20 июля 2019 года    
Суббота | 17:47    
Главная
 Новости
Базы данных
Безопасность PC
Всё о компьютерах
Графика и дизайн
Интернет-технологии
Мобильные устройства
Операционные системы
Программирование
Программы
Связь
Сети
 Документация
Статьи
Самоучители
 Общение
Форум







Разделы / Безопасность PC / Безопасность

Защита информации в автоматизированных системах обработки информации

     Защита информации в автоматизированных  системах обра-
     ботки данных. Некоторые вопросы правового обеспечения,
     лицензирования и сертификации  в области защиты инфор-
                             мации.
     Научно-техническая революция в  последнее  время  приняла
грандиозные масштабы в области информатизации общества на базе
современных средств вычислительной  техники,  связи,  а  также
современных  методов  автоматизированной обработки информации.
Применение этих средств и методов приняло всеобщий характер, а
создаваемые  при  этом  информационно-вычислительные системы и
сети становятся глобальными как в смысле территориальной расп-
ределенности,  так  и  в  смысле широты охвата в рамках единых
технологий процессов сбора,  передачи,  накопления,  хранения,
поиска,  переработки информации и выдачи ее для использования.
Иными словами,  человечество приступило  к  реализации  задачи
создания  и использования целой индустрии переработки информа-
ции.

     В современном  мире  информационный  ресурс стал одним из
наиболее мощных рычагов экономического развития.  Владение ин-
формацией необходимого качества в нужное время и в нужном мес-
те является залогом успеха в любом виде хозяйственной деятель-
ности. Монопольное обладание определенной информацией оказыва-
ется зачастую решающим преимуществом в конкурентной  борьбе  и
предопределяет,  тем самым, высокую цену "информационного фак-
тора".

      Широкое внедрение  персональных  ЭВМ вывело уровень "ин-
форматизации" деловой жизни на качественно новую ступень. Ныне
трудно  представить  себе фирму или предприятие (включая самые
мелкие),  которые не были бы вооружены современными средствами
обработки и передачи информации. В ЭВМ на носителях данных на-
капливаются значительные объемы информации,  зачастую  носящей
конфиденциальный  характер или представляющей большую ценность
для ее владельца.

      В настоящее время характерными  и  типичными  становятся
следующие особенности использования вычислительной техники:
      возрастающий удельный вес автоматизированных процедур  в
общем объеме процессов обработки данных;
      нарастающая важность и ответственность решений, принима-
емых  в автоматизированном режиме и на основе автоматизирован-
ной обработки информации;
      увеличивающаяся концентрация в АСОД информационно-вычис-
лительных ресурсов;
      большая территориальная     распределенность_компонентов
АСОД;
      усложнение_режимов_функционирования технических средств
АСОД;
      накопление на технических носителях огромных объемов ин-
формации,  причем для многих видов информации  становится  все
более  трудным  (и  даже  невозможным) изготовление немашинных
аналогов (дубликатов).
      интеграция в  единых  базах данных информации различного
назначения и различной принадлежности;
      долговременное хранение  больших  массивов информации на
машинных носителях.
      непосредственный и  одновременный  доступ  к ресурсам (в
том числе и к информации) АСОД  большого  числа  пользователей
различных категорий и различных учреждений;
      интенсивная циркуляция  информации  между   компонентами
АСОД,  в том числе и расположенных на больших расстояниях друг
от друга;
      возрастающая стоимость ресурсов АСОД.

     Однако создание индустрии переработки  информации,  давая
объективные  предпосылки  для грандиозного повышения эффектив-
ности  жизнедеятельности  человечества,  порождает  целый  ряд
сложных и крупномасштабных проблем. Одной из таких проблем яв-
ляется надежное обеспечение сохранности и установленного  ста-
туса использования информации,  циркулирующей и обрабатываемой
в информационно-вычислительных установках, центрах, системах и
сетях  или  коротко  - в автоматизированных системах обработки
данных (АСОД).  Данная проблема вошла в обиход  под  названием
проблемы защиты информации.

     В 60-х и частично в 70-х годах проблема защиты информации
решалась достаточно эффективно применением в основном  органи-
зационных мер. К ним относились прежде всего режимные меропри-
ятия,  охрана,  сигнализация и простейшие программные средства
защиты   информации.   Эффективность  использования  указанных
средств достигалась за счет концентрации информации на  вычис-
лительных центрах,  как правило автономных, что способствовало
обеспечению защиты относительно малыми средствами.

     "Рассосредоточение" информации по местам  ее  хранения  и
обработки,  чему  в немалой степени способствовало появление в
огромных количествах дешевых персональных компьютеров и  пост-
роенных  на  их  основе  локальных и глобальных национальных и
транснациональных сетей ЭВМ,  использующих спутниковые  каналы
связи, создание высокоэффективных систем разведки и добычи ин-
формации, обострило ситуацию с защитой информации.

     Проблема обеспечения необходимого уровня защиты  информа-
ции оказалась (и это предметно подтверждено как теоретическими
исследованиями,  так и опытом  практического  решения)  весьма
сложной,  требующей для своего решения не просто осуществления
некоторой совокупности научных, научно-технических и организа-
ционных мероприятий и применения специфических средств и мето-
дов, а создания целостной системы организационных  мероприятий
и  применения специфических средств и методов по защите инфор-
мации.

     Координация работ по защитеы информации в государственном
масштабе традиционно осуществлялась и осуществляется Гостехко-
миссией России,  которая создавалась как головная  организация
по противодействию иностранным техническим разведкам.  В связи
с изложенными выше объективными причинами к настоящему времени
произошло переосмысление функций Гостехкомиссии России.  В со-
ответствии с этим Указом Президента России Гостехкомиссия ста-
ла  именоваться  как Государственная комиссия России по защите
информации,  а задача  противодействия  техническим  разведкам
стала одной из важнейших активных форм защиты информации.

     Работы по защите информации у нас в стране ведутся доста-
точно интенсивно и уже продолжительное время. Накоплен опреде-
ленный опыт.  Его анализ показал, что весь период работ по за-
щите  информации в АСОД достаточно четко делится на три этапа,
каждый из которых характеризуется своими особенностями в прин-
ципиальных подходах к защите информации.

     Первый этап характерен упрощенным подходом к самой  проб-
леме,  порожденным убеждением,  что уже сам факт представления
информации в ЭВМ в закодированном виде и обработкой ее по спе-
цифическим  алгоритмам  уже является серьезным защитным средс-
твом,  а потому вполне достаточно включить в состав АСОД неко-
торые технические и программные средства и осуществить ряд ор-
ганизационных мероприятий,  и этого будет достаточно для обес-
печения защиты информации. Надежды эти не оправдались, специа-
листы пришли к выводу о том,  что для защиты информации требу-
ется некоторая вполне организованная система с своим управляю-
щим элементом.  Такой элемент получил название ядра защиты или
ядра  безопасности.  Однако  все еще сохранялась надежда,  что
система защиты с ядром в дальнейшем будет обеспечивать  надеж-
ную защиту во все время функционирования АСОД, хотя существен-
но повысилось внимание к организационным мероприятиям.

     Изложенный подход был характерен и для второго этапа. Од-
нако  нарушения  безопасности информации неуклонно росли,  что
вызывало серьезную озабоченность,  поскольку могло стать серь-
езным  препятствием  на пути внедрения вычислительной техники.
Усиленные поиски выхода из такой почти кризисной ситуации при-
вели  к выводу,  что защиты информации в современных АСОД есть
не одноразовая акция,  а непрерывный процесс,  целенаправленно
осуществляемый во все время создания и функционирования систем
с комплексным применением всех имеющихся  средств,  методов  и
мероприятий.  Формирование  этого  вывода и знаменовало начало
третьего этапа в развитии подходов к защите информации,  кото-
рый осуществляется в настоящее время. Так в самых общих чертах
может быть охарактеризовано существо зарубежного и отечествен-
ного опыта _защиты информации в АСОД.

     На основе сказанного,  теоретических исследований и прак-
тических работ в области защиты информации  сформулирован  так
называемый  системно-концептуальный подход к защите информации
в АСОД.

     Под системностью  как составной частью системно-концепту-
ального подхода понимается:
     во-первых, системность целевая,  т.е. защищенность инфор-
мации рассматривается как составная часть общего  понятия  ка-
чества информации;
     во-вторых, системность  пространственная,  предполагающая
взаимоувязанное решение всех вопросов защиты во всех компонен-
тах отдельно взятой АСОД,  во всех АСОД учреждение (заведения,
ведомства), расположенных на некоторой территории;
     в-третьих, системность  временная,  означающая  непрерыв-
ность работ по защите информации, осуществляемых по взаимоувя-
занным планам;
     в-четвертых, системность    организационная,   означающая
единство организации всех работ по защите информации и  управ-
ления их осуществлением.  Она предопределяет объективную необ-
ходимость создания  в  общегосударственном  масштабе  стройной
системы органов, профессионально ориентированных на защиту ин-
формации,  несущих полную ответственность за оптимальную орга-
низацию  надежной  защиты информации во всех АСОД и обладающей
для этого необходимыми полномочиями.  Главной целью  указанной
системы  органов  должна быть реализация в общегосударственном
масштабе принципов системно-концептуального подхода  к  защите
информации как государственного,  так и коммерческого характе-
ра.

