Будь умным!

У вас вопросы?
У нас ответы:) SamZan.net

0182я73 Авторы- доктор технических наук профессор С

Работа добавлена на сайт samzan.net:

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Имя

Выберите тип работы:

Принимаю Политику конфиденциальности

Скидка 25% при заказе до 9.11.2024

355

УДК 004.732.056 (075.8)

ББК 32.973.2-018.2я73

Авторы: доктор технических наук, профессор С.М. ДОЦЕНКО, кандидат технических наук, доцент А.И. ПРИМАКИН / Под общ. ред. заслуженного деятеля науки Российской Федерации, Вице-президента Российского союза юристов, доктора юридических наук, профессора В.П. САЛЬНИКОВА

Рецензенты: доктор юридических наук, профессор БАСТРЫКИН А.И., доктор технических наук, профессор НАУМОВ В.Н.

З 31 Информационная безопасность и применение информационных технологий в борьбе с преступностью: Учебник для вузов. – СПб.: Университет МВД РФ, 2003 – 195 с.: 29 ил.

ISBN 5-93517-139-2

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете МВД РФ по специальности 02.11.00 «Юриспруденция». В нем представлены основные понятия, признаки и способы совершения преступлений в сфере компьютерных технологий; раскрыты организационные, программно-технические и иные меры борьбы с этими видами преступлений.

Учебник формирует возможность самостоятельного принятия решения или постановки задачи подразделению МВД в сфере информационной безопасности.

Предназначен для курсантов и слушателей университетов МВД РФ.

УДК 004.732.056 (075.8)

ББК 32.973.2-018.2я73

Учебное издание

Информационная безопасность и применение информационных технологий в борьбе с преступностью

Учебник

ISBN 5-93517-139-2

Содержание

[1] Введение

[2] Раздел 1. Информатизация общества и информационная безопасность

[3] Глава 1. Принципы обеспечения информационной безопасности объектов и учреждений

[3.1] 1.1. Криминалистическая характеристика компьютерной преступности в России

[3.2] 1.2. Основные термины и определения информационной безопасности

[3.3] 1.3. Понятие политики безопасности

[3.4] 1.4. Социально-психологические аспекты защиты информации

[3.5] 1.5. Понятие о модели нарушителя

[3.6] 1.6. Социальная инженерия и последствия ее применения

[3.6.1] Программа-пейджер

[3.6.2] Осведомленность

[3.7] Контрольные вопросы

[4] Глава 2. Нормативно-правовое обеспечение информационной безопасности в РФ

[4.1] 2.1. Правовой режим информации. Информационно-правовые нормы Конституции РФ

[4.2] 2.2. Законы РФ и правовые акты о защите информации

[4.3] 2.3. Нормативные документы по защите информации

[4.4] Контрольные вопросы

[5] Глава 3. Организация противодействия компьютерной преступности

[5.1] 3.1. Угрозы информационной безопасности и методы их реализации

[5.2] 3.2. Уголовный кодекс РФ об ответственности за компьютерные преступления

[5.3] 3.3. Методика раскрытия и расследования компьютерных преступлений

[5.4] Контрольные вопросы

[6] Раздел 2. Информационная безопасность автоматизированных систем

[7] Глава 4. Основы безопасности компьютерных сетей

[7.1] 4.1. Особенности защиты информации в сетях ЭВМ

[7.2] 4.2. Архитектура вычислительной сети и безопасность

[7.3] 4.3. Механизмы защиты в вычислительных сетях

[7.4] Контрольные вопросы

[8] Глава 5. Типовые решения по безопасности компьютерных сетей

[8.1] 5.1. Модели безопасного подключения к Internet

[8.2] 5.2. Принципы функционирования межсетевых экранов

[8.3] 5.3. Понятие о VPN-решениях

[8.4] 5.4. Применение средств аудита и обнаружения атак

[8.5] Контрольные вопросы

[9] Глава 6. Организация противодействия вредоносным программам

[9.1] 6.1. Понятие о вредоносных программах

[9.2] 6.2. Виды и типы вирусов

[9.3] 6.3. Средства нейтрализации программных вирусов

[9.4] 6.4. Потери времени и информации от вирусных атак. Меры по предотвращению заражения сети

[9.5] Контрольные вопросы

[10] Глава 7. Криптография как основа информационной безопасности

[10.1] 7.1. Основные понятия и элементы криптографии

[10.2] 7.2. Симметричные и асимметричные криптосистемы

[10.3] 7.3. Понятие цифровой подписи и цифрового сертификата

[10.4] 7.4. Закон РФ «Об электронной цифровой подписи»

[10.5] Контрольные вопросы

[11] Заключение

[12] Приложение 1. Доктрина информационной безопасности Российской Федерации

[13] Приложение 2. Обзор компьютерных преступлений

[14] Литература

Предисловие редактора

Ни одна сфера жизни цивилизованного государства не может эффективно функционировать без развитой информационной инфраструктуры. Безопасность информации выдвигается на первый план и становится элементом национальной безопасности. Защита информации, несомненно, должна рассматриваться как одна из приоритетных государственных задач.

Происходящие в России преобразования оказывают непосредственное влияние на ее информационную безопасность. Возникают новые факторы, которые нужно учитывать при оценке состояния информационной безопасности и определении ключевых проблем в этой области.

Всю совокупность факторов можно разделить на политические, экономические и организационно-технические.

К политическим факторам следует отнести:

становление новой российской государственности на основе принципов демократии, законности, информационной открытости;
изменение геополитической обстановки вследствие фундаментальных перемен в различных регионах мира, сведения к минимуму вероятности мировой ядерной и обычной войн;
информационная экспансия США и других развитых стран, осуществляющих глобальный мониторинг мировых политических, экономических, военных, экологических и других процессов, распространяющих информацию в целях получения односторонних преимуществ;
разрушение ранее существовавшей командно-административной системы государственного управления, а также сложившейся системы обеспечения безопасности страны;
нарушение информационных связей вследствие образования независимых государств на территории бывшего СССР;
стремление России к более тесному сотрудничеству с зарубежными странами в процессе проведения реформ на основе максимальной открытости сторон;
низкая общая правовая и информационная культура в российском обществе.

Среди экономических факторов наиболее существенными являются:

переход России на рыночные отношения в экономике, появление множества отечественных и зарубежных коммерческих структур - производителей и потребителей информации, средств информатизации и защиты информации, включение информационной продукции в систему товарных отношений;
критическое состояние отраслей промышленности, производящих средства информатизации и защиты информации;
расширяющаяся кооперация с зарубежными странами в развитии информационной инфраструктуры России.

Из организационно-технических факторов определяющими являются:

недостаточная нормативно-правовая база информационных отношений, в том числе в области обеспечения информационной безопасности;
слабое регулирование государством процессов функционирования и развития рынка средств информатизации, информационных продуктов и услуг в России;
широкое использование в сфере государственного управления и кредитно-финансовой сфере незащищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации;
рост объемов информации, передаваемой по открытым каналам связи, в том числе по сетям передачи данных и межмашинного обмена;
обострение криминогенной обстановки, рост числа компьютерных преступлений, особенно в кредитно-финансовой сфере.

При этом необходимо понимать, что эти угрозы информационной безопасности в настоящее время носят не умозрительный характер, а каждой из них соответствуют целенаправленные действия конкретных носителей враждебных намерений (начиная с иностранных разведывательных служб и кончая криминальными группировками). В результате этих действий может быть нанесен серьезный ущерб жизненно важным интересам Российской Федерации в политической, экономической, оборонной и других сферах деятельности государства либо причинен существенный социально-экономический ущерб обществу и отдельным гражданам.

Таким образом, проблема обеспечения информационной безопасности принадлежит к числу проблем, без решения которых невозможен полномасштабный и эффективный переход к рыночной экономике, открытому информационному обществу.

Авторы учебника, принимая решение о включении и способе изложения того или иного материала в книгу, базировались на достаточно продолжительном опыте преподавания дисциплин, связанных с безопасностью информации, различным категориям слушателей (должностных лиц).

Каждая новая книга по информационной безопасности это новый этап (более высокий уровень) системного представления основных проблем, связанных с данной предметной областью. Несомненно, что и это учебное издание даст каждому читателю что-то новое или поможет утвердиться в своих знаниях (что также является положительным результатом издания).

Заслуженный деятель науки Российской Федерации,

Вице-президент Российского союза юристов,

доктор юридических наук, профессор

САЛЬНИКОВ В.П.

Введение

В настоящее время промышленно развитые страны переживают новый исторический этап научно-технической революции, связанный с возрастанием роли информации в общественном производстве. Чтобы подчеркнуть важность происходящих изменений, в мировой научно-технической литературе говорят о том, что сложившаяся ранее система отношений, получившая условное название «индустриального общества», переходит в исторически новое «постиндустриальное общество», основанное на информации («информационное общество»).

Информационная сфера, сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации - это практически вся разумная деятельность человека и его духовная сфера - является системообразующим фактором жизни современного общества, активно влияющим на состояние политической, экономической, оборонной и других составляющих национальной безопасности.

Процесс информатизации мирового сообщества развивается столь стремительно и зачастую непредсказуемо, что не всегда своевременно удается оценить реальность проблемы информационной безопасности, многообразие ее проявлений и недопустимость недооценки рисков, которые несет глобальная информатизация жизни человеческого общества. Вследствие «проникновения» информатизации в повседневную жизнь граждан проблемы информационной безопасности прямо или косвенно стали касаться интересов практически каждого человека. Тенденция к увеличению открытости общества, повышение интенсивности информационного обмена, широкое использование передовых технологий сбора и обработки информации создают предпосылки для возможных противоправных действий в отношении информации и ее пользователей.

Непреднамеренное или преднамеренное искажение информации, несанкционированный доступ к защищаемой информации может представлять значительную угрозу безопасности и приводить к резкому обострению политической, социальной, экономической, оборонной ситуации, наносить ущерб национальным интересам и даже приводить к возникновению вооруженных конфликтов.

Обеспечение информационной безопасности должно быть направлено на защиту конституционных прав и свобод личности, информационное обеспечение государственной политики, обеспечение безопасности информационных ресурсов России и надежное функционирование информационных и телекоммуникационных систем.

Через информационную среду осуществляются опасные угрозы национальной безопасности Российской Федерации. Само существование сильного независимого российского государства оказывается неразрывно связанным с обеспечением информационной безопасности в различных сферах его деятельности и, прежде всего в политической, экономической, военной, а также духовной.

Таким образом, создание эффективной системы информационной безопасности России - это комплексная проблема, успешное решение которой возможно при целенаправленной совместной работе государственных, коммерческих и общественных институтов страны.

Одной из первоочередных задач по созданию действительно надежной системы информационной безопасности и защиты информационного пространства России является своевременное развитие законодательства.

Необходимо разработать концепцию системы информационной безопасности России, к созданию которой должны быть привлечены как государственные, так и общественные институты.

Необходимо способствовать развитию общественных институтов в области обеспечения национальной безопасности вообще и информационной безопасности в частности. При этом взаимодействие между государством и общественными институтами должно строится не на принципах создания оппозиционных противовесов, а в творческом содружестве, в поиске общих точек приложения усилий и всестороннем учете сфер взаимных интересов.

В сфере образования Российской Федерации назрела настоятельная необходимость разработки современной комплексной программы подготовки специалистов в области обеспечения информационной безопасности.

Одна и главных задач высшей школы в сфере преодоления информационной опасности - это кадровое обеспечение системы информационной безопасности России путем реализации соответствующей учебной подготовки, переподготовки и повышения квалификации специалистов, также организации обучения населения страны.

Именно поэтому в учебный план Санкт-Петербургского университета МВД включена дисциплина «Информационная безопасность и применение информационных технологий в борьбе с преступностью», которая позволяет курсантам и слушателям сформировать профессиональное понимание проблематики информационной безопасности.

Раздел 1. Информатизация общества и информационная безопасность

Глава 1. Принципы обеспечения информационной безопасности объектов и учреждений

Безопасность – это предотвращение беды

Платон, «Диалоги»

1.1. Криминалистическая характеристика компьютерной преступности в России

В 1997-98 году в России в кредитно-финансовой сфере выявлено более 29,2 тыс. преступлений, большинство из которых совершено с использованием компьютерной техники, в том числе и несанкционированным (по данным Главного информационного центра МВД доля явных компьютерных преступлений от общего в кредитно-финансовой сфере числа составила не менее 2%). Только на Кипр в 1997 г. из России на оффшорные счета фирм поступило 2, 6 млрд. долларов США. Однако в 1999 году по компьютерным преступлениям в производстве находится лишь 20 дел по всей стране с минимальными шансами дойти до суда. В настоящее время перед правоохранительными органами при расследовании компьютерных преступлений возникают криминалистические проблемы, характеризующие одновременно и специфику этого процесса, а именно:

сложность в установлении факта совершения компьютерного преступления и решении вопроса о возбуждении уголовного дела;
сложность в подготовке и проведении отдельных следственных действий;
особенности выбора и назначения необходимых судебных экспертиз;
целесообразность использования средств компьютерной техники в расследовании преступлений данной категории;
отсутствие методики расследования компьютерных преступлений.

По оценкам отечественных и зарубежных исследователей, решение проблем раскрытия и расследования преступлений данного вида представляет собой задачу на несколько порядков более сложную, чем задачи, сопряженные с их предупреждением. Поэтому уровень латентности компьютерных преступлений определяется в настоящее время в 90%. А из оставшихся 10% выявленных компьютерных преступлений раскрывается только 1%.

Данный материал позволит должностным лицам, ответственным за безопасность предприятий и компьютерных систем, глубже разобраться в механизмах компьютерных преступлений и ознакомиться с методикой отдельных следственных действий, которая может быть применена в случае происшествия, связанного с использованием компьютерной техники.

Обстановка совершения преступления

Под обстановкой совершения преступления понимается система различного рода взаимодействующих между собой до и в момент преступления объектов, явлений и процессов, характеризующих место, время, вещественные, природно-климатические, производственные, бытовые и иные условия окружающей среды, особенности поведения непрямых участников противоправного события, психологические связи между ними и другие факторы объективной реальности, определяющие возможность, условия, обстоятельства совершения преступления.

Обстановка преступлений в сфере компьютерной информации характеризуется рядом существенных факторов. Прежде всего, следует указать, что эти преступления совершаются в области профессиональной деятельности. Преступники, как правило, владеют не только специальными навыками в сфере управления ЭВМ и ее устройствами, но и специальными знаниями в области обработки информации в информационных системах в целом. При этом необходимы специальные познания в соответствующих финансовых, банковских и подробных информационных технологиях.

Для преступлений, касающихся нарушений правил эксплуатации ЭВМ и манипуляции с вредоносными программами, требуются специальные познания в узкой предметной профессиональной области устройств ЭВМ и программного обеспечения.

Все эти преступления всегда связаны с нарушением установленного порядка профессиональной деятельности, о котором лицам становится известно в ходе профессиональной подготовки, и, следовательно, вопросы умысла при оценке этих действий могут решаться достаточно однозначно.

Большой криминалистической проблемой является характерное для большинства фактов покушения на целостность и конфиденциальность информации разнесение в пространстве и во времени совершения преступления и наступления общественно-опасных последствий. Криминалистические методы расследования и раскрытия этих видов преступной деятельности могут быть эффективными только в случае активных оперативно-следственных мероприятий, проводящихся на межрегиональном уровне в пределах одной страны и на межгосударственном уровне - когда преступники использовали средства международного информационного обмена.

В силу указанных пространственно-временных факторов возникает и сложная для решения проблема доказательства причинной связи между действиями лица и наступившим результатом.

Свойства личности субъекта преступления

В 1998 г. в Экспертно-криминалистическом центре МВД был проведен классификационный анализ лиц, замешанных в применении компьютеров для совершения противоправных деяний.

Обобщенный портрет отечественного злонамеренного хакера, созданный на основе уголовного преследования такого рода личностей, выглядит примерно так:

это мужчина в возрасте от 15 до 45 лет, либо имеющий многолетний опыт работы на компьютере, либо почти не обладающий таким опытом;
в прошлом к уголовной ответственности не привлекался;
является яркой, мыслящей личностью, способной принимать ответственные решения;
хороший, добросовестный работник, по характеру нетерпимый к насмешкам и к потере своего социального статуса в рамках группы окружающих его людей;
любит уединенную работу; приходит на службу первым и уходит последним;
часто задерживается на работе после окончания рабочего дня и очень редко использует отпуска и отгулы.

По сведениям того же Экспертно-криминалистического центра МВД, принципиальная схема организации взлома защитных механизмов информационных системы достаточно однотипна.

Профессиональные компьютерные взломщики обычно работают только после тщательной предварительной подготовки. Они снимают квартиру на подставное лицо, подкупают сотрудников организации, знакомых с деталями электронных платежей и паролями, и работников телефонной станции, чтобы обезопаситься на случай поступления запроса от служб безопасности. Нанимают охрану из бывших сотрудников МВД. Чаще всего взлом компьютерной сети осуществляется рано утром, когда дежурный службы безопасности теряет свою бдительность, а вызов помощи затруднен.

Предупреждение компьютерных преступлений

Международный опыт борьбы с преступностью свидетельствует о том, что одним из приоритетных направлений решения задачи эффективного противодействия современной преступной деятельности является активное использование правоохранительными органами различных мер профилактического характера. Большинство зарубежных специалистов прямо указывает на то, что предупредить компьютерное преступление всегда намного легче и проще, чем его раскрыть и расследовать. Обычно выделяются три основные группы мер предупреждения компьютерных преступлений, составляющие в своей совокупности целостную систему борьбы с этим социально опасным явлением:

правовые,
организационно-технические,
криминалистические.

Вступлением в силу Уголовного кодекса РФ отечественное уголовное законодательство приведено в соответствие с общепринятыми международными правовыми нормами развитых в этом отношении зарубежных стран. Теперь очередь за принятием нового уголовно-процессуального законодательства, регламентирующего все возможные следственные действия и механизм их осуществления применительно к специфике компьютерных преступлений.

Проблемы, затрудняющие предупреждение и расследование компьютерных преступлений включают в себя:

дефицит специалистов в МВД;
отсутствие наработок (методических рекомендаций по изъятию, обыску, осмотру места происшествия и т. п.);
недоработанность УПК (в частности неясно, как принимать в качестве доказательства электронный документ);

и некоторые другие проблемы.

Между тем общеизвестно, что одними правовыми мерами сдерживания не всегда удается достичь желаемого результата в деле предупреждения преступлений. Тогда следующим этапом становится применение мер организационно-технического характера для защиты средств компьютерной техники от противоправных посягательств на них.

Ввиду того, что компьютерные преступления все больше приобретают транснациональный характер (вспомним хотя бы дело В. Левина о проникновении в электронную сеть «Сити-банка» в 1995 г.), усиливается международное сотрудничество в этой области.

Так 9-10 декабря 1997г. в Вашингтоне прошла встреча министров юстиции и внутренних дел стран «восьмерки», на которой обсуждались вопросы усиления борьбы с преступностью в сфере высоких технологий, и было принято специальное Коммюнике. Во исполнение решений этой встречи Генеральной прокуратурой России совместно с МВД, ФСБ, ФСНП и ФАПСИ был разработан план мероприятий по реализации Коммюнике в России. Этот план предполагает следующие мероприятия:

Разработать порядок взаимодействия правоохранительных и иных заинтересованных министерств и ведомств Российской Федерации, а также обмена информацией в борьбе с использованием высоких технологий в преступных целях.

Обобщить прокурорско-следственную практику по делам о преступлениях в сфере высоких технологий и на этой основе разработать методические рекомендации на местах.

Организовать и провести научно-практическую конференцию с участием иностранных специалистов и практических работников по проблемам выявления пресечения и расследования преступлений в сфере высоких технологий

Подготовить методические рекомендации по выявлению, предупреждению, раскрытию преступлений в сфере высоких технологий.

Создать в составе экспертно-криминалистических учреждений подразделения для производства экспертиз по делам о преступлениях в сфере высоких технологий

Проанализировать действующее законодательство Российской Федерации по рассматриваемой проблеме, по результатам подготовить проект соответствующих законодательных актов, в том числе о внесении дополнений изменений в это законодательство.

Подготовить проект закона о дополнении УК Российской Федерации санкциями, позволяющими осуществлять конфискацию технических средств, программного обеспечения и накопленной информации, использовавшихся в преступной деятельности.

