Inform bezopasnost

Page 1


МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное агентство по образованию Московский физико-технический институт (государственный университет) Академия ИБС

М. М. Котухов, А. Н. Кубанков, А. О. Калашников

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Учебное пособие

МОСКВА АКАДЕМИЯ ИБС – МФТИ 2009


УДК 004.056 ББК 32.973.202 К73 Разработано в соответствии с Государственным образовательным стандартом ВПО для направлений подготовки 220100.68 «Системный анализ и управление», 230100.68 «Информатика и вычислительная техника», 080800 «Прикладная информатика». Рецензенты: Ведущий научный сотрудник ИПУ РАН, д.ф-м.н. А.Г. Чхартишвили Генеральный директор ЗАО «НПО «Эшелон», к.т.н., с.н.с., доцент каф. «Информационная безопасность» МГТУ им. Н.Э. Баумана А.С.Марков Котухов М. М., Кубанков А. Н., Калашников А. О. К73 Информационная безопасность: учебное пособие. – М.: Академия ИБС: МФТИ, 2009. – 195 с. Под научной редакцией д.т.н., проф. А.Ю. Силантьева ISBN 978-5-7417-0272-7 Пособие посвящено основным направлениям деятельности по обеспечению информационной безопасности, рассмотрению основных классов способов и средств защиты информации, нормативным и правовым аспектам обеспечения информационной безопасности и ее организационнотехническому обеспечению, а также особенностям структуры и управления корпоративных систем защиты информации, включая аудит. Предназначено для студентов старших курсов, аспирантов и специалистов. УДК 004.056 ББК 32.973.202 ISBN 978-5-7417-0272-7 © Котухов М.М., Кубанков А.Н., Калашников А.О., 2009 © ООО «Информационные бизнес системы», 2009 © ГОУ ВПО «Московский физико-технический институт (государственный университет)», 2009


Оглавление ПРЕДИСЛОВИЕ............................................................................................... 6 ВВЕДЕНИЕ ........................................................................................................ 7 1. МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ .......................................................................................... 10 1.1. Проблема обеспечения информационной безопасности....................11 1.1.1. Основные понятия в области информационной безопасности ..............................................................................................11 1.1.2. Основные направления обеспечения информационной безопасности ..............................................................................................14 1.1.3. Классификация способов и средств защиты информации..........21 1.2. Правовое обеспечение информационной безопасности.....................25 1.2.1. Содержание и методы правового обеспечения информационной безопасности ...............................................................25 1.2.2. Законодательные основы Российской Федерации по обеспечению информационной безопасности........................................26 1.2.3. Законодательные акты в области защиты информации ..............32 1.2.4. Правовое обеспечение защиты конфиденциальной информации................................................................................................39 1.2.5. Требования руководящих документов по защите информации от несанкционированного доступа ...................................40 1.2.6. Защита СВТ и АС от НСД к информации с использованием межсетевых экранов ..................................................................................50 1.3. Организационное и техническое обеспечение информационной безопасности ..................................................................................................53 1.3.1. Сущность, методы и средства организационного обеспечения информационной безопасности.........................................53 1.3.2. Сущность, методы и средства технического обеспечения информационной безопасности ...............................................................65 1.3.3. Содержание и основные понятия криптологии............................65 1.3.4. Классификация криптографических методов и алгоритмов ......67 1.3.5. Симметричные системы с закрытым (секретным) ключом ........69 1.3.6. Асимметричные системы с открытым ключом............................76 1.3.7. Составные криптографические системы. Алгоритм PGP (Pretty Good Privacy)..................................................................................80 1.3.8. Электронная цифровая подпись. Функция хэширования ...........82 1.3.9. Основные типы криптоаналитических атак .................................94 Контрольные вопросы к разделу 1...........................................................98

3


2. СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ........................................................................................ 102 2.1. Система лицензирования и сертификации в сфере информационной безопасности .................................................................103 2.1.1. Основные руководящие документы, определяющие порядок лицензирования и сертификации в области защиты информации.....103 2.1.2. Виды деятельности, подлежащие лицензированию ..................108 2.1.3. Общие принципы и правила лицензирования ............................113 2.1.4. Лицензирование средств криптографической защиты информации..............................................................................................118 2.1.5. Общие принципы и правила системы сертификации средств защиты информации................................................................................123 2.2. Корпоративные системы защиты информации .................................127 2.2.1. Понятие корпоративной информационно-вычислительной сети ............................................................................................................127 2.2.2. Анализ и оценка угроз безопасности информации в корпоративных сетях...............................................................................128 2.2.3. Обоснование необходимости создания системы обеспечения информационной безопасности корпоративной сети ..135 2.2.4. Принципы построения системы обеспечения информационной безопасности корпоративной сети..........................138 2.2.5. Порядок разработки системы обеспечения информационной безопасности корпоративной сети..........................140 2.2.6. Определение границ управления информационной безопасностью корпоративной сети ......................................................141 2.2.7. Анализ уязвимости корпоративной сети ....................................142 2.2.8. Выбор контрмер и определение политики информационной безопасности ............................................................................................149 2.2.9. Проверка системы защиты корпоративной сети........................152 2.2.10. Составление плана защиты.........................................................152 2.2.11. Управление системой защиты....................................................154 2.2.12. Нормативно-методические документы по обеспечению информационной безопасности в организации....................................156 2.2.13. Основные проблемы обеспечения информационной безопасности корпоративной сети.........................................................157 2.2.14. Основные рекомендации по построению системы защиты информации корпоративной сети ..........................................................161 2.3. Управление информационной безопасностью ..................................165 2.3.1. Основные стандарты по системе управления информационной безопасностью...........................................................165 4


2.3.2. Построение и жизненный цикл системы информационной безопасности ............................................................................................166 2.3.3. Управление рисками в системе информационной безопасности ............................................................................................167 Контрольные вопросы к разделу 2.........................................................169 3. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ........................ 172 3.1. Основы аудита информационной безопасности ...............................173 3.1.1. Цель, задачи и содержание аудита информационной безопасности ............................................................................................173 3.1.2. Результаты анализа рисков при аудите и рекомендации по обеспечению информационной безопасности......................................174 3.2. Система стандартизации в сфере информационной безопасности ................................................................................................176 3.2.1. Национальные стандарты по обеспечению информационной безопасности .............................................................176 3.2.2. Стандарты Банка России по обеспечению информационной безопасности ............................................................................................176 3.2.3. Международные стандарты по обеспечению информационной безопасности .............................................................177 3.3. Аудит информационной безопасности на основе стандартов ISO 27000 .............................................................................................................179 3.3.1. Назначение и задачи стандарта ISO 27001 .................................179 3.3.2. Цикл Шухарта–Деминга. Модель PDCA ....................................180 3.3.3. Области применения стандарта ISO 27001.................................180 3.3.4. Особенности проведения аудита специализированной организацией ............................................................................................181 Контрольные вопросы к разделу 3.........................................................182 ЗАКЛЮЧЕНИЕ............................................................................................. 184 Литература ..................................................................................................... 186 ТЕРМИНОЛОГИЧЕСКИЙ СЛОВАРЬ ................................................... 190

5


ПРЕДИСЛОВИЕ Важным и неотъемлемым аспектом любого ИТ-проекта являются вопросы информационной безопасности. Зачастую для крупных проектов требования по информационной безопасности бывают решающими для успешного проектирования и эксплуатации ИТ-систем и могут в значительной степени организационно влиять на способ реализации или содержательно влиять на выбор конкретных ИТ-решений в проекте. Предлагаемое Вашему вниманию учебное издание разработано по заказу Академии ИБС с целью систематизации проектного опыта ведущих экспертов по информационной безопасности компании IBS. В пособии рассмотрены не только теоретические основы информационной безопасности, но и практические методы обеспечения информационной безопасности, построения корпоративных систем защиты информации и управления информационной безопасностью. Особое внимание уделено также правовым и нормативным вопросам, вопросам сертификации, лицензирования и стандартизации в области защиты информации. Отдельный раздел посвящен вопросам аудита информационной безопасности. Данное учебное пособие отражает содержание дисциплины «Информационная безопасность», читаемой в рамках общесистемного блока программ специализированной магистерской подготовки Академии ИБС в МФТИ и МИСиС. Указанная дисциплина является обязательной при подготовке магистров по всем направлениям Академии ИБС в области знаний по информационным технологиям. Пособие предназначено для студентов старших курсов, аспирантов и специалистов ИТ-направлений.

Начальник Методического отдела Академии ИБС кандидат технических наук

6

В.Н. Бабешко


ВВЕДЕНИЕ Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла практически на заре человечества. С развитием общественных отношений, появлением частной собственности, государственного строя, борьбой за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает все большую ценность. Наиболее ценной становится та информация, единоличное обладание которой позволяет ее владельцу получить какой-либо материальный, политический, военный и т.п. выигрыш. С переходом на использование технических средств связи информация подвергается воздействию неблагоприятных случайных процессов: неисправностей и сбоев аппаратуры, ошибок операторов и т.п., которые могут привести к ее разрушению, изменениям, потере, а также создать предпосылки для доступа к ней посторонних лиц. С появлением автоматизированных систем и информационновычислительных сетей проблема защиты информации приобретает еще большее значение. Этому способствовали: • повышение важности и общественной значимости информации, усиление ее влияния на все без исключения стороны общественной жизни; • увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭВМ и других средств вычислительной техники; • сосредоточение в единых банках и базах данных информации различного назначения и принадлежности; • расширение круга пользователей, имеющих доступ к ресурсам вычислительной системы и находящимся в ней массивам данных; • усложнение режимов функционирования технических средств, широкое внедрение многопрограммного режима, режима разделения времени и реального времени; • автоматизация межмашинного обмена информацией, в том числе и на большие расстояния; • увеличение количества связей в автоматизированных системах и сетях; • появление персональных ЭВМ, расширяющих возможности не только пользователя, но и нарушителя. В 1983 году Министерство обороны США выпустило книгу с названием «Критерии оценки надежных компьютерных систем» (Trusted Computer Systems Evaluation Criteria, TCSEC), положив тем самым начало систематическому распространению знаний об информационной безопас7


ности за пределами правительственных ведомств. Во второй половине 1980-х годов аналогичные по назначению документы были изданы в ряде европейских стран. В 1992 году в России Государственная техническая комиссия (Гостехкомиссия) при Президенте РФ издала серию руководящих документов, посвященных проблеме защиты информации от несанкционированного доступа, средств вычислительной техники и автоматизированных систем, которые явились практически первыми в нашей стране открытыми изданиями, посвященными этой проблеме. К настоящему времени и в самом человеческом обществе, и в технологии обработки данных произошли большие изменения, которые повлияли на саму суть проблемы защиты информации. Индустрия переработки информации достигла невиданного ранее масштаба. Появилась возможность достаточно свободного выхода в глобальную информационновычислительную сеть с домашнего компьютера. Развитие системы «электронных денег» (кредитных карточек) создало предпосылки для хищений крупных сумм денег. Возникло целое направление специальных компьютерных злоумышленников «хэкеров» (hacker) – компьютерных хулиганов, получающих удовольствие от проникновения в чужой компьютер, и крэкеров (cracker) – похитителей информации, выкачивающих целые информационные банки данных. Широко распространились разнообразные программы-вирусы. Сегодня в России наблюдается повышенный интереса к информационной безопасности, который объясняется в первую очередь развитием банковского и страхового бизнеса, ростом и развитием крупных коммерческих структур, выходом их на международный уровень, а также повышением уровня криминогенной обстановки в стране. Поэтому проблема защиты информации в ЭВМ и обеспечения безопасности автоматизированных систем и информационно-вычислительных сетей находится в центре внимания не только специалистов по разработке и эксплуатации этих систем, но и широкого круга пользователей. Следует отметить, что в настоящее время в проблеме защиты информации существуют два направления, отличающихся по существу общественных отношений и формой организации. Это защита государственного информационного ресурса и защита информации независимого сектора экономики. Очевидно, что защитные мероприятия призваны обеспечить конфиденциальность, целостность и доступность информации, однако если для режимных государственных организаций на первом месте стоит конфиденциальность, а целостность понимается исключительно как неизменность информации, то для коммерческих структур, вероятно, важнее всего целостность (актуальность) и доступность данных и услуг по их обработке. 8


По сравнению с государственными, коммерческие организации более открыты и динамичны, поэтому вероятные угрозы для них отличаются количественно и качественно. Структурно учебное пособие включает введение, три раздела, заключение, рекомендованную литературу и два приложения. В первом разделе учебного пособия рассмотрены основные понятия и направления обеспечения информационной безопасности, способы и средства защиты информации, сущность и содержание правового, организационного и технического обеспечения информационной безопасности организации. Подробно раскрыты вопросы организации защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, а также криптографических методов и алгоритмов защиты информации. Во втором разделе учебного пособия изложены требования руководящих документов по лицензированию деятельности в сфере информационной безопасности, сертификации технических средств защиты информации, построения и организации эксплуатации корпоративных систем информационной безопасности, их систем управления. Особое внимание уделяется правилам и рекомендациям по построению систем защиты технических, программных средств и информационных массивов, отражения атак на элементы корпоративных систем. В третьем разделе учебного пособия раскрыты цель, задачи и содержание аудита информационной безопасности организаций, международные и национальные стандарты по организации и проведению аудита информационной безопасности, особенности выполнения аудита специализированными фирмами. Заключение содержит направления дальнейшего изучения и разработки вопросов информационной безопасности организаций. В списке литературы указаны учебники и учебные пособия, изданные за последние пять лет, используемые при подготовке данного учебного пособия и рекомендуемые для самостоятельного изучения дисциплины «Информационная безопасность». При изучении во втором разделе учебного пособия вопросов лицензирования и сертификации в сфере информационной безопасности, построения и эксплуатации корпоративных систем защиты информации и организации управления информационной безопасностью необходимо учитывать то обстоятельство, что правопреемником Гостехкомиссии при Президенте Российской Федерации является Федеральная служба по техническому и экспортному контролю (ФСТЭК) Российской Федерации, а Федерального агентства правительственной связи и информации (ФАПСИ) – Федеральная служба безопасности (ФСБ) Российской Федерации. 9


1. МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Целью изучения данного раздела учебного пособия является приобретение магистрантами следующих уровней компетенций: Иметь представление: • о содержании правового, организационного и технического обеспечения информационной безопасности; • о новых методах и технологиях в области информационной безопасности. Знать: • основы информационной безопасности; • систему организационных мер обеспечения информационной безопасности; • принципы и методы организации службы информационной безопасности; • терминологию информационной безопасности с привязкой к объектам профессиональной деятельности; • термины и определения в сфере информационной безопасности; • методы и средства технического обеспечения информационной безопасности; • криптографические методы защиты информации; • основные нормативно-правовые акты в сфере информационной безопасности. Уметь: • анализировать проблемы информационной безопасности организаций; • анализировать требования руководящих документов по обеспечению информационной безопасности; • соотносить правовые нормы в сфере информационной безопасности с условиями ее обеспечения; • выбирать организационные меры и технические методы обеспечения информационной безопасности согласно обстоятельствам; • аргументировать мнение и решения в технических, организационных и правовых терминах обеспечения информационной безопасности; • свободно оперировать терминами в сфере информационной безопасности. 10


1.1. Проблема обеспечения информационной безопасности 1.1.1. Основные понятия в области информационной безопасности Проведенный анализ терминологических источников по информационной безопасности, в том числе законодательных актов Российской Федерации, руководящих документов Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), отечественных и зарубежных стандартов показал, что в этой области пока не существует терминологического единства. Понятие информационной безопасности, на наш взгляд, непосредственно связано с понятием информатизации общества. Информация – сведения (сообщения, данные) независимо от формы их представления. Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать ДОСТУП к информации, определяемой по каким-либо признакам. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование. Предоставление информации – действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц. Распространение информации – действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц. Электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сети. Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, по11


зволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель. Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. Под информационной безопасностью в широком смысле будем понимать такое свойство процесса информатизации и всей жизнедеятельности общества, которое гарантирует устранение всех негативных последствий информатизации, либо сводит их до такого минимума, который обеспечивает выживание и дальнейшее развитие человечества, его превращение в развитую, гуманную информационную цивилизацию. Только в случае обеспечения информационной безопасности информатизация общества окажется процессом всеобщей интеллектуальногуманистической перестройки жизнедеятельности человечества на основе наиболее полного использования информации как ресурса его развития. Проблема информационной безопасности в своем системнообобщенном плане в настоящее время только начинает разрабатываться в рамках нового научного направления, именуемого социальной информатикой и претендующего на изучение закономерностей взаимодействия общества и информатики, прежде всего процесса информатизации общества и становления информационной цивилизации. Информационная безопасность в узком смысле (Information security) – это совокупность свойств информации, связанная с обеспечением запрещения неавторизованного доступа (получения, ознакомления с содержанием, передачи, хранения и обработки), модификации или уничтожения, а также любых других несанкционированных действий с личной, конфиденциальной или секретной информацией, представленной в любом физическом виде. По своему содержанию информационная безопасность включает: 1) компьютерную безопасность; 2) безопасность информационных систем и процессов в обществе (в том числе и еще не охваченных процессом информатизации); 3) создание необходимой социальной среды для гуманистической ориентации информационных процессов. Таким образом, в отличие от трактовки зарубежных специалистов информационная безопасность не сводится только к компьютерной безопасности, так же, как информатизация не тождественна компьютеризации общества. Поэтому понятие информационной безопасности, включая в себя компьютерную безопасность в качестве неотъемлемой составной части, должно распространяться на все информационные процессы в 12


обществе и другие социальные процессы, в той или иной степени влияющие на информацию и средства информатики. Компьютерная безопасность (Computer security) – раздел информационной безопасности, связанный с ее обеспечением при создании и эксплуатации различных систем электронной обработки данных и автоматизированных сетей связи, в первую очередь вычислительных (компьютерных) систем. Она определяется степенью защищенности (охраны) информации, технических и программных средств вычислительной техники от нанесения им ущерба в результате сознательных, случайных противоправных действий или стихийных бедствий. Безопасность вычислительных (информационных, компьютерных) систем (Security of Information (Computer) Systems) – совокупность свойств, связанная с достижением компьютерной безопасности при эксплуатации вычислительных (информационных, компьютерных) систем. Безопасность данных (Data security) – совокупность свойств данных, связанная с достижением информационной безопасности и определяемая защищенностью данных от случайного или преднамеренного доступа к ним лиц, не имеющих на это право, от неавторизованной модификации данных или от их уничтожения. Защита (Protection; Lock out) информации при эксплуатации вычислительных (компьютерных) систем – система мер, направленных на ограничение доступа ко всей или части информации, а также недопущения ее несанкционированного использования при эксплуатации вычислительных (компьютерных) систем. Защита информации в широком смысле, согласно Указу Президента Российской Федерации от 5 января 1992 года «О создании Государственной технической комиссии при Президенте Российской Федерации», является неразрывной частью процесса информатизации и отождествляется с безопасностью информационного ресурса, включающего в себя важнейшую и ценнейшую информацию и средства, способы ее обработки и хранения – информационные технологии. Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации» установлено, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа, 13


3) реализацию права на доступ к информации. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации. Защита данных (Data protection) – система организационных, методических, правовых, информационных, программных и технических мероприятий, методов и средств, направленных на ограничение или исключение несанкционированного доступа к данным, их использования или изменения на любой стадии процесса сбора, обработки, хранения, передачи и уничтожения. Под каналом утечки информации будем понимать способ, позволяющий нарушителю получить несанкционированный доступ к обрабатываемой или хранящейся в системе информации. Основные термины и определения приведены в руководящих документах в области информационной безопасности. Приведенная совокупность определений в основном достаточна для формирования общего взгляда на построение системы информационной безопасности. 1.1.2. Основные направления обеспечения информационной безопасности К основным направлениям обеспечения информационной безопасности относятся: • защита государственной тайны, т.е. секретной и другой конфиденциальной информации, являющейся собственностью государства, от всех видов несанкционированного доступа, манипулирования и уничтожения; • защита прав граждан на владение, распоряжение и управление принадлежащей им информацией; • защита прав предпринимателей при осуществлении ими коммерческой деятельности; • защита конституционных прав граждан на тайну переписки, переговоров, личную тайну; • защита технических и программных средств информатики от ошибочных действий персонала и техногенных воздействий, а также стихийных бедствий и иных форс-мажорных обстоятельств с целью сохранения возможности управления процессом обработки. 14


В настоящее время в проблеме защиты информационного ресурса существуют следующие два направления, отличающиеся по существу общественных отношений и формой организации: 1) защита государственного информационного ресурса; 2) защита информации независимого сектора экономики. Основные направления обеспечения информационной безопасности федеральных органов государственной власти (ФОГВ) Российской Федерации Обеспечение информационной безопасности ФОГВ Российской Федерации осуществляется по следующим основным направлениям. 1. Организационно-режимное обеспечение защиты сведений, составляющих государственную тайну, и конфиденциальной служебной информации. 2. Обеспечение физической защиты объектов и средств информатизации ФОГВ Российской Федерации. 3. Обеспечение защиты информации от утечки по техническим каналам при ее обработке (обсуждении), хранении и передаче на объектах информатизации ФОГВ Российской Федерации. 4. Обеспечение защиты информации от несанкционированного доступа в автоматизированных информационных системах и локальных вычислительных сетях ФОГВ Российской Федерации. 5. Обеспечение конфиденциальности и целостности информации в телекоммуникационных каналах, каналах связи и в телефонных линиях связи. 6. Обеспечение радиоэлектронной безопасности объектов инфраструктуры ФОГВ. 7. Обеспечение безопасного информационного взаимодействия ФОГВ России с отечественными и зарубежными субъектами права. 8. Обеспечение защиты информационных ресурсов ФОГВ от заражения компьютерными вирусами. 9. Организация, координация и финансирование научноисследовательских и опытно-конструкторских работ (НИОКР) в области обеспечения информационной безопасности ФОГВ. 10. Совершенствование нормативно-методической базы обеспечения информационной безопасности ФОГВ Российской Федерации. 11. Совершенствование организационно-штатной структуры подразделений, отвечающих за обеспечение информационной безопасности ФОГВ. 12. Подготовка, переподготовка и повышение квалификации специалистов по информационной безопасности. 15


Конечная цель выполнения всех мероприятий по обеспечению информационной безопасности ФОГВ – аттестация всех объектов информатизации и автоматизированных информационных систем ФОГВ на соответствие требованиям руководящих документов по защите информации. Формирование облика системы защиты информации является сложной системной задачей. В разных странах она сильно различается по содержанию и зависит от таких факторов, как научный потенциал страны, степень внедрения средств информатизации в жизнь общества и экономику, развитие производственной базы, ориентация государственных организаций на приобретение отечественных средств вычислительной техники или на закупку их по импорту, общей культуры общества, традиций и норм поведения субъектов правоотношений. Обеспечение информационной безопасности организаций предусматривает реализацию следующего комплекса мероприятий: 1) организацию и защиту конфиденциального документооборота и архива документов; 2) защиту помещений (переговоров, встреч и т.п.); 3) организацию доступа в помещения, где обрабатывается конфиденциальная информация; 4) защиту каналов и сетей связи; 5) обеспечение компьютерной безопасности; 6) информирование пользователей о правилах защиты информации (компетенции персонала); 7) контроль выполнения правил защиты информации; 8) администрирование выделенного сегмента Службы безопасности корпоративной сети; 9) ведение компьютерной разведки по открытым источникам. Важнейшей задачей руководства и соответствующих должностных лиц организации является обеспечение необходимого уровня информационной безопасности объектов информации. Информационная безопасность объекта – свойство обеспечивать конфиденциальность, доступность и целостность информации на всех этапах его жизненного цикла. Конфиденциальность – свойство защищенности информации. Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации» установлено, что конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Доступность информации – возможность получения информации и ее использования. 16


Целостность информации – сохранность структуры и состава информации. Основные термины в области защиты информации изложены в следующих документах: ГОСТ Р* 50922-96. Защита информации. Основные термины и определения. ГОСТ РВ 50170-90. Защита от ИТР. Термины и определения. ГОСТ Р 51624. Защита информации. Автоматизированные системы в защищенном исполнении. РД. Защита от НСД. Термины и определения. РД. СВТ. Межсетевые экраны. Защита от НСД. Показатели защищенности от НСД. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Угроза – потенциально возможное событие, действие или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба. Уязвимость – любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы: • ошибки в программах; • человеческие ошибки и неправильная конфигурация; • разрешенный, но неиспользуемый сервис; • восприимчивость к атакам типа «отказ в обслуживании»; • ошибки при проектировании. Атака – любое действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей информационной системы. Источники угроз информационной безопасности Внешние: • деятельность в информационной сфере иностранных структур, направленная против национальных интересов; • стремление ряда стран к доминированию в информационной сфере; • деятельность международных террористических организаций; • разработка рядом стран концепций информационных войн, предусматривающих воздействие на информационные сферы других стран. Внутренние: 17


• • • • •

слабая нормативно-правовая база; наличие тенденции сращивания государственных и криминальных структур в информационной сфере; слабый контроль за развитием информационного рынка страны; недостаточная координация органов государственной власти; неразвитость системы подготовки квалифицированных кадров в области обеспечения информационной безопасности.

Виды угроз информационной безопасности • нарушение технологии обработки информации; • утечка информации по техническим каналам; • использование несертифицированных средств информационной инфраструктуры; • противоправные сбор и использование информации; • внедрение в аппаратные средства и программные изделия нерегламентированных компонентов; • внедрение электронных устройств перехвата информации в помещения и системы; • уничтожение, повреждение, радиоэлектронное подавление или разрушение средств информационной инфраструктуры; • навязывание ложной информации. Целевая характеристика угроз информационной безопасности • Ознакомление (получение) – противоправное действие, не приводящее к изменению или разрушению информации. • Искажение (модификация) – случайные или преднамеренные действия, приводящие к частичному изменению содержания. • Разрушение (уничтожение) – противоправные действия, приводящие к значительному или полному разрушению информационных ресурсов Каналы утечки информации Применительно к практике с учетом физической природы образования каналы утечки информации можно разделить на следующие группы: • визуально-оптические; • акустические (включая и акустико-преобразовательные); • электромагнитные (включая магнитные и электрические); • материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида). Компьютерные преступления (Глава 28 УК РФ. Преступления в сфере компьютерной информации) • Статья 272. Неправомерный доступ к компьютерной информации. 18


• •

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Внутренние злоумышленники Представляют основную опасность, т.к. они знакомы с системой защиты, направлением деятельности компании и они могут реально оценить стоимость ресурсов корпоративной сети. К данной категории относятся: • уволенные сотрудники; • обиженные сотрудники; • администраторы; • «продвинутые» пользователи. Основные направления деятельности по обеспечению информационной безопасности (ИБ): 1) законодательно-правовое обеспечение, 2) организационное техническое обеспечение, 3) техническое обеспечение. Законодательно-правовое обеспечение ИБ включает: • разработку законодательной базы, • надзор со стороны правоохранительных органов, • судебную защиту. Организационное обеспечение ИБ включает: • режимное и оперативное обеспечение, • структурное обеспечение, • лицензирование деятельности, • сертификацию средств, • контроль (надзор). Техническое обеспечение ИБ включает: • защиту от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН), • защиту от несанкционированного доступа (НСД), • защиту от СПМВ, • защиту в каналах и сетях связи, • физическую защиту.

19


Основными направлениями деятельности по защите информации в организациях являются (рис. 1):

е

Рис. 1. Основные направления деятельности по защите информации

Правовое обеспечение, представляющее собой взаимоувязанный комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов правоотношений, субъектов и объектов защиты, методы, формы и способы защиты и их правовой статус. Следует особо отметить необходимость законодательно-правового обеспечения таких важных аспектов деятельности системы защиты, как сертификация и лицензирование. Система законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документов должна обеспечивать организацию эффективного надзора за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты. Организационное обеспечение, которое представляет собой комплекс взаимосвязанных мероприятий, реализующих практические механизмы защиты. Условно эти мероприятия подразделяются на а) системообразующие и б) надзорные (контрольные). Особенностью надзорных мероприятий является необходимость создания независимого, внеотраслевого надзора за защитой и уровнем безопасности информации. Техническое обеспечение, которое представляет собой комплекс взаимосвязанных технических мер, реализующих аппаратно-программные механизмы защиты. Весьма остро стоит вопрос защиты от военного и промышленного шпионажа и страхование риска. 20


К системе защиты информации предъявляются следующие требования:

обеспечение безопасности информации, средств информатизации, защиты интересов участников информационных отношений. Решение этой задачи достигается комплексной реализацией законодательной, организационно-технической и страховой форм защиты; система в целом, методы и способы защиты должны быть по возможности «прозрачными» для пользователя, не создавать ему дополнительных неудобств, связанных с процедурами проверки полномочий и контроля доступа к информации; система должна реализовывать методы как директивного, так и функционального управления.

1.1.3. Классификация способов и средств защиты информации Все мероприятия по защите информации в общем плане должны обеспечить достижение следующих целей: • предупреждение появления угроз информации; • выявление возможных направлений и степени нарастания опасности нарушения безопасности информации; • обнаружение реальных фактов нарушения безопасности информации; • пресечение разглашения, утечки и несанкционированного доступа к информации, нарушения ее целостности и потери; • ликвидацию или снижение уровня ущерба от нарушения безопасности информации и ее использования злоумышленниками. Рассмотрим основные способы защиты информации (рис. 2). На практике применяют следующие способы защиты информации: • препятствия; • управление доступом; • маскировку; • регламентацию; • принуждение; • побуждение. Препятствия физически преграждают злоумышленнику путь к защищаемой информации (т.е. на территорию и в помещения с аппаратурой, носителями информации и т.п.). Управление доступом – способ защиты информации регулированием использования всех ресурсов систем (технических, программных средств, элементов баз данных). Предполагается, что в системе обработки 21


данных установлены четкие и однозначные регламенты работы для пользователей, технического персонала программных средств, элементов баз данных и носителей информации. В системе обработки данных должны быть регламентированы дни недели и время суток, в которые разрешена работа пользователям и персоналу системы. В дни работы персонала должен быть определен перечень ресурсов системы, к которым разрешен доступ и порядок доступа к ним. Необходимо иметь список лиц, которым предоставлено право на использование технических средств, программ и функциональных задач. Для элементов баз данных указываются список пользователей, имеющих право доступа, и перечень процедур. Для носителей информации строго определяются место постоянного хранения, список лиц, имеющих право получать их, перечень программ, имеющих право обращения к носителям.

Рис. 2. Способы и средства защиты информации

Собственно управление доступом включает следующие функции защиты: 22


идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального идентификатора (имени, кода, пароля и т.п.) и опознание (установление подлинности) субъекта или объекта по предъявленному им идентификатору; • проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту; • разрешение и создание условий работы в пределах (и только в пределах) установленного регламента; • регистрацию (протоколирование) обращений к защищаемым ресурсам; • реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий. Маскировка – способ защиты информации путем ее криптографического закрытия. Специалисты считают криптографическое закрытие весьма эффективным как с точки зрения собственно защиты, так и с точки зрения наглядности для пользователей. За рубежом этот вид защиты широко применяется как при обработке, так и при хранении информации. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты. Регламентация как способ защиты заключается в разработке и реализации в процессе функционирования систем обработки данных комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Специалисты утверждают [24, 49, 57], что для эффективной защиты необходимо строго регламентировать структурное построение (архитектура зданий, оборудование помещений, размещение аппаратуры и т.п.), технологические схемы автоматизированной обработки защищаемой информации, организацию и обеспечение работы всего персонала, занятого обработкой информации и т.п. Принуждение – такой способ защиты, при котором пользователи и персонал систем обмена данными вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. Рассмотренные способы защиты информации реализуются с применением соответствующих средств защиты. Применяют следующие средства защиты (рис. 2): • технические, • программные, 23


• организационные, • законодательные, • морально-этические. Техническими называются средства, которые реализуются в виде электрических, электромеханических, электронных устройств. Всю совокупность технических средств принято делить на аппаратные и физические. Под аппаратными техническими средствами защиты понимаются устройства, встраиваемые непосредственно в аппаратуру систем обработки данных, или устройства, которые сопрягаются с аппаратурой по стандартному интерфейсу. Наиболее известные аппаратные средства, используемые на первом этапе, – это схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры (например, регистры границ поля запоминающих устройств) и т.п. Физическими называются такие средства, которые реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах и т.п.). Программные средства защиты образуют программы, специально предназначенные для выполнения функций, связанных с защитой информации. Организационными средствами защиты называются организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации систем для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладку оборудования, испытания и проверки, эксплуатацию. К законодательным средствам защиты относятся законодательные акты, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения вычислительных средств в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или группы лиц (организаций). Морально-этические нормы бывают как «неписаные» (например, общепринятые нормы честности, патриотизма и т.п.), так и регламентиро24


ванные в законодательном порядке, т.е. в виде свода правил и предписаний. Наиболее характерным примером таких норм является «Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США». Все рассмотренные средства защиты подразделяются на а) формальные и б) неформальные. К формальным относятся средства, выполняющие защитные функции строго по заранее предусмотренной процедуре и без непосредственного участия человека. К неформальным средствам отнесены такие, которые либо определяются целенаправленной деятельностью людей, либо регламентируют (непосредственно или косвенно) эту деятельность. На первом этапе развития концепций защиты информации преимущественное развитие имели программные средства, второй этап характеризовался интенсивным развитием всех основных классов средств, на третьем этапе все определенней вырисовываются следующие тенденции: • аппаратной реализации основных функций защиты; • создания комплексных средств защиты, выполняющих несколько различных функций защиты; • унификации и стандартизации средств.

1.2. Правовое обеспечение информационной безопасности 1.2.1. Содержание и методы правового обеспечения информационной безопасности Правовое обеспечение информационной безопасности ИБ включает: • определение правового статуса информационных ресурсов; • законодательство РФ в области обеспечения защиты информации; • особенности защиты конфиденциальной и личной информации; • руководящие документы ФСБ и ФСТЭК России по защите информации; • правовое регулирование лицензирования, сертификации и аттестации. Методы правового обеспечения информационной безопасности: • изменения в законодательстве в целях создания системы обеспечения ИБ государства; • законодательное разграничение полномочий между органами власти, юридическими и физическими лицами в области ИБ государства; 25


• • • •

уточнение статуса иностранных информационных агентств; законодательное закрепление приоритета развития национальных сетей связи; определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных систем на территории страны; создание правовой базы для формирования в стране местных структур обеспечения информационной безопасности.

