Законодательные меры по защите информации от НСД заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц-пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.

Цель законодательных мер – предупреждение и сдерживание потенциальных нарушителей.


Литература:

1. Информатика: Учебник\под ред. проф. Н.В. Макаровой. – М.: Финансы и статистика, 1997, с. 13 – 33.

2. Автоматизированные информационные технологии в экономике: Учебник\ под. Ред. проф. Г.А. Титоренко – М.: Компьютер, ЮНИТИ, 1998, с.11 – 20, 141 – 160..

Литература

1. Экономическая информатика и вычислительная техника: Учебное пособие/ Под ред. проф. Титоренко Г.А. М.: изд.ВЗФЭИ 1989. .-88 с.

2. КОПР 2.3 ВЗФЭИ. Информатика.

3. Пятибратов А.П. и др. Вычислительные системы, сети и телекоммуникации; Учебник. - 2-е изд., перераб. и доп. /А.П. Пятибратов, Л.Л. Гудыно, А.А. Кириченко. Под ред. А.П. Пятибратова. - М.. Финансы и статистика, 2002 - 512 с.

4. Информатика: Учебник. - 3-е перераб. изд./Под ред. проф. Н.В, Макаровой. - М.: Финансы и статистика, 1999. - 768 с.: ил.

5. Экономическая информатика: Учебник / Под ред. В.П. Косырева и Л.В. Еремина.- М.. Финансы и статистика, 2002 - 592 с.

Список литературы

1. Защита информации в компьютерных системах. – М.: Финансы и статистика; Электронинформ, 1997. – 368 с.: ил.

2. Защита информационных ресурсов государственного управления: Учеб. Пособие для вузов. – М.: ЮНИТИ-ДАНА, 2003. – 327 с. – (Серия «Профессиональный учебник: Информатика»).

3. Ларионов А.М., Майоров С.А., Новиков Г.Н. Вычислительные комплексы, системы и сети. – Л.: Энергоатомиздат,1987.

4. Хоффман Л.Дж. Современные методы защиты информации / Пер. с англ. – М.: Сов. Радио, 1980.

5. Герасименко В.А., Размахнин М.К., Родионов В.В. Технические средства защиты информации // Зарубежная радиоэлектроника. – 1989. - № 12.

6. Кузьмин И.В., Бурназян Р.Г., Ковергин А.А. Аппаратный контроль электронных цифровых вычислительных машин. – М.: Энергия, 1974.

7. Ухлинов Л.М. Международные стандарты в области обеспечения безопасности данных в сетях ЭВМ. Состояние и направления развития / Электросвязь. – 1991. - № 6.


1 Окраинец К.Ф

2 Окраинец К.Ф . WWW на кончиках ваших пальцев.- М; «СК Пресс», 1997. 188 с.– с.5

1 Окраинец К.Ф . WWW на кончиках ваших пальцев.- М; «СК Пресс», 1997. 188 с.– с 25

1 Соломейчук В. Понятный самоучитель работы в Интернете. СПб.: Питер, 2003. 300 с. – с.34

1 Соломейчук В. Понятный самоучитель работы в Интернете. СПб.: Питер, 2003. 300 с. – с.36

См.: Трапезников В.А. Человек в системе управления // Наука и жизнь. – 1972. - №2.

Необходимо:

1. Контролировать доступ как к информации в компьютере, так и к прикладным программам. Необходимо иметь иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям.

Идентификация пользователей

Требуйте, чтобы пользователи выполняли процедуры входа в компьютер, и используйте это как средство для идентификации в начале работы. Чтобы эффективно контролировать микрокомпьютер, может оказаться наиболее выгодным использовать его как однопользовательскую систему. Обычно у микрокомпьютера нет процедур входа в систему, право использовать систему предоставляется простым включением компьютера.

Аутентификация пользователей

Используйте уникальные пароли для каждого пользователя, которые не являются комбинациями личных данных пользователей, для аутентификации личности пользователя. Внедрите меры защиты при администрировании паролей, и ознакомьте пользователей с наиболее общими ошибками, позволяющими совершиться компьютерному преступлению..

Другие меры защиты:

Пароли - только один из типов идентификации - что-то, что знает только пользователь. Двумя другими типами идентификации, которые тоже эффективны, являются что-то, чем владеет пользователь(например, магнитная карта), или уникальные характеристики пользователя(его голос).

Если в компьютере имеется встроенный стандартный пароль(пароль, который встроен в программы и позволяет обойти меры по управлению доступом), обязательно измените его. Сделайте так, чтобы программы в компьютере после входа пользователя в систему сообщали ему время его последнего сеанса и число неудачных попыток установления сеанса после этого. Это позволит сделать пользователя составной частью системы проверки журналов.