     Концептуальность подхода  предполагает  разработку единой
концепции как полной совокупности научно  обоснованных  взгля-
дов,  положений и решений, необходимых и достаточных для опти-
мальной организации и обеспечения надежности  защиты  информа-
ции,  а  также  для целенаправленной организации всех работ по
защите информации. Разработка такой концепции в настоящее вре-
мя находится в стадии завершения и  ее  содержание  охватывает
все направления обеспечения надежной защиты информации.

     Учитывая многообразие  потенциальных  угроз  информации в
АСОД, сложность их структуры и функций,  а также участие чело-
века в технологическом процессе обработки информации, цели за-
щиты информации могут быть достигнуты  только  путем  создания
системы  защиты  информации  на  основе  комплексного подхода.
Комплексная система защиты информации (КСЗИ) является совокуп-
ностью методов и средств, объединенных единым целевым назначе-
нием и обеспечивающих необходимую эффективность защиты  инфор-
мации в АСОД. Комплексность системы защиты информации достига-
ется охватом всех возможных угроз и согласованием между  собой
разнородных методов и средств, обеспечивающих защиту всех эле-
ментов АСОД.

     Основными требованиями к комплексной системе защиты   ин-
формации являются:
     система защиты информации должна обеспечивать  выполнение
АСОД своих основных функций без существенного ухудшения харак-
теристик последней;
     она должна быть экономически целесообразной, так как сто-
имость системы защиты информации включается в стоимость АСОД;
     защита информации  в  АСОД  должна обеспечиваться на всех
этапах жизненного цикла,  при всех технологических режимах об-
работки  информации,  в  том  числе при проведении ремонтных и
регламентных работ;
     в систему  защиты информации должны быть заложены возмож-
ности ее совершенствования и развития в соответствии с услови-
ями эксплуатации и конфигурации АСОД;
     она в  соответствии  с  установленными  правилами  должна
обеспечивать разграничение доступа к конфиденциальной информа-
ции с отвлечением нарушителя на ложную информацию,  т.е. обла-
дать свойствами активной и пассивной защиты;
     при взаимодействии защищаемой АСОД с  незащищенными  АСОД
система  защиты  должна  обеспечивать соблюдение установленных
правил разграничения доступа;
     система защиты  должна позволять проводить учет и рассле-
дование случаев нарушения безопасности информации в АСОД;
     применение системы  защиты не должно ухудшать экологичес-
кую обстановку,  не быть сложной для пользователя, не вызывать
психологического противодействия и желания обойтись без нее.

     _Возможные угрозы информации в автоматизированных системах
_обработки данных.

     Уязвимость информации в плане возможностей несанкциониро-
ванного использования обуславливается объективным  существова-
нием в современных автоматизированных системах электронной об-
работки данных значительного количества потенциальных  каналов
утечки информации. Защита АСОД и обрабатываемой в них информа-
ции основывается на осознании и выявлении потенциальных угроз,
на этапах создания, эксплуатации и реконструкции АСОД.

      Существуют угрозы нанесения ущерба АСОД и обрабатываемой
информации,  вызываемые  физическими  воздействиями  стихийных
природных явлений,  не зависящих от человека. Однако более ши-
рок  и  опасен  круг искусственных угроз АСОД и обрабатываемой
информации,  вызванных человеческой деятельностью, среди кото-
рых исходя из мотивов можно выделить:
     неумышленные (непреднамеренные) угрозы,  вызываемые ошиб-
ками в проектировании,  в программном обеспечении,  случайными
сбоями в работе СВТ и линий связи,  энергоснабжения,  ошибками
пользователей, воздействием на аппаратуру физических полей при
несоблюдении условий электромагнитной совместимости и т.д.;
     умышленные (преднамеренные) угрозы, обусловленные несанк-
ционированными действиями обслуживающего персонала и несанкци-
онированным доступом к ресурсам АСОД в том числе и посторонни-
ми лицами.

     Возможный ущерб  АСОД и обрабатываемой информации при НСД
зависит от уровня  возможностей  нарушителя  (злоумышленника),
который  может обладать правами:  разработчика,  программиста,
пользователя, администратора АСОД.

     Результатом реализации угроз информации может быть ее ут-
рата (разрушение,  уничтожение),утечка (извлечение,  копирова-
ние), искажение (модификация, подделка) или блокирование.

     Возможную совокупность и результаты реализации всех видов
угроз  нанесения ущерба для конкретной АСОД определить заранее
трудно.  Поэтому модель потенциальных угроз  нанесения  ущерба
АСОД  и обрабатываемой информации должна создаваться совместно
владельцем автоматизированной системы и специалистами по защи-
те информации на этапах разработки и создания АСОД и уточнять-
ся в ходе ее эксплуатации.

     _Угрозы, не связанные с деятельностью человека.

     Наиболее типичной естественной угрозой АСОД, не связанной
с деятельностью человека,  является, например,  пожар. Поэтому
при проектировании АСОД целесообразно рассмотреть вопросы про-
тивопожарной безопасности.
     Для зданий,  где  размещаются  технические средства АСОД,
расположенных в долинах рек или на побережье, весьма вероятной
угрозой является затопление.  В этих случаях аппаратные средс-
тва АСОД целесообразно устанавливать на верхних этажах  зданий
и должны приниматься другие меры предосторожности.
     Нанесение ущерба  ресурсам  АСОД  может  также  произойти
вследствии  стихийного бедствия.  Ущерб может быть нанесен при
технических авариях, например, при внезапном отключении элект-
ропитания и т.д.

     _Гораздо шире  класс  угроз АСОД и обрабатываемой информа-
_ции, связанных с деятельностью человека.

     Угрозы АСОД и обрабатываемой информации,  связанные с ис-
пользованием штатных технических и программных средств, реали-
зуются вследствие НСД нарушителя (злоумышленника) в  оператив-
ную и внешнюю память СВТ, а также к периферийным устройствам и
линиям связи. В результате возможно чтение или копирование ин-
формации с  целью получения данных.  Следствием указанного НСД
может явиться искажение информации,  прекращение ее нормальной
обработки или полное уничтожение.

     Существуют и другие угрозы АСОД и обрабатываемой информа-
ции, в том числе хищение. Для борьбы с этой угрозой реализует-
ся достаточно хорошо отработанный комплекс организационно-тех-
нических мер защиты,  традиционно применяемый по  отношению  к
любым другим объектам материальной собственности. Среди подоб-
ных мер следует отметить такие,  как охрана и ограничение дос-
тупа посторонних лиц к ЭВМ и хранилищам носителей данных, соз-
дание барьеров безопасности путем оборудования помещений обыч-
ными,  кодовыми и электронными замками,  решетками,  системами
внутреннего телевидения и тревожной  сигнализации;  ограждение
зданий и территорий заборами с электронными системами контроля
проникновения,  создание резервных вычислительных  ресурсов  и
хранилищ носителей данных и т.п.

     Менее "прозрачной",  однако достаточно легко понятной яв-
ляется проблема защиты информационных и вычислительных  ресур-
сов  от несанкционированного (бесплатного) использования,  как
например в случае,  когда сотрудник госпредприятия  производит
на  служебной ЭВМ несанкционированные руководством расчеты,по-
лучая за это вознаграждение в стороннем кооперативе.  К специ-
альным мерам, ориентированным на борьбу с угрозами данного ви-
да относятся средства контроля включения  питания  и  загрузки
программного обеспечения в ЭВМ, реализуемые на базе механичес-
ких и электронных ключей,  а также средства  парольной  защиты
при "входе " в ЭВМ, как со стороны локальных, так и со стороны
удаленных пользователей. В более общем случае можно рассматри-
вать данный вид защиты как частный случай проблемы разграниче-
ния полномочий и доступа, описанной ниже, и использовать соот-
ветствующие меры защиты.

     _Угрозы информации в результате использования  специальных
_средств, не входящих в состав АСОД.

     Одной из  наиболее вероятных угроз информации в АСОД счи-
тается возможность ее утечки за счет перехвата побочных элект-
ромагнитных излучений (ПЭМИ),  создаваемых техническими средс-
твами АСОД. ПЭМИ существуют в диапазоне частот от едениц Гц до
полутора ГГц и способны переносить (распространять) сообщения,
обрабатываемые в АСОД. Дальность распространения ПЭМИ исчисля-
ется десятками, сотнями, а иногда и тысячами метров.

