Комплексный подход к защите информации

В широком смысле понятие «защита информации» учитывает за­щиту всей информационной сферы на разных уровнях. Поэтому с этой точки зрения:

Защита информации - это комплекс мер, направленных на обес­печение информационной безопасности на разных уровнях: государ­ства, ведомства, корпорации или отдельного пользователя.

Однако в узком смысле понятие «защита информации» применя­ется к конкретным информационным ресурсам, например, государст­венным, ведомственным, корпоративным или к информации отдель­ного пользователя.

Согласно ГОСТ 50922-2006 «Основные термины и определения» [4]: Защита информации - это деятельность, направленная на предот­вращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Защищенной считают информацию, не претерпевшую несанкцио­нированных изменений в процессе передачи, хранения и сохранения, не изменившую такие свойства, как достоверность, полнота и целост­ность данных.

Поэтому в целях защиты информации важнейшими являются сле­дующие аспекты информационной безопасности (европейские критерии):

условия доступа (возможность получить некоторую требуемую информационную услугу);

целостность (непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

конфиденциальность (защита от несанкционированного прочтения).

Доступность информации (ресурсов информационной системы) - это состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно

Конфиденциальность информации - обязательное для выполне­ния лицом, получившим доступ к определенной информации, требо­вание не передавать такую информацию третьим лицам без согласия ее обладателя

Целостность информации - состояние информации, при кото­ром отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

По мнению большинства специалистов, наибольший ущерб ин­формации и информационным системам наносят неправомерные дей­ствия сотрудников и компьютерные вирусы. Первые относятся к компетенции администрации и службы безопасности организации. Вторые представляют широко распространенное явление, в той или иной степени отражающееся практически на всех пользователях ком­пьютеров, особенно работающих в сетях и с нелицензионным про­граммным обеспечением.

Защита информации — это понятие системное, комплексное, со­стоящее из множества различных направлений или рубежей обороны (защиты) информационных ресурсов.

Главная цель защиты информации - обеспечение информацион­ной безопасности на государственном или корпоративном, или ве­домственном, или личном уровне. А информационную безопасность, то есть состояние защищенности интересов кого-то (или чего-то) в информационной сфере, невозможно качественно обеспечить, заты­кая бреши в защите только с одной стороны. Например, защищая свои информационные ресурсы только от виртуальных угроз из ком­пьютерных сетей, от вирусов и т.д., невозможно уберечь информа­цию от сбоев в аппаратном или программном обеспечении, непра­вильных действий пользователей, от физического уничтожения носи­теля с информацией (например, молотком), от потери информации во время пожара, затопления или деятельности насекомых, животных.

Следовательно, Защита информации - это комплекс техниче­ских, программных, правовых, организационных, криптографиче­ских, математических, экономических и других методов и средств обеспечения информационной безопасности.

Согласно ГОСТ 50922-2006 «Основные термины и определения» [4] все виды защиты информации делятся на четыре направления: правовую, техническую-, криптографическую-, физическую.

Защита информации в Федеральном законе «Об информации, ин­формационных технологиях и защите информации» [3] представляет собой принятие правовых, организационных и технических мер, на­правленных на следующие действия:

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, пре­доставления, распространения, а также от иных неправомерных дей­ствий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа;

реализацию права на доступ к информации.

Однако в Доктрине информационной безопасности Российской Федерации [2] методы обеспечения информационной безопасности классифицируются по-другому. Все направления защиты информа­ции разделяются на правовые, организационно-технические, эконо­мические.

Согласно ГОСТ 50922-2006 «Основные термины и определения» [4]: Правовая защита информации - защита информации правовы­ми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отноше­ния субъектов по защите информации, применение этих документов (актов), а также надзор и контроль над их исполнением.

К правовым методам обеспечения информационной безопасно­сти Российской Федерации относится [2] разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обес­печения информационной безопасности Российской Федерации.

Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и те­лекоммуникационных системах являются [2]:

лицензирование деятельности организаций в области защиты ин­формации;

аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;

сертификация средств защиты информации и контроля эффектив­ности их использования, а также защищенности информации от утеч­ки по техническим каналам систем и средств информатизации и связи;

введение территориальных, частотных, энергетических, простран­ственных и временных ограничений в режимах использования техни­ческих средств, подлежащих защите;

создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

контроль над действиями персонала в защищенных информаци­онных системах, подготовка кадров в области обеспечения информа­ционной безопасности Российской Федерации.