Защищайте ваш пароль:

Не делитесь своим паролем ни с кем;

Выбирайте пароль трудно угадываемым;

Попробуйте использовать строчные и прописные буквы, цифры, или выберите знаменитое изречение и возьмите оттуда каждую четвертую букву. А еще лучше позвольте компьютеру самому сгенерировать ваш пароль;

Не используйте пароль, который является вашим адресом, псевдонимом, именем жены, телефонным номером или чем-либо очевидным.

Используйте длинные пароли, так как они более безопасны, лучше всего от 6 до 8 символов;

Обеспечьте неотображаемость пароля на экране компьютера при его вводе;

Обеспечьте отсутствие паролей в распечатках

не записывайте пароли на столе, стене или терминале. Держите его в памяти

Серьезно относитесь к администрированию паролей:

Периодически меняйте пароли и делайте это не по графику;

Шифруйте или делайте что-нибудь еще с файлами паролей, хранящимися в компьютере, для защиты их от неавторизованного доступа;

Назначайте на должность администратора паролей только самого надежного человека;

Не используйте один и тот же пароль для всех сотрудников в группе

меняйте пароли, когда человек увольняется;

Заставляйте людей расписываться за получение паролей

установите и внедрите правила работы с паролями и обеспечьте, чтобы все знали их;

Установите порядок в организации, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям, и получения пароля требуется разрешение тех или иных начальников;

Защита файлов

Помимо идентификации пользователей и процедур авторизации разработайте процедуры по ограничению доступа к файлам с данными:

Используйте внешние и внутренние метки файлов для указания типа информации, который они содержат, и требуемого уровня безопасности;

Ограничьте доступ в помещения, в которых хранятся файлы данных, такие как архивы и библиотеки данных;

Используйте организационные меры и программно-аппаратные средства для ограничения доступа к файлам только авторизованных пользователей;

Предосторожности при работе:

Отключайте неиспользуемые терминалы;

Закрывайте комнаты, где находятся терминалы;

Разворачивайте экраны компьютеров так, чтобы они не были видны со стороны двери, окон и тех мест в помещениях, которые не контролируются;

Установите специальное оборудование, такое как устройства, ограничивающие число неудачных попыток доступа, или делающие обратный звонок для проверки личности пользователей, использующих телефоны для доступа к компьютеру программируйте терминал отключаться после определенного периода неиспользования если это возможно, выключайте систему в нерабочие часы.

2. Необходимо защищайте целостность информации. Вводимая информация должна быть авторизована, полна, точна и должна подвергаться проверкам на ошибки.

Целостность информации:

Проверяйте точность информации с помощью процедур сравнения результатов обработки с предполагаемыми результатами обработки. Например, можно сравнивать суммы или проверять последовательные номера;

Проверяйте точность вводимых данных, требуя от служащих выполнять проверки на корректность, такие как:

Проверки на нахождение символов в допустимом диапазоне символов(числовом или буквенном)

Проверки на нахождение числовых данных в допустимом диапазоне чисел

Проверки на корректность связей с другими данными, сравнивающими входные данные с данными в других файлах

Проверки на разумность, сравнивающие входные данные с ожидаемыми стандартными значениями

Ограничения на транзакции, сравнивающие входные данные с административно установленными ограничениями на конкретные транзакции

Трассируйте транзакции в системе:

Делайте перекрестные проверки содержимого файлов с помощью сопоставления числа записей или контроля суммы значений поля записи.

3. Необходимо защищать системные программы. Если ПО используется совместно, защищайте его от скрытой модификации при помощи политики безопасности, мер защиты при его разработке и контроле за ним в его жизненном цикле, а также обучения пользователей в области безопасности.

Меры защиты при разработке программ и соответствующие политики должны включать процедуры внесения изменений в программу, ее приемки и тестирования до ввода в эксплуатацию. Политики должны требовать разрешения ответственного лица из руководства для внесения изменений в программы, ограничения списка лиц, кому разрешено вносить изменения и явно описывать обязанности сотрудников по ведению документации.

Должен быть разработан и поддерживаться каталог прикладных программ.

Должны быть внедрены меры защиты по предотвращению получения, изменения или добавления программ неавторизованными людьми через удаленные терминалы.

4. Сделайте меры защиты более адекватными с помощью привлечения организаций, занимающихся тестированием информационной безопасности, при разработке мер защиты в прикладных программах и консультируйтесь с ними при определении необходимости тестов и проверок при обработке критических данных. Контрольные журналы, встроенные в компьютерные программы, могут предотвратить или выявить компьютерное мошенничество и злоупотребление.

Должны иметься контрольные журналы для наблюдения за тем, кто из пользователей обновлял критические информационные файлы

Если критичность информации, хранимой в компьютерах, требует контрольных журналов, то важны как меры физической защиты, так и меры по управлению доступом.