Создать межведомственный центр для проведения исследований и экспертиз при расследовании преступлений, совершенных с использованием компьютерных и информационных систем, сертификации компьютерных и информационных систем на предмет достоверности и полноты данных протоколов регистрации пользователей и другой служебной информации; обучения сотрудников правоохранительных органов методике изъятия и обеспечения сохранности доказательственной базы таких преступлений.

Разработав программу подготовки кадров, специализирующихся для работы в сфере высоких технологий.

Ввести в программы обучения юридических вузов курс лекций по проблемам борьбы с преступностью в сфере высоких технологий с подготовкой учебных пособий

Организовать обучение необходимого числа сотрудников для решения зада борьбы с преступностью в сфере высоких технологий и оказания помощи правоохранительным органам других стран.

Несомненно, проблема кадрового обеспечения правоохранительных органов стоит для России наиболее актуально. Даже в такой глубоко информатизированной стране как США сейчас принимаются срочные меры для ликвидации дефицита кадров в области компьютеризации американского общества. Для этого разработана специальная правительственная программа, включающая:

компьютерную переподготовку людей, потерявших работу в других отраслях; на это ассигнуется 3 млн. долларов,
организацию централизованного банка данных, доступного через Internet, в котором будут храниться сведения о вакансиях,
широкую пропагандистскую компанию по поднятию престижа работников компьютерной сферы.

В настоящее время в США компьютерная индустрия имеет около 350 тыс. вакансий, а в течение следующего десятилетия к их числу добавится еще 1, 3 млн. рабочих мест.

На фоне таких цифр просто смешно говорить о компьютеризации правоохранительных органов нашей страны, где редкий следователь умеет просто печатать на компьютере, не говоря о расследовании компьютерных преступлений.

К счастью не везде ситуация настолько плоха. Уже 2 года назад в составе 3 отдела ГУЭП МВД России создано «Отделение по борьбе с хищениями денежных средств, совершаемых с использованием электронных средств доступа». Вслед за этим в Санкт-Петербурге, Москве и нескольких других крупных городах созданы отделы (отделения) аналогичной направленности.

В сентябре 1997г. в Академии МВД России прошел семинар по компьютерным преступлениям и правам на интеллектуальную собственность. В течение пяти дней шесть агентов ФБР обучали отечественных специалистов проведению расследования в области компьютерных правонарушений. Названия основных тем лекций звучали завораживающе: «Использование компьютеров в преступлениях», «Роль прокурора в расследовании компьютерных преступлений», «Законы о компьютерных преступлениях», «Случаи вторжения в компьютер», «Видео-компьютерные преступления». Но реальное наполнение лекций оказалось излишне обобщенным. В чем преуспели американские коллеги - так это в разработке законодательной базы.

Действительно, в отличие от российских специалистов, агенты ФБР имеют четкое руководство к действию в виде части 18 Свода законов. Здесь содержится множество статей, параграфов и пунктов, однозначно классифицирующих, например, ответственность за торговлю компьютерными паролями; за причинение ущерба передаче данных, повлекших за собой повреждение компьютера и информации; незаконный доступ к компьютеру, используемому правительством, и т. д. Кстати, ответственность за разного рода компьютерные преступления может составлять до 30 лет тюрьмы или до 1 млн. долл. штрафа. В ФБР введена стройная классификация (. упоминанием и разбором типичных примеров: «Пирамида», «Операции с предварительно уплаченным взносом», «Спланированное банкротство» или «Мошеннические операции в телемаркетинге». Понимание истинной квалификации российских коллег пришло к агентам ФБР после знакомства с уровнем разработок, проводимых в научных подразделениях Академии МВД. Оказалось, что многие отечественные разработки, например средство контроля за информацией, передаваемой по телефонным каналам связи, или средство построения различных систем идентификации личности ни в чем не уступают зарубежным.

Семинар лишний раз продемонстрировал, что у нас имеется все необходимое - высококвалифицированные специалисты, ресурсы и даже оборудование - для успешной борьбы с компьютерными преступлениями. К сожалению, приходится признать, что большая часть компьютерных преступлений совершается вследствие недостаточности организационных мер в предприятиях и организациях, слабой защитой данных от несанкционированного доступа, недостаточной конфиденциальности, слабой проверки и инструктажа персонала.

Анализ материалов отечественных уголовных дел позволяет сделать вывод о том, что основными причинами и условиями, способствующими совершению компьютерных преступлений, в большинстве случаев стали:

неконтролируемый доступ сотрудников к пульту управления (клавиатуре) компьютера, используемого как автономно, так и в качестве рабочей станции автоматизированной сети для дистанционной передачи данных первичных бухгалтерских документов в процессе осуществления финансовых операций;
бесконтрольность за действиями обслуживающего персонала, что позволяет преступнику свободно использовать указанную в п. 1 ЭВМ в качестве орудия совершения преступления;
низкий уровень программного обеспечения, которое не имеет контрольной защиты, обеспечивающей проверку соответствия и правильности вводимой информации;
несовершенство парольной системы защиты от несанкционированного доступа к рабочей станции и ее программному обеспечению, которая не обеспечивает достоверную идентификацию пользователя по индивидуальным биометрическим параметрам;
отсутствие должностного лица, отвечающего за режим секретности и конфиденциальности коммерческой информации и ее безопасности в части защиты средств компьютерной техники от несанкционированного доступа;
отсутствие категорийности допуска сотрудников к документации строгой финансовой отчетности, в т. ч. находящейся в форме машинной информации;
отсутствие договоров (контрактов) с сотрудниками на предмет неразглашения коммерческой и служебной тайны, персональных данных и иной конфиденциальной информации.

Зарубежный опыт показывает, что наиболее эффективной защитой от компьютерных правонарушений является введение в штатное расписание организаций должности специалиста по компьютерной безопасности (администратора по защите информации) либо создание специальных служб, как частных, так и централизованных, исходя из конкретной ситуации. Наличие такого отдела (службы) в организации, по оценкам зарубежных специалистов, снижает вероятность совершения компьютерных преступлений вдвое. Кроме того, в обязательном порядке должны быть реализованы следующие организационные мероприятия:

для всех лиц, имеющих право доступа к средствам компьютерной техники (СКТ), должны быть определены категории доступа;
определена административная ответственность за сохранность и санкционированность доступа к информационным ресурсам;
налажен периодический системный контроль за качеством защиты информации;
проведена классификация информации в соответствии с ее важностью, дифференциация на основе этого мер защиты;
организована физическая защита СКТ.

Помимо организационно-управленческих мер, существенную роль в борьбе с компьютерными преступлениями могут играть меры технического характера (аппаратные, программные и комплексные). Аппаратные методы предназначены для защиты компьютерной техники от нежелательных физических воздействий и закрытия возможных каналов утечки конфиденциальной информации. К ним относятся источники бесперебойного питания, устройства экранирования аппаратуры, шифрозамки и устройства идентификации личности.

Программные методы защиты предназначаются для непосредственной защиты информации. Для защиты информации при ее передаче обычно используют различные методы шифрования данных. Как показывает практика, современные методы шифрования позволяют достаточно надежно скрыть смысл сообщения. Например, в США, в соответствии с директивой Министерства финансов, начиная с 1984г. все общественные и частные организации были обязаны внедрить процедуру шифрования коммерческой информации по системе DES (Data Encryption Standard). Как правило, российские пользователи справедливо не доверяют зарубежным системам, взлом которых стал любимым развлечением хакеров и всяких Джеймсов Бондов. Однако и российские государственные системы тоже могут быть ненадежными - когда над Охотским морем советскими истребителями был сбит корейский пассажирский самолет, правительство США уже через неделю представило в ООН дешифровку переговоров наших военных летчиков со станциями слежения. Но с тех пор прошло пятнадцать лет. Разработаны, сертифицированы и активно используются десятки отечественных систем шифрования. Ряд из них имеют криптографическую защиту, то есть теоретически не могут быть взломаны за разумное время (менее десяти лет) даже сотрудниками ФСБ и уж тем более любопытствующими хакерами. При рассмотрении вопросов, касающихся программной защиты информационных ресурсов, особо выделяется проблема их защиты от компьютерных вирусов как способа совершения компьютерного преступления. В настоящее время разрабатываемые отечественные и зарубежные программные антивирусные средства позволяют с определенным успехом (примерно 97%) опознать зараженные программные средства и их компоненты. Существующие антивирусные программные пакеты (AIDSTEST, DrWeb, SHERIFF, ADinf, Norton Antivirus и др. ) позволяют обнаруживать и уничтожать большинство вирусных программ.

Методы и средства программно-аппаратной защиты будут рассмотрены более подробно в последующих главах.

1.2. Основные термины и определения информационной безопасности

Концентрация больших объемов обобщенной и систематизированной информации на промышленных объектах и в учреждениях (в том числе и в МВД) привели к увеличению вероятности утечки секретных и конфиденциальных сведений, а значит и к необходимости принятия мер по обеспечению безопасности информации.

Анализ состояния дел в области информационной безопасности показывает, что к настоящему времени в ведущих странах мира сложилась достаточно четко очерченная система концептуальных взглядов на проблемы обеспечения информационной безопасности.

И, тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, но имеют достаточно устойчивую тенденцию к росту.

Понимая это, большинство руководителей предприятий и организаций принимают меры по «охране и обороне» важной для них информации. Однако практика показывает, что эти действия не всегда носят системный характер, направлены на ликвидацию только отдельных угроз, оставляя бреши в обороне.

Представляется, что одной из причин такого положения дел является не знание или не умелое использование основных принципов и практических подходов к решению проблем информационной безопасности. Материалы учебника направлены как раз на оказание помощи руководителям подразделений, организаций и представителям соответствующих служб в организации систем информационной безопасности. При этом основное внимание уделено одному из главных аспектов общей проблемы информационной безопасности – обеспечению безопасности информации при ее обработке, хранении и передаче.

Материалы данного раздела включают ряд основополагающих положений, без которых сложно рассчитывать на успех в решении проблем информационной безопасности. Это, прежде всего, терминологический аппарат данной предметной области, основные принципы и требования к системе информационной безопасности, последовательность и содержание действий на каждом из этапов построения системы информационной безопасности, а также некоторые современные взгляды на разрешение сложных проблем информационной безопасности.

Для того чтобы освоить методологические основы обеспечения информационной безопасности, прежде всего, необходимо владеть понятийным аппаратом данной предметной области. Раскрытие некоторых ключевых терминов не самоцель, а попытка на этой основе сформировать начальные представления о целях и задачах защиты информации.

Под безопасностью информации понимается такое ее состояние, при котором исключается возможность ознакомления с этой информацией, ее изменения или уничтожения лицами, не имеющими на это права, а также утечки за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники.

Под защитой информации понимается совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.

Конфиденциальность – содержание критичной информации, доступ к которой ограничен узким кругом пользователей (отдельных лиц или организаций), в секрете.

Целостность - свойство, при выполнении которого информация сохраняет заранее определенные вид и качество.

Доступность - такое состояние информации, когда она находится в виде и месте, необходимом пользователю, и в то время, когда она ему необходима.

Объект - совокупность зданий или помещений с размещенными в них техническими средствами обработки, передачи и хранения информации, объединенная едиными информационными потоками.

Охраняемая зона объекта - ограниченная территория, имеющая обозначенный периметр, на которой принимаются меры по предотвращению проникновения на объект нарушителей, способных причинить ущерб информационным ресурсам.

Рубежи защиты - созданные на объекте при помощи организационных и технических мер различные процедуры, препятствующие несанкционированному доступу к информации.

Главным критерием в выборе средств защиты интеллектуальной собственности следует считать ее ценность (реальную или потенциальную).

Ценность интеллектуальной собственности позволяет установить возможный ущерб от овладения информацией конкурентами, приносимым доходом, а также компенсацией возможных затрат на ее защиту. Для конкурентов же эта ценность должна компенсировать риск, связанный с ее получением (добыванием).

Для того чтобы обеспечить эффективную защиту интеллектуальной собственности, кроме оценки ценности необходимо провести анализ ее уязвимость.

Уязвимость дает возможность выявить характерные особенности и недостатки объекта защиты, которые могут облегчить проникновение злоумышленника к охраняемым сведениям. Главный результат этой работы - выявление источников информации и возможных каналов ее утечки.

Целью защиты информации является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.

Основными задачами системы информационной безопасности являются:

своевременное выявление и устранение угроз безопасности и ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба его интересам;
создание механизма и условий оперативного реагирования на угрозы безопасности и проявлению негативных тенденций в функционировании предприятия;
эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение целей организации.

Мероприятия по защите информации должны исключать:

выход излучений электромагнитного и акустического полей, а также наводок в сетях питания, кабельных линиях, заземлении, радио- и телефонных сетях за пределы контролируемой зоны;
доступ в помещение, где осуществляется обработка информации, а также визуально-оптические возможности съема информации;
работу специальных устройств ведения разведки, которые могут находиться в строительных конструкциях помещений и предметах их интерьера, а также внутри самого помещения или непосредственно в средствах обработки и передачи информации;
перехват информации из каналов передачи данных;
несанкционированный доступ к информационным ресурсам;
воздействие излучений, приводящих к разрушению информации.

Приведенная совокупность определений достаточна для формирования общего, пока еще абстрактного взгляда на построение системы информационной безопасности. Для уменьшения степени абстракции и формирования более детального замысла необходимо знание основных принципов организации системы информационной безопасности.

Анализ состояния дел в области информационной безопасности показывает, что в ведущих странах сложилась достаточно четко очерченная система концептуальных взглядов на проблемы информационной безопасности.

И, тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, а имеют достаточно устойчивую тенденцию к росту.

Это свидетельствует о том, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация обеспечения безопасности информационной системы.

Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов.

Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности. Суть этого принципа заключается в постоянном контроле функционирования системы, выявлении ее слабых мест, потенциально возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть одноразовым актом.

Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.

Комплексный характер защиты информации проистекает, прежде всего, из характера действий злоумышленников, стремящихся любой совокупностью средств добыть важную для конкурентной борьбы информацию. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения.

Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм – систему информационной безопасности. Только в этом случае появляются системные свойства не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования.

Можно определить систему информационной безопасности как организованную совокупность органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа к ней.

Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.

Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты.

С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.

Защита информации должна быть:

централизованной; необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;
плановой; планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;
конкретной и целенаправленной; защите подлежат абсолютно конкретные информационной ресурсы, могущие представлять интерес для конкурентов;
активной; защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;
надежной и универсальной, охватывать весь технологический комплекс информационной деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;
нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;
открытой для изменения и дополнения мер обеспечения безопасности информации;
экономически эффективной; затраты на систему защиты не должны превышать размеры возможного ущерба.

Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут не бесполезны создателям систем информационной безопасности:

средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;
каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;
возможность отключения защиты в особых случаях, например, когда механизмы защиты реально мешают выполнению работ;
независимость системы защиты от субъектов защиты;
разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
отсутствие на предприятии излишней информации о существовании механизмов защиты.

Все перечисленные позиции должны лечь в основу формирования системы защиты информации.

При обеспечении информационной безопасности существует два аспекта:

формальный, связанный с определением критериев, которым должны соответствовать защищаемые информационные технологии;
практический, характеризующий порядок определения конкретного комплекса мер безопасности применительно к рассматриваемой информационной технологии.

Критерии, которым должны соответствовать защищаемые информационные технологии, являются объектом стандартизации более пятнадцати лет. В настоящее время разработан проект международного стандарта «Общие критерии оценки безопасности информационных технологий».

Первой удачной попыткой стандартизации практических аспектов безопасности стал британский стандарт BS 7799 «Практические правила управления информационной безопасностью», изданный в 1995 году, в котором обобщен опыт обеспечения режима информационной безопасности в информационных системах разного профиля. Впоследствии было опубликовано несколько аналогичных документов: стандарты различных организаций и ведомств, например, германский стандарт BSI. Содержание этих документов в основном относится к этапу анализа рисков, на котором определяются угрозы безопасности и уязвимости информационных ресурсов, уточняются требования к режиму ИБ.

Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности, можно говорить о единой концепции ИБ.

Изложенные основные концептуальные положения являются основой механизма выработки детальных предложений по формированию политики и построению системы информационной безопасности.

1.3. Понятие политики безопасности

Политика безопасности – это формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и обработки информации (международный стандарт RFC 2196). Из практики известно, что правильная политика безопасности даже без выделенных средств защиты дает лучшие результаты, чем средства защиты без политики безопасности.

Политикой безопасности можно назвать и простые правила использования сетевых ресурсов (уровень руководителей), и детальные описания всех соединений и их особенностей, а также их реализация и конфигурирование (уровень инженерно-технического состава). В данном учебнике рассмотрена только зона ответственности руководителя в формировании политики безопасности, прежде всего, планирование защиты информационной системы (информационного объекта). Именно участие руководителя, а не только технических специалистов, в разработке политики безопасности позволяет учесть целесообразное и выверенное, с точки зрения конкретных функциональных обязанностей, распределение информации.

Любые действия по управлению сложными организационно-техническими системами должны быть спланированы. В полной мере это относится и к управлению информационной безопасностью. Планирование начинается после проведения анализа риска и выбора средств защиты информации в соответствии с ранжированием рисков.

На стадии планирования, если цель системы определена, определяется в известном смысле политика информационной безопасности, будущий образ действий и методы достижения целей, обеспечивается основа для последующих долгосрочных решений.

Планирование это процесс разработки пакета руководящих документов по реализации избранной политики информационной безопасности.

Принципиально план защиты включает в себя две группы мероприятий – мероприятия по построению (формированию) системы защиты информации и мероприятия по использованию сформированной системы для защиты информации.

Планирование - это начальный этап управления информационной безопасностью. После составления плана и реализации его первого этапа часто оказывается возможным и целесообразным внести коррективы в первоначальный план, осуществить так называемое перепланирование.

Цель планирования:

координация деятельности соответствующих подразделений по обеспечению информационной безопасности,
наилучшее использование всех выделенных ресурсов,
предотвращение ошибочных действий, могущих привести к снижению вероятность достижения цели.

Различают два вида планирования: стратегическое или перспективное и тактическое или текущее (рис. 1).

Стратегическое планирование заключается в определении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности и процедуры их использования.

Тактическое планирование заключается в определении промежуточных целей на пути достижения главных. При этом детально прорабатываются средства и способы решения задач, использования ресурсов, необходимые процедуры и технологии.

Рисунок . Виды планирования

Точную границу между стратегическим и тактическим планированием провести трудно. Обычно стратегическое планирование охватывает в несколько раз больший промежуток времени, чем тактическое; оно имеет гораздо более отдаленные последствия; шире влияет на функционирование управляемой системы в целом; требует более мощных ресурсов. Фактически стратегический план представляет собой системный проект, без которого тактические планы, реализуемые на разных отрезках времени (этапах) совершенствования системы, окажутся не взаимосвязанными, а значит мало эффективными или вовсе бессмысленными.

С тактическим планированием тесно связано понятие оперативного управления. Оперативное управление обеспечивает функционирование системы в соответствии с намеченным планом и заключается в периодическом или непрерывном сравнении фактически полученных результатов с намеченными планами и последующей их корректировкой.

Отклонения системы от намеченных планов могут оказаться такими, что для эффективного достижения цели целесообразно произвести перепланирование либо такой исход должен быть предусмотрен на стадии планирования.

Планирование включает в себя определение, разработку или выбор:

конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;
требований к системе защиты информации;
средств и способов, функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;
совокупности мероприятий защиты, проводимых в различные периоды времени;
порядка ввода в действие средств защиты;
ответственности персонала;
порядка пересмотра плана и модернизации системы защиты;
совокупности документов, регламентирующих деятельность по защите информации.

Цели защиты информации были определены ранее.

Задачи системы защиты объекта могут быть следующими:

защита конфиденциальной информации от несанкционированного ознакомления и копирования;
защита данных и программ от несанкционированной (случайной или умышленной) модификации;
снижение потерь, вызванных разрушением данных и программ, в том числе и в результате вирусных воздействий;
предотвращение возможности совершения финансовых преступлений при помощи средств вычислительной техники.

Для создания эффективной системы защиты, как правило, необходимо выполнение следующих основных требований:

комплексность мер защиты, закрытие всего спектра угроз и реализация всех целей стратегии защиты;
надежность средств, входящих в систему защиты;
бесконфликтная совместная работа с используемым на объекте программным обеспечением;
простота эксплуатации и поддержка работы администратора безопасности;
возможность встраивания средств защиты в программное обеспечение, используемое на объекте;
приемлемая стоимость.