     Наиболее опасными источниками ПЭМИ являются дисплеи, про-
водные линии связи,  накопители на магнитных дисках и буквопе-
чатающие аппараты последовательного типа.

     Перехват ПЭМИ  может осуществляться с помощью портативной
аппаратуры.  Такая аппаратура может представлять собой широко-
полосный автоматизированный супергетеродинный приемник.  В ка-
честве устройств регистрации принятых сигналов (сообщений) мо-
жет использоваться магнитный носитель или дисплей.

     Возможна утечка  обрабатываемой в АСОД информации за счет
приема информационных сигналов,  наведенных в цепях электропи-
тания и заземления аппаратных средств АСОД,  выходящих за пре-
делы охраняемой (контролируемой) зоны - зоны безопасности.

     Вполне реальна возможность утечки обрабатываемой  в  АСОД
информации  за  счет приема сигналов,  наведенных в проводах и
кабелях вспомогательных технических средств АСОД,  находящихся
в зоне воздействия ПЭМИ работающих технических средств АСОД. К
вспомогательным техническим  средствам  относятся:  аппаратура
звукоусиления,  связи,  часофикации,  охраны и сигнализации, а
также различные провода, кабели, металлические элементы зданий
и сооружений,  сантехническое оборудование, металлоконструкции
и др.

     Возможна утечка обрабатываемой в АСОД информации за  счет
несанкционированного приема сигналов из линий связи. Подключе-
ние к линиям связи может быть  осуществлено  двумя  способами:
пассивным  и  активным.  При  пассивном подключении нарушитель
(злоумышленник) только фиксирует передаваемые данные,  при ак-
тивном подключении он может изменять передаваемые данные, либо
передавать собственные вместо них. Местами несанкционированно-
го подключения к линиям передачи данных может являться переда-
ющее и приемное оборудование,  расположенное внутри помещений,
а  также  внешние  участки линий связи,  кроссы и другие места
коммутации линий связи и т.д.

     Возможна утечка обрабатываемой информации за счет  приема
акустических  сигналов,  создаваемых  работающими  принтерами,
подслушивания разговоров персонала АСОД и пользователей с  по-
мощью направленных микрофонов, встроенных пьезодатчиков и дру-
гих технических средств,  а также приема электромагнитных сиг-
налов, промодулированных акустическими сигналами за счет пара-
зитных акустоэлектрических преобразований в  различных  техни-
ческих средствах.

     Утечка обрабатываемой  информации  возможна также за счет
визуального наблюдения.  Такое наблюдение может осуществляться
за экранами устройств отображения информации коллективного или
индивидуального пользования,  через открытые окна и  двери,  а
также  путем  фотографирования  и  применения  различных опти-
ко-электронных устройств.

     По мере  расширения использования удаленных друг от друга
терминалов и вычислительных комплексов становятся реальными  и
другие  угрозы  безопасности обрабатываемой в АСОД информации.
Особую опасность могут представлять специальные методы и  тех-
нические средства, активно воздействующие на элементы АСОД:
     специально внедренные  электронные  средства  (закладки),
разрушающие или искажающие информацию,  а также передающие об-
рабатываемую  автоматизированными системами информацию или ре-
чевую информацию - переговоры людей в помещениях,  где развер-
нуты технические средства;
     облучение технических средств информационной системы зон-
дирующими сигналами (так называемое навязывание);
     разрушение (искажение) технических средств  автоматизиро-
ванных систем путем подключения их элементов к посторонним ис-
точникам напряжения и др.

     Все возможные угрозы несанкционированного доступа  к  ин-
формации можно условно разделить на три относительно самостоя-
тельные группы:

     1. Косвенные  каналы  -  каналы не связанные с физическим
        доступом к элементам АСОД;
     2. Каналы,  связанные с доступом к элементам АСОД,  но не
        требующие изменения компонентов системы;
     3. Каналы,  связанные с доступом к элементам АСОД и изме-
        нением структуры ее компонентов.

     К первой  группе  относятся  каналы  образующиеся за счет
применения подслушивающих устройств, дистанционного наблюдения
или фотографирования,  перехвата  электромагнитных  излучений,
наводок и т.п.

     Ко второй группе относятся:
     наблюдение за информацией с целью ее запоминания  в  про-
цессе ее обработки;
     хищение носителей информации;
     сбор производственных отходов,  содержащих обрабатываемую
информацию;
     преднамеренное считывание данных из файлов других пользо-
вателей;
     чтение остаточной информации,  т.е. данных, остающихся на
магнитных носителях после выполнения заданий;
     копирование носителей информации;
     преднамеренное использование  для  доступа  к  информации
терминалов зарегистрированных пользователей;
     маскировка под зарегистрированного пользователя путем по-
хищения паролей  и  других  реквизитов разграничения доступа к
информации, используемой в АСОД;
     использование для доступа к информации возможностей обхо-
да механизма разграничения доступа, возникающих вследствие не-
совершенства  общесистемных компонентов программного обеспече-
ния (операционных систем,  систем управления базами  данных  и
др.) и неоднозначностями языков программирования применяемых в
АСОД.

     К третьей группе относятся:
     незаконное подключение специальной регистрирующей аппара-
туры к устройствам системы или линиям связи;
     злоумышленное изменение программ таким образом, чтобы эти
программы наряду с основными  функциями  обработки  информации
осуществляли  также несанкционированный сбор и регистрацию за-
щищаемой информации;
     злоумышленный вывод из строя механизмов защиты.

     Кроме утечки, обрабатываемая в АСОД информация может быть
подвержена несанкционированному  физическому  уничтожению  или
искажению,  а также при санкционированном доступе к информации
она может быть несанкционированно использована - т.е. соверше-
ны противоправные несанкционированные действия непосредственно
с информацией.  В этих условиях естественно возникает проблема
принятия  специальных мер по защите информации от несанкциони-
рованного использования,  причем задача защиты в  самом  общем
виде может быть сформулирована как введение в АСОД специальных
средств и проведение мероприятий, гарантирующих достаточно на-
дежное  и  регулярное  перекрытие потенциальных каналов утечки
или несанкционированного использования информации, а также ми-
нимизации других видов угроз. Совокупность указанных средств и
мероприятий образует механизм защиты.

     На организацию и функционирование механизма защиты инфор-
мации  принципиальное  значение оказывает формальная неопреде-
ленность проблемы защиты, которая обуславливается тем, что не-
санкционированное  использование  информации связано,  главным
образом,  со злоумышленными действиями, которые в общем случае
являются неформальными. Вследствие этого надежная и регулярная
защита информации в современных АСОД не может быть  обеспечена
чисто  формальными средствами,  а также не может быть абсолют-
ной.  В результате этого, на практике проблема защиты информа-
ции в современных АСОД оказывается значительно более широкой и
сложной задачей,  чем простое разграничение  доступа  в  базах
данных и шифрование данных.

     Рассмотрим существующие средства защиты информации, обра-
батываемой в автоматизированных системах обработки данных.

     _Организационные средства защиты.

     К организационным средствам защиты можно отнести  органи-
зационно-технические  и  организационно-правовые  мероприятия,
осуществляемые в процессе создания и эксплуатации АСОД с целью
обеспечения защиты информации. Организационные мероприятия ох-
ватывают все структурные элементы АСОД  и  системы  защиты  на
всех этапах их жизненного цикла: строительство помещений, про-
ектирование системы,  монтаж и наладка оборудования, испытания
и  проверка в эксплуатации АСОД.  При этом организационные ме-
роприятия играют двоякую роль в механизме защиты: с одной сто-
роны,  позволяют полностью или частично перекрывать значитель-
ную часть каналов утечки информации, а с другой - обеспечивают
объединение всех используемых в АСОД средств в целостный меха-
низм защиты.

     Организационные меры защиты базируются на законодательных
и нормативных документах по безопасности информации. Они долж-
ны охватывать все основные пути сохранения информационных  ре-
сурсов и включать:
     ограничение физического доступа к объектам АСОД и  реали-
зацию режимных мер;
     ограничение возможности перехвата  информации  вследствие
существования физических полей;
     ограничение доступа к информационным  ресурсам  и  другим
элементам  АСОД путем установления правил разграничения досту-
па,  криптографическое закрытие каналов передачи данных, выяв-
ление и уничтожение "закладок";
     создание твердых копий важных с точки зрения утраты  мас-
сивов данных;
     проведение профилактических и  других  мер  от  внедрения
"вирусов".