В компьютерной сети журналы должны храниться на хосте, а не на рабочей станции.

Контрольные журналы не должны отключаться для повышения скорости работы.

Распечатки контрольных журналов должны просматриваться достаточно часто и регулярно.

5. Необходимо рассмотреть вопрос о коммуникационной безопасности. Данные, передаваемые по незащищенным линиям, могут быть перехвачены.

Физическая безопасность.

Традиционная безопасность: замки, ограждение и охрана.

Физическая безопасность означает лишь содержание компьютера и информации в нем в безопасности от физических опасностей с помощью замков на входах в помещение, где он находится, строительства ограждения вокруг зданий и размещения охраны вокруг помещения. Но физическая безопасность сейчас изменилась из-за современной компьютерной среды - среды, которая часто представляет собой офис с большим числом персональных ЭВМ или терминалов. Физическая безопасность связана с внедрением мер защиты, которые защищают от стихийных бедствий(пожаров, наводнений, и землетрясений), а также всяких случайных инцидентов. Меры физической безопасности определяют, каким будет окружение компьютера, вводимые данные, и результаты обработки информации. Помимо помещений, где размещено компьютерное оборудование, окружение включает в себя библиотеки программ, журналы, магнитные носители, помещения для архивов, и помещения для ремонта техники. Меры физической защиты должны отвечать требованиям современной действительности и сочетать эффективность с невысокой ценой. Например, установка дорогой противопожарной системы может быть необходимой для защиты большого компьютера, обрабатывающего критические данные, но оказаться неоправданно дорогой при защите одной персональной ЭВМ.

Меры физической безопасности

1. Предотвратить злонамеренные разрушения, неавторизованное использование или кражу. ПЭВМ могут быть заперты в комнатах и доступ к ним может быть ограничен с помощью устройств блокировки клавиатуры и т.п. Удостоверьтесь, что люди соблюдают свои обязанности по использованию компьютеров и их можно проконтролировать.

2. Стихийные бедствия могут нанести большой ущерб как большим, так и маленьким компаниям.

Примите меры по предотвращению, обнаружению и минимизации ущерба от пожара, наводнения, загрязнения окружающей среды, высоких температур и скачков напряжения. Защищайте ПЭВМ с помощью кожухов, чтобы они не были повреждены системой пожаротушения. Не храните горючие материалы в этих помещениях.

Статическое электричество может очистить память в ПЭВМ. Антистатические коврики могут предотвратить это.

Скачки напряжения могут очистить память, изменить программы и разрушить микросхемы. Устройство бесперебойного питания(УБП) дает достаточно времени, чтобы отключить компьютер без потери данных.

Температура в помещении может контролироваться кондиционерами и вентиляторами, а также хорошей вентиляцией в помещении. Проблемы с чрезмерно высокой температурой могут возникнуть в стойках периферийного оборудования или из-за закрытия вентиляционного отверстия в терминалах или ПЭВМ.

Воздушные фильтры могут очистить воздух от вредных веществ в нем, которые могут нанести вред компьютерам и дискам. Следует запретить курить возле ПЭВМ.

Размещайте компьютеры подальше от того, что может явиться источником большого количества воды, например трубопроводов, обычно затапливаемых помещений или не используйте систему пожаротушения, если есть другие способы защиты от пожара.

3. Защищайте все носители информации(исходные документы, ленты, картриджи, диски, распечатки)

4. Удостоверьтесь, что существуют адекватные планы действий при ЧП(планы обеспечения непрерывной работы). Помните, что целью этих планов являются гарантии того, что пользователи смогут продолжать выполнять самые главные свои обязанности в случае невозможности работы по информационной технологии.

Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

Невозможность миновать защитные средства; усиление самого слабого звена;

Невозможность перехода в небезопасное состояние;

Минимизация привилегий; разделение обязанностей;

Эшелонированность обороны; разнообразие защитных средств;

Простота и управляемость информационной системы; обеспечение всеобщей поддержки мер безопасности.

Все меры противодействия компьютерным преступлениям можно условно подразделить на технические, организационные и правовые .

Возможна и другая классификация, при которой все меры подразделяются на правовые, организационно-технические и экономические 14 .

К экономическим мерам защиты компьютерной информации относится разработка программ обеспечения информационной безопасности России и определение порядка их финансирования, а также совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических мер защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

11.3.1. Организационные меры защиты

Организационные меры защиты информации и информационных систем включают в себя совокупность организационных мероприятий по подбору, проверке и инструктажу персонала, осуществлению режима секретности, обеспечению физической охраны объектов . Кроме вышеперечисленных к организационным мерам относятся:

    исключение случаев ведения особо важных работ только одним человеком;

    наличие плана восстановления работоспособности центра после выхода его из строя;

    организация обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра;

    универсальность средств защиты от всех пользователей (включая высшее руководство);

    возложение ответственности на лицо, которое должно обеспечить безопасность центра;

    выбор места расположения центра и т.п.