Политика информационной безопасности определяет облик системы защиты информации - совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений по рациональному использованию вычислительных и коммуникационных ресурсов, направленных на противодействие угрозам с целью исключения (предотвращения) или минимизации возможных последствий проявления информационных воздействий.

Сформулированная политика информационной безопасности является результатом совместной деятельности технического персонала, способного понять все аспекты политики и ее реализации, и руководителей, способных влиять на проведение политики в жизнь.

Политика безопасности должна гарантировать, что для каждого вида проблем существует ответственный исполнитель. В связи с этим ключевым элементом политика безопасности является доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.

Требование учета стоимостных ограничений находит отражение в спецификациях средств реализации плана защиты информации. В них определяются общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности.

По времени проведения мероприятия защиты можно разделить на четыре класса:

разовые;
периодически проводимые;
проводимые по необходимости;
постоянно проводимые.

Но прежде чем обратиться к теории, надо навести элементарный порядок и наладить дисциплину в информационных службах предприятия.

Вы должны уметь четко ответить на вопросы:

Сколько компьютеров (коммуникационного, вспомогательного оборудования) установлено на вашем предприятии? Сколько их сейчас, в данный момент, а не сколько их было вчера или месяц назад; сколько их на рабочих местах, сколько в ремонте, сколько в резерве.
Вы сумеете узнать каждый компьютер «в лицо»?
Обнаружите ли вы «маскарад» оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены, так что кажущееся рабочей лошадкой оборудование на самом деле является троянским конем?
Какие задачи и с какой целью решаются на каждом компьютере?
Уверены ли вы в необходимости каждой единицы контролируемого вами оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты и ждущего, чтобы на него обратил внимание какой-нибудь хакер из числа молодых и дерзких сотрудников? Ведь если от оборудования нет пользы, с точки зрения информационной безопасности от него можно ожидать только вреда.
Каков порядок ремонта и технической профилактики компьютеров?
Как проверяется оборудование, возвращаемое из ремонта, перед установкой на штатное рабочее место?
Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования?

Список вопросов можно продолжить... Аналогичные вопросы можно задать и относительно программного обеспечения и персонала.

Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах, единодушно отмечают следующую особенность - реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы организации сменяется на резкое неприятие.

Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

появление дополнительных ограничений для конечных пользователей и специалистов подразделений обеспечения, затрудняющие использование и эксплуатацию автоматизированной системы организации;
необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.
экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:
принятие только организационных мер обеспечения безопасности информации в корпоративной сети (КС);
использование только дополнительных технических средств защиты информации (ТСЗИ).

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются.

Во втором случае, приобретаются и устанавливаются дополнительные ТСЗИ. Применение ТСЗИ без соответствующей организационной поддержки также неэффективно в связи с тем, что без установленных правил обработки информации в КС применение любых ТСЗИ только усиливает существующий беспорядок. Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в сетях ЭВМ. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

Организационные меры:

разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
периодически проводимые (через определенное время) мероприятия;
мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой КС или внешней среде (по необходимости);
постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия:

общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты КС;
мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);
мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);
проведение спецпроверок всех применяемых в КС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;
разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;
внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов КС и действиям в случае возникновения кризисных ситуаций;
оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;
определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;
мероприятия по созданию системы защиты КС и созданию инфраструктуры;
мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием КС, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в КС; выявление наиболее вероятных угроз для данной КС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);
организацию надежного пропускного режима;
определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т. п.;
организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;
определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);
создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;
определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.

Периодически проводимые мероприятия

распределение реквизитов разграничения доступа (паролей, ключей шифрования и т. п.);
анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы,
мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;
периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;
мероприятия по пересмотру состава и построения системы защиты.

Мероприятия, проводимые по необходимости

мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;
мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);
мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).

Постоянно проводимые мероприятия:

мероприятия по обеспечению достаточного уровня физической защиты всех компонентов КС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т.п.).
мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;
явный и скрытый контроль за работой персонала системы;
контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС;
постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.

Пересмотр «Плана защиты» рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного пересмотра. К их числу относятся изменения следующих компонент объекта:

Люди. Пересмотр «Плана защиты» может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информации и т.д.
Техника. Пересмотр «Плана защиты» может быть вызван подключением других локальных сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.
Помещения. Пересмотр «Плана защиты» может быть вызван изменением территориального расположения компонентов объекта.

Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов.

1.4. Социально-психологические аспекты защиты информации

Итак, кто же нарушитель?

Нарушитель - лицо, предпринявшее попытку выполнения запрещенных операций по ошибке, незнанию или осознанно использующее для этого различные возможности, методы и средства.

Наиболее опасная форма нарушителя – злоумышленник. Злоумышленником называют нарушителя, намеренно идущего на нарушение из корыстных побуждений.

Нарушитель является ключевой фигурой в области защиты информации. Поэтому целесообразно заблаговременно построить модель нарушителя Вашей системы, которая отражает его теоретические и практические возможности, априорные знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определённые ресурсы. Если система защиты надежна стоимость его затрат (в том числе и материальных) будет чрезмерно высока, и он откажется от своего замысла. Проанализировав причины нарушений, можно либо повлиять на сами эти причины, либо точнее определить требования к системе защиты от данного вида нарушений.

Преступления, в том числе и компьютерные, совершаются людьми. Большинство систем не может нормально функционировать без участия человека. Пользователь системы, с одной стороны, ее необходимый элемент, а с другой - он же является причиной и движущей силой нарушения или преступления.

Вопросы безопасности систем (компьютерных в том числе), таким образом, большей частью есть вопросы человеческих отношений и человеческого поведения.

При анализе нарушений защиты большое внимание следует уделять не только самому факту, как таковому (то есть объекту нарушения), но и личности нарушителя, то есть субъекту нарушения. Такое внимание поможет разобраться в побудительных мотивах и, может быть, даст возможность избежать в дальнейшем повторения подобных ситуаций. Поэтому начнем рассмотрение вопросов построения концептуальной модели нарушителя с анализа социальной базы компьютерной преступности.

Для специалистов очевидна необходимость использования комплексной системы защиты информации, основным элементом которой является человек. Однако между людьми часто возникают конфликты, которые могут привести к негативным воздействиям на уязвимость информации. Поэтому цель данного вопроса занятия доказать, что социально-психологические конфликты оказывают существенное влияние на безопасность информации и что с помощью конкретных рекомендаций можно воздействовать и даже управлять социально-психологической обстановкой в коллективе, повышая тем самым степень защиты объекта в целом.

Проиллюстрировать влияние конфликтов на безопасность информации можно с |помощью таблиц, показывающих изменения уязвимости информации, за крепленной на носителях, при развертывании различных видов конфликтов (табл. 1, 2). Традиционно уязвимость делится на два вида: утечка и утрата.

Формами проявления уязвимости являются:

для утраты: кража (1), уничтожение (2), искажение (3), блокировка доступа (5), потеря (6);
для утечки: кража (1), разглашение (4), потеря (6).

Соотношение конфликтов, носителей и форм проявления уязвимости информации приведено в табл. 1.

Таблица . Соотношение конфликтов, носителей и форм проявления уязвимости информации

Носители	Внутри- личностный	Меж- личностный	Между личностью и группой	Меж- групповой
Человек	2, 3, 4, 6	2, 3, 4, 5	2, 3, 4, 5	1, 2, 3, 4, 5
Письменные	2, 3, 4. 6	1, 2, 3, 4, 5	1, 2, 3, 4, 5	1, 2, 3, 4, 5
Видовые	2, 3, 4, 6	1, 2, 3, 4, 5	1, 2, 3, 4, 5	1, 2, 3, 4, 5
Излучаемые	3, 4	3, 4, 5	3, 4, 5	1, 2, 3, 4, 5
Опосредованные	4, 6	3, 4	3, 4, 5	1, 3, 4

Типы конфликтов

Следует выделить 8 основных типов конфликтов в сфере защиты информации, которые представлены на рис.2.

Ниже следует подробное рассмотрение обозначенных конфликтов.

Рисунок . Основные типы конфликтов в сфере защиты информации

Конфликты, обусловленные требованиями режима.

Необходимость неразглашения информации заставляет сотрудников искать возможность компенсации неудовлетворенных потребностей.

Нахождение в специальных помещениях для ведения секретных работ отрицательно влияет на психофизиологические и профессиональные качества сотрудников (генераторы помех, экранирование, маленькие комнаты, отсутствие окон).

Ограничение свободы негативно переживается сотрудниками (запрет на выезд за границу, публикацию научных работ, выступление на конференциях).

Увеличение времени работы за счет выполнения требований режима приводит к игнорированию последних.

Конфликты «человек - система» проявляются в демонстрации себе и окружающим своего превосходства. Ярким примером в этом случае является деятельность хакеров.

Рекомендации:

организация требований и правил в форме, удобной для восприятия; выделение тех пунктов, нарушение которых связано с особо тяжкими последствиями, а также отдельное выделение пунктов, чаще нарушаемых; ликвидация дублировании, обоснование правил;
стимулирование: материальное, социальное, отрицательное (наказание, применяется ограниченно), с помощью игр (воз награждение за осторожность);
воспитательная работа: печатные издания, плакаты, стенные газеты, доклады, аудиовизуальные средства, беседы, коллективное обсуждение вопросов безопасности;
обучение, тренинг, деловые игры (моделирование различных ситуаций);
мероприятия, направленные на снятие напряжения у сотрудников: организация досуга, создание психологических групп и комнат отдыха.

Конфликты, обусловленные ограниченностью ресурсов

Черпание ресурсов из одного ограниченного источника приводит к конфликту и между от делами, и между сотрудниками. Нехватка информации восполняется слухами, что способствует появлению служебных интриг.

Рекомендации:

трансфертная оценка товаров и услуг (сравнение затрат службы защиты информации (СЗИ) с рыночными ценами);
формирование общей миссии организации: подробное описание истории организации, акцентирование на важной социальной роли организации, подчеркивание «революционных» исследований и разработок, а также обширных инвестиций в область образования и тренинга персонала;
установление прямой зависимости заработной платы от выполнения работы;
обучение ведению переговоров;
четкая информационная политика, корректное ведение дел, соблюдение дистанции в общении с сотрудниками, грамотная мотивация.

Конфликты, обусловленные несоответствием целей сотрудников систем защиты информации (СЗИ) и других работников и отделов

Инструментальный конфликт возникает из-за того, что функции СЗИ носят вспомогательный (обслуживающий) характер и определяются руководителем организации. Конфликт подмены главной цели заключается в том, что целью становится выполнение инструкций, а не прямых обязанностей, в результате чего создаются препятствия для выполнения задания.

Конфликт между целями СЗИ и производственного отдела (или сотрудника). Конфликт между целями руководителя и сот рудника, или двух сотрудников.

Рекомендации:

улучшение координации, повышение взаимозависимости;
усиление центральной власти, перераспределение ответственности (создание равновесия между отделами);
культивирование общих целей и ценностей;
делегирование полномочий, более четкое определение задач, подробное обсуждение расхождений во мнениях, организация круглых столов.

Конфликты, обусловленные психологическими особенностями сотрудников СЗИ и отличием их от других работников

Возникновение ролевых конфликтов, таких как: выбор роли (выбор эффективного поведения), замыкание в одной роли (действия по шаблону).

Особенности восприятия влияют на оценку происходящего: по одному сотруднику (не корректно выполняющему свои обязанности) судят о всем отделе (СЗИ); контролирующие функции СЗИ раздражают специалистов (пользователей). Синдром ответственности проявляется в прогнозировании и негативном переживании возможных неблагоприятных последствий той или иной служебной ситуации.

Рекомендации:

изменение работы (ритма, интенсивности, специализации, места);
налаживание коммуникаций; объяснение поведения сотрудников с точки зрения производственной необходимости, обучение решению проблем с помощью переговоров, учет предложений других отделов по организации и функционированию системы защиты информации, в части их затрагивающей;
тренинг (проигрывание возможных критических ситуаций);
замена некоторых функций контроля горизонтальным обменом и сравнением.

Конфликты, обусловленные несоответствием ожиданий и реальности, конфликты «несбывшихся надежд»

Конфликт начинается тогда, когда человек видит, что не может удовлетворить важные для него потребности, цели: карьера, условия работы, зарплата, значимость, влияние, престиж, гордость, самоуважение, идентификация с группой, безопасность, мечта, самоутверждение, успех, призвание.

Рекомендации:

создание определенного порядка приема на работу, информирование претендента о перспективах и ограничениях, накладываемых на него при получении работы; подписание обязательства о неразглашении конфиденциальной информации, да же в случае увольнения;
четкое разграничение отделов (ответственности и фронта работ);
продвижение сотрудников по служебной лестнице.

Конфликты иерархии

Существуют 4 вида конфликтов иерархии.

Конфликт «равный-равный» приводит к возникновению постепенно усиливающейся конкуренции.

Конфликт «высший-низший» проявляется в стремлении усилить власть над подчиненными и противостоять их желанию сохранить и увеличить свою автономию.

Конфликт «высший-средний-низший» происходит, когда низшее звено оказывает сопротивление в выполнении задания, а среднее вы ступает в роли своеобразного буфера.

Конфликт формальной и неформальной структур выливается в борьбу за власть со всеми вытекающими отсюда последствиями.

Рекомендации:

изменение властной структуры; установление более «горизонтальных» связей;
делегирование ответственности;
усиление роли центральной власти при решении таких вопросов, как установление и укрепление разграничении, арбитраж;
установление «обезличенной» власти: создание системы правил и процедур в отношении персонала и организационной политики;
более четкая координация задач;
увеличение взаимозависимости;
корректировка численности подразделений (оптимально 11-12 либо 5 сотрудников);
улучшение межличностных отношений:
обучение сторон способам устранения конфликтов и тренинг; обмен персоналом.

Конфликты «человек – машина»

Характеристики технического устройства должны соответствовать возможностям восприятия человека.

Профессиональные и психофизиологические качества оператора должны позволять ему обслуживать техническое устройство.

Рекомендации:

установление рационального режима труда и отдыха операторов; организация отдыха операторов в процессе работы;
установление переменной нагрузки (на пример, темпа подачи и количества перерабатываемой информации и т.п.) в соответствии с динамикой работоспособности оператора;
чередование различных операций или форм деятельности в течение рабочего дня;
соблюдение предельно допустимых норм деятельности оператора;
рациональное распределение функций между человеком и техническими устройствами;
установление нормы соответствия психофизиологических качеств оператора характеру и сложности выполняемых работ путем профессионального отбора, обучения и тренировок операторов.

Конфликты в личной жизни сотрудников

Рекомендации:

создание в организации здорового психологического климата, способствующего открытому разрешению всех конфликтов;
борьба с равнодушием, как со стороны коллектива, так и со стороны начальства;
введение в штат профессионального психолога, создание различных психологических групп;
культивирование определенных моральных принципов у коллектива (включая руководителей).

Возможные негативные последствия конфликтов приведены в табл.2.

Таблица . Возможные негативные последствия конфликтов

Виды конфликтов	Возможные негативные последствия
Требования режима	увольнение, остановка работы, халатное отношение к работе, нарушение режима, стресс, компенсация неудовлетворенных потребностей, необдуманные действия, действия под влиянием эмоций, месть, вредительство
Ограниченность ресурсов	нарушение коммуникаций, остановка работы, инициативное сотрудничество, антагонизм, образование слухов, утаивание информации, шантаж
Несоответствие целей	нарушение коммуникаций, остановка работы, инициативное сотрудничество, антагонизм
Психологические особенности	увольнение, нарушение коммуникаций, антагонизм, месть, остановка работы, стресс, профессиональные отклонения здоровья, потеря связи с реальностью; сотрудники, играющие в «психологические» игры
«Несбывшиеся надежды»	стресс, действия под влиянием эмоций, необдуманные действия, месть, замыкание в себе, невыполнение требований режима, халатное отношение к работе
Иерархические	антагонизм; возникновение ситуаций, способствующих утечке информации; инициативное сотрудничество; нарушение коммуникаций
«Человек – машина»	остановка работы, уничтожение, искажение информации, блокирование доступа к информации, увольнение, месть, стрессовые состояния, возникновение профессиональных отклонений здоровья у сотрудника, невыполнение требований режима, халатное отношение к работе, инициативное сотрудничество
В личной жизни	стресс, необдуманные решения. халатность, остановка работы, потеря информации и т.д.

Каковы же причины нарушений защиты АС? Можно выделить три основные причины нарушений:

безответственность,
самоутверждение,
корыстный интерес пользователей (персонала) АС.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных). Иногда ошибки поддержки адекватной защищенной среды могут поощрять такого рода нарушения. Даже лучшая система защиты будет скомпрометирована, если она неграмотно настроена. Наряду с неподготовленностью пользователей к точному соблюдению мер защиты, это обстоятельство может сделать систему уязвимой к этому виду нарушений.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь - против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов АС считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Большинство систем имеет ряд средств противодействия подобным «шалостям». В случае необходимости администратор защиты использует их временно или постоянно. Такой вид нарушения называется зондированием системы.

Нарушение безопасности АС может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АС информации. Даже если АС имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Тот, кому успешно удалось проникновение - очень квалифицирован и опасен.

Проникновение - опаснейший вид нарушений, правда, он встречается редко, так как требуют необычайного мастерства и упорства.

Как показывает практика, ущерб от каждого вида нарушений обратно пропорционален его частоте: чаще всего встречаются нарушения, вызванные халатностью и безответственностью, обычно ущерб от них незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация имеет важное значение, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб вообще практически незаметен.

Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь, в конце концов, вводит АС в состояние неразрешимого противоречия; после чего операторы и системные программисты должны тратить много времени для восстановления работоспособности системы. Скандал с вирусом Морриса в сети Internet тоже был результатом зондирования системы, в данном случае ущерб исчислялся миллионами.

Проникновение - наиболее редкий вид нарушений, но и наиболее опасный. Отличительной чертой проникновений обычно является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, только в усиленном варианте, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновений может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций.

Таким образом, для организации надежной защиты необходимо четко отдавать себе отчет, от каких именно нарушений важнее всего избавиться. Для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы - более жесткая и самая жесткая вместе с постоянным контролем - от проникновений. Целью таких действий должно служить одно - обеспечение работоспособности АС в целом и ее системы защиты в частности.

Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть совершенно различными. Около 86% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью, безответственностью и т.д. Но не вовсе это составляет основную угрозу для системы. Гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой.

Способы предотвращения нарушений вытекают из природы побудительных мотивов - это соответствующая подготовка пользователей, а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.

1.5. Понятие о модели нарушителя

При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал. Ниже привидится примерный список персонала типичной автоматизированной системы (АС) и соответствующая степень риска от каждого из них.

Наибольший риск: системный контролер; администратор безопасности.
Повышенный риск: оператор системы; оператор ввода и подготовки данных; менеджер обработки; системный программист.
Средний риск: инженер системы; менеджер программного обеспечения.
Ограниченный риск: прикладной программист; инженер или оператор по связи; администратор баз данных; инженер по оборудованию; оператор периферийного оборудования; библиотекарь системных магнитных носителей; пользователь-программист; пользователь-операционист.
Низкий риск: инженер по периферийному оборудованию; библиотекарь магнитных носителей пользователей.

Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Однако пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. Ниже приводится таблица, в строках которой перечислены приведенные выше категории пользователей, а в столбцах - наиболее уязвимые элементы системы.

Таблица 3 показывает, какова степень риска данной категории пользователей относительно данного элемента системы.

Приведенная таблица составлена на основе опыта эксплуатации АС различного назначения. Как видно из нее, различные категории пользователей могут по-разному воздействовать на разные части АС. Эти тонкости полезно учитывать как при проектировании системы, так и при ее эксплуатации.

Безусловно, как сведения из Таблицы 3, так и приведенные выше категорирование персонала системы по степени риска не следует воспринимать как догму. Просто при анализе собственных АС составьте подобную таблицу для облегчения всей дальнейшей работы.

Из всего вышеизложенного может создаться впечатление, что работа на современных компьютерах чуть ли не невозможна вообще из-за различных угроз, поджидающих пользователей на каждом углу.

На самом деле такой вывод также неверен, как и вывод, вытекающий из благодушия и чрезмерного оптимизма: «все это так, но со мной все равно ничего не произойдет». Произойдет, и очень скоро.