1.2.2. Законодательные основы Российской Федерации по обеспечению информационной безопасности Законодательные меры по защите информации предусматривают создание в стране законодательной базы, обеспечивающей разработку новых или корректировку существующих законов, положений, постановлений и инструкций, а также создание действенной системы контроля за исполнением указанных документов. В настоящее время такая законодательная база включает: пакет Федеральных законов, Указов Президента РФ, постановлений Правительства РФ, межведомственных руководящих документов и стандартов, перечень которых приведен в Приложении 2. Указом Президента РФ от 17 декабря 1997 года № 1300 утверждена «Концепция национальной безопасности Российской Федерации», в которую Указом Президента РФ от 10 января 2000 года № 24 внесены изменения и дополнения. Фактически речь в последнем Указе идет о новой Концепции. В ней указывается на необходимость защиты государственного информационного ресурса от утечки важной политической, экономической, научно-технической и военной информации. В этом нормативном документе важнейшими задачами обеспечения информационной безопасности Российской Федерации определены следующие: • реализация конституционных прав и свобод граждан Российской Федерации в сфере информационной деятельности; • совершенствование и защита отечественной информационной инфрастуктуры, интеграция России в международное информационное пространство; • противодействие угрозе развязывания противоборства в информационной сфере. • установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения; 26


совершенствование информационной структуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную структуру; • разработка соответствующей нормативно-правовой базы и координация при ведущей роли федеральных органов государственной власти и других органов, решающих задачи обеспечения информационной безопасности; • развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке; • защита государственного информационного ресурса, прежде всего в федеральных органах государственной власти и на предприятиях оборонного комплекса. В Уголовном кодексе Российской Федерации как законодательном акте по предупреждению преступлений и привлечению преступников и нарушителей к уголовной ответственности вопросам безопасности информации посвящены следующие главы и статьи: • Глава 19. Преступления против конституционных прав и свобод человека и гражданина. • Статья 137. Нарушение неприкосновенности частной жизни. • Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. • Статья 139. Нарушение неприкосновенности жилища. • Статья 140. Отказ в предоставлении гражданину информации. • Статья 144. Воспрепятствование законной профессиональной деятельности журналистов. • Статья 146. Нарушение авторских и смежных прав. • Статья 147. Нарушение изобретательских и патентных прав. • Глава 23. Преступления против интересов службы в коммерческих и иных организациях. • Статья 201. Злоупотребление полномочиями. • Статья 203. Превышение полномочий служащими частных охранных или детективных служб. • Глава 22. Преступления в сфере экономической деятельности. • Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую, банковскую и налоговую тайну. Предусмотрена следующая ответственность за нарушение прав по защите информации. 27


1. Собирание сведений, составляющих коммерческую банковскую или налоговую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений – наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет. 2. Незаконное разглашение или использование сведений, составляющих коммерческую банковскую или налоговую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, – наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового. 3. Информация, составляющая коммерческую банковскую или налоговую тайну, относится к числу охраняемых законом объектов гражданских прав. Информация составляет коммерческую или банковскую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (ст. 139 Гражданского кодекса Российской Федерации). Решение о наличии действительной или потенциальной коммерческой ценности информации, содержание и объем соответствующих сведений определяются предпринимателем самостоятельно по своему усмотрению. Коммерческой тайной могут быть сведения о технологии производства, внедрении изобретений, планах развития и изменения производства, о деловых партнерах, контрактах и т.д. 4. Ст. 857 Гражданского кодекса РФ определяет банковскую тайну как тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте. По закону все банки гарантируют своим клиентам тайну вклада. 5. Федеральным законом № 98 2004 г. «О коммерческой тайне» и иными правовыми актами определяются сведения, которые не могут составлять коммерческую или банковскую тайну. К таким сведениям не могут быть отнесены учредительные документы, документы, дающие право заниматься предпринимательской деятельностью, сведения, необходи28


мые для проверки правильности начисления и уплаты налогов и других обязательных платежей, и некоторые другие сведения. 6. Законом определен круг организаций и лиц, которые управомочены на официальное истребование и получение информации, составляющей коммерческую или банковскую тайну. К ним относятся суды общей юрисдикции, арбитражные суды, органы прокуратуры, следствия и дознания. К числу таких органов отнесены государственная налоговая служба, органы валютного контроля, аудиторские организации, нотариат, федеральные (территориальные) антимонопольные органы. 7. Статьей 183 Уголовного кодекса Российской Федерации предусмотрены два состава преступления по нарушению коммерческой и банковской тайны: • собирание сведений, составляющих коммерческую или банковскую тайну; • разглашение или использование указанных сведений без согласия владельца. Собирание указанных сведений (ч. 1 ст. 183) представляет собой формальный состав, т.е. для наступления уголовной ответственности достаточно самого факта собирания сведений, составляющих коммерческую или банковскую тайну, независимо от наступления или ненаступления вредных последствий. Уголовная ответственность за разглашение или использование подобных сведений без согласия владельца (ч. 2 ст. 183) наступает в случае причинения указанными действиями крупного ущерба. Субъектами этого преступления являются лица, обладающие соответствующей информацией в связи со служебной или профессиональной деятельностью. Формула вины для обоих преступлений – умысел. Для состава преступления – собирания указанной информации, необходимо наличие в диспозиции ч. 1 комментируемой статьи цели – ее разглашения или незаконного использования. При разглашении или незаконном использовании этой информации необходимо наличие корыстной или иной личной заинтересованности. В Уголовном кодексе РФ содержатся также следующие статьи преступлений в информационной сфере. • Статья 189. Незаконный экспорт технологий, научно-технической информации и услуг, используемых при создании оружия массового поражения, вооружения и военной техники. • Глава 25. Преступления против здоровья населения и общественной нравственности. 29


Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей. • Глава 29. Преступления против основ конституционного строя и безопасности государства. • Статья 275. Государственная измена. • Статья 276. Шпионаж. • Статья 283. Разглашение государственной тайны. • Статья 284. Утрата документов, содержащих государственную тайну. Особо важное значение имеет введение в Уголовный кодекс специальной главы, посвященной компьютерным преступлениям: • Глава 28. Преступления в сфере компьютерной информации. • Статья 272. Неправомерный доступ к компьютерной информации. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронновычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, – наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, – наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или другого дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет. • Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами – наказывается лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных разме30


ров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев. Те же деяния, повлекшие по неосторожности тяжкие последствия, – наказываются лишением свободы на срок от трех до семи лет. • Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, – наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет. То же деяние, повлекшее по неосторожности тяжкие последствия, – наказывается лишением свободы на срок до четырех лет. Большое значение для правового обеспечения деятельности в сфере информационной безопасности имеют следующие нормы Гражданского кодекса Российской Федерации. • Глава 6. Общие положения. • Глава 38. Выполнение научно-исследовательских, опытноконструкторских и технологических работ. • Статья 771. Конфиденциальность сведений, составляющих предмет договора. Объем сведений, признаваемых конфиденциальными определяется в договоре. • Глава 45. Банковский счет. • Статья 857. Банковская тайна. • Глава 48. Страхование. • Статья 946. Тайна страхования. Следует отметить, что процесс законотворчества идет достаточно сложно. Так, если в вопросах защиты государственной тайны создана более или менее надежная законодательная система, то в вопросах защиты служебной, коммерческой и частной информации существует достаточно много противоречий и неурегулированных вопросов. В связи с данным обстоятельством при разработке и использовании законодательных, правовых и нормативных документов, а также при организации защиты информации важно правильно ориентироваться во всем блоке действующей законодательной базы в этой области. Проблемы, связанные с правильной трактовкой и применением законодательства Российской Федерации, возникают в практической работе должностных лиц по организации защиты информации от ее утечки по 31


техническим каналам, от несанкционированного доступа к информации и от воздействий на нее при обработке в технических средствах информатизации, а также в ходе контроля эффективности принимаемых мер защиты. В частности, такие вопросы возникают применительно к трактовке содержания категорий «служебная тайна» и «конфиденциальная информация». 1.2.3. Законодательные акты в области защиты информации Закон РФ «О государственной тайне» Закон Российской Федерации от 21 июля 1993 года № 5485-1 «О государственной тайне» регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. Положения Закона обязательны для исполнения на территории Российской Федерации и за ее пределами органами представительной, исполнительной и судебной властей (далее – органы государственной власти), местного самоуправления, предприятиями, учреждениями и организациями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства Российской Федерации о государственной тайне (статья 1). В Законе используются следующие основные понятия: • государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации; • носители сведений, составляющих государственную тайну, – материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов; • система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях; • допуск к государственной тайне – процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций – на проведение работ с использованием таких сведений; • доступ к сведениям, составляющим государственную тайну, – санкционированное полномочным должностным лицом ознаком32


ление конкретного лица со сведениями, составляющими государственную тайну; • гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него; • средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации; • засекречивание сведений и их носителей – введение в предусмотренном Законом порядке для сведений, составляющих государственную тайну, ограничений на их распространение и на доступ к их носителям. Засекречивание сведений осуществляется в соответствии с принципами законности, обоснованности и своевременности. Законность засекречивания сведений заключается в соответствии засекречиваемых сведений положениям статей 5 и 7 Закона. Обоснованность засекречивания сведений заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта исходя из баланса жизненно важных интересов государства, общества и граждан. Своевременность засекречивания сведений заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно. Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью. Обоснование необходимости отнесения сведений к государственной тайне в соответствии с принципами засекречивания сведений возлагается на органы государственной власти, предприятия, учреждения и организации, которыми эти сведения получены (разработаны). Отнесение сведений к государственной тайне осуществляется руководителями органов государственной власти в соответствии с Перечнем должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, утверждаемым Распоряжением Президента РФ от 16 апреля 2005 года № 151-рп. Указанные лица несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к государственной тайне. 33


Закон четко определяет сведения, не подлежащие засекречиванию (статья 7): • о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях; • о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности; • о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям; • о фактах нарушения прав и свобод человека и гражданина; • о размерах золотого запаса и государственных валютных резервах Российской Федерации; • о состоянии здоровья высших должностных лиц Российской Федерации; • о фактах нарушения законности органами государственной власти и их должностными лицами. Должностные лица, принявшие решения о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба. Граждане вправе обжаловать такие решения в суд. В Законе устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: 1) «особой важности», 2) «совершенно секретно», 3) «секретно». Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается. Статья 12 Закона определяет реквизиты носителей сведений, составляющих государственную тайну. На носители сведений, составляющих государственную тайну, наносятся реквизиты, включающие следующие данные: • о степени секретности содержащихся в носителе сведений со ссылкой на соответствующий пункт действующего в данном органе государственной власти, на данном предприятии, в данных учреждении и организации перечня сведений, подлежащих засекречиванию; 34


об органе государственной власти, о предприятии, об учреждении, организации, осуществивших засекречивание носителя; • о регистрационном номере; • о дате или условии рассекречивания сведений либо о событии, после наступления которого сведения будут рассекречены. При невозможности нанесения таких реквизитов на носитель сведений, составляющих государственную тайну, эти данные указываются в сопроводительной документации на этот носитель. Раздел VI, статья 20 Закона относит к органам, осуществляющим защиту государственной тайны на территории Российской Федерации: • межведомственную комиссию по защите государственной тайны; • органы федеральной исполнительной власти (Министерство безопасности Российской Федерации, правопреемником которого является Федеральная служба безопасности России, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Служба внешней разведки Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации и их органы на местах); • органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны. Допуск должностных лиц и граждан Российской Федерации к государственной тайне осуществляется в добровольном порядке. Допуск лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне осуществляется в порядке, устанавливаемом Правительством Российской Федерации. Допуск должностных лиц и граждан к государственной тайне предусматривает: • принятие на себя обязательств перед государством по нераспространению доверенных им сведений, составляющих государственную тайну; • согласие на частичные, временные ограничения их прав в соответствии со статьей 24 настоящего Закона; • письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий; • определение видов, размеров и порядка предоставления льгот, предусмотренных настоящим Законом; • ознакомление с нормами законодательства Российской Федерации о государственной тайне, предусматривающими ответственность за его нарушение; 35


принятие решения руководителем органа государственной власти, предприятия, учреждения или организации о допуске оформляемого лица к сведениям, составляющим государственную тайну. Объем проверочных мероприятий зависит от степени секретности сведений, к которым будет допускаться оформляемое лицо. Закон (статья 27) определяет порядок допуска предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну и порядок сертификации средств защиты информации (статья 28). Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности. Лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы предприятия, учреждения и организации и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну, расходы по проведению которых относятся на счет предприятия, учреждения, организации, получающих лицензию. Лицензия на проведение работ с использованием сведений, составляющих государственную тайну, выдается предприятию, учреждению, организации при выполнении ими следующих условий: • выполнение требований нормативных документов, утверждаемых Правительством Российской Федерации, по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений; • наличие в их структуре подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственной тайны; • наличие у них сертифицированных средств защиты информации. Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

36


Федеральный закон «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июлля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее для краткости – «Закон об информации») является одним из основных базовых законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации. Закон гласит, что правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах: 1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом; 2) установление ограничений доступа к информации только федеральными законами; 3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами; 4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации; 5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации; 6) достоверность информации и своевременность ее предоставления; 7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия; 8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами. Из содержания Закона следует, что информация в зависимости от порядка ее предоставления или распространения подразделяется на: 1) информацию, свободно распространяемую; 37


2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; 3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; 4) информацию, распространение которой в Российской Федерации ограничивается или запрещается. Обладатель информации, если иное не предусмотрено федеральными законами, вправе: 5) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; 6) использовать информацию, в том числе распространять ее, по своему усмотрению; 7) передавать информацию другим лицам по договору или на ином установленном законом основании; 8) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами; 9) осуществлять иные действия с информацией или разрешать осуществление таких действий. В соответствии с Законом «Об информации» обладатель информации при осуществлении своих прав обязан: 1) соблюдать права и законные интересы иных лиц; 2) принимать меры по защите информации; 3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами. Принципиальным является положение, что граждане (физические лица) и организации вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим федеральными законами. Не может быть ограничен доступ к: 1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; 2) информации о состоянии окружающей среды; 3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); 4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и 38


иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; 5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами. Статья 16 Закона устанавливает обязанность обладателя информации и оператора информационной системы обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации. 1.2.4. Правовое обеспечение защиты конфиденциальной информации Защита сведений конфиденциального характера юридически обеспечивается «Перечнем сведений конфиденциального характера», введенным Указом Президента Российской Федерации от 6 марта 1997 года № 188, а также рассмотренными выше законодательными актами. В соответствии с данным Указом Президента РФ к сведениям конфиденциального характера относятся: 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. 2. Сведения, составляющие тайну следствия и судопроизводства. 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна). 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской 39


Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений). 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна). 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. 1.2.5. Требования руководящих документов по защите информации от несанкционированного доступа В 1992 году Государственной технической комиссией при Президенте РФ выпущены следующие «Руководящие документы», посвященные вопросам защиты от несанкционированного доступа (НСД) к информации, обрабатываемой средствами вычислительной техники (СВТ) и автоматизированными системами (АС): 1. «Руководящий документ. Концепция защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа (НСД) к информации». 2. «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации». 3. «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». 4. «Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники». 5. «Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения». В 1997 году дополнительно введен в действие – «Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Приказом Председателя Гостехкомиссии России от 30 августа 2002 г. № 282 введены в действие «Специальные требования и рекомендации по технической защите конфиденциальной информации», которые являются в настоящее время основным руководящим документом по защите речевой 40


и обрабатываемой на средствах автоматизации конфиденциальной информации. 1.2.5.1. Защита средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации Основным из набора руководящих документов ФСТЭК (Гостехкомиссии) РФ по защите средств вычислительной техники и автоматизированных систем является «Руководящий документ. Концепция защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа (НСД) к информации». В этом документе определены основные принципы, которые закладываются в основы защиты информации от НСД, являющейся частью общей проблемы безопасности информации. В «Концепции…» определяются два понятия, соответствующие двум группам критериев безопасности: 1) показатели защищенности СВТ, 2) критерии защищенности АС. «Концепция…» предусматривает существование двух относительно самостоятельных направлений защиты информации от НСД: 1) защита информации СВТ, 2) защита информации АС. Отличие этих двух направлений обусловлено тем, что СВТ разрабатываются и поставляются потребителям лишь как элементы информационно-телекоммуникационных систем, из которых в дальнейшем строятся функционально ориентированные АС. Следовательно, СВТ не содержат пользовательской информации. В то же время при создании АС появляются такие отсутствующие у СВТ характеристики, как: • пользовательская информация, • полномочия пользователей, • модель нарушителя, • технология обработки информации. Существуют различные способы воздействия на информационную безопасность. Среди них «НСД» характеризуются как «доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС». При этом под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ и АС. В разделе 3 «Концепции…» формулируются следующие принципы защиты информации СВТ и АС от НСД: 1. Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации. 41


2. Защита СВТ обеспечивается комплексом программнотехнических средств. 3. Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер. 4. Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. 5. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС). 6. Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты. 7. Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами. В качестве главного средства защиты информации от НСД, согласно разделу 6 «Концепции…», определена система разграничения доступа (СРД) субъектов к объектам доступа, имеющая следующие свойства: 1. Обеспечение защиты СВТ и АС осуществляется: − системой разграничения доступа (СРД) субъектов к объектам доступа; − обеспечивающими средствами для СРД. 2. Основными функциями СРД являются: − реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным; − реализация ПРД субъектов и их процессов к устройствам создания твердых копий; − изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов; − управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа; − реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам. 3. Обеспечивающие средства для СРД выполняют следующие функции: 42


− идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта; − регистрацию действий субъекта и его процесса; предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов; − реакцию на попытки НСД, например сигнализацию, блокировку, восстановление после НСД; − тестирование; − очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными; − учет выходных печатных и графических форм и твердых копий в АС; − контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств. 4. Ресурсы, связанные как с СРД, так и с обеспечивающими ее средствами, включаются в объекты доступа. 5. Способы реализации СРД зависят от конкретных особенностей СВТ и АС. Возможно применение следующих способов защиты и любых их сочетаний: − распределенная СРД и СРД, локализованная в программнотехническом комплексе (ядро защиты); − СРД в рамках операционной системы, СУБД или прикладных программ; − СРД в средствах реализации сетевых взаимодействий или на уровне приложений; − использование криптографических преобразований или методов непосредственного контроля доступа; − программная и (или) техническая реализация СРД. В целом, разработка руководящих документов Гостехкомиссии России явилась следствием бурно развивающегося процесса внедрения новых информационных технологий. Документы достаточно оперативно заполнили правовой вакуум в области стандартов информационной безопасности в стране и на определенном этапе позволили решать актуальную задачу обеспечения безопасности информации. Поскольку разработка документов такого рода для России представляет достаточно новую сферу деятельности, можно рассматривать их как первую стадию формирования отечественных стандартов в области информационной безопасности. На разработку этих документов большое влияние оказала «Оранжевая книга» Министерства обороны США, которое выразилось в ориента43


ции на системы военного и специального применения, в использовании единой универсальной шкалы степени защищенности и в игнорировании вопросов ценности и времени жизни информации. К недостаткам документов, помимо отсутствия требований к защите от угроз работоспособности, относится ориентация только на противодействие НСД и отсутствие требований к адекватности реализации политики безопасности. Собственно, «политика безопасности» трактуется в этих документах исключительно как поддержание режима секретности и отсутствие НСД. Из-за этого средства защиты ориентируются на противодействие только лишь внешним угрозам, а к структуре самой системы и ее функционированию требований не предъявляется. С точки зрения разработчиков данных руководящих документов, основная, и едва ли не единственная, задача средств обеспечения безопасности – это обеспечение защиты от НСД к информации. Если средствам контроля и обеспечения целостности информации в них еще уделяется некоторое внимание, то поддержка работоспособности систем обработки информации (как мера защиты от угроз работоспособности) вообще не упоминается. Определенный уклон в сторону обеспечения секретности объясняется тем, что эти документы были разработаны в расчете на применение в информационных системах специального назначения, а также недостаточно высоким уровнем технологий этих систем. 1.2.5.2. Модель нарушителя при эксплуатации средств СВТ и АС Модель нарушителя определяется в 4-м разделе основного Руководящего документа Гостехкомиссии России «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». В качестве нарушителя в этом документе рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС. Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня возможностей нарушителей. Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего. Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС – запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации. Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации. 44


Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования. Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации. Подчеркивается, что в своем уровне нарушитель является специалистом высшей квалификации, знает все о АС и, в частности, о системе и средствах ее защиты. 1.2.5.3. Защищенность СВТ и АС Руководящие документы Гостехкомиссии России «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» и «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» определяют основные показатели защищенности по классам средств вычислительной техники (табл. 1) и требования к классам защищенности автоматизированных систем (табл. 2). «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» применяется к общесистемным программным средствам и операционным системам (с учетом архитектуры компьютера). Показатели содержат разделение только по двум классам политик безопасности: 1) дискреционной и 2) мандатной. Основой дискреционной (дискретной) политики безопасности является дискреционное управление доступом, которое определяется двумя свойствами: • все субъекты и объекты должны быть идентифицированы, • права доступа субъекта к объекту определяются на основании некоторого внешнего правила. В качестве примера реализации дискреционной политики можно привести матрицу доступа, строки которой соответствуют субъектам, а столбцы – объектам; элементы матрицы характеризуют права доступа (чтение, запись, пересылка и т.д.). Основой мандатной политики (полномочной) безопасности составляет мандатное управление доступом, которое подразумевает, что: • все субъекты и объекты должны быть однозначно идентифицированы; • задан линейно упорядоченный набор меток секретности; 45


каждому объекту присвоена метка секретности, определяющая ценность содержащейся в нем информации – его уровень секретности; • каждому субъекту присвоена метка секретности, определяющая уровень доверия к нему – максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа. Основная цель мандатной политики безопасности – предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа, т.е. противодействие возникновению информационных каналов сверху вниз. Таблица 1 Распределение показателей защищенности по классам СВТ Наименование показателя Дискреционный принцип контроля доступа Мандатный принцип контроля доступа Очистка памяти Изоляция модулей Маркировка документов Защита ввода и вывода на отчужденный носитель информации Сопоставление пользователя с устройством Идентификация и аутентификация Гарантии проектирования Регистрация Взаимодействие пользователя с КСЗ Надежное восстановление Целостность КСЗ Контроль модификации Контроль дистрибуции Гарантии архитектуры Тестирование Руководство пользователя Руководство по КСЗ Тестовая документация Конструкторская (проектная) документация

6 + + + + + + +

Класс защищенности 5 4 3 2 + + = + + = = + + + = + = + + = = + = = = + + + + = + + +

+ + + + + + = = + +

= = + + + + + + = + + +

= = + = = = = + + + = + + +

1 = = = = = = = = + = = = = = = + = = = = +

* Обозначения: “ – ” нет требований к данному классу; “ + ” новые или дополнительные требования; “ = ” требования совпадают с требованиями к СВТ предыдущего класса.

Седьмой класс присваивается средствам вычислительной техники, к которым предъявлялись требования по защите от несанкционированного 46


доступа к информации, но при оценке защищенность средств оказалась ниже уровня требований шестого класса. «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» определяет деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации, необходимой в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала. Основными этапами классификации АС являются: • разработка и анализ исходных данных; • выявление основных признаков АС, необходимых для классификации; • сравнение выявленных признаков АС с классифицируемыми; • присвоение АС соответствующего класса защиты информации от НСД. Необходимыми исходными данными для проведения классификации конкретной АС являются: • перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности; • перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий; • матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС; • режим обработки данных в АС. Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: • наличие в АС информации различного уровня конфиденциальности; • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации; • режим обработки данных в АС – коллективный или индивидуальный. Устанавливается девять классов защищенности АС от НСД к информации. 47


Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС (табл. 2). В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Третья группа АС содержит два класса защищенности от НСД: • первый класс – 3Б, • второй класс – 3А. Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Вторая группа АС содержит два класса защищенности от НСД: • первый класс – 2Б, • второй класс – 2А. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. При этом не все пользователи имеют право доступа ко всей информации АС. Первая группа содержит пять классов защищенности от НСД: • первый класс – 1Д, • второй класс – 1Г, • третий класс – 1В, • четвертый класс – 1Б, • пятый класс – 1А. Таблица 2 Требования к классам защищенности АС от НСД Подсистемы и требования

Классы защищенности АС от НСД 3Б 3А 2Б 2А 1Д 1Г 1В 1Б I. Подсистема управления доступом А. Идентификация, проверка подлинности и контроль доступа субъектов: + + + + + + + + − в систему + + + + − к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ + + + + − к программам

48

+ +

+


+ к томам, каталогам, файлам, записям, полям записей В. Управление потоками информации + II. Подсистема регистрации и учета A. Регистрация и учет + + + + − входа/выхода субъектов доступа + в/из системы (узла сети) + + − выдачи печатных (графических) выходных документов + − запуска/завершения программ и процессов (заданий, задач) + − доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи + − доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей − изменения полномочий субъектов доступа + − создаваемых защищаемых объектов доступа B. Учет носителей информации + + + + + C. Очистка (обнуление, обезличивание) + + освобождаемых областей оперативной памяти ЭВМ и внешних накопителей D. Сигнализация попыток нарушения защиты III. Криптографическая подсистема A. Шифрование конфиденциальной информации B. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах C. Использование аттестованных (сер+ тифицированных) криптографических средств IV. Подсистема обеспечения целостности A. Обеспечение целостности программ- + + + + + ных средств и обрабатываемой информации B. Физическая охрана средств вычисли- + + + + + тельной техники и носителей информации

49

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+ +

+ +

+ +

+

+

+

+ +

+

+

+

+

+

+

+

+

+

+

+


C. Наличие администратора (службы) защиты информации в АС D. Периодическое тестирование СЗИ НСД E. Наличие средств восстановления СЗИ НСД F. Использование сертифицированных средств защиты

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

Обозначения: “ + ” – требование к данному классу защищенности АС присутствует.

При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться в соответствии с Руководящим документом Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации». Классы защищенности АС от НСД – не ниже 3А, 2А, 1В, 1Б, 1А, соответственно первой, второй и третьей групп. Допускается использовать сертифицированные СВТ: • не ниже 4 класса – для класса защищенности АС «1В», • не ниже 3 класса – для класса защищенности АС «1Б», • не ниже 2 класса – для класса защищенности АС «1А». 1.2.6. Защита СВТ и АС от НСД к информации с использованием межсетевых экранов В руководящем документе Гостехкомиссии России «Руководящий документ [55]. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» устанавливается классификация межсетевых экранов (МЭ) по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под сетями ЭВМ, распределенными АС, понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя. МЭ представляет собой локальное (однокомпонентное) или функциональнораспределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивающее защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о распространении в (из) АС. 50


Руководящий документ разработан в дополнение к руководящим документам Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Документ содержит требования к средствам защиты, обеспечивающим безопасное взаимодействие сетей ЭВМ, АС посредством управления межсетевыми потоками информации и реализованных в виде МЭ. Для определения уровня защищенности МЭ, который они обеспечивают при межсетевом взаимодействии АС, введены показатели защищенности МЭ. Конкретные перечни показателей определяют классы защищенности МЭ в зависимости от уровня контроля межсетевых информационных потоков. При этом дифференциация выбора функций защиты в МЭ определяется АС, для которой обеспечивается защищенность информации от НСД. В соответствии с руководящим документом установлено пять классов защищенности МЭ (табл. 3.1.3). Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации в АС: 1. Пятый класс защищенности МЭ – самый низкий класс защищенности, применяется для безопасного взаимодействия АС класса защищенности «1Д» с внешней средой. 2. Четвертый класс защищенности МЭ – соответственно для АС класса защищенности «1Г». 3. Третий класс защищенности МЭ – соответственно для АС класса защищенности «1В». 4. Второй класс защищенности МЭ – соответственно для АС класса защищенности «1Б». 5. Первый класс защищенности МЭ – самый высокий, применяется для безопасного взаимодействия АС класса защищенности «1А» с внешней средой. Характеристики МЭ по защите информации устанавливаются с учетом требований, предъявляемых к СВТ и АС в соответствии с руководящими документами Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». 51


В соответствии с данными руководящими документами при включении МЭ в АС определенного класса защищенности класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться. Для АС класса защищенности 3Б, 2Б необходимо применять МЭ не ниже 5 класса. Для АС класса защищенности 3А, 2А в зависимости от важности обрабатываемой информации необходимо применять МЭ следующих классов: • при обработке информации с грифом «секретно» – не ниже 3 класса; • при обработке информации с грифом «совершено секретно» – не ниже 2 класса; • при обработке информации с грифом «особой важности» – не ниже 1 класса. Таким образом, обмен информацией, составляющей государственную тайну, между АС класса защищенности 1Д, 1Г, 1В, 1Б, 1А или при наличии такой АС только на одном узле сети данным документом запрещен. Таблица 3 Перечень показателей и соответствующих классов защищенности МЭ Показатели защищенности

Классы защищенности МЭ 5 4 3 2 1

Управление доступом (фильтрация данных и трансляция адресов Идентификация и аутентификация Регистрация Администрирование: идентификация и аутентификация Администрирование: регистрация Администрирование: простота использования Целостность Восстановление Тестирование Руководство администратора защиты Тестовая документация Конструкторская (проектная) документация

Обозначения: “ – ” – нет требований к данному классу; “ + ” – новые или дополнительные требования; “ = ” – требования к МЭ предыдущего класса.

52

+ + + + + + + + +

+ + = + = = + = + =

+ + + + + + + = + = + +

+ = + + = = + + + = + =

= + = + = + + = + = + +


1.3. Организационное и техническое обеспечение информационной безопасности 1.3.1. Сущность, методы и средства организационного обеспечения информационной безопасности В значительной степени информационная безопасность (ИБ) организаций (юридических лиц) определяется эффективностью ее организационного обеспечения. Сущность организационного обеспечения информационной безопасности заключается, во-первых, в организации и создании соответствующей системы управления, во-вторых, в установлении ответственности и функциональных обязанностей должностных лиц органов управления, в-третьих, в определении содержания и порядка работы должностных лиц и персонала организации при выполнении задач защиты информации. Организация и создание соответствующей системы управления информационной безопасности являются основой организационного обеспечения информационной безопасности юридического лица с любой формой собственности и предусматривают выполнение следующего объема мероприятий: • определение основных принципов построения и структуры системы управления информационной безопасностью бизнеса; • разграничение функций и ответственности в системе управления информационной безопасностью бизнеса; • определение роли акционеров, коллегиальных органов управления, комиссии по информационной безопасности, высших корпоративных органов, службы информационной безопасности, менеджеров среднего и низшего звеньев управления, персонала, внутренних аудиторов, внешних контролирующих органов в системе обеспечения информационной безопасности; • организацию управления защитой информации при аутсорсинге и взаимодействии с третьими сторонами. Рассмотрим организацию и создание системы управления информационной безопасности на примере организаций банковской системы (ОБС) Российской Федерации, имеющей высшие, корпоративные и региональные органы управления. Высшие органы управления ОБС Российской Федерации: • акционеры, • правление, • наблюдательный совет, • президент ОБС, 53


• •

вице-президент ОБС по безопасности, консультативный Совет по безопасности (экспертный совет при президенте), • информационно-технический комитет (корпоративный коллегиальный орган), включающий секцию ИБ, • служба внутреннего контроля (корпоративный надзорный орган). Корпоративные органы управления ОБС Российской Федерации: • руководители стратегических направлений, • функциональное направление по ИБ (корпоративный орган управления ИБ), • функциональное направление службы содействия бизнесу (ССБ), • функциональное направление внешней безопасности, • аппарат АИБ. Региональные органы управления ОБС Российской Федерации: • региональные дирекции, включая помощника руководителя по ИБ, • помощники руководителей подразделений по ИБ, • региональные сотрудники аппарата ИБ (АИБ). Распределение компетенции, ответственности и задач управления информационной безопасностью между органами управления ОБС Российской Федерации следующее. Акционеры: • утверждают стратегические цели, • утверждают бюджетный план на 3 года и бюджет на 1 год, • утверждают заключение наблюдательного совета об итогах работы правления и президента (достижение поставленных целей, исполнение бюджета), • избирают правление и президента, наблюдательный совет; • выбирают внешнего аудитора. Наблюдательный Совет: • готовит доклад акционерам о работе правления и президента компании за год, • члены наблюдательного совета могут присутствовать на заседаниях правления, • члены наблюдательного совета имеют доступ ко всем распоряжениям президента и документам аудиторов, • члены наблюдательного совета не имеют права вмешиваться в работу правления и президента. Правление: • утверждает стратегию развития компании (в т.ч. и по разделу ИБ), • рассматривает проект бюджета (в т.ч. и по разделу ИБ), 54


утверждает планы и отчеты по направлениям (утверждает Концепцию ИБ компании), • выбирает крупных подрядчиков (в т.ч. и по разделу ИБ), • утверждает штатную структуру органов ИБ. Президент: • несет личную ответственность за обеспечение информационной безопасности компании, • руководит системой управления ИБ, • координирует работу элементов системы управления ИБ, • утверждает политики, регламенты, руководства и инструкции по ИБ, • лично рассматривает кандидатуры на руководящие должности в сфере ИБ, • лично руководит сложными корпоративными проверочными мероприятиями, • подписывает договоры с контрагентами. Совет безопасности (корпоративный коллегиальный орган): • рассматривает политики, регламенты, руководства и инструкции по ИБ, • представляет президенту кандидатуры на руководящие должности в сфере ИБ, • рассматривает заключения по инцидентам ИБ, • выбирает подрядчиков на работы, связанные с ИБ. Секция ИБ информационно-технического комитета: • рассматривает технические аспекты политик, регламентов, руководств и инструкций по ИБ, • рассматривает все стратегические документы по информационным технологиям (ИТ) с точки зрения ИБ, • рассматривает вопросы ИБ всех корпоративных проектов по ИТ. Вице-президент по безопасности: • руководит и координирует работу штатных направлений безопасности в интересах обеспечения ИБ, • лично готовит заседания Совета безопасности, • организует разбирательства по инцидентам ИБ, • привлекает силы и средства всех направлений безопасности для содействия решению задач ИБ, • задействует силы и средства направления ИБ для решения общих задач безопасности. Служба внутреннего контроля: • имеет управление надзора за обеспечением ИБ, • организует внутренний аудит ИБ, 55


под руководством президента проводит проверочные мероприятия, • согласовывает проекты всех нормативно-правовых актов (НПА) по ИБ, • согласовывает документы в сфере ИБ по корпоративным проектам, • дает заключения по проекту и исполнению бюджета, штатной структуре органов ИБ. Руководители подразделений: • несут личную ответственность за ИБ в подразделениях, • выполняют роль владельца информационных активов. Состав и содержание функциональных задач Службы информационной безопасности: 1. Разработка концептуальных и нормативных документов по ИБ. 2. Управление информационными активами. Организация и защита конфиденциального документооборота и архива документов. Классификация возможных каналов утечки информации и потенциальных угроз. 3. Разработка мероприятий по уменьшению рисков (каталога средств защиты). 4. Расследование инцидентов. Анализ инцидентов, мониторинг, накопление статистических данных. 5. Управление персоналом в интересах ИБ. Информирование пользователей о правилах защиты информации (компетенция персонала). Контроль выполнения правил защиты информации. 6. Обеспечение физической безопасности информационных систем. Защита помещений (переговоров, встреч и т.п.). Организация доступа в помещения, где обрабатывается конфиденциальная информация. Защита каналов и сетей связи. 7. Управление безопасностью информационного обеспечения бизнес-процессов. Обеспечение компьютерной безопасности. Администрирование средств защиты информации. 8. Защита информации в информационных системах в течение их жизненного цикла. 9. Управление непрерывностью бизнеса. 10. Компьютерная разведка по открытым источникам. Вариант структуры органов управления ИБ представлена на рис. 3: 1. Вице-президент, заместитель главного управляющего директора – осуществляет руководство функциональным направлением (ФН) информационной безопасности. 2. ФН информационной безопасности, имеющее: 56


функциональный блок (ФБ) стратегического планирования и управления системой информационной безопасности; • ФБ защиты АС. 3. ФБ стратегического планирования и управления системой ИБ, имеющий: • Дирекцию стратегического планирования и методологии в составе: − отдела стратегического планирования ИБ, − отдела методологии ИБ, − отдела экспертизы проектов, − нормативно-правового отдела. • Дирекцию управления ИБ в региональной сети в составе: − корпоративного отдела, − регионального отдела, осуществляющего руководство соответствующими региональными дирекциями и территориальными структурными подразделениями. • Дирекцию мониторинга ИБ в составе: − отдела информационно-аналитического обеспечения, − отдела контроля безопасности информационнотелекоммуникационных систем, − отдела расследования инцидентов. 4. ФБ защиты АС, имеющий: • Дирекцию защиты корпоративных сетей в составе: − отдела развития, − отдела эксплуатации средств защиты информации, − а также отдел эксплуатации ключевых систем. В непосредственном подчинении ФН информационной безопасности находится Дирекция защиты коммерческой тайны в составе: − отдела организации конфиденциального документооборота, − отдела предупредительно-профилактической работы. Организация и порядок работы должностных лиц органов управления определяются концептуальной основой управления информационной безопасностью, устанавливающей: • назначение, области действия и содержание концепции (политики) информационной безопасности бизнеса; • роль руководства и коллегиальных органов управления в организации обеспечения информационной безопасности; • критерии оценки эффективности информационной безопасности; • нормативно-методическая базу управления информационной безопасностью бизнеса; 57


контроль соответствия концепции информационной безопасности бизнеса условиям и результатам управления информационной безопасностью. При разработке и внедрении Концепции ИБ учитываются следующие правила: 1. Концепция, исходя из определения этого термина, есть система общих взглядов на проблему. То есть концепция является общим высокоуровневым документом, разъясняющим проблему для акционеров, высшего и среднего менеджмента всех направлений деятельности, а некоторые ее положения и для клиентов Корпорации. Таким образом, это популярный открытый документ, содержащий систему общих взглядов на ИБ. Для регламентирования частных деталей предусматриваются документы другого уровня – политики, положения и регламенты. Концепция ИБ должна быть достаточно точно выдержана в этих рамках и разделяется на две части: • Основной открытый текст Концепции ИБ, отражающий исключительно общие взгляды на термины и определения, предметную область, цель обеспечения информационной безопасности, модели угроз и нарушителей информационной безопасности ОБС, исходную концептуальную схему (парадигму) обеспечения информационной безопасности ОБС, основные принципы обеспечения информационной безопасности, требования к политике информационной безопасности ФК, управление информационной безопасностью, позиционирование и финансирование службы информационной безопасности, аудит и мониторинг информационной безопасности, критерии оценки эффективности информационной безопасности, переходные положения. • Приложения к Концепции ИБ, в которых в разрезе приведенных в тексте стандартных ключевых областей ИБ раскрыты общие взгляды на наиболее важные частные проблемы: − перечень сведений, относящихся к конфиденциальной информации; − перечень организационных мероприятий по внедрению Концепции ИБ; − политика безопасности КДО; − риски информационной безопасности, связанные с персоналом (обучение, аттестация, контроль деятельности); − распределение функций руководителей подразделений по обеспечению ИБ; − стратегическая карта ФН ИБ; − регламент взаимодействия ФН Информационной безопасности с корпоративными направлениями; 58


− положение о мониторинге ИБ; − регламент расследования инцидентов информационной безопасности. 2. В Концепции ИБ должны быть однозначно определены ключевые области ИБ: политика ИБ; организация ИБ; классификация и контроль активов; безопасность персонала; физическая безопасность; управление коммуникациями и операциями; контроль доступа; разработка и сопровождение систем; управление обеспечением непрерывности бизнеса; комплаенс. 3. В Концепции ИБ определяется модель нарушителя. От кого мы защищаем Корпорацию и что мы защищаем в Корпорации? Речь идёт об определении информации, которая в данном случае является отправной точкой всей деятельности ФН ИБ и первоосновой бизнес-процессов, и модели нарушителя, без которой понятие активный аудит не имеет смысла. Обязательно должна быть четко определена связь понятий информация – модель нарушителя. 4. Существует восемь основных принципов построения системы ИБ организации: • Своевременность обнаружения проблем. • Прогнозируемость развития проблем. • Оценка влияния проблем на бизнес-цели. • Адекватность защитных мер. • Эффективность защитных мер. • Использование опыта при принятии и реализации решений. • Непрерывность принципов безопасного функционирования. • Контролируемость защитных мер. Основу средств управления информационной безопасности организации (юридического лица) составляют нормативно-методические документы (НМД), которые классифицируются на а) внешние, б) общекорпоративные, в) организации. Б. Общекорпоративные НМД Концепция ИБ организации. 1. Нормативные документы: - политики ИБ, - профили защиты, - положения, - регламенты. 2. Методические документы: - базовые модели, - методики, - руководства и инструкции, - правила. 59


3. Инструментальные средства: - каталоги и базы данных, - средства аудита, - средства моделирования атак, - средства тестирования персонала, - средства КДО, - модели и моделирующие комплексы. В. НМД входящих в корпорацию организаций Организация управления информационными активами включает выполнение следующего объема мероприятий: • уточнение видов информационных активов в бизнесе: информационных ресурсов, программных ресурсов, аппаратных ресурсов, обеспечивающих ресурсов; • инвентаризацию информационных активов и приложений; • мониторинг доступа к информационным системам; • закрепление ответственности за информационные активы; • классификацию информационных активов; • определение ценности, степени конфиденциальности и режима защиты информационных ресурсов; • определение принципов управления доступом к информационным активам; • определение бизнес-требований к управлению доступом; • определение права доступа; • установление паролей; • установление приоритетов в обслуживании; • определение ответственности персонала за оставление без присмотра пользовательского оборудования и дискредитацию личного пароля; • управление доступом к сети; • управление доступом в операционных системах и на уровне приложений. Организация управления персоналом в интересах обеспечения информационной безопасности заключается в проведении следующих мероприятий: • осуществление найма сотрудника на работу: комплексная проверка кандидата, инструктаж о правилах информационной безопасности, тестирование, соглашение о неразглашении конфиденциальной информации, включение в трудовое соглашение положений по информационной безопасности; • управление инцидентами информационной безопасности; 60


обучение персонала правилам и приемам работы с конфиденциальной информацией на примере инцидентов информационной безопасности; • уточнение порядка донесений об инцидентах информационной безопасности, обнаружении уязвимостей и угроз информационной безопасности, о сбоях в работе программного обеспечения; • разработка и введение в действие Методики разбирательства и дознания по инцидентам информационной безопасности; • определение процедуры вынесения и реализации дисциплинарных санкций в отношении нарушителей информационной безопасности; • установление ответственности персонала за оставление без присмотра пользовательского оборудования и дискредитацию личного пароля. Организация обеспечения физической безопасности информационных систем достигается планированием и проведением следующего комплекса мероприятий: • установление защищенных зон и периметра безопасности; • управление входом в защищенные зоны; • установление правил работы в защищенных зонах; • внедрение политики «чистых» столов и экранов; • обеспечения безопасного размещения, обслуживания, перемещения и утилизации оборудования; • обеспечение безопасности электроснабжения и кабельной разводки. Организация управления безопасностью информационного обеспечения бизнес-процессов включает выполнение следующих мероприятий: • разработка и внедрение инструкции по выполнению бизнеспроцесса; • разделение обязанностей в бизнес-процессе в интересах безопасности; • управление защитой от вредоносных программ; • установление служебных процедур безопасности: резервного копирования информации, протоколирования работы операторов, регистрации сбоев информационного обеспечения бизнеспроцессов; • защита носителей информации; • обеспечение безопасности обмена информацией и программами.

