месте. Процедуры сдачи на временное
хранение и получения ключевого носителя после временного хранения в
точности должны совпадать с процедурами получения персонального
ключевого носителя в начале рабочего дня и сдачи в конце рабочего дня;
■ в случае порчи рабочей копии ключевого носителя (например, при ошибке
чтения носителя) исполнитель обязан передать его уполномоченному
сотруднику подразделения обеспечения безопасности ИТ, который должен в
присутствии исполнителя и ответственного за обеспечение безопасности
информации подразделения на «АРМ генерации ключей» ЦУКС сделать
новую рабочую копию ключевого носителя с имеющегося у исполнителя
эталона и выдать его последнему взамен старого (испорченного) ключевого
носителя. Испорченная рабочая копия ключевого носителя должна быть
уничтожена установленным порядком в присутствии исполнителя. Все эти
действия должны быть зафиксированы в «Ведомости выдачи ключевых
носителей ЦУКС».
Исполнителю ЗАПРЕЩАЕТСЯ:
■ оставлять персональный ключевой носитель без личного присмотра где бы
то ни было;
■ передавать свой персональный ключевой носитель (эталонную или его
рабочую копию) другим лицам (кроме как для хранения ответственному за
информационную безопасность в опечатанном пенале);
■ делать неучтённые копии ключевого носителя, распечатывать или
переписывать с него файлы на иной носитель информации (например,
185
I Информзащита
У ч а В и ш ! ц ентр
Если у исполнителя появилось подозрение, что его персональный ключевой носитель
попал или мог попасть в чужие руки (был скомпрометирован), он обязан немедленно
прекратить (не возобновлять) работу с ключевым носителем, сообщить об этом
ответственному за обеспечение безопасности информации своего подразделения, сдать
ему скомпрометированный ключевой носитель, соблюдая обычную процедуру с
пометкой в журнале о причине компрометации, написать объяснительную записку о
факте компрометации персонального ключевого носителя на имя начальника
подразделения.
В случае утери персонального ключевого носителя исполнитель обязан немедленно
сообщить от этом ответственному за обеспечение безопасности информации своего
подразделения, написать объяснительную записку об утере носителя на имя начальника
подразделения и принять участие в служебном расследовании факта утери персонального
ключевого носителя.
Ответственный за обеспечение безопасности информации подразделения обязан
немедленно оповестить о факте утраты или компрометации ключевого носителя
уполномоченного сотрудника ЦУКС, для принятия последним действий по
блокированию ключей ЭП указанного исполнителя.
По решению руководителя подразделения установленным порядком исполнитель может
получить в ЦУКС новый комплект персональных ключевых носителей взамен
скомпрометированных.
В случае перевода исполнителя на другую работу, увольнения и т.п. он обязан сдать
(сразу по окончании последнего сеанса работы) свой персональный ключевой носитель
ответственному за обеспечение безопасности информации своего подразделения под
роспись в журнале учёта ключевых носителей. Последний обязан сразу же оповестить об
этом уполномоченного сотрудника ЦУКС, для принятия действий по блокированию
использования ЭП увольняемого исполнителя.
Уничтожение ключей
Уничтожение ключей может производиться путём физического уничтожения ключевого
носителя, на котором они расположены, или путём стирания (разрушения) ключей без
повреждения ключевого носителя (для обеспечения возможности его многократного
использования)/
Ключевые носители уничтожаются либо исполнителями, либо ответственными за
обеспечение безопасности ИТ под расписку в соответствующих журналах. При этом
исполнителям разрешается уничтожать только свои ключи.
Централизованное уничтожение ключей по акту производит комиссия в составе
сотрудников ЦУКС и ответственного за обеспечение безопасности ИТ.
О проведённом уничтожении делаются отметки в соответствующих журналах.
Права исполнителя
Исполнитель должен иметь право обращаться к ответственному за обеспечение
безопасности информации своего подразделения за консультациями по вопросам
использования ключевой дискеты и по вопросам обеспечения безопасности ИТ.
Исполнитель имеет право требовать от ответственного за обеспечение безопасности
информации своего подразделения и от своего непосредственного руководителя создания
необходимых условий для выполнения перечисленных выше требований.
Исполнитель имеет право представлять свои предложения по совершенствованию мер
защиты на своём участке работы.
Информзащита
У чвбньм ц ен тр
187
Информзащита
188
Информзащита
189
Информзащита
л— ' ' Уче&мьм центр
В случае обнаружения при проведении антивирусной проверки заражённых
компьютерными вирусами файлов сотрудники подразделений обязаны:
■ приостановить работу;
■ немедленно поставить в известность о факте обнаружения заражённых
вирусом файлов руководителя и ответственного за обеспечение
безопасности информации своего подразделения, владельца заражённых
файлов, а также смежные подразделения, использующие эти файлы в работе;
■ совместно с владельцем заражённых вирусом файлов провести анализ
необходимости дальнейшего их использования;
■ провести лечение или уничтожение заражённых файлов (при необходимости
для выполнения требований данного пункта привлечь специалистов
подразделения автоматизации);
■ в случае обнаружения нового вируса, не поддающегося лечению
применяемыми антивирусными средствами, передать заражённый вирусом
файл на гибком магнитном диске в подразделение автоматизации для
дальнейшей отправки его в организацию, с которой заключён договор на
антивирусную поддержку;
■ по факту обнаружения заражённых вирусом файлов составить служебную
записку в отдел обеспечения безопасности информации, в которой
необходимо указать предположительный источник (отправителя, владельца
и т.д.) заражённого файла, тип заражённого файла, характер содержащейся в
файле информации, тип вируса и выполненные антивирусные мероприятия.
Ответственность
Ответственность за организацию антивирусного контроля в подразделении,
эксплуатирующем подсистему АС, в соответст вии с требованиями настоящей
Инструкции возлагается на руководителя подразделения.
Ответственность за проведение мероприятий антивирусного контроля в подразделении и
соблюдение требований настоящей Инструкции возлагается на ответственного за
обеспечение безопасности информации и всех сотрудников подразделения, являющихся
пользователями АС.
Периодический контроль за состоянием антивирусной защиты, а также за соблюдением
установленного порядка антивирусного контроля и выполнением требований настоящей
Инструкции сотрудниками подразделений организации осуществляется подразделением
обеспечения безопасности ИТ.
Информзащита
191
Информзащита
разграничения доступа к базам данных возлагается на специальных пользователей -
администраторов баз данных.
Учётные записи всех пользователей должны быть «привязаны» к конкретным рабочим
станциям (к номерам сетевых карт) или к сегменту сети (группе рабочих станций),
закреплённых за конкретным подразделением организации. При этом могут
использоваться, как штатные средства защиты СУБД и операционных систем, так и
дополнительные средства защиты.
Для всех пользователей должен быть установлен режим принудительного запроса смены
пароля не реже одного раза в месяц.
Процедура авторизации сотрудников
Процедура регистрации (создания учётной записи) пользователя для сотрудника и
предоставления ему (или изменения его) прав доступа к ресурсам АС инициируется
заявкой начальника подразделения (отдела, сектора), в котором работает данный
сотрудник. В заявке указывается:
■ содержание запрашиваемых изменений (регистрация нового пользователя
АС, удаление учётной записи пользователя, расширение или сужение
полномочий и прав доступа к ресурсам АС ранее зарегистрированного
пользователя);
■ наименование подразделения, должность, фамилия, имя и отчество
сотрудника;
■ имя пользователя (учётной записи) данного сотрудника (при изменении
полномочий и прав доступа);
■ полномочия, которых необходимо лишить пользователя или которые
необходимо добавить пользователю (путём указания решаемых
пользователем задач на конкретных рабочих станциях АС). Наименования
задач должны указываться в соответствии с формулярами задач,
наименования рабочих станций (компьютеров) - в соответствии с
формулярами этих рабочих станций.
Если полномочий непосредственного начальника недостаточно, заявку может визировать
вышестоящий руководитель, утверждая тем самым производственную необходимость
допуска (изменения прав доступа) конкретного сотрудника к необходимым для решения
им указанных задач ресурсам АС.
Затем руководители подразделений автоматизации и обеспечения безопасности ИТ
рассматривают представленную заявку и подписывают задание соответствующим
системным администраторам (серверов, баз данных) и администратору специальных
средств защиты информации от несанкционированного доступа (СЗИ НСД) на внесение
необходимых изменений в списки пользователей соответствующих подсистем.
На основании заявки (задания) системный администратор сети в соответствии с
формулярами указанных задач (хранящихся в архиве эталонных дистрибутивов (АЭД)
программ), и документацией на средства защиты сетевых операционных систем
производит необходимые операции по созданию (удалению) учётной записи
пользователя, присвоению ему начального значения пароля и заявленных прав доступа к
сетевым ресурсам АС, включению его в соответствующие ролям задач группы
пользователей и другие необходимые действия.
Аналогичные операции для систем управления базами данных (СУБД) выполняет
администратор баз данных.
Администратор СЗИ НСД в соответствии с формулярами указанных задач и
Руководством администратора системы защиты от НСД производит необходимые
операции по регистрации нового пользователя, присвоению ему начального значения
Информзащита
Учебным центр
193
Информзащита
Раздел II - Тема 12:
Документы, регламентирующие порядок
изменения конфигурации аппаратно
программных средств автоматизированной
системы
Информзащита
У чМ им
195
Информзащита
сотрудникам подразделения автоматизации (на основании заявок), так и сотрудникам
подразделений, в которых они установлены, на основании распоряжений начальников
данных подразделений.
Процедура внесения изменений в конфигурацию аппаратных и программных средств
защищённых серверов и рабочих станций
Процедура внесения изменений в конфигурацию аппаратных и программных средств
защищённых серверов и рабочих станций системы может инициироваться либо заявкой
руководителя данного подразделения, либо заявкой руководителя подразделения
автоматизации.
Заявка руководителя подразделения, в котором требуется произвести изменения
конфигурации рабочей станции, оформляется на имя руководителя подразделения
автоматизации. Производственная необходимость проведения указанных в заявке
изменений может подтверждаться подписью вышестоящего руководителя.
Заявка руководителя подразделения автоматизации, которое отвечает за плановое
развитие АС и проведение изменений (обновлений версий) ПО, оформляется на имя
руководителя структурного подразделения (подразделений), использующего
(использующих) подсистему АС, требующую модификации. Производственная
необходимость проведения указанных в заявке изменений может подтверждаться
подписью вышестоящего руководителя.
В заявках могут указываться следующие виды необходимых изменений в составе
аппаратных и программных средств рабочих станций и серверов подразделения:
■ установка в подразделении новой ПЭВМ (развёртывание новой рабочей
станции или сервера);
■ замена ПЭВМ (рабочей станции или сервера подразделения);
■ изъятие ПЭВМ (рабочей станции или сервера подразделения);
■ добавление устройства (узла, блока) в состав конкретной рабочей станции
или сервера подразделения;
■ замена устройства (узла, блока) в составе конкретной рабочей станции или
сервера подразделения;
■ изъятие устройства (узла, блока) из состава конкретной рабочей станции или
сервера;
■ установка (развёртывание) на конкретной рабочей станции или сервере
программных средств, необходимых для решения определённой задачи
(добавление возможности решения данной задачи на данной рабочей
станции или сервере);
■ обновление (замена) на конкретной рабочей станции или сервере
программных средств, необходимых для решения определённой задачи
(обновление версий используемых для решения определённой задачи
программ);
■ удаление с конкретной рабочей станции или сервера программных средств,
используемых для решения определённой задачи (исключение возможности
решения данной задачи на данной рабочей станции).
В заявке должны указываться условные наименования развёрнутых рабочих станций и
серверов в соответствии с их формулярами. В случае развёртывания новой рабочей
станции её наименование в заявке указывать не требуется (оно должно устанавливается
позднее при заполнении формуляра новой рабочей станции). Наименования задач
указываются в соответствии с формулярами задач или перечнем задач архива эталонных
Информзащита
Учебным центр
197
Информзащита
198
Информзащита
У чебн ы м ц е н т р
199
Информзащита
200
Информзащита
201
Информзащита
Специалисты подразделения обеспечения безопасности ИТ совместно со специалистами
подразделения технического сопровождения и представителями подразделений
разработки участвуют в обсуждении предложений по конфигурации (правил коммутации,
маршрутизации и т.п.) телекоммуникационной сети организации в части определения
требований по обеспечения безопасности ИТ. Требования формируются на основе
анализа коммуникационных потребностей прикладных задач подсистемы, категорий
сведений, используемых при решении данных задач. При этом учитываются реальные
возможности по реализации требований обеспечения безопасности ИТ техническими
средствами и организационными мерами. При необходимости определяется потребность
в приобретении и использовании дополнительных средств защиты телекоммуникаций.
При проведении испытаний
Специалисты подразделения обеспечения безопасности ИТ совместно со специалистами
подразделений разработки и системного сопровождения ПО и представителями
заказывающего подразделения участвуют в подготовке программ и методик испытаний
задач и программных средств в части проверки реализации требований по обеспечению
безопасности ИТ, участвуют в испытаниях, фиксации контрольных сумм сдаваемого в
ФАП ПО и подписывают акты по результатам испытаний.
При сдаче в промышленную эксплуатацию
Специалисты подразделения обеспечения безопасности ИТ совместно со специалистами
подразделений разработки и системного сопровождения ПО участвуют в разработке
формуляра для задачи (разработанного или приобретённого программного средства),
передаваемой в ФАП.
