Файл: Контрольные вопросы по теме. Список рекомендованной литературы Глава Предмет и методы информационного права Объективные основания для формирования отрасли информационного права.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.11.2023
Просмотров: 727
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
для обеспечения создания системы, равнопрочной как в плане качества функционирования, так и информационной безопасности. Для решения этой проблемы В. В. Липаев предлагает в качестве одного из эффективных методов - сертификацию. По его оценке, сертификация, как апробированный механизм целенаправленных испытаний, должна быть в максимальной степени ориентирована на противодействие перечисленным угрозам и нейтрализацию негативных последствий их реализации. При этом, в силу существующей зависимости, обеспечение качества функционирования ИС в условиях потенциальной реализации угроз является определенной гарантией информационной безопасности ИС.
По частоте проявления угрозы безопасности распределяются так в порядке убывания: копирование и кража программного обеспечения; несанкционированный ввод данных; модификация или уничтожение данных на магнитных носителях информации; кража
(съем) информации; несанкционированное использование ресурсов в системе; несанкционированный доступ к информации.
Вероятность возникновения угроз может быть существенно снижена: кража магнитных носителей и результатов печати, порча оборудования - организационными мерами; электромагнитные воздействия и перехват информации в системах - техническими средствами защиты; съем информации по акустическому каналу - защитой от подслушивания; отключение электропитания системы - инженерно-техническими средствами. Оставшиеся виды угроз наиболее опасны, что доказывает необходимость комплексного решения проблемы защиты с применением организационных, аппаратно-технических, программно-математических и правовых средств защиты.
В данном случае используется подход, когда для защиты от каждого вида угроз должны разрабатываться свои способы, которые должны ориентироваться не на максимальный, а на необходимый уровень защиты. В то же время некоторые ученые и практики считают, что существующий подход к построению систем защиты, заключающийся в выявлении и анализе множества угроз и создании средств защиты, препятствующих осуществлению каждого из типов угроз, является неэффективным и тупиковым. Это объясняется открытостью и экспоненциальным характером роста множества угроз, постоянным возникновением их качественно новых типов. Вместе с тем, любой из типов угроз - как существующих, так и тех, что появятся в будущем, обусловлен наличием определенных недостатков в системах обеспечения безопасности. Повышение надежности самой системы и устранение данных причин (в идеальном случае) позволит минимизировать возможность осуществления угроз безопасности. Неоспоримым преимуществом данного подхода, по мнению П. Д. Зегжды, является возможность эффективного противостояния как существующим, так и перспективным типам угроз, что не в состоянии обеспечить традиционный подход. Использование семантики информации в качестве основы для разграничения доступа к ней дает возможность построить систему защиты данных в соответствии с их информационной ценностью. На наш взгляд, целесообразно использовать преимущества как первого, так и второго подходов.
Основные направления обеспечения безопасности в информационных системах можно определить в зависимости от их уровня и угроз этим системам в соответствии с приведенной классификацией таких угроз, и они предполагают комплексное решение проблемы защиты с применением организационных, аппаратно-технических, программно-математических и правовых средств защиты.
5
Совокупность применения таких мер и средств защиты принято называть среди специалистов политикой безопасности. Политика безопасности информационной системы обычно состоит из трех частей: общие принципы (определяют подход к безопасности в системе); правила работы (определяют что разрешено, а что - запрещено; могут дополняться конкретными процедурами и различными руководствами); технические решения (технический анализ, который помогает выполнять принципы и правила
По частоте проявления угрозы безопасности распределяются так в порядке убывания: копирование и кража программного обеспечения; несанкционированный ввод данных; модификация или уничтожение данных на магнитных носителях информации; кража
(съем) информации; несанкционированное использование ресурсов в системе; несанкционированный доступ к информации.
