В 1992 г. Гостехкомиссия (ГТК) при Президенте РФ опубликовала пять руководящих документов, посвященных вопросам защиты от несанкционированного доступа (НСД) к информации. Рассмотрим важнейшие из них:
· «Концепция защиты средств вычислительной техники от НСД к информации».
· «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации».
· «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации».
Идейной основой этих документов является «Концепция защиты средств вычислительной техники от НСД к информации, содержащая систему взглядов ГТК на проблему информационной безопасности и основные принципы защиты компьютерных систем.
Основная, и едва ли не единственная, задача средств безопасности в этих документах — это обеспечение защиты от НСД к информации. Если средствам контроля и обеспечения целостности еще уделяется некоторое внимание, то поддержка работоспособности систем обработки информации вообще не упоминается. Все это объясняется тем, что эти документы были разработаны в расчете на применение в информационных системах Министерства обороны и спецслужб РФ, а также недостаточно высоким уровнем информационных технологий этих систем по сравнению с современным.
Руководящие документы ГТК предлагают две группы критериев безопасности:
- показатели защищенности средств вычислительной техники (СВТ) от НСД;
- критерии защищенности автоматизированных систем (АС) обработки данных.
Данные показатели содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным программным средствам и операционным системам. Конкретные перечни показателей определяют классы защищенности СВТ и описываются совокупностью требований.
Установлено семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий – первый.
В отличие от остальных стандартов отсутствует раздел, содержащий требования по обеспечению работоспособности системы, зато присутствует раздел, посвященный криптографическим средствам.
Требования к средствам защиты АС от НСД включают следующие подсистемы:
1. Подсистема управления доступом.
2. Подсистема регистрации и учета.
Криптографическая подсистема.
Подсистема обеспечения целостности.
Документы ГТК устанавливают девять классов защищенности АС от НСД, каждый из которых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отличающиеся спецификой обработки информации в АС. Группа АС определяется на основании следующих признаков:
1. Наличие в АС информации различного уровня конфиденциальности.
2. Уровень полномочий пользователей АС на доступ к конфиденциальной информации.
3. Режим обработки данных в АС (коллективный или индивидуальный).
Федеральные критерии безопасности информационных технологий
Федеральные критерии безопасности информационных технологий – первый стандарт информационной безопасности, в котором определяются три независимые группы требований: функциональные требования к средствам защиты, требования к технологии разработки и к процессу квалификационного анализа. Авторами этого стандарта впервые предложена концепция Профиля защиты – документа, содержащего описание всех требований безопасности как к самому продукту информационных технологий (ИТ-продукту), так и к процессу его проектирования, разработки, тестирования и квалификационного анализа.
Функциональные требования безопасности хорошо структурированы и описывают все аспекты функционирования ТСВ.
Требования к технологии разработки, впервые появившиеся в этом документе, побуждают производителей использовать современные технологии программирования как основу для подтверждения безопасности своего продукта.
Разработчики федеральных критериев отказались от используемого в Оранжевой книге подхода к оценке уровня безопасности ИТ-продукта на основании обобщенной универсальной шкалы классов безопасности. Вместо этого предлагается независимое ранжирование требований каждой группы, т. Е. вместо единой шкалы используется множество частных шкал критериев, характеризующих обеспечиваемый уровень безопасности. Данный подход позволяет разработчикам и пользователям ИТ-продукта выбрать наиболее приемлемое решение и точно определить необходимый и достаточный набор требований для каждого конкретного ИТ-продукта и среды его эксплуатации.
Этот стандарт рассматривает устранение недостатков существующих средств безопасности как одну из задач защиты наряду с противодействием угрозам безопасности и реализацией модели безопасности.
Правовые акты общего назначения, затрагивающие вопросы информационной безопасности:
1. Конституция РФ (12 декабря 1993 г.)
Ст. 24. Органы государственной власти и местного самоуправления должны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими права и свободы.
Ст. 41. Гарантирует право на знание фактов и обстоятельств, создающих угрозу здоровью и жизни людей.
Ст. 42. Гарантирует право на знание достоверной информации о состоянии окружающей среды.
Ст. 23. Гарантирует право на личную и семейную тайну, на тайну переписки, телефонных разговоров, почтовых, телеграфных и иных сообщений.
Ст. 29. Право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.
2. Гражданский кодекс РФ (15 мая 2001 г.)
В нем фигурируют понятия: банковская, коммерческая и служебная тайна.
Согласно ст. 139, информация составляет служебную или коммерческую тайну, если она имеет коммерческую ценность, к ней нет свободного доступа и обладатель информации принимает меры к охране её конфиденциальности.