Формуляр (карта разграничения доступа) задачи (программного средства) должен
содержать перечень и размещение всех программных, информационных и других
ресурсов, используемых при решении задачи (применен™ программного средства),
список всех категорий пользователей данной задачи (программного средства) и указание
их прав по доступу к перечисленным ресурсам. Данный формуляр необходим при
настройке средств разграничения доступа на этапе внедрения задачи (при восстановлении
системы после сбоев). Кроме того, формуляры могут использоваться при контрольных
проверках правильности настройки и работы средств защиты.
В процессе установки (развёртывания) подсистем (задач) специалисты подразделения
автоматизации осуществляют настройку штатных средств защиты, а специалисты
подразделения обеспечения безопасности ИТ - контролируют правильность их настройки
и настраивают дополнительные средства защиты в соответствии с формулярами задач
(программных средств).
Специалисты подразделения обеспечения безопасности ИТ совместно со специалистами
подразделений разработки и системного сопровождения, а также заказывающего
подразделения участвуют в разработке специальных требований по обеспечению
безопасности ИТ в должностных инструкциях пользователям АС.
В процессе эксплуатации (сопровождения)
Изменения настроек средств защиты в соответствии с утверждёнными заявками на
изменение полномочий пользователей осуществляется специалистами, системными
администраторами и администраторами безопасности, отвечающими за эксплуатацию
соответствующих подсистем (комплексов задач).
Внесение изменений в конфигурацию аппаратно-программных средств подсистемы (в
том числе при снятии задач с эксплуатации и при передаче аппаратных средств в ремонт)
осуществляется специалистами подразделений эксплуатации и технического
сопровождения на основании утверждённых и согласованных с подразделением
обеспечения безопасности ИТ заявок (заданий) от руководителей операционных
подразделений в строгом соответствии с «Инструкцией по установке, модификации и
Информзащита
УчеАиым ц ен т р
203
Информзащита
204
Информзащита
205
I Информзащита
^ Учебным центр
206
Информзащита
Учебным даитр
207
Информзащита
208
Информзащита
209
Информзащита
Учебмьж u e m p
210
Информзащита
211
Информзащита
Раздел II - Тема 15:
Планы защиты и планы обеспечения
непрерывной работы и восстановления
подсистем автоматизированной системы
Информзащита
«ямгр
213
Информзащита
УчеЬньм центр
Меры обеспечения непрерывной работы и восстановления работоспособности
автоматизированной системы
Непрерывность процесса функционирования АС и своевременность восстановления её
работоспособности достигается:
■ проведением специальных организационных мероприятий и разработкой
организационно-распорядительных документов по вопросам обеспечения
НРВ вычислительного процесса;
■ строгой регламентацией процесса обработки информации с применением
ЭВМ и действий персонала системы, в том числе в кризисных ситуациях;
■ назначением и подготовкой должностных лиц, отвечающих за организацию
и осуществление практических мероприятий по обеспечению НРВ
информации и вычислительного процесса;
■ чётким знанием и строгим соблюдением всеми должностными лицами,
использующими средства вычислительной техники АС, требований
руководящих документов по обеспечению НРВ;
■ применением различных способов резервирования аппаратных ресурсов,
эталонного копирования программных и страхового копирования
информационных ресурсов системы;
■ эффективным контролем за соблюдением требований по обеспечению НРВ
должностными лицами и ответственными;
■ постоянным поддержанием необходимого уровня защищённости
компонентов системы, непрерывным управлением и административной
поддержкой корректного применения средств защиты;
■ проведением постоянного анализа эффективности принятых мер и
применяемых способов и средств обеспечения НРВ, разработкой и
реализацией предложений по их совершенствованию.
Общие требования
Все пользователи, работа которых может быть нарушена в результате возникновения
угрожающей или серьёзной кризисной ситуации, должны немедленно оповещаться.
Дальнейшие действия по устранению причин нарушения работоспособности АС,
возобновлению обработки и восстановлению повреждённых (утраченных) ресурсов
определяются функциональными обязанностями персонала и пользователей системы.
Каждая кризисная ситуация должна анализироваться администрацией безопасности и по
результатам этого анализа должны вырабатываться предложения по изменению
полномочий пользователей, атрибутов доступа к ресурсам, созданию дополнительных
резервов, изменению конфигурации системы или параметров настройки средств защиты
и т.п.
Серьёзная и угрожающая кризисная ситуация могут требовать оперативной замены и
ремонта вышедшего из строя оборудования, а также восстановления повреждённых
программ и наборов данных из резервных копий.
Оперативное восстановление программ (используя эталонные копии) и данных
(используя страховые копии) в случае их уничтожения или порчи в серьёзной или
угрожающей кризисной ситуации обеспечивается резервным (страховым) копированием
и внешним (по отношению к основным компонентам системы) хранением копий.
Резервному копированию подлежат все программы и данные, обеспечивающие
работоспособность системы и выполнение ею своих задач (системное и прикладное
программное обеспечение, базы данных и другие наборы данных), а также архивы,
журналы транзакций, системные журналы и т.д.
Информзащита
У чеб н ы й ц е н т р
215
Информзащита
—^
216
Таблица 1
Наименование Где Вид резервного Ответственный за Где хранится Порядок
информационного размещается копирования резервное резервная копия использования
ресурса ресурс в (период копирование и (ответственный, резервной копии
системе возобновляемого порядок создания его телефон) (кто, в каких
копирования) резервной копии случаях)
(используемые
технические
средства)
Таблица 2
Наименование Где Вид резерва Ответственный за Порядок Где хранится
дублируемого размещается (групповой или готовность использования резервное
(резервируемого) данное индивидуальный, резервного (включения, средство
технического средство в холодный или средства(период настройки) (ответствен
средства системе горячий), время проверки резерва (для ' ный, его
готовности резерва работоспособ различных телефон)
ности резервного кризисных
средства) ситуаций)
Информзащита
У чебны м ц е н т р
217
J Информзащита
Уче&нмцентр
218
Информзащита
219
Информзащита
■ регламентация действий и контроль за администраторами баз данных,
серверов и сетевых устройств (за сотрудниками, обеспечивающими
правильность применения имеющихся в составе ОС, СУБД и т.п. средств
разграничения доступа и других средств защиты информации);
■ принятие мер при попытках НСД к информации и при нарушениях правил
функционирования системы защиты;
■ наблюдение за работой системы защиты и её элементов и организация
проверок надёжности их функционирования.
Организационно-правовой статус службы обеспечения безопасности информации
определяется следующим образом:
■ служба должна подчиняться тому лицу, которое несёт персональную
ответственность за соблюдение правил обращения с защищаемой
информацией;
■ сотрудники службы должны иметь право доступа во все помещения, где
установлены технические средства АС, и право требовать от руководства
подразделений прекращения автоматизированной обработки информации
при наличии непосредственной угрозы для защищаемой информации;
■ руководителю службы защиты должно быть предоставлено право запрещать
включение в число действующих новые элементы АС, если они не отвечают
требованиям защиты информации и это может привести к серьёзным
последствиям в случае реализации значимых угроз безопасности;
■ численность службы должна быть достаточной для выполнения всех
перечисленных выше функций;
■ штатный персонал службы не должен иметь других обязанностей, связанных
с функционированием АС;
■ сотрудникам службы должны обеспечиваться все условия, необходимые им
для выполнения своих функций.
Для решения задач, возложенных на подразделение обеспечения безопасности
информации, его сотрудники должны иметь следующие права
■ определять необходимость, разрабатывать представлять на согласование и
утверждение руководством нормативные и организационно
распорядительные документы, касающиеся вопросов обеспечения
безопасности информации, включая документы, регламентирующие
деятельность сотрудников других подразделений;
■ получать необходимую информацию от сотрудников других подразделений
по вопросам применения информационных технологий и эксплуатации АС,
в части касающейся обеспечения безопасности ИТ;
■ участвовать в проработке технических решений по вопросам обеспечения
безопасности ИТ при проектировании и разработке новых подсистем и
комплексов задач (задач);
■ участвовать в испытаниях разработанных подсистем и комплексов задач
(задач) по вопросам оценки качества реализации требований по
обеспечению безопасности ИТ;
■ контролировать деятельность сотрудников других подразделений
организации по вопросам обеспечения безопасности ИТ.
Естественно, все эти задачи не под силу одному человеку, особенно в крупной
организации (компании, банке и т.п.). Более того, в службу компьютерной безопасности
Информзащита
У чебны м
221
-
Информзащита
222
Информзащита
223
Информзащита
Раздел III.
Средства защиты информации от
несанкционированного доступа
Информзащита
УчябиыИ чви*р
225
и Информзащита
Учебным центр
226
Информзащита
У чебн ы м ц ен т р
227
Информзащита
228
Информзащита
У чебн ы м ц ен т р
229
Информзащита
У чеб н ы й ц е н т р
230
Информзащита
У чеб н ы й ц е н т р
231
Информзащита
232
Информзащита
233
Информзащита
234
Информзащита
235
| Информзащита
236
Информзащита
У чебн ы м ц е н т р
237
I Информзащита
—— У ч в б н ш центр
^ г 1
Edition), Windows Server 2003, Windows Vista, Windows Server 2008
(сертификат ФСТЭК России № 2145 от 30.06.2010 по 3-му классу для СВТ и
2-му уровню контроля отсутствия НДВ).
Основные функциональные возможности СЗИ «Страж NT» (версия 15):
• вход в систему пользователей только при предъявлении ими специального
идентификатора (дискеты, iButton или USB-ключа типа eToken и
GuardantID) и ввода пароля;
■ возможность идентификации пользователей без перезагрузки ОС при
использовании однотипных идентификаторов;
■ избирательное разграничение доступа пользователей к защищаемым
ресурсам (дискам, каталогам, файлам и др.);
■ разграничение доступа пользователей к информации различных уровней
конфиденциальности в соответствии с имеющимися у них допусками;
■ возможность изменения наименований меток конфиденциальности;
■ управление запуском и поддержка мандатного принципа контроля доступа
для DOS-приложений и консольных приложений Win32;
■ управление и настройка механизмов защиты как локально, так и удалённо;
■ упрощённая схема настройки программных средств для работы с
защищаемыми ресурсами, в том числе упрощённая настройка принтеров для
печати защищаемых документов;
■ регистрация широкого перечня событий безопасности, ведение
дополнительных журналов аудита;
■ создание замкнутой программной среды пользователя, позволяющей ему
запуск только разрешённых приложений;
■ контроль целостности защищаемых ресурсов, обеспечивающий защиту от
несанкционированного внесения изменений в программную среду
автоматизированной системы;
■ возможность гарантированной очистки содержимого всех файлов на
локальных жёстких дисках при их удалении;
■ регистрация выдаваемых на печать документов с их автоматической
маркировкой в соответствии с заданными требованиями;
■ возможность запуска хранителя экрана, блокировка рабочей станции при
удалении USB-ключа или при предъявлении iButton;
■ создание и удаление пользователей, удаление (добавление) их из (в)
групп(ы);
■ наличие средств тестирования работоспособности СЗИ, в том числе
возможность одновременного тестирования СЗИ на нескольких
компьютерах в сети;
■ возможность применения шаблонов настроек программных средств;
■ наличие встроенных в программу управления СЗИ сервисных функций по
настройке СЗИ.
Основные отличия СЗИ НСД «Страж NT» (версия 3.0) от предыдущих версий:
■ может устанавливаться как на автономных рабочих станциях, так и на
рабочих станциях в составе рабочей группы или домена, серверах, в том
числе в составе кластера;
Информзащита
У чебным центр
239
Информзащита
Учебным центр
■ доверенная загрузка ОС;
■ контроль целостности программ и данных, их защита от
несанкционированных модификаций:
■ создание индивидуальной для каждого пользователя изолированной рабочей
программной среды;
■ запрет запуска неразрешённых программ;
■ разграничение доступа пользователей к массивам данных и программам с
помощью дискреционного контроля доступа;
■ разграничение доступа пользователей и процессов к массивам данных с
помощью мандатного контроля доступа;
■ автоматическое ведение протокола регистрируемых событий в
энергонезависимой памяти аппаратной части комплекса.
Кроме того, следует отметить СЗИ НСД «Аккорд-Рубеж» v.1.5 (сертификат ФСТЭК
России № 1322 от 22.01.2007 по 4-му классу для СВТ), которая является совместной
разработкой ЗАО ОКБ САПР и ООО Фирма «ИнфоКрипт».
Комплекс СЗИ НСД «Аккорд-Рубеж» решает проблему защиты информации путём
создания программно-изолированной среды на рабочих станциях под управлением ОС
Windows 2000 и Windows ХР.
Для фиксации списка защищаемых объектов (информационных файлов и запускаемых
модулей) создается так называемый «белый список». Для того чтобы избежать
трудоемкой процедуры создания «белого списка», в комплексе «Аккорд-Рубеж»
реализован режим автоматического сбора статистики. Вместе с тем администратор
безопасности имеет возможность через консоль редактировать «белый список». После
сбора статистики комплекс переводится в основной «боевой режим», в котором
пользователь имеет право запускать приложения только из белого списка, целостность
которых проверяется динамически (при каждом запуске). Каждая попытка
несанкционированного доступа фиксируется в журнале.
При защите корпоративных АС комплексы «Аккорд-Рубеж» используются совместно с
комплексом «АккордСеть-NDS» (сертификат ФСТЭК России № 262/3 от 28.10.2005 по
4-му классу для СВТ).