Организационные мероприятия рассматриваются многими специалистами, занимающимися вопросами безопасности компьютерных систем, как наиболее важные и эффективные из всех средств защиты. Это связано с тем, что ониявляются фундаментом, на котором строится вся система защиты 15 .

Применяемые в отдельных предприятиях, организациях и учреждениях, фирмах, компаниях организационные меры защиты информации включают использование паролей и других средств, исключающих доступ к программным и информационным файлам, а также другие меры, которые в массовом масштабе не реализуются. В целях исключения неправомерного доступа к компьютерной информации предприятий, организаций и учреждений, фирм, компаний необходимо периодически реализовывать следующие организационные мероприятия :

    просматривать всю документацию соответствующего учреждения, организации, фирмы, компании;

    знакомиться с должностными инструкциями каждого сотрудника;

    определять возможные каналы утечки информации;

    намечать реальные мероприятия по ликвидации слабых звеньев в защите информации.

11.3.2. Технические меры защиты

К техническим мерам можно отнести защиту от несанкционированного доступа к компьютерной системе, резервирование важных компьютерных систем, принятие конструкционных мер защиты от хищений и диверсий, обеспечение резервным электропитанием, разработку и реализацию специальных программных и аппаратных комплексов безопасности и т.д .

Все технические методы подразделяются на аппаратные, программные и комплексные. Аппаратные методы предназначены для защиты от неправомерного доступа аппаратных средств и средств связи.Аппаратные средства и методы защиты реализуются путем применения различных технических устройств специального назначения. К ним относятся:

    источники бесперебойного питания аппаратуры, а также различные устройства стабилизации, предохраняющие от резких скачкообразных перепадов напряжения и пиковых нагрузок в сети электропитания;

    устройства экранирования аппаратуры, линий проводной связи и помещений, в которых находится компьютерная техника;

    устройства определения и фиксации номера вызывающего абонента, работающие по принципу обычного телефонного автоматического определителя номера (АОН);

    устройства, обеспечивающие только санкционированный физический доступ пользователя на охраняемые объекты средств компьютерной техники (шифрозамки, устройства идентификации личности и т.п.);

    устройства идентификации и фиксации терминалов пользователей при попытках несанкционированного доступа к компьютерной сети;

    средства охранно-пожарной сигнализации;

    средства защиты портов компьютерной техники.

Говоря о мерах защиты персональных компьютеров, необходимо назвать ключи блокировки, применяемые для опознания пользователей. Заметим, что эффективность защиты возрастает при использовании совокупности технических методов опознания пользователей и паролей доступа. Своеобразным ключом блокировки может являться специальное внешнее устройство, находящееся непосредственно у пользователя, приемная часть которого монтируется непосредственно в персональный компьютер и за счет блокировки обеспечивает доступ к ресурсам персонального компьютера. Ключевым блокирующим устройством должно быть как средство идентификации личности по физическим параметрам, так и средство аутентификации.

Незаконное копирование данных с машинных носителей или непосредственно из оперативного запоминающего устройства предотвращается с помощью специального кодирования хранящейся и обрабатываемой информации. Кодирование может производиться с помощью соответствующих подпрограмм и дополнительного кодирующего оборудования. Кодирование в этом случае используется как мера защиты и безопасности данных не только при хранении и обработке информации в персональном компьютере, но и при передаче данных от одного вычислительного комплекса к другому.

Практическое использование технических мер по защите данных показало, что одна треть предлагаемого производителями программного обеспечения для персональных компьютеров не имеет защиты информации. В остальных же случаях эти меры в основном ограничиваются программным контролем подлинности пользователя.

Программные методы защиты предназначены, для непосредственной защиты машинной информации, программных средств, компьютерной техники от несанкционированного ознакомления с ней пользователей, не имеющих допуска. Кроме того, программные средства защиты должны обеспечивать контроль за правильностью осуществления процессов ввода, вывода, обработки, записи, стирания, чтения и передачи информации по каналам связи. Все программные методы защиты подразделяются на следующие виды:

    пароли доступа;

    защита массивов информации;

    защита от вирусов;

    защита программ;

    защита баз данных;

    криптографические методы защиты.

Обеспечение защиты компьютерной информации должно представлять совокупность различных мероприятий, осуществляемых как во время разработки, так и на всех этапах эксплуатации системы автоматизированной обработки данных .

Для защиты информации при ее передаче обычно используют различные способы шифрования данных перед их вводом в канал связи или на физический носитель с последующей расшифровкой, в том числе криптографические. Как показывает практика, такие способы шифрования позволяют достаточно надежно скрыть смысл сообщения.