61


Организация защиты информации в информационных системах в течение их жизненного цикла включает выполнение следующих мероприятий: • становление бизнес-требований к информационной безопасности информационных систем; • управление информационной безопасностью при проектировании, вводе в эксплуатацию и доработке средств информационного обеспечения бизнес-процесса; • обеспечение безопасности бизнес-информации в информационных системах: контроль входной, выходной и промежуточной информации в информационных системах; • выбор криптографических методов защиты информации; • обеспечение безопасности системных файлов. Управление непрерывностью бизнеса предусматривает: • выявление событий, способных привести к прерыванию бизнеса; • оценку рисков; • разработку и реализацию плана обеспечения непрерывности бизнеса. Порядок действий должностных лиц органов управления и персонала организации по обеспечению безопасности объектов информации следующий: 1. Определение интеллектуальной собственности (что и от кого надо защищать). 2. Определение границ управления безопасностью. 3. Анализ уязвимостей. 4. Выбор контрмер, определение политики безопасности. 5. Создание и проверка системы защиты. 6. Составление плана защиты. 7. Реализация плана защиты. Анализ уязвимости предусматривает следующий алгоритм действий: 1. Выбор анализируемых объектов и определение степени детализации их рассмотрения. 2. Моделирование каналов утечки информации и НСД. 3. Оценка потерь (возможного ущерба). 4. Разработка стратегии управления рисками: − уменьшение риска, − уклонение от риска, − изменение характера риска, − принятие риска, − передача риска. 62


Информационно-аналитическая модель объекта защиты содержит:

• • • • •

перечень сведений, подлежащих защите в организации; организационно-штатную структуру организации; характеристики и план объекта (объектов) и СВТ; характеристики АРМ, серверов, носителей и др.; описание информационных потоков, технологии обработки информации, порядка ее хранения; • используемые средства связи. Выбор контрмер и определение политики безопасности является главным содержанием управленческой деятельности руководителей и соответствующих должностных лиц органов управления организации. Политика безопасности определяет облик системы защиты информации и представляет собой совокупность: 1. Нормативно-правового обеспечения – разработка руководящих документов. 2. Организационного обеспечения – создание СИБ. 3. Инженерно-технического обеспечения – внедрение программноаппаратных средств защиты. 4. Выбор вариантов построения и оценка уровня безопасности системы по стоимости, эффективности и реализуемости. Составление плана защиты объекта информации является важнейшей задачей органов управления организации. План защиты объекта включает: 1. Описание защищаемой системы. 2. Цель защиты и пути обеспечения безопасности АС. 3. Перечень значимых угроз. 4. Политика информационной безопасности. 5. План размещения и функциональная схема АС. 6. Спецификация средств защиты и смета затрат. 7. Календарный план мероприятий по ОБИ. 8. Регламент действий персонала по вопросам ОБИ и в критических ситуациях. Реализация плана защиты обуславливает необходимость организации управления системой защиты. При этом к управлению системой защиты предъявляются следующие требования: 1. Устойчивость к активным действиям нарушителя. 2. Непрерывность. 3. Скрытность. 4. Оперативность. 63


5. Обоснованность с точки зрения всестороннего учета условий решения задач. Критерий эффективности – время реакции системы защиты на нарушение. Основными нормативно-методическими документами обеспечения ИБ организации, регламентирующих действия органов управления и структурных подразделений по обеспечению информационной безопасности ее функциональной деятельности, являются: 1. Концепция и политика информационной безопасности. 2. Руководство по определению прав пользователей на доступ к ресурсам АС. 3. Положение об ОБИ в АС. 4. Положение о подразделении (отделе) ОБИ с функциональными обязанностями. 5. Положение об оперативно-поисковом подразделении (группе) ОБИ. 6. Руководство дежурного администратора ОБИ. 7. Руководство пользователя по ОБИ. 8. Руководство по использованию средств защиты. 9. Инструкции пользователям по правилам доступа к информации. 10. Правила разграничения доступа к информации. 11. Порядок приема–сдачи программного обеспечения в эксплуатацию. В процессе организации и выполнения мероприятий обеспечения информационной безопасности возможно появление следующих практических проблем: 1. Отсутствие понимания у руководителей среднего, нижнего звена и персонала необходимости проведения мероприятий по ОБИ. 2. Противостояние службы автоматизации и службы ОБИ. 3. Личные амбиции и взаимоотношения на уровне руководителей среднего и высшего звена. 4. Низкий уровень исполнения намеченной программы действий по созданию системы ОБИ. 5. Низкая квалификация специалистов по защите информации. Для оценки полноты и адекватности системы обеспечения ИБ, оказания необходимой помощи ответственному персоналу организуется проверка качества и эффективности функционирования системы защиты. Цель проверки – предоставление гарантий отсутствия простых путей обхода механизмов защиты. Исходные данные – модель и сценарии действий нарушителя. Исполнители – независимые эксперты (хакеры), соответствующие комплексы программных и программно-аппаратных средств. 64


1.3.2. Сущность, методы и средства технического обеспечения информационной безопасности Важнейшим направлением обеспечения информационной безопасности организаций и их корпоративных сетей является техническое обеспечение, которое представляет собой комплекс взаимосвязанных технических мер, реализующих аппаратно-программные механизмы защиты. В настоящее время применяются следующие аппаратнопрограммные методы и средства обеспечения ИБ: 1. Идентификация и аутентификация. 2. Управление доступом. 3. Протоколирование и аудит. 4. Антивирус. 5. Антиспам. 6. Шифрование. 7. Контроль целостности. 8. Экранирование. 9. Анализ защищенности. 10. Обеспечение отказоустойчивости. 11. Обеспечение безопасного восстановления. 12. Туннелирование. 13. Управление. Рассмотрим некоторые из методов и средств технического обеспечения информационной безопасности корпоративных информационных сетей. 1.3.3. Содержание и основные понятия криптологии Защита данных в ЭВМ и информационно-вычислительных сетях с помощью шифрования считается одним из наиболее надежных способов решения проблемы безопасности. Хотя в дальнейшем будет показано, что это утверждение верно далеко не всегда. Изучением вопросов шифрования данных занимается наука – криптология, включающая криптографию и криптоанализ. Криптография изучает методы и алгоритмы шифрования данных (правила построения и использования шифров), направленные на то, чтобы сделать эти данные бесполезными для противника. Методы криптографии также используются для подтверждения подлинности источника данных и контроля целостности данных. Заметим, что криптография всегда являлась обязательным элементом безопасных информационных систем. Однако особое значение криптографические методы получили с развитием распределенных открытых сетей, в которых нельзя обеспечить физическую защиту каналов связи. 65


Криптоанализ – это наука о раскрытии исходного текста зашифрованного сообщения без доступа к ключу. Прежде всего поясним, чем отличается шифрование от кодирования. С теоретической точки зрения не существует четкого различия между кодами и шифрами. Однако в современной практике различие между ними, как правило, является достаточно четким. Коды оперируют лингвистическими элементами, разделяя закрываемый текст на такие смысловые элементы, как слова и слоги. В шифре всегда различают два элемента: алгоритм и ключ. Алгоритм позволяет использовать сравнительно короткий ключ для шифрования сколь угодно длинного текста. Определим ряд основных терминов, используемых в криптографии. В соответствии с ГОСТ 28147-89 [1.1] под шифром понимают совокупность обратимых преобразований множества открытых данных на множество зашифрованных данных, задаваемых ключом и алгоритмом криптографического преобразования. Ключ – это конкретное (секретное или открытое) состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор только одного варианта из всех возможных для данного алгоритма. Основной характеристикой шифра является криптостойкость, которая определяет его стойкость к раскрытию методами криптоанализа. Обычно эта характеристика определяется интервалом времени, необходимым для раскрытия шифра. Гаммирование – процесс наложения по определенному закону гаммы шифра на открытые данные. Под гаммой шифра понимается псевдослучайная двоичная последовательность, вырабатываемая по заданному алгоритму, для шифрования открытых данных и расшифровывания зашифрованных данных. Имитозащита – это защита системы шифрованной связи от навязывания ложных данных. Имитовставка – это блок из m бит, который вырабатывается по определенному правилу из открытых данных с использованием ключа и затем добавляется к зашифрованным данным для обеспечения их имитозащиты. К шифрам, используемым для криптографической защиты информации, предъявляется ряд требований: • достаточная криптостойкость (надежность закрытия данных); • простота процедур шифрования и расшифрования; • незначительная избыточность информации за счет шифрования; • нечувствительность к небольшим ошибкам шифрования и др.

66


1.3.4. Классификация криптографических методов и алгоритмов Классические криптографические методы и алгоритмы подразделяют на два основных типа: • симметричные (с секретным ключом), • асимметричные (с открытым ключом). В симметричных методах для шифрования и расшифровывания используется один и тот же секретный ключ. Наиболее известным стандартом на симметричное шифрование с закрытым ключом является стандарт для обработки информации в государственных учреждениях США DES (Data Encryption Standard). Коммерческий вариант алгоритма DES использует ключ длиной 56 бит, что требует от злоумышленника перебора 72·1012 возможных ключевых комбинаций. Более криптостойкая (но втрое менее быстродействующая) версия алгоритма DES – Triple DES (тройной DES) позволяет задать ключ длиной 112 бит. Другим популярным алгоритмом шифрования является IDEA (International Data Encryption Algorithm), отличающийся применением ключа длиной 128 бит. Он считается более стойким, чем DES. Отечественный стандарт шифрования данных – ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» определяет алгоритм симметричного шифрования с ключом длиной до 256 бит. Общая технология использования симметричного метода шифрования представлена на рис. 3.1.3. К достоинствам симметричных методов относят высокое быстродействие и простоту. Основным недостатком указанных методов является то, что ключ должен быть известен и отправителю, и получателю. Это существенно усложняет процедуру назначения и распределения ключей между пользователями. По существу, в открытых сетях должен быть предусмотрен физически защищенный канал передачи ключей.

67


Рис. 3. Использование симметричного метода шифрования с секретным ключом

Названный недостаток послужил причиной разработки методов шифрования с открытым ключом – асимметричных методов. Асимметричные методы используют два взаимосвязанных ключа: для шифрования и расшифрования. Один ключ является закрытым и известным только получателю. Его используют для расшифрования. Второй из ключей является открытым, т.е. он может быть общедоступным по сети и опубликован вместе с адресом пользователя. Его используют для выполнения шифрования. Формально асимметричный метод можно описать следующим образом. Обозначим результат шифрования текста T с помощью открытого ключа – E(T), а результат расшифровки текста с помощью закрытого ключа – D(T). Тогда асимметричный метод должен отвечать следующим трем требованиям: • D(E(T)) = T; • D практически невозможно определить по E; • Е нельзя взломать. Преимущество указанного метода состоит в уменьшении количества ключей, с которыми приходится оперировать. Однако данный алгоритм имеет существенный недостаток – требует значительной вычислительной мощности. Использование асимметричного метода шифрования представлено на рис. 4. В настоящее время наиболее известными и надежными являются следующие асимметричные алгоритмы: • алгоритм RSA (Rivest, Shamir, Adleman), • алгоритм Эль Гамаля. 68


Алгоритм RSA принят в качестве следующих международных стандартов: ISO/IEC/DIS 9594-8 и X.509. Алгоритм использует факт, что нахождение больших (например, 100-битных) простых чисел в вычислительном отношении осуществляется легко, однако разложение на множители произведения двух таких чисел в вычислительном отношении представляется невыполнимым. Другим известным методом является алгоритм Эль Гамаля, положенный в основу стандарта NIST (National Institute of Standards and Technology) – MD 20899. Алгоритм основан на возведении в степень по модулю большого простого числа. Следует сказать, что если алгоритмы типа DES определяют длину данных и ключа в битах, то асимметричные алгоритмы могут быть реализованы при любой длине ключа. Чем ключ длиннее, тем выше криптостойкость системы, но больше время шифрования и расшифровывания.

Рис. 4. Использование асимметричного метода шифрования с открытым ключом

Основным недостатком асимметричных алгоритмов является их низкое быстродействие: данные алгоритмы в несколько тысяч раз медленнее симметричных алгоритмов! Поэтому для исключения данного недостатка используют технологии сочетания симметричных и асимметричных методов шифрования. В частности, текст шифруется быстродействующим симметричным алгоритмом, а секретный (случайный) ключ, сопровождающий текст, – асимметричным алгоритмом. 1.3.5. Симметричные системы с закрытым (секретным) ключом Современное проектирование алгоритмов шифрования данных основано на рациональном выборе функций, преобразующих исходные (незашифрованные) сообщения в шифртекст. Идея непосредственного приме69


нения такой функции ко всему сообщению реализуется крайне редко. Практически все применяемые криптографические методы связаны с разбиением сообщения на большое число фрагментов (или знаков) фиксированного размера, каждый из которых шифруется отдельно. Такой подход существенно упрощает задачу шифрования, так как сообщения обычно имеют различную длину. Различают три основных способа шифрования: • поточные шифры, • блочные шифры, • блочные шифры с обратной связью. В табл. 3.1.4 приведены типы криптосистем и их основные характеристики. Таблица 4 Основные характеристики криптосистем Тип криптосистемы Поточного шифрования Блочного шифрования С обратной связью от шифртекста

Операции с битами или блоками Биты

Зависимость от предыдущих знаков Не зависит

Позиционная зависимость Зависит

Блоки

Не зависит

Не зависит

Биты или блоки

Зависит

Не зависит

Симметричность функции шифрования Симметричная Симметричная или несимметричная Симметричная

Поточное шифрование состоит в том, что биты открытого текста складываются по модулю 2 с битами псевдослучайной последовательности. К достоинствам поточных шифров относятся высокая скорость шифрования, относительная простота реализации и отсутствие размножения ошибок. Недостатком является необходимость передачи информации синхронизации перед заголовком сообщения, которая должна быть принята до расшифрования любого сообщения. Это обусловлено тем, что если два различных сообщения шифруются на одном и том же ключе, то для расшифрования этих сообщений требуется одна и та же псевдослучайная последовательность. Такое положение может создать угрозу криптостойкости системы. Поэтому часто используют дополнительный, случайно выбираемый ключ сообщения, который передается в начале сообщения и применяется для модификации ключа шифрования. В результате разные сообщения будут шифроваться с помощью различных последовательностей. 70


Поточные шифры широко применяются для шифрования преобразованных в цифровую форму речевых сигналов и цифровых данных, требующих оперативной доставки потребителю информации. До недавнего времени такие применения были преобладающими для данного метода шифрования. Это обусловлено, в частности, относительной простотой проектирования и реализации генераторов хороших шифрующих последовательностей. Но самым важным фактором, конечно, является отсутствие размножения ошибок в поточном шифре. Стандартным методом генерирования последовательностей для поточного шифрования является метод, применяемый в стандарте шифрования DES в режиме обратной связи по выходу. В настоящее время подавляющее большинство применяемых на практике симметричных систем с закрытым (секретным) ключом представляют собой блочные системы, которые задают параметризованное ключом преобразование блоков исходного сообщения (как правило, длиной 64 бита) в блоки шифрограммы. При блочном шифровании открытый текст сначала разбивается на равные по длине блоки, затем применяется зависящая от ключа функция шифрования для преобразования блока открытого текста длиной m бит в блок шифртекста такой же длины. Достоинством блочного шифрования является то, что каждый бит блока шифртекста зависит от значений всех битов соответствующего блока открытого текста, и никакие два блока открытого текста не могут быть представлены одним и тем же блоком шифртекста. Поэтому в настоящее время подавляющее большинство применяемых на практике как симметричных систем с закрытым (секретным) ключом, так и асимметричных систем с открытым ключом представляют собой блочные системы, как правило, с длиной блоков в 64 бита. Алгоритм блочного шифрования может использоваться в различных режимах. Четыре режима шифрования алгоритма DES практически применимы к любому блочному шифру. Наиболее часто применяются системы блочного шифрования с обратной связью. Как и при простом блочном шифровании, сообщения разбиваются на ряд блоков. Для преобразования этих блоков в блоки шифртекста используются специальные функции шифрования. Однако если в блочном шифре такая функция зависит только от ключа, то в блочных шифрах с обратной связью она зависит как от ключа, так и от одного или более предшествующих блоков шифртекста. Достоинством криптосистем с блочного шифрования с обратной связью является возможность применения их для обнаружения манипуляций сообщениями, производимых активными перехватчиками. При этом ис71


пользуется факт размножения ошибок в таких шифрах, а также способность этих систем легко генерировать код аутентификации сообщений. Основным недостатком систем блочного шифрования с обратной связью является размножение ошибок и сложность при разработке и реализации. Рассмотрим основные алгоритмы шифрования данных. Характеристика основных алгоритмов шифрования с закрытым (секретным) ключом Алгоритмы DES и тройной DES Алгоритм шифрования DES (Data Encryption Standard) был разработан фирмой IBM под именем Lucifer, сертифицирован с изменениями Агентством национальной безопасности США (NSA – National Security Agency) и в 1977 г. принят в качестве федерального стандарта США. Для алгоритма DES разработаны четыре основных рабочих режима шифрования: • электронная кодовая книга ECB (Electronic Code Book), • сцепление блоков шифра CBC (Cipher Block Chaining), • обратная связь по шифртексту CFB (Cipher Feed Back), • обратная связь по выходу OFB (Output Feed Back). Применяемые в коммерческих приложениях и поставляемые на экспорт аппаратные и программные реализации алгоритма DES используют ключ длиной 56 бит, что требует от злоумышленника перебора 72·1012 возможных ключевых комбинаций. Современные технические средства криптоанализа позволяют взломать такой шифр за несколько часов. Поэтому использовать их для серьезных приложений нецелесообразно. Недостатки алгоритма DES: • битовые операции в узлах замены неэффективно реализуются программным путем; • короткая длина ключа (56 бит), что позволяет организовать полный перебор; • обнаружена теоретическая возможность уменьшить пространство перебора с помощью дифференциального криптоанализа (с выбором шифрограммы) и линейного криптоанализа (с известным сообщением), если известно достаточно много (порядка 247) пар сообщение-шифрограмма; • независимый выбор подключей практически не увеличивает стойкость алгоритма. Более криптостойкая (но втрое менее быстродействующая) версия алгоритма DES – Triple DES (тройной DES), предусматривающий трехкратное шифрование с двумя ключами. Это фактически увеличивает реальную длину ключа до 112 бит. Однако с точки зрения криптоаналитика 72


тройное шифрование с двумя ключами все равно сводится к однократному при использовании атаки с выбором сообщения. Алгоритм IDEA Алгоритм шифрования IDEA (International Data Encryption Algorithm) разработан в 1989 г. в Швейцарии, в институте ETH Zurich. Авторами его являются Ксуэйджем Лэйем (Xuejia Lai) и Джеймсом Мэсси (James L. Massey). Алгоритм IDEA запатентован в США и Европе. Он, в частности, используется в программе PGP, применяемой в Internet. Алгоритм основан на понятии смешения операций, принадлежащих различным алгебраическим группам. В этом алгоритме применяется ключ длиной 128 бит и смещение операций разных алгебраических групп для блоков длиной 64 бита. Алгоритм шифрования IDEA может работать в любом режиме блочного шифрования, предусмотренном для алгоритма DES, и обладает рядом преимуществ. Он значительно безопаснее алгоритма DES, поскольку 128битовый ключ алгоритма IDEA вдвое больше ключа DES. Внутренняя структура алгоритма IDEA обеспечивает лучшую устойчивость к криптоанализу. Существующие программные реализации алгоритма IDEA примерно вдвое быстрее реализаций алгоритма DES. До сих пор IDEA оказывался устойчивым к криптоаналитическим атакам в большей степени, чем другие алгоритмы, такие, как FEAL, REDOC-II, LOKI, Snefru и Khafre. IDEA более устойчив, чем DES, к очень успешной кpиптогpафической атаке Э. Бихама (Eli Biham) и А. Шамиpа (Adi Shamir), использующей дифференциальный криптоанализ, так же, как и к атакам с применением линейного кpиптоанализа. Поскольку этот алгоритм продолжает быть мишенью для атак со стороны наиболее выдающихся криптоаналитиков мира, уверенность в стойкости IDEA продолжает расти. Алгоритм ГОСТ 28147-89 В нашей стране установлен единый алгоритм криптографического преобразования данных для систем обработки информации в сетях ЭВМ, отдельных вычислительных комплексах и ЭВМ, который определяется ГОСТ 28147-89. Этот алгоритм криптографического преобразования данных предназначен для аппаратной и программной реализации, удовлетворяет всем криптографическим требованиям и не накладывает ограничений на степень секретности защищаемой информации. Он представляет собой 64битовый блочный алгоритм с 256-битовым ключом. В соответствии с Указом Президента РФ от 3 апреля 1995 г. № 334 данный алгоритм обязателен для использования во всех государственных организациях, а также в коммерческих банках при их информационном взаимодействии с подразделениями Центрального банка РФ. 73


Указ, в частности, запретил использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата ФСБ России. Кроме того, он запретил деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных ФСБ России. Алгоритм ГОСТ 28147-89 предусматривает четыре режима работы: • шифрование данных в режиме простой замены, • шифрование данных в режиме гаммирования, • шифрование данных в режиме гаммирования с обратной связью, • выработка имитовставки. Блок-схема алгоритма ГОСТ 28147-89 при шифровании данных в режиме простой замены отличается от блок-схемы алгоритма DES лишь отсутствием начальной перестановки и числом циклов шифрования (32 в ГОСТе против 16 в алгоритме DES). В настоящее время сертифицированы ФСБ (ФАПСИ) России по требованиям безопасности при криптографическом преобразовании информации следующие программные и аппаратные изделия, реализующие в полном объеме ГОСТ 28147-89: • семейство аппаратных устройств (плат) серии КРИПТОН (Криптон-4, Криптон-4К/8, Криптон-4К/16, Криптон-ИК/4, Криптон-5, Криптон-НСД, Криптон-акселератор), разработанных фирмой АНКАД; • семейство программных и программно-аппаратный средств серии ВЕРБА (Верба-О, Вверба-W, Вверба-ОW и др.), разработанных Московским отделением Пензенского научно-исследовательского электротехнического института (МО ПНИЭИ). После многих лет существования стандартов DES и ГОСТ 28147-89 можно констатировать, что ГОСТ не завоевал такой большой популярности и известности, как DES. Это можно объяснить следующими причинами: • ГОСТ принят намного позже, но идеологически повторяет DES; • один из отличительных элементов ГОСТ – использование секретных таблиц подстановок, поставляемых в установленном порядке, – был консервативным изначально; • при программной реализации ГОСТ скорость шифрования оказывается слишком низкой; 74


при аппаратной реализации ГОСТ обеспечение высокой скорости приводит к неприемлемо высокой цене шифраторов; • сомнения пользователей относительно отсутствия потайных дверей, подогреваемое секретностью используемых подстановок. Совсем недавно для ГОСТ 28147-89 была показана возможность раскрытия ключа и таблиц подстановок с помощью криптоанализа на основе формирования случайных аппаратных ошибок (САО), под которым понимается такой вид криптоанализа, при котором предполагаемый нарушитель имеет возможность оказать на шифратор внешнее физическое воздействие и вызвать одиночные ошибки в процессе шифрования одного блока данных. По отношению к этому виду криптоанализа уязвимыми являются многие блочные криптосистемы (DES, RC5 и др.). Новый американский стандарт AES алгоритмов шифрования В 1997 г. NIST (National Institute of Standards and Technology) анонсировал конкурс на создание AES (Advanced Encryption Standard) – нового государственного криптографического стандарта США. Тогда же были оговорены следующие первичные требования, которым должен удовлетворять AES: это должен быть незасекреченный, открыто опубликованный алгоритм шифрования, бесплатно доступный по всему миру. Спустя некоторое время было уточнено, что AES должен быть блочным шифром, реализующим криптографическую процедуру с симметричным ключом, причем алгоритм (как минимум) должен поддерживать 128-битную длину шифруемого блока текста и длины ключей 128, 192 и 256 бит. В 1998 г. были отобраны 15 алгоритмов-кандидатов, которые продолжили дальнейшую борьбу. Из них во второй раунд вышли следующие 5 алгоритмов: • MARS – предложен фирмой IBM (США); • RC6 – предложен RSA Laboratories (США), компанией, основанной разработчиками самого известного алгоритма шифрования с открытым ключом, и являющийся развитием широко применяемого алгоритма RC5; • Rijndael – предложен бельгийскими криптоаналитиками Джоаном Дайеменом (Joan Daemen) и Винсентом Риджеменом (Vincent Rijmen); • Serpent – предложен международной командой видных криптоаналитиков Россом Андерсоном (Ross Anderson, Великобритания), Эли Бихамом (Eli Biham, Израиль) и Ларсом Кнудсеном (Lars Knudsen, Норвегия); • TwoFish – предложен группой американских криптоаналитиков под руководством президента компании Counterpane Systems 75


Брюса Шнайера (Bruce Schneier), автора известного алгоритма BlowFish. Обсуждение основных достоинств и недостатков этих алгоритмов велось до 15 мая 2000 года, после чего 2 октября 2000 года NIST объявил победителя конкурса и предложил его в качестве федерального стандарта (FIPS). Победителем стал алгоритм Rijndael (произносится как «рэйндал»). Данный алгоритм одержал победу не только благодаря быстродействию и высокой стойкости, но и в значительной степени из-за простоты своей конструкции. Алгоритм Rijndael заслуживает краткого описания, в котором, увы, не обойтись без минимума специальной терминологии. Характерная особенность алгоритма Rijndael состоит в том, что он является нетрадиционным блочным шифром, поскольку не использует так называемую сеть Фейстеля для криптопреобразований, на которой и были основаны все его предшественники и конкуренты. В классической сети Фейстеля каждый двоичный блок делится на две половины, поочередно «крест-накрест» перемешивая которые и одновременно закрывая одну половину случайными последовательностями бит на основе ключа, за несколько циклов (16 и более) шифруется весь блок информации. Такая схема шифрования информации гарантирует уникальность ключа и целостность блока: в случае несовпадения хотя бы одного бита ключа или блока информация в блоке полностью теряется. В зависимости от размера блока и длины ключа алгоритм Rijndael предусматривает выполнение от 10 до 14 типовых циклов (раундов), в которых последовательно выполняются шесть операций преобразования данных, воспроизвести которые взломщику будет крайне затруднительно. Все преобразования в алгоритме Rijndael имеют строгое математическое обоснование. Сама структура и последовательность операций позволяют эффективно выполнять данный алгоритм как на 8-битовых, так и 32-битовых процессорах. В структуре алгоритма заложена возможность параллельного исполнения некоторых операций, что на многопроцессорных рабочих станциях может увеличить скорость шифрования в четыре раза. 1.3.6. Асимметричные системы с открытым ключом Математические основы шифрования с открытым ключом Центральным понятием криптографии с открытым ключом является понятие односторонней функции. Односторонней называется функция F : X → Y, обладающая двумя свойствами: • существует полиномиальный алгоритм вычисления значений F(x); 76


не существует полиномиального алгоритма инвертирования функции F (т.е. решения уравнения F(x) = y относительно x). Вопрос о существовании односторонних функций пока открыт. Частным случаем односторонней функции является так называемая функция с секретом (функция с ловушкой). Функцией с секретом K называется функция FK : X → Y, зависящая от параметра K и обладающая тремя свойствами: • при любом K существует полиномиальный алгоритм вычисления значений FK (x); • при неизвестном K не существует полиномиального алгоритма инвертирования FK (x); • при известном K существует полиномиальный алгоритм инвертирования FK (x). Про существование функций с секретом можно сказать то же самое, что сказано про односторонние функции. Для практических целей криптографии было построено несколько функций, которые могут оказаться функциями с секретом. Для них второе свойство пока строго не доказано, но считается, что задача инвертирования эквивалентна некоторой давно изучаемой трудной математической задаче. Наиболее известной и популярной из них является теоретико-числовая функция, на основе которой построен алгоритм RSA. Применение функций с секретом в криптографии позволяет: • организовать обмен шифрованными сообщениями с использованием только открытых каналов связи, т.е. отказаться от секретных каналов связи для предварительного обмена ключами; • включить в задачу вскрытия шифра трудную математическую задачу и тем самым повысить обоснованность стойкости шифра; • решать новые криптографические задачи, отличные от шифрования (цифровая подпись и др.). Для реализации обмена шифрованными сообщениями используется следующая схема. Пользователь А, который хочет получать шифрованные сообщения, должен выбрать какую-нибудь функцию FK с секретом K. Он сообщает всем заинтересованным (например, публикует) описание функции FK в качестве своего алгоритма шифрования. Но при этом значение секрета K никому не сообщает и держит в секрете. Если теперь пользователь В хочет послать пользователю А защищаемую информацию x ∈ X, то он вычисляет y = FK (x) и посылает y по открытому каналу пользователю А. Поскольку А для своего секрета K умеет инвертировать, то он вычисляет x по полученному y. Никто другой не знает K и поэтому в силу второго свойства функции с секретом не сможет за полиномиальное время по известному шифрованному сообщению FK (x) вычислить защищаемую информацию x. 77


На сегодняшний день для криптоаналитиков противника нет более эффективных алгоритмов действия при взломе систем с открытым ключом, чем дискретное логарифмирование, а это – вычислительно сложная задача. Под вычислительно сложной задачей понимают задачу, заведомо имеющую решение, но требующую для его нахождения выполнения чрезвычайно большого числа операций. Несмотря на то, что системы с открытым ключом хорошо зарекомендовали себя на практике, представляется маловероятным, что их когдалибо станут использовать для шифрования секретной информации на государственном уровне. Дело в том, что существует метод, развиваемый американским математиком Петером Шором (Peter Schoor), позволяющий разложить сколь угодно большие величины на составляющие, что является необходимой предпосылкой для вскрытия существующих сегодня шифров с открытым ключом, например, генерируемых на основе RSAалгоритмов. Единственная загвоздка, позволяющая пока еще спать спокойно тем, кто несет ответственность за миллиардные денежные потоки, – для реализации разработок Петера Шора неприменимы даже супермощные современные компьютеры. Только принципиально новая генерация ЭВМ, так называемые квантовые компьютеры, воспринимающие последовательность нулей и единиц не по принципу «есть ток – нет тока», а «квантовое состояние 1 – квантовое состояние 2» (т.е. различающих энергетические уровни ионов и электронов и поляризацию фотонов), сможет справиться с колоссальным объемом вычислений, порождаемых алгоритмом декодирования Шора. Кстати, эти алгоритмы пригодны только для вскрытия шифров – с их генерированием они не имеют ничего общего. Хотя появление квантовых компьютеров – дело относительно отдаленного будущего (сам П. Шор отводит на их разработку от 10 до 50 лет), резонанс, вызванный работами американца, уже привел к беспокойству в экономике, что соответственно дало импульсы развития в «лагере брони». «Шифровальщики уже трудятся над совершенствованием методик кодирования», – констатирует отец «виртуальной отмычки», получивший за свой вклад престижную премию на Международном математическом конгрессе, прошедшем в Берлине во второй половине августа 1999 года. Характеристика основных алгоритмов шифрования с открытым ключом Алгоритм RSA (Rivest, Shamir, Adleman) Алгоритм RSA является одним из первых алгоритмов шифрования с открытым ключом, который нашел практическое применение. Он был предложен в 1978 г. тремя авторами Рональдом Райвестом (Ronald Rivest), Ади Шамиром (Adi Shamir) и Леонардом Адлерманом (Leonard M. Adlerman) и получил название по первым буквам их фамилий. 78


Алгоритм RSA использует тот факт, что нахождение больших (например, 100-битных) простых чисел в вычислительном отношении осуществляется легко, однако разложение на множители произведения двух таких чисел в вычислительном отношении представляется невыполнимым. Алгоритм RSA принят в качестве следующих международных стандартов: ISO/IEC/DIS 9594-8 и X.509. В настоящее время Международная сеть электронного перечисления платежей SWIFT требует от банковских учреждений, пользующихся ее услугами, применения именно этого алгоритма криптографического преобразования информации. Алгоритм работает следующим образом: 1. Отправитель выбирает два очень больших простых числа P и Q и вычисляет два произведения N = PQ и M = (P - 1)(Q - 1). 2. Затем он выбирает случайное целое число D, взаимно простое с M, и вычисляет E, удовлетворяющее условию DE = 1 mod M. 3. После этого он публикует D и N как свой открытый ключ шифрования, сохраняя E как закрытый ключ. 4. Если S – сообщение, длина которого, определяемая по значению выражаемого им целого числа, должна быть в интервале (1, N), то оно превращается в шифровку возведением в степень D по модулю N и отправляется получателю S1 = SD mod N. 5. Получатель сообщения расшифровывает его, возводя в степень E по модулю N, так как S = S1E mod N = SDE mod N. Таким образом, открытым ключом служит пара чисел N и D, а секретным ключом число E. Смысл этой системы шифрования основан на так называемой малой теореме Ферма, которая утверждает, что при простом числе P и любом целом числе K, которое меньше P, справедливо тождество KP-1 = 1 mod P. Эта теорема позволяет определить, является ли какоелибо число простым или составным. Алгоритм Эль Гамаля Другим известным методом является предложенный в 1985 г. Тахером Эль Гамалем (Taher El Gamal) алгоритм Эль Гамаля, положенный в основу стандарта NIST (National Institute of Standards and Technology) – MD 20899. Алгоритм основан на возведении в степень по модулю большого простого числа. Для этого задается большое простое число P. Сообщения представляются целыми числами S из интервала (1, P). Оригинальный протокол передачи сообщения S выглядит в варианте А.Шамира следующим образом: 1. Отправитель А и получатель В знают лишь P. А генерирует случайное число X из интервала (1, P) и В тоже генерирует случайное число Y из того же интервала. 2. А шифрует сообщение S1 = SX mod P и посылает В. 79


3. В шифрует его своим ключом S2 = S1Y mod P и посылает S2 к А. 4. А «снимает» свой ключ S3 = S2 - X mod P и возвращает S3 к В. 5. Получатель В расшифровывает сообщение S = S3 - Y mod P. С точки зрения практической реализации как программным, так и аппаратным способом ощутимой разницы между алгоритмами Эль Гамаля и RSA нет. Однако в криптостойкости они заметно различаются. У алгоритма Эль Гамаля большая степень защиты, чем у алгоритма RSA, достигается с тем же по размеру N, что позволяет на порядок увеличить скорость шифрования и расшифрования. Она основана на том факте, что трудно найти показатель степени, в которую нужно возвести заданное число, чтобы получить другое, тоже заданное. В общем случае эта задача дискретного логарифмирования является более трудной, чем разложение больших чисел на простые множители. Если рассматривать задачу разложения произвольного целого числа длиной 512 бит на простые множители и задачу логарифмирования целых чисел по 512 бит, вторая задача, по оценкам математиков, несравненно сложнее первой. Однако есть одна особенность. Если в системе, построенной с помощью алгоритма RSA, криптоаналитику удалось разложить открытый ключ N одного из абонентов на два простых числа, то возможность злоупотреблений ограничивается только этим конкретным пользователем. В случае системы, построенной с помощью алгоритма Эль Гамаля, угрозе раскрытия подвергнутся все абоненты криптографической сети. 1.3.7. Составные криптографические системы. Алгоритм PGP (Pretty Good Privacy) Попытка объединить достоинства симметричных систем с секретным ключом и асимметричных систем с открытым ключом привела к появлению составных криптографических систем, одним из примеров которых является алгоритм PGP (Pretty Good Privacy), разработанный в 1991 году американским криптоаналитиком Филиппом Циммерманном (Philip R. Zimmermann). Последняя версия этого алгоритма (версия 6.5) вышла в свет в ноябре 1999 года. Алгоритм PGP (рис. 5) представляет собой сочетание симметричного алгоритма, используемого для передачи собственно сообщения и асимметричного алгоритма, используемого для передачи секретного ключа, которым оно было зашифровано (рис. 5). Он предоставляет выбор из ряда различных алгоритмов с секретным ключом, используемых для шифрования сообщений. PGP предоставляет три симметричных блочных шифра, включая CAST, тройной DES и IDEA. Эти алгоритмы не являются «до80


машними поделками»; все они разработаны командами криптоаналитиков с выдающейся репутацией. Все три шифра оперируют с 64-битными блоками открытого текста, причем алгоритмы CAST и IDEA оперируют с 128-битным ключом, а тройной DES – с ключом длиной 168 бит. Как и стандарт шифрования данных (DES), любой из этих шифров может использоваться в режимах сцепления блоков шифра CBC (Cipher Block Chaining) и обратной связи по шифртексту CFB (Cipher Feed Back). PGP использует их в режиме CFB с размером блока 64 бит. Алгоритм CAST включен в PGP, потому что он является многообещающим в качестве хорошего блочного шифра с 128-битной длиной ключа, а также потому, что он очень быстрый, и, кроме того, может быть использован бесплатно. Его название состоит из инициалов разработчиков, Каpлисла Адамса (Carliss Adams) и Стаффоpда Таваpеса (Stafford Tavares) из Northern Telecom (Nortel). Nortel подал патентную заявку на CAST, но разработчики сделали письменное заявление о том, что CAST может использоваться всеми на бесплатной основе. Специалистами в области криптографии CAST признан исключительно хорошо построенным алгоритмом. Он основан на формальном подходе, с использованием ряда математически доказуемых положений. Это позволяет предположить, что для взлома его 128-битного ключа требуется исчерпывающий перебор вариантов. Существуют достаточно весомые аргументы в пользу того, что CAST полностью иммунен как к линейному, так и к дифференциальному криптоанализу (двум самым мощным из опубликованных схем кpиптоанализа, обе из которых оказались достаточно эффективными для взлома DES).

