Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ
Курс Б Т О 1
© Copyright 2001-2012 Учебный Центр «Информзащита»
Информзащита
У чебным ц ентр
3
ОГЛАВЛЕНИЕ
rill
I Информзащита
—■
— Учебным центр
Организационные...................................................4 9
Технологические...................................................50
Меры физической защиты........................................... 50
Технические....................................................... 50
Достоинства и недостатки различных видов мер защиты............... 51
Законодательные и морально-этические м е р ы ...................... 51
Организационные м е р ы ............................................. 51
Физические и технические средства з а щ и т ы ........................51
Основные принципы построения системы обеспечения безопасности
информации в автоматизированной системе............................ 52
Законность........................................................ 52
Системность....................................................... 53
Комплексность..................................................... 53
Своевременность...................................................53
Непрерывность защиты............................................. 53
Преемственность и совершенствование............................. 54
Разделение функций............................................... 54
Разумная достаточность (экономическая целесообразность,
сопоставимость возможного ущерба и затрат) ..................... 54
Персональная ответственность.....................................54
Минимизация полномочий................... ....................... 54
Взаимодействие и сотрудничество................................. 54
Гибкость системы защиты.......................................... 55
Открытость алгоритмов и механизмов з а щ и т ы ...................... 55
Простота применения средств з а щ и т ы .............................. 55
Научная обоснованность и техническая реализуемость............. 55
Специализация и профессионализм................................. 55
Взаимодействие и координация.....................................55
Обязательность контроля.......................................... 55
В ы в о д ы ...............................................................5 6
Р а з д е л I - Т е м а 5: П р а в о в ы е о с н о в ы о б е с п е ч е н и я б е з о п а с н о с т и и н ф о р м а ц и о н н ы х
технологий .......................................................................57
Вв е д е н и е ............................................................ 57
Защищаемая информация .............................................. 58
Персональные данные.............................................. 63
Коммерческая тайна............................................... 71
Служебная тайна...................................................73
Банковская тайна..................................................7 4
Информация в ключевых системах информационной инфраструктуры ... 75
Лицензирование ...................................................... 7 6
Сертификация средств защиты и аттестация объектов информатизации . .84
Сертификация...................................................... 94
Аттестация........................................................ 96
Новое поколение нормативно-технических документов
(ГОСТ Р ИСО/МЭК 15408-2008)......................................... 99
Специальные требования и рекомендации по технической защите
конфиденциальной информации........................................ 104
Юридическая значимость электронных документов с электронной
подписью ........................................................... 106
Ответственность за нарушения в сфере защиты информации ........... 111
Статья 183. Незаконное получение и разглашение сведений,
составляющих коммерческую или банковскую т а й н у ................ 111
Информзащита
Учебным ц ентр
5
=4^
6
Информзащита
У чебн ы м ц е н т р
7
Р а з д е л 1 1 - Т е м а 10: Д о к у м е н т ы , р е г л а м е н т и р у ю щ и е п р а в и л а п а р о л ь н о й и
антивирусной защиты ............................................................ 187
Инструкция по организации парольной з а щ и т ы .......................... 187
Инструкция по орга н и з а ции антивирусной з а щ и т ы ...................... 188
Применение средств а нтивирусного контроля ........................ 189
Действия при обнаружении вирусов .................................. 189
О т в е т с т в е н н о с т ь ....................................................... 190
Р а з д е л 1 1 - Т е м а 11: Д о к у м е н т ы , р е г л а м е н т и р у ю щ и е п о р я д о к д о п у с к а к р а б о т е и
изменения полномочий п о л ь з о в а т е л е й а в т о м а т и з и р о в а н н о й с и с т е м ы .................. 191
Правила именования п о л ь з о в а т е л е й .................................. 191
Процедура авто р и з а ц ии с о т р у д н и к о в ................................. 192
Р а з д е л II - Т е м а 12: Д о к у м е н т ы , р е г л а м е н т и р у ю щ и е п о р я д о к и з м е н е н и я
к о н ф и г у р а ц и и а п п а р а т н о - п р о г р а м м н ы х с р е д с т в а в т о м а т и з и р о в а н н о й с и с т е м ы .......... 194
Обеспечение и контроль физической целостности и неизменности
ко н фигурации а п п а р а т но-программных средств автоматизированной
с и с т е м ы ............................................................... 194
Регламентация процессов обслуживания и осуществления
модификации аппаратных и программных средств
автоматизированной с и с т е м ы ..........................................195
Процедура внесения изменений в конфигурацию аппаратных и
программных средств защищённых серверов и рабочих с т а н ц и й .....196
Э кстренная моди ф и к а ц ия (обстоятельства форс-мажор) ............. 199
Р а з д е л II - Т е м а 13: Р е г л а м е н т а ц и я п р о ц е с с о в р а з р а б о т к и , и с п ы т а н и я , опытной
э к с п л у а т а ц и и , в н е д р е н и я и с о п р о в о ж д е н и я з а д а ч .................................. 2 00
В з аимодействие по д р а з д елений на этапах проектирования,
разработки, испытания и внедрения новых автоматизированных
п о д с и с т е м ................................................................ 201
При проектировании и р а з р а б о т к е ....................................201
При проведении и с п ы т а н и й ............................................ 202
При сдаче в промышленную э к с п л у а т а ц и ю ............................ 202
В процессе э к с п л у а т ации (сопровождения) .......................... 202
Р а з д е л II - Т е м а 14 : О п р е д е л е н и е т р е б о в а н и й к з а щ и т е и к а т е г о р и р о в а н и е
р е с у р с о в . П роведение информационных об следований и анализ подсистем
а в т о м а т и з и р о в а н н о й с и с т е м ы к а к о б ъ е к т а з а щ и т ы .................................. 204
Информзащита
^ — УчеЁнмя ц ентр
8
'- г
Информзащита
У чв би ы н ц ен т р
9
J Информзащита
U Учебмми ц ентр
Классификация уязвимостей по степени р и с к а .................... 287
Получение информации по уязвимостям............................ 295
Часто используемые уязвимости («Тор 20») ...................... 297
Классификация а т а к ................................................ 298
Классификация атак по ц е л я м .....................................298
Классификация по местонахождению нарушителя ................... 298
Механизмы реализации а т а к ....................................... 2 99
Примеры а т а к ....................................................... 30 0
Перехват паролей к почтовым я щ и к а м ............................. 300
Определение операционной системы у з л а ..........................301
Атака SynFlood...................................................302
Атака «ARP-Spoofing»............................................ 304
Переполнение буфера............................................. 304
Ошибка обработки WMF-файлов (CVE-2005-4560) ................... 305
Выводы .......................................................... 305
Средства защиты с е т е й ............................................. 306
Р а з д е л I V - Т е м а 23: Н а з н а ч е н и е , в о з м о ж н о с т и , и о с н о в н ы е з а щ и т н ы е м е х а н и з м ы
межсетевых экранов .............................................................. 307
В в е д е н и е ........................................................... 307
МЭ - основные сведения ............................................ 308
Механизмы защиты, реализуемые М Э ............................... 308
Фильтрация сетевого трафика.....................................308
Трансляция адресов.............................................. 30 9
Шифрование трафика.............................................. 311
Классификация М Э ...................................................311
Введение......................................................... 311
Пакетные фильтры................................................ 312
Пакетный фильтр iptables в ОС L i n u x ............................ 313
Достоинства и недостатки пакетных филь т р о в .................... 315
Иллюстрация статичности пакетных ф и л ь т р о в ..................... 316
Шлюзы уровня соединения......................................... 318
Stateful inspection ............................................... 319
Варианты расположения МЭ .......................................... 322
Полит и к а б е з о п а с н о с т и и М Э ............................................. 324
Недостатки М Э ...................................................... 32 6
Общий обзор...................................................... 32 6
Туннелирование...................................................326
Что такое «HoneyNet»? ............................................. 328
Введение......................................................... 328
Назначение и особенности........................................ 328
Типовая схема «HoneyNet»........................................ 32 8
Р а з д е л I V - Т е м а 24: А н а л и з с о д е р ж и м о г о п о ч т о в о г о и W e b - т р а ф и к а (Co n t e n t
S e c u r i t y ) .......................................................................3 31
В в е д е н и е ........................................................... 331
Постановка з а д а ч и ................................................. 331
Электронная п о ч т а ................................................. 331
HTTP - т р а ф и к ...................................................... 332
Варианты решений задачи анализа содержимого ...................... 332
Системы анализа содержимого........................................ 334
Р а з д е л I V - Т е м а 25: В и р т у а л ь н ы е ч а с т н ы е с е т и ................................ 337
Информзащита
11
В в е д е н и е ........................................................... 337
Виды виртуальных частных сетей.................................... 338
Решение на базе ОС Windows 2003 ................................... 339
VPN на основе криптошлюза «Континент-К»...........................339
Угрозы, связанные с использованием V P N ............................ 342
Раздел IV - Тема 2 б : Обнаружение и устранение уязвимостей. Возможности
СКАНЕРОВ БЕЗОПАСНОСТИ........................................................... 344
Контроль эффективности системы защиты............................. 344
Классификация средств анализа защищённости....................... 344
Обзор средств анализа защищённости сетевого уровня ............... 347
Обзор средств анализа защищённости уровня узла ................... 351
Специализированный анализ защищённости............................ 352
Раздел IV - Тема 2 7 : Мониторинг событий безопасности........................ 354
В в е д е н и е ........................................................... 354
Введение в управление журналами событий...........................354
Категории журналов событий.........................................354
Инфраструктура управления журналами событий...................... 355
Способы построения инфраструктуры управления журналами событий .. .357
Реализация инфраструктуры управления журналами событий на основе
протокола syslog .................................................. 357
Инфраструктура «SEM» .............................................. 358
Дополнительные компоненты инфраструктуры управления журналами . . . .359
Средства сбора и анализа сетевого т р афика..................... 35 9
Системы обнаружения атак уровня у з л а ...........................3 60
Дополнительные утилиты и инструменты...........................3 60
Введение в технологию обнаружения а т а к ............................ 3 60
Классификация систем обнаружения а т а к ............................. 363
Классификация по источнику д а н н ы х .............................. 363
Классификация по технологии обнаружения....................... 364
Механизмы реагирования.......................................... 367
Специализированные системы обнаружения а т а к ...................... 369
Список литературы...............................................................371
Информзащита
— центр
Введение в курс «Безопасность
информационных технологий»
Описание курса
Программа учебного курса «БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИИ» утверждена Федеральной службой по техническому и экспортному
контролю (ФСТЭК России) в качестве программы курсов повышения квалификации и
профессиональной переподготовки руководителей и специалистов подразделений
технической защиты информации.
Информзащита
У i6 n i
13
Й5
Информзащита
Приобретаемые В ходе изучения курса слушатели приобретают знания и практические навыки
знания и навыки по:
■ основам обеспечения безопасности информационных
технологий, современным концепциям построения и
эффективного применения комплексных систем защиты
информации в АС;
■ современным методам и средствам технической защиты
информации, подходам к выбору необходимых программно
аппаратных средств защиты информации в АС и сетях;
■ планированию защиты, рациональному распределению функций
по ТЗИ между подразделениями и сотрудниками предприятия,
по организации их взаимодействия на различных этапах
жизненного цикла подсистем АС;
■ основам проведения информационных обследований и анализа
подсистем АС как объектов защиты;
■ разработке организационно-распорядительных документов по
вопросам защиты информации;
■ порядку применения средств защиты информации от
несанкционированного доступа (СЗИ НСД);
■ проблемам информационной безопасности в сетях
Internet/Intranet, уязвимостям сетевых протоколов и служб,
атакам в 1Р-сетях;
■ межсетевым экранам, средствам анализа защищённости,
средствам обнаружения атак, порядку их применения для
обнаружения и устранения уязвимостей в информационных
системах и обеспечения безопасности в IP-сетях;
■ основам поиска и использования оперативной информации о
новых уязвимостях в системном и прикладном программном
обеспечении, о средствах защиты, и другой актуальной
информации по обеспечению безопасности ИТ.
Информзащита
15
Структура курса
Информзащита
—^
День 4 Тема 15: Планы защиты и планы обеспечения непрерывной работы и
восстановления подсистем автоматизированной системы.
Тема 16: Основные задачи подразделений обеспечения безопасности
информационных технологий. Организация работ по обеспечению
безопасности информационных технологий.
Тема 17: Концепция безопасности информационных технологий предприятия
(организации).
Раздел III. Средства защиты информации от несанкционированного
доступа
Тема 18: Назначение и возможности средств защиты информации от
несанкционированного доступа.
Тема 19: Рекомендации по выбору средств защиты информации от
несанкционированного доступа.
Тема 20: Аппаратно-программные средства защиты информации от
несанкционированного доступа.
Тема 21: Возможности применения штатных и дополнительных средств защиты
информации от несанкционированного доступа.
Информзащита
Учебным ц ентр
Раздел I .
Основы безопасности
информационных технологий
Информзащита
Раздел I - Тема 1:
Актуальность проблемы обеспечения
безопасности информационных технологий
Информзащита
Учебным центр
19
Информзащита
—^
■ количественным и качественным совершенствованием способов доступа
пользователей к информационным ресурсам;
■ отношением к информации, как к товару, переходом к рыночным
отношениям в области предоставления информационных услуг;
■ многообразием видов угроз и возникновением новых возможных каналов
несанкционированного доступа к информации;
■ ростом числа квалифицированных пользователей вычислительной техники и
возможностей по созданию ими нежелательных программно
математических воздействий на системы обработки информации;
■ увеличением потерь (ущерба) от уничтожения, фальсификации, разглашения
или незаконного тиражирования информации (возрастанием уязвимости
различных затрагиваемых субъектов);
■ развитием рыночных отношений в сфере информационных технологий (в
области разработки, поставки, обслуживания вычислительной техники,
разработки программных средств, в том числе средств защиты).
Острота проблемы обеспечения безопасности субъектов информационных отношений,
защиты их законных интересов при использовании информационных и управляющих
систем, хранящейся и обрабатываемой в них информации все более возрастает. Этому
есть целый ряд объективных причин.
Прежде всего - это расширение сферы применения средств вычислительной техники
и возросший уровень доверия к автоматизированным системам управления и
обработки информации. Компьютерным системам доверяют самую ответственную
работу, от качества выполнения которой зависит жизнь и благосостояние многих людей.
Автоматизированные системы управляют технологическими процессами на
предприятиях и атомных электростанциях, управляют движением самолётов и поездов,
выполняют финансовые операции, обрабатывают секретную и конфиденциальную
информацию.
Изменился подход и к самому понятию «информация». Этот термин все чаще
используется для обозначения особого товара, стоимость которого зачастую превосходит
стоимость автоматизированной системы, в рамках которой он существует.
Осуществляется переход к рыночным отношениям в области создания и предоставления
информационных услуг, с присущей этим отношениям конкуренцией и промышленным
шпионажем.
Проблема зашиты автоматизированных систем становится ещё более серьёзной и в связи
с развитием и распространением информационно-телекоммуникационных сетей,
территориально распределённых систем и систем с удалённым доступом к совместно
используемым ресурсам.
Доступность средств вычислительной техники и, прежде всего, персональных ЭВМ
привела к распространению компьютерной грамотности в широких слоях населения,
что закономерно, привело к увеличению числа попыток неправомерного вмешательства в
работу государственных и коммерческих автоматизированных систем, как со злым
умыслом, так и чисто «из спортивного интереса». К сожалению, многие из этих попыток
имеют успех и наносят значительный урон всем заинтересованным субъектам
информационных отношений.
Отставание в области создания стройной и непротиворечивой системы законодательно
правового регулирования отношений в сфере накопления, использования и защиты
информации создаёт условия для возникновения и широкого распространения
«компьютерного хулиганства» и «компьютерной преступности».
Информзащита
Учебным иемтр
21
Информзащита
Учв&ньм ц ентр
преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый
уровень обеспечения безопасности соответствующий существующим угрозам (рискам).
Суть защиты ресурсов корпоративных сетей —есть управление рисками, связанных с
использованием этих сетей.
Что же такое риск?
Мы уже уточнили, что угроза - это нежелательное событие, наносящее ущерб субъектам.
Риск - это оценка опасности определённой угрозы. Риск выражает вероятностно
стоимостную оценку возможных потерь (ущерба) и характеризуется:
■ вероятностью успешной реализации угрозы А,;
■ стоимостью потерь (ущерба) в случае реализации угрозы В,.
Стоимостную составляющую информационной безопасности хорошо иллюстрирует
упрощённая формула оценки издержек, связывающая количественные характеристики
рисков, стоимость реализации мер защиты и суммарные издержки.
