Международные стандарты информационного обмена

Размещено на http://www.allbest.ru/

Вопросы для подготовки к экзамену

1. Раскройте понятие информации

Термин информация происходит от латинского слова informatio, что означает "сведения, разъяснения, изложение".

Информация - это настолько общее и глубокое понятие, что его нельзя объяснить одной фразой. В это слово вкладывается различный смысл в технике, науке и в житейских ситуациях.

В обиходе информацией называют любые данные или сведения, которые кого-либо интересуют, например сообщение о каких-либо событиях, о чьей-либо деятельности и т. п. "Информировать" в этом смысле означает "сообщить нечто, неизвестное раньше".

Информация - сведения об объектах и явлениях окружающей среды, их параметрах, свойствах и состоянии, которые воспринимают информационные системы (живые организмы, управляющие машины и др.) в процессе жизнедеятельности и работы.

Одно и то же информационное сообщение (статья в газете, объявление, письмо, телеграмма, справка, рассказ, чертеж, радиопередача и т. п.) может содержать разное количество информации для разных людей в зависимости от их накопленных знаний, от уровня понимания этого сообщения и интереса к нему. Так, сообщение, составленное на японском языке, не несет никакой новой информации человеку, не знающему этого языка, но может быть высокоинформативным для человека, владеющего японским. Никакой новой информации не содержит и сообщение, изложенное на знакомом языке, если его содержание непонятно или уже известно.

Информация есть характеристика не сообщения, а соотношения между сообщением и его потребителем. Без наличия потребителя, хотя бы потенциального, говорить об информации бессмысленно.

В случаях, когда говорят об автоматизированной работе с информацией посредством каких-либо технических устройств, обычно в первую очередь интересуются не содержанием сообщения, а тем, сколько символов это сообщение содержит.

Применительно к компьютерной обработке данных под информацией понимают некоторую последовательность символических обозначений (букв, цифр, закодированных графических образов и звуков и т. п.), несущую смысловую нагрузку и представленную в понятном компьютеру виде. Каждый новый символ в такой последовательности символов увеличивает информационный объем сообщения.

Информация может существовать в виде:

текстов, рисунков, чертежей, фотографий; световых или звуковых сигналов; радиоволн; электрических и нервных импульсов;

магнитных записей; жестов и мимики; запахов и вкусовых ощущений; хромосом, посредством которых передаются по наследству признаки и свойства организмов, и т. д.

Предметы, процессы, явления материального или нематериального свойства, рассматриваемые с точки зрения их информационных свойств, называются информационными объектами.

Что можно делать с информацией

Создавать, принимать, комбинировать, хранить, передавать, копировать, обрабатывать, искать, воспринимать, формализовать, делить на части, измерять, использовать, распространять, упрощать, разрушать, запоминать, преобразовывать, собирать и т. д.

Все эти процессы, связанные с определенными операциями над информацией, называются информационными процессами.

Свойства информации

Информация обладает следующими свойствами:

- достоверность

- полнота

- точность

- ценность

- своевременность

- понятность

- доступность

- краткость и т. д.

Информация достоверна, если она отражает истинное положение дел. Недостоверная информация может привести к неправильному пониманию или принятию неправильных решений. Достоверная информация со временем может стать недостоверной, так как она обладает свойством устаревать, т. е. перестает отражать истинное положение дел.

Информация полна, если ее достаточно для понимания и принятия решений. Как неполная, так и избыточная информация сдерживает принятие решений или может повлечь ошибки.

Точность информации определяется степенью ее близости к реальному состоянию объекта, процесса, явления и т. п.

Ценность информации зависит от того, насколько она важна для решения задачи, а также от того, насколько в дальнейшем она найдет применение в каких-либо видах деятельности человека.

Только своевременно полученная информация может принести ожидаемую пользу. Одинаково нежелательны как преждевременная подача информации (когда она еще не может быть усвоена), так и ее задержка.

Если ценная и своевременная информация выражена непонятным образом, она может стать бесполезной. Информация становится понятной, если она выражена языком, на котором говорят те, кому предназначена эта информация.

Информация должна преподноситься в доступной (по уровню восприятия) форме. Поэтому одни и те же вопросы по-разному излагаются в школьных учебниках и научных изданиях.

Информацию по одному и тому же вопросу можно изложить кратко (сжато, без несущественных деталей) или пространно (подробно, многословно). Краткость информации необходима в справочниках, энциклопедиях, всевозможных инструкциях.