3. Уголовный кодекс РФ (ред. 14 марта 2002 г.)
Гл. 28. «Преступление в сфере компьютерной информации»
Ст. 272 «Неправомерный доступ к компьютерной информации». За данные преступления огут быть вынесены наказания в размере от 200 минимальных зарплат до лишения свободы на срок до 5 лет.
Ст. 273 «Создание, использование и распространение вредоносных программ для ЭВМ». Наказание в виде штрафа в размере 2 заработных плат до лишения свободы на срок до 7 лет.
Ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети». Наказание в виде лишения права занимать определенные должности на срок до 5 лет, либо обязательными работами на срок до 180-200 часов. При тяжких последствиях – лишение свободы на срок до 4 лет.
Ст. 138 УК РФ защищает конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных разговоров и т.д.
Ст. 183 Аналогична коммерческой и банковской тайне
4. Закон «О государственной тайне» (6.10.1997). В нем гос. тайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной и операционно – розыскной деятельности , распространение которых может нанести ущерб безопасности РФ. В нем дается определение средств защиты информации – технические, криптографические, программные и др.
5. Закон «Об информации, информатизации и защите информации», №24ФЗ (20.02.1995) – даются основные определения и намечаются направления развития законодательства в данной области.
2) Предотвращение угроз безопасности личности, угроз государству
3) Предотвращение несанкционированных действий
4) Защита конституционных прав гражданина на сохранение личной тайны
5) Обеспечение прав субъектов в информационных процессах
В качестве основного средства защиты информации закон предлагает мощные и универсальные средства: лицензирование и сертификацию.
В Ст. 19. данного закона:
a) Все ИС, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном законом РФ «О сертификации продукции и услуг»
b) ИС органов государственной власти, которые обрабатывают информацию с ограниченным доступом, и средства защиты ИС подлежат обязательной сертификации.
c) Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности
d) Интересы потребителя информации при использовании импортной продукции защищаются таможенными органами РФ на основе международной системы сертификации.
В Ст. 22 данного закона:
a) Владелец документов, ИС обеспечивает уровень защиты информации в соответствии с законодательством РФ.
b) Риск, связанный с использованием не сертифицированных ИС и средств, лежит на собственнике этих систем и средств.
Риск, связанный с использованием информации, полученной от не сертифицированной системы, лежит на потребителе информации.
c) Собственник информации имеет право обращаться в организации, осуществляющие сертификацию для проведения анализа достаточности мер защиты.
Владелец документов, ИС обязан оповещать собственника информационных ресурсов обо всех фактах нарушения режима защиты информации.
6. Закон «О лицензировании отдельных видов деятельности» (8.08.2001) - №128ФЗ
Лицензия – специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении требований и условий, выданная юридическому лицу или индивидуальному предпринимателю.
Ст. 17. устанавливает перечень видов деятельности, на которые требуется лицензия:
a) Распространение шифровальных, криптографических средств.
b) Техническое обслуживание шифровальных, криптографических средств.
c) Предоставление услуг в области шифрования
d) Разработка и производство шифровальных, криптографических средств.
f) Выявление электронных устройств, предназначенных для негласного получения информации
g) Разработка и производство средств защиты конфиденциальной информации и техническая защита
h) Разработка, производство, реализация и приобретение в целях продажи специальных технических средств предназначенных для негласного получения информации.
Основным лицензирующим органом в области защиты информации является Федеральное агентство правительственной связи и информации (ФАПСИ) – ведает всем, что связано с криптографией.
Гос. тех. комиссия – лицензирует деятельность по защите информации.
7. Закон «об электронной цифровой подписи» (10.01.2002) - №1-ФЗ
Цель: Обеспечение правовых условий использования ЭЦП, в которых ЭЦП признается равнозначной собственноручной подписи в бумажном документе.
Действие распространяется при совершении гражданско-правовых сделок.
ЭЦП – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи , а также установить отсутствие, искажение информации в электронном документе.
Владелец сертификата ключа подписи – физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом ЭЦП, позволяющим с помощью средств ЭЦП создавать свою электронную подпись.
Средства ЭЦП – аппаратные и программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:
a) Создание ЭЦП с использованием закрытого ключа ЭЦП
b) Подтверждение с использованием открытого ключа ЭЦП подлинности
c) Создание закрытых и открытых ключей ЭЦП
Закрытый ключ ЭЦП – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах ЭЦП с использованием средств ЭЦП.
Открытый ключ ЭЦП – уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю ИС и предназначенная для подтверждения подлинности ЭЦП в электронном документе.
