Информационные технологии
18
Ценность информации является критерием при принятии любого решения о ее защите.
Правовое обеспечение защиты информации включает:
правовые нормы, методы и средства защиты охраняемой информации в Российской Федерации;
правовые основы выявления и предупреждения утечки охраняемой информации;
правовое регулирование организации и проведения административного расследования к фактам нарушения порядка защиты информации.
Существует ряд документов, которые регламентируют информацию в качестве объекта права. В первую очередь здесь следует указать на первую часть гражданского кодекса Российской Федерации (ст. 128, 18, 139, 209), принятого 21.04.94.
Среди законов Российской Федерации, относящихся к рассматриваемой проблеме, можно выделить Федеральный закон « Об информации, информатизации и защите информации» от 20.01.95, а также закон Российской Федерации « О государственной тайне». Эти вопросы нашли также частичное отражение в законе Российской Федерации от 2.11.90 «О банках и банковской деятельности».
Среди перечня документов, которые регламентируют вопросы защиты информации можно упомянуть также Постановление Правительства РСФСР №35 от 05.12091 « О передаче сведений, которые не могут составлять коммерческую тайну».
Персональной ПЭВМ присущ ряд свойств, выделяющих её из общего ряда вычислительных машин: конструкция, программные средства и стоимость.
Программное обеспечение ПЭВМ дает возможность изменять и разрабатывать разнообразные программы, что можно отнести одновременно к достоинствам и недостаткам с позиций защиты обрабатываемой информации. Во-первых, ПЭВМ отличается полной доступностью всех ресурсов. Многие программные продукты имеют свои средства защиты, однако отсутствие как базового набора средств гарантированного обеспечения безопасности информации, так и систематической политики защиты значительно снижают эффективность использования отдельных, не связанных друг с другом таких средств. Во-вторых, ПЭВМ может работать в многопользовательском режиме, а также применяться в вычислительных сетях различного масштаба и в круглосуточном режиме, что повышает уязвимость обрабатываемой информации.
В связи с тем, что ПЭВМ в целом и её составляющие обладают достаточно высокой стоимостью, они могут служить объектами преступных посягательств.
Основные угрозы и каналы утечки информации с ПЭВМ Перед разработкой систем компьютерной безопасности необходимо оценить потенциальные угрозы и каналы утечки информации, обрабатываемой на ПЭВМ, т.е. составить модель нарушителя.
Потенциальные угрозы можно разделить на две основные категории: случайные и преднамеренные.
Особый случай представляют программы вирусы, природа рождения которых имеет преднамеренный характер, а попадание в конкретный компьютер - случайный. По-видимому, целесообразно защиту от вирусов строить с позиций преднамеренности воздействий, исходя из наихудшего (опасного) случая - любой вирус может появиться в любое время.
Появление возможных каналов преднамеренного несанкционированного доступа к информации в ПЭВМ зависит от поддерживаемого режима работы и от её конфигурации.
Различают автономный режим работы и сетевой, в составе локальной, региональной или глобальной сети.
При автономном режиме возможны два варианта управления компьютером:
однопользовательский, при котором, пользователь сам выполняет функции управления и контроля и несет ответственность за безопасность своей и доверяемой ему информации;
многопользовательский, при котором перечисленные функции выполняет специальное лицо. Им может быть один из пользователей или руководитель работ. Однако ключи шифрования и информация, закрытая другим пользователем, могут быть недоступны до момента передачи руководителю работ.
К ПЭВМ могут быть подключены различные периферийные устройства, такие, как плоттер, сканер, стример, внешние накопители, образующие дополнительный канал утечки информации за счет побочных электромагнитных излучений. Значительное влияние на уровень излучения влияет тип монитора.
Анализируя перечисленные факторы, можно выделить три основные группы каналов утечки, позволяющих нарушителю получить доступ к обрабатываемой или хранящейся в ПЭВМ информации, связанные с особенностями:
работы аппаратуры;
программное обеспечение;
действий человека (злоумышленника или обслуживающего персонала).
Группа каналов, связанных с особенностями работы аппаратуры, представляет собой:
подключение специальных аппаратных средств и внесение изменений в аппаратные средства;
использование специальных технических средств для перехвата электромагнитных излучений аппаратуры и линий связи.
К каналам, связанным с особенностями программного обеспечения, относятся:
несанкционированный доступ программ к информации;
расшифровка программой зашифрованной информации;
копирование защищенной информации.