R Rmax
Информзащита
23
I Информзащита
— Учебным центр
3. Внутренние затраты на ликвидацию последствий нарушений политики безопасности
ИТ (затраты, понесённые в результате того, что требуемый уровень защищённости не
был достигнут);
4. Внешние затраты на ликвидацию последствий нарушения политики безопасности
ИТ;
5. Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по
предотвращению нарушений политики безопасности ИТ (предупредительные
мероприятия).
Затраты на формирование и под держание звена управления системой защиты
информации (организационные затраты):
■ затраты на формирование политики безопасности ИТ;
■ затраты на приобретение и ввод в эксплуатацию программно-технических
средств (серверов, компьютеров конечных пользователей (настольных и
мобильных), периферийных устройств и сетевых компонентов;
■ затраты на приобретение и настройку средств защиты информации;
■ затраты на содержание персонала, стоимость работ и аутсорсинг.
Затраты на контроль (определение и подтверждение достигнутого уровня защищённости
ресурсов АИС):
■ контроль за соблюдением политики безопасности ИТ:
- затраты на контроль реализации функций, обеспечивающих управление
безопасностью ИТ;
- затраты на организацию взаимодействия между подразделениями для
решения конкретных задач по обеспечению безопасности ИТ;
- затраты на проведение аудита безопасности по каждой части АС;
- материально-техническое обеспечение системы контроля доступа к
объектам и ресурсам;
■ плановые проверки и испытания:
- затраты на проверки и испытания средств защиты информации;
- затраты на проверку навыков эксплуатации средств защиты персоналом;
- затраты на обеспечение работы лиц, ответственных за реализацию
конкретных процедур безопасности по подразделениям;
- оплата работ по контролю правильности ввода данных в прикладных
системах;
- оплата инспекторов по контролю требований, предъявляемых к
средствам защиты при разработке систем (контроль на стадии
проектирования и спецификации требований);
■ внеплановые проверки и испытания:
- оплата работы испытательного персонала специализированных
организаций;
- обеспечение испытательного персонала материально-техническими
средствами;
■ затраты на внешний аудит:
Информзащита
25
Информзащита
У чеб н ы й ц е н т р
26
■ потери новаторства:
- затраты на проведение дополнительных исследований и разработки
новой рыночной стратегии;
- отказ от организационных, научно-технических или коммерческих
решений, ставших неэффективными в результате утечки сведений, и
затраты на разработку новых средств ведения конкурентной борьбы;
- потери от снижения приоритета в научных исследованиях и
невозможности патентования и продажи лицензий на научно
технические достижения;
■ прочие затраты:
- заработная плата секретарей и служащих, организационные и прочие
расходы, которые непосредственно связаны с предупредительными
мероприятиями;
- другие виды возможного ущерба, в том числе связанные с
невозможностью выполнения функциональных задач.
Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по
предотвращению нарушений политики безопасности ИТ (предупредительные
мероприятия):
■ затраты на управление системой безопасности ИТ:
- затраты на планирование системы безопасности ИТ;
- затраты на изучение возможностей инфраструктуры по обеспечению
безопасности ИТ;
- затраты на техническую поддержку персонала при внедрении средств
защиты информации и процедур, а также планов по безопасности ИТ;
- проверка сотрудников на лояльность, выявление угроз безопасности ИТ;
- организация системы допуска исполнителей и сотрудников к
защищаемым ресурсам;
■ регламентное обслуживание средств защиты информации:
- затраты, связанные с обслуживанием и настройкой программно
технических средств защиты информации, ОС и сетевого оборудования;
- затраты, связанные с организацией сетевого взаимодействия и
безопасного использования ИС;
- затраты на поддержание системы резервного копирования и ведения
архива данных;
- проведение инженерно-технических работ по установлению
сигнализации, оборудованию хранилищ конфиденциальных документов,
защите телефонных линий связи, СВТ и т.п.;
■ аудит системы безопасности ИТ:
- затраты на контроль изменений состояния информационной среды;
- затраты на систему контроля за действиями исполнителей;
■ обеспечение соответствия используемых ИТ заданным требованиям:
- затраты на обеспечение соответствия используемых ИТ требованиям по
безопасности, совместимости и надёжности, в том числе анализ
Информзащита
27
Информзащита
У ч е б н и к ц ентр
■ непосредственный и одновременный доступ к ресурсам (в том числе и
информационным) большого числа пользователей (субъектов) различных
категорий;
■ высокая степень разнородности используемых средств вычислительной
техники и связи, а также их программного обеспечения;
■ отсутствие специальных средств защиты в большинстве типов технических
средств, широко используемых в АС.
Трудности решения практических задач обеспечения безопасности конкретных АС
связаны с отсутствием развитой стройной теории и необходимых научно-технических и
методических основ обеспечения защиты информации в современных условиях.
Информзащита
У ч е б » ^ ж центр
29
Раздел I - Тема 2:
Основные понятия в области безопасности
информационных технологий
Информзащита
А В Т О М А Т И ЗИ РО В А Н Н А Я С И С ТЕМ А
Обслуживающий Конечные
персонал пользователи
Т ехнические средства
Г*
П1 ■tm . Программное обеспечение
Данные (информация)
Информзащита
У чеб и ьм центр
31
В процессе своей деятельности субъекты могут находиться друг с другом в разного рода
отношениях, в том числе, касающихся вопросов получения, хранения, обработки,
распространения и использования определённой информации. Такие отношения между
субъектами будем называть информационными отношениями, а самих участвующих в
них субъектов —субъектами информационных отношений.
Различные субъекты по отношению к определённой информации могут (возможно,
одновременно) выступать в качестве (в роли):
■ источников (поставщиков) информации;
■ потребителей (пользователей) информации;
■ собственников, владельцев, обладателей, распорядителей информации и
систем ее обработки;
■ физических и юридических лиц, о которых собирается информация;
■ участников процессов обработки и передачи информации и т.д.
Для успешного осуществления своей деятельности по управлению объектами некоторой
предметной области субъекты информационных отношений могут быть заинтересованы
в обеспечении:
■ своеврем енного дост упа (за приемлемое для них время) к необходимой им
информации и определенным автоматизированным службам (услугам);
■ конфиденциальности (сохранения в тайне) определенной части
информации;
■ достоверности (полноты, точности, адекватности, целостности)
информации и защиты от навязывания им ложной (недостоверной,
искаженной) информации (то есть от дезинформации);
■ защиты части информации от незаконного ее тиражирования (защиты
авторских прав, прав интеллектуальной собственности, прав собственника
информации);
■ разграничения ответственности за нарушения законных прав (интересов)
других субъектов информационных отношений и установленных правил
обращения с информацией;
■ возможности осуществления непрерывного контроля и управления
процессами обработки и передачи информации и т.д.
Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных свойств и
возможностей, субъект информационных отношений является уязвимым, то есть
Jl Информзащита
потенциально подверженным нанесению ему ущерба (прямого или косвенного,
морального или материального) посредством воздействия на критичную для него
информацию, её носители и процессы её обработки либо посредством неправомерного
использования такой информации.
Поэтому все субъекты информационных отношений в той или иной степени
(в зависимости от размеров ущерба, который им может быть нанесён) заинтересованы
в обеспечении своей информационной безопасности.
Об этом же самом, только другими словами, сказано в первой части стандарта
ГОСТ Р ИСО/МЭК 15408-2008 «Информационная технология. Методы обеспечения
безопасности. Критерии оценки безопасности информационных технологий»
(см. Рис. 1.3.2).
Информзащита
службам всегда, когда в обращении к ним возникает необходимость
(готовность к обслуживанию поступающих от субъектов запросов);
■ целостность информации —такое свойство информации, которое
заключается в ее существовании в неискаженном виде (неизменном по
отношению к некоторому фиксированному ее состоянию).
Точнее говоря, субъектов интересует обеспечение более широкого
свойства - достоверности информации, которое складывается из
адекватности (полноты и точности) отображения состояния предметной
области и непосредственно целостности информации, то есть ее
неискаженности. Однако, мы ограничимся только рассмотрением вопросов
обеспечения целостности информации, так как вопросы адекватности
отображения выходят далеко за рамки проблемы безопасности ИТ;
■ конфиденциальность информации —такую субъективно определяемую
(приписываемую собственником) характеристику (свойство) информации,
которая указывает на необходимость введения ограничений на круг
субъектов, имеющих доступ к данной информации, и обеспечиваемую
способностью системы (инфраструктуры) сохранять указанную
информацию в тайне от субъектов, не имеющих прав на доступ к ней.
Объективные предпосылки подобного ограничения доступности
информации для одних субъектов заключены в необходимости защиты
законных интересов других субъектов информационных отношений.
Поскольку в нашем случае (речь об информационной безопасности) ущерб субъектам
информационных отношений может быть нанесён только опосредованно, через
определённую информацию и её носители, то закономерно возникает заинтересованность
субъектов в защите этой информации, её носителей, процессов и систем её обработки.
Отсюда следует, что в качестве объектов, подлежащих защите с целью обеспечения
безопасности субъектов информационных отношений, должны рассматриваться:
информация, любые её носители (отдельные компоненты и АС в целом) и процессы её
обработки (передачи).
Вместе с тем, говоря о защите АС, всегда следует помнить, что уязвимыми, в конечном
счёте, являются именно заинтересованные в обеспечении определённых свойств
информации и систем её обработки субъекты (информация, равно как и средства её
обработки, не имеют своих интересов, которые можно было бы ущемить). Поэтому, под
безопасностью АС или циркулирующей в ней информации, всегда следует понимать
косвенное обеспечение безопасности соответствующих субъектов, участвующих в
процессах автоматизированного информационного взаимодействия.
Термин «безопасность информации» нужно понимать как защищённость информации
от нежелательного для соответствующих субъектов информационных отношений её
разглашения (нарушения конфиденциальности), искажения или утраты (нарушения
целостности, фальсификации) или снижения степени доступности (блокирования)
информации, а также незаконного её тиражирования (неправомерного использования).
Поскольку субъектам информационных отношений ущерб может бьггь нанесён также
посредством воздействия на процессы и средства обработки критичной для них
информации, то становится очевидным необходимость обеспечения защиты системы
обработки и передачи данной информации от несанкционированного вмешательства в
процесс её функционирования, а также от попыток хищения, незаконной модификации
и/или разрушения любых компонентов данной системы.
Под «безопасностью автоматизированной системы» (системы обработки
информации, компьютерной системы) следует понимать защищённость всех её
компонентов (технических средств, программного обеспечения, данных, пользователей и
персонала) от разного рода нежелательных для соответствующих субъектов воздействий.
Информзащита
34
Информзащита
Учебный u*wrp
было бы правильнее трактовать не как «несанкционированный доступ» (к информации), а
шире, —как «несанкционированные (неправомерные) действия», наносящие ущерб
субъектам информационных отношений.
Информзащита
Раздел I - Тема 3:
Угрозы безопасности информационных
технологий
Информзащита
У чебмын центр
37
Информзащита
V*— *•------ ц ентр
38
Информзащита
У ч об и ьм центр
39
Информзащита
Рис. 1.3.1. Классификация угроз по источникам и мотивации
Информзащита
У чебный центр
41
I -1
Г Информзащита
У ч е б н ш ц ентр
сигнализации, видеонаблюдения, радиотрансляции и т.п.) и инженерные
коммуникации (системы отопления, кондиционирования, заземления и т.п.);
■ перехват данных, передаваемых по каналам связи, и их анализ с целью
выяснения протоколов обмена, правил вхождения в связь и авторизации
пользователя и последующих попыток их имитации для проникновения в
систему;
■ хищение носителей информации (магнитных дисков, лент, микросхем
памяти, запоминающих устройств и целых ПЭВМ);
■ несанкционированное копирование носителей информации;
■ хищение производственных отходов (распечаток, записей, списанных
носителей информации и т.п.);
■ чтение остаточной информации из оперативной памяти и с внешних
запоминающих устройств;
■ чтение информации из областей оперативной памяти, используемых
операционной системой (в том числе подсистемой защиты) или другими
пользователями, в асинхронном режиме используя недостатки
мультизадачных операционных систем и систем программирования;
■ незаконное получение паролей и других реквизитов разграничения доступа
(агентурным путём, используя халатность пользователей, путём подбора,
путём имитации интерфейса системы и т.д.) с последующей маскировкой
под зарегистрированного пользователя («маскарад»);
■ несанкционированное использование терминалов пользователей, имеющих
уникальные физические характеристики, такие как номер рабочей станции в
сети, физический адрес, адрес в системе связи, аппаратный блок
кодирования и т.п.;
■ вскрытие шифров криптозащиты информации;
■ внедрение аппаратных «спецвложений», программных «закладок» и
«вирусов» («троянских коней» и «жучков»), то есть таких участков
программ, которые не нужны для осуществления заявленных функций, но
позволяющих преодолевать систему защиты, скрытно и незаконно
осуществлять доступ к системным ресурсам с целью регистрации и передачи
критической информации или дезорганизации функционирования системы;
■ незаконное подключение к линиям связи с целью работы «между строк», с
использованием пауз в действиях законного пользователя от его имени с
последующим вводом ложных сообщений или модификацией передаваемых
сообщений;
■ незаконное подключение к линиям связи с целью прямой подмены
законного пользователя путём его физического отключения после входа в
систему и успешной аутентификации с последующим вводом
дезинформации и навязыванием ложных сообщений.
Следует заметить, что чаще всего для достижения поставленной цели злоумышленник
использует не один, а некоторую совокупность из перечисленных выше путей.
Классификация каналов проникновения в автоматизированную
систему и утечки информации
Все каналы проникновения в систему и утечки информации разделяют на прямые и
косвенные. Под косвенными понимают такие каналы, использование которых не требует
проникновения в помещения, где расположены компоненты системы. Для использования
Информзащита
43
Таблица 1.3.1
Информзащита
У ч еб н о м ц е н т р
Неформальная модель нарушителя
Нарушения и преступления, в том числе и компьютерные, совершаются людьми. Как
говорится, бывают «виртуальные преступления», но «виртуальных преступников» не
бывает. В этом смысле вопросы безопасности автоматизированных систем во многом по
своей сути являются вопросами человеческих отношений и человеческого поведения.
Исследования проблемы обеспечения безопасности компьютерных систем ведутся в
направлении раскрытия природы явлений, заключающихся в нарушении целостности и
конфиденциальности информации, дезорганизации работы компьютерных систем.
Серьёзно изучается статистика нарушений, вызывающие их причины, личности
нарушителей, суть применяемых нарушителями приёмов и средств, используемые при
этом недостатки систем и средств их защиты, обстоятельства, при которых было
выявлено нарушение, и другие вопросы, которые могут быть использованы при
построении моделей потенциальных нарушителей.
Неформальная модель нарушителя отражает его практические и теоретические
возможности, априорные знания, время и место действия и т.п. Для достижения своих
целей нарушитель должен приложить некоторые усилия, затратить определённые
ресурсы. Зная причины нарушений, можно либо повлиять на сами эти причины (конечно,
если это возможно), либо точнее определить требования к системе защиты от данного
вида нарушений или преступлений.
Нарушитель —это лицо, предпринявшее попытку выполнения запрещённых операций
(действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных
интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и
т.п.) и использующее для этого различные возможности, методы и средства.
Следует заметить, что при отсутствии правил (запретов и ограничений) не существует и
нарушителей (если нет правил, значит, нечего и нарушать). Поэтому борьба с
нарушениями всегда должна начинаться с установления чётких правил (ограничений,
политики безопасности).
Злоумышленник —это нарушитель, намеренно (умышленно, со злым умыслом) идущий
на нарушение.
При построении модели нарушителя обычно формулируются предположения:
■ о категориях лиц, к которым может принадлежать нарушитель;
■ о мотивах действий нарушителя и преследуемых им целях;
■ о квалификации нарушителя и его технической оснащенности (об
используемых для совершения нарушения методах и средствах);
■ о характере возможных действий нарушителей.
По отношению к АС нарушители могут быть внутренними (из числа обслуживающего
персонала и пользователей системы) или внешними (посторонними лицами).
Внутренним нарушителем может быть лицо из следующих категорий сотрудников:
■ конечные пользователи (операторы) системы;
■ персонал, обслуживающий технические средства (инженеры, техники);
■ сотрудники отделов разработки и сопровождения ПО (прикладные и
системные программисты);
■ сотрудники службы безопасности АС;
■ руководители различных уровней.
Информзащита
У чвбм ьш ц е н т р
45
Информзащита
Ф
46
Информзащита
У ч еб н ы й ц е н т р
47
10%
9%
2% 4%
Как видно, более половины (55%) проблем возникает из-за ошибок пользователей и
обслуживающего персонала системы. К этому надо добавить нарушения со стороны
обиженных (9%) и нечестных (10% нарушений) сотрудников организаций.