Таблица . Степень риска для различных категорий пользователей

	Элементы АС
	I	II	III	IV	V	VI
Виды ущерба Категории пользователей	A	B	C	A	B	C	A	B	C	A	B	C	A	B	C	A	B	C
Библиотекарь системных магнитных носителей											4	4		3	3		3	3
Библиотекарь магнитных носителей пользователей											2	2		1	1
Пользователь-операционист	2	2	2		1	1				2	2	2		1	1
Оператор системы	1	5	5		5	5		5	5	1	3	3
Оператор периферийного оборудования											3	3		4	4		1	1
Оператор заданий											3	3		4	4
Оператор ввода и подготовки данных	3	3	3		4	4		5	5	3	3	3		4	4		1	5
Менеджер обработки	1	5	5		5	5		5	5	1	3	3		4	4		1	5
Администратор баз данных	3	3	3							3	3	3
Системный программист		5	5		5	5	5	5	5							5	1	5
Прикладной программист	1	1	1	2	2	2							2	2	2
Пользователь-программист	1	1	1	2	2	2							2	2	2
Менеджер программного обеспечения	1	1	1	4	4	4							4	4	4
Инженер/оператор по связи		5	5
Инженер системы							2	2	2
Администратор безопасности	5	5	5	5	5	5	5	5	5	3	3	3	4	4	4	5	5	5
Системный контролер	5	5	5	5	5	5	5	5	5	5	5	5	5	5	5	5	5	5

Уязвимые компоненты системы:

I - внутренние данные

II - внутренние прикладные программы

III - внутренние системные модули

IV - внешние данные

V - внешние системные модули

VI - элементы компьютера и др. аппаратура.

Виды угроз:

A - модификация,

B - разрушение,

C - компрометация (раскрытие) информации.

__________________________________________________

Источник: Datapro Reports on Information Security, vol.1-3, 1998-99.

В отношении к возможным нарушениям следует придерживаться принципа, который давно доказал свою состоятельность во многих областях – «золотой середины». Так, например, существует вероятность ядерного инцидента (хотя она и уменьшилась во много раз), но очень мало людей стремятся обезопасить себя, строя бомбоубежища, запасаясь продуктами и водой, так как эта вероятность слишком мала. В то же время, каждый человек стремится обезопасить свою квартиру, машину, сбережения вероятность реализации угрозы значительна, да и ущерб может быть ощутимым.

При организации защиты АС следует учитывать следующие обстоятельства:

вероятность реализации (осуществления) данного типа угрозы;
потенциальный ущерб, нанесенный пользователям и владельцам АС в том случае, если угроза осуществится (включающий также затраты на защиту от нее).

Предпринимаемые меры защиты должны быть адекватны вероятности осуществления и степени угрозы, то есть обеспечивать оптимальную защиту от нее.

Этот момент является основополагающим при организации любой защиты: конкретные меры должны определяться в процессе анализа воздействий на АС.

Таким образом, только комплексный анализ угроз и степени защищенности АС может обеспечить вам относительную безопасность.

Исходя из рассмотренных выше положений обобщим содержание понятия «модель нарушителя», которая должна быть адекватна реальным возможным типам нарушителей для данной АС.

При разработке модели нарушителя определяются:

предположения о категориях лиц, к которым может принадлежать нарушитель;
предположения о мотивах действий нарушителя (преследуемых нарушителем целей);
предположения о квалификации нарушителя и его технической оснащённости (об используемых для совершения нарушения методах и средствах);
ограничения и предположения о характере возможных действий нарушителя.

По отношению к АС нарушители могут быть внутренними (из числа персонала) или внешними (посторонними лицами).

1. Внутренним нарушителем может быть лицо из следующих категорий персонала:

пользователи (операторы) системы;
персонал, обслуживающий технические средства (инженеры, техники и т.п.);
сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);
технический персонал обслуживающий здания и имеющий доступ в помещения, выделенные для размещения компонентов АС;
руководители различных уровней должностной иерархии.

2. Внешним нарушителем могут быть следующие лица:

клиенты (представители сторонних организаций, граждане);
посетители;
представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности АО;
лица, случайно или умышленно нарушившие пропускной режим;
любые лица за пределами контролируемой зоны.

По уровню знаний об АС :

знает функциональные особенности АС, основные принципы формирования массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами АС;
обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

По уровню возможностей (используемым методам и средствам):

применяющий пассивные средства (средства перехвата без модификации компонентов системы);
использующий только штатные средства и недостатки систем защиты для её преодоления (несанкционированные действия с использованием разрешённых средств);
применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

По времени действия:

в процессе функционирования АС (во время работы компонентов системы);
в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в её работе, перерывов для обслуживания и ремонта и т.п.).

По месту действия:

за пределами контролируемой зоны АC;
внутри контролируемой зоны АC, но без доступа в выделенные для размещения компонентов АС помещения;
внутри выделенных помещений, но без доступа к техническим средствам АС;
с доступом к техническим средствам АС и с рабочих мест конечных пользователей (операторов);
с доступом в зону данных (баз данных, архивов и т.п.);
с доступом в зону управления средствами обеспечения безопасности АС.

Могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:

работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;
нарушитель, планируя попытки несанкционированного доступа (НСД), скрывает свои несанкционированные действия от других сотрудников;
НСД может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т.д.

Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован значениями характеристик, приведенных выше.

Правильно построенная (адекватная реальности) модель нарушителя, в которой отражаются его практические и теоретические возможности, априорные знания, время и место действия и т.п. характеристики - важная составляющая успешного проведения анализа риска и определения требований к составу и характеристикам системы защиты.

1.6. Социальная инженерия и последствия ее применения

Модель нарушителя чаще всего бывает успешна, если построена с учетом применения методов социальной инженерии (СИ). Большинство атак на компьютерные системы были реализованы только из-за «человеческого фактора», т.е. неправомерного разглашения информации упущений, которое можно было предвидеть и не допустить. Поэтому чрезвычайно важно при формировании плана защиты и политики безопасности предусмотреть профилактическую работу руководителя с персоналом по противодействию СИ.

Рассмотренный далее материал можно рассматривать как небольшое лирическое отступление от строгого академического материала учебника. Однако, вопросы, затронутые в данном разделе чрезвычайно серьезные.

Итак, что такое социальная инженерия в контексте информационной безопасности? Словарь хакерского жаргона сообщает: «Социальная инженерия - термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель - обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок администратору, эмулируя служащего с неотложной проблемой доступа к системе».

Да, действительно, самое простое средство проведения СИ - телефон. Все исследование основывается на одной маленькой детали: в крупных организациях лица, ответственные за систему, не знают всех сотрудников, поэтому появляется возможность манипулировать действиями администраторов. Телефон облегчает эту задачу, так как администратор не видит абонента, который может звонить даже из другого города или страны.

В западной прессе часто мелькают сообщения о том, что кто-то где-то что-то взломал. Немалая часть этих взломов как раз и была проведена с помощью СИ. В идеальных условиях у взломщика должны быть:

телефон, воспроизводящий шум офиса;
автоопределитель номера;
устройство для изменения голоса;
возможность использовать чужую телефонную линию.

Все эти вещи необходимы для успешного применения теоретических знаний на практике, но в нашей стране получить сразу все не представляется возможным, так что потенциальным взломщикам приходится довольствоваться простыми подручными средствами. Первый инструмент заменяется обыкновенным шумом в комнате или магнитофонной записью. Второй не составит труда отыскать. Третий - самое сложное. Проблема в том, что качественный аппарат способен преобразовывать голос как угодно: в женский, в детский, в старческий... Такие устройства очень редки, поэтому полностью использовать возможности СИ вряд ли получится. Конечно, ничто не помешает постучать ложкой о тарелку и сделать вид, что люди в офисе обедают. Можно позвать прохожего и попросить позвонить... Об использовании чужой линии, наверное, и заикаться не стоит. Единственное, что сразу приходит в голову, - это телефонная трубка с номеронабирателем и ближайший телефон-автомат. Но тогда придется использовать еще и анти-АОН.

Классификация атак класса СИ

Обычно атаки класса СИ представляют собой комбинацию некоторых средств, методов и «параметров окружения». Основные разновидности можно разделить на следующие категории.

По средствам применения:

телефон;
электронная почта;
разговор по Internet в «реальном времени»;
обыкновенная почта;
личная встреча.

В первом случае основную сложность представляет голос. Если объект знаком с тем, кем вы представились, то необходимо сделать так, чтобы ваш голос почти не отличался от его голоса. При использовании электронной почты проблема голоса отпадает, зато появляется стиль письма, которого нужно придерживаться от начала и до конца. То же самое утверждение можно отнести к третьему и четвертому пунктам данной классификации. В последнее время быстро развивается новый вид общения - ICQ, некая смесь электронной почты, разговора в реальном времени и организатора межсетевых взаимодействий между пользователями. Эта программа иногда позволяет в большей степени ввести в заблуждение пользователей, но об этом потом. Следующий вид контактов - личностный. Лично можно воздействовать только на тех людей, которые не смогут утверждать, что вы не тот, за кого себя выдаете. В этом случае необходимо иметь приятный голос и уметь нравиться людям. Конечно, при сложных комбинациях может быть использовано нс одно средство, а, возможно, даже все, но человек, осуществляющий такую атаку, должен быть не просто хорошим, а отличным психологом.

По уровню социального отношения к объекту:

официальный;
товарищеский;
дружеский.

Разумеется, для того чтобы атака оказалась успешной, нужно выбрать соответствующий стиль общения для каждого случая. При официальном стиле общения недопустимы нотки пренебрежения или дружественности. Необходимо, чтобы все выглядело так, как должно. Если был выбран товарищеский тон, то предполагается, что вы знаете хотя бы имя человека, с которым собираетесь разговаривать. Последний, дружеский уровень дастся с большими усилиями. Желательно не просто много знать о человеке, но и представлять, кем вы собираетесь выглядеть. Это самый сложный вид атаки, но после его успешного применения можно добиться самых высоких результатов.

По степени доступа объекта к информационной системе:

администратор - высокая;
начальник - средняя;
пользователь - низкая;
знакомый администратора, начальника или пользователя - отсутствие доступа.

Здесь предполагается разделение по результату атаки. Соответственно, в первом случае результат наибольший, а в последнем - наименьший. Но это - с точки зрения промежуточного результата (см. табл. 4). На практике работа с пользователем и знакомыми оказывается легче, чем с администратором и начальником: больше вероятность, что последние знают того, кем вы собираетесь представиться.

Таблица . Вероятность успешного проведения атаки в зависимости от навыков выполняющего (низкая - 1, средняя - 2, высокая - 3)

Класс атаки Подготовленность злоумышленника

Новичок

Любитель

Профессионал

СРЕДСТВА ПРИМЕНЕНИЯ

Телефон

Электронная почта

Обыкновенная почта

Разговор по Internet

Личная встреча

УРОВЕНЬ ОБЩЕНИЯ (ОТНОШЕНИЯ)

Официальный

Товарищеский

Дружеский

СТЕПЕНЬ ДОСТУПА

Администратор

Начальник

Пользователь

Знакомый

Краткое введение в психологию СИ

«На свете есть только один способ побудить кого-либо что-то сделать. Задумывались ли вы когда-нибудь над этим? Да, только один способ. И он заключается в том, чтобы заставить другого человека захотеть это сделать. Помните - другого способа нет», - писал Дейл Карнеги.

Знаете... а ведь он прав! Конечно, все это и так интуитивно понятно, но если разобраться глубже, то оказывается, что есть способы, позволяющие этого достичь. Один из наиболее видных психологов XX века, Зигмунд Фрейд, говорил, что в основе всех наших поступков лежат два мотива - сексуальное влечение и желание стать великим, причем последнее трактуется как «желание быть значительным» или «страстное стремление быть оцененным». В принципе это одно и то же. Дайте человеку понять, что вы его цените и уважаете! Мы не призываем вас при разговоре с администратором сети льстить и сыпать комплиментами, хотя «льстить - значит говорить человеку именно то, что он думает о себе». Конечно, умный человек это заметит, и такое отношение ему может не понравиться. Но если заранее постараться признать для себя достоинства того, с кем вы собираетесь разговаривать, то собеседник почувствует вашу искренность.

Попробуйте произнести такие слова: «Я понимаю, что вы ужасно заняты, но не могли бы вы...» Обычно подобная фраза говорится с юмористическим оттенком или с тоном пренебрежения. Но если вы попробуете представить себе, что человек действительно занят и у него нет никакого желания с вами разговаривать, то ваш тон моментально изменится. Поверьте, такой прием подействует, только если говорить искренне!

Наверняка все в детстве баловались с телефонами. Ну кто не знает таких шуток, как: «Алло, это зоопарк?» - «Нет». - «А почему обезьяна у телефона?». Совершенно безобидный пример издевательства над людьми. А вот еще один подобный пример, но с элементами СИ:

Шутник: Алло! Вас беспокоят с телефонной станции. Измерьте, пожалуйста, длину шнура от трубки к телефону.

Жертва: Метр.

Ш.: Хорошо, для того, чтобы повеситься, хватит.

Следующий звонок.

Ш.: Алло! Это милиция. Вам сейчас хулиганы не звонили?

Ж.: Да, да! Звонили! Разберитесь с ними, пожалуйста!

Ш.: Про трубку и провод спрашивали?

Ж.: Да!

Ш.: И он у вас метр?

Ж.: Да!

Ш.: А почему до сих пор не висим?

Это было лирическое отступление на тему того, как методы СИ используются детьми на бессознательном уровне, в качестве шутки. Рассмотрим простейший пример СИ для проникновения в систему.

Звонок администратору системы.

Взломщик: Здравствуйте, вы администратор?

Администратор: Да.

В.: Я понимаю, что вы ужасно заняты, извините, что отрываю вас от дел, по я не могу войти в сеть.

А.: (Про себя: Поработать не дают!) А что компьютер говорит по этому поводу?

В.: Как это - «говорит»???

А.: (Ха!) Ну, что там написано?

В.: Написано «вронг пассворд».

А.: (Ну-ну, еще бы...) А-а-а-а... А вы пароль правильно набираете?

В.: Не знаю, я его не совсем помню.

А.: Какое имя пользователя?

В.: anatoly.

А.: Ладно, ставлю вам пароль... мммм... art25. Запомнили? (Если опять не войдет - убью!)

В.: Постараюсь... Спасибо. (Вот дурак-то!)

Конец разговора. Все!

На самом деле это упрощение ситуации, но в некоторых случаях такое может сработать. Какие ошибки допустил администратор? С его точки зрения - никаких. В подобных случаях редко спрашиваются имя, фамилия, должность звонящего, особенно если звонит девушка с приятным голосом (для этого и используются преобразователи голоса). Администраторы часто сталкиваются с забывчивостью пользователей, особенно если сотрудники редко «входят» в систему. В таких случаях ответственное лицо старается побыстрее положить трубку, и ему хватает того, что пользователь знает свое имя входа в систему. Однако в этом случае взломщик уже знал некоторые сведения о своей цели. Рассмотрим пример с первоначальными нулевыми знаниями.

Выберем цель по телефонной книге - организацию, где есть телефон секретаря.
Звоним секретарю и узнаем имя персоны, с которой можно проконсультироваться по поводу некоторых проблем с работой системы.
Звоним любому другому человеку, чей номер телефона имеется в книге, предполагая, что он имеет доступ к системе.
Представляемся (разумеется, вымышленным именем) как помощник той персоны, имя которой мы узнали из первого звонка. Говорим, что в связи с перестановкой системы администратор дал задание поменять пароли всем пользователям.
Узнаем имя входа, прежний пароль, говорим новый пароль. Все!
В том случае, если доступ к системе происходит посредством телефонных линий, звоним секретарю, говорим, что не получается дозвониться до системы, и просим назвать правильный номер телефона. В принципе этот пример немногим отличается от предыдущего, но есть большая вероятность получения доступа в систему вследствие оперирования в разговоре конкретными именами и должностями.

После того как взломщик получает доступ к системе в виде простого пользователя, ему не составляет большого труда получить более полные права. Но можно и дальше развить СИ для получения привилегий администратора. Вот пример на UNIX-системе.

Пусть каким-либо образом взломщик узнал, что у администраторе в переменную окружения PATH включена «.» (это значит выполнение программ из текущего каталога, многие так делают для удобства работы)

Звонок администратору.

Хакер: Здравствуйте, вы администратор?

Администратор: Да.

X.: Извините, что отвлекаю. Не могли бы вы мне помочь?

А.: (Ну что еще ему надо?) Да, конечно.

X.: Я не могу в своем каталоге выполнить команду ls.

А.: (Как будто ему это надо!) В каком каталоге?

X.: /home/anatoly.

А.: (Вот ведь глупый юзер!) Сейчас посмотрю. (Заходит в этот каталог и набирает команду ls, которая успешно выполняется и показывает наличие нормальных прав на каталог.)

А.: Все у вас должно работать!

X.: Хммм... Подождите... О! А теперь работает... Странно...

А.: (Рррррр!!!) Да? Хорошо!

X.: Спасибо огромное. Еще раз извиняюсь, что помешал.

А.: (Ну наконец!) Да не за что. (Отстань, противный!) До свидания.

Конец разговора.

Заметили криминал? Вроде бы ничего особенного. Даже с точки зрения опытного администратора. Что же произошло на самом деле? В каталоге /home/anatoly среди множества других файлов лежал измененный вариант программы ls. Как раз его-то администратор и запустил. Все дело в том, что при выполнении этого файла у запускающего (администратора) имелись все права на систему, и, соответственно, все программы, которые он запускает, могут делать с системой практически все, что угодно. Что было в этом файле, кроме возможности показывать список файлов в каталоге, теперь только взломщику и известно.

Разумеется, эти случаи годятся для организации со средним уровнем защиты. В банках или военных учреждениях наверняка так просто ничего не получится. Там могут спросить имя звонящего, его адрес, номер паспорта или предложат оставить номер телефона для последующего уведомления о смене пароля (для этого и нужна возможность использовать чужую линию, чего позволяют добиться офисные мини-АТС, которыми можно оперировать с удаленного терминала или из сети Internet). В таком случае взломщики обычно заранее собирают информацию о потенциальных жертвах. Как это делается? Пожалуйста, еще один пример из телефонных шуток.

Звонок на совершенно незнакомый номер.

Взломщик: Алло, извините, вас беспокоят с телефонной станции. Это номер такой-то?

Жертва: Да.

В.: У нас идет перерегистрация абонентов, не могли бы вы сообщить, на кого у вас зарегистрирован телефон? Имя, фамилию и отчество, пожалуйста.

Ж.: (Говорит информацию.)

В.: Спасибо! Так... секундочку... Хорошо, ничего не изменилось. А место работы?

Ж.: (С некоторым сомнением называет, а если человек очень подозрительный, то спрашивает, зачем.)

В.: Это сведения для новой телефонной книги. По вашему желанию можем внести не одно имя, а всех, кого можно найти по этому телефону.

Ж.: (Тут с радостью называются имена всех членов семьи с их положением в ней, хотя это и не требовалось.)

Информации уже достаточно для попытки взлома. Таким же образом становятся известными номера паспортов и т. д. После такого разговора можно звонить сотрудникам хозяина телефона от имени его родственников и получать дальнейшую информацию.

Еще один пример.

Взломщик: Алло, это приемная?

Жертва: Да.

В.: Это администрация сети. Мы сейчас меняли сетевую систему защиты. Необходимо проверить, все ли у вас нормально работает. Как вы обычно регистрируетесь в системе?

Ж.: Ввожу свои имя и пароль.

В.: Хорошо... Так... (Пауза) Какое имя?

Ж.: anna.

В.: Анна... (Пауза) Так... какой у вас раньше был пароль?

Ж.: ienb48.

В.: Та-а-а-ак... Хорошо. Попробуйте сейчас перерегистрироваться.

Ж.: (Пауза) Все нормально. Работает.

В.: Отлично. Спасибо!

Разумеется, в маленьких организациях, где все знают администратора, это не сработает, зато в больших есть пространство для применения своих способностей.

Вот как использовали СИ такие известные хакеры, как Кевин Митник и Роско: «И Роско, и Кевин гордились своим умением общаться с людьми. На их взгляд, в любом разговоре можно было подчинить себе собеседника, если говорить авторитетным тоном знатока, даже если в этой области ты ничего не смыслишь. Время от времени они названивали в отдел дистанционной связи какой-нибудь компании и недовольным начальственным голосом требовали объяснить, почему тот или иной номер АТС не удается набрать из города. И напуганный оператор объяснял им, как набрать интересующий их номер.