Вероятность возникновения угроз может быть существенно снижена: кража магнитных носителей и результатов печати, порча оборудования - организационными мерами; электромагнитные воздействия и перехват информации в системах - техническими средствами защиты; съем информации по акустическому каналу - защитой от подслушивания; отключение электропитания системы - инженерно-техническими средствами. Оставшиеся виды угроз наиболее опасны, что доказывает необходимость комплексного решения проблемы защиты с применением организационных, аппаратно-технических, программно-математических и правовых средств защиты.
В данном случае используется подход, когда для защиты от каждого вида угроз должны разрабатываться свои способы, которые должны ориентироваться не на максимальный, а на необходимый уровень защиты. В то же время некоторые ученые и практики считают, что существующий подход к построению систем защиты, заключающийся в выявлении и анализе множества угроз и создании средств защиты, препятствующих осуществлению каждого из типов угроз, является неэффективным и тупиковым. Это объясняется открытостью и экспоненциальным характером роста множества угроз, постоянным возникновением их качественно новых типов. Вместе с тем, любой из типов угроз - как существующих, так и тех, что появятся в будущем, обусловлен наличием определенных недостатков в системах обеспечения безопасности. Повышение надежности самой системы и устранение данных причин (в идеальном случае) позволит минимизировать возможность осуществления угроз безопасности. Неоспоримым преимуществом данного подхода, по мнению П. Д. Зегжды, является возможность эффективного противостояния как существующим, так и перспективным типам угроз, что не в состоянии обеспечить традиционный подход. Использование семантики информации в качестве основы для разграничения доступа к ней дает возможность построить систему защиты данных в соответствии с их информационной ценностью. На наш взгляд, целесообразно использовать преимущества как первого, так и второго подходов.
Основные направления обеспечения безопасности в информационных системах можно определить в зависимости от их уровня и угроз этим системам в соответствии с приведенной классификацией таких угроз, и они предполагают комплексное решение проблемы защиты с применением организационных, аппаратно-технических, программно-математических и правовых средств защиты.
5
Совокупность применения таких мер и средств защиты принято называть среди специалистов политикой безопасности. Политика безопасности информационной системы обычно состоит из трех частей: общие принципы (определяют подход к безопасности в системе); правила работы (определяют что разрешено, а что - запрещено; могут дополняться конкретными процедурами и различными руководствами); технические решения (технический анализ, который помогает выполнять принципы и правила
политики). Однако, как в теории, так и на практике подобная политика безопасности, как правило, не предусматривает правовых средств защиты, упоминая лишь в лучшем случае об ответственности за компьютерные преступления. Рассмотрим это на некоторых примерах организации защиты информационных систем разных уровней, а вопросы их правовой охраны и защиты рассмотрим подробнее в следующих параграфах данной главы.
На уровне персонального компьютера.
Еще недавно самая большая угроза информационной безопасности настольного ПК исходила от дискет неизвестного происхождения, легко угадываемых паролей и любопытных коллег по работе. С появлением Интернет возникли новые потенциальные опасности и угрозы на этом уровне, что предполагает использование и новых технических и программных средств защиты. К их числу можно отнести
6
: персональные комплексы безопасности
(персональные комплексы безопасности отличаются широкой функциональностью: от антивирусных программ до шифраторов данных и фильтров ActiveX и Java. Например, в инструментальный комплекс Desktop
Security Suite входят антивирусные программы, средства шифрования, персональный брандмауэр и утилиты резервирования данных); диспетчеры cookie-файлов (служебных сообщений) - программы, с помощью которых можно отыскивать и удалять cookie-файлы, которые могут быть использованы для слежения за деятельностью пользователя в Сети, что породило опасения относительно возможных нарушений конфиденциальности; надежные алгоритмы шифрования
- единственный способ, гарантирующий неприкосновенность электронной почты пользователя (общепринятым стандартом шифрования электронной почты становится спецификация S/MIME). Так называемые бреши в защите браузеров дают возможность посторонним лицам просматривать вашу электронную почту. Например, в первой половине 1997 г. фирма Netscape выпустила программную заплату для ликвидации бреши, через которую посторонние могли читать сообщения клиентов службы Netscape Mail, работавших спакетами Navigator 3.0 и подключенным модулем Shockwaveфирмы Macromedia.