Согласно одному из последних обзоров аналитического подразделения журнала
The Economist, информационная безопасность является одной из самых приоритетных
проблем для 78% из 254 опрошенных по всему миру первых лиц компаний. Респонденты
признавали, что большую часть проблем создают сами сотрудники корпораций. По
статистике опроса, источник 83% проблем с безопасностью находится внутри компании.
Сотрудники Компании являются самой массовой категорией нарушителей в силу их
многочисленности, наличия у них санкционированного доступа на территорию, в
помещения и к ресурсам системы, разнообразия мотивов совершения разного рода
небезопасных действий. Причём подавляющее большинство нарушений со стороны
сотрудников носит неумышленный характер. Однако, ущерб, который они при этом
наносят Компании, весьма значителен. Именно поэтому борьба с ошибками
пользователей и обслуживающего персонала АС является одним из основных
направлений работ по обеспечению безопасности.
Итак, цель защиты ИТ - это минимизация рисков для субъектов. Защита (обеспечение
безопасности) ИТ - это непрерывный процесс управления рисками, связанный с
выявлением информационных активов (ценностей), подлежащих защите, определением
стоимости этих активов, размеров ущерба и риска, разработкой плана действий по защите
и выбором технологий, реализующих этот план.
На практике это означает сведение всех значимых для субъектов угроз к допустимому
(приемлемому) уровню остаточного риска, и защиту наиболее важных (критичных)
информационных ресурсов исходя из существующих возможностей и предоставленных
финансовых средств.
Выводы
Уязвимыми являются буквально все основные структурно-функциональные элементы
современных АС. Защищать компоненты АС необходимо от всех видов воздействий:
Информзащита
стихийных бедствий и аварий, сбоев и отказов технических средств, ошибок персонала и
пользователей, ошибок в программах и от преднамеренных действий злоумышленников.
Имеется широчайший спектр вариантов (путей) преднамеренного или случайного
несанкционированного доступа к данным и вмешательства в процессы обработки и
обмена информацией (в том числе, управляющей согласованным функционированием
различных компонентов сети).
Правильно построенная (адекватная реальности) модель нарушителя, в которой
отражаются его практические и теоретические возможности, априорные знания, время и
место действия и т.п. характеристики - важная составляющая успешного проведения
анализа риска и определения требований к составу и характеристикам системы защиты.
Обеспечение безопасности ИТ - это многоплановая деятельность, связанная с
выявлением информационных активов (ценностей), подлежащих защите, определением
стоимости этих активов, размеров ущерба и риска, разработкой плана действий по их
защите и выбором технологий, реализующих этот план.
Информзащита
Учебным ц ентр
49
Раздел I - Тема 4:
Виды мер и основные принципы обеспечения
безопасности информационных технологий
Целью рассмотрения данной темы является обзор видов известных мер противодействия
угрозам безопасности АС (контрмер), а также основных принципов построения систем
защиты информации.
Виды мер противодействия угрозам безопасности
По способам осуществления все меры защиты информации, её носителей и систем её
обработки подразделяются на:
■ правовые (законодательные);
■ морально-этические;
■ организационные (административные и процедурные);
■ технологические;
■ физические;
■ технические (аппаратурные и программные).
Правовые (законодательные)
К правовым мерам защиты относятся действующие в стране законы, указы и другие
нормативные правовые акты, регламентирующие правила обращения с информацией,
закрепляющие права и обязанности участников информационных отношений в процессе
её получения, обработки и использования, а также устанавливающие ответственность за
нарушения этих правил, препятствуя тем самым неправомерному использованию
информации и являющиеся сдерживающим фактором для потенциальных нарушителей.
Правовые меры защиты носят в основном упреждающий, профилактический характер и
требуют постоянной разъяснительной работы с пользователями и обслуживающим
персоналом АС.
М о р а л ьн о -эти ч е ск и е
Информзащита
Технологические
К данному виду мер защиты относятся разного рода технологические решения и приёмы,
основанные обычно на использовании некоторых видов избыточности (структурной,
функциональной, информационной, временной и т.п.) и направленные на уменьшение
возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных
им прав и полномочий. Примером таких мер является использование процедур двойного
ввода ответственной информации, инициализации ответственных операций только при
наличии разрешений от нескольких должностных лиц, процедур проверки соответствия
реквизитов исходящих и входящих сообщений в системах коммутации сообщений,
периодическое подведение общего баланса всех банковских счетов и т.п.
Меры физической защиты
Физические меры защиты основаны на применении разного рода механических, электро-
или электронно-механических устройств и сооружений, специально предназначенных
для создания физических препятствий на возможных путях проникновения и доступа
потенциальных нарушителей к компонентам системы и защищаемой информации, а
также средств визуального наблюдения, связи и охранной сигнализации. К данному типу
относятся также меры и средства контроля физической целостности компонентов АС
(пломбы, наклейки и т.п.).
Технические
Технические меры защиты основаны на использовании различных электронных
устройств и специальных программ, входящих в состав АС и выполняющих
(самостоятельно или в комплексе с другими средствами) функции защиты.
Взаимосвязь рассмотренных выше мер обеспечения безопасности приведена на Рис. 1.4.1.
Информзащита
У чебн ы м ц е н т р
51
Информзащита
У ч еЁ м ьи ц е н т р
и т.п.). Вместе с самими средствами защиты эти люди образуют так называемое «ядро
безопасности». В этом случае, стойкость системы безопасности будет определяться
стойкостью персонала из ядра безопасности системы, и повышать её можно только за
счёт организационных (кадровых) мероприятий, законодательных и морально-этических
мер.
Но, даже имея совершенные законы и проводя оптимальную кадровую политику, все
равно проблему защиты до конца решить не удастся.
Во-первых, потому, что вряд ли удастся найти персонал, в котором можно было быть
абсолютно уверенным, и в отношении которого невозможно было бы предпринять
действий, вынуждающих его нарушить запреты.
Во-вторых, даже абсолютно надёжный человек может допустить случайное,
неумышленное нарушение.
Основные принципы построения системы обеспечения
безопасности информации в автоматизированной системе
Построение системы обеспечения безопасности информации в АС и её
функционирование должны осуществляться в соответствии со следующими основными
принципами:
■ законность
■ системность
■ комплексность
■ непрерывность
■ своевременность
■ преемственность и непрерывность совершенствования
■ разумная достаточность
■ персональная ответственность
■ разделение функций
■ минимизация полномочий
■ взаимодействие и сотрудничество
■ гибкость системы защиты
■ открытость алгоритмов и механизмов защиты
■ простота применения средств защиты
■ научная обоснованность и техническая реализуемость
■ специализация и профессионализм
■ взаимодействие и координация
■ обязательность контроля
Законность
Предполагает осуществление защитных мероприятий и разработку системы безопасности
информации в АС в соответствии с действующим законодательством в области
информации, информационных технологий и защиты информации, других нормативных
правовых актов, руководящих и нормативно-методических документов по безопасности
информации, утверждённых органами государственной власти в пределах их
Информзащита
53
Информзащита
У ч е б т м ц ентр
Преемственность и совершенствование
Предполагают постоянное совершенствование мер и средств защиты информации на
основе преемственности организационных и технических решений, кадрового состава,
анализа функционирования АС и её системы защиты с учётом изменений в методах и
средствах перехвата информации и воздействия на компоненты АС, нормативных
требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
Разделение функций
Принцип Разделения функций, требует, чтобы ни один сотрудник организации не имел
полномочий, позволяющих ему единолично осуществлять выполнение критичных
операций. Все такие операции должны быть разделены на части, и их выполнение должно
быть поручено различным сотрудникам. Кроме того, необходимо предпринимать
специальные меры по недопущению сговора и разграничению ответственности между
этими сотрудниками.
Разумная достаточность
(экономическая целесообразность, сопоставимость возможного ущерба и затрат)
Предполагает соответствие уровня затрат на обеспечение безопасности информации
(ценности информационных ресурсов) величине возможного ущерба от их разглашения,
утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения
безопасности информационных ресурсов не должны заметно ухудшать эргономические
показатели работы АС, в которой эта информация циркулирует. Излишние меры
безопасности, помимо экономической неэффективности, приводят к утомлению и
раздражению персонала.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока
информация находится в обращении, принимаемые меры могут только снизить
вероятность негативных воздействий или ущерб от них, но не исключить их полностью.
При достаточном количестве времени и средств возможно преодолеть любую защиту.
Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения
безопасности. Высокоэффективная система защиты стоит дорого, использует при работе
существенную часть ресурсов компьютерной системы и может создавать ощутимые
дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный
уровень защиты, при котором затраты, риск и размер возможного ущерба были бы
приемлемыми (задача анализа риска).
П ерсональная о тветствен н о сть
Информзащита
У ч еб ны й ц ентр
55
Информзащита
56
Информзащита
У чвбм ы и ц е я т р
57
Раздел I - Тема 5:
Правовые основы обеспечения безопасности
информационных технологий
Введение
Современный этап развития системы обеспечения информационной безопасности
государства и общества характеризуется переходом от тотального сокрытия большого
объёма сведений к гарантированной защищённости принципиально важных данных,
обеспечивающей:
■ конституционные права и свободы граждан, предприятий и организаций в
сфере информатизации;
■ необходимый уровень безопасности информации, подлежащей защите;
■ защищенность систем формирования и использования информационных
ресурсов (технологий, систем обработки и передачи данных).
Ключевым моментом политики государства в данной области является осознание
необходимости защиты любых информационных ресурсов и информационных
технологий, неправомерное обращение с которыми может нанести ущерб их обладателю
(собственнику, владельцу, пользователю) или иному лицу.
В Стратегии развития информационного общества в Российской Федерации
(утверждена Президентом Российской Федерации 07.02.2009 № Пр-212) одной из
ключевых задач, требующих решен™ для достижения целей формирования и развития
информационного общества в России значится противодействие использованию
потенциала информационных и телекоммуникационных технологий в целях угрозы
национальным интересам России:
■ обеспечение безопасности функционирования информационно
телекоммуникационной инфраструктуры;
■ обеспечение безопасности функционирования информационных и
телекоммуникационных систем ключевых объектов инфраструктуры
Российской Федерации, в том числе критических объектов и объектов
повышенной опасности;
■ повышение уровня защищённости корпоративных и индивидуальных
информационных систем;
■ создание единой системы информационно-телекоммуникационного
обеспечения нужд государственного управления, обороны страны,
национальной безопасности и правопорядка;
■ совершенствование правоприменительной практики в области
противодействия угрозам использования информационных и
телекоммуникационных технологий во враждебных целях;
■ обеспечение неприкосновенности частной жизни, личной и семейной тайны,
соблюдение требований по обеспечению безопасности информации
ограниченного доступа;
■ противодействие распространению идеологии терроризма и экстремизма,
пропаганде насилия.
Информзащита
—^1
58
Информзащита
59
Информзащита
Учвбмьм центр
8) предоставление информации - действия, направленные на получение информации
определённым кругом лиц или передачу информации определённому кругу лиц;
9) распространение информации - действия, направленные на получение информации
неопределённым кругом лиц или передачу информации неопределённому кругу лиц;
10) электронное сообщение - информация, переданная или полученная пользователем
информационно-телекоммуникационной сети;
11) документированная информация - зафиксированная на материальном носителе
путём документирования информация с реквизитами, позволяющими определить такую
информацию или в установленных законодательством Российской Федерации случаях её
материальный носитель;
12) оператор информационной системы - гражданин или юридическое лицо,
осуществляющие деятельность по эксплуатации информационной системы, в том числе
по обработке информации, содержащейся в её базах данных.
Согласно ст. 6 данного Федерального закона обладатель информации имеет право:
■ разрешать или ограничивать доступ к информации, определять порядок и
условия такого доступа;
■ использовать информацию, в том числе распространять ее, по своему
усмотрению;
■ передавать информацию другим лицам по договору или на ином
установленном законом основании;
■ защищать установленными законом способами свои права в случае
незаконного получения информации или ее незаконного использования
иными лицами;
■ осуществлять иные действия с информацией или разрешать осуществление
таких действий.
При этом обладатель информации обязан:
■ соблюдать права и законные интересы иных лиц;
■ принимать меры по защите информации;
■ ограничивать доступ к информации, если такая обязанность установлена
федеральными законами.
Кроме того, обладатель информации, оператор информационной системы, в случаях,
установленных законодательством Российской Федерации, обязаны обеспечить.
■ предотвращение несанкционированного доступа к информации и (или)
передачи ее лицам, не имеющим права на доступ к информации;
■ своевременное обнаружение фактов несанкционированного доступа к
информации;
я предупреждение возможности неблагоприятных последствий нарушения
порядка доступа к информации;
■ недопущение воздействия на технические средства обработки информации,
в результате которого нарушается их функционирование;
■ возможность незамедлительного восстановления информации,
модифицированной или уничтоженной вследствие несанкционированного
доступа к ней;
■ постоянный контроль за обеспечением уровня защищенности информации.
Информзащита
61
Информзащита
62
Информзащита
У чвби ьш ц е н т р
63
Ш Информзащита
У чебные ц ентр
обработки персональных данных, состав персональных данных, подлежащих обработке,
действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных
данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие
персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной
системе персональных данных и (или) в результате которых уничтожаются материальные
носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится
невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на
территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу.
Меры по обеспечению безопасности персональных данных при их обработке:
1. Оператор при обработке персональных данных обязан принимать необходимые
организационные и технические меры, в том числе использовать шифровальные
(криптографические) средства, для защиты персональных данных от неправомерного или
случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению
безопасности персональных данных при их обработке в информационных системах
персональных данных, требования к материальным носителям биометрических
персональных данных и технологиям хранения таких данных вне информационных
систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством
Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются
федеральным органом исполнительной власти, уполномоченным в области обеспечения
безопасности, и федеральным органом исполнительной власти, уполномоченным в
области противодействия техническим разведкам и технической защиты информации, в
пределах их полномочий и без права ознакомления с персональными данными,
обрабатываемыми в информационных системах персональных данных.
Информзащита
Учебны й цемтр
65
Информзащита
персональных данных, относящихся к соответствующему субъекту персональных
данных, с момента такого обращения или получения такого запроса на период проверки;
2. В случае подтверждения факта недостоверности персональных данных оператор на
основании документов, представленных субъектом персональных данных или его
законным представителем либо уполномоченным органом по защите прав субъектов
персональных данных, или иных необходимых документов обязан уточнить
персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в
срок, не превышающий трёх рабочих дней с даты такого выявления, обязан устранить
допущенные нарушения. В случае невозможности устранения допущенных нарушений
оператор в срок, не превышающий трёх рабочих дней с даты выявления неправомерности
действий с персональными данными, обязан уничтожить персональные данные. Об
устранении допущенных нарушений или об уничтожен™ персональных данных
оператор обязан уведомить субъекта персональных данных или его законного
представителя, а в случае, если обращение или запрос были направлены
уполномоченным органом по защите прав субъектов персональных данных, также
указанный орган.
4. В случае достижения цепи обработки персональных данных оператор обязан
незамедлительно прекратить обработку персональных данных и уничтожить
соответствующие персональные данные в срок, не превышающий трёх рабочих дней с
даты достижения цели обработки персональных данных, если иное не предусмотрено
федеральными законами, и уведомить об этом субъекта персональных данных или его
законного представителя, а в случае, если обращение или запрос были направлены
уполномоченным органом по защите прав субъектов персональных данных, также
указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих
персональных данных оператор обязан прекратить обработку персональных данных и
уничтожить персональные данные в срок, не превышающий трёх рабочих дней с даты
поступления указанного отзыва, если иное не предусмотрено соглашением между
оператором и субъектом персональных данных. Об уничтожен™ персональных данных
оператор обязан уведомить субъекта персональных данных.
Следует также отметить, что Российская Федерация ратифицировала Конвенцию Совета
Европы о защите физических лиц при автоматизированной обработке персональных
данных Федеральным законом от 19.12.2005 № 160 ФЗ «О ратификации Конвенции
Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных», в котором установлено следующее:
1) Российская Федерация заявляет, что ... не будет применять Конвенцию к
персональным данным:
а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;
б) отнесённым к государственной тайне в порядке, установленном законодательством
Российской Федерации о государственной тайне;
2) Российская Федерация заявляет, что ... будет применять Конвенцию к персональным
данным, которые не подвергаются автоматизированной обработке, если применение
Конвенции соответствует характеру действий, совершаемых с персональными данными
без использования средств автоматизации;
3) Российская Федерация заявляет, что ... оставляет за собой право устанавливать
ограничения права субъекта персональных данных на доступ к персональным данным о
себе в цепях защиты безопасности государства и общественного порядка.