2. Международные стандарты информационного обмена. Условия и требования, которым должна удовлетворять система защиты информации

1) Технические средства защиты информации, включая средства контроля эффективности принятых мер защиты информации:

а) Средства защиты информации от перехвата оптических сигналов (изображений) в видимом, инфракрасном и ультрафиолетовом диапазонах волн.

б) Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах.

в) Средства защиты информации от перехвата электромагнитных сигналов, в том числе от перехвата побочных электромагнитных излучений и наводок (ПЭМИН), возникающих при работе технических средств регистрации, хранения, обработки и документирования информации.

г) Средства защиты информации от перехвата электрических сигналов, возникающих в токопроводящих коммуникациях:

- за счет ПЭМИН при работе технических средств регистрации, хранения, обработки и документирования информации;

- вследствие эффекта электроакустического преобразования сигналов вспомогательными техническими средствами и системами.

д) Средства защиты информации от деятельности радиационной разведки по получению сведений за счет изменения естественного радиационного фона окружающей среды, возникающего при функционировании объекта защиты.

е) Средства защиты информации от деятельности химической разведки по получению сведений за счет изменения химического состава окружающей среды, возникающего при функционировании объекта защиты.

ж) Средства защиты информации от возможности получения сведений магнитометрической разведкой за счет изменения локальной структуры магнитного поля Земли, возникающего вследствие деятельности объекта защиты.

з) Технические средства обнаружения и выявления специальных технических средств, предназначенных для негласного получения информации, устанавливаемых в конструкциях зданий и объектов (помещения, транспортные средства), инженерно-технических коммуникациях, интерьере, в бытовой технике, в технических средствах регистрации, хранения, обработки и документирования информации, системах связи и на открытой территории.

2) Технические средства и системы в защищенном исполнении, в том числе:

а) Средства скремблирования, маскирования или шифрования телематической информации, передаваемой по каналам связи.

б) Аппаратура передачи видеоинформации по оптическому каналу.

3) Технические средства защиты специальных оперативно-технических мероприятий (специальных технических средств, предназначенных для негласного получения информации)

4) Технические средства защиты информации от несанкционированного доступа (НСД):

а) Средства защиты, в том числе:

- замки (механические, электромеханические, электронные);

- пломбы;

- замки разового пользования;

- защитные липкие ленты;

- защитные и голографические этикетки;

- специальные защитные упаковки;

- электрические датчики разных типов;

- телевизионные системы охраны и контроля;

- лазерные системы;

- оптические и инфракрасные системы;

- устройства идентификации;

- пластиковые идентификационные карточки;

- ограждения;

- средства обнаружения нарушителя или нарушающего воздействия;

- специальные средства для транспортировки и хранения физических носителей информации (кассеты стриммеров, магнитные и оптические диски и т.п.)

б) Специальные средства защиты от подделки документов на основе оптико-химических технологий, в том числе:

- средства защиты документов от ксерокопирования;

- средства защиты документов от подделки (подмены) с помощью химических идентификационных препаратов;

- средства защиты информации с помощью тайнописи.

в) Специальные пиротехнические средства для транспортировки, хранения и экстренного уничтожения физических носителей информации (бумага, фотопленка, аудио- и видеокассеты, лазерные диски).

5) Программные средства защиты информации от НСД и программных закладок:

а) Программы, обеспечивающие разграничение доступа к информации.

б) Программы идентификации и аутентификации терминалов и пользователей по различным признакам (пароль, дополнительное кодовое слово, биометрические данные и т.п.), в том числе программы повышения достоверности идентификации (аутентификации).

в) Программы проверки функционирования системы защиты информации и контроля целостности средства защиты от НСД.

г) Программы защиты различного вспомогательного назначения, в том числе антивирусные программы.

д) Программы защиты операционных систем ПЭВМ (модульная программная интерпретация и т.п.).

е) Программы контроля целостности общесистемного и прикладного программного обеспечения.

ж) Программы, сигнализирующие о нарушении использования ресурсов.

з) Программы уничтожения остаточной информации в запоминающих устройствах (оперативная память, видеопамять и т.п.) после завершения ее использования.

и) Программы контроля и восстановления файловой структуры данных.

к) Программы имитации работы системы или ее блокировки при обнаружении фактов НСД.

л) Программы определения фактов НСД и сигнализации (передачи сообщений) об их обнаружении.