     По содержанию  все  множество организационных мероприятий
можно условно разделить на следующие группы.
     Мероприятия, осуществляемые при создании АСОД:  учет тре-
бований защиты при разработке  общего  проекта  системы  и  ее
структурных элементов,  при строительстве или переоборудовании
помещений,  при разработке математического,  программного, ин-
формационного или лингвистического обеспечений,  монтаже и на-
ладке оборудования,  испытаниях и приемке системы.
     Мероприятия, осуществляемые в процессе эксплуатации АСОД:
организация пропускного режима, организация технологии автома-
тизированной обработки информации, организация работы в сменах
ВЦ,  распределение реквизитов разграничения доступа  (паролей,
полномочий и т.д.),  организация ведения протоколов,  контроль
выполнения требований служебных инструкций и т.п.
     Мероприятия общего характера:  учет требований защиты при
подборе и подготовке кадров, организация плановых и превентив-
ных  проверок механизма защиты,  планирование всех мероприятий
по защите информации, обучение персонала, проведение занятий с
привлечением ведущих организаций страны, участие в семинарах и
конференциях по проблемам безопасности информации и т.п.

     _Аппаратные средства защиты.

     Аппаратными средствами защиты называются различные элект-
ронные и электронно-механические устройства, которые включают-
ся в состав технических средств АСОД и выполняют самостоятель-
но  или в комплексе с другими средствами некоторые функции за-
щиты. К настоящему времени применяется значительное число раз-
личных аппаратных средств, причем они могут включаться практи-
чески во все устройства АСОД:  терминалы  пользователей,  уст-
ройства группового ввода-вывода данных,  центральные процессо-
ры,  внешние запоминающие устройства, другое периферийное обо-
рудование.  Так, например, в терминалах пользователей наиболь-
шее распространение получили  устройства  предназначенные  для
предупреждения  несанкционированного включения терминала в ра-
боту (различного рода замки и блокираторы),  обеспечения иден-
тификации терминала (схемы генерирования идентифицирующего ко-
да) и  идентификации  пользователя  (магнитные  индивидуальные
карточки, дактилоскопические и акустические устройства опозна-
вания и т.п.).

     Самостоятельную группу  составляют  аппаратные   средства
шифрования данных, которые к настоящему времени получили весь-
ма широкое распространение за рубежом и,  в  настоящее  время,
внедряются  в нашей стране.  Так,  например,  Центральный банк
России в 1992 г. закупил около трех тысяч устройств шифрования
данных, передаваемых по каналам телеграфной связи. Современные
устройства шифрования могут сопрягаться с помощью  стандартных
интерфейсов практически с любым устройством АСОД,  обеспечивая
как шифрование,  так и дешифрование данных. Кроме того в боль-
ших АСОД находит применение целый ряд вспомогательных аппарат-
ных средств защиты:  устройства уничтожения информации на маг-
нитных носителях,  устройства сигнализации о несанкционирован-
ных действиях и ряд других.

     _Криптографические средства защиты.

     Криптографическими средствами защиты называются специаль-
ные средства и методы преобразования информации,  в результате
которых маскируется ее содержание. Основными видами криптогра-
фического  закрытия являются шифрование и кодирование защищае-
мых данных.  При этом шифрование есть такой вид закрытия,  при
котором  самостоятельному  преобразованию  подвергается каждый
символ закрываемых данных;  при кодировании защищаемые  данные
делятся на блоки,  имеющие смысловое значение,  и каждый такой
блок заменяется цифровым, буквенным или комбинированным кодом.
Для  криптографического  закрытия информации в АСОД наибольшее
распространение получило  шифрование.  При  этом  используется
несколько различных систем шифрования: заменой, перестановкой,
гаммированием, аналитическим преобразованием шифруемых данных.
Широкое распространение получили комбинированные шифры,  когда
исходный текст последовательно преобразуется с  использованием
двух или даже трех различных шифров.

     Основной характеристикой   меры  защищенности  информации
криптографическим закрытием является стойкость  шифра,  причем
под стойкостью понимается тот минимальный объем зашифрованного
текста,  статистическим анализом которого можно вскрыть исход-
ный текст.  Таким образом, по значению стойкости системы шифра
можно определить допустимый объем  шифрования  информации  при
одних и тех же ключевых установках. Простые системы шифрования
(простая замена, простая перестановка) обладают незначительной
стойкостью,  вследствие чего они могут использоваться лишь для
шифрования коротких сообщений.  Усложненные виды замены и  пе-
рестановки  имеют значительно большую стойкость,  стойкость же
гаммирования определяется лишь размером гаммы (случайной  пос-
ледовательности, используемой для шифрования). Если для шифро-
вания используется бесконечная  случайная  последовательность,
то  такой  шифр теоретически является абсолютно стойким,  т.е.
теоретически нераскрываемым.  Однако  практическая  реализация
такого  шифра сопряжена с большими трудностями,  поэтому в ре-
альных системах этот вид шифрования  не  встречается.  Большое
распространение  получили комбинированные шифры,  их стойкость
теоретически равна произведению стойкости используемых простых
шифров.  Так принятый в США национальный стандарт криптографи-
ческой защиты основан на комбинированной системе шифрования.

     Важной характеристикой  системы  шифрования  является  ее
производительность.  Производительность шифрования зависит как
от используемой системы шифра,  так и  от  способа  реализации
шифрования в АСОД - аппаратного или программного. С точки зре-
ния трудоемкости шифрования наименьших  затрат  требуют  шифры
замены, а наибольших - шифры, основанные на аналитическом пре-
образовании данных.  С точки зрения способа реализации,  аппа-
ратное шифрование в несколько раз производительней программно-
го шифрования,  поэтому первому уделяется повышенное внимание.
В тоже время, программное шифрование обладает большими возмож-
ностями по использованию различных методов и  при  современных
средствах  вычислительной  техники  (высокая тактовая частота)
применение программных методов также достаточно  эффективно  и
очень часто применяется в средствах вычислительной техники на-
ряду с другими программными средствами защиты информации.

     Применение криптографических  методов  в  рамках  сетевых
протоколов позволяет также решать отдельные задачи других нап-
равлений обеспечения безопасности.  При этом, эти средства мо-
гут не только обнаруживать несанкционированные изменения сооб-
щений, отказ в обслуживании, попытки установления несанкциони-
рованных соединений, но и автоматически проводить восстановле-
ние от таких угроз.

     _Программные средства защиты

     Программными средствами   защиты  называются  специальные
программы,  которые включаются в состав программного обеспече-
ния  АСОД  специально для осуществления функций защиты.  Прог-
раммные средства являются важнейшей и непременной частью меха-
низма защиты современных АСОД,  что обусловлено такими их дос-
тоинствами,  как универсальность,  простота  реализации,  гиб-
кость, практически неограниченные возможности изменения и раз-
вития. К недостаткам программных средств  относится  необходи-
мость  расходования ресурсов процессора на их функционирование
и возможность несанкционированного (злоумышленного) изменения,
а также тот факт, что программные средства защиты можно реали-
зовать только в тех структурных элементах АСОД,  в составе ко-
торых  имеется  процессор,  хотя  функции  защиты программными
средствами могут осуществляться и в интересах других структур-
ных элементов. Поэтому программные средства защиты применяются
в центральных процессорах,  устройствах группового  управления
вводом-выводом данных, а также в аппаратуре связи в тех случа-
ях,  когда в их составе имеются процессоры.

     Известные на сегодняшний день программы  защиты  в  соот-
ветствии с выполняемыми ими функциями, можно разделить на сле-
дующие группы:
     программы идентификации;
     программы регулирования  работы   (технических   средств,
пользователей,  функциональных  задач,  элементов баз данных и
т.д.);
     программы шифрования защищаемых данных;
     программы защиты программ  (операционных  систем,  систем
управления базами данных, программ пользователей и др.);
     вспомогательные программы (уничтожение остаточной  инфор-
мации,  формирование  грифа секретности выдаваемых документов,
ведение регистрационных журналов,  имитация работы с нарушите-
лем, тестовый контроль механизма защиты и некоторые другие).

     _Физические средства защиты.

     К физическим средствам защиты относятся физические объек-
ты, механические, электрические и электронные устройства, эле-
менты конструкции зданий,  средства пожаротушения и целый  ряд
других средств, обеспечивающих выполнение следующих задач: за-
щита территории и помещений вычислительного центра или  центра
автоматизированной системы электронной обработки данных (АСОД)
от проникновения злоумышленников;  защита аппаратуры и носите-
лей информации от повреждения или хищения; предотвращение воз-
можности наблюдения за работой персонала  и  функционированием
оборудования  из-за  пределов территории или через окна;  пре-
дотвращение возможности перехвата  электромагнитных  излучений
работающего оборудования и линий передачи данных;  контроль за
режимом работы персонала;  организация доступа в помещения  ВЦ
сотрудников;  контроль за перемещением в различных рабочих зо-
нах;  противопожарная защита помещений ВЦ; минимизация матери-
ального ущерба и потерь информации, которые могут возникнуть в
результате стихийного бедствия.