ВОПРОС44 В настоящее время обеспечение информационной безопасности таможенных органов осуществляется в соответствии с Концепцией обеспечения информационной безопасности таможенных органов Российской Федерации на ближайшую перспективу до 2000 года и на период до 2010 года, утвержденной приказом ГТК России от 31.12.1998 N 906. С момента утверждения Концепции проделана большая работа по совершенствованию нормативно- методической базы обеспечения информационной безопасности таможенных органов, созданию организационной структуры ведомственной системы обеспечения информационной безопасности таможенных органов, организации технической защиты информации и аттестации объектов информатизации, внедрению сертифицированных средств защиты информации в Единой автоматизированной информационной системе. За период с 1998 года в таможенных органах Российской Федерации проделана большая работа по созданию ведомственной системы обеспечения информационной безопасности таможенных органов Российской Федерации, результаты которой позволили: - создать основы нормативного обеспечения информационной безопасности таможенных органов Российской Федерации; - создать организационную структуру ведомственной системы обеспечения информационной безопасности таможенных органов Российской Федерации; - обеспечить плановое проведение работ по технической защите информации на объектах информатизации таможенных органов Российской Федерации, предназначенных для проведения работ со сведениями, составляющими государственную тайну; - обосновать унифицированный комплекс средств защиты информации, применяемый в автоматизированных системах таможенных органов Российской Федерации; - обеспечить централизованное оснащение таможенных органов Российской Федерации сертифицированными средствами защиты информации, их внедрение и ввод в эксплуатацию; - реализовать ряд таможенных информационных технологий в защищенном исполнении; - создать инфраструктуру открытых ключей пользователей автоматизированных систем таможенных органов Российской Федерации и приступить к ее практическому использованию в служебной деятельности; - обеспечить безопасность автоматизированных систем и локальных сетей таможенных органов Российской Федерации при использовании в таможенных органах Российской Федерации сетей общего пользования; - создать телекоммуникационную и программно-аппаратную инфраструктуру ЕАИС таможенных органов Российской Федерации, включая ведомственную интегрированную телекоммуникационную сеть таможенных органов с использованием средств криптографической защиты передаваемой информации; - создать и внедрить ведомственную систему антивирусной защиты; - разработать программу и организовать проведение обучения должностных лиц структурных подразделений ФТС России, региональных таможенных управлений и таможен, работников ГНИВЦа ФТС России по вопросам обеспечения информационной безопасности; - организовать плановый контроль состояния обеспечения информационной безопасности таможенных органов Российской Федерации. Активно работает Совет по информационной безопасности таможенных органов Российской Федерации. Положительный результат проделанной работы по созданию и совершенствованию ведомственной системы обеспечения информационной безопасности таможенных органов неоднократно отмечался Контрольным управлением Президента Российской Федерации, Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности, Федеральной службой по техническому и экспортному контролю (ранее - Государственной технической комиссией при Президенте Российской Федерации). Должностные лица таможенных органов награждались за укрепление государственной системы защиты информации. В тоже время с момента утверждения Концепции произошли следующие изменения исходных положений для обеспечения информационной безопасности таможенных органов: - утверждена Президентом Российской Федерации Доктрина информационной безопасности Российской Федерации; - введен в действие новый Таможенный кодекс Российской Федерации; - утверждена распоряжением Правительства Российской Федерации от 27.09.2004 N 1244-р Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года; - приняты новые правовые и нормативно-методические акты Российской Федерации в области обеспечения информационной безопасности; - Всемирной таможенной организацией приняты Рамочные стандарты безопасности и облегчения мировой торговли; - введены в действия новые руководящие документы ФСТЭК России и ФСБ России в области обеспечения информационной безопасности; - проведена административная реформа федеральных органов исполнительной власти Российской Федерации; - проведены организационно - структурные и организационно - штатные мероприятия в таможенных органах. В связи с изложенным действующая Концепция требовала уточнения и доработки в части определения основных целей, задач, принципов и направлений обеспечения информационной безопасности таможенных органов, а также распределения полномочий и ответственности структурных подразделений ФТС России за обеспечение информационной безопасности. Коллегия ФТС России отмечает, что в настоящее время на обеспечение информационной безопасности таможенных органов Российской Федерации влияют следующие факторы, снижающие эффективность принимаемых мер: - не полностью сформирована штатная структура подразделений по обеспечению информационной безопасности и технической защиты информации в таможенных органах Российской Федерации;