6) Защищенные программные средства обработки информации:

а) Пакеты прикладных программ автоматизированных рабочих мест

б) Базы данных вычислительных сетей.

в) Программные средства автоматизированных систем управления

г) Программные средства идентификации изготовителя программного (информационного) продукта, включая средства идентификации авторского права.

7) Программно-технические средства защиты информации:

а) Программно-технические средства защиты информации от несанкционированного копирования, в том числе:

- средства защиты носителей данных;

- средства предотвращения копирования программного обеспечения, установленного на ПЭВМ.

б) Программно-технические средства криптографической и стенографической защиты информации (включая средства маскирования информации) при ее хранении на носителях данных и при передаче по каналам связи.

в) Программно-технические средства прерывания работы программы пользователя при нарушении им правил доступа, в том числе:

- принудительное завершение работы программы;

- блокировка компьютера.

г) Программно-технические средства стирания данных, в том числе:

- стирание остаточной информации, возникающей в процессе обработки секретных данных в оперативной памяти и на магнитных носителях;

- надежное стирание устаревшей информации с магнитных носителей.

д) Программно-технические средства выдачи сигнала тревоги при попытке несанкционированного доступа к информации, в том числе:

- средства регистрации некорректных обращений пользователей к защищаемой информации;

- средства организации контроля за действиями пользователей ПЭВМ.

е) Программно-технические средства обнаружения и локализации действия программных и программно-технических закладок.

8) Специальные средства защиты от идентификации личности:

а) Средства защиты от фонографической экспертизы речевых сигналов.

б) Средства защиты от дактилоскопической экспертизы.

9) Программно-аппаратные средства защиты от несанкционированного доступа к системам оперативно-розыскных мероприятий (СОРМ) на линиях связи:

а) В проводных системах связи.

б) В сотовых системах связи.

3. Назовите наиболее распространенные виды угроз

Для того, чтобы сформулировать главную цель защиты данных в информационных вычислительных сетях, необходимо определить потенциально существующие возможности нарушения безопасности хранимых, обрабатываемых и передаваемых в ИВС данных. Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.

Под угрозой безопасности данных будем понимать потенциально существующую возможность случайного или преднамеренного действия или бездействия, в результате которого может быть нарушена безопасность данных. Несанкционированный доступ к данным - злоумышленное или случайное действие, нарушающее технологическую схему обработки данных и ведущее к получению, модификации или уничтожение данных. НСД может быть пассивным (чтение, копирование) и активным (модификация, уничтожение).

Классификация угроз безопасности данных приведена на рис. 2.

Рис. 2. Классификация угроз безопасности данных

Воздействия, в результате которых может быть нарушена безопасность данных, включают в себя:

- случайные воздействия природной среды (ураган, пожар и т.п.);

- целенаправленные воздействия нарушителя (шпионаж, разрушение компонентов ИВС, использование прямых каналов утечки данных);

- внутренние возмущающие факторы (отказы аппаратуры, ошибки в математическом и программном обеспечении, недостаточная подготовка персонала и т.д.).

Уязвимые места ИВС, которые потенциально предоставляют нарушителю возможность НСД, приведены на Рис. 3.

Рис. 3. Возможные уязвимые места ИВС

Под каналом утечки данных будем понимать потенциальную возможность нарушителю получить доступ к НСД, которая обусловлена архитектурой, технологической схемой функционирования ИВС, а также существующей организацией работы с данными. Все каналы утечки данных можно разделить на косвенные и прямые. Косвенными называются такие каналы утечки, использование которых для НСД не требует непосредственного доступа к техническим устройствам ИВС. Они возникают, например, вследствие недостаточной изоляции помещений, просчетов в организации работы с данными и предоставляют нарушителю возможность применения подслушивающих устройств, дистанционного фотографирования, перехвата электромагнитных излучений, хищения носителей данных и отходов и т.п.). Прямые каналы утечки данных требуют непосредственного доступа к техническим средствам ИВС и данным. Наличие прямых каналов утечки обусловлено недостатками технических и программных средств защиты, ОС, СУБД, математического и программного обеспечения. Прямые каналы утечки данных позволяют нарушителю подключиться к аппаратуре ИВС, получить доступ к данным и выполнить действия по анализу, модификации и уничтожению данных.