     Физические средства защиты являются наиболее традиционны-
ми средствами охраны АСОД. В принципе, они ничем не отличаются
от давно используемых средств охраны банков, музеев, магазинов
и  других объектов,  которые потенциально могут привлечь злоу-
мышленников. Однако, как правило, для физической защиты АСОД в
настоящее  время используются более совершенные и сложные сис-
темы. Физические средства защиты представляют собой первый ру-
беж защиты  жизненно  важных элементов вычислительной системы.
Следует четко представлять себе,  что  обеспечение  физической
безопасности  системы  является необходимым,  но недостаточным
условием сохранения целостности и конфиденциальности  циркули-
рующей или хранящейся в ней информации.

     Для реализации  систем  физической  защиты могут быть ис-
пользованы самые разнообразные средства  и  методы.  Например,
организация  вооруженной  охраны;  ведение наблюдения за всеми
принципиально возможными  путями  проникновения  в   помещения
АСОД;  организация  пропускной системы (с использованием паро-
лей,  опознавательных значков, специальных магнитных карточек,
сложных  систем опознавания сотрудников по голосу или по дина-
мике подписей, рентгеновские и ультразвуковые системы и т.п.);
создание системы внешнего и внутреннего освещения;  применение
фотографических и телевизионных систем  наблюдения;  установка
оград,  барьеров  и защитных экранов;  применение датчиков для
обнаружения нарушителей или для установления факта повреждения
или похищения аппаратуры;  использование датчиков дыма, откры-
того пламени и т.д.

     Физическим мерам  защиты  традиционно  придается  большое
значение.  Конкретная структура физической системы защиты да и
любой другой защиты определяется важностью материального,  ин-
формационного или другого ресурса, подлежащего защите, а также
уровнем необходимой секретности,  материальными  возможностями
организации,  возможностями проведения различных организацион-
ных мероприятий,  существующим законодательством и целым рядом
других не менее значимых факторов.

     _Некоторые вопросы  защиты информации от несанкционирован-
_ного доступа.

     НСД к  информации в АСОД - это получение из функционирую-
щей АСОД информации лицами,  не имеющими права доступа к  этой
информации  или не имеющими необходимых полномочий на ее моди-
фикацию и использование.

     НСД предполагает наличие следующих условий:
     Во-первых, имеется  информация,  доступ к которой ограни-
чен;
     Во-вторых, существует  возможность  НСД  к  информации со
стороны лиц,  которым она не предназначена (как  в  результате
случайных, так и преднамеренных действий).

     В качестве действий,  которые могут повлечь за собой осу-
ществление НСД к информации, могут быть:
     использование "чужих" средств доступа (например, термина-
лов);
     вход в систему с "чужими" полномочиями путем подбора (или
использования) "чужого" пароля;
     несанкционированное расширение "своих" полномочий за счет
несовершенства системы защиты информации,  в частности, ее об-
хода,  в  основном за счет возможностей программного обеспече-
ния.

     В качестве примера можно привести следующие способы НСД к
информации в АСОД:
     изменение правил разграничения доступа;
     создание специальных программ - вирусов для модификации и
уничтожения информации;
     модификация программного  обеспечения  при начальной заг-
рузке;
     организация считывания информации, оставшейся в оператив-
ной памяти и на внешних носителях после решения задач;
     подключение к линиям передачи данных,  кабелям, разъемам,
контрольным  точкам  с  помощью  штатных и специальных средств
приема и отображения информации;
     хищение средств вычислительной техники и носителей инфор-
мации;
     создание неучтенных копий документов;
     нарушение работы  АСОД  с  целью нарушения системы защиты
информации;
     визуальное наблюдение за отображаемой информацией и прос-
лушивание разговоров обслуживающего персонала и др.

     Для предотвращения  НСД  программными  средствами защиты,
как правило, обеспечиваются:
     идентификация и  допуск  пользователей  с  разграничением
доступа  к  защищаемым  ресурсам;
     управление  средствами программной защиты.

     При этом процесс идентификации предполагает идентификацию
пользователей, периферийных устройств, отдельных СВТ при рабо-
те их в составе информационных сетей и идентификацию программ-
ного обеспечения.

     Разграничение доступа может включать в себя разграничение
доступа к терминалам,  к массивам информации,  к носителям ин-
формации, к  операциям  над  данными  и  разграничение доступа
должностных лиц.

     При групповом использовании СВТ  доступ  пользователей  к
информации осуществляется  в  зависимости от санкционированных
им функций. Например, для защиты файлов применяются программы,
которые  реализуют правила разграничения доступа в виде таблиц
полномочий.  В таблице для каждого защищаемого файла  записаны
идентификаторы пользователей, которым разрешен доступ к данно-
му файлу и разрешенный вид доступа  для  каждого  пользователя
(считывание, запись, выполнение и т. д.).

     Рекомендуется применять  специальные программы блокировки
клавиатуры,  диска или каталога без выключения компьютера, ко-
торые не позволяют получить доступ к жесткому диску без знания
пароля даже при загрузке операционной системы со своей  диске-
ты.  По  окончании работы с данными рекомендуется использовать
специальные программы,  обеспечивающие уничтожение  фрагментов
данных  в ОЗУ,  регистрах процессора,  на жестком диске,  в ЗУ
принтера.

     Защита от несанкционированного использования программного
обеспечения в результате несанкционированного копирования пос-
леднего реализуется применением специальных  программных  про-
дуктов,  подвергающих защищаемые программы предварительной об-
работке (вставка парольной защиты,  проверка обращений к  уст-
ройствам хранения ключа и ключевым дискетам,  блокировка отла-
дочных прерываний, проверка ЭВМ по ее уникальным характеристи-
кам и т.п.), которые приводят исполнимый код программ в состо-
яние, препятствующее ее выполнение на "чужих" ЭВМ.

     Программы и  данные,  служащие  для  обеспечения  защиты,
должны подвергаться регулярной проверке целостности.  Средства
контроля целостности рекомендуется реализовывать на основе ис-
пользования  алгоритмов  криптографического преобразования ин-
формации.

     В случае обработки государственной информации  все  прог-
раммы,  устройства и другие средства для реализации защиты ЭВМ
от НСД к информации должны иметь  соответствующий  сертификат,
разрешающий их применение для подобных целей.

     Эффективным средством защиты информации от НСД и частично
от утечки за счет физических полей является ее криптографичес-
кое преобразование.  Криптографические средства преобразования
информации могут быть  реализованы  как  программно-аппаратно,
так и программно.  Криптографическое преобразование информации
обеспечивает защиту информацию от прочтения и  изменения.  Га-
рантией  обеспечения  защиты информации в этом случае является
применение алгоритмов преобразования,  сертифицированных соот-
ветствующими службами.

     Следует отметить,  что в последнее время в серьезных сис-
темах стали получать распространение средства опознания  поль-
зователей по  уникальным  физическим характеристикам человека,
таким как отпечатки его пальцев,  сетчатка глаза,  голос, гео-
метрия руки и т.д.

    _Защита информации от утечки вследствие существования  фи-
_зических полей, создаваемых техническими средствами.

     Во время  работы в АСОД происходят сложные информационные
и физические процессы. При этом наряду с функционированием ос-
новных (предусмотренных конструктивно) каналов, обеспечивающих
обработку информации, существуют побочные информационные кана-
лы, обусловленные неидеальностью процессов формирования и пре-
образования сигналов, являющихся носителями информации. С точ-
ки  зрения утечки информации наибольшую опасность представляют
побочные каналы,  в которых определяющую роль играют  побочные
электромагнитные излучения и наводки (ПЭМИН).

     Защита информации  в  АСОД от утечки по каналам ПЭМИН ос-
ложнена тем, что перехват сообщений по этим каналам может осу-
ществляться специальными радиоприемными устройствами на значи-
тельных расстояниях (несколько десятков,  сотен и в  отдельных
случаях  тысяч метров) от места размещения технических средств
АСОД, т.е.  за пределами территории организации,  а значит вне
зоны безопасности.

     Для обеспечения  гарантированной защиты информации в АСОД
от утечки по каналам ПЭМИН необходима разработка и  реализация
системы защитных мероприятий на этапах разработки,  производс-
тва и эксплуатации АСОД:
     разработка и  реализация  соответствующих системно-техни-
ческих и  конструкторских  решений  при  создании  технических
средств АСОД в "защищенном исполнении";
     проведение исследований   и   сертификация    технических
средств АСОД при их производстве;
     специальный инженерный анализ и аттестация технического и
программного  обеспечения  АСОД с учетом конкретных условий их
размещения на объекте и применения;
     организационный и  инструментальный контроль защищенности
обрабатываемой информации в процессе эксплуатации АСОД.