Организационные (административные) методы защиты ин­формации базируются на следующем:

определении ответственного за информационную безопас­ность, в функции которого входит управление рисками, координация и контроль деятельности в области информационной безопасности и стратегическое планирование в организации;

обеспечении надежной и экономичной защиты (средства и ме­тоды защиты, программно-технические средства, постоянное адми­нистрирование и т.п.) ИР, связанных с ними людей и помещений (зданий).

К организационно-техническим методам относятся также про­граммные; программно-технические; технические; криптографиче­ские, физические и другие.

Техническая защита информации (ТЗИ) [4] - защита информа­ции, заключающаяся в обеспечении не криптографическими метода­ми безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с приме­нением технических, программных и программно-технических средств.

Программные средства защиты - это самый распространенный метод защиты информации в компьютерах и информационных сетях. Наиболее часто они применяются в случаях затруднения использова­ния других методов и средств.

Программные средства защиты информации - комплекс алго­ритмов и программ специального назначения и общего обеспечения функционирования компьютеров и информационных сетей, нацелен­ных на: контроль и разграничение доступа к информации, исключе­ние несанкционированных действий с ней, управление охранными устройствами и т.п.

Они обладают универсальностью, простотой реализации, гибко­стью, адаптивностью, возможностью настройки системы и др.

Программные средства защиты информации делятся на основные и вспомогательные.

Основные программные средства защиты информации способст­вуют противодействию съема, изменения и уничтожения информации по основным возможным каналам воздействия на нее. Для этого они помогают осуществлять: аутентификацию объектов (работников и посетителей организаций), контроль и регулирование работы людей и техники, самоконтроль и защиту, разграничение доступа, уничтоже­ние информации, сигнализацию о несанкционированном доступе и несанкционированной информации. Рекомендуется своевременно об­новлять (инсталлировать) новые версии ПО.

Вспомогательные программы защиты информации обеспечива­ют: уничтожение остаточной информации на магнитных и иных пе­резаписываемых носителях данных; формирование грифа секретно­сти и категорирование грифованной информации; имитацию работы с несанкционированным пользователем для накопления сведений о его работе; ведение регистрационных журналов; общий контроль функ- гщонирования подсистемы защиты; проверку системных и программ­ных сбоев и др. Некоторые специализированные программы (напри­мер, Рогёег ТУ) позволяют отображать план охраняемого объекта с отражаемыми на нем точками контроля доступа сотрудников и посети­телей, местами установки видеокамер, извещателей и датчиков и др.

К основным программно-техническим мерам, применение кото­рых позволяет решать проблемы обеспечения безопасности инфор­мационных ресурсов, относятся:

аутентификация пользователя и установление его идентичности; управление доступом к БД; поддержание целостности данных; протоколирование и аудит;

защита коммуникаций между клиентом и сервером; отражение угроз, специфичных для СУБД, и др.

Физическая защита информации [4] - защита информации пу­тем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа не­уполномоченных физических лиц к объекту защиты.

Организационные мероприятия по обеспечению физической за­щиты информации предусматривают установление режимных, вре­менных, территориальных, пространственных ограничений на усло­вия использования и распорядок работы объекта защиты.

К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

Физические мероприятия заключаются в применении человече­ских ресурсов, отдельных технических средств и устройств, позво­ляющих обеспечивать защиту от проникновения злоумышленников на объект, несанкционированного использования, порчи или уничто­жения ими материальных и людских ресурсов. Такими человечески­ми ресурсами являются лица ведомственной или вневедомственной охраны и вахтеры, а также отдельные, назначаемые руководством ор­ганизации, сотрудники. Они ограничивают, в том числе с помощью соответствующих технических устройств, доступ на объекты нежела­тельных лиц.

Технические мероприятия физической защиты включают в се­бя элементы физических мероприятий. Они базируются на примене­нии следующих технических средств и систем:

охранной и пожарной сигнализации;

контроля и управления доступом;

видеонаблюдения и защиты периметров объектов защиты ин­формации;

контроля состояния окружающей среды и технологического оборудования, систем безопасности, перемещения людей, транс­порта и грузов;

учета рабочего времени персонала и времени присутствия на объ­ектах различных посетителей.