С учетом физической природы путей переноса информации каналы утечки данных можно квалифицировать на следующие группы:

визуально-оптические - это, как правило, наблюдение: непосредственное или удаленное (в том числе и телевизионное);

акустические - источником информации здесь служат речь и шумы, средой распространения звука являются воздух, земля, вода, строительные конструкции (кирпич, железобетон, металлическая арматура и др.);

электромагнитные (включая магнитные и электрические) - Наиболее распространенные элементы утечки информации в них - различные провода и кабели связи, создающие вокруг себя магнитное и электрическое поле, информацию с которых можно перехватить путем наводок на другие провода и элементы аппаратуры в ближней зоне и расположения;

материально-вещественные (бумага, фото, магнитные носители и т.д.).

Очевидно, что каждый источник конфиденциальной информации может быть доступен в той или иной степени какой-то совокупности каналов утечки информации.

Широкое использование различных технических средств привело к появлению группы каналов утечки информации, которые называются техническими. Переносчиками информации в них выступают побочные электромагнитные излучения и наводки (ПЭМИН) различного происхождения: акусто-преобразовательные, излучательные и паразитные связи и наводки.

Любая система связи (система передачи информации) состоит из источника информации, передатчика, канала (среды) передачи информации, приемника и получателя сведений. Передатчик, среда и приемник представляют собой возможный канал утечки информации к нарушителю.

Следует отметить, что технические средства и системы могут не только непосредственно излучать в пространство сигналы, содержащие обрабатываемую информацию, но и улавливать за счет своих магнитофонных или антенных свойств излучения, преобразовывать их в электрические сигналы и передавать по своим линиям связи, как правило, бесконтрольно, что еще в большей степени повышает опасность утечки информации.

Отдельные технические средства имеют в своем составе помимо подобных "микрофонов" и "антенн" высокочастотные или импульсные генераторы, излучения которых могут быть промодулированными различными сигналами, содержащими конфиденциальную информацию.

Рассмотрим основные способы НСД к конфиденциальной информации через технические средства информационных систем.

1. Незаконное подключение. Самым простым способом незаконного подключения является контактное подключение, например, параллельное подключение телефонного аппарата. Но контактное подключение такого типа легко обнаруживается за счет существенного падения напряжения, приводящего к ухудшению слышимости в основном телефоне за счет подключения параллельного. Более совершенным является подключение к линии связи с помощью специальных согласующих устройств типа согласующих трансформаторов или интерфейсных плат ЭВМ.

Бесконтактное подключение к линии связи осуществляется двумя путями:

- за счет электромагнитных наводок на параллельно проложенные провода;

- с помощью сосредоточенной индуктивности, охватывающей контролируемую линию.

В обоих случаях подслушивание реализуется за счет электромагнитной индукции.

Контактное и бесконтактное подключение возможно и к линиям волоконно-оптической связи. Для контактного подключения, в частности, удаляют защитные слои кабеля, стравливают светоотражающую оболочку и изгибают оптический кабель на необходимый угол. При таком подключении обнаружить утечку информации за счет ослабления мощности излучения бывает очень трудно, так как при существующих приемных устройствах НСД достаточно отобрать всего 0.001% передаваемой мощности, чтобы подслушать переговоры.

2. Высокочастотное навязывание - это способ, при котором в телефонную линию в сторону прослушиваемого телефона подаются от специального генератора высокочастотные колебания. Эти колебания взаимодействуют с речевыми сигналами при разговоре и выполняют роль модулятора. Излучение моделированного сигнала в свободное пространство обеспечивается телефонным шнуром. ВЧ навязывание может использоваться и на громкоговорители, и на другие элементы, обладающие микрофонным эффектом.

3. Перехват электромагнитных излучений - получение информации за счет приема сигналов электромагнитной энергии пассивными средствами, расположенными, как правило, на достаточно безопасном расстоянии от источника информации. Нарушители осуществляют перехват радиостанций и систем связи, радиолокационных и радионавигационных систем, систем телеуправления, сигналов компьютера, возникающих при выдаче информации на экран монитора и т.д. Перехват электромагнитных излучений базируется на широком использовании самых разнообразных радиоприемных средств, средств анализа и регистрации информации и других.

Перехват информации обладает рядом особенностей по сравнению с другими способами добывания информации:

- информация добывается без непосредственного контакта с источником;

- реализуется скрытно и очень трудно обнаруживается;

- дальность перехвата ограничивается только особенностью распространения радиоволн соответствующих диапазонов.

4. Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы

Общепризнанным является факт возрастания роли информационной безопасности в общей системе национальной безопасности. При этом под информационной безопасностью понимается "состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства".

В последнее время Концепция национальной безопасности РФ, изложенная в Указе Президента РФ от 17.12.97г. №1300, претерпела значительные изменения. Указом Президента РФ № 24 от 10.01.2000г. "О концепции национальной безопасности РФ" в нее были внесены поправки и дополнения.

В соответствии с концепцией к угрозам национальной безопасности в информационной сфере относится:

- стремление ряда стран к доминированию в мировом информационном пространстве;

- разработка рядом государств концепции информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним.

В связи с этим определены задачи обеспечения национальной безопасности:

- защита интеллектуальной собственности внутри страны и за рубежом, развитие общедоступной сети научно-технической и коммерческой информации;

- реализация конституционных прав и свобод граждан РФ в сфере информационной деятельности;

- интеграция в мировое информационное пространство;

- противодействие угрозе развязывания противоборства в информационной сфере.

Как известно, эффективное функционирование любой организационной и организационно-технической системы, в том числе информационной среды, обеспечивается комплексом социальных норм, регулирующих поведение коллективных (юридических) и индивидуальных (физических) субъектов управления. Такими регуляторами являются нормы права, которые обеспечивают относительную стабильность системы и ее развитие. Особая роль при этом принадлежит сфере государственного управления, одной из главных задач которой является обеспечение действий субъектов в соответствии с нормами права. В то же время одно государство не способно справиться в полном объеме с задачей обеспечения безопасности всех субъектов информационных отношений, однозначно отвечая лишь за защиту сведений, составляющих государственную тайну.

Информационное законодательство - это совокупность норм права, регулирующих общественные отношения в информационной сфере.

Предметом правового регулирования в информационной сфере являются:

- создание и распространение информации;

- формирование информационных ресурсов;

- реализация права на поиск, получение, передачу и потребление информации;

- создание и применение информационных систем и технологий;

- создание и применение средств информационной безопасности.

Формирование законодательства в области информационного права в России началось, в основном, со времени появления "Концепции правовой информатизации России", утвержденной Указом Президента РФ от 28.06.93г. №966. В основе информационного законодательства находится свобода информации и запретительный принцип права (все, что не запрещено законом - разрешено). Это закреплено в основных международных правовых документах, например, в ст. 3 Всеобщей декларация прав человека от 10.12.48г. и в ст. 29 Конституции РФ, принятой 12.12.93г. В целях реализации этих прав и свобод принимаемые законодательные акты устанавливают гарантии, обязанности, механизмы защиты и ответственность.

В настоящее время в стране действуют следующие нормативные акты, регулирующие отношения в информационной сфере.

- Конституция РФ.

- Федеральные законы:

- Гражданский кодекс РФ;

- Уголовный кодекс РФ;

- Уголовно-процессуальный кодекс РФ;

- Кодекс РСФСР об административных правонарушениях;

- Закон "Об информации, информатизации и защите информации" и др. (всего около 80 законов);

- Указы и Распоряжения Президента РФ;

- Постановления Правительства РФ;

- другие подзаконные акты: местные, ведомственные и внутриорганизационные.

Совокупность вышеперечисленных документов составляет правовую базу, обеспечивающую нормативное регулирование процессов информационного обмена, в том числе и защиту информации.

Необходимо отметить, что информационное законодательство в настоящее время в нашей стране находится еще в стадии формирования, а, следовательно, нашим законодателям предстоит еще большая работа по устранению имеющихся пробелов и недостатков.

Система защиты государственных секретов основывается на Законе РФ "О государственной тайне" № 5485-1 от 21.07.93г., регулирующем "...отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах безопасности РФ".

С появлением данного закона правоотношения в рассматриваемой сфере стали регулироваться открытыми законодательными актами, а не секретными нормативными документами государственных органов управления.

Субъектами правоотношений в соответствии со ст.1 Закона являются органы государственного управления, а также любые юридические лица, то есть предприятия, учреждения и организации, независимо от их организационно-правовых форм деятельности и видов собственности.