Обычно в таких случаях Кевин предпочитал импровизировать, полагаясь на свою интуицию, а Роско возвел свое умение разговаривать с людьми чуть ли не в ранг искусства. Он вел специальную записную книжку, куда вписывал имена и должности телефонисток и операторов разных фирм и их начальников. Там же он помечал, новички они или опытные работники, насколько хорошо информированы, расположены к разговорам или нет. Заносил он в книжку и сведения, так сказать, личного характера, добытые в течение долгих часов разговоров по телефону: увлечения, имена детей, любимые виды спорта и места, где они любят бывать в отпуске и по выходным».

В некоторых источниках предлагается ходить с видеокамерой, изображая репортера, и почаще наводить ее на клавиатуру пользователей. Здесь сработает предположение, что людям наверняка захочется увидеть себя по телевизору. Можно даже попросить человека сделать вид, что он только что пришел на работу и садится за компьютер... Ну и, разумеется, попросить включить его и начать работу.

Социальная инженерия посредством сети Internet

Беседы через Internet

Для выявления паролей через IRC злоумышленники используют два или более одновременно открытых клиента IRC. Желательно иметь права оператора канала, но необязательно. Один из клиентов представляет собой bot (робот-исполнитель), а другой - это сам злоумышленник (например, ВОВ). Как происходит СИ:

ВОВ: Для получения прав оператора просто пошли сообщение роботу капала, но сначала необходимо проидентифицировать свой DNS. Если ты не знаешь, как это сделать, напиши /msg bot identify твой_пароль. Робот должен запомнить имя, DNS и впоследствии аутентифицировать тебя по набранному паролю.

После чего действительному оператору канала желательно сказать, что нет времени, и необходимо убегать. Все это для того, чтобы не появилось подозрения в соучастии.

Как только «пациент» посылает роботу такое сообщение, для создания полной иллюзии необходимо ответить от имени робота что-нибудь вроде такой фразы:

Имя_пациента: Клиент аутентифицирован. Установка прав оператора.

Теперь злоумышленник имеет пароль пользователя. Конечно, совсем необязательно, что это пароль применялся еще где-либо, но люди, не искушенные в безопасности, по привычке пишут везде один и тот же пароль.

Электронная почта

Работа с помощью электронной почты почти не отличается от работы с телефоном, но есть некоторые особенности:

в случаях переписки с незнакомыми людьми письма должны иметь соответствующий вид. Например, подпись в конце письма должна быть стандартной для больших компаний: следует указать имя, фамилию, должность, название организации, адрес и телефон;
при переписке со «знакомыми» людьми необходимо выдерживать дружеский стиль;
желательно не посылать письмо напрямую, а использовать поддельный адрес и/или скрывать IP-адрес, откуда пришло письмо.

Введем маленькое отступление для объяснения того, каким образом можно послать письмо с поддельным обратным адресом и что это значит. В любом передаваемом электронном письме существует header (заголовок), содержащий служебную информацию, такую как дата отправки, IP-адрес машины, с которой отправили письмо, название отправляющей программы, обратный адрес отправителя и т. д.

Эту информацию обычно можно просмотреть либо в программе, работающей с вашей почтой, либо в «сыром» виде, с помощью любого текстового редактора. Вот, что можно увидеть в этом заголовке:

From Nikolay@imagine.msk.ru Wed Jan 9 17:50:40 1999

Received: from mail1.relcom.ru ( mail1.relcom.ru [193.125.152.4]) by info.tsu.ru (8.8.5/8.8.2) with ESMTP id RAA01375 for <eugene@tsu.ru>; Wed, 9 Jan 1999 17:15:22 +0800 (TSD)

Received: from gw.imagine.msk.ru (root@localhost) by mail1.relcom.ru (8.7/8.7/akolb/960402) with SMTP id HAA07617 for <eugene@tsu.ru>: Fri, 9 Jan 1997 07:13:46 GMT

Received: from nick (nick.imagine.msk.ru [123.123.123.123]) by gw.imagine.msk.ru with SMTP id FAA06917 for <eugene@tsu.ru>; Fri, 8 Jan 1999 11:18:55 +0300

Message-Id: <s3b3a19f.011@gw.imagine.msk.ru>

X-Mailer: Mozilla 4.01 [en] (Win95; 1)

Date: Fri, 8 Jan 1999 11:18:20 +0300

X-UIDL: 867984288.012

From: Nikolay <Nikolay@imagine.msk.ru>

To: eugene@tsu.ru

Subject: For you information

Status: RO

Что здесь может заинтересовать вас или получателя вашего письма? Прежде всего, это поля «Received:», где содержится информация о маршруте, который прошло письмо. Как правило, последнее поле «Received:» показывает адрес машины, с которой это сообщение было отправлено. В самом простом случае, как здесь, будет написан IP-адрес. Тогда получатель письма точно сможет узнать, пришло ли оно от его знакомого.

Существует несколько способов сделать так, чтобы эти адреса не записывались, или чтобы туда записалась ложная информация.

Во-первых, можно использовать широко распространенные в Internet программы, позволяющие заполнить поля From, То и Host - адрес сервера, через который будет отправлена почта. Желательно выбирать сервер, не записывающий, откуда пришло письмо. Идеальный вариант, если этот сервер является еще и почтовым сервером реального отправителя.

Во-вторых, можно просто перенастроить ваш почтовый клиент (Netscape, Outlook Express, The Bat) на другое имя отправителя и другой адрес почтового сервера.

В третьих, можно использовать серверы, переправляющие почту, но стирающие всю информацию о пути прохождения сообщения, - так называемые remailers. Этот способ не очень эффективен, так как соответствующая информация все равно отразится в заголовке.

Мало того, что вы подмените адрес, в некоторых случаях придется поменять и имя программы-отправителя «X-Mailer:». Ну знаю я, что мой друг питает отвращение к Outlook Express, а тут вдруг пользуется им... Может быть, придется изменить даже дату отсылки сообщения! Если отправитель находится в противоположной точке земного шара и разница во времени составляет 12 часов (дата отправки обычно показывается всеми почтовыми программами), то отправление письма в 5 утра может насторожить получателя. Вопрос с датами в любом случае нужно прорабатывать подробнее, так как некоторые серверы ее изменяют, некоторые пишут ее относительно GMT и т. д.

Есть еще один вариант отправки - с помощью программы telnet. 25-й SMTP-порт - стандартный для приемки писем; к почтовому серверу можно подсоединиться на этот порт и самому набрать все поля. Для получения информации об интерфейсе общения можно набрать команду HELP. Обычно требуется ввод следующих полей:

«rept to:» - кому отсылается письмо;
«mail from:» - от кого пришло письмо;
«data» - тело письма.

В тех случаях, когда сервер не записывает IP-адрес отправителя, этот метод тоже может помочь. Не будем останавливаться на деталях процесса, добавим только, что обычно проверкой подлинности письма никто не занимается, да и осуществить такую процедуру сможет далеко не каждый. Поэтому при «работе» с обыкновенными пользователями об этом, как правило, не задумываются, но иногда все же стоит перестраховаться.

Программа-пейджер

Вот, наконец, добрались и до ICQ (I seek you). Как мы уже упоминали, ICQ - это некоторое подобие электронной почты, а значит, с ней можно делать почти все, что и с e-mail. Кроме того, ICQ похожа на IRC, соответственно - те же комментарии. Чем же это средство общения отличается от описанных выше, и как его можно реально использовать в социальной инженерии?

Для тех, кто пока еще не знаком с ICQ, кратко объясним ее суть. В то время, когда вы работаете, она постоянно загружена на вашем компьютере, причем обычно показывается рабочая панель, на которой вы можете увидеть предварительно внесенные имена своих друзей и знакомых. Те из них, у кого в данный момент запущена эта программа, будут показаны вам в самом верху с различными иконками статуса (доступен, недоступен, временно ушел и т. д.). Для общения можно выбрать тип разговора - либо просто послать письмо, либо поговорить в режиме реального времени (больше похоже на программу talk (UNIX), чем на IRC).

Программа разработана не так давно, но уже широко используется, несмотря на множество ее недостатков. В последнее время в Internet стали появляться программы, которые способны тем или иным образом нарушить работу ICQ. Что же можно сделать с их помощью? Послать сообщение от чужого имени, дать возможность постороннему лицу увидеть список друзей, узнать пароль пользователя или просто удаленно вывести программу из строя. Не надо обладать особой проницательностью, чтобы придумать, как применить все это на практике. Да и отличить подделанное сообщение в ICQ значительно труднее, чем в e-mail. Для того чтобы исправить эти недостатки, фирма Mirabilis, разработчик ICQ, время от времени выпускает новые версии.

Все приведенные выше примеры не выдуманы, а взяты из реальной жизни. Они показывают, что наибольшую опасность для организаций представляют люди, а не слабая защита операционных систем. Далее рассмотрим, каким образом можно оградить себя от подобных методов несанкционированного доступа.

Возможности защиты от социальной инженерии

Тесты на проникновение

Тестирование системы защиты - это метод выявления недостатков безопасности с точки зрения постороннего человека (взломщика). Он позволяет протестировать схему действий, которая раскрывает и предотвращает внутренние и внешние попытки проникновения и сообщает о них. Используя этот метод, можно обнаружить даже те недостатки защиты, которые не были учтены в самом начале, при разработке политики безопасности. Тест должен разрешить два основных вопроса:

все ли пункты политики безопасности достигают своих целей и используются так, как это было задумано;
существует ли что-либо, не отраженное в политике безопасности, что может быть использовано для осуществления целей злоумышленника.

Все попытки должны контролироваться обеими сторонами - как взломщиком, так и «клиентом». Это поможет протестировать систему гораздо эффективнее. Необходимо также свести к минимуму количество людей, знающих о проведении эксперимента. При тестировании могут быть затронуты деликатные вопросы частной жизни сотрудников и безопасности организации, поэтому желательно получить предварительное разрешение на проведение такой акции. Ваше непосредственное начальство обязательно должно быть в курсе происходящего.

Профессионалам в области безопасности при проведении теста необходимо иметь такое же положение, как и у потенциального злоумышленника: в их распоряжении должны быть время, терпение и максимальное количество технических средств, которые могут быть использованы взломщиком. Более того, проверяющим следует расценить это как вызов своему профессионализму, а значит, проявить столько же рвения, сколько и взломщик, иначе тесты могут не достичь необходимого результата. Требования, предъявляемые к человеку, проводящему тесты:

Необходимо быть дружелюбным, легко располагающим к себе и вызывать симпатию.
Иметь хорошие технические знания.

Вот пример подобного тестирования, описанный И. Винклер (National Computer Security Association). Эксперимент провели с разрешения компании, о его ходе было проинформировано только «высокое» начальство.

«В самом начале атакующие выполнили поиск в Internet для получения представления об организации. Изучение дополнительных баз данных позволило установить имена большого числа сотрудников организации и ее руководства. Поиск в телефонном справочнике дал телефонный номер офиса компании поблизости от атакующих. Звонок в офис позволил получить копию ежегодного отчета компании, а также бесплатный телефонный номер компании. Для получения этой информации не потребовалось ничего объяснять.

Объединив данные ежегодного отчета с данными, полученными из Internet, атакующие получили имена и должности многих лиц из руководства вместе с информацией о проектах, над которыми они работают. Следующим шагом было получение телефонного справочника компании, что позволило установить имена еще ряда сотрудников и получить полное представление об организационной структуре компании.

С бесплатного телефонного номера был сделан звонок по основному номеру компании для контакта со службой рассылки. Звонивший сказал, что он новый сотрудник и хочет узнать, какую информацию требуется указать для пересылки по почте в США и за границу. В результате атакующие узнали, что требуется только два числа - личный номер сотрудника и номер торгового центра. Звонок в отдел графики подтвердил важность этих двух чисел.

Используя телефонный справочник, атакующие стали звонить десяткам служащих в разных отделах для получения личных номеров служащих, которые могли быть использованы для последующих атак. Номера обычно узнавались так: проверяющий выдавал себя за сотрудника отдела кадров, который по ошибке звонил не тому сотруднику и спрашивал номер для того, чтобы понять, что он ошибся.

Затем атакующие определили, что они могут попытаться получить имена новых сотрудников, которые, скорее всего, наименее осведомлены об угрозах компании. Используя информацию первой фазы атаки, были установлены имена нескольких руководителей компании. Телефонный справочник позволил установить имя служащего, который, скорее всего, и является руководителем. На этот момент времени было установлено, что самым лучшим методом получения имен новых служащих будет заявление, что руководитель хочет сам познакомиться с новыми служащими компании. Проверяющие собрались заявить, что выполняют поручение руководителя, а затем, что руководитель был расстроен, так как полученная информация уже устарела.

Удача сопутствовала им, и на звонок в отдел по работе с новыми сотрудниками ответил автосекретарь. Сообщение позволило установить: 1) отдел переехал; 2) имя человека, за которым закреплен телефонный номер; 3) новый телефонный номер. Имя человека было важно, так как знание конкретного имени увеличивает правдоподобность вопросов звонившего. Было уже поздно, и этот человек уже ушел. Это позволило атакующему заметить в разговоре, что отсутствующий человек обычно предоставляет информацию. Атакующий также заявил, что очень большой начальник был сильно расстроен. Его «пожалуйста» побудило человека, отвечавшего по телефону, дать запрошенную информацию. Были получены имена всех сотрудников, начавших работать в течение этой недели, и для многих стали известны отделы, в которых они работают.

Затем было установлено, что атакующим следует избегать контакта с сотрудниками отдела информационных систем, так как те, скорее всего, знают о важности защиты паролей. При звонках новым сотрудникам атакующие выдавали себя за сотрудников отдела информационных систем и проводили с ними по телефону краткий инструктаж по компьютерной безопасности. В ходе этого инструктажа атакующий получал базовую информацию, включая типы используемых компьютерных систем, используемые приложения, номер сотрудника, идентификатор пользователя и пароль. В одном случае атакующий предложил новому сотруднику сменить пароль, так как пароль легко угадать.

Demon Dialer (программа, выясняющая наличие модемов на противоположном конце линии) и звонок в справочную службу отдела информационных систем дали телефонные номера модемов компании. Эти номера позволили атакующим использовать скомпрометированные идентификаторы. Получение информации о модемах позволило обойти очень сложную систему брандмауэра и сделать ее бесполезной. В ходе дальнейших атак аналогичные методы использовались для того, чтобы получить свой собственный идентификатор в компьютерах компании. После этого атакующие заставили служащих компании послать им коммуникационную математику, которая организует безопасное соединение».

Осведомленность

Осведомленность играет ведущую роль в защите организации от проникновения в информационные системы с помощью СИ, так как СИ основана на использовании таких сторон человеческой природы, как неосторожность и беззаботность. Осведомленность является ключевым моментом и вследствие того, что это предварительная, предупреждающая мера, нацеленная на усвоение самими служащими основных принципов и необходимых правил защиты. Разумеется, этот аспект требует обучения и тестирования сотрудников.

Основные шаги для усиления безопасности компьютерных систем компании:

Привлечение внимания людей к вопросам безопасности.
Осознание сотрудниками всей серьезности проблемы и принятие политики безопасности организации.
Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения.

Осведомленность должна быть включена во все уровни организации, начиная с самого верхнего, где и принимается политика безопасности. На основе этой политики и распределения ответственности можно создавать модель защиты. После разбора вышеописанного примера И. Винклер дает советы по разработке и внедрению политики безопасности, позволяющей защититься от СИ:

Не полагайтесь на систему внутренней идентификации

Атакующих иногда просят аутентифицироваться с помощью указания их личного номера сотрудника. К радости взломщиков, такие номера часто используются и могут быть легко получены от реальных сотрудников. У атакующего обычно имеется список номеров сотрудников, и он готов к любому вопросу. Многие компании полагаются на похожие системы идентификации. Компаниям следует иметь отдельный идентификатор для работ, связанных с поддержкой информационных систем. Наличие такого идентификатора позволит отделить функции технического сопровождения от других и обеспечит дополнительную безопасность как для работ по сопровождению, так и для взаимодействия сотрудников в организации.

Реализуйте систему проверки с помощью встречного звонка, когда сообщаете защищенную информацию

От многих атак можно было бы защититься, если бы служащие компании проверяли личность звонившего, набрав его телефонный номер, который указан в телефонном справочнике компании. Эта процедура не очень удобна в повседневной работе, однако при сопоставлении с возможными потерями неудобства будут оправданы. Если от сотрудников потребовать делать встречные звонки любому, кто просит сообщить персональную или конфиденциальную информацию, риск утечки информации будет сведен к минимуму. Использование АОН также может пригодиться для этой цели.

Реализуйте программу обучения пользователей в области безопасности

Хотя предоставление своего пароля постороннему может показаться глупым для читателей данной книги, многие компьютерные пользователи не увидят в этом ничего плохого. Компании тратят огромные суммы, закупая самое современное оборудование и программы, но необходимость обучать пользователей игнорируется. Компьютерные профессионалы должны понимать: то, что для них естественно, может быть неизвестно остальным. Хорошая программа обучения пользователей может быть реализована с минимальными затратами и сохранить компании миллионы.

Назначьте ответственных за техническую поддержку

Каждый сотрудник компании обязан лично познакомиться с ответственным за техническую поддержку и обращаться исключительно к нему. При этом на 60 пользователей достаточно одного ответственного. Пользователи должны немедленно связываться с аналитиком, если к ним обращается некто, заявляющий, что он сотрудник службы технической поддержки.

Создайте систему оповещения об угрозах

Атакующие знают, что, даже если их обнаружат, у служащего нет возможности предупредить других сотрудников об атаках. В результате атака может быть продолжена с минимальными изменениями и после компрометации. По существу, компрометация только улучшит атаку, так как атакующие узнают, что именно не срабатывает.

Социальная инженерия для проверки политики безопасности

Социальная инженерия является единственным подходящим методом проверки эффективности политики безопасности. Хотя многие тесты проверяют физические и электронные уязвимые места, но лишь некоторые анализы безопасности исследуют бреши, создаваемые людьми. Следует, однако, отметить, что тесты такого типа должны проводить только квалифицированные и надежные люди.

Методы социальной инженерии, применяемые злоумышленником, представляют серьезную угрозу информационной безопасности для любой организации. Нужно создать и разработать различные варианты политики безопасности, определить правила корректного использования телефонов, компьютеров и т. д. Необходимо учитывать и неосведомленность в области безопасности, так как любые средства технического контроля (независимо от их эффективности) могут быть использованы людьми ненадлежащим образом. В итоге тестирование системы безопасности должно обеспечить вам защиту от проникновения.

Таким образом, мы рассмотрели основные категории информационной безопасности, которыми должен владеть руководитель подразделения, отдела, учреждения и. т.п. для постановки задачи по защите информации.

Контрольные вопросы

Сформулируйте личностные характеристики хакера.
Что понимается под «безопасностью информации», а что определяет термин «защита информации»?
Дайте определение политики безопасности?
На каких уровнях управления организацией разрабатывается политика безопасности?
Укажите виды планирования мероприятий безопасности.
Укажите классы мероприятий защиты по времени проведения.
Для каких целей строится модель нарушителя?
Перечислите основные типы конфликтов в информационной сфере.
Назовите самое простое средство реализации задач социальной инженерии.
Какие категории пользователей могут нанести максимальный вред информационной системе?

Глава 2. Нормативно-правовое обеспечение информационной безопасности в РФ

Поскольку тому, кому отказывают в праве применять нужные средства, бесполезно и право стремиться к цели, то из этого следует, что раз всякий имеет право на самосохранение, то всякий имеет право применить все средства и совершить всякое деяние, без коих он не в состоянии охранить себя.

Томас Гоббс, «О гражданине»

2.1. Правовой режим информации. Информационно-правовые нормы Конституции РФ

Современный этап развития общества полностью зависит от информационных ресурсов и технологий, их качества и безопасности и характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информационных ресурсов, информационной инфраструктуры, систем формирования, распространения, использования информации и регулирования возникающих при этом отношений.