Информзащита
67
Информзащита
Достаточность принятых мер по обеспечению безопасности персональных данных при их
обработке в информационных системах оценивается при проведении государственного
контроля и надзора.
Работы по обеспечению безопасности персональных данных при их обработке в
информационных системах являются неотъемлемой частью работ по созданию
информационных систем.
Средства зашиты информации, применяемые в информационных системах, в
установленном порядке проходят процедуру оценки соответствия.
Обмен персональными данными при их обработке в информационных системах
осуществляется по каналам связи, защита которых обеспечивается путём реализации
соответствующих организационных мер и (или) путём применения технических средств.
Размещение информационных систем, специальное оборудование и охрана помещений, в
которых ведётся работа с персональными данными, организация режима обеспечения
безопасности в этих помещениях должны обеспечивать сохранность носителей
персональных данных и средств защиты информации, а также исключать возможность
неконтролируемого проникновения или пребывания в этих помещениях посторонних
лиц.
Возможные каналы утечки информации при обработке персональных данных в
информационных системах определяются Федеральной службой по техническому и
экспортному контролю и Федеральной службой безопасности Российской Федерации в
пределах их полномочий.
Безопасность персональных данных при их обработке в информационной системе
обеспечивает оператор или лицо, которому на основании договора оператор поручает
обработку персональных данных (далее - уполномоченное лицо). Существенным
условием договора является обязанность уполномоченного лица обеспечить
конфиденциальность персональных данных и безопасность персональных данных при их
обработке в информационной системе.
Мероприятия по обеспечению безопасности персональных данных при их обработке в
информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке,
формирование на их основе модели угроз;
б) разработку на основе модели угроз системы зашиты персональных данных,
обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и
способов защиты персональных данных, предусмотренных для соответствующего класса
информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением
заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с
эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в
информационных системах, правилам работы с ними;
е) учёт применяемых средств защиты информации, эксплуатационной и технической
документации к ним, носителей персональных данных;
ж) учёт лиц, допущенных к работе с персональными данными в информационной
системе;
з) контроль за соблюдением условий использования средств защиты информации,
предусмотренных эксплуатационной и технической документацией;
Информзащита
У чебн ы м ц е н т р
69
Информзащита
хранении биометрических персональных данных вне информационных систем
персональных данных.
Под материальным носителем понимается машиночитаемый носитель информации (в
том числе магнитный и электронный), на котором осуществляются запись и хранение
сведений, характеризующих физиологические особенности человека и на основе которых
можно установить его личность (далее - материальный носитель).
Настоящие требования не распространяются на отношения, возникающие при
использовании:
а) оператором информационной системы персональных данных (далее - оператор)
материальных носителей для организации функционирования информационной системы
персональных данных, оператором которой он является;
б) бумажных носителей для записи и хранения биометрических персональных данных.
Порядок передачи материальных носителей уполномоченным лицам утверждает
оператор. Оператор вправе установить не противоречащие требованиям законодательства
Российской Федерации дополнительные требования к технологиям хранения
биометрических персональных данных вне информационных систем персональных
данных в зависимости от методов и способов защиты биометрических персональных
данных в информационных системах персональных данных этого оператора. Оператор
обязан:
а) осуществлять учёт количества экземпляров материальных носителей;
б) осуществлять присвоение материальному носителю уникального идентификационного
номера, позволяющего точно определить оператора, осуществившего запись
биометрических персональных данных на материальный носитель.
Информзащита
У чебны м ц е н т р
71
Информзащита
■ определение перечня информации, составляющей коммерческую тайну;
■ ограничение доступа к информации, составляющей коммерческую тайну,
путем установления порядка обращения с этой информацией и контроля за
соблюдением такого порядка;
■ учет лиц, получивших доступ к информации, составляющей коммерческую
тайну, и/или лиц, которым такая информация была предоставлена или
передана;
■ регулирование отношений по использованию информации, составляющей
коммерческую тайну, работниками на основании трудовых договоров и
контрагентами на основании гражданско-правовых договоров;
■ нанесение на материальные носители (документы), содержащие
информацию, составляющую коммерческую тайну, грифа «Коммерческая
тайна» с указанием обладателя этой информации (для юридических лиц -
полное наименование и место нахождения, для индивидуальных
предпринимателей —фамилия, имя, отчество гражданина, являющегося
индивидуальным предпринимателем, и место жительства).
Меры по охране конфиденциальности информации признаются разумно достаточными,
если:
■ исключается доступ к информации, составляющей коммерческую тайну,
любых лиц без согласия ее обладателя;
■ обеспечивается возможность использования информации, составляющей
коммерческую тайну, работниками и передачи ее контрагентам без
нарушения режима коммерческой тайны.
Режим коммерческой тайны не может быть использован в целях, противоречащих
требованиям защиты основ конституционного строя, нравственности, здоровья, прав и
законных интересов других лиц, обеспечения обороны страны и безопасности
государства.
К сожалению, вступивший в действие Федеральный закон от 29.07.2004 № 98-ФЗ
«О коммерческой тайне» не в полной мере обеспечивает неприкосновенность
соответствующей информации. В соответствии со статьёй 6 этого Закона, «Обладатель
информации, составляющей коммерческую тайну, по мотивированному требованию
органа государственной власти, иного государственного органа, органа местного
самоуправления предоставляет им на безвозмездной основе информацию, составляющую
коммерческую тайну» При отказе собственника информационных ресурсов добровольно
вьщать информацию, составляющую коммерческую тайну, она может быть получена в
судебном порядке. При этом какого-либо возмещения издержек собственника на
предоставление информации не предусматривается. Кроме того, данный Закон не
предусматривает отмены ранее принятых нормативных документов по вопросам защиты
коммерческой тайны, в том числе и в части, противоречащей Закону. Данное
обстоятельство, к сожалению, не способствует устранению существовавших до принятия
Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» правовых
коллизий.
Также, следует отметить наличие методических документов по технической защиты
информации, составляющей коммерческую тайну, выпущенных ФСТЭК России:
■ Методические рекомендации по технической защите информации,
составляющей коммерческую тайну (утверждены Заместителем директора
ФСТЭК России 25.12.2006);
Информзащита
У чеби*** ц е и т р
73
Информзащита
При необходимости подключения информационных систем, информационно
телекоммуникационных сетей и средств вычислительной техники, указанных выше, к
информационно-телекоммуникационным сетям международного информационного
обмена такое подключение производится только с использованием специально
предназначенных для этого средств защиты информации, в том числе шифровальных
(криптографических) средств, прошедших в установленном законодательством
Российской Федерации порядке сертификацию в Федеральной службе безопасности
Российской Федерации и (или) получивших подтверждение соответствия в Федеральной
службе по техническому и экспортному контролю. Выполнение данного требования
является обязательным для операторов информационных систем, владельцев
информационно-телекоммуникационных сетей и (или) средств вычислительной техники.
Государственные органы в целях защиты общедоступной информации, размещаемой в
информационно-телекоммуникационных сетях международного информационного
обмена, используют только средства защиты информации, прошедшие в установленном
законодательством Российской Федерации порядке сертификацию в Федеральной службе
безопасности Российской Федерации и (или) получившие подтверждение соответствия в
Федеральной службе по техническому и экспортному контролю.
Размещение технических средств, подключаемых к информационно
телекоммуникационным сетям международного информационного обмена, в
помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются
вопросы, содержащие сведения, составляющие государственную тайну, осуществляется
только при наличии сертификата, разрешающего эксплуатацию таких технических
средств в указанных помещениях. Финансирование расходов, связанных с размещением
технических средств в указанных помещениях федеральных органов государственной
власти, осуществляется в пределах бюджетных ассигнований, предусмотренных в
федеральном бюджете на содержание этих органов.
Банковская тайна
В ст.26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской
деятельности» сказано, что «Кредитная организация, Банк России гарантируют тайну об
операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие
кредитной организации обязаны хранить тайну об операциях, счетах и вкладах её
клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной
организацией, если это не противоречит федеральному закону».
Кроме всего прочего, согласно ст.857 части второй Гражданского кодекса Российской
Федерации (Федеральный закон от 25.01.1996 № 14-ФЗ) «Банк гарантирует тайну счёта и
банковского вклада, операций по счёту и сведений о клиенте».
Следовательно к основным объектам банковской тайны, согласно действующему
законодательству, относятся:
■ Тайна банковского счета - сведения о счетах клиентов и корреспондентов
и действиях с ними в кредитной организации (о расчетном, текущем,
бюджетном, депозитном, валютном, корреспондентском и т.п. счете, об
открытии, закрытии, переводе, переоформлении счета и т.п.);
■ Тайна операций по банковскому счету —сведения о принятии и зачислении
поступающих на счет клиента денежных средств, о выполнении его
распоряжений по перечислению и выдаче соответствующих сумм со счета, а
также проведении других операций и сделок по банковскому счету,
предусмотренных договором банковского счета или законом,
установленными в соответствии с ним банковскими правилами, обычаями
делового оборота;
Информзащита
У чебны » цеитр
75
Информзащита
Учебным центр
■ по области применения, в которой извлекается выгода от монопольного
владения (экономическая —коммерческая, политическая, военная и т.п.);
■ по степени важности (гриф).
Другие Федеральные законы и нормативные правовые акты Российской Федерации
предусматривают:
■ лицензирование деятельности предприятий, учреждений и организаций в
области защиты информации;
■ сертификацию средств защиты информации и средств контроля
эффективности защиты, используемых в АС;
■ аттестацию (аттестование) автоматизированных информационных
систем, обрабатывающих информацию с ограниченным доступом на
соответствие требованиям по безопасности информации при проведении
работ со сведениями соответствующей степени конфиденциальности
(секретности);
■ возложение решения вопросов организации лицензирования, аттестации и
сертификации на органы государственного управления в пределах их
компетенции, определенной законодательством Российской Федерации;
■ создание автоматизированных информационных систем в защищенном
исполнении и специальных подразделений, обеспечивающих защиту
информации с ограниченным доступом, являющейся собственностью
государства, а также осуществление контроля защищенности информации и
предоставление прав запрещать или приостанавливать обработку
информации в случае невыполнения требований по обеспечению ее защиты;
■ определение прав и обязанностей субъектов в области защиты информации.
Лицензирование
Лицензирование —деятельность лицензирующих органов по предоставлению,
переоформлению лицензий, продлению срока действия лицензий в случае, если
ограничение срока действия лицензий предусмотрено федеральными законами,
осуществлению лицензионного контроля, приостановлению, возобновлению,
прекращению действия и аннулированию лицензий, формированию и ведению реестра
лицензий, формированию государственного информационного ресурса, а также по
предоставлению в установленном порядке информации по вопросам лицензирования.
Лицензия - специальное разрешение на право осуществления юридическим лицом или
индивидуальным предпринимателем конкретного вида деятельности (выполнения работ,
оказания услуг, составляющих лицензируемый вид деятельности), которое
подтверждается документом, выданным лицензирующим органом на бумажном носителе
или в форме электронного документа, подписанного электронной подписью, в случае,
если в заявлении о предоставлении лицензии указывалось на необходимость выдачи
такого документа в форме электронного документа.
Законодательство Российской Федерации предусматривает установление Правительством
Российской Федерации порядка ведения лицензионной деятельности, перечня видов
деятельности, на осуществление которых требуется лицензия, и органов,
уполномоченных на ведение лицензионной деятельности.
В соответствии со статьёй 12 Федерального закона от 04.05.2011 № 99-ФЗ
«О лицензировании отдельных видов деятельности» обязательному лицензированию
подлежат следующие виды деятельности (в области защиты информации):
■ разработка, производство, распространение шифровальных
(криптографических) средств, информационных систем и
Информзащита
У чебн ы м ц е н т р
77
Информзащита
Лицензионными требованиями, предъявляемыми к соискателю лицензии на
осуществление деятельности по технической защите конфиденциальной информации
(далее - лицензия), являются:
а) наличие у соискателя лицензии:
• юридического лица - специалистов, находящихся в штате соискателя лицензии,
имеющих высшее профессиональное образование в области технической защиты
информации либо высшее техническое или среднее профессиональное (техническое)
образование и прошедших переподготовку или повышение квалификации по вопросам
технической защиты информации;
• индивидуального предпринимателя - высшего профессионального образования в
области технической защиты информации либо высшего технического или среднего
профессионального (технического) образования при условии прохождения им
переподготовки или повышения квалификации по вопросам технической защиты
информации;
б) наличие помещений для осуществления лицензируемого вида деятельности,
соответствующих установленным законодательством Российской Федерации
техническим нормам и требованиям по технической зашите информации и
принадлежащих соискателю лицензии на праве собственности или на ином законном
основании;
в) наличие на праве собственности или на ином законном основании контрольно
измерительного оборудования (прошедшего в соответствии с законодательством
Российской Федерации метрологическую поверку (калибровку) и маркирование),
производственного и испытательного оборудования, соответствующего требованиям по
техническим характеристикам и параметрам, устанавливаемым Федеральной службой по
техническому и экспортному контролю (при выполнении работ и (или) оказании услуг,
предусмотренных подпунктами "а", "в", "г" и "е" пункта 4 Положения);
г) наличие на праве собственности или на ином законном основании средств контроля
защищенности информации от несанкционированного доступа, сертифицированных по
требованиям безопасности информации, в соответствии с перечнем, утверждаемым
Федеральной службой по техническому и экспортному контролю (при выполнении работ
и (или) оказании услуг, предусмотренных подпунктами "б", "в" и "г" пункта 4
Положения);
д) наличие автоматизированных систем, предназначенных для обработки
конфиденциальной информации, а также средств защиты такой информации, прошедших
процедуру оценки соответствия (аттестованных и (или) сертифицированных по
требованиям безопасности информации) в соответствии с законодательством Российской
Федерации;
е) наличие предназначенных для осуществления лицензируемого вида деятельности
программ для электронно-вычислительных машин и баз данных, принадлежащих
соискателю лицензии на праве собственности или на ином законном основании;
ж) наличие технической документации, национальных стандартов и методических
документов, необходимых для выполнения работ и (или) оказания услуг,
предусмотренных пунктом 4 настоящего Положения, в соответствии с утверждаемым
Федеральной службой по техническому и экспортному контролю перечнем и
принадлежащих соискателю лицензии на праве собственности или на ином законном
основании;
з) наличие системы производственного контроля в соответствии с установленными
стандартами (при выполнении работ, указанных в подпункте "в" пункта 4 Положения).
Информзащита
79
Информзащита
Учебный центр
Таким образом, вся деятельность по обеспечению технической защиты
конфиденциальной информации подпадает под обязательное лицензирование, т.е.
владелец АС, в рамках которой обрабатывается, хранится или передаётся
конфиденциальная информация, должен обладать лицензией на проведение работ по
технической защите информации, либо привлекать для проведения подобных работ
компании, обладающие такой лицензией.
Другим важным документом, требующим особого внимания, является постановление
Правительства Российской Федерации от 16.04.2012 № 313 «Об утверждении положения
о лицензировании деятельности по разработке, производству, распространению
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, выполнению работ, оказанию услуг в области шифрования
информации, техническому обслуживанию шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств (за исключением случая,
если техническое обслуживание шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств, осуществляется для
обеспечения собственных нужд юридического лица или индивидуального
предпринимателя)».