Комплекс «АккордСеть-NDS» предназначен для защиты от несанкционированного
доступа информационных ресурсов корпоративных гетерогенных автоматизированных
систем и имеет следующие возможности:
■ решает проблему защиты гетерогенных АС, используя как свою
внутреннюю трёхзвенную архитектуру «клиент-приложения-данные», так и
службы единого каталога (например, Active Directory, Open LDAP и т.п.);
■ обеспечивает интеграцию средств защиты разнородных прикладных и
информационных компонентов гетерогенных АС и управление защитой всей
гетерогенной АС из единой консоли администратора информационной
безопасности АС;
■ обеспечивается поддержка обширного списка серверных сетевых ОС, таких
как ОС Windows, Linux, Sun Solaris, HP-UX, FreeBSD, NetWare.
ООО «Код Безопасности» /ГК «Информзащита»/ (Москва http://www.securitycode.ru/)
разрабатывает семейство программно-аппаратных и программных систем защиты
информации от несанкционированного доступа.
На сегодняшний день существует несколько сертифицированных версий СЗИ НСД среди
которых можно выделить:
Информзащита
241
Информзащита
У ч е б н а центр
(последовательные и параллельные порты, сменные, логические и
оптические диски, USB-порты))',
контроль подключения устройств на шинах USB, PCMCIA, IEEE 1394 по
типу и серийному номеру (права доступа на эти устройства задаются не
только для отдельных пользователей, но и для групп пользователей);
возможность запрета использования сетевых интерфейсов - Ethernet, 1394
FireWire, Bluetooth, IrDA, WiFi;
создание доверенной информационной среды;
запрет (с помощью средств аппаратной поддержки) загрузки ОС с внешних
съёмных носителей (в качестве аппаратной поддержки используется
программно-аппаратный комплекс «Соболь» или Secret Net Card. Плату
аппаратной поддержки невозможно обойти средствами BIOS: если в течение
определённого времени после включения питания на плату не было
передано управление, она блокирует работу всей системы);
создание замкнутой программной среды (для каждого пользователя
компьютера формируется определённый перечень программ, разрешённых
для запуска. Он может быть задан как индивидуально для каждого
пользователя, так и определён на уровне групп пользователей. Применение
этого режима позволяет исключить распространение вирусов, «червей» и
шпионского ПО, а также использования компьютера в качестве игровой
приставки);
контроль целостности (используется для слежения за неизменностью
контролируемых объектов с целью защиты их от модификации. Контроль
проводится в автоматическом режиме в соответствии с заданным
расписанием. Объектами контроля могут быть файлы, каталоги, элементы
системного реестра и секторы дисков. Каждый тип объектов имеет свой
набор контролируемых параметров. Так, файлы могут контролироваться на
целостность содержимого, прав доступа, атрибутов, а также на их
существование, т.е. на наличие файлов по заданному пути. При обнаружении
несоответствия предусмотрены следующие варианты реакции на
возникающие ситуации нарушения целостности: регистрация события в
журнале Secret Net, блокировка компьютера, восстановление
повреждённой/модифицированной информации, отклонение или принятие
изменений);
контроль аппаратной конфигурации компьютера (осуществляет
своевременное обнаружение изменений в аппаратной конфигурации
компьютера и реагирования на эти изменения. Предусмотрено два вида
реакций: регистрация события в журнале Secret Net, блокировка
компьютера);
функциональный самоконтроль подсистем (самоконтроль производится
перед входом пользователя в систему и предназначен для обеспечения
гарантии того, что к моменту завершения загрузки ОС все ключевые
компоненты Secret Net 6 загружены и функционируют);
защита информации в процессе хранения;
контроль печати конфиденциальной информации (при разрешённом выводе
конфиденциальной информации на печать документы автоматически
маркируются в соответствии с принятыми в организации стандартами. Факт
печати отображается в журнале защиты Secret Net 6);
243
JJ Информзащита
Рис. 3.20.1. Плата Secret Net Card
Информэащита
Учебным центр
245
Информзащита
246
К онтактны е Б есконтактны е
С Iэт и ч ес к и е с м а р т -к а р т ы и U S B - О б н о в л ен и е по
с м а р т -к а р т ы
врем ени
клю чи
Б есконтактны е
Д ина м ические О б н о в л е н и е по
с м а р т -к а р т ы Гибридны е см арт-
наж атию
карты
клавиш и
U S B -к л ю ч и
Б иом етри ческие и
U S B -клю чи
1B u tto n
С истем ы р азо вы х
паролей и USB-
кпю чи
Информзащита
У чебны м ц е н т р
247
Информзащита
пользователя протокола Kerberos V5 (RFC 4120) по сертификату и ключевому носителю
КриптоПро CSP 3.0 (смарт-карта, USB-токен) или КриптоПро CSP 3.6.
Открытые ключи и ЭП по ГОСТ Р 34.10-2001 используются для аутентификации и
авторизации пользователя домена Windows в соответствии с проектом документа IETF
(draft-ietf-smime-gost).
КриптоПро Winlogon построен на основе сертифицированного СКЗИ КриптоПро CSP
3.0. и входит в состав СКЗИ КриптоПро CSP 3.6.
В настоящее время наличие аппаратной поддержки отечественной сертифицированной
криптографии стало особо актуально в связи с различными государственными
программами по предоставлению различных услуг гражданам России через сеть
интернет.
В частности решения ведущих российских производителей смарт-карт и токенов
компании «Аладдин Р.Д.» и компании «Актив» востребованы на портале
государственных услуг России (Рис. 3.20.4).
Авторизация По паролю
eToken ГОСТ
eToken ГОСТ - это персональное средство формирования электронной подписи с
неизвлекаемым «закрытым» ключом. eToken ГОСТ (Рис. 3.20.5) предназначен для
разработчиков систем дистанционного банковского обслуживания, электронных торгов,
сдачи налоговой отчётности для встраивания в клиентскую часть, а также разработчикам
СКЗИ для обеспечения надёжной зашиты «закрытых» ключей и аппаратной реализации
электронной подписи.
eToken ГОСТ спроектирован в соответствии с требованиями ФСБ России к
шифровальным (криптографическим) средствам, предназначенным дня защиты
информации, не содержащей сведений, составляющих государственную тайну, по классу
КС !, КС2 и реализует следующие криптографические функции:
■ формирование и проверку электронной подписи для блоков данных,
передаваемых в электронный ключ согласно ГОСТ Р 34.10-2001;
■ вычисление значения хэш-функции блоков данных в соответствии с
ГОСТ Р 34.11-94;
Информзащита
249
Информзащита
250
Информзащита
Учебным и в к т р
251
Информзащита
252
Аутентификационный сервер
^ Хэш-функция и база данных аутентификации
JdL
Пользователь
(Ольга)
3:Х&. II
К
г 59252459 ] iiS
ттт.
ii
\ \ ____
e4rfvgy7
0042
59252459 59252459
Информзащита
253
Биометрическая аутентификация
Биометрия - это идентификация пользователя по уникальным, присущим только данному
пользователю, биологическим признакам. Такие системы являются самыми удобными, с
Информзащита
У ч е б н а центр
точки зрения самих пользователей, так как им не приходится ничего запоминать и такие
характеристики весьма сложно потерять. При биометрической идентификации в базе
данных хранится цифровой код, ассоциированный с определённым человеком. Сканер
или другое устройство, используемое для аутентификации, считывает определённый
биологический параметр. Далее он обрабатывается по определённым алгоритмам и
сравнивается с кодом.
К достоинствам биометрических сканеров обычно относят то, что они никак не зависят от
пользователя (например, можно ошибиться при вводе пароля) и никто не может передать
свой биологический идентификатор другому человеку, в отличие от пароля. Однако, как
показали проведённые в США исследования, биометрические сканеры, основанные на
отпечатках пальцев, довольно легко обмануть с помощью муляжа. Или ситуация с
отказом в доступе, осуществляемом на основании распознавания голоса, в случае если
человек простужен.
К биометрическим относятся различные методы. Все их можно разбить на две
подгруппы:
■ статические методы, которые основываются на физиологической
(статической) характеристике человека, то есть уникальном свойстве,
данном ему от рождения и неотъемлемом от него. К статическим относятся
форма ладони, отпечатки пальцев, радужная оболочка, сетчатка глаза, форма
лица, расположение вен на кисти руки и т. д.;
■ динамические методы, которые основываются на поведенческой
(динамической) характеристике человека — особенностях, характерных для
подсознательных движений в процессе воспроизведения какого-либо
действия (подписи, речи, динамики клавиатурного набора).
Распознавание по отпечаткам пальцев
Распознавание по отпечаткам пальцев - самый распространённый статический метод
биометрической идентификации, в основе которого лежит уникальность для каждого
человека рисунка папиллярных узоров на пальцах. Изображение отпечатка пальца,
полученное с помощью специального сканера, преобразуется в цифровой код (свёртку) и
сравнивается с ранее введённым шаблоном (эталоном) или набором шаблонов (в случае
аутентификации).
Среди ведущих производителей оборудования (сканеров отпечатков пальцев) можно
выделить:
■ BioLink (http://www.biolink.ru, http://www.biolinkusa.com);
■ Bioscrypt (http://www.bioscrypt.com);
■ DigitalPersona (http://www.digitalpersona.com);
■ Ethentica (http://www.ethentica.com);
■ Identix (http://www.identix.com);
■ Precise Biometrics (http://www.precisebiometrics.com);
■ Saflink (http://www.saflink.com).
Ведущие производители сенсоров (считывающих элементов для сканирующих
устройств):
■ Atmel (http://www.atmel.com, http://www.atmel-grenoble.com);
■ AuthenTec (http://www.authentec.com);
■ Veridicom (http://www.veridicom.com);
■ Fujitsu (http://www.iujitsu.com).
Информзащита
У чебны м ц е н т р
255
Информзащита
У чеб ньм центр
256
Информзащита
У ч в б и м * центр
257
Информзащита
У ч еб м ш центр
Рис. 3.20.11. Карт-ридер ASEDrive Ille Bio Combo F2
Информзащита
У чеб н ы м ц е н т р
259
Сервисы
Серверны е
приложения
Защита
информации
Forefront Управление
Q«nt Security учетным
«£ W indow s Vista
Identity l i fecycb
««Windows Manager •
* ш Windows
■ Ш Active Directory isentials
G u idance
Developer
Tools
Информзащита
^ Учйймыи ц ентр
260
СИСТЕМА СЕРТИФИКАЦИИ
СРЕДСТВ З А Щ И Т Ы И Н Ф О Р М А Ц И И
СЕР Т И Ф И К А Т СООТВЕТСТВИЯ
№ 1929
Выдан 21октябри 2009 г.
Действителен до 2? октября 20 ]2 г.
Рис. 3.21.2. Сертификат ФСТЭК России на Windows Server 2008 Enterprise Edition
Информзащита
— У чеб н ы й ц е н т р
261
\ Информзащита
У чеб н ы й ц е н т р
262
различные политики паролей для различных пользователей и групп (Рис. 3.21.3). Эта
технология называется «Подробные политики паролей» (Fine-Grained Password Policies).
Она позволяет создавать следующие настройки для разных групп пользователей в рамках
одного домена Active Directory (AD):
■ вести журнал паролей;
■ максимальный срок действия пароля;
■ минимальный срок действия пароля;
■ минимальная длина пароля;
■ пароль должен отвечать требованиям сложности;
■ хранить пароли, используя обратимое шифрование.
Информзащита
У чеб н ы м ц е н т р
263
РимсмйРексу
v S p e c o p s P a s s w o r d P o lic y ’'
г , .|Ш|.. т . m
[i?] Mnmunpasswordlength « |i?j Dealovtword*fromdidona^ j hk
15}Мняткжлpasswordlength ISO ^ Daafovtreverseddictionarywards
шО
Nmrtaer Ы requred ch aracter д г а ф reQurwnents
f^jmberofiwiembefedpasrwo-ds
S j Minimum oaaawcnj afle Mays)
Requiredalphacharade™
jjjfj fleaii'ed цзрв- case ch^adnr*
CbsaNowincrementalpaiawords
jiSr Reaured«wece« charadera . шл . _
Requirednonabhacharacter* ■3
J R e o i« d cbgia §jT: Маигтия password age <day*)
[>»ab*eaccou-itlockovi
■3
DaaSowparti &
■usernameInрампой j ignorethisрейсуonpasswordfeset
D*a8wcfey.asfortcharader•-рамword Reqiireuseftochangepaesw:ydonnet logon
Deatqwdig! asladdwadermpaeswonj E UNocklockedaccoj-tsaiiorneticaliyor TSd
EteaSo*consecutivejded'cal diafedef*
MB
■W dfawia, rrfwmidiontoenduser*et равалтхйchange
Cafl 112233for*u>po*t
Информзащита
264
Информзащита
265
Информзащита
Необходимо понять ещё одну вещь: уровни с одинаковым уровнем доверия не имеют
никаких ограничений по взаимному взаимодействию, по крайней мере, с точки зрения
механизма целостности. Например, все процессы, запущенные со средним уровнем
доверия, могут взаимодействовать и получать доступ к данным друг друга, если вы не
введёте каких-либо ограничений для них.
MIC предоставляет механизм управления доступом к объектам, подлежащим защите.