Действие закона распространяется лишь на тех граждан и должностных лиц, которые взяли на себя обязательство либо обязаны по своему статусу выполнять требования законодательства о государственной тайне. В соответствии с этой нормой физическое лицо является субъектом рассматриваемых правоотношений лишь в случае допуска к закрытым сведениям в добровольном порядке на договорной основе. В противном случае доступ к таким сведениям может быть квалифицирован как нарушение законодательства, а гражданин не может быть ограничен в своих правах, в частности, на выезд за границу и неприкосновенность частной жизни.

Отнесение информации к государственной тайне осуществляется в соответствии с Законом РФ "О государственной тайне" и другими нормативно-методическими документами, утвержденными в соответствии с введением в действие этого закона.

В частности, в соответствии со статьей 4 Закона РФ "О государственной тайне" Указом президента РФ от 30.11.95г. №1203 утвержден перечень сведений, отнесенных к государственной тайне. Согласно этому перечню, к сведениям, представляющим государственную тайну, относят информацию в военной области, информацию о внешнеполитической и внешнеэкономической деятельности, информацию в области экономики, науки и техники, сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности.

В законе дана подробная характеристика таких сведений. В частности, в сферах экономики, науки и техники к государственной тайне относятся сведения:

- о научно-исследовательских, опытно-конструкторских и проектных работах, технологиях, имеющих важное оборонное или экономическое значение;

- о методах и средствах защиты секретной информации;

- о государственных программах и мероприятиях в области защиты государственной тайны.

Постановлением Правительства РФ №870 от 04.09.95г. утверждены правила, по которым определяется степень секретности сведений, представляющих государственную тайну. А Постановлением Правительства РФ №170 от 20 02 95г установлен порядок рассекречивания и продления сроков засекречивания архивных документов.

Документы, содержащие государственную тайну, подразделяются по степени секретности и снабжаются грифом: "секретно", "совершенно секретно", "особой важности". Документы, не содержащие секретных сведений, но используемые при выполнении закрытых работ, имеют гриф ДСП "для служебного пользования".

Порядок засекречивания сведений, составляющих государственную тайну, состоит в установлении трех принципов: законности, обоснованности и своевременности.

Принцип законности заключается в том, что закон содержит в статье 7 перечень сведений, не подлежащих засекречиванию. Виновные в нарушении требований закона должностные лица могут быть привлечены к уголовной, административной или дисциплинарной ответственности. Все граждане вправе обжаловать такие действия в суде.

Не подлежат засекречиванию, в частности, следующие сведения, которые раньше относились к ГТ:

- состояние преступности в стране;

- привилегии и льготы гражданам, должностным лицам, предприятиям;

- размер золотого запаса страны;

- состояние здоровья высших должностных лиц.

Принцип обоснованности заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, исходя из баланса жизненно важных интересов государства, общества и отдельных граждан. (При этом предполагается, что должна быть разработана соответствующая методика экспертной оценки по экономическим или иным критериям.)

Принцип своевременности состоит в том, что ограничения на распространение сведений должны быть установлены не позже их появления.

Механизм отнесения сведений к государственной тайне действует путем утверждения соответствующих перечней - отраслевых, ведомственных или программно-целевых.

Статья 10 закона ограничивает права собственности на информацию в связи с ее засекречиванием. Право принятия решения по засекречиванию сведений на основании действующих перечней, независимо от формы собственности на информацию, принадлежит руководителю органа государственной власти, который утвердил тот или иной конкретный перечень.

Засекречивание информации приводит к ограничению прав собственника на распространение и использование сведений, в частности, в коммерческих целях. Поэтому законом предписывается возмещение собственнику за счет государства материального ущерба, размер которого определяется договором между собственником и данным органом государственного управления.

Не может быть ограничено право собственности на информацию иностранных юридических лиц и граждан, если она получена без нарушения законодательства РФ.

Закон определяет порядок и процедуру рассекречивания сведений и их носителей. Так установлен предельный пятилетний срок пересмотра содержания действующих перечней и установленных ранее грифов секретности. Срок засекречивания не может превышать 30 лет, хотя в исключительных случаях этот срок может быть продлен.

Режим защиты информации по отношению к сведениям, содержащим государственную тайну, регулируется Законом "О государственной тайне" и обеспечивается уполномоченными этим законом органами. Эти органы организуют и обеспечивают защиту информации, содержащей государственную тайну, в соответствии с функциями, возложенными на них законодательством РФ.

Лица, которые имеют право решать вопросы по отнесению сведений к ГТ, определены распоряжением Президента РФ от 30.05.97г. №226-рп "О перечне должностных лиц органов государственной власти, наделенных полномочиями по отнесению сведений к государственной тайне".