Для ограничения доступа к информационным ресурсам используются средства регистрации и средства контроля. Средства контроля доступа предназначены непосредственно для защиты, а задача средств регистрации заключается в обнаружении и фиксации уже совершенных действий преступника или попыток их совершения.

Возможна идентификация пользователя по электронной подписи, что регламентировано федеральным законом 16 . Электронная подпись дает возможность не только гарантировать аутентичность документа в части его авторства, но и установить неискаженность (целостность) содержащейся в нем информации, а также зафиксировать попытки подобного искажения. Переданный получателю подписанный документ состоит из текста, электронной подписи и сертификата пользователя. Последний содержит в себе гарантированно подлинные данные пользователя, в том числе его отличительное имя и открытый ключ расшифрования для проверки подписи получателем либо третьим лицом, осуществившим регистрацию сертификата.

К программным методам защиты относится и защита базы данных,которая включает в себя защиту от любого несанкционированного или случайного их изменения или уничтожения. Дополнительной целью является защита от несанкционированного снятия информации внутри базы данных.

Следует отметить, что надежная защита компьютерной информации может быть обеспечена только при применении комплексных мер защиты. Комплексность состоит в использовании аппаратных и программных мер защиты. Только в этом случае удается достигнуть требуемого уровня защищенности как самой компьютерной техники, так и информации, находящейся в ней.

В целом организационные и технические меры защиты компьютерной информации должны составлять единый комплекс. Данным вопросам уделено довольно много внимания в специальной технической литературе и посвящено большое количество научных исследований и технических изысканий нашей стране и мире.

Для обеспечения безопасности информации в офисных сетях проводятся различные мероприятия, объединяемые понятием «система защиты информации». Система защиты информации - это совокупность мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

Традиционные меры для противодействия утечкам информации подразделяются на технические и организационные Конахович Г. Защита информации в телекоммуникационных системах. - М.: МК-Пресс, 2005.С.123..

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

К организационным мерам можно отнести охрану серверов, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности сервера после выхода его из строя, универсальность средств защиты от всех пользователей (включая высшее руководство).

Несанкционированный доступ к информации может происходить во время профилактики или ремонта компьютеров за счет прочтения остаточной информации на носителях, несмотря на ее удаление пользователем обычными методами. Другой способ - прочтение информации с носителя во время его транспортировки без охраны внутри объекта или региона.

Современные компьютерные средства построены на интегральных схемах. При работе таких схем происходят высокочастотные изменения уровней напряжения и токов, что приводит к возникновению в цепях питания, в эфире, в близрасположенной аппаратуре и т.п. электромагнитных полей и наводок, которые с помощью специальных средств можно трансформировать в обрабатываемую информацию. С уменьшением расстояния между приемником нарушителя и аппаратными средствами вероятность такого рода съема и расшифровки информации увеличивается.

Несанкционированное ознакомление с информацией возможно также путем непосредственного подключения нарушителем «шпионских» средств к каналам связи и сетевым аппаратным средствам.

Традиционными методами защиты информации от несанкционированного доступа являются идентификация и аутентификация, защита паролями. Коржов В. Стратегия и тактика защиты.//Computerworld Россия.- 2004.-№14.С.26.

Идентификация и аутентификация. В компьютерных системах сосредоточивается информация, право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к конфиденциальной либо к подлежащей засекречиванию информации, внедряются различные системы опознавания, установления подлинности объекта (субъекта) и разграничения доступа. В основе построения таких систем находится принцип допуска и выполнения только таких обращений к информации, в которых присутствуют соответствующие признаки разрешенных полномочий.

Ключевыми понятиями в этой системе являются идентификация и аутентификация. Идентификация - это присвоение какому-либо объекту или субъекту уникального имени или образа. Аутентификация - это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает.

Классификация мер по защите информации в соответствии с ст. 16 π. 1 Федерального закона № 149-ФЗ представляет собой сочетание правовых, организационных и технических мер. При широкой трактовке понятия защита информации, которое в этом случае правильнее заменить на сочетание информационная безопасность, в перечень мер защиты должны быть включены и физические меры защиты.

Законодательные меры

Законодательные меры занимают около 5% объема средств, расходуемых на защиту информации. Это меры но разработке и практическому применению законов, постановлений, инструкций и правил эксплуатации, контроля как аппаратного, так и программного обеспечения компьютерных и информационных систем, включая линии связи, а также все объекты инфраструктуры, обеспечивающие доступ к этим системам. В России деятельность в информационной сфере регулируют более 1000 нормативных документов. Уголовное преследование за преступления в этой сфере осуществляется в соответствии с гл. 28 Уголовного кодекса РФ "Преступления в сфере компьютерной информации", содержащей три статьи.