     Основным направлением защиты информации от утечки по  ка-
налам  ПЭМИН  является  уменьшение отношения "сигнал-помеха" в
этих каналах до предела,  определяемого "Нормами", при котором
восстановление сообщений становится принципиально невозможным.

Решение этой задачи достигается как снижением уровня излучений
информационных  сигналов,  так  и увеличением мощности помех в
соответствующих частотных поддиапазонах.

     Первый способ реализуется преимущественно выбором систем-
но-технических и  конструкторских  решений при создании техни-
ческих средств АСОД в "защитном исполнении",  а  также  рацио-
нальным  выбором  места  (при соблюдении условия максимального
затухания информационного  сигнала)   размещения   технических
средств относительно мест возможного перехвата.  Второй способ
реализуется в основном за счет применения активных средств за-
щиты в виде генераторов сигналоподобных помех или шума.

     Создание технических  средств АСОД в "защищенном исполне-
нии" является непростым делом,  требующим  значительных  конс-
трукторских  и  технологических  разработок при создании новых
образцов технических средств и внесения дополнительных  узлов,
элементов,  усовершенствований,  сопряженных с дополнительными
внешними устройствами, при "доработке" серийно-выпускаемых об-
разцов в обычном исполнении до уровня "защищенных".

     Технические средства АСОД в "защищенном исполнении" долж-
ны удовлетворять ряду требований в части  стабильности  техни-
ческих параметров, определяющих уровни ПЭМИН во всех частотных
поддиапазонах существования последних и в части  влияния  воз-
можных  неисправностей и изменений условий эксплуатации и т.д.
Требования к СВТ в "защищенном исполнении" определяются специ-
альными действующими и разрабатываемыми ГОСТами.  При успешных
испытаниях на соответствие  этим  ГОСТам,  каждое  техническое
средство снабжается сертификатом установленного образца.

     В процессе  создания технических средств АСОД в "защищен-
ном исполнении" необходимо проведение их исследований.  Иссле-
дования проводятся с целью выявления источников информационных
сигналов, выявления возможных каналов распространения информа-
ционных сигналов,  исследования характеристик выявленных кана-
лов, а также контроля выполнения норм эффективности защиты об-
рабатываемой информации.  Исследования проводятся на основании
утвержденных нормативно-методических документов.

     Среди перспективных методов и средств защиты информации в
АСОД от утечки по каналам ПЭМИН следует отметить:
     выбор элементной базы технических средств АСОД с возможно
более  малой крутизной фронтов и уровнем информационных сигна-
лов;
     замена в  информационных каналах АСОД электрических цепей
волоконно-оптическими линиями;
     локальное экранирование узлов технических средств, являю-
щихся первичными источниками информационных сигналов;
     включение в  состав информационных каналов АСОД устройств
криптографического преобразования и предварительного  шифрова-
ния обрабатываемой информации.

     Сертификация технических и программных средств АСОД явля-
ется необходимым, но недостаточным условием обеспечения гаран-
тированной  защиты  обрабатываемой  информации.  Поэтому перед
вводом АСОД в эксплуатацию необходимо проведение аттестации ее
технического,  программного  и  организационного обеспечения с
учетом конкретных условий размещения и эксплуатации  техничес-
ких средств. Аттестация включает:
     "инженерный" анализ технического,  программного и органи-
зационного обеспечения АСОД;
     инструментальный контроль выполнения  норм  эффективности
защиты информации;
     определение допустимых  изменений  условий  эксплуатации,
при которых эти нормы выполняются.

     В процессе эксплуатации проводится периодический  органи-
зационный и инструментальный контроль защищенности информации.

     _Защита информации, передаваемой по линиям связи.

     Еще одна  важная проблема связана с защитой от несанкцио-
нированного доступа к информации, передаваемой по каналам свя-
зи  различных  видов.  В общем случае необходимо учитывать все
характерные для них виды угроз:
     во-первых, возможна угроза "прослушивания" каналов связи,
состоящая в простой записи всего проходящего потока сообщений.
Прослушивание в большинстве случаев не  замечается  легальными
участниками информационного обмена;
     во-вторых, возможна угроза,  связанная с умышленным вклю-
чением в поток ложных сообщений. Ложные сообщения с правильной
адресацией могут быть направлены в работающую сеть таким обра-
зом, что минуя все последующие проверки они могут быть достав-
лены адресатам в качестве подлинных;
     в-третьих, имеется угроза,  связанная с возможностью пов-
торной передачи ранее переданных подлинных сообщений, перехва-
ченных и записанных злоумышленником.  В этом случае повышается
вероятность  успешного  введения  ложного  сообщения  в  сеть;
     и, наконец,  в-четвертых,  существует угроза, состоящая в
преднамеренном разрыве линии связи, что приведет к прекращению
доставки выбранных сообщений.

     Каждая из   описанных  угроз  при  отсутствии  надлежащих
средств защиты может нанести значительный ущерб интересам або-
нентов сети, вплоть до того, что сеть станет бесполезной и да-
же опасной для пользователей.

     Одним из важнейших требований безопасности связи является
наличие в сети эффективных процедур аутентификации,  с помощью
которых абоненты могут идентифицировать  и  проверять  подлин-
ность друг друга. Как легко увидеть из вышесказанного, пробле-
ма защиты информации в сети по сути имеет те же  цели,  что  и
защита от НСД:  обеспечение конфиденциальности,  целостности и
готовности.

     Единственным эффективным средством  защиты  информации  в
неконтролируемых  каналах связи является применение криптогра-
фии (шифрование) и специальных связных протоколов.

     Например, криптография позволяет эффективно решить задачу
надежной аутентификации абонентов. В частности, обладание кор-
ректным ключом шифрования может  рассматриваться  как  доказа-
тельство того,  что участник способен вступить в обмен сообще-
ниями. Администратор сети может быть уверен, что только держа-
тель  ключа способен посылать и принимать сообщения в понятном
виде.  Однако, из-за возможности потери сообщений, подмены ис-
тинных сообщений,  повторного использования ключей для многок-
ратных сеансов связи, возникают новые проблемы обеспечения ау-
тентификации,  требующие применения специальных связных прото-
колов и сложных систем управления криптографическими ключами.

     В качестве примера некриптографического способа защиты от
несанкционированного доступа к ресурсам сети через модем можно
привести способ,  сочетающий использование системы  паролей  с
автоматическим обратным телефонным вызовом абонента,  запраши-
вающего доступ к данным.

     _Техническая политика  в  области  использования импортных
_средств.

     Использование технических средств иностранного производс-
тва в АСОД, предназначенных для обработки информации, содержа-
щей секретные сведения,  без проведения определенных специаль-
ных проверок и работ, направленных на их дальнейшую безопасную
эксплуатацию, связано с большим риском.

     Целью проверок импортных технических средств и узлов  яв-
ляется выявление  и устранение возможно внедренных специальных
электронных устройств подслушивания,  перехвата информации или
вывода технических средств и узлов из строя.

     Проверкам подвергаются узлы, платы, кабели и другие эле-
менты технических средств, а также сами средства в целом. Про-
верки  проводятся в соответствии с действующими нормативно-ме-
тодическими документами.

     При проведении  проверок  технических  средств  требуется
практически полная их разборка,  что в ряде случаев может при-
вести к возникновению неисправностей в технических средствах и
дополнительным затратам на их устранение.

     Таковы в  общих чертах те вопросы защиты информации в ав-
томатизированных системах обработки данных, на которых я хотел
остановиться в своем выступлении.

     Несколько слов_ о правовом обеспечении защиты информации в
_АСОД.

     Важнейшей задачей в области информатизации общества явля-
ется создание правовых основ,  обеспечивающих функционирование
информации,  как продукта общественного производства и регули-
рующих доступ к информации со стороны потребителей.

     До самого  последнего  времени   государство   монопольно
выступало  основным  субъектом  правоотношений  практически во
всех сферах жизни,  находясь сверху над всеми социально-эконо-
мическими институтами и структурами общества.  В советском за-
конодательстве практически отсутствовала целая отрасль  права,
регулирующая отношения частных лиц,  и в первую очередь их от-
ношения к собственности. Проблема защиты персональных данных в
стране стояла,  но властными структурами не воспринималась,  а
обществом плохо осознавалась в силу ряда причин.