81


Рис. 5. Использование алгоритма PGP

Открытые ключи, генерируемые PGP версии 5.0 или более ранних, содержат информацию, которая сообщает отправителю, какие из блочных шифров поддерживаются программным обеспечением получателя, так что программное обеспечение отправителя «знает», какие из шифров могут быть использованы. С открытыми ключами DSS/DH могут использоваться блочные шифры CAST, IDEA и тройной DES, причем CAST является выбором по умолчанию. С открытыми ключами RSA в настоящее время может использоваться только IDEA, так как ранние версии PGP поддерживают лишь RSA и IDEA. 1.3.8. Электронная цифровая подпись. Функция хэширования Понятие электронной цифровой подписи Схему для асимметричных систем с открытым ключом можно также использовать для электронной цифровой подписи (ЭЦП) сообщений, которую невозможно подделать за полиномиальное время. Пусть пользователю А необходимо подписать сообщение x. Он, зная секрет K, находит такое y, что FK (y) = x, и вместе с сообщением x посылает y пользователю В в качестве своей цифровой подписи. Пользователь В хранит y в качестве доказательства того, что А подписал сообщение x. 82


Сообщение, подписанное цифровой подписью, можно представлять себе как пару (x, y), где x – сообщение, y – решение уравнения FK (y) = x, FK : X → Y – функция с секретом, известная всем взаимодействующим абонентам. Из определения функции FK очевидны следующие достоинства цифровой подписи: • подписать сообщение x, т.е. решить уравнение FK (y) = x, может только абонент – обладатель данного секрета K; другими словами, подделать подпись невозможно; • проверить подлинность подписи может любой абонент, знающий открытый ключ, т.е. саму функцию FK; • при возникновении споров отказаться от подписи невозможно в силу ее неподделываемости; • подписанные сообщения (x, y) можно, не опасаясь ущерба, пересылать по любым каналам связи. Важным преимуществом асимметричных методов является возможность идентификации отправителя путем использования его электронной подписи. Идея технологии электронной подписи состоит в следующем. Отправитель передает два экземпляра одного сообщения: открытое и расшифрованное его закрытым ключом (т.е. обратно шифрованное). Получатель шифрует с помощью открытого ключа отправителя расшифрованный экземпляр. Если он совпадет с открытым вариантом, то личность и подпись отправителя считается установленной. Формально выражаясь, асимметричный метод обеспечивает реализацию электронной подписи при выполнении следующего тождества: E(D(T)) = D(E(T)) = T. При практической реализации электронной подписи также шифруется не все сообщение, а лишь специальная контрольная сумма – хэш (hash total), защищающая послание от нелегального изменения. Важно, что электронная подпись здесь гарантирует как целостность сообщения, так и удостоверяет личность отправителя. Вопросы реализации электронной подписи и вычисления ее хэша определены в отечественных стандартах «Информационная технология. Криптографическая защита информации», а именно: ГОСТ 34.10-94 «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма» [1, 2] и ГОСТ 34.1194 «Функция хэширования» [1, 3]. Отметим, что криптографические методы используются также для контроля целостности информации и программ. Для этого применяется шифрованная контрольная сумма исходного текста (имитоприставка), вычисленная с применением секретного ключа. В отличие от традиционной контрольной суммы, используемой для защиты от программно-аппаратных сбоев и ошибок, имитоприставка обес83


печивает практически абсолютную защиту как от непреднамеренной, так и преднамеренной модификации данных или программы. Механизм действия электронной цифровой подписи Рассмотрим на простом примере, как устроена исполнительная процедура электронной цифровой подписи. Предположим, есть два пользователя i и j, и один из них (пусть это будет пользователь i) решил послать другому важные данные, используя ЭЦП. Для этого пользователи должны выполнить следующие действия (рис. 3.1.6), состоящие из двух этапов: подготовительного и исполнения передачи.

Рис. 3.1.6. Схема алгоритма использования ЭЦП

На подготовительном этапе пользователь i создает пару своих личных ключей ЭЦП: секретный ключ Ksi и открытый ключ Kpi. Открытый ключ Kpi вычисляется из соответствующего ему секретного ключа; обратное же вычисление невозможно (аналогично тому, как это происходит с алгоритмами асимметричного шифрования – см. статью «Современные алгоритмы шифрования», BYTE/Россия № 8, 2003 или публикацию на Daily.Sec.Ru #12454). После этого пользователь i передает открытый ключ Kpi пользователю j. На этапе исполнения процедуры пользователь i перед отправкой сообщения подписывает его с помощью своего секретного ключа Ksi. Заметим, что пользователь j может проверить подпись пользователя i в сообщении с помощью Kpi – открытого ключа абонента i. Если же пользователь j тоже захочет ответить пользователю i подписанным сообщением, то он должен создать собственные ключи и передать пользователю i свой открытый ключ для проверки ЭЦП. 84


С теоретической точки зрения электронная подпись представляет собой последовательность фиксированной длины (длина эта зависит от конкретного алгоритма ЭЦП), которая вычисляется определенным образом с помощью содержимого подписываемой информации и секретного ключа. Секретный ключ ЭЦП также есть не что иное, как последовательность определенной длины. Это тот самый уникальный элемент, без знания которого невозможно подделать ЭЦП его владельца. Соответственно пользователь должен хранить свой секретный ключ таким образом, чтобы никто другой не смог «выведать» его значение. Если же у владельца ключа есть основания полагать, что ключ известен кому-либо еще, то такой секретный ключ ЭЦП считается скомпрометированным, и «потерпевший», допустивший компрометацию своего ключа, должен оповестить всех остальных корреспондентов, что его открытый ключ следует считать недействительным. После оповещения легко создать новую пару ключей ЭЦП, гарантирующую авторство писем. Механизмы такого оповещения определены, например, международным стандартом X.509. Если же этого не сделать, подпись «потерпевшего», утерявшего свой ключ, может появиться под любым электронным документом. И тогда, по аналогии с обычной подделкой документов, можно сказать, что злоумышленник, завладевший чужим ключом, научился удачно подделывать подпись его владельца, да вдобавок еще и получил возможность ставить его печать. Открытый ключ, наоборот, должен быть доступен всем, с кем данный корреспондент намерен обмениваться информацией, заверенной личной подписью. Например, он может храниться на каком-нибудь разделяемом ресурсе. Естественно, количество пользователей такой системы может быть сколь угодно большим; каждый из них (рис. 7) должен, во-первых, иметь и надежно хранить собственный секретный ключ, а во-вторых, получить доступ к открытым ключам остальных корреспондентов. Физическое представление ключей ЭЦП зависит от конкретной системы, поддерживающей использование ЭЦП. Чаще всего ключ записывается в файл, который в дополнение к самому ключу может содержать, например, информацию о пользователе – владельце ключа, о сроке действия ключа, а также некий набор данных, необходимых для работы конкретной системы.

85


Рис. 7. Распределение ключей ЭЦП

Данные о владельце ключа позволяют реализовать «побочную», но важную функцию ЭЦП – установление авторства, поскольку при проверке подписи сразу же становится ясно, кто подписал то или иное сообщение. Обычно программы, осуществляющие проверку ЭЦП, настраиваются так, чтобы результат исполнения появлялся на экране в удобном для восприятия виде и с указанием поставившего ЭЦП пользователя, например, так: «Подпись файла message.doc верна (Автор: Иванов Иван Иванович)». Функции хэширования Как и для всякой последовательности, существует формула вычисления ЭЦП, которую математически можно представить как S = f (h(M), Ks), где M – текст сообщения, Ks – секретный ключ, h(M) – функция хэширования. Согласно приведенной зависимости, для формирования ЭЦП в качестве исходного значения берется не само сообщение, а его хэш (результат обработки сообщения хэш-функцией). Дело в том, что заверяемый подписью текст может быть абсолютно произвольного размера: от пустого сообщения до многомегабайтного файла, содержащего, например, графическую информацию. Но практически все применяемые алгоритмы вычисления ЭЦП используют для расчета сообщения заранее заданной стандартной длины (например, в отечественном алгоритме ЭЦП ГОСТ Р 34.10-94 этот размер определен равным 32 байтам). Задача хэш-функции – из сообщения произвольной длины вычислить цифровую последовательность нужного размера (скажем, 32 байта). 86


И хотя задача такой хэш-функции вполне тривиальна, сама функция должна удовлетворять определенным требованиям. Прежде всего необходимо, чтобы результат (хэш-сообщения) однозначно соответствовал исходному сообщению и изменялся при любой модификации последнего, даже самой незначительной. Кроме того, хэш сообщения должен вычисляться таким образом, чтобы для любого сообщения M было бы невозможно подобрать такое сообщение M', для которого h(M) = h(M'). Другими словами, трудоемкость успешного вычисления сообщения M' по известному сообщению M и его хэшу h(M), удовлетворяющего условию h(M') = h(M), должна быть эквивалентна трудоемкости прямого перебора сообщений. Невыполнение этого условия создало бы возможность для злоумышленника подменять сообщения, оставляя их подпись верной. С другой стороны, очевидно, что хэш будет одинаков для многих сообщений, поскольку множество возможных сообщений существенно больше множества возможных хэш-значений (действительно, количество сообщений безгранично, а количество хэш-значений ограничено числом 2N, где N – длина хэш-значения в битах). К числу наиболее известных функций хэширования принадлежат следующие: • Отечественный стандарт ГОСТ Р 34.11-94. Вычисляет хэшзначение размером 32 байта. • MDx (Message Digest) – семейство алгоритмов хэширования, которые наиболее распространены за рубежом. Например, алгоритм MD5 применяется в последних версиях Microsoft Windows для преобразования пароля пользователя в 16-байтное число. • SHA-1 (Secure Hash Algorithm) – алгоритм вычисления 20байтного хэш-значения входных данных. Он также очень широко распространен в мире, преимущественно в сетевых протоколах защиты информации. Помимо средства для создания ЭЦП, хэш-функции успешно используются для аутентификации пользователей. Существует немало криптографических протоколов аутентификации, основанных на применении хэш-функций. Хэширование по ГОСТ Р 34.11-94 Чтобы обеспечить невозможность подбора сообщений с одинаковым хэш-значением, отечественный стандарт хэширования ГОСТ Р 34.11-94 шифрует исходные данные, используя другой отечественный криптостандарт ГОСТ 28147-89. Процедура вычисления хэш-значения содержит несколько шаговэтапов.

87


На начальном этапе (шаг 1) инициализируется регистр хэш-значения. Если длина сообщения не превышает 256 бит, осуществляется переход к шагу 3, в противном случае – к шагу 2. На шаге 2 выполняется итеративное вычисление хэш-значения блоков хэшируемых данных по 256 бит с использованием хранящегося в регистре хэш-значения предыдущего блока. Набор операций включает генерацию ключей шифрования на основе блока хэшируемых данных, зашифрование хранящегося в регистре хэш-значения (в виде четырех блоков по 64 бит) по алгоритму ГОСТ 28147-89 в режиме простой замены и перемешивание результата. Процедура шага 2 повторяется до тех пор, пока длина необработанных входных данных не станет меньше или равной 256 бит, после чего происходит переход к шагу 3. Шаг 3 включает несколько операций. Прежде всего при необходимости необработанная часть сообщения дополняется до 256 бит битовыми нулями. Затем вычисляется хэш-значение (см. шаг 2), которое и есть результат – хэш сообщения. Используемые алгоритмы ЭЦП Алгоритм RSA Разработанный в 1978 г. алгоритм асимметричного шифрования RSA был первым, который стал широко применяться и для вычисления ЭЦП. Его характерная особенность – использование одной и той же схемы и для асимметричного шифрования, и для создания ЭЦП (асимметричное шифрование с помощью RSA подробно описано в статье «Современные алгоритмы шифрования», BYTE/Россия № 8, 2003). Рассмотрим базовые характеристики алгоритма асимметричного шифрования RSA. Его основной параметр – модуль системы: N = P × Q, где P и Q – случайные большие простые числа. Секретный ключ Ks выбирается случайным образом, а открытый ключ Kp вычисляется по секретному из соотношения: (Ks × Kp) = 1 mod F(N), где F(N) – значение функции Эйлера. Рассмотрим применение алгоритма RSA для формирования ЭЦП на примере вычисления и проверки электронной подписи (S) сообщения M. Первый шаг – вычисление хэша сообщения m = h(M), который затем шифруется на секретном ключе Ks (вспомним, что при шифровании по алгоритму RSA для зашифрования используется открытый ключ!). Для алгоритма ЭЦП RSA S = mKs mod N. Получатель, желающий проверить значение S сообщения M, также вычисляет хэш сообщения по формуле m = h(M) и расшифровывает S с помощью открытого ключа Kp, используя асимметричный алгоритм шифрования RSA, согласно выражению m' = SKp mod N. 88


Если m' = m, ЭЦП сообщения признается верной. В противном случае подпись считается поддельной и делается вывод о том, что целостность сообщения нарушена. Итак, в криптосистеме RSA секретный ключ используется для вычисления ЭЦП или для расшифрования сообщений, а открытый – для проверки ЭЦП или зашифрования сообщений. Следует отметить и ряд недостатков, свойственных формированию ЭЦП с использованием RSA, причем часть из них унаследована от используемого алгоритма шифрования RSA. Среди последних стоит упомянуть о том, что ЭЦП RSA уязвима к мультипликативной атаке, т. е. алгоритм ЭЦП RSA позволяет злоумышленнику, даже не зная секретный ключ Ks, вычислить подписи сообщений, результат хэширования которых совпадает с произведением результатов хэширования подписанных ранее сообщений. Рассмотрим три сообщения M1, M2 и M3, обладающих следующими свойствами: m1 = h(M1), m2 = h(M2), m3 = h(M3); m3 = m1× m2 mod N. При этом допустим, что злоумышленник имеет реальные подписи (т.е. вычисленные законным владельцем ключа Ks) сообщений M1 и M2: S1 = m1Ks mod N; S2 = m2Ks mod N. Тогда определить подпись сообщения M3 не составит труда: S3 = S1 × S2 mod N, поскольку S1×S2 mod N = mKs×m 2Ks mod N = (m1×m2)Ks mod N = m3Ks mod N = S3. Несмотря на кажущуюся простоту этой операции, имея всего лишь два подписанных сообщения, атаку осуществить достаточно сложно, поскольку необходимо еще и подобрать сообщение с нужным правильным хэшем. Однако с увеличением количества сообщений, подписанных владельцем ключа Ks, сложность подбора существенно снижается, причем нелинейно. Существует и еще одна, не менее важная проблема, которую можно отнести к недостаткам применения данного метода формирования ЭЦП, – проблема нецелевого использования секретного ключа. Предположим, среди знакомых некоего пользователя – владельца секретного ключа Ks – завелся злоумышленник. Под каким-либо предлогом этот мошенник просит пользователя расшифровать своим ключом Ks по алгоритму асимметричного шифрования RSA некое зашифрованное сообщение С. Доверчивый пользователь расшифровывает это сообщение с помощью формулы M = CKs mod N и отсылает результат (расшифрованное сообщение) злоумышленнику. 89


На первый взгляд, опасности никакой нет. Однако при внимательном рассмотрении видно, что M – это, по сути, значение ЭЦП сообщения, хэш которого равен C. Следовательно, легальный пользователь поставил свою подпись под неким сообщением и отправил ее злоумышленнику! Известно, что одна из наиболее серьезных проблем обеспечения информационной безопасности – низкая квалификация пользователей, и можно еще добавить: их удивительная беспечность, а также беззащитность многих из них перед методами социальной инженерии. Несмотря на кажущуюся надуманность описанной в данном примере атаки, подобные инциденты встречаются достаточно часто, и атака, к сожалению, бывает успешной. В качестве меры противодействия описанному здесь трюку пользователям алгоритма RSA рекомендуется применять для собственно асимметричного шифрования и для ЭЦП разные пары ключей, и уж непременно использовать все ключи только по назначению. Как упоминалось выше, в файле, где хранится ключ, существуют дополнительные поля, содержимое которых несет в себе различную функциональность. Открытый ключ наиболее употребляемого в мире формата (X.509 версии 3) обязательно сопровождается кодом назначения ключа, т.е. указывает, служит ли данный конкретный ключ ключом для асимметричного шифрования или для формирования ЭЦП. Продолжая примеры «излишней доверчивости», предположим, что ключ Ks, которым пользователь расшифровал присланное злоумышленником сообщение C, имеет парный открытый ключ Kp. А в структуре последнего указано, что он предназначен для ассиметричного шифрования, но не для создания ЭЦП. «Правильное» программное обеспечение просто не позволит применять такой ключ для проверки ЭЦП, а вычисленная с помощью ключа Ks ЭЦП никогда не будет признана верной – по причине иного назначения ключа. А значит, и подпись получена обманным путем. Возможна, конечно, и ошибка при создании ЭЦП легального сообщения, но в этом случае отправителю потребуется еще раз подписать сообщение ключом, предназначенным для ЭЦП. Алгоритм DSA Алгоритм DSA (Digital Signature Algorithm) был разработан в 1981 г. и с тех пор используется как стандарт США для электронной цифровой подписи – Digital Signature Standard (DSS). Согласно определению стандарта DSS, алгоритм DSA предусматривает применение в качестве хэшфункции алгоритма SHA. Заметим, что параметры алгоритма не засекречены. DSA базируется на применении больших простых чисел одинаковой размерности (от 512 бит) – G и P. Среди его параметров присутствует и 90


простое число q размерностью 160 бит – делитель числа (P – 1). Что же касается секретного ключа Ks, то он представляет собой целое число, случайно выбираемое из диапазона 1: Kp = GKs mod P. Вычисление ЭЦП согласно алгоритму DSA и ее проверка приведены в табл. 3.1.5. Таблица 5

Процедуры вычисления ЭЦП и ее проверки согласно алгоритму DSA

Существует строгое математическое доказательство, что условие v = r выполняется тогда и только тогда, если подпись (r, s) вычислена для сообщения M именно с помощью ключа Ks, на основании которого был определен использованный при проверке ключ Kp. Если же сообщение было изменено в процессе передачи, то значения m и u1 (которое зависит от m) будут неверными, и в итоге значения v и r не совпадут. По сравнению с описанным выше алгоритмом RSA у DSA есть ряд достоинств. Во-первых, при любом достижимом уровне криптостойкости, который определяется размерностью чисел P и Q, числа q, Ks, r, s имеют фиксированную размерность (каждое по 160 бит), поэтому и ЭЦП присуща фиксированная размерность – 320 бит. Отсюда следует, что время вычислений для DSA существенно меньше, чем при использовании, например, RSA с тем же уровнем криптостойкости. Во-вторых, при проверке ЭЦП большинство операций с числами w, u1, u2, s также выполняются по модулю 160 бит, что в свою очередь сокращает объем требуемых ресурсов. Однако не бывает объекта без недостатков. Для DSA это наличие в нем ресурсоемких операций определения обратных величин по модулю q. Однако данный «минус» вполне компенсируется применением так называемых предвычислений (т.е. выполнением части вычислений заранее). 91


В частности, можно предварительно сгенерировать массив случайных значений x и вычислить для всех x этого массива обратные величины 1/x. Кроме того, поскольку значение r не зависит от хэша подписываемого сообщения (т. е. от самого сообщения), удобно заранее вычислить и набор значений r как r = (Gx mod P) mod q. ГОСТ Р 34.10-94 на алгоритм ЭЦП По своей структуре алгоритм, определенный в отечественном стандарте ГОСТ Р 34.10-94, весьма схож с описанным выше DSA. Параметры его также не секретны: p – большое простое число размерностью 512 или 1024 бит (значение больше 2509 или 21020 соответственно); q – делитель (p – 1), простое число размерностью 256 бит (значение больше 2254); a – любое число, отвечающее условиям 1 < Aq mod p = 1. Секретный ключ Ks выбирается случайным образом из диапазона 0 < KSKs mod p. Процедуры вычисления и проверки ЭЦП по алгоритму ГОСТ Р 34.10-94 приведены в табл. 6. Таблица 6 Процедуры вычисления ЭЦП и ee проверки по алгоритму ГОСТ Р 34.10-94

Различия между алгоритмами DSA и ГОСТ Р 34.10-94 весьма незначительны и в основном технические. Во-первых, в них по-разному вычисляется значение s, и соответственно применяются другие формулы для проверки ЭЦП. Во-вторых, алгоритм ГОСТ Р 34.10-94 имеет существенно 92


больший запас стойкости по сравнению с DSA, поскольку основной параметр первого, q, имеет размерность 256 бит, а параметры DSA ограничены длиной в 160 бит. Заметим, что в стандарте ГОСТ Р 34.10-94, кроме описания данного алгоритма формирования и проверки ЭЦП и контрольного примера, с помощью которого можно по шагам проверить корректность реализации алгоритма, содержатся также процедуры генерации параметров a, p и q (а это весьма нетривиальная математическая задача). Новый отечественный стандарт на алгоритм ЭЦП В 2001 г. был принят новый отечественный стандарт на алгоритм формирования и проверки ЭЦП. Его принципиальное отличие от старого ГОСТ Р 34.10-94 состоит в том, что все специфицированные в нем вычисления исполняются в группе точек эллиптической кривой, определенной над конечным полем Fp. Принадлежность точки (пары чисел x и y) данной группе определяется соотношением y2 ≡ x3+ ax + b mod p. При этом простое число p > 3, а a и b – константы, удовлетворяющие условиям: a < p, b < p; 3 4a + 27b2 ≠ 0 mod p. Дальнейшие математические подробности читатель может найти в тексте стандарта – ГОСТ Р 34.10-2001. Хотелось бы только добавить, что, во-первых, принципы вычислений по данному алгоритму аналогичны применяемым в предыдущем стандарте ГОСТ Р 34.10-94. Сначала генерируется случайное число x, с его помощью вычисляется r-часть ЭЦП, затем s-часть ЭЦП вычисляется из r-части, значения x, значения секретного ключа и хэш-значения подписываемых данных. При проверке же подписи аналогичным образом проверяется соответствие определенным соотношениям r, s, открытого ключа и хэш-значения информации, подпись которой проверяется. Подпись считается неверной, если соотношения неверны. Есть и еще один нюанс. «Старый» ГОСТ Р 34.10-94 не отменен, и в настоящее время параллельно действуют два отечественных стандарта на ЭЦП. Справедливости ради следует заметить, что для прежнего ГОСТа принято одно ограничение: при реализации ЭЦП по стандарту ГОСТ Р 34.10-94 разрешено использовать только 1024-битные значения параметра p. В перспективе криптосистемы на основе эллиптических кривых, вероятно, вытеснят существующие алгоритмы ЭЦП, асимметричного шифрования и выработки ключей парной связи (когда ключ для шифрования информации между двумя конкретными пользователями вычисляется из секретного ключа отправителя информации и открытого ключа получате93


ля). И тому есть веские основания. Алгоритмы на базе эллиптических кривых позволяют заметно сократить время вычислений без потерь криптостойкости или соответственно увеличить уровень защиты при тех же временных затратах. К сожалению, использование ЭЦП связано со своими, весьма серьезными проблемами. Наиболее острая аналогична «основному вопросу» асимметричного шифрования: как убедиться, что открытый ключ для проверки ЭЦП действительно принадлежит лицу, поставившему подпись, а не подменен злоумышленником по дороге? Ведь успешная подмена открытого ключа ложным позволит злоумышленнику легко подделать вожделенную подпись. Конечно, есть и «противоядия» – методы борьбы с подменой открытых ключей, например, их сертификация. Но это влечет за собой все большее и большее усложнение механизмов защиты. 1.3.9. Основные типы криптоаналитических атак Фундаментальное правило криптоанализа, впервые сформулированное голландцем А. Керкхоффом еще в XIX веке, заключается в том, что стойкость шифра (криптосистемы) должна определяться только секретностью ключа. Иными словами, правило Керкхоффа состоит в том, что весь алгоритм шифрования, кроме значения секретного ключа, известен криптоаналитику противника. Это обусловлено тем, что криптосистема, реализующая семейство криптографических преобразований, обычно рассматривается как открытая система. Такой подход отражает очень важный принцип технологии защиты информации: защищенность системы не должна зависеть от секретности чего-либо такого, что невозможно быстро изменить в случае утечки секретной информации. Обычно криптосистема представляет собой совокупность аппаратных и программных средств, которую можно изменить только при значительных затратах времени и средств, тогда как ключ является легко изменяемым объектом. Именно поэтому стойкость криптосистемы определяется только секретностью ключа. Другое почти общепринятое допущение состоит в том, что криптоаналитик имеет в своем распоряжении шифртексты сообщений. Существует четыре основных типа криптоаналитических атак. При этом все они формулируются в предположении, что криптоаналитику известны применяемый алгоритм шифрования и шифртексты сообщений. Криптоаналитическая атака при наличии только известного шифртекста Криптоаналитик имеет только шифртексты C1, C2, …, Ci нескольких сообщений, причем все они зашифрованы с использованием одного и того 94


же алгоритма шифрования Ek. Работа криптоаналитика заключается в том, чтобы раскрыть исходные тексты M1, M2, …, Mi по возможности большинства сообщений или, еще лучше, вычислить ключ K, использованный для шифрования этих сообщений, для того, чтобы расшифровать и другие сообщения, зашифрованные этим шифром. Вариант соответствует модели внешнего нарушителя, который имеет физический доступ к линии связи, но не имеет доступ к аппаратуре шифрования и дешифрования. Криптоаналитическая атака при наличии известного открытого текста Криптоаналитик имеет доступ не только к шифртекстам C1, C2, …, Ci и нескольких сообщений, но также к открытым текстам M1, M2, …, Mi этих сообщений. Его работа заключается в нахождении ключа K, используемого при шифровании этих сообщений, или алгоритма расшифрования Dk любых новых сообщений, зашифрованных тем же ключом, причем все они зашифрованы с использованием одного и того же алгоритма шифрования Ek. Возможность проведения такой атаки складывается при шифровании стандартных документов, подготавливаемых по стандартным формам, когда определенные блоки данных повторяются и известны. Он также применим при использовании режима глобального шифрования, когда вся информация на встроенном магнитном носителе записывается в виде шифртекста, включая главную корневую запись, загрузочный сектор, системные программы и пр. При хищении этого носителя (или компьютера) легко установить, какая часть криптограммы соответствует системной информации и получить большой объем известного исходного текста для выполнения криптоанализа. Криптоаналитическая атака при возможности выбора открытого текста Криптоаналитик не только имеет доступ к шифртекстам C1, C2, …, Ci и связанным с ними открытым текстам M1, M2, …, Mi этих сообщений, но и может по желанию выбирать открытые тексты, которые затем получает в зашифрованном виде. Такой криптоанализ получается более мощным по сравнению с криптоанализом с известным открытым текстом, потому что криптоаналитик может выбрать для шифрования такие блоки открытого текста, которые дадут больше информации о ключе. Работа криптоаналитика состоит в поиске ключа K, использованного для шифрования сообщений, или алгоритма расшифрования Dk новых сообщений, зашифрованных тем же ключом. Этот вариант атаки соответствует модели внутреннего нарушителя. На практике такая ситуация может возникнуть при вовлечении в криптоатаку лиц, которые не знают секретного ключа, но в силу своих служебных 95


полномочий имеют возможность использовать шифрование для передачи своих сообщений. Криптоаналитическая атака с адаптивным выбором открытого текста Это – особый вариант атаки с выбором открытого текста. Криптоаналитик может не только выбирать открытый текст, который затем шифруется, но и изменять свой выбор в зависимости от результатов предыдущего шифрования. При криптоанализе с простым выбором открытого текста криптоаналитик обычно может выбирать несколько крупных блоков открытого текста для их шифрования; при криптоанализе с адаптивным выбором открытого текста он имеет возможность выбрать сначала более мелкий пробный блок открытого текста, затем выбрать следующий блок в зависимости от результатов первого выбора и т.д. Эта атака предоставляет криптоаналитику еще больше возможностей, чем предыдущие типы атак. Кроме перечисленных основных типов криптоаналитических атак, можно отметить, по крайней мере, еще один тип. Криптоаналитическая атака с использованием выбранного шифртекста Криптоаналитик может выбирать для расшифрования различные шифртексты и имеет доступ к расшифрованным открытым текстам. Например, криптоаналитик получил доступ к защищенному от несанкционированного вскрытия блоку, который выполняет автоматическое расшифрование. Работа криптоаналитика заключается в нахождении ключа. Этот тип криптоанализа представляет особый интерес для раскрытия алгоритмов с открытым ключом. Существуют и другие, менее распространенные типы криптоаналитических атак. Рассмотрим основные классические методы криптоанализа. Метод полного перебора всех возможных ключей Этот метод предполагает использование криптоаналитиком известного шифртекста и осуществляется посредством полного перебора всех возможных ключей с проверкой, является ли осмысленным получающийся открытый текст. Такой подход требует привлечения предельных вычислительных ресурсов и иногда называется силовой атакой. Дифференциальный метод В 1990 г. Эли Бихам (Alli Bikham) и Ади Шамир (Adi Shamir) ввели понятие дифференциального криптоанализа. Это новый, ранее неизвестный метод криптоанализа, который был значительно эффективнее, чем метод перебора всех возможных ключей. Дифференциальный криптоанализ работает с парами шифртекстов, открытые тексты которых содержат определенные отличия. Метод анали96


зирует эволюцию этих отличий в процессе прохождения открытых текстов через этапы шифрования с одним и тем же ключом. Проще говоря, выбираются два открытых текста с фиксированным различием. Можно выбрать тексты случайно, лишь бы они отличались друг от друга определенным образом. Криптоаналитику даже не нужно знать их значения. Затем, используя различия в получившихся шифртекстах, присваиваются различные вероятности различным ключам. В процессе дальнейшего анализа следующих пар шифртекстов один из ключей станет наиболее вероятным. Это и есть правильный ключ. Определенные различия пар открытых текстов обладают высокой вероятностью вызвать определенные различия получаемых шифртекстов. Эти различия называют характеристиками. Характеристики распространяются на определенное количество этапов шифрования и, по существу, определяют прохождение этих этапов. Существует входное различие, различие на каждом этапе и выходное различие – с определенной вероятностью. Пара открытых текстов, соответствующих характеристике, называется правильной парой, а пара несоответствующих – неправильной парой. Правильная пара подсказывает правильный ключ этапа (для последнего этапа характеристики), неправильная пара – случайный ключ этапа. Чтобы найти правильный ключ этапа, нужно просто собрать достаточное количество предположений. Один из подключей будет встречаться чаще, чем все остальные. Фактически правильный подключ возникнет из всех случайных возможных подключей. Остальные биты полного ключа получаются с помощью «силовой атаки». Однако существует ряд проблем. Во-первых, пока не будет достигнуто некоторое пороговое значение, вероятность успеха пренебрежимо мала. То есть пока не будет накоплено достаточное количество данных, выделить правильный подключ из шума невозможно. Кроме того, такое вскрытие непрактично. Для хранения вероятностей возможных ключей необходимо использовать счетчики, и к тому же для вскрытия требуется слишком много данных. Таким образом, вскрытие является в значительной степени теоретическим. Огромные требования к времени и объему данных, необходимых для выполнения вскрытия с помощью дифференциального криптоанализа, находятся почти вне пределов досягаемости. Кроме того, это прежде всего вскрытие с выбранным открытым текстом. Оно может быть преобразовано к вскрытию с известным открытым текстом, но для этого придется просмотреть все пары открытый текст – шифртекст в поисках полезных пар. Все это делает вскрытие с помощью дифференциального анализа лишь чуть более эффективным по сравнению с методом силовой атаки. 97


Метод криптоанализа со связанными ключами Этот метод похож на дифференциальный криптоанализ, но он изучает различия между ключами. Криптоаналитик выбирает связь между парой ключей, но сами ключи остаются ему неизвестными. Затем данные шифруются обоими ключами. В варианте с известным открытым текстом криптоаналитику известны открытый текст и шифртекст данных, шифрованный двумя ключами. В варианте с выбранным открытым текстом криптоаналитик пытается выбрать открытый текст, зашифрованный двумя ключами. Это вскрытие не зависит от количества этапов шифрования, но также не может быть реализуем на практике. Метод линейного криптоанализа Данный метод изобретенный Мицуру Мацуи представляет собой принципиально иной метод криптоаналитического вскрытия. Вскрытие использует линейные приближения для описания работы блочного шифра. Это означает, что, если выполнить операцию XOR над некоторыми битами открытого текста, затем над некоторыми битами шифртекста, а затем над результатами, получится бит, который представляет собой XOR некоторых битов ключа. Это называется линейным приближением, которое может быть верным с некоторой вероятностью Р. Если Р ≠ ½, то это смещение считается применимым. Можно использовать собранные открытые тексты и связанные шифртексты для предположения о значениях битов ключа. Чем больше данных, тем вернее предположение, чем больше смещение, тем быстрее вскрытие увенчается успехом. Контрольные вопросы к разделу 1 1. Является ли информация, содержащаяся в базах данных, элементом информационной системы? 2. Перечислить состав информационно-телекоммуникационной сети. 3. Может ли общественная организация быть обладателем информации? 4. Содержит ли понятие информационная безопасность свойство запрещения неавторизованного доступа к какой-либо информации личного характера? 5. Тождественны ли понятия информационная безопасность и компьютерная безопасность? 6. Является ли реализация права доступа к информации мерой защиты информации? 7. Возможно ли ограничение несанкционированного доступа к данным на этапе их уничтожения? 8. Раскрыть понятие канала утечки информации. 98


9. Перечислить основные направления обеспечения информационной безопасности? 10. Раскрыть понятие информационной безопасности объекта. 11. Дать определение понятию конфиденциальность информации. 12. Дать определение понятиям доступность информации, целостность информации. 13. Дать определение понятиям угроза, уязвимость, атака. 14. Перечислить внешние источники угроз информационной безопасности. 15. Перечислить внутренние источники угроз информационной безопасности. 16. Назвать виды угроз информационной безопасности. 17. Перечислить целевые характеристики угроз информационной безопасности. 18. Дать классификацию каналов утечки информации с учетом физической природы их образования. 19. Назвать категории внутренних злоумышленников? 20. Перечислить основные направления деятельности по защите информации. 21. Перечислить мероприятия правового обеспечения защиты информации. 22. Перечислить мероприятия организационного обеспечения защиты информации. 23. Перечислить мероприятия технического обеспечения защиты информации. 24. Основные способы защиты информации. 25. Основные способы защиты информации. Препятствия. 26. Основные способы защиты информации. Управление доступом. 27. Основные способы защиты информации. Маскировка. 28. Основные способы защиты информации. Регламентация. 29. Основные способы защиты информации. Принуждение. 30. Основные способы защиты информации. Побуждение. 31. Основные средства защиты информации. 32. Содержание правового обеспечения информационной безопасности. 33. Методы правового обеспечения информационной безопасности. 34. Уголовный кодекс РФ. Ответственность за нарушение прав по защите информации. 35. Ответственность за неправомерный доступ к компьютерной информации. 36. Ответственность за создание, использование и распространение вредоносных программ для ЭВМ. 99


37. Ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. 38. Нормы Гражданского кодекса РФ по защите информации. 39. Закон РФ «О государственной тайне». Понятие государственная тайна. 40. Закон РФ «О государственной тайне». Понятие доступ к сведениям, составляющим государственную тайну. 41. Закон РФ «О государственной тайне». Понятие гриф секретности. 42. Закон РФ «О государственной тайне». Понятие средства защиты информации. 43. Принципы засекречивания сведений. 44. Сведения, не подлежащие засекречиванию. 45. Степени секретности сведений, составляющих государственную тайну. 46. Грифы секретности для носителей сведений, составляющих государственную тайну. 47. Реквизиты носителей сведений, составляющих государственную тайну. 48. Порядок допуска должностных лиц и граждан к государственной тайне. 49. Условия выдачи организации лицензии на проведение работ с использованием сведений, составляющих государственную тайну. 50. Закон РФ «Об информации, информационных технологиях и о защите информации». Классификация информации по ее распространению. 51. Обязанности обладателя информации. 52. Классификация сведений конфиденциального характера. 53. Направления защиты информации от НСД. 54. Содержат ли СВТ пользовательскую информацию? 55. Свойства АС. 56. Понятие несанкционированного доступа. 57. Основные принципы защиты информации СВТ и АС от НСД. 58. Свойства системы разграничения доступа. 59. Понятие нарушителя при эксплуатации СВТ и АС. 60. Уровни возможностей нарушителей. 61. Свойства дискреционного управления доступом. 62. Свойства мандатного управления доступом. 63. Классы защищенности СВТ. 64. Признаки классификации АС. 65. Классы защищенности АС от НСД к информации. 100


66. Группы АС по защищенности от НСД. 67. Предназначение межсетевого экрана МЭ. 68. Классы защищенности МЭ. 69. Требования к МЭ по защищенности при включении МЭ в состав АС. 70. Понятие и состав системы управления ИБ организации. 71. Состав задач Службы информационной безопасности организации. 72. Структура органов управления ИБ организации. 73. Принципы построения ИБ организации. 74. Классификация и состав НМД по ИБ организации. 75. Алгоритм анализа уязвимости объекта. 76. Состав информационно-аналитической модели объекта защиты. 77. Состав плана защиты объекта информации. 78. Состав аппаратно-программных методов и средств обеспечения ИБ. 79. Понятия криптологии, криптографии, криптоанализа. 80. Понятие шифра, ключа, гаммирования. 81. Классификация криптографических методов и алгоритмов. 82. Технология симметричного (с секретным ключом) метода шифрования. 83. Технология ассимметричного (с открытым ключом) метода шифрования. 84. Способы шифрования с секретным ключом. 85. Способы шифрования с открытым ключом. 86. Схема алгоритма использования ЭЦП. 87. Предназначение функции хэширования. 88. Алгоритмы ЭЦП. 89. Классификация основных типов криптоаналитических атак. 90. Классификация методов криптоанализа.