Этот механизм является дополнением к механизму управления доступом на уровне
пользователей и оценивает доступ с помощью уровней целостности перед проверками
прав доступа, которые выполняет список управления доступом на уровне пользователей
(DACL). Субъектам безопасности и объектам, подлежащим защите, назначаются уровни
целостности, которые определяют их уровень защиты или доступа. В качестве примера
можно привести Internet Explorer® 7, работающий в защищённом режиме Internet
Explorer.
UIPI - это механизм изоляции процессов, который обозначается в окнах сообщений
изображением щита Windows. Поскольку процесс не может отправлять сообщения в
объект с более высокой степенью целостности, UIPI предотвращает использование
повышения привилегий путём внедрения кода в различные процессы одного и того же
сеанса.
Применяемая по умолчанию политика целостности позволяет процессам открыть любой
объект - за исключением объектов-процессов и объектов-потоков - для чтения, если
DACL объекта предоставляет им такой доступ. Это означает, что процесс, работающий с
низким уровнем целостности integrity level (IL), может открыть любые файлы, доступные
для учётной записи пользователя, под которой он работает. С помощью IL-уровней
обозреватель Internet Explorer защищенного режима предотвращает блокировку
изменения параметров учётной записи пользователя вредоносной программой, но не
может помешать ей читать документы пользователя.
Объекты-процессы и объекты-потоки - исключения, поскольку их политика целостности
содержит также компонент «Нет чтения». Это означает, что уровень целостности (IL)
процесса должен быть равен или выше, чем уровень целостности (IL) процесса или
потока, который данному процессу необходимо открыть, a DACL должен предоставить
ему доступ требуемых типов. Ниже предполагается, что DACL-списки разрешают
необходимый доступ. На Рис. 3.21.5 показаны варианты доступа процессов, работающих
со средним и низким IL, к другим процессам и объектам.
Процессы Объекты
Высокий Высокий
Процесс со
средним IL
Процесс с
низким IL
Чтение
Запись
Информзащита
267
Информзащита
Служба управления правами Active Directory ОС Windows Server 2008 предназначена для
защиты доступа к цифровым файлам организации. Данная технология безопасности
работает с самыми различными приложениями и используется для защиты веб-данных,
документов и почтовых сообщений.
Служба управления правами Active Directory (AD RMS) - это независимая от формата и
приложений технология, которая предоставляет службы, позволяющие создавать
решения для защиты данных. AD RMS работает со всеми поддерживающими данную
технологию приложениями для обеспечения политик постоянного использования для
секретных данных. Служба AD RMS может использоваться для защиты веб-узлов
интрасети, почтовых сообщений и документов. С помощью набора базовых функций
AD RMS разработчики могут добавлять функции защиты данных в существующие
приложения. В AD RMS для ОС Windows Server 2008 включено несколько новых
функций, которые ранее были недоступны в службе управления правами (RMS) Microsoft
Windows. Новые функции позволяют снизить накладные расходы на администрирование
AD RMS и расширить использование службы за пределы организации.
Защита доступа к цифровым файлам организации с помощью AD RMS
Обеспечение конфиденциальности и защита цифровых файлов - это сложная задача.
Традиционные решения в организациях защищают начальный доступ, используя
комбинацию технологий безопасности, размещаемых на периметре, для защиты важных
данных. Например, для защиты доступа к сети используются межсетевые экраны, доступ
к размещаемым на сервере секретным файлам ограничивается списками управления
доступом (ACL), а конфиденциальные почтовые сообщения могут быть зашифрованы
при передаче для предотвращения их подделки. Однако это может привести к утечке
информации и доступу к данным несанкционированных пользователей.
Несмотря на всю важность, эти формы защиты данных имеют один общий недостаток.
После получения предусмотренного (или непредусмотренного) доступа к данным
пользователь получает полную свободу при выборе способа их использования. Например,
он может одним щелчком мыши переслать почтовые сообщения всем (иногда
непредусмотренным получателям) или сохранить их на мобильном компьютере либо
USB-накопителе. А вдруг портативные устройства украдут? Пользователь может
записать данные на компакт-диск для работы дома, а затем неаккуратно хранить его или
потерять. Это может быть сделано как случайно, так и предумышленно, и происходит
подобное слишком часто, а риски слишком велики.
Служба AD RMS для Windows Server 2008 помогает защитить информацию от
несанкционированного использования. Технология защиты данных AD RMS работает со
всеми поддерживающими эту технологию приложениями для защиты данных от
несанкционированного использования. Владельцы содержимого могут точно определить,
как получателю разрешается использовать информацию, - например, указать, кто может
её открывать, изменять, печатать, переадресовывать или выполнять с нею другие
действия. Организации могут создать собственные шаблоны прав использования, такие
как «Конфиденциально - только для чтения», применимые непосредственно к
информации, например, к финансовым отчётам, техническим характеристикам
продуктов, данным о заказчиках и почтовым сообщениям.
Схема работы AD RMS
Алгоритм схемы работы AD RMS представлен на Рис. 3.21.6.
Информзащита
Учебны й центр
269
Рис. 3.21.6. Схема работы Active Directory Rights Management Services (AD RMS)
Информзащита
Учебным ц ентр
270
Информзащита
271
Таблица 3.21.1
Особенность Software Restriction Policies AppLocker
Применение правил Все пользователи Определённые пользователи или
группы
Применение правил Файл-hash, путь, сертификат, раздел Файл-hash, путь, издатель
реестра, правила зоны интернет
Типы правил Разрешить/Запретить Разрешить/Запретить
Правило по умолчанию Разрешить/Запретить Разрешить
Режим аудита Нет Да
Группировка правил Нет Да
Мастер для создания правил Нет Да
Импорт/Экспорт политик Нет Да
Поддержка PowerShell Нет Да
Сообщения об ошибках Нет Да
Информзащита
Учебмъм ц ентр
272
Информзащита
273
Информзащита
от клиента инфраструктуре служб ACS. Служба пересылки передаёт данные второму
компоненту, службе сбора (ACS Collector), являющейся прослушивателем на стороне
сервера. Службы пересылки ACS подключаются через порт 51909 TCP для безопасного
сообщения с назначенной им службой сбора. Перед пересылкой данные журнала событий
нормализуются в XML, что значит избавление от лишней информации и сведение
информации о событии в размеченные поля, основанные на заголовке конкретного
события и информации в его теле. После того, как информация достигает службы сбора,
она отсылается третьему и последнему компоненту - базе данных служб ACS (ACS
Database). Она становится хранилищем для долговременного хранения информации о
событиях безопасности. Сохранённую информацию можно извлекать напрямую через
запросы SQL или визуализировать при помощи отчётов HTML, использующих службы
отчётов SQL Server®.
Store Run -
events reports
Administrators
auditors
Информзащита
У ч д б т II ц е н т р
275
Информзащита
УчеДмьм центр
- выбрать только те рабочие станции или только те события, которые в
данный момент представляют особенный интерес;
- оперативно изменять уровень детальности журнала;
- просматривать экран выбранной рабочей станции;
■ оперативное управление работой пользователей, в рамках которого он
может:
- посылать пользователю сообщения;
- обмениваться с пользователем файлами;
- редактировать базы данных как в подсистеме разграничения доступа на
рабочий станциях, так и в АМДЗ;
- включать пользователю Screensaver, который может быть разблокирован
только ТМ-идентификатором АБИ;
- управлять «мышью» и клавиатурой рабочих станций;
- перезагружать рабочие станции;
■ централизованный сбор журналов регистрации СЗИ НСД Аккорд, который
позволяет АБИ получать как журналы подсистемы разграничения доступа с
рабочих станций, так и журналы АМДЗ (с возможностью их очистки):
- с выбранных рабочих станций;
- без обхода рабочих станций;
- систематизировано по соответствующим каталогам с делением по датам
сбора;
■ изменение списка зарегистрированных рабочих станций и серверов и их
параметров.
Подробности технической реализации не сообщаются. Постоянный адрес страницы с
описанием: http://www.accord.ru/Produkt/CPO/cpo_set.shtml.
Задача защиты от несанкционированной модификации программ
и данных
Защита от несанкционированной модификации (контроль целостности) программ и
данных встроена во все сертифицированные ФСТЭК России СЗИ НСД - наличие
реализации данного защитного механизма входит в требования РД Гостехкомиссии
России.
Все сертифицированные программные СЗИ НСД позволяют проверять целостность ПО и
данных либо по событиям, либо по расписанию. Различия в том, что именно и как именно
проверяется.
Кроме того, начиная с Windows 2000 средства контроля целостности встроены
непосредственно в ОС. Впрочем, подсистема Windows File Protection проверяет
исключительно файлы ОС (перечень ЭП для файлов ОС, подписанных Microsoft,
хранится в составе системы), настроить её на проверку каких-либо других программ и
данных невозможно.
Средство защиты ресурсов Windows (Windows Resource Protection/WRP) предотвращает
замену важных системных файлов, папок и разделов реестра, установленных в качестве
частей операционных систем Windows Server 2008 и Windows Vista. Приложения не
должны перезаписывать эти ресурсы, поскольку они используются системой и другими
Информзащита
277
Информзащита
Учей**ыи ц е н т р
278
Информзащита
Учебным центр
279
Информзащита
■ контроль за действиями пользователей и локальных администраторов,
оперативное (централизованное) оповещение сервера безопасности о
текущем состоянии данных компьютеров и о попытках НСД;
■ передачу на сервер безопасности журналов регистрации событий для их
централизованного анализа, хранения, архивирования и т.п.
Сервер безопасности, кроме работы с клиентами (агентами), должен обеспечивать
взаимодействие со средствами централизованного управления и оперативного
контроля, размещаемыми на компьютерах администраторов безопасности —
сотрудников подразделений технической защиты информации.
Изменение различных составляющих управляющей информации производится по-
разному. Одна часть информации корректируется централизованно (в групповых
политиках) с рабочего места администратора, другая —децентрализовано (в локальной
политике безопасности) с соответствующих рабочих станций. В локальной политике
безопасности доступны для корректировки только те параметры, которые не заданы через
групповые политики. Для параметров СЗИ действуют все те же правила наследования,
что и для стандартных настроек, назначаемых через групповые политики.
Информзащита
У чеб м ы и ц е н т р
281
Раздел IV.
Обеспечение безопасности
компьютерных систем и сетей
Тем а 22: П робл ем ы обеспечения безопасности в
ком пью терны х систем ах и сетях.
Информзащита
282
Филиал
Внутренние
серверы
DMZ-1
Информзащита
283
Уровень персонала
Уровень приложений
Уровень СУБД
У ровень ОС
Уровень сети
Такой подход является более общим, чем семиуровневая сетевая модель и охватывает все
составляющие корпоративной сети, а не только сетевые протоколы.
К уровню сети относятся используемые сетевые протоколы (TCP/IP, NetBEUI, IPX/SPX),
каждый из которых имеет свои особенности, уязвимости и связанные с ними возможные
атаки. Этот уровень является основой всей информационной инфраструктуры.
К уровню операционных систем (ОС) относятся установленные на узлах
корпоративной сети операционные системы (Windows, UNIX и т. д.). На этом уровне
рассматриваются особенности реализации того или иного механизма (протокола,
службы) в различных ОС.
Уровень ОС - основа для функционирования различных приложений.
Информзащита
У- i r f t ia n ц ентр
284
Уровень персонала
Уровень СУБД
Уровень ОС
Уровень сети
Уязвимости и их классификация
Введение
Наряду с понятием угрозы очень часто, когда речь идёт о сетевой безопасности,
используются понятия уязвимость и атака.
Уязвимость —это любая характеристика или свойство информационной системы,
использование которой нарушителем может привести к реализации угрозы.
Атака —это любое действие нарушителя, которое приводит к реализации угрозы путём
использования уязвимостей информационной системы.
Взаимосвязь определений иллюстрирует следующий рисунок:
Информзащита
285
Атака, использующая
Уязвим о сть, приводящ ая к реализации
уязвимость - запуск
угрозы, - особенность технологии
сетевого анализатора «Ethernet» - общая среда передачи
CAN-1999-0619
Phase: Proposed (19990804)
Description:
The Telnet service is running.
Votes:
Информзащита
У чебмкм ц ентр
Это явный недостаток, заложенный на этапе проектирования. Решением в данном случае
может служить либо использование шифрования трафика на нижележащих уровнях, либо
отказ от использования протокола.
Некоторые уязвимости подобного рода трудно назвать недостатками, скорее это
особенности проектирования. Например, особенность технологии Ethernet - общая среда
передачи, приводящая к возможности прослушивания трафика.
Уязвимости реализации
Другая часть уязвимостей возникает на этапе реализации (программирования). К таким
уязвимостям относятся, например, ошибки реализации стека TCP/IP в различных ОС,
ошибки при написании приложений, приводящие к переполнению буфера и т.п.
Например, к этой категории относится уязвимость СУБД MSSQL Server, послужившая
причиной распространения червя Slammer.
MS:MS02-039
Уязвимости эксплуатации
CAN-2000-1209
Phase: Proposed(20020830)
Reference: BUGTRAQ:20000710 MSDE / Re: Default Password Database
Reference: XF:mssql-no-sapassword(1459)
Reference: URL:http://www.iss.net/security_center/static/1459.php
Информзащита
Учебным и ви тр
287
Description:
The "sa" account is installed with a default null password on (1) Microsoft SQL
Server 2000, (2) SQL Server 7.0, and (3) Data Engine (MSDE) 1.0, including
third party packages that use these products such as (4) Tumbleweed Secure
Mail (MMS) (5) Compaq Insight Manager, and (6) Visio 2000, are installed with
a default "sa" account with a null password, which allows remote attackers to
gain privileges, including worms such as Voyager Alpha Force and Spida.______
Информзащита
У чеб н ы й ц е н т р
288
экранов или иных средств защиты. Например, уязвимость Sendmail версии 8.6.5 делает
возможным выполнение команд операционной системы на почтовом сервере.