В качестве технических средств используются решетки на окна, ограждения, металлические двери, турникеты и др. Программно- технические средства включают различные системы ограничения доступа на объект, сигнализации и видеонаблюдения.

Криптографическая защита информации [4] - защита инфор­мации с помощью ее криптографического преобразования.

Криптографические методы защиты информации - комплекс (совокупность) алгоритмов и процедур шифрования и кодирования информации для обеспечения преобразования смыслового содержа­ния передаваемой в информационных сетях или хранимых на внеш­них носителях данных, то есть подразумевают создание специальных секретных ключей пользователей.

Экономические методы [2] обеспечения информационной безо­пасности Российской Федерации включают в себя:

разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;

совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защи­ты информации, создание системы страхования информационных рисков физических и юридических лиц.

23. Ответственность за совершение информационных и компьютерных преступлений

Под информационными преступлениями (в том числе и компь­ютерными преступлениями) понимаются общественно опасные дея­ния, запрещенные законодательством под угрозой наказания, совер­шенные в информационной сфере.

Законодательством Российской Федерации предусмотрены разно­образные наказания за информационные преступления.

Например, в Кодексе Российской Федерации об административ­ных правонарушениях существует глава 13 «Административные пра­вонарушения в области связи и информации», в которой предусмот­рены наказания за различные преступления в информационной сфере.

Рассмотрим некоторые из них [6]:

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о граж­данах (персональных данных).

Статья 13.12. Нарушение правил защиты информации.

П. 1. Нарушение условий, предусмотренных лицензией на осуще­ствление деятельности в области защиты информации (за исключени­ем информации, составляющей государственную тайну).

П. 2. Использование сертифицированных информационных сис­тем, баз и банков данных, а также несертифицированных средств за­щиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей госу. дарственную тайну).

П. 3. Нарушение условий, предусмотренных лицензией на прове­дение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предна­значенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по за­щите информации, составляющей государственную тайну.

П. 4. Использование сертифицированных средств, предназначен­ных для защиты информации, составляющей государственную тайну.

П. 5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за ис­ключением информации, составляющей государственную тайну).

Примечание. Понятие грубого нарушения устанавливается Прави­тельством Российской Федерации в отношении конкретного лицензи­руемого вида деятельности.

Статья 13.13. Незаконная деятельность в области защиты ин­формации.

П. 1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тай­ну) без получения в установленном порядке специального разреше­ния (лицензии), если такое разрешение (такая лицензия) в соответст­вии с федеральным законом обязательно (обязательна).

П. 2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созда­нием средств, предназначенных для защиты информации, состав­ляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей госу­дарственную тайну, без лицензии.

Статья 13.14. Разглашение информации с ограниченным доступом.

Разглашение информации, доступ к которой ограничен федераль­ным законом (за исключением случаев, если разглашение такой ин­формации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.

Статья 13.15. Злоупотребление свободой массовой информации.

Изготовление и (или) распространение теле-, видео-, кинопрограмм, документальных и художественных фильмов, а также относящихся к специальным средствам массовой информации информационных ком­пьютерных файлов и программ обработки информационных текстов, содержащих скрытые вставки, воздействующие на подсознание людей и (или) оказывающие вредное влияние на их здоровье.

Статья 13.16. Воспрепятствование распространению продукции средства массовой информации.

Воспрепятствование осуществляемому на законном основании распространению продукции средства массовой информации либо установление незаконных ограничений на розничную продажу тира­жа периодического печатного издания.

Статья 13.19. Нарушение порядка представления статистической информации.

Нарушение должностным лицом, ответственным за представление статистической информации, необходимой для проведения государ­ственных статистических наблюдений, порядка ее представления, а равно представление недостоверной статистической информации.

Статья 13.20. Нарушение правил хранения, комплектования, уче­та или использования архивных документов.

Статья 13.21. Нарушение порядка изготовления или распростра­нения продукции средства массовой информации.

Изготовление или распространение продукции незарегистриро­ванного средства массовой информации, а равно продукции средства массовой информации, не прошедшего перерегистрацию, либо изго­товление или распространение такой продукции после решения о прекращении или приостановлении выпуска средства массовой ин­формации в установленном порядке.