101


2. СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Целью изучения данного раздела учебного пособия является приобретение магистрантами следующих уровней компетенций: Иметь представление: • о системе лицензирования и сертификации в сфере информационной безопасности; • о требованиях к корпоративным системам обеспечения информационной безопасности; • о современных направлениях развития и совершенствования систем корпоративного управления; • о месте и роли управления рисками информационной безопасности в обеспечении безопасности информационных систем; • о технологии проектирования корпоративных систем управления с использованием программных инструментальных средств; • о системе стандартизации в сфере информационной безопасности; • о новых методах и технологиях построения и эксплуатации корпоративных систем информационной безопасности. Знать: • положения руководящих документов по защите информации корпоративных информационных систем от несанкционированного доступа; • содержание управления информационной безопасностью; • особенности разработки и модернизации корпоративных систем обеспечения информационной безопасности; • терминологию построения и эксплуатации корпоративных систем информационной безопасности с привязкой к объектам профессиональной деятельности; • термины и определения в сфере информационной безопасности; • методы оценки эффективности ИТ-решений; • методические подходы к оценке рисков информационной безопасности; • системы защиты информации (методологические, методические, процедурные вопросы) на уровне общего понимания процессов (комплексы технических и программных средств поддержки и организации: технологии, оборудование, решения); • нормы, правила и принципы подготовки разрешительной и технической документации. 102


Уметь: • проводить системно-аналитическое обследования корпоративных систем управления; • анализировать требования руководящих документов и заказчика по построению корпоративных систем информационной безопасности; • оценивать риски информационной безопасности; • выбирать организационные меры и технические методы обеспечения информационной безопасности согласно обстоятельствам; • использовать современные методологии по ИТ-управлению; • использовать стандарты безопасности информационных технологий при разработке и модернизации корпоративных систем обеспечения информационной безопасности; • сободно оперировать терминами в сфере информационной безопасности.

2.1. Система лицензирования и сертификации в сфере информационной безопасности 2.1.1. Основные руководящие документы, определяющие порядок лицензирования и сертификации в области защиты информации Не проходящий и не снижающийся интерес к проблеме лицензирования и сертификации в области защиты информации, несмотря на относительно большой объем публикаций по данному вопросу, объясняется тем, что происходящие в стране процессы существенно затронули организацию системы защиты информации во всех ее сферах – разработки, производства, реализации, эксплуатации средств защиты, подготовки соответствующих кадров. Прежние традиционные подходы в современных условиях уже не в состоянии обеспечить требуемый уровень безопасности государственно-значимой и частной конфиденциальной информации, циркулирующей в информационно-телекоммуникационных системах страны. Существенным фактором, до настоящего времени оказывающим значительное влияние на положение дел в области защиты информации, является то, что до начала 1990-х годов нормативное регулирование в данной области оставляло желать лучшего. Цели защиты информации в нашей стране достигались главным образом за счет реализации принципа «максимальной секретности», в соответствии с которым доступ ко многим видам информации был просто ограничен. Никаких законодательных и других нормативных актов, определяющих защиту информационных прав негосударственных организаций и отдельных граждан, не существовало. Средства криптографической защиты информации использовались только 103


в интересах государственных органов, а их разработка была прерогативой исключительно специальных служб и немногих специализированных государственных предприятий. Указанные предприятия строго отбирались и категорировались по уровню доступа к разработке и производству этих средств. Сами изделия тщательно проверялись компетентными государственными органами и допускались к эксплуатации исключительно на основании специальных заключений этих органов. Любые работы в области криптографической защиты информации проводились на основании утвержденных Правительством страны специальных секретных нормативных актов, полностью регламентировавших порядок заказа, разработки, производства и эксплуатации шифровальных средств. Сведения об этих средствах, их разработке, производстве и использовании как в стране, так и за рубежом были строго засекречены, а их распространение предельно ограничено. Даже простое упоминание о криптографических средствах в открытых публикациях было запрещено. В настоящее время можно отметить, что правовое поле в области защиты информации получило достаточно весомое заполнение. Конечно, нельзя сказать, что процесс построения цивилизованных правовых отношений успешно завершен и задача правового обеспечения деятельности в этой области уже решена. Важно другое – на наш взгляд, можно констатировать, что имеется неплохая законодательная база, вполне позволяющая, с одной стороны, предприятиям осуществлять свою деятельность по защите информации в соответствии с требованиями действующих нормативных актов, а с другой – уполномоченным государственным органам на законной основе регулировать рынок соответствующих товаров и услуг, обеспечивая необходимый баланс интересов отдельных граждан, общества в целом и государства. Нормы и требования российского законодательства в области лицензирования и сертификации включают в себя положения ряда нормативных актов Российской Федерации различного уровня. Первым по времени открытым правовым нормативным актом, регулирующим вопросы оборота средств криптографической защиты информации, является принятое 28 мая 1991 года постановление Верховного Совета СССР № 2195-1 «О видах деятельности, которыми предприятия вправе заниматься только на основании специальных разрешений (лицензий)». Этим документом был утвержден перечень отдельных видов деятельности, которыми предприятия на территории страны вправе заниматься только при наличии у них специального разрешения или лицензии. В частности, к таким видам деятельности данное постановление относит и производство, ремонт, реализацию и эксплуатацию шифровальной техники. Указом Президента РФ от 5 января 1992 года № 9 для выполнения работ по руководству разработкой, производством, реализацией, внедре104


нием и эксплуатацией в государственных организациях технических и программных средств защиты информации была образована Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России). Новое «Положение о Государственной технической комиссии при Президенте Российской Федерации» утверждено Указом Президента РФ от 19 февраля 1999 года № 212. Кроме того, Указом Президента РФ от 24 июня 1999 года № 811 утверждено «Положение о Главном научно-техническом управлении при Гостехкомиссии России». В свою очередь Указом Президента РФ от 24 декабря 1991 года № 313 и Постановлением Верховного Совета Российской Федерации от 19 февраля 1993 года № 4524-1 был принят Закон РФ «О федеральных органах правительственной связи и информации», в соответствии с которым образовано Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ). Статья 11 данного закона предоставила Федеральному агентству права по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Одновременно Федеральному агентству этой статьей дано право осуществлять лицензирование указанных видов деятельности и сертификацию соответствующих товаров и услуг. Пунктом м) той же статьи 11 данного закона Федеральному агентству предоставлено право осуществлять лицензирование и сертификацию телекоммуникационных систем и комплексов высших органов государственной власти Российской Федерации и закрытых (защищенных) с помощью шифровальных средств систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, федеральных органов исполнительной власти, а также организаций, предприятий, банков и иных учреждений, расположенных на территории России, независимо от их ведомственной принадлежности и форм собственности. Полномочия государственных органов по лицензированию деятельности в области защиты информации, содержащей сведения, составляющие государственную тайну, а также по сертификации средств защиты такой информации, как уже было сказано выше, определены Законом РФ от 21 июля 1993 года № 5485-1 «О государственной тайне» с изменениями и дополнениями, внесенными Федеральным законом от 6 октября 1997 года № 131-ФЗ «О внесении изменений и дополнений в Закон Российской Федерации «О государственной тайне». Статья 27 этого закона предписывает осуществлять допуск предприятий, учреждений и организаций к работам по созданию средств защиты 105


секретной информации и оказанию услуг по защите сведений, составляющих государственную тайну, путем получения ими лицензий на данную деятельность. Статья 28 устанавливает обязательность сертификации технических средств, предназначенных для защиты секретных сведений, и определяет государственные органы, ответственные за проведение сертификации указанных средств (Гостехкомиссия России, ФАПСИ, Министерство обороны, и ФСБ РФ). Во исполнение этого закона в августе 1993 года Правительством Российской Федерации принято специальное постановление, которое полностью определяет порядок создания и использования криптографических (шифровальных) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну, начиная от стадии подготовки технического задания на проведение научноисследовательских работ до серийного производства и установки шифровальной техники в сложные закрытые (защищенные) системы и комплексы обработки, хранения и передачи информации. В начале 1994 года Президентом РФ и Правительством РФ был принят пакет нормативных актов, определивших порядок импорта и экспорта шифровальных средств и нормативно-технической документации к ним на территории Российской Федерации. В первую очередь это Распоряжение Президента России от 11 февраля 1994 года № 74-П «О контроле за экспортом из Российской Федерации отдельных видов сырья, материалов, оборудования, технологий и научно-технической информации, которые могут быть применены при создании вооружения и военной техники». Данным распоряжением утвержден соответствующий перечень, в котором, в частности, указывается, что аппаратура, узлы, компоненты, программное обеспечение и технология производства, специально разработанные или модифицированные для использования в криптографии или выполнения криптографических функций, подлежат экспортному контролю. Кроме того, порядок импорта и экспорта шифровальных средств регулируется Постановлением Правительства РФ от 15.04.94 № 331 «О внесении дополнений и изменений в постановление Правительства Российской Федерации от 06.11.92 № 854 «О лицензировании и квотировании экспорта и импорта товаров (работ, услуг) на территории Российской Федерации» и Постановлением от 10.12.92 № 959 «О поставках продукции и отходов производства, свободная реализация которых запрещена», а также Постановлением от 01.07.94 № 758 «О мерах по совершенствованию государственного регулирования экспорта товаров и услуг». Затем 31 октября 1996 г. этот перечень был дополнен постановлением Правительства № 1299, которым утверждено «Положение о порядке лицензирования экспорта и импорта товаров (работ, услуг) в Российской Федерации». 106


Перечисленные документы установили в частности, что ввоз и вывоз средств криптографической защиты информации (шифровальной техники) и нормативно-технической документации к ней может осуществляться исключительно на основании лицензии ФСБ. Кроме того, данные документы определили общий порядок выдачи экспортных лицензий на шифровальные средства, направленный на предотвращение утечки секретных сведений и технологий при вывозе из страны средств защиты информации. Предоставленные ФСТЭК и ФСБ права по определению порядка осуществления и лицензирования деятельности в области защиты информации нашли свое отражение в «Положении о государственном лицензировании деятельности в области защиты информации», которое утверждено 27 апреля 1994 года совместным решением № 10 Гостехкомиссии России и ФАПСИ, разграничившим сферы компетенции этих двух ведомств и определившим механизм практического лицензирования, действующего в настоящее время. Обязательное государственное лицензирование деятельности в области защиты информации криптографическими методами, а также в области выявления электронных устройств перехвата информации в технических средствах и помещениях государственных структур введено Постановлением Правительства РФ от 24.12.94 № 1418 «О лицензировании отдельных видов деятельности». Данное постановление распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты информации, независимо от ее характера и степени секретности, на все субъекты этой деятельности любых организационно-правовых форм, включая и физических лиц. Как уже отмечалось, важным шагом в деле правового обеспечения деятельности в области защиты информации явилось принятие Федерального закона от 20.02.95 № 24-Ф3 «Об информации, информатизации и защите информации». Данный закон впервые официально вводит понятие «конфиденциальной информации», которая рассматривается как документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, и устанавливает общие правовые требования к организации защиты такой информации в процессе ее обработки, хранения и циркуляции в технических устройствах и информационных и телекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается. Кроме того, закон определяет на государственно-правовом уровне электронную цифровую подпись как средство защиты информации от несанкционированного искажения или подмены (имитозащиты) и подтвер107


ждения подлинности отправителя и получателя информации (аутентификации сторон). В соответствии со статьей 5 «юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью». При этом «юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования». Далее закон раскрывает требования, предъявляемые к специализированным программно-техническим средствам, реализующим электронною цифровую подпись, и порядку их использования в информационно-телекоммуникационных системах. Указ Президента Российской Федерации от 3 апреля 1995 года № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» запрещает любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации, без лицензии ФСБ. Пункты 2, 3 данного документа устанавливают обязательное использование исключительно сертифицированных средств защиты информации во всех государственных структурах, в том числе и в государственных банках Российской Федерации, на предприятиях, работающих по государственному заказу, а также на предприятиях и в организациях при их информационном взаимодействии с центральным банком России и его структурными подразделениями. Таким образом, обязательность сертификации распространяется не только на средства защиты информации, содержащей сведения, составляющие государственную тайну, но и на средства защиты любой государственно значимой информации независимо от грифа ее секретности. Кроме того, указ формирует механизм реализации перечисленных выше законодательных актов, возлагая ответственность за их выполнение на ФСБ, а также правоохранительные, таможенные и налоговые органы страны. 2.1.2. Виды деятельности, подлежащие лицензированию В течение первой половины 1995 года Правительством Российской Федерации во исполнение закона «О государственной тайне» приняты Постановление от 15 апреля 1995 года № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите го108


сударственной тайны» и Постановление от 26.06.95 № 608 «О сертификации средств защиты информации». Указанные постановления формируют механизм получения предприятиями и организациями, независимо от их организационно правовой формы, лицензии на право осуществления любой деятельности, связанной с информацией, составляющей государственную тайну, а также общий порядок сертификации средств, предназначенных для защиты секретной информации. Постановление Правительства РФ № 333 от 15 апреля 1995 года «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (с дополнениями, внесенными Постановлением Правительства РФ № 509 от 23 апреля 1996 года и Постановлением Правительства РФ № 513 от 30 апреля 1997 года) вводит соответствующее Положение, устанавливающее порядок лицензирования деятельности предприятий, учреждений и организаций независимо от организационно-правовых форм по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Лицензирование деятельности в области защиты информации на территории Российской Федерации осуществляется специальными органами Федеральной службы безопасности Российской Федерации, Государственной технической комиссии при Президенте РФ и Федерального агентства правительственной связи и информации при Президенте РФ, а также Службой внешней разведки РФ (СВР) за рубежом. Федеральная служба безопасности Российской Федерации осуществляет: • предоставление лицензии на допуск к проведению работ, связанных с использованием сведений, составляющих государственную тайну (за исключением предприятий ФСБ, Минобороны, ФПС, СВР, Гостехкомиссии, допуск которых осуществляется соответствующими руководителями министерств и ведомств). • оформление допуска руководителю предприятия (до подачи заявления на выдачу лицензии). Кроме того, ФСБ России осуществляет на основании Указа Президента РФ от 9 января 1996 года № 21 лицензирование деятельности по производству, реализации, приобретению в целях продажи, ввозу в Российскую Федерацию и вывозу за ее пределы, а также использование специальных технических средств, предназначенных для негласного получе109


ния информации, которые могут применяться только соответствующими органами при проведении оперативно-розыскных мероприятий в соответствии с Федеральным законом от 12 августа 1995 года № 144-ФЗ «Об оперативно-розыскной деятельности». Распределение функций между ФСТЭК и ФСБ определено в упомянутом выше «Положении о государственном лицензировании деятельности в области защиты информации», которое утверждено совместным решением Гостехкомиссии России и ФАПСИ от 27 апреля 1994 года № 10. Государственная техническая комиссия при Президенте Российской Федерации осуществляет предоставление лицензии на право проведения следующих видов работ, связанных с разработкой, созданием и эксплуатацией средств защиты информации: • сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств по требованиям безопасности, программных средств защиты информации, программных средств контроля защищенности информации; • аттестование систем информатизации, автоматизированных систем управления, систем связи и передачи данных, технических средств приема, передачи и обработки подлежащей защите информации, технических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также помещений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных документов по безопасности информации и контроль защищенности информации в этих системах, технических средствах и помещениях; • разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации; • проведение специсследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ; • проектирование объектов в защищенном исполнении; • подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне. 110


Федеральное агентство правительственной связи и информации при Президенте Российской Федерации осуществляет предоставление лицензии на право проведения следующих видов работ, связанных с разработкой, созданием и эксплуатацией криптографических (шифровальных) средств защиты информации: • разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт шифровальных средств, предназначенных для криптографической защиты информации при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг по шифрованию информации; • эксплуатация негосударственными предприятиями шифровальных средств, предназначенных для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну; • разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации, а также закрытых (с помощью шифровальных средств) систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности; • разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание специализированных защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации, предназначенных для использования в высших органах государственной власти Российской Федерации; • проведение работ по выявлению электронных устройств перехвата информации в помещениях государственных структур на территории Российской Федерации; • проведение работ по выявлению электронных устройств перехвата информации в технических средствах государственных структур на территории Российской Федерации; • проведение специсследований на побочные электромагнитные излучения и наводки (ПЭМИН) специализированных защищен111


• •

ных ТСОИ, предназначенных для использования в высших органах государственной власти Российской Федерации; проектирование в защищенном исполнении объектов высших органов государственной власти Российской Федерации; подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне.

При принятии решения о необходимости лицензирования работ в области защиты информации необходимо учитывать следующие обстоятельства: • лицензии только ФСТЭК и ФСБ не предоставляют права проведения работ, связанных с использованием сведений, составляющих государственную тайну; • лицензия ФСБ не предоставляет права проведения работ, находящихся в компетенции ФСТЭК. Постановление от 15.04.95 № 333 устанавливает, что лицензия на право деятельности по проведению работ, связанных с использованием сведений, составляющих государственную тайну, с созданием средств защиты информации и оказанием услуг по защите государственной тайны, может быть выдана предприятию или организации, независимо от формы его собственности, исключительно на основании результатов специальной экспертизы заявителя, в ходе которой будет установлено наличие на данном предприятии необходимых условий для сохранения доверенных ему секретных сведений, и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну. Постановление от 26 июня 1995 года № 608 «О сертификации средств защиты информации» устанавливает общие принципы организации систем сертификации средств защиты информации, содержащей сведения, составляющие государственную тайну, всеми ведомствами Российской Федерации, наделенными законом правом проводить подобную сертификацию. Статьи Положения определяют: • участников системы сертификации средств защиты информации; • права и обязанности участников; • схемы проведения сертификационных испытаний; • порядок выдачи, приостановления и аннулирования сертификатов; • порядок оплаты услуг по сертификации; • порядок контроля за качеством сертифицированных изделий; • ответственность сторон за выполнение ими своих обязательств в системе сертификации. Кроме того, данным положением к средствам защиты информации отнесены и средства контроля эффективности защиты информации. 112


2.1.3. Общие принципы и правила лицензирования Лицензирование – это процесс, осуществляемый в отношении таких категорий, как «деятельность» (направления, виды деятельности) «субъект» (физическое лицо, предприятие, организация или иное юридическое лицо), когда некоторый субъект в результате проведения комплекса мероприятий, состав, правила и порядок которых предписываются законодательными и нормативными актами, получает право на осуществление определенного вида деятельности. Рассматриваемые правила и принципы, положенные в основу деятельности государственных органов по лицензированию в области защиты информации и построения соответствующей системы, вытекают из приведенных выше нормативных актов и основаны на предоставленных им законодательством правах и полномочиях. Лицензирование в области защиты информации является обязательным. Данное правило устанавливает, что для занятия деятельностью в области защиты информации одного желания мало и необходимо получение права на ее осуществление. Причем распространяется это требование на все без исключения направления и отдельные виды деятельности. Поскольку не существует определений понятий «направление» и «отдельный вид деятельности», они вводятся в виде перечисления в соответствующих нормативных актах. Деятельность в области защиты информации физических и юридических лиц, не прошедших лицензирование, запрещена. Из данного правила вытекает, что субъекты, не получившие права на осуществление права в области защиты информации и продолжающие ее осуществлять, нарушая установленный порядок, занимаются тем самым противоправной деятельностью. В отношении таких субъектов могут быть применены санкции, предусмотренные действующим Гражданским кодексом и законодательством об административной и уголовной ответственности. Лицензии ФСБ, ФСТЭК и их решения о выдаче лицензии на право осуществления деятельности в области защиты информации, лицензирование которой относится к компетенции соответствующей организации, выдаются в основном юридическим лицам – предприятиям, организациям и учреждениям, независимо от их организационно-правовой формы (далее – предприятия). Данное правило, однако, лишь на первый взгляд ущемляет интересы физических лиц, которым не предоставляются права на промышленную, коммерческую деятельность, связанную со средствами защиты информации, в первую очередь – с шифровальными средствами. Включение данно113


го постулата обусловлено рядом факторов. Во-первых, разработка (производство, монтаж, наладка и т.д.) средств защиты информации и шифровальных средств требует участия высококлассных специалистов разного профиля. Во-вторых, требованиям, предъявляемым, например, ФСТЭК к заявителю, физическое лицо удовлетворить просто не в состоянии. В-третьих, для проведения работ в этой области, как правило, необходимо обеспечение выполнения режимных требований и (для ознакомления, например, с нормами требований по безопасности) наличия допуска к сведениям, составляющим государственную тайну. Лицензии выдаются конкретным юридическим лицам – предприятиям, а не министерствам, ведомствам или ассоциациям в целом. Если разрешаемая в лицензии деятельность не является для лицензиата основной, то в лицензии указывается структурное подразделение, которому предоставляется право осуществления данного вида деятельности. Лицензии и решения о выдаче лицензии выдаются только предприятиям, зарегистрированным на территории Российской Федерации. Лицензия выдается только на основании результатов специальной экспертизы заявителя на соответствие требованиям к предприятию на право деятельности в области защиты информации по заявленному направлению работ и аттестации руководителя предприятия или лиц, уполномоченных им для руководства лицензируемой деятельностью. Данное положение устанавливает одну из основных норм, определяющих сущностные и процедурные аспекты системы лицензирования: лицензия может быть выдана не каждому заявителю, то есть предприятию, подавшему все необходимые и правильно оформленные документы, а только предприятию, обладающему соответствующими возможностями, достаточными для осуществления заявленных видов деятельности. Проверка возможностей предприятия и осуществляется в ходе специальной экспертизы путем экспертных оценок специалистами создаваемых комиссий, с учетом профиля заявляемых видов деятельности, факта удовлетворения требованиям, предъявляемым к предприятиям. С данными требованиями заявитель может быть ознакомлен в соответствующем лицензионном центре ФСТЭК или ФСБ. Кроме того, по результатам специальной экспертизы заявителя определяются состав и конкретная формулировка решенных видов деятельности, а также условия их осуществления. Уточнение формулировок для различных видов деятельности и заявителей может быть проведено с учетом следующих факторов: • уровня конфиденциальности защищаемой информации; • уровня секретности сведений, используемых при осуществлении заявляемой деятельности; • типа используемого криптографического алгоритма; • способа технической реализации изделия; 114


• уровня квалификации персонала; • назначения изделия, наличия или отсутствия сертификата на него; • страны-производителя изделия; • категории помещений и технических средств. Решение о выдаче лицензии дается предприятию, подавшему заявление на его получение, на основании результатов технической экспертизы изделия и (или) специальной экспертизы заявителя. Основными задачами технической экспертизы являются установление соответствия предъявляемого изделия заявляемым характеристикам (классу, типу средств) и проверка возможного использования в коммерческих средствах защиты информации, в первую очередь – в шифрсредствах, технических средств, алгоритмов, программ и способов их реализации, составляющих государственную тайну. Лицензия действует на всей территории Российской Федерации, если иное не оговорено в ней особо. Могут, например, налагаться ограничения на: • региональных представителей, работающих по договору на реализацию шифрсредств, – в рамках сферы их деятельности; • фирмы-разработчики в части разработке криптографических средств защиты и защищенных средств и систем в интересах региональных государственных и коммерческих структур. Лицензии и решения о выдаче лицензии подписываются Председателем ФСТЭК или Генеральным директором ФСБ или лицом, замещающим их, и заверяется гербовой печатью. Передача лицензии другим юридическим лицам запрещена. Лицензия имеет ограниченный срок действия, по истечении которого осуществляется переоформление лицензии в порядке, предусмотренном для ее выдачи. Данные нормы определены Постановлением Правительства Российской федерации от 24 декабря 1994 года № 1418 для всех систем лицензирования. Лицензирование осуществляется на платной основе. Размер платы за рассмотрение заявления и за выдачу лицензий фиксирован. Размер платы за специальную экспертизу определяется договором на ее проведение. Для получения лицензий или решения о выдаче лицензии предприятие обязано представить определенный перечень документов, состав которых определяется нормативными актами Правительства Российской Федерации и ФСБ. Представляемые заявителем документы регистрируются в уполномоченном подразделении Федерального агентства по мере их поступления. 115


Заявление регистрируется только при наличии всех требуемых для оформления лицензии документов. Рассмотрение заявления и специальная экспертиза должны проводиться в сроки, ограниченные соответствующими нормативными актами. На настоящий момент продолжительность рассмотрения заявления установлена сроком 30 суток с момента поступления всех необходимых документов (с возможностью увеличения этого срока в отдельных случаях еще максимум на 60 суток). Специальная экспертиза имеет аналогичную продолжительность с момента заключения договора на ее проведение. Отказ заявителю в выдаче лицензии должен быть мотивирован. Заявителю может быть отказано в получении лицензии в следующих случаях: • при наличии в документах, представленных заявителем, недостоверной или искаженной информации; • отрицательного заключения по результатам специальных экспертиз, установивших несоответствие условиям, необходимым для осуществления заявленного вида деятельности и условиям безопасности; • отрицательного заключения по результатам аттестации руководителей предприятия или лица, уполномоченного им на ведение лицензируемой деятельности; • отрицательного заключения по результатам технических экспертиз. При ликвидации предприятия выданная лицензия теряет юридическую силу. В случае реорганизации предприятия, изменения его дислокации или наименования юридического лица, утраты лицензии осуществляется ее переоформление. Переоформление лицензии в указанных случаях, за исключением изменения наименования юридического лица, осуществляется в порядке, предусмотренном для ее выдачи. Выданная лицензия может быть приостановлена или аннулирована. Приостановление или аннулирование лицензии осуществляется в случаях: • представления лицензиатом соответствующего заявления; • обнаружения недостоверных данных в документах, представленных для получения лицензии; • нарушения лицензиатом условий действия лицензии; • невыполнения лицензиатом предписаний или распоряжений государственных органов или приостановлении ими деятельности предприятия в соответствии с законодательством Российской федерации; 116


• ликвидации предприятия. Приостановление действия лицензии влечет за собой прекращение деятельности лицензиата по виду деятельности (работ, услуг), указанному в лицензии, до устранения выявленных нарушений. Решение ФСБ о выдаче лицензии на ввоз (вывоз) шифровальных средств выдается только на конкретную партию изделий. Наличие заключенных договоров не является основанием для выдачи положительного решения о возможности ввоза (вывоза) шифровальных средств. Данные нормы соответствуют установленному порядку внешнеэкономической деятельности. Заключаемые договоры, как правило, содержат статью, учитывающую форс-мажорные обстоятельства, предусматривающие возможный отказ уполномоченных государственных органов в выдаче лицензии на ввоз (вывоз) шифровальных средств. Конкретная партия товара определяется объемом, этапностью и сроками поставок, оговоренных конкретным договором. Деятельность по лицензированию в области защиты информации осуществляется на основании следующих принципов: • соответствия действующим Российским законодательным и нормативным актам; • системного и комплексного подхода к решению вопросов лицензирования и сертификации; • обеспечения надежной защиты информации, составляющей государственную тайну, или иной конфиденциальной информации; • дифференцированного подхода к отдельным видам деятельности и средствам защиты; • наложения на лицензиата обязательств по выполнению требований Российского законодательства и иных нормативных актов в области защиты информации; • соответствия заявителей и лицензиатов требованиям по профессиональной подготовке, нормативно методической, технической и технологической оснащенности, режимным требованиям, проверяемым в ходе проведения обязательной экспертизы заявителей и постоянного контроля за деятельностью лицензиатов; • четкой регламентации предоставляемых лицензиату прав и полномочий, а также механизма его взаимодействия с ФСБ; • централизованности выдачи, приостановления и отзыва лицензий и сертификатов; • доступности и открытости систем лицензирования и сертификации в рамках выше перечисленных принципов. Соответственно лицензирование деятельности предприятия в области защиты информации включает следующие действия: 117


• • •

выдачу лицензий (решений о выдаче лицензий) – подачу, рассмотрение, заявление на лицензирование, оформление и выдачу лицензий (решений о выдаче лицензий), переоформление лицензий; проведение специальной экспертизы заявителя; проведение аттестации руководителя предприятия или лиц, уполномоченных им, для руководства лицензируемой деятельности; проведение технической экспертизы изделий.

2.1.4. Лицензирование средств криптографической защиты информации В соответствии с упомянутыми выше законами, а также на основании Закона Российской Федерации от 10 июня 1993 года № 5151-1 «О сертификации продуктов и услуг» ФАПСИ 15 ноября 1993 года зарегистрировало в Госстандарте России «Систему сертификации средств криптографической защиты информации» POCC.RU.0001.030001. Данный документ определил организационную структуру системы сертификации шифровальных средств ФСБ, а также установил основные правила проведения сертификационных исследований и испытаний криптографических средств защиты информации и закрытых с их помощью систем и комплексов обработки, хранения и передачи информации. Если разработка, производство, реализация шифровальных средств осуществляется относительно небольшим числом предприятий и организаций, то вопросы лицензирования эксплуатации подобных средств и оказания услуг с их использованием затрагивают интересы несравненно большего числа предприятий, организаций и учреждений. В первую очередь к таким организациям следует отнести банки и другие финансовокредитные организации, широко применяющие шифровальные средства и средства электронной цифровой подписи для защиты информации, составляющей банковскую или коммерческую тайну, но не содержащей сведений, составляющих государственную тайну. В общем случае, как и все иные юридические лица, банк может заявлять права на осуществление любой деятельности, связанной с защитой информации в системах электронного документооборота. Поэтому более правильно, с учетом ситуации, которая де-факто сложилась в стране, говорить о видах деятельности, на которые необходимо получить лицензию. На наш взгляд, таких видов деятельности три (в соответствии с перечнем видов деятельности, подлежащих лицензированию ФСБ): • эксплуатация шифровальных средств защиты информации при ее обработке, хранении и передаче по каналам связи и (или) средств электронной цифровой подписи (независимо от способа реализа118


ции и контекста использования этих средств), а также шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт-карт; • оказание услуг по защите (шифрованию) информации; • монтаж, установка, наладка шифровальных средств для защиты информации при ее обработке, хранении и передаче по каналам связи и (или) средств электронной цифровой подписи, шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт-карт. Как уже отмечалось выше, в соответствии с имеющимися законодательными и нормативными актами лицензию должно получать каждое юридическое лицо, осуществляющее деятельность в области защиты информации. Для представляющих наибольший интерес защищенных криптографическими средствами систем обмена и расчета «банк-клиент» это означает, что в классическом варианте за лицензией на эксплуатацию шифровальных средств должены обращаться как сам банк, так и его клиенты, являющиеся абонентами сети электронного документооборота. Однако, учитывая особенности банковского документооборота, ФСБ проработало вопрос о возможности применения иного порядка лицензирования установки, эксплуатации сертифицированных шифровальных средств и предоставления услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, в корпоративных сетях типа «банк-клиент», системах финансового и фондового рынка при защите информации по уровню «С». В принципе данный порядок лицензирования перечисленных видов деятельности может быть распространен на другие предприятия, организации и учреждения Российской Федерации. Под уровнем «С» при этом понимается криптографическая защита информации на уровне потребителя. Информационнотелекоммуникационные системы создаются предприятием самостоятельно на основе сертифицированных средств криптографической защиты информации (СКЗИ), предназначенных для защиты конфиденциальной информации, встраивание которых в прикладные системы должно происходить с выполнением интерфейсных и криптографических протоколов, определенных технической документацией на СКЗИ. Если коротко охарактеризовать разработанный порядок, то можно сказать, что банку (или предприятию-организатору сети) будет выдаваться лицензия на право эксплуатации всей защищенной криптографическими средствами сети, включающей всех его клиентов, а именно: 1. Лицензия на право установки, эксплуатации сертифицированных ФСБ шифровальных средств и предоставления услуг по шифрованию информации, не содержащей сведения составляющих государственную тайну, в конкретных корпоративных сетях типа 119


«банк-клиент», системах финансового и фондового рынка, предприятий, организаций и учреждений Российской Федерации при защите информации по уровню «С», может выдаваться заявителю, который будет эксплуатировать сеть указанного типа (далее – организатор сети). Обязанности по обеспечению безопасности применения СКЗИ устанавливаются договорами, заключаемыми организатором сети с пользователями сети. Пользователи сети эксплуатируют сертифицированные СКЗИ без оформления лицензий. При необходимости Лицензионный центр ФСБ выдает пользователям такой сети по их заявкам заверенную копию лицензии организатора сети с указанием их наименования и юридического адреса. Вместе с тем наличие подобной лицензии или ее копии не освобождает организатора сети и пользователей его корпоративной сети от необходимости получения отдельных лицензий на право эксплуатации иных средств криптографической защиты информации. 2. Для создания соответствующих условий осуществления лицензируемой деятельности заявитель вправе приобрести у изготовителя или его представителя опытную партию сертифицированных средств криптографической защиты информации, а также комплект необходимой технической или эксплуатационной документации до получения лицензии. 3. Вместо представления органа Государственной власти Российской Федерации заявитель в данном случае вправе представлять копию государственной лицензии на основной вид своей деятельности (например, копию банковской лицензии). 4. Специальная экспертиза заявителей на право установки, эксплуатации сертифицированных ФСБ шифровальных средств и предоставления услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, в корпоративных сетях типа «банк–клиент», системах финансового и фондового рынка, предприятий, организаций и учреждений Российской Федерации при защите информации по уровню «С» проводится аттестационным центром на основании заявки и представленного заявителем перечня сведений, подтверждающих выполнения им требований ФСБ, а также условий действия сертификатов соответствия на эксплуатируемые шифровальные средства. В настоящий момент ФСБ разработало несколько видов требований к предприятиям, претендующим на получение лицензии ФСБ. Имеющиеся типовые требования конкретизируются и дифференцируются с учетом специфики отдельных видов деятельности и заявителей. Требования к заявителю на право установки, эксплуатации сертифицированных ФСБ шиф120


ровальных средств и предоставления услуг по шифрованию информации при защите информации по уровню «С» приведены в Приложении. Требования к заявителю на право установки, эксплуатации шифровальных средств и предоставления услуг по шифрованию информации. К заявителю на право установки, эксплуатации сертифицированных ФСБ шифровальных средств и предоставления услуг по шифрованию информации при защите информации по уровню «С» предъявляются следующие требования: 1. На предприятии-заявителе руководством должны быть назначены должностные лица, ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности СКЗИ. 2. Вопросы обеспечения функционирования и безопасности СКЗИ отражаются в специально разработанных документах, утвержденных руководством предприятия, с учетом эксплуатационной документации на СКЗИ. 3. На предприятии создаются условия, обеспечивающие сохранность конфиденциальной информации, доверенной предприятию юридическими и физическими лицами, пользующимися его услугами. 4. Размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены СКЗИ (далее – помещения), должны обеспечивать безопасность информации, СКЗИ и шифрключей, сведение к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами. 5. Порядок допуска в помещения определяется внутренней инструкцией, которая разрабатывается с учетом специфики и условий функционирования конкретной структуры предприятия. 6. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п., окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, на которые устанавливаются надежные замки. 7. Для хранения шифрключей, нормативной и эксплуатационной документации, установочных дискет помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дуб121


ликаты ключей от хранилищ и входных дверей хранятся в сейфе ответственного лица, назначаемого руководством предприятия. 8. Устанавливаемый руководителем предприятия порядок охраны помещений должен предусматривать периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны. 9. Размещение и установка СКЗИ осуществляется в соответствии с требованиями документации на СКЗИ. 10. Системные блоки ЭВМ с СКЗИ оборудуются средствами контроля их вскрытия. 11. На предприятии все поступающие для использования шифрключи и установочные дискеты берутся на поэкземплярный учет в выделенных для этих целей журналах. 12. Учет и хранение носителей шифрключей и установочных дискет, непосредственная работа с ними поручается руководством предприятия специально выделенным работникам предприятия. Эти работники несут персональную ответственность за сохранность шифрключей. 13. Учет изготовленных для пользователей шифрключей, регистрация их выдачи для работы, возврата от пользователей и уничтожения ведется на предприятии. 14. Хранение шифрключей, установочных дискет допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение. Наряду с этим должна быть предусмотрена возможность раздельного безопасного хранения рабочих и резервных шифрключей, предназначенных для использования в случае компрометации рабочих шифрключей в соответствии с правилами пользования СКЗИ. 15. При пересылке шифрключей клиентам предприятия должны быть обеспечены условия транспортировки, исключающие возможность физических повреждений и внешнего воздействия на записанную ключевую информацию. 16. В случае отсутствия у оператора СКЗИ индивидуального хранилища шифрключи по окончании рабочего дня должны сдаваться лицу, ответственному за их хранение. 17. Уполномоченными лицами периодически должен проводиться контроль сохранности входящего в состав СКЗИ оборудования, а также всего используемого программного обеспечения для предотвращения внесения программно-аппаратных закладок и программ-вирусов. 122


18. К работе с СКЗИ решением руководства предприятия допускаются только сотрудники, знающие правила его эксплуатации, владеющие практическими навыками работы на ЭВМ, изучившие правила пользования, эксплуатационную документацию и прошедшие обучение работе с СКЗИ. 19. Руководитель предприятия или лицо, уполномоченное на руководство заявленными видами деятельности, должно иметь представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и средствах защиты информации. 2.1.5. Общие принципы и правила системы сертификации средств защиты информации Постановление от 26 июня 1995 года № 608 устанавливает общие принципы организации систем сертификации средств защиты информации, содержащей сведения, составляющие государственную тайну, всеми ведомствами Российской Федерации, наделенными законом правом проводить подобную сертификацию. Статьи Постановления определяют: • участников системы сертификации средств защиты информации; • права и обязанности участников; • схемы проведения сертификационных испытаний; • порядок выдачи, приостановления и аннулирования сертификатов; • порядок оплаты услуг по сертификации; • порядок контроля за качеством сертифицированных изделий; • ответственность сторон за выполнение ими своих обязательств в системе сертификации. Кроме того, данным положением к средствам защиты информации отнесены и средства контроля эффективности защиты информации. Сертификация – это процесс, осуществляемый в отношении такой категории, как «изделие» (товар, средство), когда в результате выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, удостоверяется или подтверждается качество изделия. Таким образом, сертификация есть деятельность некоторой третьей стороны, независимой от изготовителя (продавца) и потребителя продукции или услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям. Сертификация средств защиты информации осуществляется ФСТЭК и ФСБ. При этом, сертификация средств, отнесенных к компетенции ФСБ, определяется «Системой сертификации» средств криптографической защиты информации (СКЗИ) РОСС.RU.0001.030001. 123