Данное распоряжение содержит утвержденный перечень из 36 должностных лиц.

Органы государственной власти, предприятия, учреждения и организации обеспечивают защиту сведений, составляющих государственную тайну в соответствии с возложенными на них задачами и в пределах своей компетенции.

Ответственность за организацию защиты сведений, составляющих государственную тайну, в органах государственной власти, на предприятиях, в учреждениях и организациях возлагается на их руководителей.

За нарушение законодательства РФ о государственной тайне Закон предусматривает уголовную, административную, гражданско-правовую или дисциплинарную ответственность.

Уголовно-правовая ответственность за разглашение информации, содержащей государственную тайну, определяется Уголовным кодексом РФ - ст. 275, 276, 283, 284. В частности, статьей 283 определено, что за разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены - наказываются арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

То же деяние, повлекшее тяжкие последствия - наказывается лишением свободы от трех до семи лет с лишением права занимать определенные должности на срок до трех лет.

Обязательное условие при передаче сведений, составляющих ГТ: наличие на предприятии лицензии (на право деятельности), а у гражданина - соответствующего допуска /ст. 16, 17 закона о ГТ/.

При установлении нарушений норм защиты информации используется понятие "утраты документа".

Утрата документов, содержащих КТ или ГТ - это выход (в т.ч. и временный) документов из владения ответственного за их сохранность лица, которому они были доверены по службе или работе, являющийся результатом нарушения установленных правил обращения с ними, вследствие чего эти документы стали или могли стать достоянием посторонних лиц.

Меры предупреждения нарушений режима защиты информации:

1. Правильный выбор и расстановка кадров.

2. Ограничение доступа к секретам.

3. Проведение воспитательной работы.

4. Подписание соглашений с работниками о неразглашении секретных сведений.

5. Политика "чистых столов".

6. Создание службы безопасности фирмы.

7. Использование технических средств защиты.

8. Применение сертифицированных программных и аппаратных средств в информационных системах.

5. Электронная цифровая подпись. Закон об электронной цифровой подписи

Схема электронной подписи обычно включает в себя:

- алгоритм генерации ключевых пар пользователя;

- функцию вычисления подписи;

- функцию проверки подписи.

Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. В зависимости от алгоритма функция вычисления подписи может быть детерминированной или вероятностной. Детерминированные функции всегда вычисляют одинаковую подпись по одинаковым входным данным. Вероятностные функции вносят в подпись элемент случайности, что усиливает криптостойкость алгоритмов ЭЦП. Однако, для вероятностных схем необходим надёжный источник случайности (либо аппаратный генератор шума, либо криптографически надёжный генератор псевдослучайных бит), что усложняет реализацию.

В настоящее время детерминированные схемы практически не используются. Даже в изначально детерминированные алгоритмы сейчас внесены модификации, превращающие их в вероятностные (так, в алгоритм подписи RSA вторая версия стандарта PKCS#1 добавила предварительное преобразование данных (OAEP), включающее в себя, среди прочего, зашумление).

Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом.

Поскольку подписываемые документы - переменной (и достаточно большой) длины, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хэш. Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хэш-функция.

Алгоритмы ЭЦП делятся на два больших класса: обычные цифровые подписи и цифровые подписи с восстановлением документа. Обычные цифровые подписи необходимо пристыковывать к подписываемому документу. К этому классу относятся, например, алгоритмы, основанные на эллиптических кривых (ECDSA, ГОСТ Р 34.10-2001, ДСТУ 4145-2002). Цифровые подписи с восстановлением документа содержат в себе подписываемый документ: в процессе проверки подписи автоматически вычисляется и тело документа. К этому классу относится один из самых популярных алгоритмов - RSA.

Следует различать электронную цифровую подпись и код аутентичности сообщения, несмотря на схожесть решаемых задач (обеспечение целостности документа и неотказуемости авторства). Алгоритмы ЭЦП относятся к классу асимметричных алгоритмов, в то время как коды аутентичности вычисляются по симметричным схемам.

Цифровая подпись обеспечивает:

- Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как "автор", "внесённые изменения", "метка времени" и т. д.

- Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.

- Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.

- Предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;

- Организацию юридически значимого электронного документооборота.

Подделка подписи

Получение фальшивой подписи, не имея секретного ключа - задача практически нерешаемая даже для очень слабых шифров и хэшей.