При этом существенно возрастает общественная значимость информационных отношений. Информация все в большей степени становится товаром, от наличия и сохранности которого зависит благополучие как отдельных граждан и организаций, так и общества в целом. Отсюда неизбежно возникает проблема обеспечения информационной безопасности с целью предотвращения хищения или искажения информации, блокирования процесса ее получения, противодействия попыткам внедрения ложной информации. При этом необходимо учитывать то, что информация является весьма специфическим продуктом, который может существовать в материализованном и в нематериализованном (нефиксированном) виде. Для защиты такого продукта необходимо наличие целого комплекса правовых норм, которые определили бы правовой режим информации.

В самом общем виде «правовой режим информации» следует понимать как совокупность нормативно установленных правил, определяющих:

права собственности, владения и распоряжения информацией;
степень открытости информации (необходимость или возможность ее отнесения к категории ограниченного доступа);
порядок отнесения информации к категории ограниченного доступа и перечень уполномоченных на это лиц;
порядок документирования, доступа, хранения, контроля и распространения информации;
нормы, регулирующие применение различных средств и методов обеспечения информационной безопасности;
порядок привлечения к ответственности и меры наказания за нарушение установленных норм и правил в области информационных отношений.

С точки зрения реализации указанных правил и рассмотрена данная тема.

Комплексное изучение установленных норм и правил в конкретной прикладной области всегда является обязательным элементом культуры работающего в этой области специалиста.

В целом проблема обеспечения информационной безопасности в достаточной степени противоречива. С одной стороны, в соответствии со ст.29 Конституции РФ, «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом». С другой стороны ст.23 Конституции РФ провозглашает права граждан на «неприкосновенность частной жизни, личную и семейную тайну».

Все многообразие нормативных актов, затрагивающих вопросы обеспечения информационной безопасности, может быть классифицировано по группам регламентируемых ими вопросов. При этом можно выделить законодательные нормы, которые определяют:

разделение информации на категории открытого и ограниченного доступа, причем информация ограниченного доступа по условиям ее правового режима подразделяется на отнесенную к государственной тайне и конфиденциальную, включающую в себя служебную и коммерческую тайну;
правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб собственнику этой информации;
организацию работ по защите информации, структуру и основные функции государственной системы защиты информации (ГСЗИ), государственные органы управления в области информационной безопасности, их права и обязанности;
государственное лицензирование деятельности в области защиты информации;
обязательность и порядок сертификации технических и программных средств, применяемых в информационных объектах для обработки защищаемой информации;
обязательность и порядок аттестации информационных объектов, обрабатывающих информацию с ограниченным доступом;
необходимость и порядок создания специальных служб, обеспечивающих защиту информации с ограниченным доступом на информационных объектах;
порядок контроля защищенности информации с принятием мер по приостановке обработки информации в случае невыполнения требований по защите информации;
права и ответственность должностных лиц за охрану, и защиту информации;
ответственность за противоправные действия в области информационных отношений.

Данная классификация определяет группы вопросов, требующих нормативного регулирования в области информационных отношений. Однако дать четкую привязку отдельных законодательных актов к конкретным группам вопросов достаточно сложно, так как большинство законов содержат правовые нормы для решения различных групп вопросов. В соответствии с Положением о государственной системе защиты информации в Российской Федерации, утвержденным постановлением Правительства РФ от 15 сентября 1993 года № 912-51, эту систему образуют:

Государственная техническая комиссия России и ее центральный аппарат;
инженерно-технические воинские формирования при Гостехкомиссии России, в составе научной организации по проблемам технической защиты информации и региональных центров технической защиты информации (на территории России насчитывается 7 таких центров, находящихся в Москве, Санкт-Петербурге, Хабаровске, Новосибирске, Екатеринбурге, Волгограде и Астрахани);
Федеральная служба безопасности, Министерство внутренних дел Российской Федерации, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Служба внешней разведки Российской Федерации и их структурные подразделения по защите информации;
структурные и межотраслевые подразделения по защите информации органов государственной власти;
головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские организации по защите информации органов государственной власти;
предприятия, проводящие работу по оборонной тематике и другие работы с использованием сведений, отнесенных к государственной тайне, их подразделения по защите информации;
органы по аттестации объектов информатизации по требованиям безопасности информации, испытательные центры (лаборатории), органы по сертификации, лицензионные центры;
высшие учебные заведения и курсы повышения квалификации по подготовке и переподготовке кадров в области защиты информации.

Гостехкомиссия России является федеральным органом исполнительной власти, возглавляющим созданную в стране государственную систему защиты информации (ГСЗИ).

В соответствии с Положением о Государственной технической комиссии при Президенте Российской Федерации, утвержденным Указом Президента Российской Федерации от 19 февраля 1999 года № 212, повышен статус Гостехкомиссии России и существенно расширены ее полномочия. Теперь Гостехкомиссия России осуществляет межотраслевую координацию и функциональное регулирование деятельности субъектов ГСЗИ по обеспечению технической защиты информации, содержащей сведения, составляющие государственную и служебную тайну.

Еще более возросла роль Гостехкомиссии России в ГСЗИ в связи с принятием Указа Президента Российской Федерации от 29 ноября 1999 года № 1567 «О государственной системе противодействия иностранным техническим разведкам и технической защиты информации». Основная направленность указа - совершенствование системы защиты сведений, составляющих государственную и служебную тайну, в интересах обеспечения обороны и безопасности Российской Федерации.

Неотъемлемой составной частью мероприятий по защите информации является технический контроль с применением соответствующих средств в целях проверки и оценки достаточности и эффективности мероприятий по защите информации от утечки по техническим каналам.

Для достижения указанной цели решаются следующие задачи технического контроля:

оценка достаточности и эффективности организационных и технических мероприятий по защите информации от утечки по техническим каналам;
проверка эффективности защиты информации от утечки по отдельным физическим полям и соответствующим типам аппаратуры съема и перехвата информационных сигналов;
определение зон возможного перехвата информации техническими средствами и др.

Этот контроль осуществляется Инспекцией Гостехкомиссии России.

Круг обязанностей 3-го управления (Инспекции) Гостехкомиссии России определяется ее предназначением и теми задачами, которые она решает в интересах обеспечения информационной безопасности. Являясь структурным подразделением центрального аппарата Гостехкомиссии России, Инспекция в силу предоставленных ей полномочий организует и осуществляет контроль за проведением мероприятий по технической защите (некриптографическими методами) информации, содержащей сведения, составляющие государственную и служебную тайну, от ее утечки по техническим каналам, несанкционированного доступа к ней, от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования и по противодействию техническим средствам разведки на территории Российской Федерации.

Основными задачами 3-го управления (Инспекции) являются:

контроль в пределах своих полномочий деятельности по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти (в Минобороны России, СВР России, ФСБ России, ФСО России, ФПС России, ФАПСИ и ГУСП – по согласованию с руководителями указанных органов), органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и организациях независимо от их организационно-правовой формы и формы собственности (далее – предприятия);
разработка для представления в Правительство Российской Федерации согласованных с заинтересованными федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации предложений по внесению изменений и дополнений в Перечень территорий Российской Федерации с регламентированным посещением для иностранных граждан;
участие совместно с ФСБ России в проведении специальных экспертиз по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну,
осуществление повседневного организационного, оперативного, методического и технического руководства работой региональных центров Гостехкомиссии России по выполнению поставленных перед ними задач.

Результаты инспекционных проверок, в процессе которых оценивается состояние организации работ по защите информации, а также проводится (с применением технических средств) контроль эффективности принимаемых на государственных и промышленных объектах мер защиты, позволяют иметь своевременную и объективную информацию о реальном состоянии информационной безопасности как в отдельных министерствах и ведомствах, так и в стране в целом.

Эта информация ложится в основу материалов, рассматриваемых на заседаниях и совещаниях коллегии Гостехкомиссии России и способствует принятию необходимых решений. Кроме того, эта информация используется при проведении центральным аппаратом Гостехкомиссии России работ по совершенствованию нормативно-методического и технического обеспечения деятельности органов государственной власти, предприятий и организаций по защите информации.

Немаловажным с точки зрения обеспечения единого подхода к проведению инспекционного контроля является осуществление организационного, оперативного, методического и технического руководства работой региональных центров Гостехкомиссии России.

2.2. Законы РФ и правовые акты о защите информации

Правовое обеспечение информационной безопасности охватывает (должно охватывать) все многообразие юридических вопросов, возникающих в этой области и, следовательно, находит свое отражение в целом комплексе законодательных актов.

Для обеспечения юридической базы безопасности данных в ряде стран приняты соответствующие законы. Так, в США в 1974 г. появился Закон о секретности, определяющий правила хранения данных. В дополнение к нему приняты следующие законы:

Закон о тайне финансовых операций (1978 г.), ограничивающий доступ к банковским операциям, в том числе и для государственных организаций;

Закон о хранении информации (1978 г.) требующий уведомления пользователей о получении третьей стороной доступа к их записям;

Закон об электронной связи (1986 г.) который запрещает перехват данных, передаваемых через коммуникационную сеть.

Большинство европейских стран, а также Канада и Япония приняли законы о защите информации. В России разработано значительное количество законов и нормативных актов, касающихся вопросов безопасности информации.

В Концепции национальной безопасности Российской Федерации определены важнейшие задачи в информационной сфере, в том числе и в правовой области:

установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;
разработка нормативной правовой базы и координация деятельности федеральных органов государственной власти и других органов, решающих задачи обеспечения информационной безопасности при ведущей роли Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

Непосредственно законодательство России в области информатизации начало формироваться с 1991 года. К наиболее важным следует отнести следующие законы. Это закон «О средствах массовой информации» (27.12.91 г. № 2124-I), Патентный закон РФ (от 23.09.92 г. № 3517-I), закон «О правовой охране топологий интегральных микросхем» (от 23.09.92 г. № 3526-I), закон «О правовой охране программ для электронных вычислительных машин и баз данных» (от 23.09.92 г. № 3523-I), Основы законодательства об Архивном фонде РФ и архивах (от 7.07.93 г. № 5341-I), закон «Об авторском праве и смежных правах» (от 9.07.93 г. № 5351-I), закон «О государственной тайне» (от 21.07.93 г. № 5485-I), закон «Об обязательном экземпляре документов» (от 29.12.94 г. № 77-ФЗ), закон «О связи» (от 16.02.95 г. № 15-ФЗ), закон «Об информации, информатизации и защите информации» (от 20.02.95 г. № 24-ФЗ), закон «Об участии в международном информационном обмене» (от 5.06.1996 г. № 85-ФЗ), закон «Об электронной цифровой подписи» (2002 г.)

В данных законах определяются основные термины и понятия в области компьютерной информации (например, такие как компьютерная информация, программа для ЭВМ, ЭВМ (компьютер), сеть ЭВМ, база данных), регулируются вопросы ее распространения, охраны авторских прав, имущественные и неимущественные отношения, возникающие в связи с созданием, правовой охраной и использованием программного обеспечения и новых информационных технологий. Также осуществлено законодательное раскрытие понятий информационной безопасности и международного информационного обмена.

Следует также упомянуть Указы Президента РФ, которые касаются, прежде всего, вопросов формирования государственной политики в сфере информатизации, (включая организационные механизмы), создания системы правовой информации и информационно-правового сотрудничества с государствами СНГ, обеспечения информацией органов государственной власти, мер по защите информации (в частности, шифрования).

Основополагающим понятием в области правового обеспечения является информация. Закон РФ «Об информации, информатизации и защите информации» определяет понятие информация как «сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления». При решении организационно-правовых вопросов обеспечения информационной безопасности исходят из того, что информация подпадает под нормы вещного права, что дает возможность применять к информации нормы Уголовного и Гражданского права в полном объеме. Впервые в правовой практике России информация как объект права была определена в ст. 128, ч. 1, принятого в ноябре 1994 г. ГК РФ, где говориться: «К объектам гражданских прав относятся …информация; результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность)…». Данная статья дает возможность квалифицировать посягательства на сохранность и целостность информации, как преступления против собственности. Законом об информации также определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как материальное имущество собственника (ст.4.1,ст.6.1.). При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним (ст.6.7).

Все многообразие нормативных актов, затрагивающих вопросы обеспечения информационной безопасности, рассмотрим по группам регламентируемых ими вопросов.

Права собственности, владения и распоряжения информацией

Для обеспечения четкой правовой базы применения к информации норм вещного права в Законе «Об информации…» (ст. 5,ч.1) вводится понятие «документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать». Разрешение различных конфликтов в области информационных отношений на базе действующего законодательства возможно только для документированной информации.

В ст. 2 Закона «Об информации…» определены три главных понятия имущественных прав в информационной области:

собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами;
владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения – субъект, осуществляющий владение и пользование объектами и реализующий полномочия распоряжения в пределах, установленных Законом;
пользователь (потребитель) информации – субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

С правом собственности, владения и распоряжения информацией тесно связано понятие авторского права и сопутствующее этому понятию нарушение в форме «пиратства». Понятие авторского права впервые сформулировано и закреплено законом в Великобритании в 1709 году, когда английский парламент принимает Статут королевы Анны. В нем изложены основные принципы авторского права, не устаревшие до настоящего времени. В 1787 году, вскоре после провозглашения независимости, американская Конституция наделяет Конгресс властью «содействовать прогрессу науки и полезных ремесел, гарантируя на определенное время авторам и изобретателям исключительное право на их произведения. Программное обеспечение пополнило список объектов интеллектуальной собственности, и еще в 1964 г. США признали необходимым регистрировать его наравне с литературными произведениями в соответствии с Законом об Авторском праве. В 1980 г. Закон уже явно защищает компьютерные программы от любых форм самовольного использования, а в декабре 1990 г. Конгресс США вынужден ужесточить меры наказания за нарушения авторского права создателей программного обеспечения. Запрещается дублирование программного обеспечения для прибыли, перекачивание копий с сети или «бескорыстное» предоставление неправомочной копии другому индивидууму (единственное исключение - право пользователя на одну резервную архивную копию). Названные действия квалифицируются в США как федеральное преступление, подлежащее наказанию значительным штрафом и сроком тюремного заключения.

С 1993 г. не менее 45 стран пересматривали законодательство об авторском праве, повышая уголовную ответственность за нарушения и предоставляя соответствующие полномочия суду и исполнительным органам. Специально созданный союз BSA (Business Software Alliance) представляет интересы почти 20 компаний-производителей ПО: способствует продвижению продукции ПО на мировом рынке и координирует свои действия по защите авторского права в международном масштабе.

В 1988 г. США принимают решительные меры по защите своей ИС в других странах: Комиссия по торговле следит за соблюдением закона и готовит перечень из трех списков: страны, где допускаются самые грубые нарушения (именно в этом списке находим Россию, Китай, Южную Корею); страны, где возможны нарушения; страны, где достаточно простого наблюдения. В отношении стран, фигурирующих в первом списке, США могут применять различные санкции (увеличение пошлин, отмена льгот и т. п.), вынуждая совершенствовать национальную систему охраны интеллектуальной собственности, и не только чужой, но и отечественной.

В ежегодном обзоре BSA по результатам 1999 г. фигурирует рекордное число стран (77), уличенных в незаконном копировании программного обеспечения. Ущерб, нанесенный производителям программного обеспечения, составил в сумме более 15,2 млрд. долларов, считая убытки разработчиков, дистрибьюторов и продавцов, в том числе:

европейские страны ответственны за 6 млрд. долларов (39% общемировых потерь) со средним уровнем пиратства около 58%;
общие потери в Азии превысили 4,3 млрд. долларов (29% общемирового количества) со средним уровнем пиратства 68%;
в странах Латинской Америки ущерб составил 1,3 млрд. долларов (9% общемирового количества) со средним региональным уровнем пиратства 78%;
страны Ближнего Востока и Африки дают самый высокий средний показатель пиратства программного обеспечения, равный 81%, а долларовые потери в этом регионе около 392 млн. долларов, всего 2% от общемирового количества.

Наиболее значительный ущерб от «пиратства» (43%) понесли в основном три страны - США (более 2,8 млрд. долларов), Япония (больше 2 млрд. долларов) и Германия (больше 1,8 млрд. долларов).

Первый российский закон об авторском праве принят в начале XIX века, затем указом Николая I в середине века был увеличен срок охраны авторского права до 50 лет после смерти автора. Появление этого указа связывают с ходатайством вдовы А.С. Пушкина Натальи Николаевны.

Восстановление института авторского права в России, начиная с 1992 года, знаменовалось принятием ряда известных законов, унифицированных с аналогичными законами европейских стран (ЕЭС), США и Японии, что позволило России в 1994 - 1995 г.г. присоединиться к важным международным соглашениям в этой области - Бернской Конвенции и Римской Конвенции.

Степень открытости информации (необходимость или возможность ее отнесения к категории ограниченного доступа); правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб собственнику этой информации

«Закон об информации…» гласит:

документированная информация ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к ГОСУДАРСТВЕННОЙ ТАЙНЕ, и КОНФИДЕНЦИАЛЬНУЮ (ст.10, ч. 2).
конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (ст. 2);
ПЕРСОНАЛЬНЫЕ ДАННЫЕ о гражданах, включаемые в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации (ст. 11, ч. 1);
не допускаются сбор, хранение, использование и распространение информации о ЧАСТНОЙ ЖИЗНИ, а равно информации, нарушающей ЛИЧНУЮ ТАЙНУ, СЕМЕЙНУЮ ТАЙНУ, ТАЙНУ ПЕРЕПИСКИ, ТЕЛЕФОННЫХ ПЕРЕГОВОРОВ, ПОЧТОВЫХ, ТЕЛЕГРАФНЫХ и иных сообщений, физического лица без его согласия, кроме как на основании судебного решения (ст. 11, ч. 1).

Порядок отнесения информации к категории ограниченного доступа

Отнесение информации к категориям осуществляется:

к государственной тайне - в соответствии с Законом Российской Федерации «О государственной тайне»; принятым в июле 1993 года, которым установлено три степени секретности сведений: «ОСОБОЙ ВАЖНОСТИ», «СОВЕРШЕННО СЕКРЕТНО» и «СЕКРЕТНО».
к конфиденциальной информации - в порядке, установленном Гражданским кодексом Российской Федерации, введенным в действие с 1995 года, которым предусмотрена категория «СЛУЖЕБНАЯ ТАЙНА» в сочетании с категорией «КОММЕРЧЕСКАЯ ТАЙНА».

Статья 139 Кодекса гласит: информация составляет СЛУЖЕБНУЮ или КОММЕРЧЕСКУЮ ТАЙНУ в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могу составлять СЛУЖЕБНУЮ или КОММЕРЧЕСКУЮ ТАЙНУ, определяются законом и иными правовыми актами.

Коммерческая тайна - управленческая, производственная, научно-техническая, финансовая, экономическая, торговая и иная документированная информация, используемая для достижения целей предпринимательской деятельности (получение прибыли, предотвращение ущерба и упущенной выгоды, получение добросовестного преимущества над конкурентами), которую предприниматель относит к конфиденциальной.

Конфиденциальная информация - документированная информация, правовой режим которой установлен специальными нормами действующего законодательства в области государственной, коммерческой, промышленной и другой общественной деятельности.

Указом Президента Российской Федерации от 6 марта 1997 года № 188 утвержден перечень сведений конфиденциального характера:

Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Сведения, составляющие тайну следствия и судопроизводства.

Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Право на коммерческую тайну не может быть использовано для сокрытия правонарушений и нанесения или создания условий для нанесения ущерба путем недобросовестной конкуренции законным интересам граждан, государства, других юридических лиц.

Органы государственной власти, а также органы местного самоуправления, не вправе вмешиваться в определение и охрану коммерческой тайны, за исключением случаев, предусмотренных законодательством Российской Федерации, и в пределах своих полномочий.

Принципиальным является положение о том, что режим защиты конфиденциальной информации определяет ее собственник, то есть соответствующий орган государственной власти или управления, организация, учреждение, предприятие либо гражданин. Для сведений, составляющих коммерческую тайну, устанавливаются следующие грифы конфиденциальности: «Коммерческая тайна. Строго конфиденциально» и «Коммерческая тайна. Конфиденциально».