К шифровальным (криптографическим) средствам (средствам криптографической
защиты информации), включая документацию на эти средства, относятся:
а) средства шифрования - аппаратные, программные и программно-аппаратные
шифровальные (криптографические) средства, реализующие алгоритмы
криптографического преобразования информации для ограничения доступа к ней, в том
числе при ее хранении, обработке и передаче;
б) средства имитозащиты - аппаратные, программные и программно-аппаратные
шифровальные (криптографические) средства (за исключением средств шифрования),
реализующие алгоритмы криптографического преобразования информации для ее
защиты от навязывания ложной информации, в том числе защиты от модифицирования,
для обеспечения ее достоверности и некорректируемости, а также обеспечения
возможности выявления изменений, имитации, фальсификации или модифицирования
информации;
в) средства электронной подписи;
г) средства кодирования - средства шифрования, в которых часть криптографических
преобразований информации осуществляется с использованием ручных операций или с
использованием автоматизированных средств, предназначенных для выполнения таких
операций;
д) средства изготовления ключевых документов - аппаратные, программные,
программно-аппаратные шифровальные (криптографические) средства, обеспечивающие
возможность изготовления ключевых документов для шифровальных
(криптографических) средств, не входящие в состав этих шифровальных
(криптографических) средств;
е) ключевые документы - электронные документы на любых носителях информации, а
также документы на бумажных носителях, содержащие ключевую информацию
ограниченного доступа для криптографического преобразования информации с
использованием алгоритмов криптографического преобразования информации
(криптографический ключ) в шифровальных (криптографических) средствах;
ж) аппаратные шифровальные (криптографические) средства - устройства и их
компоненты, в том числе содержащие ключевую информацию, обеспечивающие
Информзащита
У ч е б н ы * и ви тр
81
Информзащита
е) приемной аппаратуры для радиовещания, коммерческого телевидения или аналогичной
коммерческой аппаратуры для вещания на ограниченную аудиторию без шифрования
цифрового сигнала, кроме случаев использования шифрования исключительно для
управления видео- или аудиоканалами и отправки счетов или возврата информации,
связанной с программой, провайдерам вещания;
ж) оборудования, криптографические возможности которого недоступны пользователю,
специально разработанного и ограниченного для осуществления следующих функций:
• исполнение программного обеспечения в защищенном от копирования виде;
• обеспечение доступа к защищенному от копирования содержимому,
хранящемуся только на доступном для чтения носителе информации, либо
доступа к информации, хранящейся в зашифрованной форме на носителях, когда
эти носители информации предлагаются на продажу населению в идентичных
наборах;
• контроль копирования аудио- и видеоинформации, защищенной авторскими
правами;
з) шифровального (криптографического) оборудования, специально разработанного и
ограниченного применением для банковских или финансовых операций в составе
терминалов единичной продажи (банкоматов), POS-терминалов и терминалов оплаты
различного вида услуг, криптографические возможности которых не могут быть
изменены пользователями;
и) портативных или мобильных радиоэлектронных средств гражданского назначения
(например, для использования в коммерческих гражданских системах сотовой
радиосвязи), которые не способны к сквозному шифрованию (то есть от абонента к
абоненту);
к) беспроводного оборудования, осуществляющего шифрование информации только в
радиоканале с максимальной дальностью беспроводного действия без усиления и
ретрансляции менее 400 м в соответствии с техническими условиями производителя (за
исключением оборудования, используемого на критически важных объектах);
л) шифровальных (криптографических) средств, используемых для защиты
технологических каналов информационно-телекоммуникационных систем и сетей связи,
не относящихся к критически важным объектам;
м) товаров, у которых криптографическая функция гарантированно заблокирована
производителем.
Лицензионными требованиями при осуществлении лицензируемой деятельности
являются:
а) наличие у соискателя лицензии (лицензиата) права собственности или иного законного
основания на владение и использование помещений, сооружений, технологического,
испытательного, контрольно-измерительного оборудования и иных объектов,
необходимых для осуществления лицензируемой деятельности;
б) выполнение соискателем лицензии (лицензиатом) при осуществлении лицензируемой
деятельности требований по обеспечению информационной безопасности,
устанавливаемых в соответствии со статьями 11.2 и 13 Федерального закона "О
федеральной службе безопасности";
в) наличие у соискателя лицензии (лицензиата) условий для соблюдения
конфиденциальности информации, необходимых для выполнения работ и оказания услуг,
составляющих лицензируемую деятельность, в соответствии с требованиями о
соблюдении конфиденциальности информации, установленными Федеральным законом
"Об информации, информационных технологиях и о защите информации";
Информзащита
Учебным центр
83
Информзащита
измерений", принадлежащих ему на праве собственности или ином законном
основании и необходимых для выполнения работ и оказания услуг, указанных в
пунктах 1 -11,16 -19 перечня;
ж) представление соискателем лицензии (лицензиатом) в лицензирующий орган перечня
шифровальных (криптографических) средств, в том числе иностранного производства, не
имеющих сертификата Федеральной службы безопасности Российской Федерации,
технической документации, определяющей состав, характеристики и условия
эксплуатации этих средств, и (или) образцов шифровальных (криптографических)
средств;
з) использование соискателем лицензии (лицензиатом) предназначенных для
осуществления лицензируемой деятельности программ для электронных
вычислительных машин и баз данных, принадлежащих соискателю лицензии
(лицензиату) на праве собственности или ином законном основании.
Информзащита
У чебн ы м ц е н т р
85
Информзащита
также средств её защиты, прошедших процедуру оценки соответствия
(аттестованных и (или) сертифицированных по требованиям безопасности
информации) в соответствии с законодательством Российской Федерации.
В остальных случаях сертификация и аттестация носят добровольный характер
(добровольная сертификация и аттестация) и может осуществляться по инициативе
заказчика или владельца объекта информатизации.
В Федеральном законе от 27.12.2002 № 184-ФЗ «О техническом регулировании» даны
следующие определения:
■ оценка соответствия - прямое или косвенное определение соблюдения
требований, предъявляемых к объекту;
■ подтверждение соответствия - документальное удостоверение соответствия
продукции или иных объектов, процессов проектирования (включая изыскания),
производства, строительства, монтажа, наладки, эксплуатации, хранения,
перевозки, реализации и утилизации, выполнения работ или оказания услуг
требованиям технических регламентов, положениям стандартов, сводов правил
или условиям договоров;
■ сертификация - форма осуществляемого органом по сертификации
подтверждения соответствия объектов требованиям технических регламентов,
положениям стандартов, сводов правил или условиям договоров;
■ декларирование соответствия - форма подтверждения соответствия
продукции требованиям технических регламентов;
■ технический регламент - документ, который принят международным
договором Российской Федерации, ратифицированным в порядке, установленном
законодательством Российской Федерации, или межправительственным
соглашением, заключённым в порядке, установленном законодательством
Российской Федерации, или федеральным законом, или указом Президента
Российской Федерации, или постановлением Правительства Российской
Федерации, или нормативным правовым актом федерального органа
исполнительной власти по техническому регулированию и устанавливает
обязательные для применения и исполнения требования к объектам технического
регулирования (продукции, в том числе зданиям, строениям и сооружениям или к
связанным с требованиями к продукции процессам проектирования (включая
изыскания), производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации и утилизации);
■ форма подтверждения соответствия —определённый порядок
документального удостоверения соответствия продукции или иных объектов,
процессов проектирования (включая изыскания), производства, строительства,
монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации,
выполнения работ или оказания услуг требованиям технических регламентов,
положениям стандартов или условиям договоров;
■ схема подтверждения соответствия - перечень действий участников
подтверждения соответствия, результаты которых рассматриваются ими в
качестве доказательств соответствия продукции и иных объектов установленным
требованиям.
Подтверждение соответствия осуществляется в целях:
■ удостоверения соответствия продукции, процессов проектирования (включая
изыскания), производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации и утилизации, работ, услуг или иных объектов
техническим регламентам, стандартам, сводам правил, условиям договоров;
Информзащита
У чебн ы м ц е н т р
87
I Информзащита
« ' Уче&ньм центр
реализации, утилизации, захоронения соответственно указанной продукции и указанных
объектов обязательными требованиями наряду с требованиями технических регламентов
являются требования, установленные государственными заказчиками, федеральными
органами исполнительной власти, уполномоченными в области обеспечения
безопасности, обороны, внешней разведки, противодействия техническим разведкам и
технической защиты информации, государственного управления использованием
атомной энергии, государственного регулирования безопасности при использовании
атомной энергии, и (или) государственными контрактами (договорами). Особенности
оценки соответствия указанной продукции (работ, услуг) и объектов, а также
соответственно процессов их проектирования (включая изыскания), производства,
строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации,
утилизации, захоронения устанавливаются Правительством Российской Федерации.
Технический регламент должен содержать перечень и (или) описание объектов
технического регулирования, требования к этим объектам и правила их идентификации в
целях применения технического регламента. Технический регламент должен содержать
правила и формы оценки соответствия (в том числе в техническом регламенте могут
содержаться схемы подтверждения соответствия, порядок продления срока действия
выданного сертификата соответствия), определяемые с учетом степени риска, предельные
сроки оценки соответствия в отношении каждого объекта технического регулирования и
(или) требования к терминологии, упаковке, маркировке или этикеткам и правилам их
нанесения. Технический регламент должен содержать требования энергетической
эффективности.
Оценка соответствия проводится в формах:
■ государственного контроля (надзора);
■ аккредитации;
■ испытания;
■ регистрации;
■ подтверждения соответствия;
■ приёмки и ввода в эксплуатацию объекта, строительство которого закончено;
■ и в иной форме.
Не включённые в технические регламенты требования к продукции или к связанным с
ними процессам проектирования (включая изыскания), производства, строительства,
монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации,
правилам и формам оценки соответствия, правила идентификации, требования к
терминологии, упаковке, маркировке или этикеткам и правилам их нанесения не могут
носить обязательный характер.
Обязательное подтверждение соответствия проводится только в случаях, установленных
соответствующим техническим регламентом, и исключительно на соответствие
требованиям технического регламента. Объектом обязательного подтверждения
соответствия может быть только продукция, выпускаемая в обращение на территории
Российской Федерации.
Форма и схемы обязательного подтверждения соответствия могут устанавливаться
только техническим регламентом с учётом степени риска недостижения целей
технических регламентов.
Декларация о соответствии и сертификат соответствия имеют равную юридическую силу
и действуют на всей территории Российской Федерации в отношении каждой единицы
продукции, выпускаемой в обращение на территории Российской Федерации во время
действия декларации о соответствии или сертификата соответствия, в течение срока
Информзащита
У чеб н ы м ц е н т р
89
Информзащита
■ информацию об объекте подтверждения соответствия, позволяющую
идентифицировать этот объект;
■ наименование технического регламента, на соответствие требованиям которого
подтверждается продукция;
■ указание на схему декларирования соответствия;
■ заявление заявителя о безопасности продукции при её использовании в
соответствии с целевым назначением и принятии заявителем мер по обеспечению
соответствия продукции требованиям технических регламентов;
■ сведения о проведённых исследованиях (испытаниях) и измерениях, сертификате
системы качества, а также документах, послуживших основанием для
подтверждения соответствия продукции требованиям технических регламентов;
■ срок действия декларации о соответствии;
■ иные предусмотренные соответствующими техническими регламентами
сведения.
Срок действия декларации о соответствии определяется техническим регламентом.
Форма декларации о соответствии утверждается федеральным органом исполнительной
власти по техническому регулированию.
Оформленная заявителем декларация о соответствии подлежит регистрации в едином
реестре деклараций о соответствии в течение трёх дней. Порядок формирования и
ведения единого реестра деклараций о соответствии, порядок регистрации деклараций о
соответствии, предоставления содержащихся в указанном реестре сведений определяются
уполномоченным Правительством Российской Федерации федеральным органом
исполнительной власти.
Обязательная сертификация осуществляется органом по сертификации на основании
договора с заявителем. Схемы сертификации, применяемые для сертификации
определённых видов продукции, устанавливаются соответствующим техническим
регламентом.
Соответствие продукции требованиям технических регламентов подтверждается
сертификатом соответствия, выдаваемым заявителю органом по сертификации.
Сертификат соответствия включает в себя:
■ наименование и местонахождение заявителя;
■ наименование и местонахождение изготовителя продукции, прошедшей
сертификацию;
■ наименование и местонахождение органа по сертификации, выдавшего
сертификат соответствия;
■ информацию об объекте сертификации, позволяющую идентифицировать этот
объект;
■ наименование технического регламента, на соответствие требованиям которого
проводилась сертификация;
■ информацию о проведённых исследованиях (испытаниях) и измерениях;
■ информацию о документах, представленных заявителем в орган по сертификации
в качестве доказательств соответствия продукции требованиям технических
регламентов;
■ срок действия сертификата соответствия.
Информзащита
Учвбмми центр
91
Информзащита
У че&ньм центр
92
Информзащита
У ч еб н ы й ц е н т р
93
Информзащита
■ Временная методика оценки защищённости помещений от утечки речевой
конфиденциальной информации по каналам электроакустических
преобразований
• и другие;
■ в области криптографического преобразования информации при ее хранении
и передаче по каналам связи:
• ГОСТ 28147-89. Системы обработки информации. Защита
криптографическая. Алгоритм криптографического преобразования;
• ГОСТ Р 34.10-2001. Информационная технология. Криптографическая
защита информации. Процессы формирования и проверки электронной
цифровой подписи;
• ГОСТ Р 34.11-94. Функция хеширования;
• документы ФСБ России:
■ Положение о разработке, изготовлении и обеспечении эксплуатации
шифровальной техники, систем связи и комплексов вооружения,
использующих шифровальную технику (ПШ-93);
■ Положение о разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты информации
(Положение ПКЗ-2005);
■ Инструкция об организации и обеспечении безопасности хранения,
обработки и передачи по каналам связи с использованием средств
криптографической защиты информации с ограниченным доступом, не
содержащей сведений, составляющих государственную тайну;
• и другие.
Остановимся более детально на вопросах сертификации средств защиты. Следует
отметить, что после передачи лицензирующих подразделений ФАПСИ в ведение
ФСБ России основные принципы системы лицензирования и сертификации не
изменились. Все ранее выданные ФАПСИ лицензии и сертификаты оставались
действительными на обозначенный в них срок.
Сертификация
Под сертификацией средств защиты информации по требованиям безопасности
информации понимается деятельность по подтверждению их соответствия требованиям
государственных стандартов или иных нормативных документов по защите информации,
утверждённых уполномоченными федеральными органами исполнительной власти в
пределах ргх компетенции.
Сертификат соответствия —документ, выданный по правилам системы сертификации
для подтверждения соответствия сертифицированной продукции установленным
требованиям.
Знак соответствия - зарегистрированный в установленном порядке знак, которым по
правилам, установленным в данной системе сертификации, подтверждается соответствие
маркированной им продукции установленным требованиям.
Средства защиты информации (СЗИ) - технические, криптографические, программные
и другие средства, предназначенные для защиты сведений конфиденциального характера,
а также средства контроля эффективности защиты информации.
Руководящий документ ФСТЭК России «Средства вычислительной техники. Зашита от
несанкционированного доступа к информации. Показатели защищённости средств
Информзащита
Учебным ц ентр
95
Информзащита
^
*— Уче&ньм ц ентр
^Г1
Также следует отметить руководящий документ ФСТЭК Росс™ «Средства
вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа
к информации. Показатели защищённости от несанкционированного доступа к
информации», который устанавливает классификацию межсетевых экранов (МЭ) по
уровню защищённости от несанкционированного доступа к информации на базе перечня
показателей защищённости и совокупности описывающих их требований (см. Рис. 1.5.4).
Межсетевой экран —локальное (однокомпонентное) или функционально-
распределённое средство (комплекс), реализующее контроль за информацией,
поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством
фильтрации информации, т.е. её анализа по совокупности критериев и принятия решения
о её распространении в (из) АС.
Информзащита
У ч е б н ы * и ви тр
97
I Информзащита
У чебнм ! центр
"^Г1
0i $
J. с
"\
1Д 1Г IB 1Б ] A ” 1 группа
9 классов
^ защищенности
2Б | 2A 1 2 гРУппа от НСД
ЗБ v ЗА 3 'py” na
J Рис.
1.5.5. Классы защищённости АС
Информзащита
У чебным ц ентр
99
J 1 1 1
1Д 1Г 1В 1Б 1А АС
3 СВТ
ВДВ
4 1 МЭ
Информзащита
Ф
100
по унификации национальных стандартов. В 1993 году организации США, Канады,
Великобритании, Франции, Германии и Нидерландов [Национальный институт
стандартов и технологии, Агентство национальной безопасности (США), Учреждение
безопасности коммуникаций (Канада), Агентство информационной безопасности
(Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы
исполнения Программы безопасности и сертификации ИТ (Великобритания), Центр
обеспечения безопасности систем (Франция)], объединили свои усилия в рамках проекта,
получившего название «Общие критерии оценки безопасности информационных
технологий» (Common Criteria for Information Technology Security Evaluation).
Разработка версии 1.0 «Общих критериев...» была завершена в январе 1996 года и
одобрена международной организацией по стандартизации (ISO) уже в апреле 1996 года.
Появление международного стандарта явилось новым этапом в развитии нормативной
базы оценки информационной безопасности. Новые критерии обеспечили взаимное
признание результатов стандартизованной оценки безопасности на мировом рынке ИТ.
«Общие критерии...» обобщили содержание и опыт использования «Оранжевой книги»,
развили оценочные уровни доверия «Европейских критериев...», воплотили в реальные
структуры концепцию типовых профилей защиты «Федеральных критериев...». В
«Общих критериях...» проведена классификация широкого набора функциональных
требований и требований доверия к безопасности, определены способы их группирования
и принципы использования.