  • 1. Статья 272 – несанкционированный доступ к информации. Несанкционированный доступ к информации – нарушение установленных правил разграничения доступа с использованием штатных средств, предоставляемых ресурсами вычислительной техники и автоматизированными системами (сетями). Отметим, что при решении вопроса о санкционированности доступа к конкретной информации необходимо наличие документа об установлении правил разграничения доступа, если эти правила не прописаны законодательно.
  • 2. Статья 273 – создание, использование и распространение (включая продажу зараженных носителей) вредоносных программ для ЭВМ, хотя перечень и признаки их законодательно не закреплены. Вредоносная программа специально созданная или измененная существующая программа, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или их сети.
  • 3. Статья 274 – нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Это – нарушение работы программ, баз данных, выдача искаженной информации, а также нештатное функционирование аппаратных средств и периферийных устройств; нарушение нормального функционирования сети, прекращение функционирования автоматизированной информационной систем в установленном режиме; сбой в обработке компьютерной информации.

Уголовное преследование за незаконные действия с общедоступной информацией осуществляется в соответствии со ст. 146 "Нарушение авторских и смежных прав" и 147 "Нарушение изобретательских и патентных прав" гл. 19 "Преступления против конституционных прав и свобод человека и гражданина" Уголовного кодекса РФ.

Ответственность за соблюдением сотрудниками организации или компании законодательных мер по защите информации лежит на каждом сотруднике организации или компании, а контроль за их соблюдением – на руководителе.

Физические меры

Физические меры (доля 15–20%) обеспечивают ограничение физического доступа к компьютеру, линии связи, телекоммуникационному оборудованию и контроль доступа. Физические меры защиты направлены на управление доступом физических лиц, автомобилей, грузов в охраняемую зону, а также на противодействие средствам агентурной и технической разведки. Эти меры включают: охрану периметра, территории, помещений; визуальное и видеонаблюдение; опознавание людей и грузов; идентификацию техники; сигнализацию и блокировку; ограничение физического доступа в помещения.

Выделяют три основные макрофункции физической защиты (рис. 11.2):

Перечисленные средства служат для обнаружения угроз и оповещения сотрудников охраны или персонала объекта о появлении и нарастании угроз.

Из 12 разбитых по функциональному признаку групп более детально рассмотрим четыре группы, использующие в своей технической реализации собственные компьютерные средства либо пригодные для защиты самих рабочих помещений с компьютерами.

Охранная сигнализация. Основной элемент сигнализации – датчики, фиксирующие изменение одного или нескольких физических параметров, характеристик.

Датчики классифицируют по следующим группам:

  • объемные, позволяющие контролировать пространство помещений, например внутри компьютерных классов;
  • линейные, или поверхностные, для контроля периметров территорий, зданий, стен, проемов (окна, двери);
  • локальные, или точечные, для контроля состояния отдельных элементов (закрыто окно или дверь).

Датчики устанавливаются как открыто, так и скрытно. Наиболее распространены:

Выключатели (размыкатели), механически или магнитным способом замыкающие (размыкающие) управляю-

Рис. 11.2.

щую электрическую цепь при появлении нарушителя. Бывают напольные, настенные, на касание;

  • инфраакустические, устанавливаемые на металлические ограждения для улавливания низкочастотных колебаний, возникающих во время их преодоления;
  • датчики электрического ноля, состоящие из излучателя и нескольких приемников. Выполняются в виде натянутых между столбами проводов-кабелей. Изменение поля при появлении нарушителя и фиксируется датчиком;
  • инфракрасные датчики (излучатель – диод либо лазер), используемые для сканирования поверхностей или объемов помещений. Тепловая "фотография" запоминается и сравнивается с последующей для выявления факта перемещения объекта в защищаемом объеме;
  • микроволновые – сверхвысокочастотный передатчик и приемник;
  • датчики давления, реагирующие на изменение механической нагрузки на среду, в которой они уложены или установлены;
  • магнитные датчики (в виде сетки), реагирующие на металлические предметы, имеющиеся у нарушителя;
  • ультразвуковые датчики, реагирующие на звуковые колебания конструкций в области средних частот (до 30– 100 кГц);
  • емкостные, реагирующие на изменение электрической емкости между полом помещения и решетчатым внутренним ограждением при появлении инородного объекта.

Средства оповещения и связи. Всевозможные сирены, звонки, лампы, подающие постоянный или прерывистые сигналы о том, что датчик зафиксировал появление угрозы. На больших расстояниях используют радиосвязь, на малых – специальную экранированную защищенную кабельную разводку. Обязательное требование – наличие автоматического резервирования электропитания средств сигнализации.

Охранное телевидение. Распространенное физическое средство защиты. Главная особенность – возможность не только фиксировать визуально факт нарушения режима охраны объекта и контролировать обстановку вокруг объекта, но и документировать факт нарушения, как правило, с помощью видеомагнитофона.