Согласно этому закону, ЭЦП равнозначна собственноручной подписи в документе на бумажном носителе, при соблюдении следующих условий:
a) Сертификат ключа подписи не утратил силу на момент проверки или на момент подписания электронного документа
b) Подтверждена подлинность ЭЦП в электронном документе
c) ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи
Сертификат ключа подписи включает уникальный регистрационный номер, дату начала и конца действия сертификата, ФИО владелица, открытый ключ ЭЦП, наименование средств ЭЦП, с которыми используется открытый ключ.
В 1993 г. несколько организаций (семь европейских и североамериканских государственных организаций) объединили усилия по созданию частных нормативных документов по информационной безопасности и начали совместную деятельность по упорядочению своих критериев в одно множество критериев безопасности ПИТ, которые могли бы использоваться в рамках международного сотрудничества в данной области. Эта деятельность была названа Проектом общих критериев (ОК). Его целью должно было стать разрешение концептуальных и технических отличий, обнаруженных в предыдущих нормативных документах - источниках критериев, и представление результатов в 130 как исходных положений по разработке международного стандарта.
Версия 1.0 ОК была завершена в январе 1996 г. и одобрена 130 в апреле 1996 г. Затем Проект ОК претерпел ряд изменений, основанных на отзывах, полученных от экспертных организаций. Совет по выполнению ОК завершил версию 2.0 в октябре 1997 г., которая была принята в качестве второго проекта. В целях сохранения историчности документ использует термин "общие критерии", однако его официальное название - "Критерии оценки безопасности информационной технологии". Объединенным техническим комитетом 130/1ЕС ЦТС 1 был подготовлен Международный стандарт 130/1ЕС 15408, тождественный общим критериям.
Стандарт 130/1ЕС 15408, состоящий из нескольких частей, определяет критерии, которые должны использоваться как основа для оценки свойств безопасности продуктов информационных технологий (ПИТ). Посредством установления такой базы общих критериев результаты оценки безопасности ПИТ должны быть понятны широкой аудитории.
ОК полезны как руководство для разработки защищенных ПИТ или систем с функциями безопасности и для закупки коммерческих продуктов и систем с такими функциями. Во время оценки такой продукт ПИТ или система называются объектом оценки (00ц). Объекты оценки включают, в частности, операционные системы, вычислительные сети, распределенные системы и прикладные приложения.
ОК рассматривают защиту информации от несанкционированного доступа, модификации или потери возможности использования (потерю доступности). ОК рассматривают угрозы информации, возникающие от человеческой деятельности (преднамеренной или непреднамеренной).
Кроме того, ОК могут применяться и против некоторых угроз, не связанных с человеческим фактором, а также в других областях ПИТ, но не претендуют на корректность вне области безопасности ПИТ. ОК могут быть использованы для выбора соответствующих мер безопасности ПИТ и содержат критерии для оценки требований безопасности.
Существуют три группы с общими интересами в оценке свойств безопасности продуктов и систем ПИТ: потребители 00ц, разработчики 00ц и оценивающие 00ц (эксперты). Критерии, приводимые в ОК, построены так, чтобы поддерживать интересы всех трех групп. Принципиально все они считаются пользователями ОК.
ОК играют важную роль при выборе потребителем требований безопасности ПИТ для выражения их нужд. Потребители могут использовать результаты оценок, чтобы решить, действительно ли оцениваемый ПИТ удовлетворяет их нужды безопасности. Эти потребности в безопасности обычно определяются в результате как анализа риска, так и выбора направления политики безопасности. Потребители могут также использовать результаты оценки для сравнения различных продуктов или систем.
ОК предназначены для поддержки разработчиков в подготовке продуктов и систем, их оценке, а также в определении требований безопасности, которым должен удовлетворять каждый из их продуктов или систем. ОК описывают функции безопасности, которые разработчик может включить в 00ц.
ОК содержат критерии, которые должны использоваться оценивающими (экспертами) при формировании суждений о соответствии 00ц требованиями по их безопасности. ОК описывают множество общих действий, которые должен выполнить эксперт, и функции безопасности, в соответствии с которыми выполняются эти действия. Хотя ОК ориентированы на определение и оценку свойств (безопасности ПИТ в различных 00ц, они также могут быть полезны в
.качестве справочного материала для всех, кто заинтересован в ^безопасности или отвечает за безопасность ПИТ. Использование общей методологии оценок содействует воспроизводимости и объективности результатов, но само по себе не является достаточным. Многие из критериев оценки требуют применения экспертного заключения и дополнительных знаний и навыков, по