В мае 1998 года была опубликована версия 2.0 «Общих критериев...» и на её основе в
июне 1999 года был принят международный стандарт ISO/IEC 15408:1999 (Information
technology — Security techniques — Evaluation criteria for IT security).
Практически одновременно с «Общими критериями...» разрабатывались версии «Общей
методологии оценки безопасности информационных технологий». В августе 1999 года
опубликована версия 1.0 «Общей методологии оценки..» (часть 2) для оценочных уровней
доверия (ОУД) \А . В январе 2004 году опубликованы версии 2.2, а в августе 2005 г.
версии 2.3 «Общих критериев.. .» и «Общей методологии оценки..». Именно они легли в
основу стандартов ISO/IEC 15408:2005 и ISO/IEC 180:2005 (Information technology —
Security techniques — Methodology for П security evaluation) соответственно.
В июле 2005 года опубликованы новые версии 3.0 «Общих критериев...» и «Общей
методологии оценки..», в которых предыдущие версии подверглись существенной
ревизии. Однако, как показало обсуждение этих версий в международном сообществе,
далеко не все предложенные авторами изменения были целесообразны и корректны. В
результате, в сентябре 2006 года появились версии 3.1 «Общих критериев...» и «Общей
методологии оценки..», которые и были признаны официальными версиями. Именно эти
версии, с определёнными доработками, легли в основу уже третьей и на данный момент
последней, версии стандарта ISO/IEC 15408, части которого вышли в 2008 и 2009 годах.
Надо сказать, что Россия достаточно сильно отставала от этого движения. Только в 2002
году постановлением Госстандарта России году был принят
ГОСТ Р ИСО/МЭК 15408-2002, содержащий полный аутентичный текст международного
стандарта ISO/IEC 15408:1999 (введён в действие с 1 января 2004 года). Вскоре была
принята вторая редакция стандарта - ГОСТ Р ИСО/МЭК 15408-2008, содержащая
полный текст международного стандарта ISO/IEC 15408:2005. Однако, как уже было
сказано, с 2005 по 2008 годы международный стандарт подвергся серьёзным
переработкам, которые не нашли своего отражения в действующей в России версии
документа.
Главная тенденция, которая прослеживается на протяжении целого ряда стандартов в
области информационной безопасности — отказ от жёсткой универсальной шкалы
классов безопасности и обеспечение гибкости в подходе к оценке безопасности
различных типов ИТ-продуктов. Именно это стремление объясняет столь сложную на
первый взгляд логическую структуру стандарта ISO/IEC 15408.
Информзащита
УчвСмьм центр
101
Информзащита
Общие критерии предполагается использовать как при задании требований к продуктам и
системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла.
Стандарт ГОСТ Р ИСО/МЭК 15408-2008 не меняет сложившейся в России методологии
защиты, однако по уровню систематизации, полноте и степени детализации требований,
универсальности и гибкости значительно превосходит действующие в настоящее время
руководящие документы.
В качестве основы для разработки нормативных документов по оценке безопасности
информационных технологий был принят руководящий документ (РД) «Безопасность
информационных технологий. Критерии оценки безопасности информационных
технологий» (введён в действие с 1 августа 2002 г. приказом председателя
Гостехкомиссии России от 19.06.2002 № 187), который и применяется при проведении
сертификации средств защиты информации. Самым главным недостатком РД является
то, что он был на разработан на основе старой редакции ОК и не учитывает всех тех
изменений, которые были внесены в ISO/TEC 15408.
Основной целью РД является повышение доверия к безопасности продуктов и систем
информационных технологий. Положения руководящего документа направлены на
создание продуктов и систем информационных технологий с уровнем безопасности,
адекватным имеющимся по отношению к ним угрозам и проводимой политике
безопасности с учётом условий применения, что должно обеспечить оптимизацию
продуктов и систем ИГ по критерию «эффективность - стоимость».
Под безопасностью информационной технологии понимается состояние ИТ,
определяющее защищённость информации и ресурсов ИТ от действия объективных и
субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также
способность ИТ выполнять предписанные функции без нанесения неприемлемого ущерба
субъектам информационных отношений.
Доверие к безопасности ИТ обеспечивается, как реализацией в них необходимых
функциональных возможностей, так и осуществлением комплекса мер по обеспечению
безопасности при разработке продуктов и систем ИТ, проведением независимых оценок
их безопасности и контролем её уровня при эксплуатации.
Требования к безопасности конкретных продуктов и систем ИТ устанавливаются исходя
из имеющихся и прогнозируемых угроз безопасности, проводимой политики
безопасности, а также с учётом условий их применения. При формировании требований
должны в максимальной степени использоваться компоненты требований,
представленные в настоящем руководящем документе. Допускается также использование
и других требований безопасности, при этом уровень детализации и способ выражения
требований, представленных в настоящем руководящем документе, должны
использоваться в качестве образца. Требования безопасности могут задаваться
Заказчиком в техническом задании на разработку продуктов и систем ИТ или
формироваться Разработчиком при создании им продуктов ИТ самостоятельно.
Требования безопасности, являющиеся общими для некоторого типа продуктов или
систем ИТ, могут оформляться в виде представленной в настоящем руководящем
документе структуры, именуемой «Профиль защиты». Профили защиты, прошедшие
оценку в установленном порядке, регистрируются и помещаются в каталог оценённых
профилей защиты.
Оценка и сертификация безопасности ИТ проводится на соответствие требованиям,
представляемым Разработчиком продукта или системы ИТ в Задании по безопасности.
Требования заданий по безопасности продуктов и систем ИТ, предназначенных для
использования в областях применения, регулируемых государством, должны
соответствовать требованиям установленных профилей защиты.
Руководящий документ состоит из трёх частей.
Информзащита
У чебн ы м ц е н т р
103
Информзащита
У ч еб ной ц ентр
104
Информзащита
105
Информзащита
Учеймьм ц«мтр
воздействий с целью нарушения целостности (модификации, уничтожения) и
доступности информации в процессе её обработки, передачи и хранения, а также
работоспособности технических средств.
При защите информации в локальных вычислительных сетях (ЛВС) конфиденциальная
информация может обрабатываться только в ЛВС, расположенных в пределах
контролируемой зоны.
Средства зашиты информации от НСД должны использоваться во всех узлах ЛВС
независимо от наличия (отсутствия) конфиденциальной информации в данном узле ЛВС
и требуют постоянного квалифицированного контроля настроек СЗИ администратором
безопасности информации. Класс защищённости ЛВС определяется в соответствии с
требованиями действующих руководящих документов ФСТЭК России.
Для управления, контроля защищённости ЛВС и распределения системных ресурсов в
ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой,
передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по
требованиям безопасности информации средства защиты.
Юридическая значимость электронных документов с
электронной подписью
Вопросы юридической значимости электронных документов представлены в
приведённых ниже нормативных документах.
Гражданский кодекс Российской Федерации. Часть 1. Глава 9. Статья 160. Письменная
форма сделки:
2. Использование при совершении сделок факсимильного воспроизведения подписи с
помощью средств механического или иного копирования, электронно-цифровой подписи
либо иного аналога собственноручной подписи допускается в случаях и в порядке,
предусмотренных законом, иными правовыми актами или соглашением сторон.
Гражданский кодекс Российской Федерации. Часть 1. Глава 28. Статья 434. Форма
договора:
2. Договор в письменной форме может быть заключён путём составления одного
документа, подписанного сторонами, а также путём обмена документами посредством
почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи,
позволяющей достоверно установить, что документ исходит от стороны по договору.
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»:
Статья 11. Документирование информации
4. В целях заключения гражданско-правовых договоров или оформления иных
правоотношений, в которых участвуют лица, обменивающиеся электронными
сообщениями, обмен электронными сообщениями, каждое из которых подписано
электронной подписью или иным аналогом собственноручной подписи отправителя
такого сообщения, в порядке, установленном федеральными законами, иными
нормативными правовыми актами или соглашением сторон, рассматривается как обмен
документами.
5. Право собственности и иные вещные права на материальные носители, содержащие
документированную информацию, устанавливаются гражданским законодательством.
Федеральный закон от 06.04.2011 № 63-Ф3 «Об электронной подписи» определяет
основные понятия, связанные с ЭП следующим образом:
■ электронная подпись - информация в электронной форме, которая
присоединена к другой информации в электронной форме (подписываемой
Информзащита
107
Информзащита
Настоящий Федеральный закон регулирует отношения в области использования
электронных подписей при совершении гражданско-правовых сделок, оказании
государственных и муниципальных услуг, исполнении государственных и
муниципальных функций, при совершении иных юридически значимых
действий.
Статья 3. Правовое регулирование отношений в области использования
электронных подписей
1. Отношения в области использования электронных подписей регулируются
настоящим Федеральным законом, другими федеральными законами,
принимаемыми в соответствии с ними нормативными правовыми актами, а
также соглашениями между участниками электронного взаимодействия. Если
иное не установлено федеральными законами, принимаемыми в соответствии с
ними нормативными правовыми актами или решением о создании
корпоративной информационной системы, порядок использования электронной
подписи в корпоративной информационной системе может устанавливаться
оператором этой системы или соглашением между участниками электронного
взаимодействия в ней.
2. Виды электронных подписей, используемых органами исполнительной власти
и органами местного самоуправления, порядок их использования, а также
требования об обеспечении совместимости средств электронных подписей при
организации электронного взаимодействия указанных органов между собой
устанавливает Правительство Российской Федерации.
Статья 5. Виды электронных подписей
1. Видами электронных подписей, отношения в области использования которых
регулируются настоящим Федеральным законом, являются простая электронная
подпись и усиленная электронная подпись. Различаются усиленная
неквалифицированная электронная подпись (далее - неквалифицированная
электронная подпись) и усиленная квалифицированная электронная подпись
(далее - квалифицированная электронная подпись).
2. Простой электронной подписью является электронная подпись, которая
посредством использования кодов, паролей или иных средств подтверждает
факт формирования электронной подписи определённым лицом.
3. Неквалифицированной электронной подписью является электронная подпись,
которая:
1) получена в результате криптографического преобразования информации с
использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ
после момента его подписания;
4) создаётся с использованием средств электронной подписи.
4. Квалифицированной электронной подписью является электронная подпись,
которая соответствует всем признакам неквалифицированной электронной
подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном
сертификате;
2) для создания и проверки электронной подписи используются средства
электронной подписи, получившие подтверждение соответствия требованиям,
установленным в соответствии с настоящим Федеральным законом.
Информзащита
У ч еб м ьм ц е н т р
109
Информзащита
1. Электронные подписи, созданные в соответствии с нормами права
иностранного государства и международными стандартами, в Российской
Федерации признаются электронными подписями того вида, признакам которого
они соответствуют на основании настоящего Федерального закона.
2. Электронная подпись и подписанный ею электронный документ не могут
считаться не имеющими юридической силы только на том основании, что
сертификат ключа проверки электронной подписи выдан в соответствии с
нормами иностранного права.
Статья 9. Использование простой электронной подписи
1. Электронный документ считается подписанным простой электронной
подписью при выполнении в том числе одного из следующих условий:
1) простая электронная подпись содержится в самом электронном документе;
2) ключ простой электронной подписи применяется в соответствии с правилами,
установленными оператором информационной системы, с использованием
которой осуществляются создание и (или) отправка электронного документа, и в
созданном и (или) отправленном электронном документе содержится
информация, указывающая на лицо, от имени которого был создан и (или)
отправлен электронный документ.
2. Нормативные правовые акты и (или) соглашения между участниками
электронного взаимодействия, устанавливающие случаи признания электронных
документов, подписанных простой электронной подписью, равнозначными
документам на бумажных носителях, подписанным собственноручной
подписью, должны предусматривать, в частности:
1) правила определения лица, подписывающего электронный документ, по его
простой электронной подписи;
2) обязанность лица, создающего и (или) использующего ключ простой
электронной подписи, соблюдать его конфиденциальность.
3. К отношениям, связанным с использованием простой электронной подписи, в
том числе с созданием и использованием ключа простой электронной подписи,
не применяются правила, установленные статьями 1 0 - 1 8 настоящего
Федерального закона.
4. Использование простой электронной подписи для подписания электронных
документов, содержащих сведения, составляющие государственную тайну, или в
информационной системе, содержащей сведения, составляющие
государственную тайну, не допускается.
Статья 10. Обязанности участников электронного взаимодействия при
использовании усиленных электронных подписей
При использовании усиленных электронных подписей участники электронного
взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в
частности не допускать использование принадлежащих им ключей электронных
подписей без их согласия;
2) уведомлять удостоверяющий центр, выдавший сертификат ключа проверки
электронной подписи, и иных участников электронного взаимодействия о
нарушении конфиденциальности ключа электронной подписи в течение не более
чем одного рабочего дня со дня получения информации о таком нарушении;
3) не использовать ключ электронной подписи при наличии оснований полагать,
что конфиденциальность данного ключа нарушена;
Информзащита
У ч«бмьш ц е н т р
I ll
J Информзащита
t -- ^ У ч еб ны * ц ентр
платы или иного дохода осуждённого за период до восемнадцати месяцев с лишением
права занимать определённые должности или заниматься определённой деятельностью на
срок до трёх лет либо лишением свободы на срок до пяти лет.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлёкшие
тяжкие последствия, -
наказываются лишением свободы на срок до десяти лет.
В настоящее время состав компьютерных преступлений приведён в главе 28 Уголовного
кодекса Российской Федерации «Преступления в сфере компьютерной информации» и
содержит три статьи.
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть
информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние
повлекло уничтожение, блокирование, модификацию либо копирование информации,
нарушение работы ЭВМ, системы ЭВМ или их сети, -
наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной
платы или иного дохода осуждённого за период до восемнадцати месяцев, либо
исправительными работами на срок до одного года, либо лишением свободы на срок до
двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или
организованной группой либо лицом с использованием своего служебного положения, а
равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -
наказывается штрафом в размере от ста тысяч до трёхсот тысяч рублей или в размере
заработной платы или иного дохода осуждённого за период от одного года до двух лет,
либо исправительными работами на срок от одного года до двух лет, либо арестом на
срок от трёх до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение
вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы,
заведомо приводящих к несанкционированному уничтожению, блокированию,
модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ
или их сети, а равно использование либо распространение таких программ или машинных
носителей с такими программами -
наказываются лишением свободы на срок до трёх лет со штрафом в размере до двухсот
тысяч рублей или в размере заработной платы или иного дохода осужденного за период
до восемнадцати месяцев.
2. Те же деяния, повлёкшие по неосторожности тяжкие последствия, -
наказываются лишением свободы на срок до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ,
системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим
доступ к ЭВМ, системе ЭВМ или их сети, повлёкшее уничтожение, блокирование или
модификацию охраняемой законом информации ЭВМ, если это деяние причинило
существенный вред, -
наказывается лишением права занимать определённые должности или заниматься
определённой деятельностью на срок до пяти лет, либо обязательными работами на срок
от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до
двух лет.
2. То же деяние, повлёкшее по неосторожности тяжкие последствия, -
наказывается лишением свободы на срок до четырёх лет.
Информзащита
113
Информзащита
114
Информзащита
2. В случае неисполнения или ненадлежащего исполнения договора авторского заказа, за
которое автор несёт ответственность, автор обязан возвратить заказчику аванс, а также
уплатить ему неустойку, если она предусмотрена договором. При этом общий размер
указанных выплат ограничен суммой реального ущерба, причинённого заказчику.
Статья 1301. Ответственность за нарушение исключительного
права на произведение
В случаях нарушения исключительного права на произведение автор или иной
правообладатель наряду с использованием других применимых способов защиты и мер
ответственности, установленных настоящим Кодексом (статьи 1250, 1252 и 1253), вправе
в соответствии с пунктом 3 статьи 1252 настоящего Кодекса требовать по своему выбору
от нарушителя вместо возмещения убытков выплаты компенсации:
в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по
усмотрению суда;
в двукратном размере стоимости экземпляров произведения или в двукратном размере
стоимости права использования произведения, определяемой исходя из цены, которая
при сравнимых обстоятельствах обычно взимается за правомерное использование
произведения.
Статья 1311. Ответственность за нарушение исключительного
права на объект смежных прав
В случаях нарушения исключительного права на объект смежных прав обладатель
исключительного права наряду с использованием других применимых способов защиты
и мер ответственности, установленных настоящим Кодексом (статьи 1250,1252 и 1253),
вправе в соответствии с пунктом 3 статьи 1252 настоящего Кодекса требовать по своему
выбору от нарушителя вместо возмещения убытков выплаты компенсации:
в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по
усмотрению суда;
в двукратном размере стоимости экземпляров фонограммы или в двукратном размере
стоимости права использования объекта смежных прав, определяемой исходя из цены,
которая при сравнимых обстоятельствах обычно взимается за правомерное
использование такого объекта.