Борьбе с информационными преступлениями в Уголовном кодек­се Российской Федерации посвящено несколько статей [7]:

Статья 137. Нарушение неприкосновенности частной жизни.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступ­лении, публично демонстрирующемся произведении или средствах массовой информации.

Статья 138. Нарушение тайны переписки, телефонных перегово­ров, почтовых, телеграфных или иных сообщений:

п. 1. Нарушение тайны переписки, телефонных переговоров, поч­товых, телеграфных или иных сообщений граждан;

п. 2. То же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, пред­назначенных для негласного получения информации;

п. 3. Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для не­гласного получения информации.

Статья 139. Нарушение неприкосновенности жилища.

Незаконное проникновение в жилище, совершенное против воли проживающего в нем лица.

Статья 140. Отказ в предоставлении гражданину информации.

Неправомерный отказ должностного лица в предоставлении собран­ных в установленном порядке документов и материалов, непосредствен­но затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти дея­ния причинили вред правам и законным интересам граждан.

Статья 183. Незаконные получение и разглашение сведений, со­ставляющих коммерческую, налоговую или банковскую тайну.

П. 1. Собирание сведений, составляющих коммерческую, налого­вую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом.

П. 2. Незаконные разглашение или использование сведений, со­ставляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.

П. 3. Те же деяния, причинившие крупный ущерб или совершен­ные из корыстной заинтересованности.

Преступления в области компьютерной информации выделены в отдельную главу в Уголовном кодексе Российской Федерации. Они являются частью информационных преступлений [7].

Глава 28. Преступления в сфере компьютерной информации.

Статья 272. Неправомерный доступ к компьютерной информации.

П. 1. Неправомерный доступ к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в электронно- вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

П. 2. То же деяние, совершенное группой лиц по предварительно­му сговору или организованной группой либо лицом с использовани­ем своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети.

Статья 273. Создание, использование и распространение вредо­носных программ для ЭВМ.

Создание программ для ЭВМ или внесение изменений в сущест­вующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию ин­формации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или ма­шинных носителей с такими программами.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред.

Наиболее распространенные деяния, связанные с нарушением за­конодательства в области компьютерной информации, можно клас­сифицировать следующим образом:

1. Взлом интернет-сайтов («хакинг») с последующим дефейсом (изменение содержания сайта, в частности, заглавной странички) или без изменения.

2. Кардинг - похищение реквизитов, идентифицирующих пользо­вателей в сети интернет как владельцев банковских кредитных карт с их возможным последующим использованием для совершения неза­конных финансовых операций (покупка товаров либо банальное «от­мывание» денег).

3. Крекинг - снятие защиты с программного обеспечения для по­следующего бесплатного использования. Защита обычно устанавли­вается на так называемые «shareware»-npo,oyKTbi (программы с огра­ниченным сроком бесплатного пользования, по истечении которого необходима покупка продукта у компании-производителя). Сюда же можно отнести пиратское распространение законно купленных копий программного обеспечения.

4. Незаконное получение и использование чужих учетных данных Для пользования сетью интернет.

5. «Нюкинг», или «d.o.s.^-атаки (denial of service) - действия, вы­зывающие «отказ в обслуживании» (d.o.s.) удаленным компьютером, подключенным к сети. Говоря на компьютерном языке, «зависание» ПК. Эта группа тесно связана с первой, поскольку одним из методов взлома интернет-сайтов является «d.o.s.»-атака с последующим за­пуском программного кода на удаленном сетевом компьютере с пра­вами администратора.

6. «Спаминг» - массовая несанкционированная рассылка электрон­ных сообщений рекламного или иного характера, либо «захламление» электронного почтового адреса (адресов) множеством сообщений.

7. Чтение чужих электронных сообщений.

Виды преступлений, совершаемых в компьютерной сфере, весьма разнообразны, и для последующего пресечения противоправных деяний, а также предупреждения сложности применения карающих законов но данным преступлениям, необходимо совершенствовать законодательст­во Российской Федерации новыми правовыми актами с учетом особен­ностей правоотношений в компьютерной практике, которые смогут вне­сти точность и ясность в нестабильные вопросы компьютерного права в России.

Date: 2015-08-15; view: 779; Нарушение авторских прав