Организация охраны коммерческой тайны включает в себя:

определение перечня должностных лиц, уполномоченных относить информацию к коммерческой тайне;
установление правил отнесения информации к коммерческой тайне, постановки и снятия грифа конфиденциальности (при этом запрещается использовать для маркировки носителей коммерческой тайны грифы секретности, установленные для государственной тайны Российской Федерации, а также гриф «Для служебного пользования»);
разработку и доведение до лиц, допущенных к сведениям, составляющим коммерческую тайну, инструкций по соблюдению режима конфиденциальности;
ограничение доступа к носителям информации, содержащим коммерческую тайну;
ведение специального делопроизводства, обеспечивающего выделение и сохранность носителей, содержащих коммерческую тайну;
использование правовых, организационных, технических и иных средств защиты конфиденциальной информации;
осуществление контроля за соблюдением установленного режима конфиденциальности.

Субъект предпринимательской деятельности имеет право на судебную защиту от незаконного получения, владения и использования другими физическими и юридическими лицами, сведений, составляющих коммерческую тайну, если:

данная информация имеет действительную или потенциальную коммерческую ценность в силу ее потребительской стоимости, коммерческого спроса и неизвестности третьим лицам;
к этой информации на законном основании ограничен свободный доступ других физических и юридических лиц;
составляющие коммерческую тайну сведения представлены в форме документированной информации;
к определению и охране данной информации приняты меры, предусмотренные соответствующими нормативными и законодательными документами.

Под категорией «служебная тайна» (по аналогии с коммерческой тайной в негосударственных структурах) понимается служебная информация в государственных структурах, имеющая коммерческую ценность. В отличие от коммерческой тайны (в коммерческих структурах) защищаемая государством конфиденциальная информация не ограничивается только коммерческой ценностью, поэтому служебная тайна является составной частью конфиденциальной информации.

Работа по определению сведений, составляющих коммерческую тайну, существенно облегчается, если воспользоваться Постановлением Правительства РСФСР от 5.12.91 № 35 «О перечне сведений, которые не могут составлять коммерческую тайну».

Коммерческую тайну не могут составлять:

сведения из учредительных документов (решение о создании предприятия или договор учредителей) и сведения из Устава;
сведения из документов, дающих право заниматься предпринимательской деятельностью (из регистрационных удостоверений, лицензий, патентов);
сведения по установленным формам отчетности о финансово-хозяйственной деятельности; сведения о ликвидности предприятия; сведения об уплате налогов и обязательных платежей;
сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, не соблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства Российской Федерации и размерах причиненного при этом ущерба;
сведения о численности, составе работающих, фонде заработной платы и условиях труда, а также о наличии свободных рабочих мест.

Коммерческую тайну государственных и муниципальных предприятий до и в процессе их приватизации не могут составлять сведения:

о размерах имущества предприятия и его денежных средствах;
о вложении средств в доходные активы (ценные бумаги) других предприятий, в процентные облигации и займы, в уставные фонды совместных предприятий;
о кредитных, торговых и иных обязательствах предприятия, вытекающих из законодательства Российской Федерации и заключенных им договоров;
о договорах с кооперативами, иными негосударственными предприятиями, творческими и временными трудовыми коллективами, а также отдельными гражданами.

Федеральные органы исполнительной власти, органы исполнительной власти субъектов Федерации, правоохранительные и судебные органы вправе в пределах своих полномочий и в соответствии с законодательством Российской Федерации получать от субъектов предпринимательской деятельности сведения, составляющие коммерческую тайну.

Государственные органы и их должностные лица обязаны соблюдать режим конфиденциальности предоставленных в их распоряжение сведений, составляющих коммерческую тайну.

В государственных структурах еще может быть информация, имеющая политическую или иную ценность. Поскольку к служебной тайне она не относится, ей необходимо присваивать гриф «конфиденциально» или иной гриф (к примеру, «для служебного пользования», применяемый в органах исполнительной власти и установленный постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233).

За разглашение служебной тайны уголовная ответственность новым Уголовным кодексом РФ не предусмотрена, в отличие от коммерческой тайны (статья 183). Ст. 21,ч.3 «Закона об информации» предусмотрен контроль со стороны органов государственной власти за соблюдением требований к защите информации с ограниченным доступом, порядок которого определяет Правительство Российской Федерации. При этом контроль за состоянием защиты должен охватывать как государственные, так и негосударственные структуры и учитывать все три составляющие информационных ресурсов с ограниченным доступом:

информацию, составляющую государственную тайну;
конфиденциальную документированную информацию;
персональные данные.

Полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты определены в Законе «О государственной тайне».

В Законе определен перечень сведений, составляющих государственную тайну, принципы отнесения сведений к государственной тайне и засекречивания самих сведений, а так же их носителей, порядок рассекречивания сведений и их носителей, порядок доступа должностных лиц и граждан к государственной тайне. Установлены степени секретности сведений, составляющих государственную тайну.

Организация работ по защите информации, структура и основные функции государственной системы защиты информации (ГСЗИ), государственные органы управления в области информационной безопасности, их права и обязанности

Законом «Об информации…» определены органы защиты государственной тайны:

межведомственная комиссия по защите государственной тайны;
органы федеральной исполнительной власти (Федеральная служба безопасности Российской Федерации, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации), Служба внешней разведки Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации и их органы на местах;
органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

Межведомственная комиссия по защите государственной тайны (далее именуется - Межведомственная комиссия) образована в соответствии с Законом Российской Федерации «О государственной тайне» и Указом Президента Российской Федерации от 8 ноября 1995 г. № 1108 «О Межведомственной комиссии по защите государственной тайны».

Межведомственная комиссия - коллегиальный орган, основной функцией которого является координация деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации (далее именуются – органы государственной власти) по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию федерального законодательства о государственной тайне.

Среди органов государственного управления, курирующих решение вопросов в части обработки и защиты информации особое место занимает созданная Указом Президента РФ от 05.01.92г. Государственная техническая комиссия при Президенте РФ. На Гостехкомиссию России возложены следующие обязанности:

проведение единой технической политики и координация работ по защите информации;
организация и контроль за проведением работ по защите информации в органах государственного управления, объединениях, концернах, на предприятиях, в организациях и учреждениях (независимо от форм собственности) от утечки по техническим каналам, от несанкционированного доступа к информации, обрабатываемой техническими средствами, и от специальных воздействий на информацию с целью ее разрушения, уничтожения и искажения.

Государственное лицензирование деятельности в области защиты информации; порядок сертификации технических и программных средств, применяемых в информационных объектах для обработки защищаемой информации; порядок аттестации информационных объектов, обрабатывающих информацию с ограниченным доступом

Обязанности по определению порядка и осуществлению лицензирования и сертификации закрытых систем и комплексов телекоммуникаций, а так же по осуществлению лицензирования деятельности по выявлению электронных устройств перехвата информации в соответствии с Законом «О Федеральных органах правительственной связи и информации» возложены на федеральные органы правительственной связи и информации.

Порядок лицензирования средств защиты информации определяется Постановлениями Правительства РФ:

№1418 «О лицензировании отдельных видов деятельности»,
№333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»,
№770 «Об утверждении положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в РФ и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности»,
рядом документов Гостехкомиссии России.

Вопросы сертификации систем информационной безопасности определяются Постановлением Правительства №608 «О сертификации средств защиты информации», а так же требованиями Законов «О сертификации продуктов и услуг» и «О защите прав потребителей». Кроме того, необходимо использовать руководящие документы Гостехкомиссии России.

В случае использования не сертифицированных информационных систем и средств их обеспечения риск, в соответствии с 3 частью статьи 22 «Закона об информации…», лежит на собственнике (владельце) этих средств. Риск, связанный с использованием информации, полученной из не сертифицированной системы, лежит на потребителе информации.

Порядок создания специальных служб, обеспечивающих защиту информации с ограниченным доступом на информационных объектах; порядок контроля защищенности информации с принятием мер по приостановке обработки информации в случае невыполнения требований по защите информации

Для организаций, обрабатывающих информацию с ограниченным доступом, которая является собственностью государства, «Законом об информации» установлено требование создания специальной службы, обеспечивающей защиту информации (ст. 21, ч. 4).

В соответствии со ст. 21, ч.5 «Закона об информации» собственник информации имеет право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Часть 6 этой же статьи гласит, что собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки выполнения правильности норм и требований по защите его информации в информационных системах.

Права и ответственность должностных лиц за охрану и защиту информации; порядок привлечения к ответственности и меры наказания за нарушение установленных норм и правил в области информационных отношений

Права и ответственность граждан и должностных лиц за охрану и защиту информации регламентируется Законами, регулирующими порядок использования и защиты информации соответствующего права собственности и степени конфиденциальности или секретности. Меры ответственности за противоправные действия в области информационных отношений назначаются в соответствии с «Уголовным кодексом», «Кодексом РСФСР об административных правонарушениях» и рядом других законодательных актов.

Как было отмечено выше, стандарты в области разработки и применения средств компьютерной безопасности разрабатывает Гостехкомиссия РФ. Стандарты – это особый вид нормативных документов, однозначно определяющие правила реализации средств защиты. Стандарты Гостехкомиссии РФ называются Руководящими документами Государственной технической комиссии. В связи с их особой значимостью рассмотрим их более подробно.

2.3. Нормативные документы по защите информации

Все разработанные Гостехкомиссией России при Президенте РФ документы обязательны для исполнения только в государственном секторе. Для коммерческих структур они носят рекомендательно-консультативный характер.

Ниже приводятся основные Руководящие документы Гостехкомиссии России.

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа (НСД) к информации

В этом документе излагается система взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации. Содержанием документа является определение НСД, основные принципы защиты от НСД, модель нарушителя в автоматизированной системе, основные способы НСД, направления обеспечения защиты от НСД, основные характеристики технических средств защиты от НСД, классификация АС и организация работ по защите информации от НСД.

Защита от несанкционированного доступа. Термины и определения

Этот документ устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Установленные термины обязательны для применения во всех видах документации. Для каждого понятия установлен один термин. Применение терминов-синонимов не допускается. В качестве справочных приведены иностранные эквиваленты русских терминов на английском языке.

Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации

Этот руководящий документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от НСД к информации (7 классов защищенности) на базе перечня показателей защищенности и совокупности описывающих их требований.

Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификацию автоматизированных систем и требования по защите информации

Документ устанавливает классификацию автоматизированных систем (АС), подлежащих защите от НСД к информации, и требования по защите информации в АС различных классов (9 классов). Руководящий документ разработан в дополнение ГОСТ 34.003-90, ГОСТ 34.601-90, РД 50-680-88, РД 50-34 680-90 и других документов. Документ может использоваться как нормативно-методический материал для заказчиков и разработчиков АС при формулировании и реализации требований по защите.

Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники

Настоящее положение устанавливает единый на территории Российской Федерации порядок исследований и разработок в области:

защиты информации, обрабатываемой автоматизированными системами различного уровня и назначения, от НСД;
создания средств вычислительной техники общего и специального назначения, защищенных от утечки, искажения или уничтожения информации за счет НСД, в том числе программных и технических средств защиты информации от НСД;
создания программных и технических средств защиты информации от НСД в составе систем защиты секретной информации в создаваемых АС.

Положение определяет:

организационную структуру и порядок проведения работ по защите информации от НСД и взаимодействия при этом на государственном уровне;
систему государственных нормативных актов, стандартов, руководящих документов и требований по этой проблеме;
порядок разработки и приемки защищенных СВТ, в том числе программных и технических (в частности, криптографических) средств и систем защиты информации от НСД;
порядок приемки указанных средств и систем перед сдачей в эксплуатацию в составе АС, порядок их эксплуатации и контроля за работоспособностью этих средств и систем в процессе эксплуатации.

Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации

Настоящий руководящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Руководящий документ разработан в дополнение к Руководящим документам Гостехкомиссии России « Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификацию автоматизированных систем и требования по защите информации «.

Защита информации. Специальные защитные знаки. Классификация и общие требования

Настоящий руководящий документ устанавливает классификацию по классам защиты специальных защитных знаков, предназначенных для контроля доступа к объектам защиты, а также для защиты документов от подделки. Документ является руководством для заказчиков специальных защитных знаков и испытательных лабораторий, проводящих сертификационные испытания в Системе сертификации средств защиты по требованиям безопасности информации.

Защита от несанкционированного доступа к информации

Настоящий документ устанавливает классификацию программного обеспечения (как отечественного, так и импортного производства) средств защиты информации, в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей. Действие документа не распространяется на программное обеспечение средств криптографической защиты информации.

Кроме перечисленных разработана еще целая группа документов, посвященных вопросам лицензирования и сертификации средств защиты информации.

Положение о государственном лицензировании деятельности в области защиты информации

Документ устанавливает основные принципы, организационную структуру системы лицензирования деятельности предприятий в сфере оказания услуг в области защиты информации, а также правила осуществления лицензирования и надзора за деятельностью предприятий, получивших лицензию.

Положение о сертификации средств защиты информации

Настоящее Положение устанавливает порядок сертификации средств защиты информации, составляющей государственную тайну, в Российской Федерации.

В развитие этого положения разработан целый ряд дополнительных, таких как, Положение о сертификации средств защиты информации по требованиям безопасности информации, Положение по аттестации объектов информатики по требованиям безопасности информации, Положение об аккредитации испытательных лабораторий экспертных комитетов по сертификации средств защиты информации по требованиям безопасности информации и ряд других.

Задача каждого, кто каким-то образом «причастен» к решению проблем обеспечения безопасности информации, знать Руководящие документы Гостехкомиссии, выполнять их требования и следить за появлением новых.

Контрольные вопросы

Что следует понимать под «правовым режимом информации»?
Как Конституция РФ определяет права граждан на доступ к информации?
Какие задачи решает Государственная техническая комиссия РФ при Президенте РФ?
Назовите несколько наиболее важных законов, регламентирующих информационные отношения в обществе.
Поясните разницу между собственником, владельцем и пользователем информации.
Перечислите органы защиты государственной тайны.
Какая информация, по закону, не может быть закрытой.
Перечислите основные нормативные документы по защите информации.
Укажите категории информации ограниченного доступа.
Поясните смысл категории «коммерческая тайна».

Глава 3. Организация противодействия компьютерной преступности

Тому, кто забудет о безопасности, читайте о гибели великих народов.

Древнеиндийский трактат АГНИ-ИОГА

3.1. Угрозы информационной безопасности и методы их реализации

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. В дальнейшем изложении угрозой информационной безопасности АС (автоматизированной системы) будем называть возможность реализации воздействия на информацию, обрабатываемую в АС, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также возможность воздействия на компоненты АС, приводящего к утрате, уничтожению или сбою функционирования носителя информации, средства взаимодействия с носителем или средства его управления.

В настоящее время рассматривается достаточно обширный перечень угроз информационной безопасности АС, насчитывающий сотни пунктов. Наиболее характерные и часто реализуемые из них перечислены ниже:

несанкционированное копирование носителей информации;
неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;
игнорирование организационных ограничений (установленных правил) при определении ранга системы.

Задание возможных угроз информационной безопасности проводится с целью определения полного перечня требований к разрабатываемой системе защиты. Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для анализа риска реализации угроз и формулирования требований к системе защиты АС. Кроме выявления возможных угроз должен быть проведен анализ этих угроз на основе их классификации по ряду признаков. Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты. При этом угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование.

Необходимость классификации угроз информационной безопасности АС обусловлена тем, что архитектура современных средств автоматизированной обработки информации, организационное, структурное и функциональное построение информационно-вычислительных систем и сетей, технологии и условия автоматизированной обработки информации такие, что накапливаемая, хранимая и обрабатываемая информация подвержена случайным влияниям чрезвычайно большого числа факторов, в силу чего становится невозможным формализовать задачу описания полного множества угроз. Как следствие, для защищаемой системы определяют не полный перечень угроз, а перечень классов угроз.

Классификация всех возможных угроз информационной безопасности АС может быть проведена по ряду базовых признаков.

1. По природе возникновения.

Естественные угрозы-угрозы, вызванные воздействиями на АС и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы-угрозы информационной безопасности АС, вызванные деятельностью человека.

2. По степени преднамеренности проявления.

Угрозы случайного действия и/или угрозы, вызванные ошибками или халатностью персонала. Например: проявление ошибок программно-аппаратных средств АС; некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности; неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.); неправомерное включение оборудования или изменение режимов работы устройств и программ; неумышленная порча носителей информации; пересылка данных по ошибочному адресу абонента (устройства); ввод ошибочных данных; неумышленное повреждение каналов связи.
Угрозы преднамеренного действия (например, угрозы действий злоумышленника для хищения информации).

3. По непосредственному источнику угроз.

Угрозы, непосредственным источником которых является природная среда (стихийные бедствия, магнитные бури, радиоактивное излучение и т.п.).
Угрозы, непосредственным источником которых является человек. Например: внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность); вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия; угроза несанкционированного копирования секретных данных пользователем АС; разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.).
Угрозы, непосредственным источником которых являются санкционированные программно-аппаратные средства. Например: запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.); возникновение отказа в работе операционной системы.
Угрозы, непосредственным источником которых являются несанкционированные программно-аппаратные средства. Например: нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях), заражение компьютера вирусами с деструктивными функциями

4. По положению источника угроз.

Угрозы, источник которых расположен вне контролируемой зоны территории (помещения), на которой находится АС. Например: перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.); перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему; дистанционная фото- и видеосъемка.
Угрозы, источник которых расположен в пределах контролируемой зоны территории (помещения), на которой находится АС. Например: хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.); отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.д.); применение подслушивающих устройств.
Угрозы, источник которых имеет доступ к периферийным устройствам АС (терминалам).
Угрозы, источник которых расположен в АС. Например: проектирование архитектуры системы и технологии обработки данных, разработка прикладных программ, которые представляют опасность для работоспособности системы и безопасности информации; некорректное использование ресурсов АС.

5. По степени зависимости от активности АС.

Угрозы, которые могут проявляться независимо от активности АС. Например: вскрытие шифров криптозащиты информации; хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и компьютерных систем)
Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных (например, угрозы выполнения и распространения программных вирусов).

6. По степени воздействия на АС.

Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС (например, угроза копирования секретных данных).
Активные угрозы, которые при воздействии вносят изменения в структуру и содержание АС. Например: внедрение аппаратных спецвложений, программных «закладок» и «вирусов» («троянских коней» и «жучков»), т.е. таких участков программ, которые не нужны для выполнения заявленных функций, но позволяют преодолеть систему защиты, скрытно и незаконно осуществить доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы; действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.); угроза умышленной модификации информации.

7. По этапам доступа пользователей или программ «ресурсам АС.

Угрозы, которые могут проявляться на этапе доступа к ресурсам АС (например, угрозы несанкционированного доступа в АС).
Угрозы, которые могут проявляться после разрешения доступа к ресурсам АС (например, угрозы несанкционированного или некорректного использования ресурсов АС).

8. По способу доступа к ресурсам АС.

Угрозы, направленные нa использование прямого стандартного пути доступа к ресурсам АС. Например: незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, подбором, имитацией интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя («маскарад»); несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.
Угрозы, направленные на использование скрытого нестандартного пути доступа к ресурсам АС. Например: вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т. п.); угроза несанкционированного доступа к ресурсам АС путем использования недокументированных возможностей ОС.

9. По текущему месту расположения информации, хранимой и обрабатываемой в АС.

Угрозы доступа к информации на внешних запоминающих устройствах (например, угроза несанкционированного копирования секретной информации с жесткого диска).
Угрозы доступа к информации в оперативной памяти. Например: чтение остаточной информации из оперативной памяти; чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме, используя недостатки мультизадачных АС и систем программирования; угроза доступа к системной области оперативной памяти со стороны прикладных программ.
Угрозы доступа к информации, циркулирующей в линиях связи. Например: незаконное подключение к линиям связи с целью работы «между строк», с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений; незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений; перехват всего потока данных с целью дальнейшего анализа не в реальном масштабе времени.
Угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере (например, угроза записи отображаемой информации на скрытую видеокамеру).

Вне зависимости от конкретных видов угроз или их проблемно-ориентированной классификации АС удовлетворяет потребности эксплуатирующих ее лиц, если обеспечиваются следующие свойства информации и систем ее обработки.

Конфиденциальность информации - субъективно определяемая (приписываемая) характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты их законных интересов от других субъектов информационных отношений.
Целостность информации - существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства-достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, т.е. ее не искаженности. Однако мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы обеспечения адекватности отображения выходят далеко за рамки проблемы обеспечения информационной безопасности.
Доступность информации - свойстве системы (среды, средств и технологии обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.