Статья 1472. Ответственность за нарушение исключительного
п р а в а на с е к р е т п р о и з в о д с т в а
Информзащита
Статья 11. Охрана конфиденциальности информации
в рамках трудовых отношений
1. В целях охраны конфиденциальности информации работодатель обязан :
1) ознакомить под расписку работника, доступ которого к информации, составляющей
коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с
перечнем информации, составляющей коммерческую тайну, обладателями которой
является работодатель и его контрагенты;
2) ознакомить под расписку работника с установленным работодателем режимом
коммерческой тайны и с мерами ответственности за его нарушение;
3) создать работнику необходимые условия для соблюдения им установленного
работодателем режима коммерческой тайны.
2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется
с его согласия, если это не предусмотрено его трудовыми обязанностями.
3. В целях охраны конфиденциальности информации работник обязан
1) выполнять установленный работодателем режим коммерческой тайны;
2) не разглашать информацию, составляющую коммерческую тайну, обладателями
которой являются работодатель и его контрагенты, и без их согласия не использовать эту
информацию в личных целях;
5) передать работодателю при прекращении или расторжении трудового договора
имеющиеся в пользовании работника материальные носители информации, содержащие
информацию, составляющую коммерческую тайну.
6. Трудовым договором с руководителем организации должны предусматриваться его
обязательства по обеспечению охраны конфиденциальности информации, обладателем
которой являются организация и её контрагенты, и ответственность за обеспечение
охраны её конфиденциальности.
8. Работник имеет право обжаловать в судебном порядке незаконное установление
режима коммерческой тайны в отношении информации, к которой он получил доступ в
связи с исполнением им трудовых обязанностей.
Статья 14. Ответственность за нарушение
Федерального закона «О коммерческой тайне»
1. Нарушение настоящего Федерального закона влечёт за собой дисциплинарную,
гражданско-правовую, административную или уголовную ответственность в
соответствии с законодательством Российской Федерации.
2. Работник, который в связи с исполнением трудовых обязанностей получил доступ к
информации, составляющей коммерческую тайну, обладателями которой являются
работодатель и его контрагенты, в случае умышленного или неосторожного разглашения
этой информации при отсутствии в действиях такого работника состава преступления
несёт дисциплинарную ответственность в соответствии с законодательством Российской
Федерации.
3. Органы государственной власти, иные государственные органы, органы местного
самоуправления, получившие доступ к информации, составляющей коммерческую тайну,
несут перед обладателем информации, составляющей коммерческую тайну, гражданско-
правовую ответственность за разглашение или незаконное использование этой
информации их должностными лицами, государственными или муниципальными
служащими указанных органов, которым она стала известна в связи с выполнением ими
должностных (служебных) обязанностей.
Информзащита
У ч еб и ь ж ц е н т р
117
Информзащита
Раздел I - Тема б :
Государственная система защиты
информации
Введение
Структура государственной системы защиты информации в Российской Федерации, её
задачи и функции, основы организации защиты сведений, отнесённых в установленном
порядке к государственной или служебной тайне, определены в «Положении о
государственной системе защиты информации в Российской Федерации от иностранных
технических разведок и от её утечки по техническим каналам», утверждённом
постановлением Совета Министров - Правительства Российской Федерации
от 15.09.1993 №912-51.
Настоящее Положение является документом, обязательным для выполнения при
проведении работ по защите информации, содержащей сведения, составляющие
государственную или служебную тайну, в органах (аппаратах, администрациях)
представительной, исполнительной и судебной властей Российской Федерации,
республик в составе Российской Федерации, автономной области, автономных округов,
краёв, областей, городов Москвы и Санкт-Петербурга и в органах местного
самоуправления (далее именуются - органы государственной власти), на предприятиях и
в их объединениях, учреждениях и организациях независимо от их организационно
правовой формы и формы собственности (далее именуются - предприятия).
Работы по защите информации в органах государственной власти и на предприятиях
проводятся на основе актов законодательства Российской Федерации.
Защита информации осуществляется путём выполнения комплекса мероприятий по
предотвращению утечки информации по техническим каналам, несанкционированного
доступа к ней, предупреждению преднамеренных программно-технических воздействий с
целью разрушения (уничтожения) или искажения информации в процессе обработки,
передачи и хранения, по противодействию иностранным техническим разведкам, а также
путём проведения специальных работ, порядок организации и выполнения которых
определяется Правительством Российской Федерации.
Мероприятия по защите информации являются составной частью управленческой,
научной и производственной деятельности и осуществляются во взаимосвязи с другими
мерами по обеспечению установленного режима секретности проводимых работ.
Главными направлениями работ по защите информации являются:
■ обеспечение эффективного управления системой защиты информации;
■ определение сведений, охраняемых от технических средств разведки, и
демаскирующих признаков, раскрывающих эти сведения;
■ анализ и оценка реальной опасности перехвата информации техническими
средствами разведки, несанкционированного доступа, разрушения
(уничтожения) или искажения информации путем преднамеренных
программно-технических воздействий в процессе ее обработки, передачи и
хранения в технических средствах, выявление возможных технических
каналов утечки сведений, подлежащих защите;
■ разработка организационно-технических мероприятий по защите
информации и их реализация;
■ организация и проведение контроля состояния защиты информации.
Информзащита
0
Учаб и м » Щ И р
119
I Информзащита
в-— У ч е б м ь * центр
^ Г1
■ контроль состояния защиты информации в органах государственной власти
и на предприятиях.
Государственную систему защиты информации образуют (см. Рис. 1.6.1):
■ Федеральная служба по техническому и экспортному контролю и ее
центральный аппарат;
■ Федеральная служба безопасности Российской Федерации, Министерство
внутренних дел Российской Федерации, Министерство обороны Российской
Федерации, Федеральная служба охраны Российской Федерации, Служба
внешней разведки Российской Федерации, их структурные подразделения по
защите информации;
■ структурные и межотраслевые подразделения по защите информации
органов государственной власти;
■ управления Федеральной службы по техническому и экспортному контролю
по федеральным округам;
■ головная научно-исследовательская организация в Российской Федерации по
защите информации (ФГУП «Научно-исследовательский испытательный
институт проблем технической защиты информации» Федеральной службы
по техническому и экспортному контролю);
■ головные и ведущие научно-исследовательские, научно-технические,
проектные и конструкторские организации по защите информации органов
государственной власти;
■ предприятия, проводящие работы по оборонной тематике и другие работы с
использованием сведений, отнесенных к государственной или служебной
тайне, их подразделения по защите информации;
■ предприятия, специализирующиеся на проведении работ в области защиты
информации;
■ высшие учебные заведения и институты повышения квалификации по
подготовке и переподготовке кадров в области защиты информации.
ФСТЭК России является межведомственным коллегиальным органом и возглавляет
государственную систему защиты информации.
Права и функции ФСТЭК России и её центрального аппарата определяются
«Положением о Федеральной службе по техническому и экспортному контролю»,
утверждённым Указом Президента Российской Федерации от 16.08.2004 № 1085 и
«Положением о государственной системе защиты информации в Российской Федерации
от иностранных технических разведок и от её утечки по техническим каналам»,
утверждённом постановлением Совета Министров - Правительства Российской
Федерации от 15.09.1993 № 912-51.
Права и функции в области защиты информации Федеральной службы безопасности
Российской Федерации, Министерства обороны Российской Федерации, Министерства
внутренних дел Российской Федерации, Федеральной службы охраны Российской
Федерации и Службы внешней разведки Российской Федерации определяются
положениями об этих органах.
Информзащита
У чебн ы м ц е н т р
121
Головная научно
Управления Ф СТЭ К России ФСТЭК
исследовательская
по федеральным округам России организация по ЗИ
Предприятия, специализирующиеся на
выполнении работ в области ЗИ
Предприятия, проводящие работы с
использованием сведений, отнесенных к
Высшие учебные заведения и институты
государственной или служебной тайне,
повышения квалификации по подготовке и
их подразделения по ЗИ
переподготовке кадров в области ЗИ
I Информзащита
Учебный ц ентр
должности и освобождение от должности руководителей этих подразделений
производятся по согласованию с ФСТЭК России.
Допускается создание при органе государственной власти в соответствии с актами
законодательства Российской Федерации самостоятельных предприятий различных
организационно-правовых форм и форм собственности, на которые могут быть
возложены функции структурных, а также межотраслевых подразделений по защите
информации.
В целях обеспечения принципа коллегиальности при рассмотрении важнейших вопросов
защиты информации в органах государственной власти могут создаваться технические
комиссии, межотраслевые или отраслевые советы.
Управления ФСТЭК России по федеральным округам, в пределах своих зон
ответственности:
■ проверяют и оценивают состояние защиты информации и оказывают
методическую помощь на местах в организации и проведении мероприятий
по защите информации;
■ участвуют в аттестовании объектов по выполнению требований обеспечения
защиты информации при проведении работ со сведениями соответствующей
степени секретности.
Границы зон ответственности специальных центров определяет директор
ФСТЭК России.
Головная научно-исследовательская организация в Российской Федерации по защите
информации, головные и ведущие научно-исследовательские, научно-технические,
проектные и конструкторские организации по защите информации органов
государственной власти в пределах своей специализации разрабатывают научные основы
и концепции, проекты федеральных программ, нормативно-технических и методических
документов по защите информации, обобщают и анализируют информацию о силах и
средствах технической разведки, прогнозируют её возможности, осуществляют
разработку (корректировку) модели иностранной технической разведки и методик оценки
её возможностей, проводят научные исследования и работы по созданию технических
средств защиты информации и контроля за её эффективностью.
Организация работ по защите информации на предприятиях осуществляется их
руководителями.
В зависимости от объёма работ по защите информации руководителем предприятия
создаётся структурное подразделение по защите информации либо назначаются штатные
специалисты по этим вопросам.
Подразделения по защите информации (штатные специалисты) на предприятиях
осуществляют мероприятия по защите информации в ходе выполнения работ с
использованием сведений, отнесённых к государственной или служебной тайне,
определяют совместно с заказчиком работ основные направления комплексной зашиты
информации, участвуют в согласовании технических (тактико-технических) заданий на
проведение работ, дают заключение о возможности проведения работ с информацией,
содержащей сведения, отнесённые к государственной или служебной тайне.
Указанные подразделения (штатные специалисты) подчиняются непосредственно
руководителю предприятия или его заместителю. Работники этих подразделений
(штатные специалисты) приравниваются по оплате труда к соответствующим категориям
работников основных структурных подразделений.
Для проведения работ по защите информации могут привлекаться на договорной основе
специализированные предприятия, имеющие лицензии на право проведения работ в
области защиты информации.
Информзащита
123
Информзащита
телевизионные устройства, средства изготовления, тиражирования
документов и другие технические средства обработки графической,
смысловой и буквенно-цифровой информации), используемые для
обработки информации, содержащей сведения, отнесенные к
государственной или служебной тайне;
■ технические средства и системы, не обрабатывающие информацию, но
размещенные в помещениях, где обрабатывается (циркулирует)
информация, содержащая сведения, отнесенные к государственной или
служебной тайне, а также сами помещения, предназначенные для ведения
секретных переговоров.
Целями защиты информации являются:
■ предотвращение утечки информации по техническим каналам;
■ предотвращение несанкционированного уничтожения, искажения,
копирования, блокирования информации в системах информатизации;
■ соблюдение правового режима использования массивов, программ
обработки информации, обеспечение полноты, целостности, достоверности
информации в системах обработки;
■ сохранение возможности управления процессом обработки и пользования
информацией.
Защита информации осуществляется путём:
■ предотвращения перехвата техническими средствами информации,
передаваемой по каналам связи;
■ предотвращения утечки обрабатываемой информации за счет побочных
электромагнитных излучений и наводок, создаваемых функционирующими
техническими средствами, а также электроакустических преобразований;
■ исключения несанкционированного доступа к обрабатываемой или
хранящейся в технических средствах информации;
■ предотвращения специальных программно-технических воздействий,
вызывающих разрушение, уничтожение, искажение информации или сбои в
работе средств информатизации;
■ выявления возможно внедренных на объекты и в технические средства
электронных устройств перехвата информации (закладных устройств);
■ предотвращения перехвата техническими средствами речевой информации
из помещений и объектов.
Предотвращение перехвата техническими средствами информации, передаваемой по
каналам связи, достигается применением криптографических и иных методов и средств
защиты, а также проведением организационно-технических и режимных мероприятий.
Предотвращение утечки обрабатываемой информации за счёт побочных
электромагнитных излучений и наводок, а также электроакустических преобразований
достигается применением защищённых технических средств, аппаратных средств
защиты, средств активного противодействия, экранированием зданий или отдельных
помещений, установлением контролируемой зоны вокруг средств информатизации и
другими организационными и техническими мерами.
Исключение несанкционированного доступа к обрабатываемой или хранящейся в
технических средствах информации достигается применением специальных программно
технических средств защиты, использованием криптографических способов защиты, а
также организационными и режимными мероприятиями.
Информзащита
У ч еб и ьш ц е н т р
125
Информзащита
внешней разведки Российской Федерации и Федеральной службой охраны Российской
Федерации, структурными и межотраслевыми подразделениями органов государственной
власти, входящими в государственную систему защиты информации, и предприятиями в
соответствии с их компетенцией.
Акты проверок предприятий рассылаются их руководителями в орган, проводивший
проверку, и в орган государственной власти по подчинённости предприятия.
ФСТЭК России организует контроль силами центрального аппарата и управлений
ФСТЭК России по федеральным округам. Она может привлекать для этих целей
подразделения по защите информации органов государственной власти.
Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции
контроль в органах государственной власти и на предприятиях, обеспечивает
методическое руководство работами по контролю (за исключением объектов и
технических средств, защита которых входит в компетенцию ФСБ России, МВД России,
Минобороны России, СВР России, ФСО Росси).
Управления ФСТЭК России по федеральным округам, в пределах своей компетенции
осуществляют контроль в органах государственной власти и на предприятиях,
расположенных в зонах ответственности этих центров.
Органы государственной власти организуют и осуществляют контроль на подчинённых
им предприятиях через свои подразделения по защите информации. Повседневный
контроль за состоянием защиты информации на предприятиях проводится силами их
подразделений по защите информации.
Контроль на предприятиях негосударственного сектора при выполнении работ с
использованием сведений, отнесённых к государственной или служебной тайне,
осуществляется органами государственной власти, ФСТЭК России, ФСБ России, и
заказчиком работ в соответствии с их компетенцией.
Защита информации считается эффективной, если принимаемые меры соответствуют
установленным требованиям или нормам.
Несоответствие мер установленным требованиям или нормам по защите информации
является нарушением.
Нарушения по степени важности делятся на три категории:
■ первая - невыполнение требований или норм по защите информации, в
результате чего имелась или имеется реальная возможность ее утечки по
техническим каналам;
■ вторая - невыполнение требований по защите информации, в результате
чего создаются предпосылки к ее утечке по техническим каналам;
■ третья - невыполнение других требований по защите информации.
При обнаружении нарушений первой категории руководители органов государственной
власти и предприятий обязаны:
■ немедленно прекратить работы на участке (рабочем месте), где обнаружены
нарушения и принять меры по их устранению;
■ организовать в установленном порядке расследование причин и условий
появления нарушений с целью недопущения их в дальнейшем и привлечения
к ответственности виновных лиц;
■ сообщить в ФСТЭК России, ФСБ России, руководству органа
государственной власти и заказчику о вскрытых нарушениях и принятых
мерах.
Информзащита
У чебны м ц е н т р
127
Информзащита
128
Раздел I - Тема 7:
Основные защитные механизмы, реализуемые
в рамках различных мер и средств защиты
Информзащита
У чеб н ы й ц е н т р
129
ж
J L -'
я к
Информзащита
У ч е б н ы ! центр
В связи с этим в Международном стандарте ISO/IEC 27002 рекомендуется использовать в
информационной системе сервисы, не допускающие передачу пароля в открытом виде.
Именно поэтому, современные защищённые информационные системы применяют, как
правило, хеширование и шифрование передаваемых паролей, а также одноразовые
пароли.
В качестве эффективного средства против подбора паролей могут быть использованы
организационные меры в виде систематической смены пароля пользователями.