В отличие от обычного телевидения, в системах охранного ТВ монитор принимает изображение от одной или нескольких видеокамер, установленных в известном только ограниченному кругу лиц месте (так называемое закрытое ТВ). Естественно, что кабельные линии для передачи сигналов охранного ТВ не должны быть доступны иным лицам, кроме охраны. Мониторы располагаются в отдельных помещениях, доступ в которые должен быть ограничен.

Рассмотренные выше три группы относятся к категории средств обнаружения вторжения или угрозы.

Естественные средства противодействия вторжению. Сюда относятся естественные или искусственные барьеры (водные преграды, сильно пересекающаяся местность, заборы, спецограждения, особые конструкции помещений, сейфы, запираемые металлические ящики для компьютеров и т.п.).

Средства ограничения доступа, в состав которых входит компьютерная техника. Сюда относятся биометрические или иные, использующие внешние по отношению к компьютеру носители паролей или идентифицирующих кодов: пластиковые карты, флеш-карты, таблетки Touch Memory и другие средства ограничения доступа.

Биометрические средства ограничения доступа. Особенность биометрических методов допуска состоит в их статистической природе. В процессе проверки объекта при наличии ранее запомненного кода устройство контроля выдает сообщение по принципу "совпадает" или "не совпадает". В случае считывания копии биологического кода и его сравнения с оригиналом речь идет о вероятности ошибки, которая является функцией чувствительности, разрешающей способности и программного обеспечения контролирующего доступ прибора. Качество биометрической системы контроля доступа определяется следующими характеристиками:

  • вероятностью ошибочного допуска "чужого" – ошибка первого рода;
  • вероятностью ошибочного задержания (отказа в допуске) "своего" легального пользователя – ошибка второго рода;
  • временем доступа или временем идентификации;
  • стоимостью аппаратной и программной частей биометрической системы контроля доступа, включая расходы на обучение персонала, установку, обслуживание и ремонт.

Бо́льшая часть биометрических средств защиты реализована на трех компонентах: сканер (датчик) – преобразователь (сигналы датчика в цифровой код для компьютера) – компьютер (хранитель базы биометрических кодов – характеристик объекта, сравнение с принятой от датчика информацией, принятие решения о допуске объекта или блокировании его доступа).

В качестве уникального биологического кода человека в биометрии используются параметры двух групп.

Поведенческие, основанные на специфике действий человека, – это тембр голоса, подпись, индивидуальная походка, клавиатурный почерк. Главный недостаток поведенческих характеристик – временна́я неустойчивость, т.е. возможность значительного изменения со временем. Это в значительной степени ограничивает применение поведенческих характеристик как средств ограничения доступа. Однако на протяжении относительно короткого временно́го интервала они применимы как идентифицирующие личность средства. Пример – фиксация клавиатурного почерка работающего в процессе осуществления им сетевой атаки и последующий (после задержания злоумышленника) контрольный набор определенного текста желательно на изъятой у него клавиатуре (лучше на его же компьютере).

Физиологические, использующие анатомическую уникальность каждого человека, – радужная оболочка глаза, сетчатка глаза, отпечатки пальцев, отпечаток ладони, геометрия кисти руки, геометрия лица, термограмма лица, структура кожи (эпителия) на пальцах на основе ультразвукового цифрового сканирования, форма ушной раковины, трехмерное изображение лица, структура кровеносных сосудов руки, структура ДНК, анализ индивидуальных запахов. Справедливости ради отметим, что бо́льшая часть перечисленных биометрических средств пока не производится в массовых масштабах.

Устройства биометрического контроля начали распространяться в России еще до 2000 г. Однако из-за высокой цены на российских рынках (десятки тысяч долларов за устройство) подобная техника была экзотикой. Сегодня биометрические средства доступны и имеют устойчивый спрос в России. Иная причина – осознание необходимости защиты от преступности у нас в стране. Как показывает опыт, сложность применяемых устройств контроля допуска растет. Раньше в России на режимных предприятиях применялись замки с PIN-кодом, затем появились магнитные пластиковые карты, которые необходимо было провести через специальные устройства считывания, еще позднее – карточки дистанционного считывания. Опыт, в том числе и российский, показывает, что данные средства эффективны только от случайного посетителя и слабы при жестких формах преступности, когда похищаются и пароли входа в информационную систему, и пластиковые карточки, оказывается давление на отдельных сотрудников служб охраны и безопасности.

Уровень современной биометрической защиты весьма высок: он исключает возможность взлома даже в ситуации, когда злоумышленник пытается использовать труп или изъятые органы. Возможность технического взлома базы эталонов или их подмены на этапе идентификации, как правило, исключена: сканер и каналы связи сильно защищены, а компьютер дополнительно изолирован от сети и не имеет даже терминального доступа.