Данный документ представляет собой нормативный акт, который включает положения и нормы, определяющие правила и общий порядок проведения сертификации в рассматриваемой предметной области. Он базируется на Законе Российской федерации «О сертификации продукции и услуг», иных нормативных актах, утвержденных Госстандартом России, и соответствует вытекающим из них требованиям к порядку, схеме проведения, а также организационной структуре систем сертификации. Тем самым учитываются сложившиеся к настоящему времени международные правила организации и проведения работ по сертификации продукции. С другой стороны, учтены и обобщены особенности и накопленный многолетний опыт работы в области защиты информации, оценки качества разрабатываемых и производимых средств защиты. Порядок проведения сертификации средств защиты информации основан на следующих принципах и правилах: 1. Обязательность сертификации изделий, обеспечивающих защиту государственной тайны, или обязательность сертификации которых установлена нормативными актами Российской Федерации. В настоящее время такое требование установлено для средств защиты информации в системах электронного документооборота, используемых для обмена с Центральным Банком России, а также для средств и защищенных систем государственных предприятий или предприятий, на которых размещен государственный заказ. 2. На сертификацию принимаются изделия только от заявителей, имеющих лицензию на соответствующие виды деятельности. Оформление установленным порядком права на осуществление деятельности в области защиты информации является первичным. Разрабатывать алгоритмы и средства защиты на их базе как продукцию, товар, предлагаемый на рынок, могут предприятия, имеющие лицензию. Принятие на сертификацию только готовых изделий в целом, а не их отдельных компонент. В различных публикациях специалисты неоднократно указывали, что сами по себе даже высоконадежные средства защиты, в том числе криптографические алгоритмы или отдельные блоки и модули (аппаратные, аппаратно-программные и программные), реализующие часть процесса защиты, не могут обеспечить требуемого уровня защиты информации в комплексе. Например, без реализации специальных мер, эти средства могут быть просто обойдены или необходимая информация может быть получена за счет побочных электромагнитных излучений и наводок. Для систем и комплексов, которые включают совокупность некоторого множества явно различимых как самостоятельное изделие функционально и конструктивно законченных элементов, возможно оформление сертификата на каждый из них. 124


3. Процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты, с учетом условий их эксплуатации. 4. Двухступенчатость процесса сертификации при независимости организаций, проводящих экспертизу и сертификационные испытания: сертификация средств защиты информации осуществляется Центральным органом по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях). 5. Дифференцированность подхода к уровню защиты различных видов информации. 6. Обязательность использования криптографических алгоритмов, являющихся стандартами или ранее рекомендованных либо разработанных ФСБ. Специально подчеркнем, что факт одобрения ФСБ алгоритма до его технической реализации является одним из основных требований к представляемым на сертификацию изделиям криптозащиты. Это одобрение может быть осуществлено путем утверждения алгоритма: • в качестве государственного стандарта, • Правительством Российской Федерации, • ФСБ. Отсюда следует, что изделия, реализованные на базе собственных оригинальных алгоритмов, ранее не представлявшихся в ФСБ, а равно изделия, реализующие алгоритмы иностранной разработки, или импортные шифровальные средства на сертификацию не принимаются. Например, в зависимости от полноты реализуемой защиты, для системы конфиденциального электронного документооборота устанавливаются три уровня обеспечения безопасности (сертификации): • уровень «А» – сертификат выдается на систему защиты в целом и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам, комплексное выполнение требований ФСБ к шифровальным средствам с учетом их программного окружения, наличие защищенной (без недокументированных возможностей) аппаратно-программной среды; • уровень «В» – сертификат выдается на систему защиты, включающую шифровальные средства и их программное окружение, и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям ФСБ, выполнение требований ФСБ к программному окружению шифровальных средств; • уровень «С» – сертификат выдается только на шифровальные средства и подтверждает соответствие реализации средств шиф125


рования заданным криптографическим алгоритмам и требованиям. 1. Принятие Центральным органом по сертификации и испытательными центрами (лабораториями) ответственности за выполнение возложенных на них функций в соответствии с действующим законодательством и договорными обязательствами. 2. Сертификационные испытания средств защиты информации могут осуществляться только аккредитованными испытательными сертификационными центрами. Действительное соответствие изделия государственным стандартам и гарантию удовлетворения требований по безопасности удостоверяет только сертификат ФСТЭК или ФСБ. 3. Принятие и неуклонное соблюдение заявителем правил, установленных в системе сертификации. Действие выданного сертификата может быть приостановлено или сертификат может быть вообще аннулирован по результатам инспекционного контроля за сертифицированными средствами защиты информации. Причинами приостановления и аннулирования сертификата могут быть: • изменение нормативных и методических документов на средства защиты информации или их элементов, на испытания и контроль; • изменения конструкции, состава или комплектности средства защиты информации; • невыполнение требований технологии или технических условий на изделие; • отказ заявителя в допуске для проведения научно-технического и инспекционного контроля. Организационная структура системы сертификации включает в себя ФСТЭК или ФСБ как Государственный орган по сертификации средств защиты информации, Центральный орган системы сертификации и Испытательные центры (лаборатории) средств защиты информации, а также заявителей. В заключение следует отметить, что системы лицензирования и сертификации проходят сейчас стадию совершенствования с точки зрения развития правовой базы, механизма и правил их функционирования. Отсюда, разумеется, следует, что отдельные положения могут быть изменены, уточнены или дополнены.

126


2.2. Корпоративные системы защиты информации 2.2.1. Понятие корпоративной информационно-вычислительной сети В зависимости от масштаба, территориального расположения и принадлежности все компьютерные сети разделяют на локальные, корпоративные, региональные и глобальные. Локальная сеть представляет собой группу компьютеров, сопряженных друг с другом каналами передачи информации и размещенных в пределах одного или нескольких компактно расположенных зданий. Локальная сеть может быть разделена на отдельные сегменты. Корпоративная, региональная и глобальная сети объединяют с помощью каналов связи территориально распределенные локальные сети. В качестве основного признака корпоративной сети выступает принадлежность одной организации, региональной – охват какого-либо региона (города), а глобальной – охват глобальных территориальных образований (стран, континентов). Примером глобальной сети является сеть Internet. Таким образом, под корпоративной информационновычислительной сетью понимается локальная или территориальнораспределенная информационно-вычислительная сеть, состоящая из совокупности средств вычислительной техники и периферийного оборудования, объединенных каналами связи, обеспечивающая функционирование одной организации (предприятия). Организация и выполнение мероприятий по всестороннему обеспечению информационной безопасности корпоративной информационновычислительной сети предусматривает выполнение следующих задач, возлагаемых на Службу информационной безопасности (СИБ): 1. Организация и защита конфиденциального документооборота и архива документов. 2. Защита помещений (переговоров, встреч и т.п.). 3. Организация доступа в помещения, где обрабатывается конфиденциальная информация. 4. Защита каналов и сетей связи. 5. Обеспечение компьютерной безопасности. 6. Информирование пользователей о правилах защиты информации (компетенция персонала). 7. Контроль выполнения правил защиты информации. 8. Администрирование выделенного сегмента корпоративной сети. 9. Компьютерная разведка по открытым источникам.

127


2.2.2. Анализ и оценка угроз безопасности информации в корпоративных сетях В общем случае все попытки взлома защиты корпоративной сети можно разделить на три группы (рис. 8): • атаки на уровне систем управления базами данных (СУБД); • атаки на уровне операционной системы (ОС); • атаки на уровне сетевого программного обеспечения (СПО). Построение системы информационной безопасности корпоративной сети осуществляется в соответствии со следующими принципами: 1. Непрерывность совершенствования и развития. 2. Комплексное использование всех средств защиты. 3. Системный подход при проектировании и создании, предусматривающий: − централизацию, − плановость, − конкретность и целенаправленность, − надежность и универсальность, − нестандартность, − открытость, − экономическая эффективность.

128


Рис. 8. Динамика изменений ИБ корпоративной сети

Содержание и порядок выполнения работы по построению системы информационной безопасности организации следующие: 1. Определение интеллектуальной собственности (что и от кого надо защищать). 2. Определение границ управления безопасностью. 3. Анализ уязвимости. 4. Выбор контрмер, определение политики безопасности. 5. Создание и проверка системы защиты. 6. Составление плана защиты. 7. Реализация плана защиты. Дадим характеристику перечисленным этапам работ по созданию корпоративной системы информационной безопасности. Определение границ управления безопасностью требует построения информационно-аналитической модели объекта защиты, которая включает: • перечень сведений, подлежащих защите в организации; • организационно-штатную структуру организации; • характеристику и план объекта (объектов) и СВТ; 129


• •

характеристики АРМ, серверов, носителей и др.; описание информационных потоков, технологии обработки информации, порядка ее хранения; • используемые средства связи. Анализ уязвимости предусматривает выполнение следующих мероприятий: 1. Выбор анализируемых объектов и определение степени детализации их рассмотрения. 2. Моделирование каналов утечки информации и НСД. 3. Оценки потерь (возможного ущерба). 4. Разработка стратегии управления рисками с учетом получения следующего результата: • уменьшения риска; • уклонения от риска; • изменения характера риска; • принятия риска; • передачи риска. Выбор контрмер и определение политики безопасности Политика безопасности определяет облик системы защиты информации, представляющей совокупность следующего комплекса мероприятий: 1. Нормативно-правовое обеспечение – разработка руководящих документов. 2. Организационное обеспечение – создание СИБ. 3. Инженерно-техническое обеспечение – внедрение программноаппаратных методов и средств защиты. 4. Выбор вариантов построения и оценка уровня безопасности системы по стоимости, эффективности и реализуемости. План защиты включает следующие разделы: 1. Описание защищаемой системы. 2. Цель защиты и пути обеспечения безопасности АС. 3. Перечень значимых угроз. 4. Политика информационной безопасности. 5. План размещения и функциональная схема АС. 6. Спецификация средств защиты и смета затрат. 7. Календарный план мероприятий по ОБИ. 8. Регламент действий персонала по вопросам ОБИ и в критических ситуациях. При реализации плана защиты корпоративной сети необходимо выполнение следующих требований: 1. Устойчивость к активным действиям нарушителя. 2. Непрерывность. 130


3. Скрытность. 4. Оперативность. 5. Обоснованность с точки зрения всестороннего учета условий решения задач. Критерий эффективности – время реакции системы защиты на нарушение. На основании плана защиты разрабатываются и вводятся в действие следующие основные нормативно-методические документы: 1. Концепция и Политика информационной безопасности. 2. Руководство по определению прав пользователей на доступ к ресурсам АС. 3. Положение об ОБИ в АС. 4. Положение о подразделении (отделе) ОБИ с функциональными обязанностями. 5. Положение об оперативно-поисковом подразделении (группе) ОБИ. 6. Руководство дежурного администратора ОБИ. 7. Руководство пользователя по ОБИ. 8. Руководство по использованию средств защиты. 9. Инструкции пользователям по правилам доступа к информации. 10. Правила разграничения доступа к информации. 11. Порядок приема–сдачи программного обеспечения в эксплуатацию. Дадим характеристику основных типов атак на корпоративную сеть. 2.2.2.1. Атаки на уровне систем управления базами данных Защита СУБД является одной из самых простых задач. Это связано с тем, что СУБД имеют строго определенную внутреннюю структуру, и операции над элементами СУБД заданы довольно четко. Есть четыре основных действия – поиск, вставка, удаление и замена элемента. Другие операции являются вспомогательными и применяются достаточно редко. Наличие строгой структуры и четко определенных операций упрощает решение задачи защиты СУБД. В большинстве случаев злоумышленники предпочитают взламывать защиту корпоративной системы на уровне операционной системы и получать доступ к файлам СУБД с помощью средств операционной системы. Однако в случае если используется СУБД, не имеющая достаточно надежных защитных механизмов, или плохо протестированная версия СУБД, содержащая ошибки, или если при определении политики безопасности были допущены ошибки, то становится вполне вероятным преодоление злоумышленником защиты, реализуемой на уровне СУБД. Кроме того, имеются два специфических сценария атаки на СУБД, для защиты от которых требуется применять специальные методы. В пер131


вом случае результаты арифметических операций над числовыми полями СУБД округляются в меньшую сторону, а разница суммируется в некоторой другой записи СУБД (как правило, эта запись содержит личный счет злоумышленника в банке, а округляемые числовые поля относятся к счетам других клиентов банка). Во втором случае злоумышленник получает доступ к полям записей СУБД, для которых доступной является только статистическая информация. Идея атаки на СУБД – так хитро сформулировать запрос, чтобы множество записей, для которого собирается статистика, состояло только из одной записи. 2.2.2.2. Атаки на уровне операционной системы Защищать операционную систему, в отличие от СУБД, гораздо сложнее. Дело в том, что внутренняя структура современных операционных систем чрезвычайно сложна, и поэтому соблюдение адекватной политики безопасности является значительно более трудной задачей. Существует мнение, что самые эффективные атаки на операционные системы могут быть организованы только с помощью сложнейших средств, основанных на самых последних достижениях науки и техники, а злоумышленник должен быть программистом высочайшей квалификации. Это не совсем так. Пользователю следует быть в курсе всех новинок в области компьютерной техники. Да и высокая квалификация – совсем не лишнее. Однако искусство злоумышленника-хакера состоит отнюдь не в том, чтобы взламывать любую самую «крутую» компьютерную защиту. Нужно просто суметь найти слабое место в конкретной системе защиты. При этом простейшие методы взлома оказываются ничуть не хуже самых изощренных, поскольку, чем проще алгоритм атаки, тем больше вероятность ее завершения без ошибок и сбоев, особенно если возможности предварительного тестирования этого алгоритма в условиях, приближенных к «боевым» на практике ограничены. Успех реализации того или иного алгоритма атаки на практике в значительной степени зависит от архитектуры и конфигурации конкретной операционной системы, являющейся объектом этой атаки. Однако имеются атаки, которым может быть подвергнута практически любая операционная система: 1. кража пароля; 2. подглядывание за пользователем, когда тот вводит пароль, дающий право на работу с операционной системой (даже если во время ввода пароль не высвечивается на экране дисплея, злоумышленник может легко узнать пароль, просто следя за перемещением пальцев пользователя по клавиатуре); 3. получение пароля из файла, в котором этот пароль был сохранен пользователем, не желающим затруднять себя вводом пароля при 132


подключении к сети (как правило, такой пароль хранится в файле в незашифрованном виде); 4. поиск пароля, который пользователи, чтобы не забыть, записывают на календарях, в записных книжках или на оборотной стороне компьютерных клавиатур (особенно часто подобная ситуация встречается, если администраторы заставляют пользователей применять трудно запоминаемые пароли); 5. кража внешнего носителя парольной информации (дискеты или электронного ключа, на которых хранится пароль пользователя, предназначенный для входа в операционную систему); 6. полный перебор всех возможных вариантов пароля; 7. подбор пароля по частоте встречаемости символов и биграмм, с помощью словарей наиболее часто применяемых паролей, с привлечением знаний о конкретном пользователе – его имени, фамилии, номера телефона, даты рождения и т.д., с использованием сведений о существовании эквивалентных паролей, при этом из каждого класса опробуется всего один пароль, что может значительно сократить время перебора; 8. сканирование жестких дисков компьютера (злоумышленник последовательно пытается обратиться к каждому файлу, хранимому на жестких дисках компьютерной системы; если объем дискового пространства достаточно велик, можно быть вполне уверенным, что при описании доступа к файлам и каталогам администратор допустил хотя бы одну ошибку, в результате чего все такие каталоги и файлы будут прочитаны злоумышленником; для сокрытия следов злоумышленник может организовать эту атаку под чужим именем: например, под именем пользователя, пароль которого известен злоумышленнику); 9. сборка «мусора» (если средства операционной системы позволяют восстанавливать ранее удаленные объекты, злоумышленник может воспользоваться этой возможностью, чтобы получить доступ к объектам, удаленным другими пользователями: например, просмотрев содержимое их «мусорных» корзин); 10. превышение полномочий (используя ошибки в программном обеспечении или в администрировании операционной системы, злоумышленник получает полномочия, превышающие полномочия, предоставленные ему согласно действующей политике безопасности); 11. запуск программы от имени пользователя, имеющего необходимые полномочия, или в качестве системной программы (драйвера, сервиса, домена и т. д.); 133


12. подмена динамически загружаемой библиотеки, используемой системными программами, или изменение переменных среды, описывающих путь к таким библиотекам; 13. модификация кода или данных подсистемы защиты самой операционной системы; 14. отказ в обслуживании (целью этой атаки является частичный; или полный вывод из строя операционной системы); 15. захват ресурсов (специальная программа производит захват всех имеющихся в операционной системе ресурсов, а затем входит в бесконечный цикл); 16. бомбардировка запросами (специальная программа постоянно направляет операционной системе запросы, реакция на которые требует привлечения значительных ресурсов компьютера); 17. использование ошибок в программном обеспечении или администрировании. Если в программном обеспечении корпоративной системы нет ошибок и ее администратор строго соблюдает политику безопасности, рекомендованную разработчиками операционной системы, то атаки всех перечисленных типов малоэффективны. Дополнительные меры, которые должны быть предприняты для повышения уровня безопасности, в значительной степени зависят от конкретной операционной системы, под управлением которой работает данная корпоративная система. Тем не менее приходится признать, что вне зависимости от предпринятых мер полностью устранить угрозу взлома корпоративной системы на уровне операционной системы невозможно. Поэтому политика обеспечения безопасности должна проводиться так, чтобы, даже преодолев защиту, создаваемую средствами операционной системы, злоумышленник не смог нанести серьезного ущерба. 2.2.2.3. Атаки на уровне сетевого программного обеспечения СПО является наиболее уязвимым элементом корпоративной сети, потому что канал связи, по которому передаются сообщения, чаще всего не защищен, и всякий, кто может иметь доступ к этому каналу, соответственно может перехватывать сообщения и отправлять свои собственные. Поэтому на уровне СПО возможны следующие атаки: • прослушивание сегмента локальной сети (в пределах одного и того же сегмента локальной сети любой подключенный к нему компьютер в состоянии принимать сообщения, адресованные другим компьютерам сегмента, а следовательно, если компьютер злоумышленника подсоединен к некоторому сегменту локальной сети, то ему становится доступен весь информационный обмен между компьютерами этого сегмента); 134


перехват сообщений на маршрутизаторе (если злоумышленник имеет привилегированный доступ к сетевому маршрутизатору, то он получает возможность перехватывать все сообщения, проходящие через этот маршрутизатор, и хотя тотальный перехват невозможен из-за слишком большого объема, чрезвычайно привлекательным для злоумышленника является выборочный перехват сообщений, содержащих пароли пользователей и их электронную почту); создание ложного маршрутизатора (путем отправки в сеть сообщений специального вида злоумышленник добивается, чтобы его компьютер стал маршрутизатором сети, после чего получает доступ ко всем проходящим через него сообщениям); навязывание сообщений (отправляя в сеть сообщения с ложным обратным сетевым адресом, злоумышленник переключает на свой компьютер уже установленные сетевые соединения и в результате получает права пользователей, чьи соединения обманным путем были переключены на компьютер злоумышленника); отказ в обслуживании (злоумышленник отправляет в сеть сообщения специального вида, после чего одна или несколько корпоративных систем, подключенных к сети, полностью или частично выходят из строя).

2.2.3. Обоснование необходимости создания системы обеспечения информационной безопасности корпоративной сети Эффективное решение вопросов безопасности на современном предприятии возможно только при условии построения единой взаимосвязанной системы безопасности, охватывающей все аспекты его жизнедеятельности. Технология проведения комплекса мероприятий по обеспечению безопасного функционирования предприятия состоит из следующих этапов: • исследования по анализу рисков; • разработка политики безопасности и проекта защиты объекта; • внедрение технических средств защиты и сопутствующих организационных мер; • поддержка требуемого уровня безопасности. Основополагающим в достижении поставленной цели является первый из перечисленных этапов – всестороннее изучение фактического состояния дел в области безопасности на объекте и выработка конкретных рекомендаций. 135


Поскольку на уровне предприятия стратегия защиты реализуется обычно в форме выбора и построения одного из вариантов комплексной системы защиты, проведение аналитических исследований в первую очередь представляет интерес для людей, от которых зависит принятие конкретных решений, то есть для руководящего состава предприятия. Проведенные исследования позволяют руководителю проверить текущее состояние дел в этой области: оценить эффективность использования всех ресурсов, имеющихся в его распоряжении, а также степень зависимости проблем безопасности от научно-производственной, управленческой, финансовой, маркетинговой, хозяйственной и иных видов деятельности предприятия. Другими словами, подобные работы дают возможность составить четкое представление о существующих на предприятии проблемах, их влиянии на стабильность бизнеса, выражающемся в уменьшении рентабельности производства и производительности труда, ухудшении морально-психологического климата в коллективе, разглашении конфиденциальной информации, прежде всего технической или содержащей ноу-хау. Все эти проблемы в конечном итоге могут привести к утрате конкурентоспособности предприятия. Таким образом, аналитический отчет, представленный по результатам исследований, позволит руководителю произвести оценку устойчивости возглавляемой им структуры на занимаемом сегменте рынка, давая одновременно системный подход для принятия решений об эффективности, целесообразности и порядке действий по увеличению основных финансово-хозяйственных показателей деятельности предприятия. Представляемый отчет дает руководителю лишь систему предварительных оценок, в которых главенствующую роль играет даже не количество выявленных угроз или их качество, а сочетание вероятности их практического воплощения с величиной того ущерба, который за этим последует. Необходимо еще раз подчеркнуть важность комплексного подхода в вопросах обеспечения безопасности. Практика показывает, что установка любых самых современных средств защиты без предварительного проведения аналитических работ отнюдь не гарантирует отсутствие дыр в системе безопасности. Следует учесть, что наличие уязвимостей может быть вызвано не только и не столько количественным или качественным недостатком этих средств, но и, к примеру, упущениями в подготовке организационно-нормативной базы, поддерживающей внедрение комплексов защиты. Полученные в результате обследования рекомендации не стоит воспринимать в качестве раз и навсегда принятой догмы. Изменяется организационно-штатная структура предприятия, топология информационновычислительной сети, появляются новые корпуса и т.п.. Все это влечет за 136


собой не только возникновение новых, но и исчезновение старых проблем. Но даже, если организация являет собой образец стабильности, остальной мир не стоит на месте: совершенствуются технические средства съема информации, появляются новые способы атак на вычислительные системы. Соответственно проведение аналитических исследований следует рассматривать как периодически повторяемую акцию. В этом случае руководство получает в руки хороший, исправно работающий инструмент для управления рисками на предприятии. К сожалению, иногда проведение аналитических исследований воспринимается отдельными руководителями или службами безопасности как попытка выявления действующих защитных механизмов. Причина этого кроется в российской привычке максимального закрытия любой информации о собственном бизнесе. Отсюда же проистекает мнение, что с этой работой вполне может справиться собственная служба безопасности. Вместе с тем за рубежом именно эти службы являются активными сторонниками проведения аналитических исследований. Аналитики действуют в тесном контакте со службой безопасности, они не роются в документах и файлах, а всего лишь путем наблюдений, бесед с персоналом, оценки нормативной базы и т. д. делают вывод о том, насколько существующая на объекте система управления ориентирована на предотвращение возможных потерь. Специалист-аналитик привносит в эту систему еще одно звено – независимую оценку имеющихся на предприятии механизмов защиты. Кстати, исходя из собственной практики, отметим, что многие российские компании, согласившиеся на проведение таких исследований, впоследствии сами приглашали наших специалистов для последующего аудита. Необходимость проведения разноплановых исследований (например, по таким направлениям, как организационные вопросы, системы управления доступом на объект, системы видеонаблюдения, предотвращение побочных электромагнитных излучений и наводок компьютерных систем, защита речевой информации в помещениях и каналах связи) предполагает участие самых разных специалистов, которых далеко не всегда можно найти среди штатного персонала предприятия. Этот довод является еще одним аргументом в пользу приглашения людей, профессионально занимающихся этой работой. Нередко организации, вплотную приступившие к созданию полноценной системы безопасности, сталкиваются с определенным кругом проблем социально-политического характера.

137


2.2.4. Принципы построения системы обеспечения информационной безопасности корпоративной сети Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов. Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности. Суть этого принципа заключается в постоянном контроле функционирования системы, выявлении ее слабых мест, возможных каналов утечки информации и несанкционированного доступа (НСД), обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть разовым мероприятием. Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах корпоративной сети и на всех этапах технологического цикла обработки информации. Комплексный характер защиты информации обусловлен действиями злоумышленников. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения. Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм – систему информационной безопасности корпоративной сети. Только в этом случае появляются системные свойства, не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования. Можно определить систему информационной безопасности как организованную совокупность органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа. Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами. 138


Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты. С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований. Защита информации должна быть: • централизованной: необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта; • плановой: планирование осуществляется для обеспечения взаимодействия всех подразделений организации в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации; • конкретной и целенаправленной: защите подлежат абсолютно конкретные информационной ресурсы, представляющие интерес для конкурентов; • активной: защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментов, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»; • надежной и универсальной, охватывать весь технологический комплекс функционирования корпоративной сети: методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена; • нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам; • открытой для изменения и дополнения мер обеспечения безопасности информации; • экономически эффективной: затраты на систему защиты не должны превышать размеры возможного ущерба. Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут полезны создателям систем информационной безопасности: 139


средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей; • каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы; • возможность отключения защиты в особых случаях, например, когда механизмы защиты реально мешают выполнению работ; • независимость системы защиты от субъектов защиты; • разработчики должны предполагать, что злоумышленники или легальные пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты; • отсутствие излишней информации о существовании механизмов защиты. Все перечисленные позиции должны лечь в основу формирования системы защиты информации корпоративной сети. Теперь, владея основными концептуальными положениями, необходимо освоить механизм выработки детальных предложений по формированию политики и построению системы информационной безопасности. 2.2.5. Порядок разработки системы обеспечения информационной безопасности корпоративной сети Прежде чем приступать к разработке системы информационной безопасности, необходимо определить, что же для организации (физического лица) является интеллектуальной собственностью. С точки зрения делового человека, интеллектуальной собственностью являются информационные ресурсы, знания, которые помогают ему эффективно разрабатывать и изготавливать новую продукцию, выгодно продавать товар или каким-то другим образом увеличивать свою прибыль. Способ управления производством, технологический процесс, список клиентов, профиль научных исследований, анализ конкурентоспособности – вот лишь некоторые примеры. Незнание того, что составляет интеллектуальную собственность, – уже шаг к потерям финансовым, моральным и материальным. Именно с этого надо начинать создание системы защиты информации. Затем, вне зависимости от размеров организации и специфики ее информационной системы, необходимо: • определить границы управления информационной безопасностью объекта; • провести анализ уязвимости; • выбрать контрмеры, обеспечивающие информационную безопасность; 140


• • • •

определить политику информационной безопасности; проверить систему защиты; составить план защиты; реализовать план защиты (управление системой защиты). 2.2.6. Определение границ управления информационной безопасностью корпоративной сети

Целью этого этапа является определение всех возможных «болевых точек» объекта, которые могут доставить неприятности с точки зрения безопасности информационных ресурсов, представляющих для организации определенную ценность. Для работ на данном этапе должны быть собраны следующие сведения: 1. Перечень сведений, составляющих коммерческую или служебную тайну. 2. Организационно-штатная структура предприятия или организации. 3. Характеристика и план объекта, размещение средств вычислительной техники и поддерживающей инфраструктуры. На плане объекта указывается порядок расположения административных зданий, производственных и вспомогательных помещений, различных строений, площадок, складов, стендов и подъездных путей с учетом масштаба изображения. Дополнительно на плане указываются структура и состав автоматизированной системы, помещения, в которых имеются технические средства обработки критичной информации с учетом их расположения. Указываются также контуры вероятного установления информационного контакта с источником излучений по видам технических средств наблюдения с учетом условий среды, по времени и месту. 1. Перечень и характеристика используемых автоматизированных рабочих мест, серверов, носителей информации. 2. Описание информационных потоков, технология обработки информации и решаемые задачи, порядок хранения информации. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов. 3. Используемые средства связи (цифровая, голосовая и т. д.). Знание элементов системы дает возможность выделить критичные ресурсы и определить степень детализации будущего обследования. Инвентаризация информационных ресурсов должна производиться исходя из последующего анализа их уязвимости. Чем качественнее будут проведены 141


работы на этом этапе, тем выше будет достоверность оценок на следующем. В результате должен быть составлен документ, в котором зафиксированы границы системы, перечислены ресурсы, подлежащие защите, дана система критериев для оценки их ценности. В идеале такой документ должен включать информационно-логическую модель объекта, иллюстрирующую технологию обработки критичной информации с выделением вероятных точек уязвимости, по каждой из которых необходимо иметь полную характеристику. Такая модель является базой, а ее полнота – залогом успеха на следующем этапе построения системы информационной безопасности. 2.2.7. Анализ уязвимости корпоративной сети Это самый главный этап во всей работе. От того, насколько полно и правильно будет проанализировано состояние защищенности информационных ресурсов, зависит эффективность всех последующих мероприятий. Необходимо рассмотреть все возможные угрозы и оценить размеры возможного ущерба. Под угрозой (риском) следует понимать реальные или возможные действия или условия, приводящие к хищению, искажению, изменению или уничтожению информации в информационной системе, а также к прямым материальным убыткам за счет воздействия на материальные ресурсы. Анализируемые виды угроз следует выбрать из соображений здравого смысла, но в пределах выбранных видов провести максимально полное рассмотрение. Оценивая вероятность осуществления угроз, целесообразно учитывать не только среднестатистические данные, но и специфику конкретных информационных систем. Для проведения анализа уязвимости целесообразно иметь в распоряжении исследователя модели каналов утечки информации и НСД, методики определения вероятности информационного контакта, модель нарушителя, перечень возможностей информационных инфекций, способы применения и тактико-технические возможности технических средств ведения разведки, методику оценки информационной безопасности. Анализ уязвимости начинается с выбора анализируемых объектов и определения степени детальности их рассмотрения. На этом этапе большую помощь может оказать разработанная инфологическая структура объекта. Для определения объектов защиты удобно рассматривать корпоративную сеть как четырехуровневую систему. 142


Внешний уровень характеризуется информационными, главным образом сетевыми, сервисами, предоставляемыми данной системой, и аналогичными сервисами, запрашиваемыми другими подсистемами. На этом уровне должны отсекаться как попытки внешнего несанкционированного доступа к ресурсам подсистемы, так и попытки обслуживающего персонала корпоративной сети несанкционированно переслать информацию в каналы связи. Сетевой уровень связан с доступом к информационным ресурсам внутри локальных сетей. Безопасность информации на этом уровне обеспечивается средствами проверки подлинности пользователей и разграничением доступа к ресурсам локальной сети (идентификация, аутентификация и авторизация). Системный уровень связан с управлением доступом к ресурсам операционной системы. Защите системных ресурсов должно уделяться особое внимание, поскольку НСД к ним может сделать бессмысленными прочие меры безопасности. Важность именно этого уровня подтверждается тем фактом, что долгое время вопросы информационной безопасности сводились исключительно к рассмотрению защиты на данном уровне средствами операционной системы. Уровень приложений связан с использованием прикладных ресурсов корпоративной сети. Поскольку именно приложения на содержательном уровне работают с данными, для них нужны собственные механизмы обеспечения информационной безопасности. На каждом уровне определяются уязвимые элементы. Уязвимым является каждый компонент информационной системы. Но в сферу анализа невозможно включить каждый байт. Приходится останавливаться на некотором уровне детализации, отдавая себе отчет в приближенности оценки. Для новых систем предпочтителен детальный анализ. Старая система, подвергшаяся небольшим модификациям, может быть проанализирована только с точки зрения оценки влияния новых элементов на безопасность всей системы. Следующим шагом на пути анализа уязвимости является моделирование каналов утечки информации и НСД. Любые технические средства по своей природе потенциально обладают каналами утечки информации. Под каналом утечки информации будем понимать физический путь от источника конфиденциальной информации, по которому возможна утечка охраняемых сведений, к злоумышленнику. Для возникновения (образования, установления) канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также соответствующие средства приема и фиксации информации на стороне злоумышленника. 143


Применительно к практике с учетом физической природы образования каналы утечки информации можно разделить на следующие группы: • визуально-оптические; • акустические (включая и акустико-преобразовательные); • электромагнитные (включая магнитные и электрические); • материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида). Основная задача моделирования каналов утечки информации и соответствующих способов несанкционированного доступа к источникам конфиденциальной информации на конкретном объекте защиты – выявление особенностей, характеристик, условий возникновения каналов и в результате получение новых знаний, необходимых для построения системы защиты информации. Основное требование к модели – адекватность, то есть степень соответствия разработанной модели реально протекающим процессам. Любая модель канала утечки информации должна показывать не только сам путь, но и возможность (вероятность) установления информационного контакта. Вероятность установления информационного контакта – численная величина, определяемая пространственными, временными и энергетическими условиями и характеристиками средства наблюдения. Условия установления информационного контакта можно представить в виде следующей обобщенной модели. Разнообразие источников конфиденциальной информации, способов несанкционированного доступа к ним и средств реализации несанкционированного доступа в конкретных условиях требует разработки частных моделей каждого варианта информационного контакта и оценки вероятности его возникновения. Имея определенные методики, можно рассчитать возможность такого контакта в конкретных условиях. Главная ценность подобных методик заключается в возможности варьирования аргументами функции (мощность излучения, высота и коэффициент концентрации антенны и т. п.) в интересах достижения минимальных значений вероятности установления информационного контакта, а значит, и в поиске совокупности способов снижения ее значений. Для анализа уязвимости информационных ресурсов необходимо не только выявить каналы утечки информации, хорошо представлять облик нарушителя, вероятные способы его действий, намерения, а также возможности технических средств получения информации по различным каналам. Только совокупность этих знаний позволит адекватно среагировать на возможные угрозы и в конце концов выбрать соответствующие средства защиты. 144


Сами же действия нарушителя во многом определяются надежностью системы защиты информации, так как для достижения своих целей он должен приложить некоторые усилия, затратить определенные ресурсы. Если система защиты достаточно надежна, его затраты будут чрезмерно высоки, и он откажется от своего замысла. Поэтому представляется целесообразным разработать наиболее вероятный сценарий осуществления противоправных действий по доступу к информации (нарушения) в конкретной системе, одной из важнейших составляющих которого и является модель нарушителя. Наличие такого сценария, который должен постоянно корректироваться на основе новых знаний о возможностях нарушителя, после изменений в системе защиты и на основе анализа причин произошедших нарушений, позволит повлиять на сами причины либо точнее определить требования к системе защиты от данного вида нарушений. Основные контуры модели нарушителя определены в руководящем документе Гостехкомиссии России «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». В соответствии с этим документом в качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами автоматизированной системы (АС) и средствами вычислительной техники (СВТ) как части АС, являющийся специалистом высшей квалификации, знающий все об АС и, в частности, о системе и средствах ее защиты. Кроме уровня знаний нарушителя, его квалификации, подготовленности к реализации своих замыслов, для формирования наиболее полной модели нарушителя необходимо определить: • категорию лиц, к которым может принадлежать нарушитель; • мотивы действий нарушителя (преследуемые нарушителем цели); • техническую оснащенность и используемые для совершения нарушения методы и средства; • предполагаемые место и время осуществления незаконных действий нарушителя; • ограничения и предположения о характере возможных действий. Результаты исследований причин нарушений (по данным Datapro Information Services Group и других организаций) говорят об одном: главный источник нарушений – внутри самой автоматизированной системы: 75–85 % нарушений совершаются самими служащими организации, имеющими доступ к ее системе, и только 15–25 % нарушений совершаются лицами со стороны. Внутренними нарушителями могут быть: • пользователи (операторы) системы; 145


персонал, обслуживающий технические средства (инженеры, техники и т. п.); • сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты); • технический персонал, обслуживающий здания и имеющий доступ в помещения, выделенные для размещения компонентов АС; • руководители различных уровней. Внешними нарушителями могут быть: • клиенты (представители сторонних организаций, граждане); • представители организаций, с которыми осуществляется взаимодействие; • лица, случайно или умышленно нарушившие пропускной режим; • любые лица за пределами контролируемой зоны. При формировании модели нарушителя и оценке риска от действий персонала необходимо дифференцировать всех сотрудников по возможности доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал. Таким образом, каждый пользователь в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Кроме того, необходимо учитывать, что пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. В результате можно оценить степень риска данной категории пользователей относительно данного элемента системы и представить результаты анализа в виде таблицы соответствий. Приведенный подход к категорированию персонала системы по степени риска должен использоваться для определения возможностей каждого типа нарушителя по незаконному доступу к информации, циркулирующей в корпоративной сети. Наличие такой информации, безусловно, облегчит дальнейшую работу по проектированию системы и ее эксплуатации. При формировании модели нарушителя следует уделять особое внимание личности нарушителя. Это поможет разобраться в побудительных мотивах и принять соответствующие меры для уменьшения вероятности совершения нарушений. В целях овладения конфиденциальной информацией нарушители широко используют современные технические средства, обеспечивающие реализацию рассмотренных способов несанкционированного доступа к объектам и источникам охраняемых сведений. По технической оснащенности и используемым методам и средствам нарушители подразделяются на: 146