На уровне локальной, корпоративной сети
7
.
Обеспечение информационной безопасности корпоративных сетей, (где их эксплуатация связана с использованием мощных СУБД, работой сотен пользователей и включением в глобальные сети связи, что облегчает доступ неопределенного круга лиц к ресурсам такой системы) требует специальной стратегии безопасности, составными частями которой должны стать разработка совокупности документированных управленческих решений, оценка рисков и оптимальный выбор защитных средств, составление программы мер по поддержанию безопасности. К политике безопасности на этом уровне относят:
1) принципы защиты информации в информационных системах: целостность содержания информации (позволяет получателю убедиться, что содержание сообщения не модифицировано); целостность последовательности сообщений (позволяет получателю убедиться в том, что последовательность сообщений не изменена); конфиденциальность содержания информации (позволяет отправителю быть уверенным, что никто не прочитает сообщения, кроме определенного получателя); аутентификация источника сообщений
(отправитель получает возможность аутентифицироваться у получателя как источник сообщения, а также у любого устройства передачи сообщений, через которое они проходят); доказательство доставки информации (отправитель может убедиться в том, что сообщение доставлено неискаженным нужному получателю); доказательство подачи информации (отправитель может убедиться в идентичности устройства передачи сообщения, на которое оно было подано);
На уровне персонального компьютера.
Еще недавно самая большая угроза информационной безопасности настольного ПК исходила от дискет неизвестного происхождения, легко угадываемых паролей и любопытных коллег по работе. С появлением Интернет возникли новые потенциальные опасности и угрозы на этом уровне, что предполагает использование и новых технических и программных средств защиты. К их числу можно отнести
6
: персональные комплексы безопасности
(персональные комплексы безопасности отличаются широкой функциональностью: от антивирусных программ до шифраторов данных и фильтров ActiveX и Java. Например, в инструментальный комплекс Desktop
Security Suite входят антивирусные программы, средства шифрования, персональный брандмауэр и утилиты резервирования данных); диспетчеры cookie-файлов (служебных сообщений) - программы, с помощью которых можно отыскивать и удалять cookie-файлы, которые могут быть использованы для слежения за деятельностью пользователя в Сети, что породило опасения относительно возможных нарушений конфиденциальности; надежные алгоритмы шифрования
- единственный способ, гарантирующий неприкосновенность электронной почты пользователя (общепринятым стандартом шифрования электронной почты становится спецификация S/MIME). Так называемые бреши в защите браузеров дают возможность посторонним лицам просматривать вашу электронную почту. Например, в первой половине 1997 г. фирма Netscape выпустила программную заплату для ликвидации бреши, через которую посторонние могли читать сообщения клиентов службы Netscape Mail, работавших спакетами Navigator 3.0 и подключенным модулем Shockwaveфирмы Macromedia.
На уровне локальной, корпоративной сети
7
.