Подделка документа (коллизия первого рода)

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

- Документ представляет из себя осмысленный текст.

- Текст документа оформлен по установленной форме.

Документы редко оформляют в виде Plain Text - файла, чаще всего в формате DOC или HTML.

Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться 3 следующих условия:

- Случайный набор байт должен подойти под сложно структурированный формат файла.

- То, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме.

- Текст должен быть осмысленным, грамотным и соответствующий теме документа.

Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы.

Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма - килобайты.

Получение двух документов с одинаковой подписью (коллизия второго рода)

Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования MD5.[2]

Социальные атаки

Социальные атаки направлены на "слабое звено" криптосистемы - человека.

Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.

Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.

Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

Алгоритмы ЭЦП:

- Американские стандарты электронной цифровой подписи: DSA, ECDSA.

- Российские стандарты электронной цифровой подписи: ГОСТ Р 34.10-94 (в настоящее время не действует), ГОСТ Р 34.10-2001.

- Украинский стандарт электронной цифровой подписи: ДСТУ 4145-2002.

- Стандарт PKCS#1 описывает, в частности, схему электронной цифровой подписи на основе алгоритма RSA.

- Схема Шнорра.

- ElGamal.

- Вероятностная схема подписи Рабина.

Управление ключами

Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭЦП, является управление открытыми ключами. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его компроментации.

Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. В централизованных системах сертификатов (например PKI) используются центры сертификации, поддерживаемые доверенными организациями. В децентрализованных системах (например PGP) путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия.

Управлением ключами занимаются центры распространения сертификатов. Обратившись к такому центру пользователь может получить сертификат какого-либо пользователя, а также проверить, не отозван ли ещё тот или иной открытый ключ.

Юридические аспекты

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 10.01.2002 N 1-ФЗ "ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ"

Использование ЭЦП в России

После становления ЭЦП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного ДОУ между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам Российской Федерации от 2 апреля 2002 г. N БГ-3-32/169 "Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи". Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи определяет общие принципы организации информационного обмена при представлении налогоплательщиками налоговой декларации в электронном виде по телекоммуникационным каналам связи.

В Законе РФ от 10.01.2002 № 1-ФЗ "ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ" прописаны условия использования электронной цифровой подписи, особенности ее использования в сферах государственного управления и в корпоративной информационной системе. Благодаря электронной цифровой подписи теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через "Системы электронной торговли", обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.

В Москве в рамках реализации ГЦП (Городской целевой программы) "Электронная Москва" был образован Уполномоченный Удостоверяющий центр ОАО "Электронная Москва" (http://www.uc-em.ru) для решения задач координации работ и привлечения инвестиций при выполнении Городской целевой программы.

Использование ЭЦП в других странах

Система электронных подписей широко используется в Эстонской Республике, где введена программа ID-карт, которыми снабжены 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент - Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Все это осуществляется через центральный гражданский портал Eesti.ee [1]. Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии.

Закон об электронной цифровой подписи

Принят Государственной Думой 13 декабря 2001 года.

Глава I. Общие положения

Статья 1. Цель и сфера применения настоящего Федерального закона

1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

2. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско - правовых сделок и в других предусмотренных законодательством Российской Федерации случаях.

Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

Статья 2. Правовое регулирование отношений в области использования электронной цифровой подписи

Правовое регулирование отношений в области использования электронной цифровой подписи осуществляется в соответствии с настоящим Федеральным законом, Гражданским кодексом Российской Федерации, Федеральным законом "Об информации, информатизации и защите информации", Федеральным законом "О связи", другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, а также осуществляется соглашением сторон.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

Для целей настоящего Федерального закона используются следующие основные понятия:

электронный документ - документ, в котором информация представлена в электронно - цифровой форме;

электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;

владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);

средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;

сертификат средств электронной цифровой подписи - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;

закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;

открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;

сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;

подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;

пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;

информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;

корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Глава II. Условия использования электронной цифровой подписи

Статья 4. Условия признания равнозначности электронной цифровой подписи и собственноручной подписи

1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

подтверждена подлинность электронной цифровой подписи в электронном документе;

электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

2. Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

Статья 5. Использование средств электронной цифровой подписи

1. Создание ключей электронных цифровых подписей осуществляется для использования в:

информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;

корпоративной информационной системе в порядке, установленном в этой системе.