     В условиях,  когда наше государство монопольно распоряжа-
лось правами владения, пользования п распоряжения национальным
информационным ресурсов,  деятельность специалистов по  защите
информации замыкалась на организации защиты секретной информа-
ции, а прерогатива защиты и контроля защищенности секретов на-
ходилась в исключительной компетенции  государства.  Законода-
тельная  поддержка проблемы осуществлялась тремя статьями уго-
ловного кодекса РСФСР и рядом нормативных актов,  утвержденных
правительством СССР.

     В настоящее  время состояние правового обеспечения инфор-
мационной безопасности в России меняется. Эта тематика начина-
ет отражаться в законодательстве Российской Федерации.

     Правовой режим обработки информации в АСОД и правовые ус-
ловия для эффективного применения систем защиты информации ос-
новываются на нескольких уровнях правового обеспечения.

     Первый уровень  составляют законы о безопасности информа-
ции,  обеспечивающие формирование и проведение политики в этой
области.

     Второй уровень составляют президентские и правительствен-
ные акты, обеспечивающие реализацию законодательства в области
безопасности информации.

     Третий уровень составляют различные стандарты,  руководя-
щие документы, нормы и классификаторы в рассматриваемой облас-
ти.

     Четвертый уровень включает комплект локальных норм, поло-
жений,  инструкций,  методических рекомендаций и других РД  по
комплексной защите информации в АСОД данной организации.

     Если говорить о документах первого уровня, то к настояще-
му времени приняты "Закон о безопасности",  "Закон о государс-
твенной тайне". С октября 1992 года вступил в силу Закон РФ "О
правовой охране программ для ЭВМ и баз данных".  В нем сформу-
лированы основные  понятия в данной области,  приведены нормы,
регулирующие авторские права,  разграничены личные и  имущест-
венные права авторов, конкретизированы особенности использова-
ния программ для ЭВМ и баз данных,  приведены нормы, обеспечи-
вающие защиту прав авторов.

     Исключительно важное  значение призван иметь Закон РФ "Об
информации, информатизации и защите информации".  Проект этого
закона в  настоящее время разработан и находится на обсуждении
в Государственной думе.

    Проект Закона входит в систему специального  законодатель-
ства  по проблемам информации и информатизации и подготовлен с
учетом требований Концепции правового обеспечения информацион-
ных процессов  и  информатизации в России.  По признаку охвата
важнейших направлений и условий, закрепления правовых институ-
тов и форм отношений, имеющих значение для процесса информати-
зации и дальнейшего развития нормотворчества в области  инфор-
мации и информатизации, он призван являться базовым актом Рос-
сийской Федерации.

    Цель Закона - создание правовой основы отношений в области
формирования и использования информационных ресурсов, в облас-
ти  информатизации  с учетом возрастания роли информации в об-
новлении  производственного  и  организационно-управленческого
потенциала страны, в решении вопросов включения России в миро-
вое сообщество.

    Сфера действия проекта Закона охватывает отношения, возни-
кающие при сборе,  передаче, обработке, накоплении, хранении и
предоставлении  потребителю документированной информации;  при
создании, внедрении и эксплуатации автоматизированных информа-
ционных систем,  банков данных и других систем обработки и пе-
редачи информации.

    Закон впервые в законодательной практике России:
    закрепляет права граждан,  организаций, государства на ин-
формацию;
    устанавливает правовой режим информации на основе примене-
ния в этой области правил  документирования,  института  собс-
твенности,  деления информации по признаку доступа на открытую
и с ограниченным доступом, правила формирования информационных
ресурсов и пользования ими;
    устанавливает основные права  и  обязанности  государства,
организаций, граждан в процессе создания информационных систем
страны, создания и развития научно-технической, производствен-
ной  базы  информатизации,  формирования  рынка информационной
продукции и услуг в этой сфере;
    устанавливает правила и общие требования ответственности в
области защиты информации в системах  ее  обработки,  гарантии
субъектов в процессе реализации права на информацию,  гарантии
безопасности в области информатизации;
    предусматривает порядок  включения  страны в международные
информационные системы.

    Проект закона учитывает и развивает нормы Конституции Рос-
сийской Федерации о праве граждан на информацию, он согласует-
ся с действующим законодательством и с другими  законопроекта-
ми, затрагивающими в разной мере проблемы информации.

     В целях  установления ответственности за нарушения инфор-
мационной безопасности разработан проект Закона РФ "Об ответс-
твенности за правонарушения при работе с информацией".

     Анализ показывает,  что  ответственность  за компьютерные
преступления в развитых странах устанавливается,  как правило,
законодательными актами прямого действия,  принимаемыми на об-
щегосударственном (как,  например, в Великобритании, Франции и
Германия), федеративном  или  региональном уровнях (что больше
характерно для США).

     При всем различии национальных законодательств можно  от-
метить некоторые общие моменты:
     практически во всех странах  установлена  ответственность
за  нарушение  порядка  обработки и использования персональных
данных.
     информационные (компьютерные)  преступления расцениваются
как преступления, представляющие особую опасность для граждан,
общества, государства, и влекут значительно более жесткие меры
наказания,  чем аналогичные преступления, совершенные без при-
менения компьютерной техники.
     как преступления рассматриваются также действия,  создаю-
щие угрозу нанесения ущерба, например, попытка проникновения в
систему, внедрение программы-вируса и т.п.

     Российским уголовным и административным законодательством
предусмотрена ответственность за некоторые преступления и пра-
вонарушения при работе с информацией, выраженной документально
(документ,  бланк).  Достаточно тщательно разработан вопрос об
уголовной ответственности за разглашение сведений,  составляю-
щих государственную  тайну,  и  утрату такого рода документов.
Однако на сегодняшний день оно не  предусматривает  надлежащей
охраны всех важных сфер,  непосредственно связанных с обработ-
кой информации, а также обеспечением прав человека. Не предус-
мотрена  ответственность  за нарушение прав личности в связи с
неразрешенным сбором персональных данных,  их разглашением или
отказом в получении надлежащей информации.

     Полностью отсутствуют нормы,  обеспечивающие охрану отно-
шений, возникающих в связи с использованием новых информацион-
ных  технологий.  Эти пробелы и призван заполнить Закон РФ "Об
ответственности за правонарушения при работе  с  информацией".
Его ролект  предусматривает  ввести в действие ответственность
за  разглашение  информации,  сбыт  непригодного  программного
обеспечения, хищение информации, уничтожение или искажение ин-
формационных данных, нарушение правил, обеспечивающих безопас-
ность информационных систем,  проникновение в систему, наруше-
ние правил сбора, регистрации и хранения информации, распрост-
ранение компьютерного вируса.

     В целях разработки политики  информационной  безопасности
страны,  максимально учитывающей интересы граждан,  общества и
государства, Указом Президента РФ в декабре 1993 года  создана
Межведомственная комиссия Совета безопасности РФ по информаци-
онной безопасности.  В настоящее время разрабатывается Концеп-
ция информационной  безопасности страны,  как методологическая
основа государственной политики в сфере  информационной  безо-
пасности и разработки механизмов реализации этой политики.

     Указом Президента РФ в марте этого года на Гостехкомиссию
России временно возложены функции Межведомственной комиссии по
защите государственной тайны в стране.  В настоящее время раз-
рабатывается ряд документов, направленных на совершенствование
системы защиты государственной тайны в стране.

     Некоторое время  назад  Гостехкомиссией  России   выпущен
комплект руководящих документов по защите от НСД.  Он включает
в себя:
     термены о  определения;
     концепцию защиты средств вычислительной техники и автома-
тизированных систем от НСД к информации;
     классификацию автоматизированных систем и требования по
защите информации;
     показатели защищенности от НСД к информации;
     временное положение по организации разработки, изготовле-
ния и эксплуатации программных и  технических  средств  защиты
информации от  НСД  в  автоматизированных системах и средствах
вычислительной техники.

     В частности,  концепция излагает систему взглядов, основ-
ных принципов,  которые закладываются в основу проблемы защиты
информации от НСД,  являющейся частью общей проблемы  безопас-
ности информации.  Она  является методологической базой норма-
тивно-технических и методических документов по защите информа-
ции  от НСД.  Концепция раскрывает основные принципы и способы
НСД, основные направления обеспечения защиты от него, основные
характеристики технических средств защиты от НСД,  дает модель
нарушителя в автоматизированных системах.

     Временное положение  раскрывает организационную структуру
и порядок проведения работ по защите информации от НСД,  поря-
док разработки  и изготовления защищенных средств вычислитель-
ной техники (в том числе программных и технических  средств  и
систем защиты информации от НСД), порядок приемки и сертифика-
цию защищенных технических средств и средств криптографической
защиты, устанавливает  единый порядок организации и проведения
разработок систем защиты секретной информации в  ведомствах  и
на отдельных предприятиях.