Средний уровень риска
Уязвимости, позволяющие атакующему получить информацию, которая с высокой
степенью вероятности позволит получить доступ к узлу. Сюда же относятся уязвимости,
приводящие к повышенному расходу ресурсов системы (так называемый «отказ в
обслуживании»).
Информзащита
289
Информзащита
290
Методика CERT
В некоторых случаях требуется более точная оценка уязвимости, выраженная численным
образом. Такая методика расчёта степени риска была предложена CERT. Методика,
используемая US-CERT [http://www.kb.cert.Org/vuls/html/fieldhelp#metric] предполагает
присвоение уязвимости степени риска в виде числового значения от 0 до 180 в
зависимости от следующих критериев:
■ Насколько доступна информации об уязвимости?
■ Зарегистрированы ли случаи использования уязвимости?
■ Подвержены ли уязвимости критичные для сети Интернет узлы?
■ Какое количество узлов сети уязвимо?
■ Каковы последствия использования уязвимости?
■ Насколько легко воспользоваться уязвимостью?
■ Каковы условия необходимые для использования уязвимости?
К сожалению, связь между условиями, их возможными значениями и результирующей
степенью риска формально не определена, что оставляет большой простор для
расхождений в оценках одной и той же уязвимости.
Информзащита
Учебным ц ентр
V
291
Информзащита
292
к
У чеб н ы й ц е н т р
293
методике анализа рисков без учета ценности ресурса. Этот параметр может присваиваться
уязвимости производителем системы при выпуске обновления.
При оценке характеристик уязвимости, изменяющихся во времени используются такие
параметры как возможность использования (Exploitability), наличие возможности
устранения уязвимости (Remediation Level) и достоверность информации об уязвимости
(Report Confidence). Возможность эксплуатации оценивается по наличию информации об
использовании уязвимости или соответствующих программ. Этот параметр может
принимать следующие значения:
■ Unproven: методов использования не описан или носит теоретический
характер.
■ Proof of Concept: существует код (или информация), доказывающая
возможность использования уязвимости, но его нельзя использовать для атак
без модификаций.
■ Functional: существует работоспособный эксплойт.
■ High: существует червь либо полностью автоматическая программа,
использующая уязвимость.
Возможность устранения уязвимости оценивается в зависимости от наличия
официального (Official Fix), временного (Temporary Fix) исправления, устраняющего
уязвимость. При наличии рекомендаций по снижению степени риска данный параметр
принимает значение Workaround
Уязвимость может носить статус неподтвержденной (Unconfirmed), быть
подтвержденной несколькими независимыми источниками (Uncorroborated) или
производителем (Confirmed). Статус Confirmed уязвимость может получить и в случае
отсутствия реакции вендора, например, при наличии работоспособного эксплойта.
Полученным значениям присваиваются веса в соответствии с приведенными ниже
правилами, которые затем используются в формуле для модификации базового значения
риска.
Информзащита
Учебммцентр
294
none: 0
low: 0.1
medium: 0.3
high: 0.5
Информзащита
У чебны м ц е н т р
295
Дата
2 7 .1 2 .2 0 0 5 2 0 :2 0 2 7 . 1 2 . 2 0 0 5 2 1 :3 4 2 9 .1 2 .2 0 0 5 0 5 .0 1 .2 0 0 6
Информзащита
ш У чебньм ц ентр
296
Информзащита
У чебн ы м ц ен т р
297
AJAtr**tiqto"члкт«&-л!лЫ**
C V E -2 0 0 5 -4 5 6 0 **“ fitera' mnrrtfm
/of»y»uc»«Jif lv.~-'ЛГАП
(under review )
T h is is a c a n d id a t e f o r in c lu s io n in th e C V E l i s t w h ic h s t a n d a r d iz e s n a m e s fo r s e c u r it y
p r o b le m s . It m u s t be r e v ie w e d a n d a c c e p t e d by th e C V E E d ito r ia l B o a r d b e fo r e it c a n b e a d d e d
in to C V E . T h e r e f o r e , th is c a n d id a t e m a y b e m o d if ie d o r e v e n r e je c t e d in t h e f u t u r e ,
Информзащита
298
T o p V u l n e r a b i l i t i e s in W in d o w s S y s t e m s
W l. W in d o w s S e rv ic e s
W 2, In te rn e t E xp lo rer
W 3. W in d o w s Libraries
W 4. M ic r o s o ft O ffic e an d O u tlo o k E xp re ss
W 5. W in d o w s C o n fig u ra tio n W e a k n e s s e s
T o p V u l n e r a b i l i t i e s in C r o s s - P la t f o r m
A p p lic a tio n s
C l, B a c ku p S o ftw a re
C2. A n ti- v ir u s S o ftw a re
C3, P H P -b a s e d A p p lic a tio n s
C4, D a ta b a s e S o ftw a re
C5. File S h a rin g A p p lic a tio n s
C6. DNS S o ftw a re
C7. M e dia P la y e rs
CS, In s ta n t M e ss a g in g A p p lic a tio n s
C9. M ozilla an d F ire fo x B ro w se rs
C IO . O th e r C ro s s -p la tfo rm A p p lic a tio n s
T o p V u l n e r a b i l i t i e s in U N I X S y s t e m s
U l. UNIX C o n fig u ra tio n W e a k n e s s e s
U2. M a c O S X
T o p V u l n e r a b i l i t i e s in N e t w o r k in g
P r o d u c ts
N1. C is c o IO S an d n o n -IO S P ro d u c ts
N2. Ju n ip e r, C h e c k p o in t an d S y m a n te c P ro d u c ts
N3, C is c o D e v ic e s C o n fig u ra tio n W e a k n e s s e s _____________________
Классификация атак
Что касается сетевых атак, то их тоже можно классифицировать по различным
критериям. Правда, здесь нет такой чёткой картины, как с уязвимостями.
Классификация атак по целям
Один из вариантов классификации сетевых атак - по целям:
■ нарушение нормального функционирования объекта атаки (например, вызов
ситуации отказа в обслуживании)
■ получение контроля над объектом атаки (установка серверной части
«троянского коня»)
■ получение конфиденциальной и критичной информации (перехват сетевого
трафика и поиск в нём имён и паролей, передаваемых в открытом виде)
■ модификация и фальсификация данных (например, изменение
информационного наполнения Web-cepeepa)
Классификация по местонахождению нарушителя
Следующий возможный вариант классификации атак - по местонахождению
нарушителя:
■ в одном сетевом сегменте с объектом атаки, в этом случае могут быть
затронуты все уровни сетевой модели, включая канальный.
■ в разных сегментах с объектом атаки, в этом случае вектор атаки
распространяется на сетевой уровень и выше.
Информзащита
Учебным центр
299
Маршрутизатор
Информзащита
У чеб н ьш ц е н т р
300
Примеры атак
Перехват паролей к почтовым ящикам
Краткое описание: Запуск сетевого анализатора на узле, подключенном к сетевому
сегменту, в котором используется общая среда передачи. Перехват трафика и поиск в нём
пакетов, содержащих пользовательские пароли, передаваемые по протоколу POP3.
Цель: Получение конфиденциальной и критичной информации
Информзащита
У чеб н ы м ц е н т р
N*
301
Поэтому чтение почты по протоколу POP3 в сегменте, где общей средой передачи
пользуются несколько узлов, может привести к тому, что пароль пользователя будет
известен нарушителю. Поскольку часто пароль к почтовому ящику и пароль для входа в
сеть (домен, Active Directory) совпадают, нарушитель получает полный контроль над
учётной записью данного пользователя.
Определение операционной системы узла
Краткое описание: Использование утилиты Nmap для определения операционной
системы узла (использование механизма опроса стека TCP/IP).
Цель: Получение критичной информации.
Механизм реализации: Подозрительная активность
2 Более подробно методы определения ОС удалённого узла рассматриваются в курсе КП20 «Анализ защищённости
сетей».
Информзащита
Атака SynFlood
Краткое описание: Посылка большого числа запросов на установление ТСР-соединения
с узлом. При этом адрес источника задаётся случайным образом.
Цель: Нарушение нормального функционирования объекта атаки
Механизм реализации: Бесполезное расходование вычислительного ресурса
Используемые уязвим ости: Особенности схемы установления соединения по протоколу
TCP.
Подробное описание: В случае получения запроса на соединение система отвечает на
пришедший SYN-пакет SYN/ACK-пакетом, переводит сессию в состояние
SYN RECEIVED и заносит ее в очередь незавершённых соединений. Если в течении
заданного времени от клиента не придет АСК (третий пакет в схеме установления
соединения), соединение удаляется из очереди, в противном случае соединение
переводится в состояние ESTABLISHED (установлено).
Информзащита
У чебны м ц е н т р
303
Сервер
19 2 16 8 3 2 10 1
ави>
1 9 2 1 6 8 .3 2 1 0 2 ,
SVN
-gflttftCK,
»
о
е
192.168.32.105
1—SVW Очередь
незаверш ённых
соединений
(backlog queue)
S Y N _ R E C E IV E D 192.168.32.101
S Y N _ R E C E IV E D 192.168.32.102
S Y N _ R E C E IV E D 192.168.32.103
■ ■ ■
SYN_RECEIVED 192.168.32.105
| I Информзащита
304
Атака «ARP-Spoofing»
Краткое описание: Нарушение соответствия между IP-адресами и MAC-адресами путём
добавления ложных записей в ARP-таблицу. Это позволяет прослушивать трафик в
коммутируемых сетях.
Цель: Получение конфиденциальной и критичной информации
223.1.2.1 16 31
Нарушитель
Информзащита
305
}
int main (int argc, char *argv[])
{
char big[l 024];
gets(big); // ввод строки
test(big); // вызов уязвимой функции
return 0;
}
Для проверки (в среде Windows 2000, например) достаточно посмотреть файл
«DrWatsonlog» и найти в нём содержимое стека.
Ошибка обработки WMF-файлов (CVE-2005-4560)
В качестве примера атаки, результатом которой является выполнение произвольного кода
на узле - объекте атаки, можно привести использование крупнейшей в истории Windows
уязвимости —ошибки обработки WMF-файлов. Уязвимость присутствует в одной из
функций библиотеки GDI32.DLL, относится к категории ошибок проектирования и
приводит к запуску произвольного кода на узле - объекте атаки в процессе обработки
специальным образом построенного WMF-файла.
W MF-файл
л п
Д .
GDI32.DLL
О
Выводы
Итак, выше были рассмотрены уязвимости с вариантами их классификации и механизмы
реализации атак. Поскольку атака - это следствие наличия уязвимости, очень важным
моментом в защите сетей является процесс поиска и устранения уязвимостей. Уязвимости
проектирования в большинстве случаев не могут быть устранены напрямую, можно лишь
косвенно снизить их влияние. Уязвимости реализации устраняются путём получения и
установки соответствующих исправлений. И, наконец, устранение уязвимостей
обслуживания - это правильная настройка защитных механизмов.
Статистику использования уязвимостей можно найти по адресу: http://isc.incidents.org/
Информзащита
У ч е б н ы ! центр
Средства защиты сетей
При размещении в сети средств защиты удобно применять то разбиение на уровни,
которое было предложено выше (уровень сети, уровень узла)
Для защиты корпоративной сети необходимо использовать комплекс средств
безопасности, реализующий основные защитные механизмы и состоящий из следующих
компонентов:
■ Средства защиты периметра (межсетевые экраны, VPN-шлюзы,
антивирусные средства сетевого уровня), являющиеся первой линией
обороны и реализующие комплекс защитных механизмов, называемый
защитой периметра. Эта группа средств работает на уровне сети.
■ Средства, реализующие стандартные защитные механизмы (идентификация,
аутентификация, разграничение доступа и т. д.). Фактически, имеется ввиду
использование тех защитных механизмов, которые встроены в
операционные системы, СУБД, приложения. Эти средства используются как
на уровне сети, так и на уровне узла.
■ Средства анализа защищённости, позволяющие оценивать эффективность
работы имеющихся средств защиты и выявлять уязвимости узлов,
протоколов, служб. Эти средства также используются на уровнях сети и
узла.
■ Антивирусные средства уровня узла
■ Средства обнаружения атак, осуществляющие непрерывный мониторинг
сетевых сегментов и отдельных узлов в реальном режиме времени.
Далее рассматриваются примеры средств, относящихся к каждой из упомянутых
категорий.
Информзащита
У чебны м ц е н т р
307
ФИ1
| Информзащита
■ Защита от СПАМа
■ Контроль беспроводных устройств
МЭ - основные сведения
Механизмы защиты, реализуемые МЭ
Межсетевой экран (МЭ) —это специализированное программное или аппаратное (или
программно-аппаратное) средство, позволяющее разделить сеть на две или более частей и
реализовать набор правил, определяющих условия прохождения сетевых пакетов из
одной части в другую.