Обеспечение информационной безопасности корпоративных сетей, (где их эксплуатация связана с использованием мощных СУБД, работой сотен пользователей и включением в глобальные сети связи, что облегчает доступ неопределенного круга лиц к ресурсам такой системы) требует специальной стратегии безопасности, составными частями которой должны стать разработка совокупности документированных управленческих решений, оценка рисков и оптимальный выбор защитных средств, составление программы мер по поддержанию безопасности. К политике безопасности на этом уровне относят:
1) принципы защиты информации в информационных системах: целостность содержания информации (позволяет получателю убедиться, что содержание сообщения не модифицировано); целостность последовательности сообщений (позволяет получателю убедиться в том, что последовательность сообщений не изменена); конфиденциальность содержания информации (позволяет отправителю быть уверенным, что никто не прочитает сообщения, кроме определенного получателя); аутентификация источника сообщений
(отправитель получает возможность аутентифицироваться у получателя как источник сообщения, а также у любого устройства передачи сообщений, через которое они проходят); доказательство доставки информации (отправитель может убедиться в том, что сообщение доставлено неискаженным нужному получателю); доказательство подачи информации (отправитель может убедиться в идентичности устройства передачи сообщения, на которое оно было подано);
безотказность источника информации (позволяет отправителю доказать получателю, что переданное сообщение принадлежит ему); безотказность поступления информации (позволяет отправителю сообщения получить от устройства передачи сообщения, на которое оно поступило, доказательство того, что сообщение поступило на это устройство для доставки определенному получателю); безотказность доставки информации (позволяет отправителю получить от получателя доказательство получения им сообщения); управление контролем доступа к информации (позволяет двум компонентам системы обработки сообщений установить безопасные соединения); защиту от попыток расширения своих законных полномочий (на доступ, формирование, распределение и т. д.), а также изменения(без санкции на то) полномочий других пользователей; защиту от модификации программного обеспечения путем добавления новых функций.
(Аналогичные принципы должны быть и в отношении защиты самих информационных систем);
2) управление персоналом (отбор, контроль в процессе деятельности, воспитание сознательного отношения к соблюдению правил безопасности);
3) обеспечение физической защиты информации, в том числе регулярное защищенное резервное ее копирование, протоколирование и аудит всех выполняемых в системе действий, шифрование информации, экранирование кабельных сетей;
4) поддержка работоспособности системы и предупреждение ее вскрытия и проникновения в нее вирусов (резервирование оборудования, использование проверки подлинности пользователя, использование брандмауэров - устройств и программ, выполняющих функции межсетевых экранов, ограничение использования дисков CD-ROM и гибких дисков, разграничение прав доступа и т. п.);
5) немедленное реагирование на проявление угрозы;
6) опережающее планирование восстановительных работ.
К числу основных направлений обеспечения информационной безопасности в
общегосударственных информационных и телекоммуникационных системах отнесены: предотвращение перехвата информации из помещений и объектов, а также информации, передаваемой по каналам связи с помощью технических средств; исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации; предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами, преобразований, а также за счет электроакустических преобразований; предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; выявление внедренных на объекты и в технические средства электронных устройств перехвата информации.
Безусловными недостатками такого подхода являются два момента: 1) то, что перечисленные направления относятся, в основном, к защите информации, циркулирующей в информационной системе, и 2) обеспечение защиты здесь предлагается осуществлять без указания на использование при этом средств и способов правовой охраны и защиты.
Так, предотвращение перехвата с помощью технических средств информации, передаваемой по каналам связи, а также исключение несанкционированного доступа к информации, обрабатываемой или хранящейся в технических средствах, достигаются путем применения специальных методов и средств защиты, включая криптографические, а также проведения организационно-технических мероприятий.
(Аналогичные принципы должны быть и в отношении защиты самих информационных систем);
2) управление персоналом (отбор, контроль в процессе деятельности, воспитание сознательного отношения к соблюдению правил безопасности);
3) обеспечение физической защиты информации, в том числе регулярное защищенное резервное ее копирование, протоколирование и аудит всех выполняемых в системе действий, шифрование информации, экранирование кабельных сетей;
4) поддержка работоспособности системы и предупреждение ее вскрытия и проникновения в нее вирусов (резервирование оборудования, использование проверки подлинности пользователя, использование брандмауэров - устройств и программ, выполняющих функции межсетевых экранов, ограничение использования дисков CD-ROM и гибких дисков, разграничение прав доступа и т. п.);
5) немедленное реагирование на проявление угрозы;
6) опережающее планирование восстановительных работ.
К числу основных направлений обеспечения информационной безопасности в
общегосударственных информационных и телекоммуникационных системах отнесены: предотвращение перехвата информации из помещений и объектов, а также информации, передаваемой по каналам связи с помощью технических средств; исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации; предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами, преобразований, а также за счет электроакустических преобразований; предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; выявление внедренных на объекты и в технические средства электронных устройств перехвата информации.