Известная компания Identix, занимающаяся автоматизированным дактилоскопическим оборудованием, прошла регистрацию в 52 странах. Ее серийно выпускаемое оборудование решает следующие идентификационные задачи:

  • контроль физического доступа в здание, на стоянки автомашин и в другие помещения;
  • контроль компьютерных станций (серверов, рабочих мест) и систем телекоммуникаций;
  • контроль доступа к сейфам, складам и т.п.;
  • идентификация в электронной коммерции;
  • контроль членства в различных организациях и клубах;
  • паспортный контроль;
  • выдача и контроль виз, лицензий;
  • контроль времени посещения;
  • контроль транспортных средств;
  • идентификация кредитных и смарт-карт.

В табл. 11.1 сопоставлены характеристики промышленных биометрических систем контроля доступа.

Таблица 11.1

Характеристики промышленных биометрических систем контроля доступа

Ограничителем распространения биометрических средств контроля доступа в ряде стран выступает действующее на их территории законодательство. В России действует закон о персональных данных (Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных", введен в действие с 26 января 2007 г.). Подобные законы существуют в других странах, а в некоторых отсутствуют. Статья 11 "Биометрические персональные данные" указанного Закона не содержит исчерпывающего перечня параметров, которые можно отнести к этим данным.

Несомненно, что создание пусть небольших, локальных баз данных, содержащих идентифицирующую гражданина информацию, должно регулироваться законодательно с обязательными мерами ответственности за несанкционированное раскрытие или искажение подобной информации.

Пластиковые карты. Лидером среди переносных носителей персональных идентификационных кодов (PIN) и кодов физического доступа остаются пластиковые карты.

Пластиковая карта представляет собой пластину стандартных размеров (85,6x53,9x0,76 мм), изготовленную из специальной устойчивой к механическим и термическим воздействиям пластмассы. Основная функция пластиковой карты – обеспечение идентификации владельца карты как субъекта системы физического доступа или платежной системы. Па пластиковую карту наносят:

  • логотип банка-эмитента (выпустившего карту);
  • логотип или название платежной системы, обслуживающей карту;
  • имя держателя карты;
  • номер его счета;
  • срок действия.

Могут присутствовать фотография, подпись владельца и другие параметры.

Алфавитно-цифровые данные – имя, номер счета и другие могут быть нанесены рельефным шрифтом (эмбоссированы), что позволяет при ручной обработке быстро перенести данные с карты на чек с помощью импринтера, осуществляющего "прокатку" карты.

По принципу действия карты делятся на две группы – пассивные и активные.

Пассивные карты только хранят информацию на носителе, но не обеспечивают ее автономной обработки. Пример – широко распространенные во всем мире карты с магнитной полосой на обратной стороне (три дорожки). Две дорожки хранят идентификационные записи. На третью можно записывать, например, текущее значение лимита дебетовой карты. Из-за невысокой надежности магнитного покрытия обычно карты используют только в режиме чтения. При работе с картой необходимо установление связи между банком и банкоматом, что возможно только там, где хорошо развита инфраструктура связи. Данный вид карт уязвим для мошенничества, поэтому системы Visa и MasterCard/Europay используют дополнительные средства защиты карт – голограммы и нестандартные шрифты для эмбоссирования.

Активные пластиковые карты содержат встроенную микросхему и допускают разную степень обработки информации без участия банка, обслуживающего платежную систему. Типичный пример – карты-счетчики и карты с памятью. Но они уступают место интеллектуальным или смарт-картам, в состав которых входит не просто микросхема, а специализированный процессор. Сама карта представляет собой микрокомпьютер, способный при подключении к банкомату самостоятельно (без участия банка, т.е. в режиме offline) проводить не только идентификацию клиента, но и выполнение ряда финансовых операций: снятие денег со счета, безналичную оплату счетов и товаров.

Хотя имеются случаи искажения информации, хранимой в смарт-картах, а также нарушения их работоспособности за счет воздействия высокой или низкой температуры, ионизирующих излучений, данный вид карт обладает высокой надежностью и вытесняет другие виды карт.

Организационные (административные) меры

Административные меры (доля 50–60%) включают:

  • разработку политики безопасности применительно к конкретной информационной системе (какие профили, какие пароли, какие атрибуты, какие права доступа);
  • разработку средств управления безопасностью (кто, когда и в каком порядке изменяет политику безопасности);
  • распределение ответственности за безопасность (кто и за что отвечает при нарушении политики безопасности);
  • обучение персонала безопасной работе и периодический контроль за деятельностью сотрудников;
  • контроль за соблюдением установленной политики безопасности;
  • разработку мер безопасности на случай природных или техногенных катастроф и террористических актов.

Ответственность за соблюдением в организации или компании организационных (административных) мер по защите информации лежит на руководителе, начальнике службы безопасности (информационной безопасности), системном (сетевом) администраторе.