применяющих пассивные средства (средства перехвата без модификации компонентов системы); • использующих только штатные средства и недостатки системы защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств); • применяющих методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ). Приведенная классификация предусматривает, прежде всего, постоянное обновление информации о характеристиках технических и программных средств ведения разведки и обеспечения доступа к информации. Незаконные действия нарушитель может осуществлять: • в разное время (в процессе функционирования АС, во время работы компонентов системы, во время плановых перерывов в работе АС, в нерабочее время, в перерывы для обслуживания и ремонта и т. п.); • с разных мест (из-за пределов контролируемой зоны АС; внутри контролируемой зоны АС, но без доступа в выделенные для размещения компонентов АС помещения; внутри выделенных помещений, но без доступа к техническим средствам АС; с доступом к техническим средствам АС и с рабочих мест конечных пользователей; с доступом в зону данных, архивов и т. п.; с доступом в зону управления средствами обеспечения безопасности АС). Учет места и времени действий злоумышленника также позволит конкретизировать его возможности и учесть их для повышения качества системы защиты информации. Определение значений возможных характеристик нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Наличие совокупности моделей действий нарушителя может быть полезной с точки зрения прогнозирования возможных событий во всем разнообразии складывающихся ситуаций, предотвращения действий нарушителя, построения надежной системы защиты информации, использования современных средств интеллектуальной поддержки для управления системой защиты. Теперь в руках исследователя есть все исходные данные для оценки потерь (возможного ущерба). 147


Желательно, чтобы эта оценка была количественной. Для оценки потерь могут быть использованы как точные методы современной математики, так и методы экспертных оценок, которые весьма широко используются при решении подобных задач. Оценивая тяжесть ущерба, необходимо иметь в виду: • непосредственные расходы на замену оборудования, анализ и исследование причин и величины ущерба, восстановление информации и функций АС по ее обработке; • косвенные потери, связанные со снижением банковского доверия, потерей клиентуры, подрывом репутации, ослаблением позиций на рынке. Естественно, информационные потери требуют расходов на их восстановление, что приводит к временным задержкам, вызывающим соответствующие претензии пользователей, потерю интересов, а иногда и финансовые санкции. Для оценки потерь необходимо описать сценарий действий трех сторон – нарушителя по использованию добытой информации, службы информационной безопасности по предотвращению последствий и восстановлению нормального функционирования системы и третьей стороны. Оценив потери по каждой из вероятных угроз, необходимо определить стратегию управления рисками. При этом возможно несколько подходов: • уменьшение риска (многие риски могут быть существенно уменьшены путем использования весьма простых и дешевых контрмер); • уклонение от риска (от некоторых классов рисков можно уклониться. Например, вынесение web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны web-клиентов); • изменение характера риска (можно принять некоторые меры, например страхование отдельных рисков); • принятие риска (не все риски могут быть уменьшены до пренебрежимо малой величины). Возможна ситуация, когда для уменьшения риска не существует эффективных и приемлемых по цене мер. В этом случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий. На практике после принятия стандартного набора контрмер ряд рисков уменьшается, но остается все еще значимым. Необходимо знать остаточную величину риска. Если какие-либо риски оказались недопустимо высокими, следует реализовать дополнительные защитные меры. 148


Проведение анализа рисков и оценки потерь требуют глубоких системных знаний и аналитического мышления во многих смежных областях проблемы защиты информации. Без таких знаний невозможно построить впоследствии надежную систему информационной безопасности на выделенные средства в заданные сроки. По результатам работ на этапе анализа уязвимости должно быть подготовлено экспертное заключение о защищенности информационных ресурсов на объекте, включающее в себя: • модели каналов утечки информации и НСД; • методики определения вероятностей установления информационного контакта для внешних нарушителей; • сценарии возможных действий нарушителя по каждому из видов угроз, учитывающие модель нарушителя, возможности системы защиты информации и технических средств разведки, а также действия нарушителя после ознакомления с информацией, ее искажения или уничтожения. Руководство предприятия или организации, как правило, ожидает точной количественной оценки защищенности информационных ресурсов на объекте. Не всегда удается получить такие оценки, однако можно вычленить наиболее уязвимые участки и сделать прогноз о возможных проявлениях описанных в отчете угроз. 2.2.8. Выбор контрмер и определение политики информационной безопасности Предпринимаемые меры защиты должны быть адекватны вероятности осуществления данного типа угрозы и потенциальному ущербу, который может быть нанесен в том случае, если угроза осуществится (включая затраты на защиту от нее). Необходимо иметь в виду, что многие меры защиты требуют достаточно больших вычислительных ресурсов, что в свою очередь существенно влияет на процесс обработки информации. В связи с этим современный подход к решению этой проблемы заключается в применении принципов ситуационного управления защищенностью информационных массивов. Суть такого подхода заключается в том, что требуемый уровень безопасности информации устанавливается в соответствии с ситуацией, определяющей соотношение между ценностью перерабатываемой информации, затратами (снижением производительности сети, дополнительным расходом оперативной памяти и др.), которые необходимы для его достижения, и возможными суммарными потерями (материальными, моральными и др.) от искажения и несанкционированного использования информации. 149


Необходимые характеристики защиты информационных ресурсов определяются в ходе ситуационного планирования при непосредственной подготовке к реализации технологического процесса защищенной обработки информации с учетом сложившейся ситуации, а также (в сокращенном объеме) во время процесса обработки. Выбирая защитные меры, приходится учитывать не только прямые расходы на закупку оборудования и программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала. Важным обстоятельством является совместимость нового средства со сложившейся аппаратно-программной структурой объекта. Зарубежный опыт в области защиты интеллектуальной собственности и отечественный опыт в защите государственных секретов показывает, что эффективной может быть только комплексная защита, сочетающая в себе такие направления защиты, как правовое, организационное и инженерно-техническое. Правовое направление предусматривает формирование совокупности законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации. Организационное направление – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативноправовой основе построена таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможным или существенно затрудняются за счет проведения организационных мероприятий. По мнению специалистов, организационные мероприятия играют большую роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловлены не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. К организационным мероприятиям можно отнести: • мероприятия, осуществляемые при проектировании, строительстве и оборудовании служебных и производственных зданий и помещений; • мероприятия, осуществляемые при подборе персонала; • организация и поддержание надежного пропускного режима, охраны помещений и территории, контроля посетителей; • организация хранения и использования документов и носителей конфиденциальной информации; • организация защиты информации; • организация регулярного обучения сотрудников. 150


Одним из основных компонентов организационного обеспечения информационной безопасности объекта является служба информационной безопасности (СИБ). СИБ есть орган управления системой защиты информации. Именно от профессиональной подготовленности сотрудников службы информационной безопасности, наличия в их арсенале современных средств управления безопасностью во многом зависит эффективность мер по защите информации. Ее штатная структура, численность и состав определяются реальными потребностями фирмы, степенью конфиденциальности информации и общим состоянием безопасности. Основная цель функционирования СИБ – используя организационные меры и программно-аппаратные средства, избежать или хотя бы свести до минимума возможность нарушения политики безопасности, либо в крайнем случае вовремя заметить и устранить последствия нарушения. Для обеспечения успешной работы СИБ необходимо определить ее права и обязанности, а также правила взаимодействия с другими подразделениями по вопросам защиты информации на объекте. Численность службы должна быть достаточной для выполнения всех возлагаемых на нее функций. Желательно, чтобы штатный состав службы не имел обязанностей, связанных с функционированием объекта защиты. Службе информационной безопасности должны быть обеспечены все условия, необходимые для выполнения своих функций. Ядром инженерно-технического направления являются программноаппаратные средства защиты информации. К аппаратным средствам относятся механические, электромеханические, электронные, оптические, лазерные, радиотехнические, радиолокационные и другие устройства, системы и сооружения, предназначенные для обеспечения безопасности и защиты информации. Под программным обеспечением безопасности информации понимается совокупность специальных программ, реализующих функции защиты информации и режима функционирования. Сформированная совокупность правовых, организационных и инженерно-технических мероприятий выливается в соответствующую политику безопасности. Политика безопасности определяет облик системы защиты информации в виде совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений, направленных на противодействие угрозам с целью исключения или минимизации возможных последствий проявления информационных воздействий. После принятия того или иного варианта политики безопасности необходимо оценить уровень безопасности информационной системы. Есте151


ственно, что оценка защищенности производится по совокупности показателей, основными из которых являются стоимость, эффективность, реализуемость. Задача оценки вариантов построения системы защиты информации достаточно сложная, требующая привлечения современных математических методов многопараметрической оценки эффективности. К таким методам относятся метод анализа иерархий, экспертные методы, метод последовательных уступок и ряд подобных. 2.2.9. Проверка системы защиты корпоративной сети Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, то можно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс анализа уязвимости с учетом изменений в системе защиты. После того как сформирован возможный сценарий действий нарушителя, возникает необходимость проверки системы защиты информации. Такая проверка называется «тестирование на проникновение». Цель – предоставление гарантий того, что не существует простых путей для неавторизованного пользователя обойти механизмы защиты. Один из возможных способов аттестации безопасности системы – приглашение специалистов для имитации взлома без предварительного уведомления персонала сети. Для этого выделяется группа из двух-трех человек, имеющих высокую профессиональную подготовку. Этой группе предоставляется в распоряжение автоматизированная система в защищенном исполнении, и она в течение 1–3 месяцев пытается найти уязвимые места и разработать на их основе тестовые средства для обхода механизмов защиты. Наемные специалисты по результатам работы представляют конфиденциальный доклад с оценкой уровня доступности информации и рекомендациями по улучшению защиты. Наряду с таким способом используются программные средства тестирования. 2.2.10. Составление плана защиты На этом этапе в соответствии с выбранной политикой безопасности разрабатывается план ее реализации. План защиты является документом, вводящим в действие системы защиты информации и утверждается руководителем предприятия (организации). Планирование связано не только с наилучшим использованием всех возможностей, которыми мы располагаем, в том числе выделенных ресур152


сов, но и с предотвращением ошибочных действий, могущих привести к снижению эффективности предпринятых мер по защите информации. План защиты информации на объекте должен включать: • описание защищаемой системы (основные характеристики защищаемого объекта: назначение объекта, перечень решаемых задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите, и требований по обеспечению доступа, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т. п.); • цель защиты системы и пути обеспечения безопасности АС и циркулирующей в ней информации; • перечень значимых угроз безопасности АС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба; • политику информационной безопасности; • план размещения средств и функциональную схему системы защиты информации на объекте; • спецификацию средств защиты информации и смету затрат на их внедрение; • календарный план проведения организационных и технических мероприятий по защите информации, порядок ввода в действие средств защиты; • основные правила, регламентирующие деятельность персонала по вопросам обеспечения информационной безопасности объекта (особые обязанности должностных лиц АС); • порядок пересмотра плана и модернизации средств защиты. Пересмотр плана защиты осуществляется при изменении следующих компонентов объекта: • кадровые изменения; • изменения архитектуры информационной системы (подключение других локальных сетей, рассредоточение узлов АС, изменение или модификация используемых средств вычислительной техники или ПО); • изменения территориального расположения компонентов АС. В рамках плана защиты необходимо иметь план действий персонала в критических ситуациях. Такой план называется планом обеспечения непрерывной работы и восстановления информации и содержит следующие пункты: • цель обеспечения непрерывности процесса функционирования АС, восстановления ее работоспособности и пути ее достижения; 153


• •

перечень и классификация возможных кризисных ситуаций; требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации, ведения текущих, долговременных и аварийных архивов; состав резервного оборудования и порядок его использования и т. п.); • обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального функционирования системы. Если организация осуществляет обмен электронными документами с партнерами по выполнению единых заказов, то необходимо в план защиты включить договор о порядке организации обмена электронными документами, в котором отражаются следующие вопросы: • разграничение ответственности субъектов, участвующих в процессах обмена электронными документами; • определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов; • определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.); • определение порядка разрешения споров в случае возникновения конфликтов. Исходя из того, что план защиты информации представляет собой пакет текстуально-графических документов, необходимо отметить, что наряду с приведенными компонентами этого пакета в него могут входить: • положение о коммерческой тайне, определяющее перечень сведений, составляющих коммерческую тайну, и порядок его определения, а также обязанности должностных лиц по защите коммерческой тайны; • положение о защите информации, регламентирующее все направления деятельности по реализации политики безопасности, а также ряд дополнительных инструкций, правил, положений, соответствующих специфике объекта защиты. 2.2.11. Управление системой защиты На данном этапе прежде всего проводятся разработка необходимых документов, заключение договоров с поставщиками, монтаж и настройка оборудования, и т. д. После того как сформирована система защиты информации, решается задача ее эффективного использования, а значит, управления безопасностью. 154


Управление (management, control) – процесс целенаправленного воздействия на объект, осуществляемый для организации его функционирования по заданной программе. Управление информационной безопасностью должно быть: • устойчивым к активным вмешательствам нарушителя; • непрерывным, обеспечивающим постоянное воздействие на процесс защиты; • скрытным, не позволяющим выявлять организацию управления защитой информации; • оперативным, обеспечивающим возможность своевременно и адекватно реагировать на действия злоумышленников и реализовывать управленческие решения к заданному сроку. Кроме того, решения по защите информации должны быть обоснованными с точки зрения всестороннего учета условий решения поставленной задачи, применения различных моделей, расчетных и информационных задач, экспертных систем, опыта и любых других данных, повышающих достоверность исходной информации и принимаемых решений. Показателем эффективности управления защитой информации является время цикла управления при заданном качестве принимаемых решений. В цикл управления входит сбор необходимой информации для оценки ситуации, принятие решения, формирование соответствующих команд и их исполнение. В качестве критерия эффективности может использоваться время реакции системы защиты информации на нарушение, которое не должно превышать времени устаревания информации исходя из ее ценности. Как показывает разработка реальных автоматизированных систем, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации. Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволят с наибольшей эффективностью обеспечить решение постоянной задачи. Методологические основы обеспечения информационной безопасности являются достаточно общими рекомендациями, базирующимися на мировом опыте создания подобных систем. Задача каждого специалиста по защите информации – адаптировать абстрактные положения к своей конкретной предметной области (предприятию, организации, банку), в которых всегда найдутся свои особенности и тонкости этого непростого ремесла. Можно быть уверенным, что система защиты информации, построенная в соответствии с приведенными выше рекомендациями и оцененная 155


по предложенным показателям и критериям, станет вашим верным помощником в решении проблем информационной безопасности. 2.2.12. Нормативно-методические документы по обеспечению информационной безопасности в организации К основным руководящим документам организации по информационной безопасности в целом и корпоративной сети в частности относятся: 1. Политика информационной безопасности и ее реализация. Данный документ предназначен для руководства и содержит основные положения, касающиеся информационной безопасности организации, перечень наиболее характерных угроз, модели нарушителей безопасности и приоритетные мероприятия по реализации политики информационной безопасности, включая перечень необходимых средств защиты информации, административные аспекты обеспечения безопасности (порядок назначения ответственных лиц, учет распределения паролей, действий администратора безопасности при попытках несанкционированного доступа или потери информации в корпоративной сети). 2. Руководство по определению прав пользователей по отношению к ресурсам и информации в корпоративной сети. Предназначено для руководителя подразделения (отдела) информационной безопасности и содержит рекомендации по определению прав пользователей (в зависимости от служебного положения и характера выполняемой работы) по отношению к аппаратным и программным средствам, а также информационным ресурсам корпоративной сети. 3. Положение об обеспечении информационной безопасности в корпоративной сети. 4. Положение о подразделении (отделе) защиты информации в корпоративной сети. 5. Положение об оперативно-поисковом подразделении (группе). 6. Руководство (дежурного) администратора безопасности корпоративной сети. 7. Руководство пользователя корпоративной сети. 8. Руководство по использованию средств защиты корпоративной сети. 9. Инструкции пользователям по правилам доступа к информации в корпоративной сети. 10. Правила разграничения доступа к информации в корпоративной сети. 11. Порядок сдачи-приема программного обеспечения в эксплуатацию. 156


2.2.13. Основные проблемы обеспечения информационной безопасности корпоративной сети Успешное проведение работ, направленных на повышение степени защищенности объекта, зависит не только от владения общей методологией их проведения, наличия квалифицированных специалистов и необходимого инструментария. Часто достижению положительного результата мешают невидимые на первый взгляд «подводные камни», к встрече с которыми следует быть готовым заранее. Анализ отечественного и зарубежного опыта убедительно доказывает необходимость создания целостной системы информационной безопасности учреждения, увязывающей оперативные, оперативно-технические и организационные меры защиты. Причем система безопасности должна быть оптимальной с точки зрения соотношения затрат и ценности защищаемых ресурсов. Необходима гибкость и адаптация системы к быстро меняющимся факторам окружающей среды, организационной и социальной обстановке в учреждении. Достичь такого уровня безопасности невозможно без проведения анализа существующих угроз и возможных каналов утечки информации, а также выработки политики информационной безопасности на предприятии. В конечном итоге должен быть создан план защиты, реализующий принципы, заложенные в политике безопасности. Именно о работах по анализу риска и выработке рекомендаций и пойдет речь в этой статье. Целью проведения работ являются определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка мер по предотвращению и ликвидации последствий нарушений режима безопасности. Чтобы достичь данной цели, необходимо учитывать специфику конкретной организации. Кто принимает участие в проведении работ по исследованию информационной защищенности? Вопросы приема, передачи и обработки информации могут касаться большей части сотрудников организации. Однако реально оказать влияние на информационную защищенность может технический персонал, способный понять все аспекты политики безопасности и ее реализации, а также руководители, способные влиять на проведение политики в жизнь. Но чаще всего сотрудники службы безопасности (информационной) и службы, отвечающей за автоматизацию процессов обработки информационных потоков. При проведении работ могут применяться разнообразные методы: экспертно-документальный метод; метод интервьюирования персонала, имеющего отношение к доступу и обработке конфиденциальной информации; измерение и оценка уровней излучения для отдельных технических средств и каналов утечки информации; проверка функций или комплекса 157


функций защиты информации с помощью тестирующих средств, а также путем их пробного запуска и наблюдения за их выполнением; попытки «взлома» систем защиты информации. Проведение работ по анализу риска лучше всего поручить профессионалам: собственным профессиональным службам или фирмам, специализирующимся на деятельности в этой области. Успешное их проведение возможно при владении общей методологией проведения работ вышеописанными методами, наличии квалифицированных специалистов и инструментария. Но существуют и другие проблемы и «подводные камни», на которые обязательно нужно обратить внимание. Это проблемы, выявленные на практике и слабо поддающиеся формализации. Проблемы не технического или технологического характера, которые, так или иначе, решаются, а проблемы социального и политического характера. Проблема 1 Отсутствие понимания у руководителей среднего и нижнего ранга, а также у персонала необходимости проведения работ по повышению уровня информационной безопасности. Дело в том, что на этой ступеньке управленческой лестницы, как правило, не видно стратегических задач, стоящих перед предприятием. Вопросы безопасности при этом могут вызывать также и раздражение – они создают «ненужные» трудности. Обычно приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности: • появление дополнительных ограничений для конечных пользователей и специалистов подразделений, затрудняющие пользование автоматизированной системой организации; • необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности. Указанная проблема является одной из основных. Все остальные вопросы так или иначе являются следствиями. Для ее преодоления важно решить следующие задачи: • повысить квалификацию персонала в области защиты информации путем проведения специальных собраний, семинаров; • повысить уровень информированности персонала, в частности о стратегических задачах, стоящих перед организацией. Проблема 2 Противостояние службы автоматизации и службы безопасности предприятия. Это вечная проблема, которая обусловлена родом деятельности и сферой влияния и ответственности этих структур внутри предприятия. Для 158


ее иллюстрации обратимся к статистике. Суть проблемы в том, что реализация системы защиты – в руках технических специалистов, а ответственность за безопасность лежит на службе безопасности. Специалисты службы безопасности хотят во что бы то ни стало ограничить при помощи межсетевых экранов весь трафик. Но люди, работающие в отделах автоматизации, не хотят решать дополнительные проблемы, связанные с обслуживанием специальных средств. Такие разногласия не лучшим образом сказываются на уровне защищенности всей организации. Решается эта проблема, как и большинство подобных, чисто управленческими методами. Важно, во-первых, иметь в организационной структуре предприятия механизм решения подобных споров. Например, две «враждующие» службы могут иметь единое начальство, которое будет решать вопросы их взаимодействия. Во-вторых, технологическая и организационная документация должна четко и грамотно делить сферы влияния и ответственности подразделений. Проблема 3 Личные амбиции и взаимоотношения на уровне руководителей среднего и высшего звена. К сожалению, это реальность. Взаимоотношения между руководителями могут быть разными: и хорошими, и плохими, и никакими. Бывает, что при проведении работ по исследованию информационной защищенности то или иное должностное лицо видит личную заинтересованность в результатах этих работ. И он оказывается прав: действительно, исследования – это достаточно сильный инструмент для решения собственных проблем и удовлетворения амбиций. Выводы и рекомендации, записанные в отчете, используются как руководство к дальнейшим действиям. Они имеют большой вес, в особенности если работы проводились независимыми экспертами. Таким образом, после завершения работ и включения «нужных» выводов в отчет появляется хорошая возможность опереться на него при случае. Возможна также и «вольная» трактовка выводов отчета в сочетании с проблемой 5, описанной ниже. Такая ситуация является крайне нежелательным фактором, так как искажает смысл проведения работ. Её нужно своевременно выявлять и ликвидировать на уровне высшего руководства предприятия. Наилучшим вариантом являются деловые взаимоотношения, когда во главу угла ставятся интересы предприятия, а не личные. Проблема 4 Низкий уровень исполнения намеченной программы действий по созданию системы защиты информации. Это достаточно банальная ситуация, когда стратегические цели и задачи теряются на уровне исполнения. Все может начинаться идеально. Ге159


неральный директор принимает решение о необходимости совершенствования системы информационной безопасности. Нанимается независимая консалтинговая фирма, выполняющая аудит существующей системы защиты информации. По окончании формируется отчет, включающий все необходимые рекомендации по защите информации, доработке существующего документооборота в части информационной безопасности, внедрению технических средств защиты информации и организационных мер, дальнейшей поддержке созданной системы. План защиты включает краткосрочные и долгосрочные мероприятия. Далее рекомендации передаются на исполнение в одно из подразделений службы безопасности. И здесь важно, чтобы они не утонули в болоте бюрократии, личных амбиций, нерасторопности и десятке других причин. Исполнитель может быть плохо проинформирован, недостаточно компетентен или просто не заинтересован в выполнении работ. В интересах того же генерального директора проконтролировать выполнение намеченного плана, дабы не потерять, во-первых, средства, вложенные в безопасность на начальном этапе, во-вторых, не понести потери в результате отсутствия таковой. Проблема 5 Низкая квалификация специалистов по защите информации. Данный аспект можно не считать серьезным препятствием, если он не является преградой на пути создания системы защиты информации. Дело в том, что в план защиты, как правило, включается такое мероприятие, как повышение квалификации специалистов в области защиты информации на предприятии. Для специалистов других служб могут проводиться семинары по основам организации защиты информации. Нужно верно оценивать реальную квалификацию сотрудников, занимающихся исполнением плана защиты. Зачастую неверные выводы или неумение применять методы защиты на практике приводят к сложностям при реализации рекомендованных мероприятий. При намеке на такие обстоятельства самым правильным выходом будет повышение квалификации специалистов по защите информации в специально созданных для этого центрах обучения. В принципе процесс повышения квалификации должен быть непрерывным, так как меняется уровень технологических решений в АС, меняются подходы к обеспечению безопасности и, что особенно важно, меняется политика безопасности конкретного предприятия по мере его развития. Практическая деятельность наглядно демонстрирует, что создание реально действующей системы защиты информации оказывается в сильной зависимости от своевременного решения указанных проблем. Однако накопленный опыт подсказывает, что все рассмотренные вопросы успешно решаются только при условии плотной совместной работы представителей предприятия-заказчика и фирмы-исполнителя, а также при возможности 160


прямого взаимодействия непосредственного заказчика с руководством своей организации. Главное – осознать важность проведения таких работ, своевременно выявить существующие угрозы и применить адекватные меры противодействия, которые, как правило, специфичны для конкретного предприятия. Определенно, наличие желания и возможностей является достаточным условием для плодотворной работы, целью которой стало бы создание комплексной системы обеспечения безопасности объекта. По данным Datapro Information Services Group и других организаций 75–85% нарушений совершаются самими служащими организации, имеющими доступ к ее системе, и только 15–25% – лицами со стороны. Необходимые характеристики защиты информационных ресурсов определяются в ходе ситуационного планирования при непосредственной подготовке к реализации технологического процесса защищенной обработки информации с учетом сложившейся ситуации, а также (в сокращенном объеме) во время процесса обработки. Планирование связано не только с наилучшим использованием всех возможностей, которыми мы располагаем, в том числе выделенных ресурсов, но и с предотвращением ошибочных действий, могущих привести к снижению эффективности предпринятых мер по защите информации. 2.2.14. Основные рекомендации по построению системы защиты информации корпоративной сети 2.2.14.1. Основные правила защиты корпоративной сети Задача обеспечения безопасности информации в корпоративной сети имеет три аспекта: • защита техники, программ и электронных документов от непреднамеренного искажения или уничтожения в результате непредвиденных обстоятельств (стихийные бедствия, сбои электропитания, ошибки персонала и т.п.); • разглашение конфиденциальной информации вследствие неосторожных или преднамеренных действий сотрудников; • преднамеренные действия посторонних лиц с целью получения конфиденциальной информации, имеющейся в ЛВС. Таким образом, необходимо обеспечить безопасность технических средств, программного обеспечения и массивов данных. Можно сформулировать следующие универсальные правила, которых следует придерживаться, чтобы свести риск атаки на корпоративную сеть к минимуму. 1. Не отставайте от злоумышленников: будьте всегда в курсе последних разработок из области компьютерной безопасности. Оформите подписку на несколько специализированных журна161


лов, в которых подробно освещаются вопросы защиты корпоративных систем от взлома. Регулярно просматривайте материалы, помещаемые на специальных серверах Internet (например, astalavista.box.sk). 2. Руководствуйтесь принципом разумной достаточности: не стремитесь построить абсолютно надежную защиту. Так как чем мощнее защита, тем больше ресурсов корпоративной системы она потребляет и тем труднее использовать ее. 3. Храните в секрете информацию о принципах действия защитных механизмов корпоративной системы. Чем меньше злоумышленнику известно об этих принципах, тем труднее будет для него организовать успешную атаку. 4. Постарайтесь максимально ограничить размеры защищаемой корпоративной сети и без крайней необходимости не допускайте ее подключения к Internet. 5. Перед тем как вложить денежные средства в покупку нового программного обеспечения, поищите информацию о нем, имеющуюся на специальных серверах Internet. 6. Размещайте серверы в охраняемых помещениях. Не подключайте к ним клавиатуру и дисплеи, чтобы доступ к этим серверам осуществлялся только через сеть. 7. Абсолютно все сообщения, передаваемые по незащищенным каналам связи, должны шифроваться и снабжаться цифровой подписью. 8. Если защищаемая корпоративная сеть имеет соединение с незащищенной сетью, то все сообщения, отправляемые в эту сеть или принимаемые из нее, должны проходить через брандмауэр, а также шифроваться и снабжаться цифровой подписью. 9. Не пренебрегайте возможностями, которые предоставляет аудит. Интервал между сеансами просмотра журнала аудита не должен превышать одних суток. 10. Если окажется, что количество событий, помещенных в журнал аудита, необычайно велико, изучите внимательно все новые записи, поскольку не исключено, что корпоративная система подверглась атаке злоумышленника, который пытается замести следы своего нападения, зафиксированные в журнале аудита. 11. Регулярно производите проверку целостности программного обеспечения корпоративной системы. Проверяйте ее на наличие программных закладок. 12. Регистрируйте все изменения политики безопасности в обычном бумажном журнале. Регулярно сверяйте политику безопасности с зарегистрированной в этом журнале. Это поможет обнаружить 162


присутствие программной закладки, если она была внедрена злоумышленником в корпоративную систему. Пользуйтесь защищенными операционными системами. Создайте несколько ловушек для злоумышленников (например, заведите на диске файл с заманчивым именем, прочитать который невозможно с помощью обычных средств, и если будет зафиксировано успешное обращение к этому файлу, значит в защищаемую корпоративную систему была внедрена программная закладка). Регулярно тестируйте корпоративную систему с помощью специальных программ, предназначенных для определения степени ее защищенности от атак. Поскольку атаки на уровне сетевого программного обеспечения спровоцированы открытостью сетевых соединений, можно предположить, что для отражения этих атак необходимо максимально защитить каналы связи и тем самым затруднить обмен информацией по сети для тех, кто не является легальным пользователем. Возможны следующие способы защиты каналов связи корпоративной сети: • максимальное ограничение размеров корпоративной сети (чем больше сеть, тем труднее ее защитить); • изоляция сети от внешнего мира (по возможности следует ограничивать физический доступ к корпоративной сети извне, чтобы уменьшить вероятность несанкционированного подключения злоумышленника); • шифрование сетевых сообщений (тем самым можно устранить угрозу перехвата сообщений, правда, за счет снижения производительности и роста накладных расходов); • электронная цифровая подпись сетевых сообщений (если все сообщения, передаваемые по корпоративной сети, снабжаются электронной цифровой подписью и при этом неподписанные сообщения игнорируются, то можно забыть про угрозу навязывания сообщений и про большинство угроз, связанных с отказом в обслуживании); • использование межсетевых экранов (МСЭ) (брандмауэров, firewall). Межсетевой экран является вспомогательным средством защиты, применяемым только в том случае, если корпоративную сеть нельзя изолировать от других сетей, поскольку он довольно часто не способен отличить потенциально опасное сетевое сообщение от совершенно безвредного, и в результате типичной является ситуация, когда межсетевой экран не только не защищает сеть от атак, но и даже препятствует ее нормальному функционированию. 163


2.2.14.2. Защита технических средств В основном опасность представляют сбои сети электропитания. Для защиты от них целесообразно использовать сетевые фильтры типа «Пилот», а для сервера – блок бесперебойного питания, имеющий интерфейс для взаимодействия с операционной системой (например, SmartUPS фирмы APC). Целесообразно приобретение фильтров для подключения модемов. Необходимо контролировать, чтобы в фильтры не включались мощные устройства (нагреватели и т.п.) – это может привести к выходу из строя как фильтров, так и подключенных к ним средств вычислительной техники. Наиболее критичные с точки зрения отказоустойчивости устройства должны иметься в запасе – манипуляторы типа «мышь», вентиляторы блоков питания, вентиляторы процессоров, диски «винчестер» для рабочих станций и для сервера, 3-х дюймовые дисководы. Существенным является соблюдение порядка отключения сетевого сервера – перед отключением питания следует завершить работу операционной системы, что может сделать один из сотрудников, включенных в группу администраторов операционной системы. Примечание: под администрированием операционной системы понимается комплекс мероприятий, направленный на поддержание ее работоспособности, что не предполагает каких-либо иных полномочий администраторов. Тем не менее лица, обладающие полномочиями администратора операционной системы, могут обеспечить себе доступ ко всем имеющимся в ней документам и при неосторожных действиях могут легко вывести из строя всю сеть.

2.2.14.3. Защита программных средств С целью повышения надежности хранения информации сервер оснащается двумя дисками, на которых средствами операционной системы Windows NT обеспечивается ведение зеркальных массивов данных, т.е. автоматическая запись всей информации одновременно на оба диска. При выходе одного из дисков из строя в течение нескольких минут устанавливается новый диск, и на нем создается новая копия сохранившегося диска. Операционные системы (Windows NT и 95) и закупленные программные продукты (1С бухгалтерия; Microsoft Office – Word, Excel, Access; система оптического распознавания текстов Fine Reader и т.д.) сохраняются на дистрибутивных носителях (как правило, компакт-диски; драйверы принтеров и другие периферийные устройства могут храниться на дискетах). Кроме того, копии основных программных продуктов находятся на диске сервера с целью обеспечения их быстрой установкой на рабочие места в случае разрушения. Программные средства собственной разработки должны храниться на диске машины разработчика и ежедневно (это касается программ, находящихся в процессе разработки) копироваться на сервер. Готовые про164


граммные средства хранятся на сервере и на zip-дисках, в случае внесения изменений копия обновляется. Конфигурация сервера должна регулярно копироваться на дискету аварийного восстановления – ежемесячно и после внесения изменений в полномочия пользователей. С целью предотвращения заражения компьютерными вирусами предлагается использовать антивирусный комплекс лаборатории Касперского Antiviral ToolKit Professional, еженедельные обновления которого можно получать бесплатно через Интернет или на BBS поддержки лаборатории. На каждом рабочем месте необходимо установить антивирусный монитор Antiviral ToolKit Professional, что позволит практически полностью исключить заражение при использовании съемных носителей (компакт-дисков и дискет). 2.2.14.4. Защита информационных массивов Информационные документы в текстовых файлах редакторов Word, Excel или других, базах данных Access и 1С размещаются на дисках рабочих мест и на сервере. Все документы, содержащие рабочую информацию, должны размещаться в отдельных каталогах и быть доступны с сервера с целью их регулярного копирования. Копирование данных с рабочих мест на сервер производится ежедневно и еженедельно с сервера на съемный носитель (в его роли может выступать диск zip или съемный винчестер). С помощью заранее подготовленной процедуры все файлы из этих каталогов могут быть централизованно перемещены на сервер и с него – на съемный носитель с полным удалением как с дисков рабочих мест, так и с диска сервера. Для обмена данными с удаленными абонентами предлагается использовать программу шифрования PGP, являющуюся сейчас одним из наиболее эффективных программных средств шифрования.

2.3. Управление информационной безопасностью 2.3.1. Основные стандарты по системе управления информационной безопасностью Приведем основные стандарты, описывающие систему управления информационной безопасностью. Международные: • ISO 13335:1996–2005 – Guidelines for the management of IT Security (GMITS); • ISO 13569 – «Information Security Guidelines, Banking and related financial service»; 165


• •

ISO 27002:2006 (ISO 17799:2005) – Code of Practice for information security management; ISO 27001:2005 – Information technology – Security techniques – Information Security Management Systems – Requirements.