     Классификация производит деление всего многообразия авто-
матизированных систем на соответствующие классы по условиям их
функционирования с точки зрения защиты информации, которое не-
обходимо в  целях  разработки и применения обоснованных мер по
достижению требуемого уровня защиты информации. Дифференциация
подхода к  выбору  методов  и средств защиты определяется важ-
ностью обрабатываемой информации, различием автоматизированных
систем по своему составу, структуре, способам обработки инфор-
мации, количественному и качественному составу пользователей и
обслуживающего персонала.

     Показатели защищенности содержат единые требования к  за-
щищенности  средств вычислительной техники от НСД к информации
в зависимости от требуемого уровня защиты.

     И, наконец,  несколько слов_ о лицензировании и сертифика-
_ции в области защиты информации.

     Лицензии являются неотъемлемой частью нашей  повседневной
жизни, хотя мы и не осознаем этого в полной мере.  В последнее
время  лицензирование  распространяется  и на область вычисли-
тельной техники,  в том числе на область,  связанную с защитой
информации в вычислительных системах.

     _К настоящему времени вопросы лицензирования и сертифика-
ции получили правовое оформление в Российском  законодательст-
ве.  Так, Законом Российской Федерации "О защите прав потреби-
телей" в стране введена обязательная сертификация товаров (ра-
бот,  услуг),  на которые в законодательных актах и стандартах
установлены требования,  направленные на обеспечение  безопас-
ности жизни,  здоровья потребителей и охраны окружающей среды,
предотвращения вреда имуществу потребителей,  а также средств,
обеспечивающих безопасность жизни и здоровья потребителей. Од-
новременно с этим Законом введена в действие система  сертифи-
кации ГОСТ,  определяющая порядок работ по обязательной серти-
фикации,  разработанная на основе международного опыта с прив-
лечением ведущих специалистов России. Законом Российской Феде-
рации "О сертификации продукции и услуг" установлены  правовые
основы обязательной и добровольной сертификации продукции, ус-
луг и иных объектов в Российской  Федерации,  а  также  права,
обязанности и ответственность участников сертификации.

     Указом Президента   Российской  Федерации  Гостехкомиссии
России разрешено в пределах ее компетенции выдавать  предприя-
тиям  и  организациям,  имеющим  намерения заниматься деятель-
ностью по защите информации от ИТР и от ее утечки по техничес-
ким каналам в государственном секторе,  лицензии на право осу-
ществления такой деятельности._ В частности, центральный аппа-
рат  Гостехкомиссии призван обеспечивать_работу по осуществле-
нию государственного лицензирования деятельности  по  вопросам
защиты информации, сертификации систем и средств информатики и
связи, средств защиты информации и контроля.

     Конечно, деятельность Гостехкомиссии России в первую оче-
редь  направлена  на  защиту  информации,  составляющей  госу-
дарственную тайну,  как наиболее ценную часть  информационного
ресурса.   Вопросы   лицензирования   деятельности  по  защите
государственной тайны и  сертификации  применяемых  для  этого
средств защиты отражены  в статьях _.27 и 28 Закона Российской
Федерации "О государственной тайне".  Что же касается вопросов
защиты служебной, экономической (в том числе банковской), про-
фессиональной и другой важной информации, то следует отметить,
что на уровне законодательства они пока не регулируются.  Поэ-
тому стихийно формирующийся рынок средств  информатизации  за-
полняется  некачественными  техническими и программными средс-
твами защиты, а также услугами сомнительного качества.

     С целью устранения  такого  положения  дел  Государствен-
но-правовым управлением принята программа подготовки законода-
тельного и нормативного обеспечения работ в области информати-
зации, подготовленная по инициативе Гостехкомиссии.  "Базовым"
законодательным актом этой программы  призван_ явиться   Закон
Российской Федерации "Об информации,   информатизации и защите
информации",  который в настоящее время,  как я  уже  говорил,
внесен на  рассмотрение  в законодательные органы России.  Ряд
статей законопроекта определяет, что для обеспечения заданного
уровня  защиты  информации  создается  государственная система
сертификации технических и программных средств,  предназначен-
ных для ее обработки,  а также вводится государственное лицен-
зирование деятельности организаций,  выполняющих работы в этой
области. Определено,  что для повышения качества и обеспечения
конкурентноспособности средств информатизации,  а также защиты
внутреннего рынка страны от недоброкачественной продукции Пра-
вительством Российской Федерации вводится государственная сис-
тема сертификации средств информатизации и государственное ли-
цензирование деятельности предприятий в этой области.

     Право на  осуществление  сертификации и выдачи заключений
на право получения лицензий  может  представляться  как  госу-
дарственным,  так и иным, в том числе и общественным объедине-
ниям, после признания в установленном порядке их полномочий.

     Опытная отработка   системы  лицензирования  деятельности
предприятий в области защиты информации начата Гостехкомиссией
России в 1992 г.  К настоящему времени временные разрешения на
осуществление деятельности в области защиты информации  выданы
более чем 60_ предприятиям и организациям России.

   _ В настоящее время разработано и утверждено совместным ре-
шением Гостехкомиссии и ФАПСИ "Положение о государственном ли-
цензировании деятельности в области защиты информации".  Поло-
жение определяет организационную структуру  системы  государс-
твенного лицензирования,  порядок  его  проведения и контроля,
устанавливает виды деятельности в области  защиты  информации,
подлежащие лицензированию  со  стороны Гостехкомиссии России и
ФАПСИ._Оно определяет,  что предприятия,  получившие лицензии,
несут  юридическую  и  финансовую ответственность за полноту и
качество выполнения работ и обеспечение сохранности  государс-
твенных и коммерческих секретов,  доверенных им в ходе практи-
ческой деятельности.

     Несколько слов о системе сертификации продукции по требо-
ваниям безопасности  информации,  которая  является  составной
частью системы сертификации продукции__.

     Под сертификацией  продукции  по требованиям безопасности
информации понимается комплекс  организационно  -  технических
мероприятий, в результате которых посредством специального до-
кумента - сертификата и знака соответствия с определенной сте-
пенью достоверности подтверждается, что продукция соответству-
ет требованиям стандартов по безопасности информации или  иных
нормативно-технических документов.  Указанная  система предус-
матривает  сертификацию  технических,  программно-технических,
программных  средств,  систем,  сетей вычислительной техники и
связи,  средств защиты и средств контроля эффективности защиты
по требованиям безопасности информации.

     _В настящее время разработан проект "Положения о сертифи-
кации средств и систем вычислительной техники и связи по  тре-
бованиям безопасности информации".

     Основными целями  сертификации  продукции  по требованиям
безопасности информации,  определенными проектом Положения яв-
ляются:
     защита потребителей от приобретения товаров и услуг,  ко-
торые опасны для их информации;
     содействие экспорту   и  повышение  конкурентоспособности
продукции, предназначенной в той или иной степени для  обеспе-
чения безопасности информации.

     При сертификации  могут  подтверждаться как отдельные ха-
рактеристики,  так и весь  комплекс  характеристик  продукции,
связанных с обеспечением безопасности информации.

     При сертификации продукции,  в зависимости от ее назначе-
ния, подтверждаются требования:
     по защите   информации  от  несанкционированного  доступа
(действия), в том числе от компьютерных вирусов;
     по защите информации посредством криптографических преоб-
разований;
     по защите  информации от утечки за счет побочных электро-
магнитных излучений и наводок (ПЭМИН);
     по защите  информации от утечки или воздействия на нее за
счет специальных устройств, встроенных в технические средства.

     Обязательной сертификации по требованиям безопасности ин-
формации должны  подлежать  средства  и системы вычислительной
техники и связи, в том числе импортного производства, предназ-
наченные для обработки (передачи) секретной (конфиденциальной)
информации,  для  использования  в   управлении   экологически
опасными  объектами,  вооружением и военной техникой,  а также
средства защиты и контроля эффективности защиты такой информа-
ции.

     Испытания проводятся в испытательных центрах (лаборатори-
ях),  аккредитованных Гостехкомиссией совместно с  Госстандар-
том,  а  в случае испытаний криптографических средств и систем
безопасности и с ФАПСИ.

     Органы по сертификации и испытательные центры  (лаборато-
рии)  несут  ответственность  за выполнение возложенных на них
функций,  обеспечение сохранности  государственных  и  коммер-
ческих секретов, а также за соблюдение авторских прав заявите-
ля при испытаниях его продукции.

     В заключение хочу  отметить,  что  эффективное  норматив-
но-правовое обеспечение вопросов лицензирования и сертификации
в области защиты информации позволит обеспечить надежную защи-
ту   государственного   информационного   ресурса,   интересов
собственников и предпринимателей, а также прав граждан России.
 Защита информации в автоматизированных  системах обработки информации
Лента новостей


2006 (c) Copyright Hardline.ru