МЭ, установленные в точках соединения с сетью Интернет, обеспечивают защиту
внешнего периметра сети предприятия и защиту собственных Intemet-cepBepoB, открытых
для общего пользования (расположенных в DMZ), от несанкционированного доступа.
Вот основные механизмы защиты, реализуемые МЭ:
■ Фильтрация сетевого трафика
■ Трансляция адресов
■ Шифрование (создание VPN)
Кроме того, МЭ могут обеспечивать и дополнительные механизмы защиты, например:
■ Аутентификация (дополнительная)
■ Противодействие некоторым сетевым атакам (наиболее распространённым)
Основная функция МЭ - фильтрация сетевого трафика. Она может осуществляться на
любом уровне модели OSI. В качестве критериев может выступать информация с разных
уровней: адреса отправителя/получателя, номера портов, содержимое поля данных.
Фильтрация сетевого трафика
Это основная функция МЭ. В самом общем понимании фильтрация —это проверка
сетевого трафика на соответствие каким-либо критериям. Это может быть определённое
сочетание флагов в заголовке TCP-пакета или адрес отправителя IP-датаграммы. Могут
использоваться и более сложные критерии, например, размер файла, передаваемого по
FTP или содержимое почтового сообщения.
Информзащита
У чеб н ы й Мвитр
309
Критерии ф ильтрации
IP-адрес отправителя
IP-адрес получателя
TCP/UDP-порт отправителя
TCP/UDP-порт получателя
Другие критерии
Правила ф ил
С егм ент 1
Сегмент 2
Фильтрация трафика может бьггь выполнена на разных уровнях сетевой модели OSL, т. е.
с использованием критериев разных уровней. Рассматриваемые далее типы МЭ
отличаются друг от друга именно тем, как они выполняют фильтрацию трафика.
Трансляция адресов
Трансляция адресов - ещё один важный защитный механизм, реализуемый МЭ.
Трансляция адресов - это замена в заголовке IP-пакета адреса отправителя или
получателя при прохождении пакета через МЭ. При этом часто требуется заменять
информацию не только сетевого, но и транспортного уровня (номера портов). Кроме того,
для корректной работы некоторых служб прикладного уровня требуется заменять и
содержимое поля данных.
Существует несколько разновидностей трансляции3, две из которых наиболее
распространены:
Статическая (двунаправленная);
Динамическая (трансляция адресов-портов).
При использовании статической трансляции устанавливается взаимно однозначное
соответствие между внутренним адресом ресурса и его внешним адресом. Это
соответствие не меняется всё время работы устройства, выполняющего трансляцию.
Обычно такой способ используется для обеспечения доступа снаружи к внутренним
узлам, имеющим произвольные (незарегистрированные) адреса.
Более подробно трансляция адресов рассматривается в курсе «Применение межсетевых экранов для защиты
корпоративных сетей» (код курса БТ06).
Информзащита
310
193.233.69.129
S o u rc e A d d re s s = 1 9 4 .1 00 50 3 .1 1 0 S o u rce A d d r e E 8 = 1 92.168.0.110
Внутренняя сеть
193.233.69.129
D e s tin a tio n A ddress=1 93.233.69.129 80 D e s tin a tio n A ddress=1 93 .23 3 .69 .12 9 80
194.100.203.1 192.168.0.110
192.168.0.111
Внутренняя сеть
Информзащита
У ч с б ш » ц ен тр
311
Незашифрованный
трафик
I Информзащита
312
Информзащита
as У чебны м ц е н т р
313
Информзащита
У чеб н ы й ц е н т р
314
i
Цепочка Цепочка
«Forward» «Output»
Решение о
маршрутизации forward Решение о
маршрутизации
1/
Цепочка
xPrerouting»
1
i Цепочка
«Postrouting»
Информзащита
У чебн ы м и л м гр
315
Информзащита
Учебны й центр
316
Протокол
Узел- Узел-
№ Действие Порт Порт Флаги T C P Комментарий
источник получатель
Опции IP
1 Разрешить 200.1.1.0/24
1024 * 53 U DP
-6 5 5 3 5
2 Разрешить * 53 200.1.1.0/24
1024-
UDP
«5535
..................................... -
Internet ■
Сеть 200.1.1.0/24
r ' /h 'k
Информзащита
У чвймым ц е н т р
317
* 1024 TCP
2 Разрешить 25 200.1.1.0/24
-65535 АСК=1
При этом соединения разрешены только изнутри, но прохождение ответов с 25-го порта
(с любого внешнего узла) разрешено, даже если не было запроса. Таким образом,
нарушитель может посылать большое количество ответов, создавая тем самым ситуацию
бесполезного расходования вычислительных ресурсов.
1
1024
Разрешить 200.1.1.0/24 -65535 * 25 TCP
* 1024 TCP
2 Разрешить 25 200.1.1.0/24
-65535 АСК=1
Информзащита
У чебны * ц е н т р
318
- ''И
Информзащита
У чеб н ы м ц ен т р
319
С ервер
К л и е н тска я ча сть
п р и кл а д н о й с л у ж б ы
Информзащита
Учебны й ц ентр
320
Пакет перехватывается на
сетевом уровне
О
Специальный модуль
анализирует информацию
со всех уровней
Inspection Module О
Инф ормация сохраняется
Канальный уровень и используется для
анализа последующих
пакетов
Информзащита
У чеб н ы м ц е н т р
сбор информации из пакетов данных, как коммуникационного, так и прикладного уровня,
что достигается сохранением и накоплением ее в специальных контекстных таблицах,
которые динамически обновляются. Такой подход обеспечивает максимально возможный
уровень безопасности, контролируя соединения на уровнях от 3 до 7 сетевой модели OSI,
тогда как proxy посредники могут контролировать соединения только на 5 - 7 уровнях.
Обработка нового соединения при этом осуществляется следующим образом:
После того как соединение занесено в таблицу, обработка последующих пакетов этого
соединения происходит на основе анализа таблиц.
Метод stateful inspection обеспечивает контроль не только на уровне соединения, но и на
прикладном уровне.
Информзащита
322
Варианты расположения МЭ
Вопрос размещения МЭ в корпоративной сети рассматривается с учетом конкретных
особенностей уже имеющихся средств защиты, целей подключения и т. д. Однако можно
выделить несколько общих схем, приемлемых для большинства конфигураций.
Простейшая схема подключения 1 приведена на Рис. 4.23.2 Внутренняя сеть отделена от
внешней маршрутизатором с фильтрацией пакетов. Разумеется, этого недостаточно для
организации полноценной защиты.
В схеме 2 (Рис. 4.23.3) дополнительно используется МЭ 2-го или 3-го типа (посредник)
или 4-го типа (Stateful Inspection). Это, вероятно, одна из самых популярных схем
подключения МЭ.
Информзащита
323
Это может быть и система анализа содержимого (МЭ 5-го типа) как на Рис 4.23.5
Информзащита
y-i^fSin 1 ц ентр
■ Серверов Web, SMTP, DNS и других, требующих доступа снаружи.
Существует два способа организации демилитаризованной зоны:
■ Граничная сеть (рассмотренная в схемах выше)
■ Тупиковая сеть (Рис. 4.23.6)
Второй вариант (тупиковая сеть) предполагает использование отдельного сетевого
интерфейса МЭ для организации демилитаризованной зоны. По соображениям
производительности первый вариант (граничная сеть) предпочтительнее.
internet
Информзащита
325
НО КйГ. A ■a •*
№*»
j SI К li I 5martDef e n se , -. j i X
SB Security - Standard A ddress Translation - Standard | @ Manager | ’ □ Desktop Security - Standard j
SOURCE DESTINATION IF V IA SERVICE ACTION
1
Q w s -a d m in У Н fw -m a tn * Any Д t w l- a d m in ф a cce p t - None
г
в * Any Щ fw -m a in * Any ★ Any ® d rop - None
I S ssh
в Ж } r-ad m in in te rn a l-syste m s * Any Ф a cce p t - None
гг .........
in terna l-n e t * A ny •k A n y ф accept - None
-
в "4** d m z ■V" in terna l-n e t * Any * A ny @ 1 drop to n e
<
I Name I IP I Behind NAT i '^ r s to n
For Help, press F I 2 0 0 .1 ,1 .4 IReattyWrite
Информзащита
У чебмьм центр
326
И последнее (9-е) правило запрещает весь остальной трафик (для МЭ Check Point
Firewall-1 оно излишне, поскольку запрет работает неявно, но здесь это сделано с целью
записи в журнал фактов срабатывания этого правила).
Недостатки МЭ
Общий обзор
МЭ позволяют эффективно реализовать политику безопасности, касающуюся вопросов
обмена информацией с «чужими» сетями (например, с внешним миром). Однако, наряду
с очевидными достоинствами, МЭ имеют ряд ограничений:
■ МЭ обеспечивают безопасность только тех соединений, которые
установлены непосредственно через них. Это означает, что применение МЭ
будет эффективным только тогда, когда периметр контролируется
полностью. МЭ не контролируют соединения, установленные в обход
средств защиты периметра, например, с использованием модемов. Кроме
того, МЭ не контролируют внутренние соединения, т. е. подключения со
стороны внутренних пользователей к внутренним ресурсам.
■ МЭ могут содержать ошибки:
- В программном обеспечении (ошибки реализации).
- Допущенные при конфигурировании правил МЭ (ошибки обслуживания)
■ МЭ не способны обнаружить запрещённый трафик, передаваемый поверх
разрешённого протокола (эта проблема частично решается с помощью
средств анализа содержимого). Как известно, механизм передачи трафика
заданного типа поверх (внутри) другого называется туннелированием. Далее
этот механизм рассматривается подробнее.
Туннелирование
Многоуровневая архитектура стека протоколов TCP ЯР делает возможной передачу
трафика какого-либо типа поверх другого. Например, прикладные службы могут
использовать в качестве протокола транспортного уровня TCP или UDP. В стандартных
реализациях стека TCP/IP можно выделить четыре уровня.
Однако теоретически можно добавить ещё один уровень (над прикладными службами) и
передавать произвольный трафик (как правило, это также трафик какой-либо прикладной
службы) поверх прикладного.
Информзащита
У чеб н ы м ц е н т р
327
■
Г -Л
IP IP
Взаимодействие со Взаимодействие со
средой передачи средой передачи
Информзащита
У ч е б т.ч центр
328
■ I
-А
Приложение
Стек TCP/IP
Разрешённый
трафик
Информзащита
У чебн ы м 1*емтр
329
internet
1Т
^
Информзащита
У ч я б н ш центр
N
Итак, использование «HoneyNet» даёт возможность получить информацию о противнике,
изучить аспекты его поведения и сделать соответствующие выводы, относящиеся уже к
реальной сети предприятия.
Информзащита
У чвбньы ц ен тр
331
Введение
Выше рассматривались три основных типа МЭ (пакетные фильтры, шлюзы сеансового и
прикладного уровней), а также МЭ с технологией «stateful inspection». Однако для
фильтрации трафика служб прикладного уровня возможностей МЭ указанных типов
может оказаться недостаточно. Особенно это касается контроля электронной почты и
HTTP-трафика. Сложность задачи заключается в том, что для осуществления такого
контроля недостаточно анализа заголовков указанных протоколов прикладного уровня.
Здесь потребуется просмотр передаваемых данных, которые могут быть переданы в
нескольких пакетах, иметь различные форматы и т. д.
Постановка задачи
Задача анализа содержимого сводится к просмотру передаваемой информации
следующего характера:
■ Содержимое электронной почты (в т. ч. прикреплённые файлы)
■ Содержимое НТТР-трафика
■ Передаваемые файлы (например, по протоколу FTP)
Разумеется, задача должна решаться средствами защиты периметра, т. е. МЭ.
Электронная почта
Вероятно, наиболее важная задача в области анализа содержимого - это задача анализа
содержимого сообщений электронной почты.
Почтовый
сервер
in t e r n e t
Рабочие станции
Проверка содержимого
Информзащита
У чебмм* центр
332
HTTP - трафик
Контроль использования WEB не менее важен, чем контроль электронной почты.
С HTTP - трафиком связаны следующие угрозы:
■ «Опасное» содержимое —мобильный код, вирусы
■ Пересылка информации через Web-интерфейс
■ Использование Web в личных целях
■ Загрузка материалов недопустимого характера (нелицензионное
программное обеспечение, порнография и т. д.)
Следовательно, критерии фильтрации в данном случае:
■ Параметры загружаемых файлов (имя, тип, размер)
■ Наличие вирусов
■ Содержимое загружаемых файлов
■ URL
■ Почта с Web-интерфейсом
■ Разрешённые часы работы
■ Направление загрузки файлов
Варианты решений задачи анализа содержимого
Задача анализа содержимого может быть решена с помощью МЭ и антивирусного
программного обеспечения. При этом возможны два подхода:
Информзащита
333
П очтовы й
сервер
м э
Роутер
ф
in te r n e t — Сеть
К -
■\
>
Р аб о ч и е с т а н ц и и
Проверка содержимого:
Поле to:
Поле from:
Информзащита
У ч в Ь н ь * ц ентр
О Д
334
■ Антивирусная система
П очтовы й
сервер
in t e r n e t
Роутер
—
, ^
I 0 С еть
Ж.
t
Рабочие станции
Сервер
Протокол контроля
взаимодействия со держ им о го
(C V P, UFP)
Информзащита
XT ^
Рабочие с т а н ц и и
Почтовый сервер (п оч товы е к ли ен ты )
Система анализа
содержимого
J Почтовый сервер
Рабочие ста н ц и и
(почтовы е клиенты )
Система анализа
содержимого
Информзащита
Ещё один вариант системы анализа содержимого - специализированная система для
определённой модели почтового сервера. В этом случае на почтовый сервер
устанавливается специализированный модуль, который передаёт требующие анализа
почтовые послания модулю анализа содержимого.