Национальные: • Руководящие документы ФСТЭК России (Гостехкомиссии России) и ФСБ России. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К); • NIST Computer Security Handbook (SP 800-12) и др.; • «Радужная серия» NIST и DoD. Dod 3200: «Orange Book»; • IT Baseline Protection Manual – (BSI Germany); • Canadian Handbook on Information Technology Security (MG-9); • Australian Government Information Technology Security Manual (AS/NZS 4444); • EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). Корпоративные: • The Standard of Good Practice for Information Security – Information Security Forum (ISF); • Trust Services Criteria – American Institute of Certified Public Accountants; • Systems Security Engineering Capability Maturity Model (SSE-CMM) – Carnegie Mellon University; • General Accepted Information Security Principles (GAISP) – Information Systems Security Association. 2.3.2. Построение и жизненный цикл системы информационной безопасности Система информационной безопасности включает следующие функциональные элементы (подсистемы) (слайд 3, 4, 5): • подсистему межсетевого экранирования, • подсистему защиты внутренних сетевых ресурсов, • подсистему защиты web-ресурсов, • IDS/IPS, • антивирусную подсистему, • подсистему контроля содержимого трафика, • подсистему аутентификации и авторизации, • подсистему протоколирования, отчета и мониторинга, • подсистему управления мощностью и доступностью, 166


• подсистему аудита, • подсистему физической защиты, • подсистему защиты рабочих станций, • подсистему управления ИБ. Жизненный цикл (слайд 6) системы информационной безопасности включает следующие этапы: 1. разработка политики безопасности и обоснование требований; 2. высокоуровневый анализ рисков, включающий: − детальный анализ рисков; − базовый подход; 3. оценка рисков (оптимизацию стоимости, выбор средств защиты); 4. внедрение политики информационной безопасности; 5. внедрение плана ИТ-безопасности; 6. встраивание механизмов защиты, включающей: − архитектуру безопасности; − hardware, software, менеджмент; − обучение, тренинги персонала; 7. исполнение системы ИБ, включая: − проверку соответствия; − мониторинг; − управление изменениями; − управление инцидентами; 8. уточнение политики и требований по обеспечению ИБ. Структура и алгоритм функционирования системы управления информационной безопасностью представлены на слайде 7. 2.3.3. Управление рисками в системе информационной безопасности Под риском (угрозой) информационной безопасности следует понимать реальные или возможные действия или условия, приводящие к хищению, искажению, изменению или уничтожению информации в информационной системе, а также к прямым материальным убыткам за счет воздействия на материальные ресурсы. Анализируемые виды рисков (угроз) следует выбрать из соображений здравого смысла, но в пределах выбранных видов провести максимально полное рассмотрение. Основные стандарты, описывающие процесс управления рисками информационной безопасности: • ISO 13335-2 «Managing and planning IT Security» & ISO 13335-3 «Techniques for the management of IT Security»; • NIST SP800-30 «Risk management guide»; 167


• AS/NZS 4360:1999. Схема взаимодействия элементов системы управления и рисков информационной безопасности представлена на слайде 8. Анализ объекта защиты. Выбор методологии оценки рисков. Оценка риска В настоящее время разработаны и рекомендованы к применению следующие методики проведения оценки и анализа рисков: • Cost-Of-Risk-Analysis System (CORA); • CORAS (www.nr.no/coras) – норвежская методика, основанная на моделировании, реализована с помощью web-интерфейса; • Commercial Risk Analysis and Management Methodology (CRAMM); • Mehari (la Méthode Harmonisée d’Analyse de Risques Informatiques); • Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE); • SPRINT Information Security Forum; • GAO Information Security Risk Assessment; • гриф. Для оценки и анализа рисков рекомендованы и могут быть применимы следующие программные средства: •Гриф; •Кондор; • RiskWatch; • Proteus; • COSSAC; •Авангард; • RA; • @Risk; • CRAMM; • Callio; •Secura; • Pentana; • Cobra. Цикл предоставления услуг по обеспечению информационной безопасности включает следующую логически взаимосвязанную последовательно проводимую систему работ: 1. Обследование: − аудит (комплексное диагностическое обследование ИБ); − описание существующих ИТ-ресурсов (сервисов) бизнеспроцессов; − анализ угроз и уязвимости системы ИБ (GAP-анализ); − технический анализ (тестирование) уязвимости системы ИБ; − анализ рисков. 2. Проектирование: − разработка концепции системы ИБ и управления ИБ (политика, процедуры, модель нарушителя); − разработка модели системы ИБ (архитектура); − техническое проектирование; − разработка документации; − экономическое обоснование системы ИБ; − тестирование (сборка стенда) ИБ. 168


3. Внедрение: − поставка, инсталляция, настройка технических компонентов системы ИБ; − обучение персонала; − ввод в эксплуатацию; − оказание помощи в сертификации системы ИБ. 4. Сопровождение и обслуживание: − аутсоринг; − помощь в расследовании инцидентов; − управление непрерывностью функциональной деятельности. Контрольные вопросы к разделу 2 1. Указать руководящие документы, определяющие полномочия государственных органов по лицензированию деятельности в области защиты информации, содержащей сведения, составляющие государственную тайну. 2. Указать руководящие документы, определяющие полномочия государственных органов по сертификации средств защиты информации, содержащей сведения, составляющие государственную тайну. 3. Указать полномочия ФСБ РФ по лицензированию деятельности в области защиты информации. 4. Указать полномочия ФСТЭК РФ по лицензированию деятельности в области защиты информации. 5. Указать полномочия ФСБ РФ по предоставлению лицензии на право проведения работ, связанных с разработкой, созданием и эксплуатацией криптографических (шифровальных) средств защиты информации. 6. Предоставляет ли лицензия ФСБ права проведения работ, находящихся в компетенции ФСТЭК? 7. Дать определение понятию «лицензирование». 8. Назвать основное правило лицензирования в области защиты информации. 9. Разрешена ли деятельность в области защиты информации физических и юридических лиц, не прошедших лицензирование? 10. Выдаются ли лицензии и решения о выдаче лицензии предприятиям, не зарегистрированным на территории Российской Федерации? 11. Указать основные результаты специальной экспертизы заявителя для выдачи лицензии. 12. Перечислить основные задачи технической экспертизы изделия. 169


13. Какова продолжительность рассмотрения заявления для лицензирования? 14. Какова продолжительность специальной экспертизы заявителя на лицензирование? 15. Изложить основные принципы, на основании которых осуществляется лицензирование в области зашиты информации. 16. Содержание лицензирования деятельности предприятия в области защиты информации. 17. Раскрыть понятие уровня «С» криптографической защиты информации. 18. Перечислить требования к заявителю на право установки, эксплуатации шифровальных средств и предоставления услуг по шифрованию информации. 19. Сценарии атак на СУБД. 20. Сценарии атак на ОС. 21. Сценарии атак на сетевое программное обеспечение. 22. Технология работ по обеспечению информационной безопасности предприятия. 23. Принципы построения системы обеспечения информационной безопасности корпоративной сети. 24. Порядок разработки системы обеспечения информационной безопасности корпоративной сети. 25. Содержание этапа определения границ управления информационной безопасностью корпоративной сети. 26. Содержание этапа анализа уязвимости корпоративной сети. 27. Многоуровневая модель корпоративной сети. 28. Особенности моделирования каналов утечки информации. 29. Основные контуры модели нарушителя. 30. Внутренние нарушители. 31. Внешние нарушители. 32. Классификация действий нарушителей. 33. Содержание заключения о защищенности информационных ресурсов на объекте. 34. Сущность ситуационного управления защищенностью информационных массивов. 35. Компетенции службы информационной безопасности предприятия. 36. Проверки системы защиты информации. 37. Организационные мероприятия защиты корпоративной сети. 38. Аппаратные средства защиты корпоративной сети. 39. Программные средства защиты корпоративной сети. 40. Основные компоненты плана защиты информации объекта. 170


41. Условия изменений плана защиты информации объекта. 42. Порядок организации обмена электронными документами. 43. Показатели эффективности управления защитой информации. 44. Основные руководящие документы организации по информационной безопасности. 45. Основные проблемы обеспечения информационной безопасности корпоративной сети. 46. Основные правила защиты корпоративной сети. 47. Методы защиты технических средств корпоративной сети. 48. Методы защиты программных средств корпоративной сети. 49. Методы защиты информационных массивов. 50. Международные стандарты по системе управления информационной безопасностью. 51. Национальные стандарты по системе управления информационной безопасностью. 52. Корпоративные стандарты по системе управления информационной безопасностью. 53. Методический подход к построению системы информационной безопасности. 54. Архитектура системы информационной безопасности. 55. Функциональные элементы системы информационной безопасности. 56. Жизненный цикл системы информационной безопасности. 57. Схема взаимодействия элементов системы управления информационной безопасностью. 58. Методики проведения оценки и анализа рисков информационной безопасности. 59. Программные средства анализа рисков информационной безопасности. 60. Цикл предоставления услуг по обеспечению информационной безопасности. 61. Комплексное диагностическое обследование информационной безопасности. 62. Разработка концепции системы информационной безопасности. 63. Поставка, инсталляция, настройка технических компонентов системы информационной безопасности. 64. Сопровождение и обслуживание системы информационной безопасности.

171


3. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Целью изучения данного раздела учебного пособия является приобретение магистрантами следующих уровней компетенций: Иметь представление: • о системе стандартизации в сфере информационной безопасности; • о новых методах и технологиях аудита информационной безопасности; • о компетенциях специализированных организаций по проведению аудита информационной безопасности. Знать: • основы организации и проведения аудита информационной безопасности; • международные и национальные стандарты в области аудита информационной безопасности; • положения стандартов безопасности информационных технологий; • принципы, методы и правила аудита информационной безопасности; • термины и определения в сфере информационной безопасности и ее аудита; • методы оценки эффективности ИТ-решений в части информационной безопасности и диагностики предприятий; • методические подходы к оценке рисков информационной безопасности; • системы защиты информации (методологические, методические, процедурные вопросы) на уровне общего понимания процессов (комплексы технических и программных средств поддержки и организации: технологии, оборудование, решения). Уметь: • анализировать ИТ-проблемы, проводить системно-аналитические обследования корпоративных систем информационной безопасности, анализировать выполнение требований по обеспечению информационной безопасности; • оценивать риски информационной безопасности; • использовать современные методологии по аудиту информационной безопасности; • применять международный стандарт ISO 27000 для аудита информационной безопасности; 172


свободно оперировать терминами в сфере информационной безопасности и ее аудита.

3.1. Основы аудита информационной безопасности 3.1.1. Цель, задачи и содержание аудита информационной безопасности Аудит – это системный процесс получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию. Наиболее ответственной задачей является выбор критериев аудита. Для аудита информационной безопасности критериями могут служить: 1) внутренние нормативные документы заказчика по ИБ; 2) рекомендации производителей программного обеспечения и технических средств; 3) национальные и международные стандарты и рекомендации (ФСБ, ФСТЭК, ISO 17799, ISACA Cobit, NIST). Аудит информационной безопасности может быть организован в следующих целях: • оценки эффективности действующей системы защиты перед принятием решений о ее модернизации; • оценки соответствия системы защиты требованиям нормативных документов, международным стандартам и «лучшей практике» в отрасли; • получения сертификата соответствия требованиям национального или международного стандарта (ГОСТ Р ИСО/МЭК 15408-2002, РД ГТК, ISO 17799-2000 (BS 7799) и др.); • контроля функционирования ИС, деятельности ИТ-персонала и сотрудников компании; • оценки объективности финансовых затрат на информационную безопасность. Проведение аудита включает следующие этапы: 1. Комплексное обследование ИС, включая: − сбор и анализ документированной информации; − анализ существующей структуры ИС и организации функционирования; − опрос (интервью); 173


− анализ конфигурации типовых рабочих мест, серверов и ключевых устройств. 2. Анализ рисков нарушения информационной безопасности. 3. Выработка рекомендаций и разработка плана их реализации. Источниками получения информации для аудита являются: • документированная информация; • интервьюирование и анкетирование персонала; • анализ конфигурации ключевых устройств и серверов; • наблюдение за реальными процессами, происходящими в ИС; • инструментальное тестирование и составление карты сети. Стандарты аудита Для того чтобы результаты аудита были объективными, а сам процесс успешным, необходимо при проведении аудита следовать требованиям руководящих документов в области информационной безопасности, в частности: 1) общим и специальным техническим регламентам; 2) руководящим документам ФСТЭК и ФСБ России; 3) международным и национальным стандартам, в первую очередь, ISO 27002: 2006 (ISO 17799-2005 (BS 7799-2). 3.1.2. Результаты анализа рисков при аудите и рекомендации по обеспечению информационной безопасности При анализе рисков должны быть получены следующие результаты: классификация и оценка критичности ресурсов; разработка модели потенциального нарушителя; анализ выявленных уязвимостей; оценка рисков (с учетом взаимосвязи информационных ресурсов и существующих угроз); 5) оценка негативных последствий от реализации угроз для основной деятельности заказчика. На основании результатов аудита вырабатываются рекомендации, которые могут определять содержание следующих мероприятий организационного и технического обеспечения информационной безопасности: • архитектурных вопросов построения ИС; • изменения конфигурации существующих сетевых устройств, ОС, средств защиты; • активации дополнительных штатных механизмов информационной безопасности; • использования дополнительных (наложенных) средств защиты; 1) 2) 3) 4)

174


разработки нормативно-методических документов: положений, регламентов, должностных и функциональных инструкций, руководств, методик и т.д. Порядок и содержание мероприятий аудита ИБ представлено на слайде 9. Условия проведения аудита Проведение аудита ИБ осуществляется экспертами своей организации (внутренний аудит), либо специализированной фирмы (внешний аудит). При этом как в первом, так и во втором вариантах имеются свои положительные и отрицательные стороны, которые должны учитываться руководством при организации аудита ИБ. А) Аудит собственными силами Положительные факторы: • наиболее полное знание об информационной системе; • относительно низкие затраты; • обеспечение конфиденциальности информации. Отрицательные факторы: • текущие задачи, нет времени на погружение в работу; • субъективные оценки; • как правило, нет времени на адаптацию стандартов, подходов, нет времени и возможностей на изучение лучшего опыта в отрасли. Б) Аудит с привлечением внешнего консультанта (внешний аудит) Положительные факторы: • есть методики, специалисты различного профиля (технологии и бизнес); • накоплен опыт работы со многими заказчиками; • в некоторых случаях мнение собственных сотрудников, подтвержденное мнением консультантов, имеет больший вес. Отрицательные факторы: • относительно высокая стоимость работ; • предоставление информации о существующих механизмах защиты внешней организации; • риск выбора внешнего консультанта, неадекватного решаемым задачам.

175


3.2. Система стандартизации в сфере информационной безопасности 3.2.1. Национальные стандарты по обеспечению информационной безопасности Национальные стандарты 1. Руководящие документы ФСТЭК России и ФСБ России. 2. ГОСТ Р 50922-1996. Защита информации. Основные термины и определения. 3. ГОСТ Р 51654-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения. 4. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. 5. ГОСТ Р 51188-1998. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. 6. ГОСТ Р 51275-1999. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. 7. ГОСТ Р 50739-1995. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. 3.2.2. Стандарты Банка России по обеспечению информационной безопасности Ведомственные национальные стандарты (стандарты Банка России): 1. СТО БР ИББС-1.0-2006. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. 2. СТО БР ИББС-1.1-2007. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности. 3. СТО БР ИББС-1.2-2007. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006. 176


4. РС БР ИББС-2.0-2007. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0-2006. 5. РС БР ИББС-2.1-2007. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006. 3.2.3. Международные стандарты по обеспечению информационной безопасности Международные стандарты ISO/IEC (серия ISO 27000) 1. ISO/IEC 27000:200X. Information technology. Security techniques. Information security risk management. Fundamentals and vocabulary. 2. ISO/IEC 27001:2005 (BS 7799-2). Information technology. Security techniques. Information security management systems. Requirements. Есть перевод: ГОСТ Р ИСО/МЭК 27001-2007. 3. ISO/IEC 27002:2006 (BS 7799-1. бывший ISO/IEC 17799:2005). Information technology. Security techniques. Code of practice for information security management. Есть перевод: ГОСТ Р ИСО/МЭК 27002-2007. 4. ISO/IEC 27003:200X. Information technology. Security techniques. Information security management systems implementation guidance. 5. ISO/IEC 27004:200X. Information technology. Security techniques. Information security management measurement. 6. ISO/IEC FCD 27005:2007. (BS 7799-3). Information technology. Security techniques. Information security risk management. 7. ISO/IEC FDIS 27006:2006. Information technology. Security techniques. Information security risk management. Requirements for bodies providing audit and certification of information security management systems. 8. ISO/IEC FDIS 27007:2006. Information technology. Security techniques. Guidelines for Information security management systems auditing. Международные стандарты ISO/IEC 1. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий (ISO/IEC 15408:2005. 177


Information technology. Security techniques. Evaluation criteria for IT security). − Часть 1. Введение и общая модель. − Часть 2. Функциональные требования безопасности. − Часть 3. Требования доверия к безопасности. 2. ISO/IEC 13335:1996–2001. Information technology. Guidelines for IT security. − Part 1. Concepts and models for IT Security. − Part 2. Managing and planning IT Security. − Part 3. Techniques for the management of IT Security. − Part 4. Selection of safeguards. − Part 5. Management guidance on network security. 3. ISO/IEC 18044:2004. Information technology. Security techniques. Information security incident management. 4. ISO/IEC 13569:2005. Financial services. Information security guidelines. Другие международные стандарты 1. Серия 800 NIST (USA). National Institute of Standards and Technology. 2. «Радужная серия» NIST и DoD. Dod 3200: «Orange Book». 3. IT Baseline Protection Manual (BSI Germany) . 4. Canadian Handbook on Information Technology Security (MG-9). 5. Australian Government Information Technology Security Manual (AS/NZS 4444). 6. EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). Зарубежные корпоративные стандарты 1. The Standard of Good Practice for Information Security – Information Security Forum (ISF). 2. Trust Services Criteria – American Institute of Certified Public Accountants. 3. Systems Security Engineering Capability Maturity. 4. Model (SSE-CMM) – Carnegie Mellon University. 5. General Accepted Information Security Principles (GAISP) – Information Systems Security Association.

178


3.3. Аудит информационной безопасности на основе стандартов ISO 27000 3.3.1. Назначение и задачи стандарта ISO 27001 Основное назначение и решаемые задачи ISO 17799 – полный набор рекомендаций и указаний, отражающий лучшие методики по обеспечению информационной безопасности. ISO 27001 состоит из двух частей – нормативов и правил создания защищенных систем (ISO 27001) и критериев оценки системы управления информационной безопасностью (BS7799-2). Основное назначение стандарта ISO 17799 – быть единой базисной точкой для определения спектра принимаемых мер по защите информационных систем, используемых в промышленности и коммерции. История возникновения ISO 17799: • Впервые опубликован в Англии под названием DTI Code of Practice. • В феврале 1995 г. переименован и выпущен как первая версия стандарта BS7799. • После серьезной переработки в мае 1999 г. опубликована вторая версия BS7799. • В этом же году были запущены системы аккредитации и сертификации на соответствие стандарту, появились первые средства на его основе. • В 2000 году BS7799 был опубликован в качестве стандарта ISO. • В 2002 году опубликован ISO 17799 Toolkit и вторая часть стандарта – BS 7799:2. Характеристика современного состояния Международного стандарта ISO 27001: • Стандарт вышел на новый уровень качества. • Крупнейшие консалтинговые компании вложили значительные средства в обучение/сертификацию аудиторов. • Усиливающаяся связь бизнеса с IT и телекоммуникациями поднимает вопросы безопасности на качественно новый уровень. • Положительное заключение об аудите на соответствие ISO 27001 является серьезным преимуществом в конкурентной борьбе. Содержание стандарта ISO 27001 Стандарт ISO 27001 содержит следующие разделы: • политика безопасности, 179


• • • • • • • • •

организационные меры, управление ресурсами, безопасность персонала, физическая безопасность, управление процессами, контроль доступа, разработка систем, непрерывность бизнеса, соответствие системы. 3.3.2. Цикл Шухарта–Деминга. Модель PDCA

Цикл Шухарта–Деминга содержит следующую логически связанную последовательность действий: планирование (Plan) – реализация (Do) – проверка (Check) – действие (Act). Содержание и порядок реализации цикла Шухарта–Деминга представлены на слайде 10. Исходные данные: требования к системе менеджмента информационной безопасности (СМИБ). Этап 1. Планирование: создание СМИБ. Этап 2. Реализация: внедрение и функционирование СМИБ. Этап 3. Проверка: проведение мониторинга и анализа СМИБ. Этап 4. Совершенствование: поддержка и модернизация СМИБ. Результат (выходные данные): управляемая ИБ. 3.3.3. Области применения стандарта ISO 27001 Области и степень применения стандарта ISO 27001В определяются типом и размером организации и характеризуются следующими параметрами, приведенными в табл. 7.

180


Таблица 7 Степень применения стандарта ISO 27001 Тип компании Небольшая компания

Размер Менее 200 сотрудников

Средняя компания

Менее 5000 сотрудников

Крупная корпорация

Крупная корпорация

Основная цель Повысить осведомленность управленцев о проблемах безопасности Менее 5000 сотрудников

Получить сертификат соответствия

Основная цель Повысить осведомленность управленцев о проблемах безопасности Стандарт содержит полный перечень рекомендаций, позволяющих создать корпоративную политику безопасности Получить сертификат соответствия

Порядок приведения компании в соответствие требованиям стандарта ISO 27001 содержит следующую совокупность работ: 1. Разработка политики ИБ, включая: − обследование защищенности; − анализ рисков; − определение требований к средствам защиты; − разработку планов непрерывности бизнеса; − документальное оформление политики ИБ. 2. Проектирование корпоративной информационной системы в соответствии с требованиями ИБ. 3. Внедрение и эксплуатация корпоративной информационной системы, включая: − поставку и наладку оборудования; − подготовку исполнительной документации; − подготовку системы к сертификации/аттестации. 4. Поддержка и модернизация корпоративной информационной системы. 3.3.4. Особенности проведения аудита специализированной организацией Выполнение работ по обеспечению и аудиту информационной безопасности организаций различных организационно-правовых форм способны осуществлять специализированные предприятия, имеющие соответствующие полномочия и ресурсные возможности. Одной из таких фирм яв181


ляется ООО «ЦТБ ИБС», которая характеризуется следующими функциональными показателями в сфере информационной безопасности. 1. Работы выполняют высококвалифицированные специалисты, имеющие ученые степени и звания, международные сертификаты CISSP (ISC2), CISA (ISACA), Leader Auditor (BSI), PMP (PMI, IPMA), а также большой практический опыт. 2. Используются международные, национальные стандарты, методики и практический опыт (Best practice) в области информационной безопасности. 3. Предлагаются решения на базе лучших продуктов и используются передовые стратегии, имеются партнерские статусы ведущих компаний-вендоров и диллеров. 4. Специалисты обладают значительным опытом в области обеспечения ИБ, подтвержденным сертификатами ведущих фирм – поставщиков решений. 5. В компании IBS сформирован единственный в России Центр компетенции Symantec по решениям в области ИБ. − Обеспечивается техническая поддержка и возможность использования всего спектра продуктов и решений, в том числе уникальных продуктов уровня «hi-end». − Основываются работы на принципе целесообразности: существенность и вероятность финансовых и информационных рисков заказчика, стоимость и ценность активов определяют выбор приемлемого решения. − Обеспечение комплексности, полноты и целостности решений как залога надежной защиты бизнеса заказчика. Контрольные вопросы к разделу 3 Понятие и цель аудита ИБ. Этапы аудита ИБ. Содержание аудита ИБ. Источники получения информации для аудита ИБ. Стандарты аудита ИБ. Результаты анализ рисков при аудите ИБ. Рекомендации организационного и технического обеспечения информационной безопасности. 8. Содержание мероприятий аудита ИБ. 9. Аудит собственными силами. 10. Аудит с привлечением внешнего консультанта (внешний аудит). 11. Национальные стандарты по обеспечению информационной безопасности.

1. 2. 3. 4. 5. 6. 7.

182


12. Ведомственные национальные стандарты по обеспечению информационной безопасности. 13. Международные стандарты ISO/IEC. 14. Назначение стандарта ISO 17799. 15. Характеристика международного стандарта ISO 27001. 16. Содержание стандарта ISO 27001. 17. Содержание цикла Шухарта–Деминга. 18. Порядок реализации цикла Шухарта–Деминга. 19. Области применения стандарта ISO 27001. 20. Порядок приведения организации в соответствие требованиям стандарта ISO 27001. 21. Разработка Политики ИБ. 22. Проектирование системы в соответствии с требованиями ИБ. 23. Внедрение и эксплуатация системы ИБ. 24. Поддержка и модернизация системы ИБ. 25. Характеристика работ по аудиту информационной безопасности, выполняемых специализированными организациями.

183


ЗАКЛЮЧЕНИЕ Мы рассмотрели нормативно-правовые, организационные и технические основы обеспечения безопасности информации в автоматизированных системах и информационно-вычислительных сетях, принципы и порядок построения корпоративных систем информационной безопасности, организации управления и аудита информационной безопасности. В настоящем учебном пособии нашли всестороннее освещение основные проблемы обеспечения информационной безопасности организаций. В части нормативно-правового и организационно-технического обеспечения информационной безопасности рассмотрены основные современные представления в данной области, раскрыты некоторые тонкости и особенности применения действующей законодательной базы, реализации организационно-технических мер, которые находят применение на практике при построении систем обеспечения безопасности информации. Материалы учебного пособия включают ряд положений, без которых сложно рассчитывать на успех при решении проблем информационной безопасности. Это прежде всего терминологический аппарат данной предметной области, основные принципы и требования к системе информационной безопасности, последовательность и содержание действий на каждом из этапов построения системы информационной безопасности, а также некоторые современные взгляды на разрешение сложных проблем информационной безопасности. В виду недостаточности законодательно-правовой проработки вопросов обеспечения информационной безопасности имеются определенные трудности при практическом построении систем обеспечения безопасности информации предприятия или отдельной автоматизированной системы. Большое внимание в учебном пособии уделено криптографическим способам и средствам обеспечения информационной безопасности. В настоящее время защита данных в ЭВМ, информационно-вычислительных и телекоммуникационных сетях с помощью шифрования считается одним из наиболее надежных способов решения проблемы информационной безопасности. Рассмотрены вопросы лицензирования деятельности в области защиты информации и сертификации средств защиты, а также основанные на действующем законодательстве современные и перспективные организационно-технические методы и средства защиты информации в автоматизированных системах. В настоящее время большинство руководителей предприятий и организаций принимают меры по «защите и обороне» важной для них ин184


формации. Однако практика показывает, что эти действия не всегда носят системный характер, направлены на ликвидацию только отдельных угроз, оставляя бреши в обороне. Представляется, что одной из причин такого положения дел является незнание или неумелое использование основных принципов и практических подходов к решению проблем информационной безопасности. К сожалению, в настоящее время часто встречается ситуация, когда администратор безопасности сети формирует требования к политике безопасности исходя не из комплекса угроз, защиту от которых надо реализовать, а из некоторых абстрактных рекомендаций по поддержанию безопасности той или иной конфигурации компьютерной сети или операционной среды. Данное учебное пособие направлено на оказание помощи руководителям предприятий и администраторам безопасности компьютерных сетей при организации систем информационной безопасности. При этом вопросы обеспечения безопасности информации представлены в комплексе, т.е. не только применительно к компьютерным сетям, но и в ряде случаев рассматриваются вопросы защиты информации в организации в целом. Основное внимание уделено одному из главных аспектов общей проблемы информационной безопасности – обеспечению безопасности информации при ее обработке, хранении и передаче. В заключительной главе изложены вопросы организации и проведения внутреннего и внешнего аудита информационной безопасности организации, методика оценки угроз и уязвимости информационной безопасности, особенности применения стандарта ISO 27001.

185


ЛИТЕРАТУРА 1. Аверченков В.И. Аудит информационной безопасности: учеб. пособие. – Брянск: БГТУ, 2005 2. Андык В.П., Бацула А.П. Правовая защита информации: учеб. пособие. – Томск: В-Спектр, 2005. 3. Полянская О.Ю. Инфраструктуры открытых ключей: учеб. пособие. – М.: Изд. БИНОМ, 2007. 4. Белов Г.В. Безопасность бизнеса: учеб. пособие. – М.: Академкнига, 2007. 5. Белозеров А.В. [и др.]. Информационная безопасность. – Пермь: НИИУМС, 2005. 6. Боер В.М., Павельева О.Г. Информационное право: Учеб. пособие. – СПб.: ГУАП, 2006. 7. Брандман Э.М. Глобализация и информационная безопасность общества. – М.: ГПИБ, 2007. 8. Броило Е.В. Информационная безопасность: учеб. пособие. – Сыктывкар: МУПК, 2005. 9. Бузанова Я.В., Ярочкин В.И. Аудит безопасности фирмы. Теория и практика: учеб. пособие. – М.: Акад. Проект, 2005. 10. Вендров А.М. Проектирование программного обеспечения экономических информационных систем: учебник. – М.: Финансы и статистика, 2006. 11. Городов О.А. Информационное право: учебник. – М.: Проспект, 2008. 12. Государственная тайна и ее защита в РФ: учеб. Пособие / Под ред. М.А. Вуса и А.В. Федорова. – СПб.: Юрцентр Пресс, 2005. 13. Жигулин Г.П. [и др.]. Информационная безопасность: учебник. – СПб.: ИТМО, 2003. 14. Загинайлов Ю.Н. [и др.]. Организационные и правовые вопросы информационной безопасности. – Барнаул: АГТУ, 2007. 15. Заряев А.В. [и др.]. Оценка информационной безопасности телекоммуникационных систем: учеб. пособие. – Воронеж: ВИ МВД, 2003. 16. Золотарева Е.А., Шаковец А.Н. Методы оценки противодействия угрозам безопасности в информационной сфере. – Хабаровск: ДЮИ, 2003. 17. Информатика: введение в информационную безопасность: учеб. Пособие / А.А.Молдовян [и др.]; под ред. М.А. Вуса. – СПб.: Юрцентр Пресс, 2004. 18. Мельников В.П. [и др.]. Информационная безопасность и защита информации: учеб. Пособие / Под ред. С.А. Клейменова. – М.: Академия, 2007. 186


19. Информационная безопасность систем организационного управления. Теоретические основы: в 2-х т. / Н.А. Кузнецов, В.В. Кульба, Е.А. Микрин [и др.]; отв.. ред. Н.А. Кузнецов, В.В. Кульба; института проблем передачи информации РАН. – М.: Наука, 2006. 20. Калинин А.Н. [и др.]. Основы информационной безопасности. – М.: Проспект, 2005. 21. Ковалева Н.Н. Информационное право РФ: учеб. пособие. – М.: Дашков и К°, 2007. 22. Коваленко Ю.И. Организационно-правовое обеспечение информационной безопасности России: учеб.-метод. пособие. – М.: МИНИТ, 2003. 23. Корнеев И.К., Степанов Е.А. Защита информации в офисе: учебник. – М.: Проспект, 2007. 24. Кривоухов А.А., Прокопенко А.Н. Правовая защита информации (информационное право): учеб. пособие. – Белгород: БелГУ, 2007. 25. Куприянов А.И. [и др.]. Основы защиты информации: учеб. пособие – М.: Академия, 2006. 26. Курбатов В.А., Скиба В.Ю. Руководство по защите от внутренних угроз информационной безопасности. – СПб.: Питер, 2008. 27. Курило А.П. [и др.]. Аудит информационной безопасности. – М.: БДЦПресс, 2006. 28. Курило А.П. [и др.]. Обеспечение информационной безопасности бизнеса: Практическая энциклопедия. – М.: БДЦ-пресс, 2005. 29. Малыш В.Н. Количественная оценка защищенности информационной системы предприятия. – Липецк: ЛГПУ, 2007. 30. Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации: учеб. пособие. – М.: Горячая линия–Телеком, 2004. 31. Мазуров В.А. Тайна: государственная, коммерческая, банковская, частной жизни. Уголовно-правовая защита. – М.: Дашков и К°, 2003. 32. Международный стандарт ISO/IEC 27000:2005. Информационные технологии. Методы обеспечения безопасности. Определения и основные принципы. 33. Международный стандарт ISO/IEC 27001:2005. Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования (BS 7799-2:2005). 34. Международный стандарт ISO/IEC 27002:2005. Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью. 35. Международный стандарт ISO/IEC 27003:2005. Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению системы управления информационной безопасностью (DRAFT). 187


36. Международный стандарт ISO/IEC 27004:2005. Информационные технологии. Методы обеспечения безопасности. Измерение эффективности системы управления информационной безопасностью (DRAFT). 37. Международный стандарт ISO/IEC 27005:2005. Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности (DRAFT). 38. Международный стандарт ISO/IEC 27006:2005. Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью. 39. Международный стандарт ISO/IEC 27007:2005. Информационные технологии. Методы обеспечения безопасности. Руководство для аудитора систем управления информационной безопасностью (DRAFT). 40. Международный стандарт ISO/IEC 27011:2005. Информационные технологии. Методы обеспечения безопасности. Руководство по управлению информационной безопасностью для телекоммуникаций (DRAFT). 41. Нестерук Г.Ф. [и др.] Информационная безопасность и интеллектуальные средства защиты информационных ресурсов (Иммунология систем информ. технологий). – СПб.: СПбУЭФ, 2003. 42. Обеспечение информационной безопасности деятельности машиностроительных предприятий: учебник / под ред. В.П. Мельникова и К.Э. Циолковского. – М.: МАМИ, 2006. 43. Одинцов А.А. Экономическая и информационная безопасность. Справочник: учеб. пособие. – М.: Экзамен, 2005. 44. Основы информационной безопасности: курс лекций / под ред. В.Б. Бетелина. – М.: ИУИТ, 2003. 45. Основы информационной безопасности: учеб. Пособие / под ред. А.С. Овчинского. – М.: МосУ МВД РФ, 2007 46. Остапенко Г.А. Информационные операции и атаки в социотехнических системах. – Воронеж: ВГТУ, 2005. 47. Павлухин Д.В. Теория информационной безопасности и методология защиты информации: учебно-метод. пособие. – Тамбов: ТГУ, 2006. 48. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. Информационные технологии для инженеров. – М.: ДМК Пресс, 2004. 49. Пономаренко С.В. [и др.]. Информационная безопасность. Экономические аспекты управления защищенными информационными ресурсами. – Белгород: Кооперативное образование, 2006. 50. Попов В.Б. Основы информационных и телекоммуникационных технологий. Основы информационной безопасности: учеб. пособие – М.: Финансы и статистика, 2005. 188


51. Правовое обеспечение информационной безопасности: учебник / под ред. С.В. Дворянкина. – М.: Маросейка, 2008. 52. Правовое обеспечение информационной безопасности: учеб. пособие / под ред. С.Я. Казанцева.– М.: Академия, 2007. 53. Птицына Л.К. [и др.]. Защита информации и информационная безопасность. Эффективность комплексных систем защиты информации в телекоммуникациях: учеб. пособие. – СПб: Политех, 2007. 54. Раводин В.О., Раводин О.М. Безопасность операционных систем: учеб. пособие. – Томск: В-Спектр, 2006. 55. Райх В.В., Тихонов В.А. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты: учеб. пособие. – М.: Гелиос АРВ, 2006. 56. Расторгуев С.П. Основы информационной безопасности: учеб. пособие. – М.: Академия, 2007. 57. Садердинов А.А. [и др.]. Информационная безопасность предприятия: учеб. пособие. – М.: Дашков и К°, 2004. 58. Семененко В.А. Информационная безопасность: учеб. пособие. – М.: МГИУ, 2005. 59. Сергеев А.П. Право интеллектуальной собственности в РФ: учебник. – М.: Проспект, 2003. 60. Тарасов А.Н. Феноменология информационной безопасности организации. – М.: ГУУ, 2003. 61. Филин С.А. Информационная безопасность: учеб. пособие. – М.: Альфа-Пресс, 2006. 62. Черячукин В.В. Право интеллектуальной собственности на программы для ЭВМ и базы данных в РФ и за рубежом: учеб. пособие. – М.: ЮНИТИ-ДАНА, 2006. 63. Ярочкин В.И. Система безопасности фирмы. – М.: Ось-89, 2003. 64. Яскевич В.И. Организационные основы безопасности фирмы. – М.: Ось-89, 2005.

189


ТЕРМИНОЛОГИЧЕСКИЙ СЛОВАРЬ Атака – любое действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей информационной системы. Аудит – это системный процесс получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию. Безопасность вычислительных (информационных, компьютерных) систем – совокупность свойств, связанная с достижением компьютерной безопасности при эксплуатации вычислительных (информационных, компьютерных) систем. Безопасность данных – совокупность свойств данных, связанная с достижением информационной безопасности и определяемая защищенностью данных от случайного или преднамеренного доступа к ним лиц, не имеющих на это право, от неавторизованной модификации данных или от их уничтожения. Гаммирование – процесс наложения по определенному закону гаммы шифра на открытые данные. Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него. Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель. Допуск к государственной тайне – процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций – на проведение работ с использованием таких сведений. Доступ к сведениям, составляющим государственную тайну – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну. Доступность информации – возможность получения информации и ее использования. 190


Законность засекречивания сведений заключается в соответствии засекречиваемых сведений положениям статей 5 и 7 Закона. Засекречивание сведений и их носителей – введение в предусмотренном законом порядке для сведений, составляющих государственную тайну, ограничений на их распространение и на доступ к их носителям. Засекречивание сведений осуществляется в соответствии с принципами законности, обоснованности и своевременности. Защита данных – система организационных, методических, правовых, информационных, программных и технических мероприятий, методов и средств, направленных на ограничение или исключение несанкционированного доступа к данным, их использования или изменения на любой стадии процесса сбора, обработки, хранения, передачи и уничтожения. Защита информации в широком смысле, согласно Указа Президента Российской Федерации от 5 января 1992 года «О создании Государственной технической комиссии при Президенте Российской Федерации», является неразрывной частью процесса информатизации и отождествляется с безопасностью информационного ресурса, включающего в себя важнейшую и ценнейшую информацию и средства, способы ее обработки и хранения – информационные технологии. Защита информации при эксплуатации вычислительных (компьютерных) систем – система мер, направленных на ограничение доступа ко всей или части информации, а также недопущения ее несанкционированного использования при эксплуатации вычислительных (компьютерных) систем. Имитовставка – это блок из m бит, который вырабатывается по определенному правилу из открытых данных с использованием ключа и затем добавляется к зашифрованным данным для обеспечения их имитозащиты. Имитозащита – защита системы шифрованной связи от навязывания ложных данных. Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. Информационная безопасность в широком смысле – такое свойство процесса информатизации и всей жизнедеятельности общества, кото191


рое гарантирует устранение всех негативных последствий информатизации либо сводит их до такого минимума, который обеспечивает выживание и дальнейшее развитие человечества, его превращение в развитую, гуманную информационную цивилизацию. Информация – сведения (сообщения, данные) независимо от формы их представления. Канал утечки информации – способ, позволяющий нарушителю получить несанкционированный доступ к обрабатываемой или хранящейся в системе информации. Ключ – это конкретное (секретное или открытое) состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор только одного варианта из всех возможных для данного алгоритма. Компьютерная безопасность – раздел информационной безопасности, связанный с ее обеспечением при создании и эксплуатации различных систем электронной обработки данных и автоматизированных сетей связи, в первую очередь вычислительных (компьютерных) систем. Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Корпоративная информационно-вычислительная сеть – локальная или территориально-распределенная информационно-вычислительная сеть, состоящая из совокупности средств вычислительной техники и периферийного оборудования, объединенных каналами связи, обеспечивающая функционирование одной организации (предприятия). Криптография – наука о методах и алгоритмах шифрования данных (правила построения и использования шифров), направленная на то, чтобы сделать эти данные бесполезными для противника. Криптоанализ – это наука о раскрытии исходного текста зашифрованного сообщения без доступа к ключу. Маскировка – способ защиты информации путем ее криптографического закрытия. Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивающее защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС. Нарушитель – субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС. Носители сведений, составляющих государственную тайну – материальные объекты, в том числе физические поля, в которых сведения, 192


составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов; Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать ДОСТУП к информации, определяемой по каким-либо признакам. Примечание: Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.

Обоснованность засекречивания сведений заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта исходя из баланса жизненно важных интересов государства, общества и граждан. Оператор информационной системы – гражданин или юридическое лицо, осуществляющее деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. Предоставление информации – действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц. Препятствия физически преграждают злоумышленнику путь к защищаемой информации (т.е. на территорию и в помещения с аппаратурой, носителями информации и т.п.). Распространение информации – действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц. Своевременность засекречивания сведений заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно. Сертификация – это процесс, осуществляемый в отношении такой категории, как «изделие» (товар, средство), когда в результате выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, удостоверяется или подтверждается качество изделия. Система защиты государственной тайны – совокупность органов защиты государственной тайны используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях. Средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. 193


Угроза – потенциально возможное событие, действие или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба. Управление – процесс целенаправленного воздействия на объект, осуществляемый для организации его функционирования по заданной программе. Управление доступом – способ защиты информации регулированием использования всех ресурсов систем (технических, программ средств, элементов баз данных). Уязвимость – любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы. Хэш – результат обработки сообщения хэш-функцией. Целостность информации – сохранность структуры и состава информации. Шифр – совокупность обратимых преобразований множества открытых данных на множество зашифрованных данных, задаваемых ключом и алгоритмом криптографического преобразования. Электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сети.

194


Учебное издание

Калашников Андрей Олегович Котухов Михаил Михайлович Кубанков Александр Николаевич

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Под научной редакцией д.т.н., проф. А.Ю. Силантьева Редакторы: О.П. Котова, Л.В. Себова Корректоры: В.А. Дружинина, И.А. Волкова Компьютерный набор и верстка О.И. Утицких, Н.А. Акатова

Подписано к печати 26.06.2009. Формат 60 × 90 1 . Печать офсетная. 16 Усл. печ. л. 20,0. Уч.-изд. л. 19,0. Тираж 300 экз. ГОУ ВПО «Московский физико-технический институт (государственный университет)» 141700, Московская обл., г. Долгопрудный, институтский пер., 9 rio@mail.mipt.ru Академия ИБС 127434, Москва, Дмитровское шоссе, д. 9-Б Тел. +7 (945) 967-8080, факс +7 (495) 967-8081, e-mail: vbabeshko@ibs.ru _______________ Отпечатано в полном соответствии с качеством предоставленных диапозитивов ООО «ПолиграфТехно», 127238, г. Москва, Локомотивный пр., д. 19


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.