Другим важным достоинством парольной аутентификацией является её интеллектуальная
составляющая, т.е. связь с разумом и сознанием пользователя. В совершенных с точки
зрения безопасности информационных системах пароли должны храниться
исключительно в «человеческой» памяти пользователей без записи на любой
материальный носитель информации.
Другой способ аутентификации связан с использованием «отчуждаемых» элементов,
которыми уникально обладают пользователи (смарт-карты, дискеты, ключевые
контейнеры, радиочастотные бесконтактные карточки, электронные таблетки iButton и
т.п.). Как правило, подобный механизм применяется в совокупности с дополнительной
парольной аутентификацией (вводом PIN-кода), образуя двухфакторную систему
аутентификации. Типичным примером двухфакгорной аутентификации является защита
ключевых контейнеров на различных носителях (смарт-картах, е-токенов и др.) с
помощью PIN-кода.
В качестве другого примера двухфакгорной аутентификации можно привести
технологию RSA Secure ГО, показанную на Рис. 1.7.2.
Запрос на аутентификацию
I D 1____________ ш а SecurlD'
Псевдослучайное число A i
________ I D 2____________
Ш
E J
2
Псевдослучайное число А 2
Li Ш п
______ ID п
Информзащита
У чебн ы м ц е н т р
131
И Информзащита
Учебным центр
Субъект - это активный компонент системы (пользователь, процесс, программа),
действия которого регламентируются правилами разграничения доступа.
Доступ к информации - ознакомление с информацией (чтение, копирование), её
модификация (корректировка), уничтожение (удаление) и т.п.
Доступ к ресурсу —получение субъектом возможности манипулировать данным
ресурсом (использовать, управлять, изменять настройки и т.п.).
Правила разграничения доступа - совокупность правил, регламентирующих права
доступа субъектов к объектам в некоторой системе.
Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение
установленных в системе правил разграничения доступа.
Авторизация —предоставление аутентифицированному субъекту соответствующих
(предписанных установленным порядком) прав на доступ к объектам системы: какие
данные и как он может использовать (какие операции с ними выполнять), какие
программы может выполнять, когда, как долго и с каких терминалов может работать,
какие ресурсы системы может использовать и т.п.
Авторизованный субъект доступа - субъект, которому предоставлены
соответствующие права доступа к объектам системы (полномочия).
Авторизация пользователей осуществляется с использованием следующих основных
механизмов реализации разграничения доступа:
■ механизмов избирательного управления доступом, основанных на
использовании атрибутных схем, списков разрешений и т.п.;
■ механизмов полномочного управления доступом, основанных на
использовании меток конфиденциальности ресурсов и уровней допуска
пользователей;
■ механизмов обеспечения замкнутой среды доверенного программного
обеспечения (индивидуальных для каждого пользователя списков
разрешенных для использования программ),
поддерживаемых механизмами идентификации и аутентификации пользователей при их
входе в систему.
Технические средства разграничения доступа к ресурсам АС должны рассматриваться
как составная часть единой системы контроля доступа субъектов:
■ на контролируемую территорию;
■ в отдельные здания и помещения организации;
■ к элементам АС и элементам системы защиты информации (физический
доступ);
■ к информационным и программным ресурсам АС.
Механизмы управления доступом субъектов к объектам доступа выполняют основную
роль в обеспечении внутренней безопасности компьютерных систем. Их работа строится
на концепции единого диспетчера доступа. Сущность этой концепции состоит в том, что
диспетчер доступа (монитор ссылок) - выступает посредником-контролером при всех
обращениях субъектов к объектам (см. Рис. 1.7.3).
Информзащита
У чвб м и аи тр
133
Правила
iразграничения
• доступа
ia
Субъект
доступа
Информзащита
У ч в б и м центр
Основу базы данных средств разграничения доступа в общем случае составляет
абстрактная матрица доступа или её реальные представления. Каждая строка этой
матрицы соответствует субъекту, а столбец - объекту АС. Каждый элемент этой матрицы
представляет собой кортеж (упорядоченную совокупность значений), определяющий
права доступа (для всех возможных видов доступа —чтение, модификация, удаление и
т.п.) определённого субъекта к определённому объекту (см. Рис. 1.7.4).
1 2
объекты
.. J J+1
а к
П рава д оступа
i-го с у о ъ е к т а
а
t ... K j-M y о б ъ е к т у
а>
&
ю
>- /,
о
Информзащита
У чеб н ы м ц е н т р
135
1 ^1l*N
Информзащита
y~ irfiiii ы центр
■ так как списки управления доступом связаны с субъектом, то при удалении
объекта возможно возникновение ситуации, при которой субъект может
иметь права на доступ к несуществующему объекту.
Атрибутные схемы
Информзащита
У чебн ы м ц е н т р
137
J Информзащита
1-» —^ У ч е б н а ц ентр
138
Информзащита
139
Информзащита
криптографического преобразования информации без использования программ для
электронных вычислительных машин;
з) программные шифровальные (криптографические) средства - программы для
электронных вычислительных машин и их части, в том числе содержащие ключевую
информацию, обеспечивающие возможность преобразования информации в соответствии
с алгоритмами криптографического преобразования информации в программно
аппаратных шифровальных (криптографических) средствах, информационных системах
и телекоммуникационных системах, защищенных с использованием шифровальных
(криптографических) средств;
и) программно-аппаратные шифровальные (криптографические) средства - устройства и
их компоненты (за исключением информационных систем и телекоммуникационных
систем), в том числе содержащие ключевую информацию, обеспечивающие возможность
преобразования информации в соответствии с алгоритмами криптографического
преобразования информации с использованием программ для электронных
вычислительных машин, предназначенных для осуществления этих преобразований
информации или их части.
Криптографические технологии защиты информации позволяют решать следующие
задачи:
■ аутентификация абонентов;
■ контроль целостности данных;
■ закрытие данных, хранимых в АС или передаваемых по каналам связи;
■ разграничение ответственности на основе обеспечения аутентичности и
неотказу емости.
Основным достоинством криптографических методов является то, что они обеспечивают
высокую гарантированную стойкость защиты, которую можно рассчитать и выразить в
числовой форме (средним числом операций или временем, необходимым для раскрытия
зашифрованной информации или вычисления ключей).
К числу основных недостатков криптографических методов следует отнести:
■ значительные затраты ресурсов (времени, производительности процессоров)
на выполнение криптографических преобразований информации;
■ трудности совместного использования зашифрованной (подписанной)
информации, связанные с управлением ключами (генерация, распределение
и т.д.);
■ высокие требования к сохранности секретных ключей и защиты открытых
ключей от подмены.
Криптография делится на два класса: криптография с симметричными ключами и
криптография с открытыми ключами.
Криптография с симметричными ключами
В криптографии с симметричными ключами (классическая криптография) абоненты
используют один и тот же (общий) ключ (секретный элемент), как для шифрования, так и
для расшифрования данных.
Следует выделить следующие преимущества криптографии с симметричными ключами:
■ относительно высокая производительность алгоритмов;
■ высокая криптографическая стойкость алгоритмов на единицу длины ключа.
К недостаткам криптографии с симметричными ключами следует отнести:
Информзащита
У чебн ы м ц е н т р
141
J Информзащита
Учеймь* центр
Г*
ШещттшШ
ключ
Канал
▼
«■в
Щуфрование связи Расшифрование Я
ь#* ЭД
ЭД
ГС=> т$
Г
I .....
" Открытый
О тправитель КЛЮЧ Получатель
ЯЛ
— к эд •
W
I
I Расшифрсешие |
Шифрование
ф *
Hash
(ЭД) Канал I
Т
А
связи I
.J
I
Информзащита
Учебным ц ентр
143
Комбинированный метод
(шифрование) Шифр„К1ПОЧ
О ткры ты й
текст для
секретной
пер едачи
Генератор
случайного
ключа
А )
Информзащита
N
Доверие к открытому ключу и цифровые сертификаты
Центральным вопросом схемы открытого распределения ключей является вопрос доверия
к полученному открытому ключу партнёра, который в процессе передачи или хранения
может быть модифицирован или подменен. Для широкого класса практических систем
(системы электронного документооборота, системы Клиент-Банк, межбанковские
системы электронных расчётов), в которых возможна личная встреча партнёров до начала
обмена ЭД, эта задача имеет относительно простое решение - взаимная сертификация
открытых ключей.
Эта процедура заключается в том, что каждая сторона при личной встрече удостоверяет
подписью уполномоченного лица и печатью бумажный документ - распечатку
содержимого открытого ключа другой стороны. Этот бумажный сертификат является, во-
первых, обязательством стороны использовать для проверки подписи под входящими
сообщениями данный ключ, и, во-вторых, обеспечивает юридическую значимость
взаимодействия. Действительно, рассмотренные бумажные сертификаты позволяют
однозначно идентифицировать мошенника среди двух партнёров, если один из них
захочет подменить ключи.
Таким образом, для реализации юридически значимого электронного взаимодействия
двух сторон необходимо заключить договор, предусматривающий обмен сертификатами.
Сертификат представляет собой документ, связывающий личностные данные владельца и
его открытый ключ. В бумажном виде он должен содержать рукописные подписи
уполномоченных лиц и печати.
В системах, где отсутствует возможность предварительного личного контакта партнёров,
необходимо использовать цифровые сертификаты, выданные и заверенные ЭП
доверенного посредника - удостоверяющего или сертификационного центра.
На Рис. 1.7.9 показана схема электронного взаимодействия двух партнёров с участием
центра сертификации (ЦС).
ЭЛ Пеятра ..
С ертиф икации
Информзащита
145
Сертификат Х509
Идентификатор пользователя
ЭП эмитента
Сертификат может выпушен
только уполномоч екньгм Идентификатор алгоритма ЭП
эмитентом (С А) н содержит
рннствент ю ЭП эмитент*
Информзащита
Уче&нмй центр
■ проверку аннулирования сертификата.
В случае если сертификат партнёра не утратил свою силу, а ЭП используется в
отношениях, в которых она имеет юридическое значение, открытый ключ партнёра
извлекается из сертификата. На основании этого открытого ключа может быть проверена
ЭП партнёра под ЭД.
Важно отметить, что в соответствии с Федеральным законом «Об электронной подписи»
подтверждением подлинности ЭП в ЭД является положительный результат проверки
соответствующим сертифицированным средством ЭП с использованием сертификата
ключа подписи (см. Рис. 1.7.11).
ЦС, обеспечивая безопасность взаимодействия партнёров, выполняет следующие
функции:
■ создает сертификаты ключей проверки электронных подписей и выдает
такие сертификаты лицам, обратившимся за их получением (заявителям);
■ устанавливает сроки действия сертификатов ключей проверки электронных
подписей;
■ аннулирует выданные этим удостоверяющим центром сертификаты ключей
проверки электронных подписей;
■ выдает по обращению заявителя средства электронной подписи, содержащие
ключ электронной подписи и ключ проверки электронной подписи (в том
числе созданные удостоверяющим центром) или обеспечивающие
возможность создания ключа электронной подписи и ключа проверки
электронной подписи заявителем;
■ ведет реестр выданных и аннулированных этим удостоверяющим центром
сертификатов ключей проверки электронных подписей (далее - реестр
сертификатов), в том числе включающий в себя информацию,
содержащуюся в выданных этим удостоверяющим центром сертификатах
ключей проверки электронных подписей, и информацию о датах
прекращения действия или аннулирования сертификатов ключей проверки
электронных подписей и об основаниях таких прекращения или
аннулирования;
■ устанавливает порядок ведения реестра сертификатов, не являющихся
квалифицированными, и порядок доступа к нему, а также обеспечивает
доступ лиц к информации, содержащейся в реестре сертификатов, в том
числе с использованием информационно-телекоммуникационной сети
«Интернет»;
■ создает по обращениям заявителей ключи электронных подписей и ключи
проверки электронных подписей;
■ проверяет уникальность ключей проверки электронных подписей в реестре
сертификатов;
■ осуществляет по обращениям участников электронного взаимодействия
проверку электронных подписей;
■ осуществляет иную связанную с использованием электронной подписи
деятельность.
Информзащита
У чеб н ы м ц е н т р
147
tn ;
"Формирование
ЭП
ЭД
Г
ЭД
I
1 Проверка сертификата с пополню открытого нпоча ЦС. 2Лкпорг открытего кпюта
отправителя. 3. Проверка ЭП отправителя
Информзащита
V'pwfii» 1 центр
148
требует доверия только относительно малому числу корневых ЦС. В то же время эта
модель позволяет иметь различное число ЦС, выдающих сертификаты.
* I ч
Выдающий (issuing) > Ц
Г,
Информзащита
У чеб н ы й ц е н т р
149
■ содержимое ресурса;
■ списки управления доступом;
■ атрибуты файлов;
Алгоритмы контроля:
■ сравнение с эталоном;
■ вычисление контрольных сумм (сигнатур);
■ формирование ЭП и имитовставок;
Время контроля:
■ до загрузки ОС;
■ при наступлении событий;
■ по расписанию.
Обнаружение атак
Обнаружение вторжений (атак) - это процесс мониторинга событий, происходящих в
АС, с целью поиска признаков нарушений безопасности.
Выше было сказано, что нарушением безопасности (просто нарушением или атакой)
называется реализация угрозы безопасности (наступление соответствующего события).
Например, просматривая журнал регистрации событий и обнаружив там большое
количество неудачных попыток аутентификации за короткий промежуток времени
(Рис. 1.7.13), можно сделать вывод, что произошла атака «подбор пароля». В данном
случае, определённое число неудачных попыток аутентификации за определённый
период времени —это и есть признак нарушения безопасности.
Теоретически, поиск признаков атак может выполняться вручную (в этом случае он
сводится к рассмотренному выше анализу собранной средствами регистрации
информации, что, в принципе, позволяет выявить факты совершения нарушений), но суть
механизма обнаружения атак состоит именно в автоматизации данного процесса.
Таким образом, система (средство) обнаружения вторжений (атак) - это программное
(или программно-аппаратное) обеспечение, автоматизирующее процесс обнаружения
атак.
Для приведённого выше примера с журналом это означает, что система будет непрерывно
осуществлять мониторинг журнала «Security» и при обнаружении там определённого
количества записей, свидетельствующих о неудачных попытках аутентификации за
единицу времени, будет произведено соответствующее оповещение (Рис. 1.7.14).
Информзащита
V’ WiBi m i ц ентр
150
Считается, что впервые механизм обнаружения атак был «обозначен» в работе Джеймса
Андерсена (James Anderson) «Computer Security Threat Monitoring and Surveillance»
(Рис. 1.7.15).
1 .1 In tro d u c tio n
T h is i s th e T in s ! r e p o r t o f a s tu d y , t h e p u r p o s e o f w h ic h w a s t o im p r o v e
s y s te m s .
Информзащита
Учебным центр
151
Информзащита
Учобмьм центр
■^Г1
защиты или частичной потере работоспособности АС вследствие некорректной работы
средств защиты.
Внедрение средств защиты осложняется ещё и тем, что правильно настроить данные
средства с первого раза обычно не представляется возможным. Это, как правило, связано
с отсутствием у заказчика полного детального списка всех подлежащих защите
аппаратных, программных и информационных ресурсов системы и готового
непротиворечивого перечня прав и полномочий каждого пользователя АС по доступу к
ресурсам системы.
Поэтому, этап внедрения средств защиты информации обязательно в той или иной мере
включает действия по первоначальному выявлению, итеративному уточнению и
соответствующему изменению настроек средств защиты. Эти действия должны
проходить для владельцев и пользователей системы как можно менее болезненно.
Очевидно, что те же самые действия неоднократно придётся повторять администратору
безопасности и на этапе эксплуатации системы каждый раз при изменениях состава
технических средств, программного обеспечения, персонала и пользователей и т.д. Такие
изменения происходят довольно часто, поэтому средства управления системы защиты
должны обеспечивать удобство осуществления необходимых при этом изменений
настроек системы защиты. Такова «диалектика» применения средств защиты. Если
система защиты не учитывает этой диалектики, не обладает достаточной гибкостью и не
обеспечивает удобство перенастройки, то такая система очень быстро становится не
помощником, а обузой для всех, в том числе и для администраторов безопасности, и
обречена на отторжение.
Для поддержки и упрощения действий по настройке средств защиты в системе защиты
необходимо предусмотреть следующие возможности:
■ выборочное подключение имеющихся защитных механизмов, что
обеспечивает возможность реализации режима постепенного поэтапного
усиления степени защищенности АС;
■ так называемый «мягкий» режим функционирования средств защиты, при
котором несанкционированные действия пользователей (действия с
превышением полномочий) фиксируются в системном журнале обычным
порядком, но не пресекаются (то есть не запрещаются системой защиты).
Этот режим позволяет выявля