Почтовый сервер
I
Модуль
анализа
содержимого
Специализированный
модуль,
интегрируемый с
почтовой системой
Информзащита
У чебн ы м ц е н т р
337
Мобильные пользователи
I Информзащита
У ч е б н а цвмтр
^Г1
338
При выборе средств дня построения VPN прежде всего необходимо обращать внимание
на следующие вопросы: какой протокол туннелирования поддерживает
криптографический модуль (межсетевой экран, криптошлюз и т.п.), какие
криптографические алгоритмы используются для шифрования, применение механизмов
сжатия туннелируемых данных, способность системы работать с отдельным удаленным
пользователем.
Виды виртуальных частных сетей
Существует несколько способов классификации виртуальных частных сетей. Наиболее
распространённый - по решаемым при помощи VPN задачам. Согласно этому критерию
выделяют три основных вида виртуальных частных сетей:
■ вн утри к орп орати вн ы е V PN (Intranet V PN ) для организации связей между
филиалами одной организации;
■ V PN с удаленны м доступ ом (R em ote A ccess V PN ) для организации доступа
к корпоративной сети мобильных сотрудников;
■ м еж корпоративны е V PN (E xtranet V PN ) для организации связей с
партнёрами и клиентами.
Кроме того, следует рассмотреть и возможные топологии VPN:
• Смешанная (Mesh)
• Звезда (Star)
Смешанная топология показана далее:
Информзащита
У чеб н ы м ц е н т р
О Д
339
Информзащита
обеспечивать минимальное увеличение объема передаваемой информации, чтобы не
уменьшать пропускную способность канала связи.
Для иллюстрации данного тезиса рассмотрим типовое решение для VPN, построенное на
открытом стандарте IPSec, который реализован во всех зарубежных и в ряде
отечественных VPN-продуктах. Обычно пропускная способность такого устройства
составляет 10-40 Мбит/с. Логично было бы предположить, что на канале 256 Кбит/с
замедления просто не будет, так как скорость устройства на два порядка выше. Но
особенностью реализации IPSec является добавление 70-120 байт (в зависимости от
длины ключа) к каждому передаваемому пакету. При длине передаваемого пакета 1500
байт замедление уже составляет 5-8%. Но многие прикладные системы передают
информацию значительно более короткими «порциями». Например, в платежных
системах банков стандартный размер пакета не превышает 100 байт. В этом случае
замедление составит 70-120%. То есть высокоскоростное устройство более чем в два раза
снижает пропускную способность низкоскоростного канала. Кроме увеличения размера
передаваемых пакетов IPSec в начале процесса установления каждого TCP соединения
предусматривает дополнительный обмен между взаимодействующими сторонами, что
еще больше снижает реальную пропускную способность канала.
Выходом из данной ситуации является применение продуктов, изначально
спроектированных с учетом этих особенностей.
НИП «ИНФОРМЗАЩИТА» на основании утвержденного ФАПСИ тактико-технического
задания разработало программно-аппаратный шифратор IP - протокола (криптошлюз)
«Континент-К». Отличительные особенности этого криптошлюза состоят в том, что он
реализует защиту данных по алгоритму ГОСТ 28147-89, увеличивает размер
передаваемых пакетов всего на 24-36 байтов, не требует дополнительного
взаимодействия сторон при установлении каждого логического соединения и позволяет
сжимать передаваемые данные. Для приведенного выше примера замедление при
передаче данных с использованием комплексов «Континент-К» составило бы 1,6% и
24% для пакетов с длиной 1500 и 100 байт соответственно без сжатия информации. При
передаче частично сжимаемых данных (до 50%) пропускная способность канала не
только не уменьшается, а увеличивается (в среднем) на 38% и 12% соответственно.
Формат пакета представлен на Рис. 4.25.7.
Информзащита
Уч«йиым цлитр
341
Заголовки I
И сходны й пакет Заголовок
верхних Данные
IP уровней
Пакет после
преобразования
Новый
IP-заголовок
С лужебный
з а го л о в о к Н> |
Заголовок!
ULP+ данные
Аутентифицировано
| Информзащита
- —" У ч е б н а центр
342
Информзащита
343
Первая линия обороны - фильтрация трафика. Она позволяет отсечь лишний трафик, не
требующийся клиенту для работы. Например, можно блокировать весь входящий трафик,
за исключением того, который требуется для функционирования ПО VPN-клиента.
В разрешённом трафике (как входящем, так и исходящем) необходимо искать признаки
атак, при их обнаружении трафик можно блокировать. Это вторая линия обороны.
Наконец, для успешных атак, не обнаруженных системой противодействия атакам,
предусмотрена третья линия обороны —блокировка попыток использования техники
переполнения буфера, обычно сопутствующей ряду сетевых атак.
Защита клиента на прикладном уровне включает в себя:
■ Наличие антивируса
■ Контроль используемых приложений
■ «Поведенческий» анализ
Атаки на VPN-шлюзы
Атаки на VPN шлюзы можно поделить на три группы:
■ Сбор информации о VPN-шлюзе (программное обеспечение, версия,
конфигурация, поддерживаемые протоколы, открытые порты и т. п.)
■ Бесполезное расходование вычислительного ресурса
■ Атаки с использованием уязвимостей
Защита сервера VPN может быть осуществлена установкой системы обнаружения атак,
кроме того, необходимо регулярно обновлять ПО сервера VPN.
Атаки на VPN-трафик
Конечно, значительная часть трафика VPN зашифрована. Тем не менее, некоторые
данные, в частности, служебные, используемые на этапе согласования, не шифруются.
Насколько они критичны? В частности, имя пользователя передаётся в открытом виде,
что позволяет использовать его для подбора пароля.
Информзащита
У ч еб н м к ц е т р
344
Информзащита
345
Система анализа
защищенности
Такой сканер устанавливается на выделенный для этой цели узел и может параллельно
сканировать несколько узлов сети, осуществлять сбор информации о сети и т. д. Этот
вариант классификации сканеров безопасности можно назвать основным, поскольку
деление сканеров на сетевые и системные широко распространено.
Классификация сканеров по назначению
Ещё один вариант классификации сканеров - по их назначению. Здесь опять возникают
две категории:
■ Сканеры общего характера
■ Специализированные сканеры
Информзащита
□ Г~ Vulnerabilities (8)
I- Denial of S e rv ice (23
□ j- Daem ons (1)
_
□ I- Email (1)
Г ф LotusDominoSmtpBo
I- Standard (6)
В - I- W eb S can (6)
Г” Ш LotusDom inoDirectoryTraversal
I V LotusDom inoOpenServer
Г Ы LotusD om inoReplicaidAccess
Г ’ЧР' LotusDom inoVersionBanner
|~ V LotusD om inoW ebAccess
I- u . LotusHttpObtainlnformation
Беглого взгляда достаточно, чтобы понять, что они носят чересчур общий характер. В то
же время, их количество и набор достаточно типичны для сетевого сканера.
Ещё пример. Система управления предприятием SAP R73. Для неё практически нет
проверок ни в одном из сетевых сканеров безопасности. В то же время так называемый
“check list” в самом простейшем случае содержит 47 пунктов.
Разумеется, разработчикам сетевых сканеров безопасности нет смысла встраивать
детальные проверки для одного (двух) приложений. Зачем потребителю платать за
неиспользуемый функционал? С другой стороны, если перед администратором или
аудитором стоит задача оценки защищённости определённого приложения, могут помочь
специализированные сканеры безопасности. Вот перечень приложений, при анализе
защищённости которых могут потребоваться специализированные сканеры:
■ Web-приложения
■ СУБД и приложения, их использующие
■ Системы электронного документооборота (например, Lotus Domino)
■ Системы управления предприятием, так называемые ERP-системы
(например, SAP R/3, Oracle Applications)
Можно возразить, что приложения такого рода содержат типовые компоненты, и, в
принципе, для оценки их защищённости можно использовать чёткую методологию и
несколько обычных сканеров безопасности общего характера. И всё же, если приложение
широко распространено, методология анализа его безопасности сформировалась, почему
бы не использовать для оценки его защищённости специализированные инструменты.
Информзащита
347
J Информзащита
У ч а Ь ь а центр
348
4 В некоторых случаях получение результатов вообще невозможно, например, нет доступа к ресурсу ADMINS - нет
результата проверки.
I Информзащита
У чебн ы м ц е н т р
349
При этом часть проверок второй категории может приводить к выведению из строя
тестируемой службы или узла.
Проверка (Check)
п.
II Информзащита
J
N1
Session Properties - ;>ession2 JPj X]
Path to CGIs
j/cgi-bin
ок Cancel
В Internet Scanner для выявления одной и той же уязвимости может быть предусмотрено
две разных проверки, одна с реализацией атаки, другая - по косвенным признакам.
Например, проверка WinMs04011 (наличие обновления MS04-011) работает по
косвенным признакам.
Информзащита
Учебным ц литр
351
5
Согласно [2], для проведения такого тестирования рекомендуется использовать два сканера безопасности.
Информзащита
352
-Я
Консоль
QJ Информзащита
353
Информзащита
У *тЫш м ц *»л р
354
Введение
Среди перечисленных выше механизмов защиты имеются два, направленных на
выявление случаев удачных и неудачных попыток нарушений безопасности, т. е.
относящихся к категории "детективных" (позволяющих как можно более оперативно
зафиксировать факт атаки). Это:
■ Регистрация и оперативное оповещение о событиях безопасности
■ Обнаружение атак
И в том и другом случае накапливается информация о событиях безопасности, анализ
которой позволяет выявить факты совершения нарушений, характер воздействий на
систему, определить, как далеко зашло нарушение, подсказать метод его расследования и
способы поиска нарушителя и исправления ситуации.
Далее речь пойдёт о подходах к построению системы централизованного мониторинга
событий безопасности и о технологии обнаружения атак.
Введение в управление журналами событий
Регистрация событий безопасности обычно предполагает их размещение в каком-либо
журнале (логе).
Журнал событий (лог, log) - это объект (например, файл), содержащий перечень событий,
произошедших с различными активами организации (с системами или сетями).
Обычно журнал событий —это совокупность записей (entries), каждая из которых
содержит информацию, относящуюся к отдельному событию с системой или сетью.
Изначально механизм ведения логов служил для целей выявления причин сбоев, однако в
настоящее время его роль может быть различной. В данном случае этот механизм
рассмотрен с точки зрения безопасности, как средство, предоставляющее данные для
последующего изучения подозрительной активности пользователей.
Один из аспектов ведения журналов - их многообразие. Журналированию могут
подвергаться события, происходящие на уровне операционной системы или отдельного
приложения, события, происходящие с различными сетевыми устройствами и т. д.
Многообразие логов породило понятие управления журналами событий (computer security
log management). В это понятие вкладывается процесс создания (генерации) лог-файлов,
их передачи, хранения, а также последующего анализа.
Первая категория журналов - это результат работы средств защиты уровня сети или
отдельного узла, таких как:
■ Межсетевые экраны (Firewalls).
Информзащита
У ч еб м ьм Цвитр
355
I Информзащита
Учебный ц ентр
Генерация журналов
v \\ I
I
" w
Централизованный анализ
Информзащита
У чебн ы м ц е н т р
357
у
г Протокол syslog
Протокол syslog - это, прежде всего, механизм передачи логов от отдельных узлов на
сервер (в место их централизованного хранения). Однако syslog, по сути дела,
представляет собой стандартизованный механизм генерации, передачи и хранения
событий от различных источников.
Построение инфраструктуры управления журналами событий на основе протокола syslog
имеет следующие преимущества:
■ Простота реализации. Протокол прост сам по себе, его настройка обычно не
вызывает затруднений.
■ Богатый выбор программного обеспечения, реализующего необходимый
функционал
Информзащита
358
Инфраструктура «SEM»
По сравнению с инфраструктурой syslog-based, SEM - это относительно новый способ
управления журналами событий.
t Сервер анализа и
ш
обработки данных
ш
Сервер хранения
данных
Информзащита
359
Сервер анализ
обработки дань
Сервер хранения
0
данных
W
Подключение к источнику журналов
Информзащита
360
Сервер
аутентиф икации
r-V -L
Информзащита
kjaxrp
361
\ \
DMZ
Информзащита
Учсй н ьми ц ентр
■^Г1
362
KaZaA
Napster
eDonkey
DMZ
Информзащита
У ч в б м ш ц ен тр
363
Алгоритм (технология)
обнаружения .. _ „
Что и как обнаруживать?
Источники
данных
> С= >
Где обнаруживать? Механизмы
реагирования
Информзащита
У ч е б к ш ц ентр
364
«Препроцессинг»
Фильтр
Захват пакетов
С е те в о й адаптер о ]101 |г
(н е с е л е кт и в н ы й режим р а б о т ы ) п □ Г ~]
г—
IР
VPN-клиенты
DMZ
Информзащита
У чеб м ы и ц е н т р
365
«А с * о г
о
с» DA
OsOOZO 0101 117
о« cm t o С 1
г т ■»» : д N SO * I Ы Кр »• и»
ОаООЭО /к to
Л’ *9 00
/г «3
ас о д -г» г» го «1 70€Г ч . . . . (С ) С ору
40
O fОС 7(174 31
у г «» t 31
го » -м IV з г 303031 го tlJ b t 196-2001
S
ОаООСО «* 00
га C o rp ..