Безусловными недостатками такого подхода являются два момента: 1) то, что перечисленные направления относятся, в основном, к защите информации, циркулирующей в информационной системе, и 2) обеспечение защиты здесь предлагается осуществлять без указания на использование при этом средств и способов правовой охраны и защиты.
Так, предотвращение перехвата с помощью технических средств информации, передаваемой по каналам связи, а также исключение несанкционированного доступа к информации, обрабатываемой или хранящейся в технических средствах, достигаются путем применения специальных методов и средств защиты, включая криптографические, а также проведения организационно-технических мероприятий.
Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований достигается путем применения защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранирования зданий или отдельных помещений, установления контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами.
Предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации, достигается с помощью специальных программных и аппаратных средств защиты, организации контроля безопасности программного обеспечения. Выявление внедренных на объекты и в технические средства электронных устройств перехвата информации осуществляется в ходе специальных обследований помещений (объектов) и специальных проверок технических средств.
Предотвращение перехвата техническими средствами речевой информации из помещений и объектов достигается применением специальных средств защиты, реализацией проектных решений, обеспечивающими звукоизоляцию помещений, выявлением и нейтрализацией специальных средств съема информации и другими организационными и режимными мероприятиями.
1
Маркоменко В. И. Защита информации в информационно-телекоммуникационных системах органов государственной власти. Системы безопасности. 1996 № 6.
2
Концепция Центробанка России обеспечения защиты информации кредитно-финансового учреждения. М., 1996.; Левкин В. В. и др. Оценка экономической эффективности системы защиты от несакционированного доступа СНЕГ. Безопасность информационных технологий. 1996. № 3. С. 90-101; Стене Д., Мун С. Секреты безопасности сетей. Киев.
1996; Романов М. Ю., Скородумов Б. И. Безопасность информации в автоматизированных системах банковских расчетов. М., 1998. С. 45-70.
3
Теория и практика обеспечения информационной безопасности / Под ред. П. Д. Зегжды.
М., 1996.
4
Лукацкий А. В., руководитель отдела Internet-решений НИП "Информзащита".
Информационная безопасность в фактах и цифрах. М., 1998.
5
Галатенко В. А. Информационная безопасность: практический подход. - Под редакцией члена-корреспондента РАН В. Б. Бетелина. М., 1998.
6
Скот Финни. Информационная безопасность настольных ПК. PC Magazine. 1997. №9. С.
149.
7
Материалы семинара "Безопасность в информационных системах". 27-29 мая 1996 г.
"Банковские технологии". 1996. № 7.
15.2. Охрана прав на информационные системы
Следует различать правовую охрану и защиту права на информацию в информационных системах и защиту прав в отношении самих информационных систем. Целями правовой охраны и защиты в данном случае являются: предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, находящейся в информационной системе; предотвращение других форм незаконного вмешательства в информационные системы; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; обеспечение прав субъектов при разработке, производстве и применении информационных систем
Охрана права собственника (владельца) на информационную систему возникает с момента ее создания (приобретения) на законном основании и действует в объеме и порядке, предусмотренном Гражданским кодексом Российской Федерации (раздел II), что
подтверждено Федеральным законом "Об участии в международном информационном обмене", в котором указано, что информационные системы используются только по волеизъявлению их собственника или уполномоченного им лица (ст. 9), а доступ физических и юридических лиц к этим системам осуществляется по правилам, установленным собственником или владельцем этих систем в соответствии с законодательством Российской Федерации (ст. 12). В то же время такая правовая охрана в каждом конкретном случае будет иметь свою специфику в зависимости от вида информационных систем: открытые (для общего пользования) или закрытые (для ограниченного круга пользователей); государственные или негосударственные; национальные или международные и т. д. На основе анализа действующего законодательства можно выделить основные права и обязанности собственника информационной системы.
1 ... 43 44 45 46 47 48 49 50 ... 59