ОвООйС од a t од .С : \iIIH D C H S \« y
0*0070 7« и 61' >э г г 31
гТ и
J Информзащита
-* —• Уче&мм) центр
366
Источники данных
(журналы, сетевой трафик, включая NetFlow,
деятельность субъектов системы)
2 2 (SSH)
80 (HTTP) ICMP
443 (HTTPS)
Клиенты J
DMZ
Информзащита
Учебным центр
367
Механизмы реагирования
Как уже было сказано выше, механизмы реагирования отличаются разнообразием. Тем не
менее, этот критерий можно использовать для деления систем на два типа.
Оповещение ^
Блокировка =>
Вызов внешней программы о
Информзащита
Учебный центр
"О )
Пейдж ер
т
Э л е к тр о н н а я почта С и сте м а
се те в о го
управления
*
I fp y
Ж &
К о н со л ь
I Те л е ф о н
уп р а в л е н и я
З в у к о в о й сигнал
Информзащита
369
Текстовый файл
1Л. —
•i
iro o tih o e tl e o f t # t a l l /v * r/lo g /* n o rt/e l* rt
T y p e : ! Cc<J*. 0 2 5 . Т б ! B .q : 1ЬЭ6 ECHO
(Х г»Г • > h t t f t .'<•*%. w h i t e h e t e . с о * / i n f о / I M 1 *6]
Информзащита
У чебны м ц е н т р
Информзащита
371
Список литературы
1. «Конституция Российской Федерации», принята всенародным голосованием 12 декабря 1993г.
2. «О Декларации прав и свобод человека и гражданина», Постановление Верховного Совета РСФСР
от 22.11.1991 № 1920-1.
3. «Доктрина информационной безопасности Российской Федерации», утверждена Президентом РФ 9
сентября 2000г. №Пр-1895.
Кодексы :
4. «Уголовный кодекс Российской Федерации», принят Федеральным законом от 13 июня 1996г. №
63-Ф3.
5. «Кодекс Российской Федерации об административных правонарушениях», принят Федеральным
законом от 30 декабря 2001г. №195-ФЗ.
6. «Гражданский кодекс Российской Федерации (часть первая)», принят Федеральным законом от 30
ноября 1994г. №51-ФЗ.
7. «Гражданский кодекс Российской Федерации (часть вторая)», принят Федеральным законом от 26
января 1996г. №14-ФЗ.
8. «Гражданский кодекс Российской Федерации (часть третья)», принят Федеральным законом от 26
ноября 2001г. №146-ФЗ.
9. «Гражданский кодекс Российской Федерации (часть четвертая)», принят Федеральным законом от
18 декабря 2006г. №230-Ф3.
10. «Трудовой кодекс Российской Федерации», принят Федеральным законом от 30 декабря 2001 г. №
197-ФЗ.
11. «Воздушный кодекс Российской Федерации» принят Федеральным законом от 19 марта 1997г. №
60-ФЗ. Статья 85.1. Персональные данные пассажиров воздушных судов.
Ф едеральны е законы :
12. Федеральный Закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях
и о защите информации».
13. Федеральный Закон от 11 июля 2011г. № 200-ФЗ «О внесении изменений в отдельные
законодательные акты Российской Федерации в связи с принятием Федерального Закона «Об информации,
информационных технологиях и о защите информации».
14. Федеральный Закон от 19 декабря 2005г. № 160-ФЗ «О ратификации Конвенции Совета Европы о
защите физических лиц при автоматизированной обработке персональных данных».
15. Федеральный Закон от 27 июля 2006г. № 152-ФЗ «О персональных данных».
16. Федеральный Закон от 29 июля 2004г. № 98-ФЗ «О коммерческой тайне».
17. Федеральный закон от 2 декабря 1990г. № 395-1 «О банках и банковской деятельности».
18. Федеральный закон от 4 мая 2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности».
19. Федеральный закон от 6 апреля 2011г. № 63-Ф3 «Об электронной подписи».
20. Федеральный Закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи».
21. Федеральный закон от 27 декабря 2002г. № 184-ФЗ «О техническом регулировании».
22. Закон Российской Федерации от 21 июля 1993г. №5485-1 «О государственной тайне».
23. Федеральный закон от 28 декабря 2010г. № 390-Ф3 «О безопасности».
24. Федеральный закон от 3 апреля 1995г. № 40-ФЗ «О Федеральной службе безопасности».
25. Федеральный закон от 7 июля 2003г. № 126-ФЗ «О связи».
26. Федеральный закон от 27 июля 2004г. № 79-ФЗ «О государственной гражданской службе
Российской Федерации».
27. Федеральный закон от 2 марта 2007г. № 25-ФЗ «О муниципальной службе в Российской
Федерации». Статья 29. Персональные данные муниципального служащего.
’
II Информзащита
Учябммчмтг
372
29. Указ Президента Российской Федерации от 6 марта 1997г. № 188 «Об утверждении перечня
сведений конфиденциального характера» (в ред. Указа Президента Российской Федерации от 23 сентября
2005г. № 1111).
30. Указ Президента Российской Федерации от 30 мая 2005г. № 609 «Об утверждении Положения о
персональных данных государственного гражданского служащего Российской Федерации и ведении его
личного дела».
31. Указ Президента Российской Федерации от 3 апреля 1995г. № 334 «О мерах по соблюдению
законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а
также предоставления услуг в области шифрования информации (в ред. Указа Президента Российской
Федерации от 25 июля 2000г. №1358)».
32. Указ Президента Российской Федерации от 17 марта 2008г. № 351 «О мерах по обеспечению
информационной безопасности Российской Федерации при использовании информационно
телекоммуникационных сетей международного информационного обмена».
33. Указ Президента Российской Федерации от 16 августа 2004г. № 1085 «Вопросы Федеральной
службы по техническому и экспортному контролю» (Выписка).
Информзащита
373
45. Постановление Правительства Российской Федерации от 15 мая 2010г. № 330 «Об особенностях
оценки соответствия продукции (работ, услуг),используемой в целях защиты сведений, относимых к
охраняемой в соответствии с законодательством Российской Федерации информации ограниченного
доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее
проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по
сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению
соответствия указанной продукции (работ, услуг)».
46. Постановление Правительства Российской Федерации от 26 июня 1995г. № 608 «О сертификации
средств защиты информации».
47. Постановление Правительства Российской Федерации от 21.04.2010 № 266 «Об особенностях
оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих
государственную тайну или относимых к охраняемой в соответствии с законодательством Российской
Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой
составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской
Федерации, а также процессов ее проектирования (включая изыскания), производства, строительства,
монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об
особенностях аккредитации органов по сертификации и испытательных лабораторий (центров),
выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении
изменения в Положение о сертификации средств защиты информации».
48. Постановление Правительства Российской Федерации от 3 ноября 1994г. № 1233 «Об утверждении
Положения о порядке обращения со служебной информацией ограниченного распространения в
федеральных органах исполнительной власти».
49. Постановление Правительства Российской Федерации от 21 марта 2012г. №211 «Об утверждении
перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным
Законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами,
операторами, являющимися государственными или муниципальными органами».
Информзащита
У чебны й ц ентр
374
Информзащита
У чебным ивитр
375
Стандарты :
91. ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на
информацию. Общие положения», принят и введен в действие Постановлением Госстандарта Российской
Федерации от 12 мая 1999г. №160.
92. ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от НСД к информации. Общие
технические требования»
93. ГОСТ Р ИСО/МЭК 15408-1-2002. «Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 1. Введение и общая модель». Госстандарт России.
Информзащита
376
94. ГОСТ Р ИСО/МЭК 15408-2-2002. «Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 2. Функциональные требования безопасности».
Госстандарт России.
95. ГОСТ Р ИСО/МЭК 15408-3-2002. «Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 3. Требования доверия к безопасности». Госстандарт
России.
96. ГОСТ Р 50922-96. «Защита информации. Основные термины и определения».
97. ГОСТ 28147-89. «Системы обработки информации. Защита криптографическая. Алгоритм
криптографического преобразования».
98. ГОСТ Р 34.10-2001. «Процедуры выработки и проверки электронной цифровой подписи на базе
асимметричного криптографического алгоритма».
99. ГОСТ Р 34.11-94. «Функция хеширования».
100. ГОСТ 29099-91. «Сети вычислительные локальные. Термины и определения».
101. ГОСТ Р ИСО/МЭК 17799:2005. «Информационная технология. Практические правила управления
безопасностью».
102. BS 7799 1. «Управление информационной безопасностью. Общие требования к управлению
информационной безопасностью».
103. BS 7799 2. «Управление информационной безопасности. Требования и руководство по
применению».
104. BS 7799 3. «Управление информационной безопасности. Руководство по управлению рисками
информационной безопасности».
105. ISO/IEC 27001:2005. «Информационные технологии. Методы обеспечения безопасности. Системы
управления информационной безопасностью. Требования».
106. ISO/IEC 27002:2005 «Информационные технологии. Методы обеспечения безопасности.
Практическое руководство по управлению информационной безопасностью».
107. ISO/IEC 27006:2007 «Информационные технологии. Методы обеспечения безопасности.
Требования к органам аудита и сертификации систем управления информационной безопасностью».
108. ISO/IEC 27001:2005. «Информационные технологии. Методы обеспечения безопасности. Системы
управления информационной безопасностью. Требования».
109. ISO/IEC 27002:2005 «Информационные технологии. Методы обеспечения безопасности.
Практическое руководство по управлению информационной безопасностью».
110. ISO/IEC 27006:2007 «Информационные технологии. Методы обеспечения безопасности.
Требования к органам аудита и сертификации систем управления информационной безопасностью».
Учебные пособия.
111. Петренко С.А., Курбатов В.А. Политики информационной безопасности. М.: Компания АйТи,
2006, 400 с.
112. Безопасность информационных технологий. Руководство слушателя курса БТ01. - М.: УЦ
Информзащита, 2012. - 308 с.
113. Безопасность компьютерных сетей. Руководство слушателя курса БТ03.- М.: УЦ Информзащита,
2 0 1 2 .- 367 с.
114. Основы TCP/IP. Руководство слушателя курса БТ05. - М.: УЦ Информзащита, 2012. - 108 с.
115. Безопасность ОС Windows 2000/ХР/2003. Руководство слушателя курса БТ26. - М.: УЦ
Информзащита, 2012. - 558 с.
116. Руководство слушателя курса Т005. - М.: УЦ Информзащита, 2012. —245 с.
117. Порядок применения системы защиты Secret Net 5.0 (автономный вариант). Руководство слушателя
курса Т005АВ,- М.: УЦ Информзащита, 2012.-138 с.
118. Порядок внедрения и применения системы КУБ. Руководство слушателя курса Т008. - М.: УЦ
Информзащита, 2012. - 276 с.
119. Реализация режима коммерческой тайны на предприятии. Руководство слушателя курса КП30. - М.:
УЦ Информзащита, 2012. - 85 с.
120. Организация конфиденциального делопроизводства. Руководство слушателя курса КП31. - М.: УЦ
Информзащита, 2012. -2 1 8 с.
121. Защита персональных данных. Руководство слушателя курса КП32. - М.: УЦ Информзащита, 2012.
- 94 с.
Информзащита
377
Статьи.
122. Правовой анализ локальных нормативных актов работодателя по защите информации
ограниченного доступа / Станскова У.М. // Трудовое право в России и за рубежом. —2011. - № 2.
123. Экспертный анализ методов защиты информации от утечки по техническим каналам / Волков П.П.
// Эксперт-криминалист. - 2009,- № 4.
124. О правовой защите компьютерной информации / Воротников В.Л. // Администратор суда. - 2009. -
№ 2.
125. Актуальные вопросы охраны коммерческой тайны в отношениях с органами государства /
Забегайло JI.A., Назарова И.А. // Современное право. - 2011. - № 7.
126. Административная ответственность как средство обеспечения информационной безопасности /
Савчишкин Д.Б. // Административное и муниципальное право. —2011. - № 6.
127. Электронное государственное управление как новая форма взаимоотношений личности, общества и
государства / Чеботарева А. А. //Государственная власть и местное самоуправление. - 2011. - № 6.
128. Об основных направлениях совершенствования законодательства о развитии Интернета в
Российской Федерации / Маркарьян Р.В. // Международное публичное и частное право. - 2011. - № 4.
129. Организация работы с персональными данными / Кузнецова Т.В. // Трудовое право. - 2011. - № 5.
130. О соблюдении баланса интересов при установлении мер защиты персональных данных / Терещенко
Л.К. // Журнал российского права. - 2011. - №5.
131. Способы совершения преступлений в сфере компьютерной информации / Будаковский Д.С. //
Российский следователь. - 2011. - №4.
132. Киберпреступность: проблемы квалификации преступных деяний / Воронцова С.В. // Российская
юстиция. - 2011. - №2.
133. Административно-правовые средства обеспечения информационной безопасности и защиты
информации в Российской Федерации / Загузов Г.В. // Административное и муниципальное право. - 2010. -
№5.
134. Конфиденциальная информация и институт персональных данных в банковской деятельности /
Палехова Е.А. // Предпринимательское право. - 2010. - №3.
Информзащита