Таким образом, в соответствии с существующими подходами, принято считать, что информационная безопасность АС обеспечена в случае, если для любых информационных ресурсов в системе поддерживается определенный уровень конфиденциальности (невозможности несанкционированного получения какой-либо информации), целостности (невозможности несанкционированной или случайной ее модификации) и доступности (возможности за разумное время получить требуемую информацию). Соответственно для автоматизированных систем было предложено рассматривать три основных вида угроз.

Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин «утечка».
Угроза нарушения целостности включает в себя любое умышленное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Когда злоумышленники преднамеренно изменяют информацию, говорится, что целостность информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка программного или аппаратного обеспечения. Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обоснованной целью (например, санкционированным изменением является периодическая запланированная коррекция некоторой базы данных).
Угроза отказа служб возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным - запрашиваемый ресурс никогда не будет получен, или оно может вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчерпан.

Данные виды угроз можно считать первичными или непосредственными, так как если рассматривать понятие угрозы как некоторой потенциальной опасности, реализация которой наносит ущерб информационной системе, то реализация вышеперечисленных угроз приведет к непосредственному воздействию на защищаемую информацию. В то же время непосредственное воздействие на информацию возможно для атакующей стороны в том случае, если система, в которой циркулирует информация, для нее «прозрачна», т.е. не существует никаких систем защиты или других препятствий. Описанные выше угрозы были сформулированы в 60-х годах для открытых UNIX-подобных систем, где не предпринимались меры по защите информации.

На современном этапе развития информационных технологий подсистемы или функции защиты являются неотъемлемой частью комплексов по обработке информации. Информация не представляется «в чистом виде», на пути к ней имеется хотя бы какая-нибудь система защиты, и поэтому, чтобы угрожать, скажем, нарушением конфиденциальности, атакующая сторона должна преодолеть эту систему. Однако не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требующихся на ее преодоление. Исходя из данных условий, примем следующую модель: защита информационной системы считается преодоленной, если в ходе ее исследования определены асе уязвимости системы. Поскольку преодоление защиты также представляет собой угрозу, для защищенных систем будем рассматривать ее четвертый вид - угрозу раскрытия параметров АС, включающей в себя систему защиты. С точки зрения практики любое проводимое мероприятие предваряется этапом разведки, в ходе которого определяются основные параметры системы, ее характеристики и т.п. Результатом этого этапа является уточнение поставленной задачи, а также выбор наиболее оптимального технического средства.

Угрозу раскрытия можно рассматривать как опосредованную. Последствия ее реализации не причиняют какой-либо ущерб обрабатываемой информации, но дают возможность реализоваться первичным или непосредственным угрозам, перечисленным выше Введение данного вида угроз позволяет описывать с научно-методологической точки зрения отличия защищенных информационных систем от открытых.

К основным направлениям (методам) реализации злоумышленником информационных угроз относятся;

непосредственное обращение к объектам доступа;
создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
модификация средств защиты, позволяющая реализовать угрозы информационной безопасности;
внедрение в технические средства АС программных или технических механизмов, нарушающих предполагаемую структуру и функции АС.

К числу основных методов реализации угроз информационной безопасности АС относятся:

определение злоумышленником типа и параметров носителей информации;
получение злоумышленником информации о программно-аппаратной среде, типе и параметрах средств вычислительной техники, типе и версии операционной системы, составе прикладного программного обеспечения;
получение злоумышленником детальной информации о функциях, выполняемых АС;
получение злоумышленником данных о применяемых системах защиты;
определение способа представления информации;
определение злоумышленником содержания данных, обрабатываемых в АС, на качественном уровне (применяется для мониторинга АС и для дешифрования сообщений);
хищение (копирование) машинных носителей информации, содержащих конфиденциальные данные;
использование специальных технических средств для перехвата побочных электромагнитных излучений и наводок (ПЭМИН) - конфиденциальные данные перехватываются злоумышленником путем выделения информативных сигналов из электромагнитного излучения и наводок по цепям питания средств вычислительной техники, входящей в АС;
уничтожение средств вычислительной техники и носителей информации;
хищение (копирование) носителей информации;
несанкционированный доступ пользователя к ресурсам АС в обход или путем преодоления систем защиты с использованием специальных средств, приемов, методов;
несанкционированное превышение пользователем своих полномочий;
несанкционированное копирование программного обеспечения,
перехват данных, передаваемых по каналам связи;
визуальное наблюдение - конфиденциальные данные считываются с экранов терминалов, распечаток в процессе их печати и т.п. ;
раскрытие представления информации (де шифрование данных),
раскрытие содержания информации на семантическом уровне - доступ к смысловой составляющей информации, хранящейся в АС;
уничтожение машинных носителей информации;
внесение пользователем несанкционированных изменений в программно-аппаратные компоненты АС и обрабатываемые данные;
установка и использование нештатного аппаратного и/или программного обеспечения;
заражение программными вирусами;
внесение искажений в представление данных, уничтожение данных на уровне представления, искажение информации при передаче по линиям связи;
внедрение дезинформации;
выведение из строя машинных носителей информации без уничтожения информации - выведение из строя электронных блоков накопителей на жестких дисках и т. п.;
проявление ошибок проектирования и разработки аппаратных и программных компонентов АС;
обход (отключение) механизмов защиты - загрузка злоумышленником нештатной операционной системы с дискеты, использование отладочных режимов программно-аппаратных компонент АС и т.п.;
искажение соответствия синтаксических и семантических конструкций языка - установление новых значений слов, выражений и т п.;
запрет на использование информации - имеющаяся информация по каким-либо причинам не может быть использована.

Основными причинами утечки информации являются:

несоблюдение персоналом норм, требований, правил эксплуатации АС;
ошибки в проектировании АС и систем защиты АС;
ведение противостоящей стороной технической и агентурной разведок.

Несоблюдение персоналом норм, требований, правил эксплуатации АС может быть как умышленным, так и непреднамеренным. От ведения противостоящей стороной агентурной разведки этот случай отличает то, что в данном случае лицом, совершающим несанкционированные действия, двигают личные побудительные мотивы. Причины утечки информации достаточно тесно связаны с видами утечки информации.

В соответствии с ГОСТ Р 50922-96 рассматриваются три вида утечки информации:

разглашение;
несанкционированный доступ к информации;
получение защищаемой информации разведками (как отечественными, так и иностранными).

Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.

Под несанкционированным доступом (НСД) понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

Получение защищаемой информации разведками может осуществляться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).

Канал утечки информации - совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя- Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей AC, или вне ее.

Применительно к АС выделяют следующие каналы утечки:

Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в аппаратных компонентах АС- Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки). Электромагнитный канал в свою очередь делится на следующие каналы:
радиоканал (высокочастотное излучение);
низкочастотный канал;
сетевой канал (наводки на сеть электропитания);
канал заземления (наводки на провода заземления);
линейный канал (наводки на линии связи между компьютерными системами).
Акустический (виброакустический) канал связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации АС
Визуальный канал. Связан с возможностью визуального наблюдения злоумышленником за работой устройств отображения информации АС без проникновения в помещения, где расположены компоненты системы. В качестве средства выделения информации в данном случае могут рассматриваться фото-, видеокамеры и т.п.
Информационный канал. Связан с доступом (непосредственным и телекоммуникационным) к элементам АС, к носителям информации, к самой вводимой и выводимой информации (и результатам), к программному обеспечению (в том числе к операционным системам), а также с подключением к линиям связи. Информационный канал может быть разделен на следующие каналы:
канал коммутируемых линий связи,
канал выделенных линий связи,
канал локальной сети,
канал машинных носителей информации,
канал терминальных и периферийных устройств.

3.2 Виды компьютерной преступности в сфере вычислительных сетей

Выделение типовых моделей разных категорий преступников, знание основных черт этих людей позволяет оптимизировать процесс выявления круга лиц, среди которых целесообразно вести поиск преступника и точнее определить способы установления и изобличения конкретного правонарушителя. Уголовный кодекс РФ разделил «компьютерных преступников» на следующие категории:

лица, осуществляющие неправомерный доступ к компьютерной информации;
лица, осуществляющие неправомерный доступ к компьютерной информации в группе по предварительному сговору или организованной группой;
лица, осуществляющие неправомерный доступ к компьютерной информации с использованием своего служебного положения;
лица, имеющие доступ к ЭВМ, но осуществляющие неправомерный доступ к компьютерной информации или нарушающие правила эксплуатации ЭВМ;
лица, создающие, использующие и распространяющие вредоносные программы.

Напомним, что уголовной ответственности по УК РФ за преступления рассматриваемого вида подлежат вменяемые лица, достигшие 16 лет.

Зарубежный опыт свидетельствует, что сам факт появления компьютерной преступности в обществе многие исследователи отождествляют с появлением так называемых «хакеров» (англ, «hack» - рубить, кромсать) - пользователей вычислительной системы (обычно сети ЭВМ), занимающихся поиском незаконных способов получения несанкционированного доступа к данным.

Тенденции

По свидетельству экспертов из правоохранительных органов, самым лакомым сектором российской экономики для преступников является кредитно-банковская сфера. Анализ совершенных здесь за последнее время преступных деяний с использованием компьютерных технологий, а также неоднократные опросы представителей банковских учреждений позволяют выделить следующие наиболее типичные способы совершения компьютерных преступлений против банков и других финансовых учреждений.

Во-первых, все более распространенными становятся компьютерные преступления, совершаемые путем несанкционированного доступа к банковским базам данных посредством телекоммуникационных сетей. Так, в 1998 году правоохранительными органами были выявлены 15 подобных преступлений, в ходе расследования которых установлены факты незаконного перевода 6, 3 млрд. рублей.

Во-вторых, за последнее время не отмечено практически ни одного компьютерного преступления, которое было бы совершено одиночкой. Более того, известны случаи, когда организованными преступными группировками нанимались бригады из десятков хакеров, которым предоставлялось отдельное охраняемое помещение, оборудованное по последнему слову вычислительной техники, с тем, чтобы они осуществляли хищение крупных денежных средств путем нелегального проникновения в компьютерные сети крупных коммерческих банков.

В-третьих, большинство компьютерных преступлений в банковской сфере совершается при непосредственном участии самих служащих коммерческих банков. Результаты исследований, проведенных с привлечением банковского персонала, показывают, что доля таких преступлений приближается к отметке 70%. Например, в 1998 г. работники правоохранительных органов предотвратили хищение на сумму в 2 млрд. рублей из филиала одного крупного коммерческого банка. Преступники оформили проводку фиктивного платежа с помощью удаленною доступа к банковскому компьютеру через модем, введя пароль и идентификационные данные, которые им передали сообщники из состава персонала этого филиала. Далее похищенные деньги были переведены в соседний банк, где преступники попытались снять их со счета, оформив поддельное платежное поручение.

В-четвертых, все большее число компьютерных преступлении совершается в России с использованием возможностей, которые предоставляет своим пользователем глобальная компьютерная сеть Internet.

Способы совершения компьютерных преступлений

Важнейшим и определяющим элементом криминалистической характеристики любого, в том числе и компьютерного, преступления является совокупность данных, характеризующих способ его совершения.

Под способом совершения преступления обычно понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступления, оставляющего различного рода характерные следы, позволяющие помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и соответственно определить наиболее оптимальные методы решения задач раскрытия преступления.

Подкомиссия Государственной Думы по правовым вопросам классифицировала способы совершения компьютерных преступлений в пять основных групп. При этом в качестве основного классифицирующего признака выступает метод использования преступником тех или иных действий, направленных на получение доступа к средствам компьютерной техники. К видам компьютерной преступности относят:

изъятие средств компьютерной техники (СКТ);
перехват информации
несанкционированным доступ к СКТ;
манипуляция данными и управляющими командами,
комплексные методы

К первой группе относятся традиционные способы совершения обычных видов («некомпьютерных») преступлений, в которых действия преступника направлен на изъятие чужого имущества. Характерной отличительной чертой данной группы способов совершения компьютерных преступлений будет тот факт, что в них средства компьютерной техники будут всегда выступать только в качестве предмета преступного посягательства. Например, прокуратурой Кургана в 1997 г. расследовалось уголовное дело по факту убийства частного предпринимателя. В ходе обыска на квартире убитого следователем был изъят персональный компьютер. По имеющейся оперативной информации в памяти этой ЭВМ убитый мог хранить фамилии, адреса своих кредиторов и должников. В дальнейшем этот компьютер по решению следователя был передан в одну из компьютерных фирм для производства исследования содержимого его дисков памяти. В ту же ночь из помещения этой компьютерной фирмы путем отгиба решеток была произведена кража данного компьютера. В результате того, что изъятие и передача ЭВМ были произведены следователем с рядом процессуальных нарушений, данное преступление осталось нераскрытым.

Ко второй группе относятся способы совершения компьютерных преступлений, основанные на действиях преступника направленных на получение данных и машинной информации посредством использования методов аудиовизуального и электромагнитного перехвата, широко практикуемых в оперативно-розыскной деятельности правоохранительных органов.

Непосредственный активный перехват осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера, например, линии принтера или телефонному проводу канала связи, либо непосредственно через соответствующий порт персонального компьютера.

Электромагнитный (пассивный) перехват основан на фиксации электромагнитных излучений, возникающих при функционировании многих средств компьютерной техники, включая и средства коммуникации. Волны, излучаемые электронно-лучевой трубкой дисплея, несущие в себе определенную информацию с помощью специальных приборов можно принимать на расстоянии до 1000 м.

Аудиоперехват или снятие информации по виброакустическому каналу является наиболее опасным и достаточно распространенным. Этот способ съема информации имеет две разновидности. Первая заключается в установке подслушивающего устройства в аппаратуру средств обработки информации. Вторая - в установке спецмикрофона на инженерно технические конструкции за пределами охраняемого помещения (стены, оконные рамы, двери и т.п. ).

Видеоперехват заключается в действиях преступника, направленных на получение информации путем использования различной видеооптической техники.

«Уборка мусора» представляет собой неправомерное использование преступником технологических отходов информационного процесса, оставленных пользователем после работы с компьютерной техникой. Например, даже удаленная из памяти компьютера информация, подлежит быстрому восстановлению и несанкционированному изъятию с помощью специальных программные средств.

К третьей группе способов совершения компьютерных преступлений относятся действия преступника, направленные на получение несанкционированного доступа к средствам компьютерной техники. К ним относятся нижеследующие.

«За дураком». Этот способ используется преступником путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру в тот момент времени, когда сотрудник, отвечающий за работу средства компьютерной техники, кратковременно покидает свое рабочее место, оставляя терминал в активном режиме.
«За хвост». При этом способе съема информации преступник подключается к линии связи законного пользователя и дожидается сигнала, обозначающего конец работы, перехватывает его на себя и осуществляет доступ к системе.
«Компьютерный абордаж», по существу являющийся подготовительной стадией компьютерного преступления.

Данный способ совершения компьютерного преступления осуществляется преступником путем случайного перебора абонентного номера компьютерной системы с использованием модемного устройства. Иногда для этих целей используется специально созданная самодельная, либо заводская программа автоматического поиска пароля. Алгоритм ее работы заключается в том, чтобы, используя быстродействие современных компьютерных устройств, перебирать все возможные варианты комбинаций букв, цифр и специальных символов, и в случае совпадения комбинации символов производить автоматическое соединение указанных абонентов.

Известны результаты программных экспериментов по подбору пароля путем простого перебора. В результате было установлено, что 6-ти символьные пароли подбираются примерно за б дней непрерывной работы компьютера. Элементарный подсчет показывает, что уже для подбора 7-ми символьных паролей потребуется от 150 дней для английского языка до 200 дней для русского. А если есть буквы заглавные, то эти цифры надо умножить еще на 2. Таким образом, простой перебор представляется чрезвычайно трудновыполнимым.

Исходя из этого, в последнее время, преступниками стал активно использоваться метод «интеллектуального перебора», основанный на подборе предполагаемого пароля, исходя из заранее определенных тематических групп его принадлежности. В этом случае программе «взломщику» передаются некоторые исходные данные о личности автора пароля. По оценкам специалистов, это позволяет более чем на десять порядков сократить количество возможных вариантов перебора символов и на столько же - время на подбор пароля.

№ п/п	Тематические группы паролей	% частоты выбора пароля человеком	% вскрываемости пароля
1	Имена, фамилии и производные	22, 2	54, 5
2	Интересы (хобби, спорт, музыка)	9, 5	29, 2
3	Даты рождения, знаки зодиака свои и близких; их комбинации	11, 8	54, 5
4	Адрес жительства; место рождения	4, 7	55, 0
5	Номера телефонов	3, 5	66, 6
6	Последовательность клавиш ПК, повтор символа	14, 1	72, 3
7	Номер документов (паспорт, удостоверение) и т. д.	3, 5	100, 0
8	Прочие	30, 7	5, 7

Как показывают многочисленные эксперименты, вручную с использованием метода «интеллектуального перебора» вскрывается 42% от общего числа паролей. Интересны результаты экспериментов.

Из бесед со следственными работниками известно, что им по роду деятельности не раз приходилось снимать пароли с различных файлов, содержащихся в изъятых у подозреваемых и обвиняемых персональных компьютерах. Все снимаемые пароли были на удивление простыми. Среди них встречались такие как: 7 букв «А»; имя или фамилия автора или его инициалы; несколько цифр, например, «57»; даты рождения, адреса, телефоны или их комбинации.

Неспешный выбор. При данном способе совершения преступления, преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите. Этот способ чрезвычайно распространен среди так называемых хакеров. В Интернете и других глобальных компьютерных сетях идет постоянный поиск, обмен, покупка и продажа взломанных хакерами программ. Существуют специальные телеконференции, в которых проходит обсуждение взламывающих программ, вирусов, вопросов их создания и распространения.
«Брешь». В отличие от «неспешного выбора», когда производится поиск уязвимых мест в защите компьютерной системы, при данном способе преступником осуществляется их конкретизация: определяются участки, имеющие ошибку или неудачную логику программного строения. Выявленные таким образом «бреши» могут использоваться преступником многократно, пока не будут обнаружены;
«Люк». Данный способ является логическим продолжением предыдущего. В этом случае в найденной «бреши» программа «разрывается» и туда дополнительно преступник вводит одну или несколько команд. Такой «люк» «открывается» по необходимости, а включенные команды автоматически выполняются. Необходимо заметить, что подобный «черный вход» в якобы защищенную систему имеется в любой сертифицированной государством программе, но об этом не принято распространяться вслух. Для примера вспомним хрестоматийный факт: Саддам Хусейн потерпел поражение задолго до войны в заливе. Имеющиеся в его распоряжении самолеты «Мираж» были поставлены французскими производителями. Коварные продавцы уверяли покупателя, что электроника этих самолетов имеет стопроцентную защиту от несанкционированного доступа. Однако когда дело дошло до войны, эта защита была сломана немедленно - одним кодовым сигналом, пущенным в обход хитроумной системы. Бортовые системы самолетов были отключены, и диктатор остался без авиации.

К четвертой группе способов совершения компьютерных преступлений относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники. Эти методы наиболее часто используются преступниками для совершения различного рода противоправных деяний и достаточно хорошо известны сотрудникам подразделений правоохранительных органов, специализирующихся по борьбе с экономическими преступлениями.

Наиболее широко используются следующие способы совершения компьютерных преступлений, относящихся к этой группе.

Подмена данных - наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступников в этом случае направлены на изменение или введение новых данных, которые осуществляются, как правило, при вводе-выводе информации.
Копирование (тиражирование) программ с преодолением программных средств защиты. Этот способ предусматривает незаконное создание копии ключевой дискеты, модификацию кода системы защиты, моделирование обращения к ключевой дискете, снятие системы защиты из памяти ЭВМ и т. п. Не секрет, что подавляющая часть программного обеспечения, используемого в России, является пиратскими копиями взломанных хакерами программ. Самой популярной операционной системой в России является Microsoft Windows 95/98. По статистике, на долю этой платформы приходится свыше 77 процентов отечественного рынка операционных систем. Своим бесспорным успехом на российском рынке Windows'95/98 обязана деятельности компьютерных пиратов. По данным антипиратской организации BSA, свыше 90 % используемых в России программ установлены на компьютеры без лицензий, тогда как в США не более 24 %.

Можно привести в качестве примера и широко известную отечественную программу «Консультант-плюс» содержащую периодически обновляемую компьютерную базу российского законодательства. Несмотря на постоянную работу программистов фирмы по улучшению систем защиты, тысячи нелегальных копий взломанной программы имеют хождение на территории страны. Например, шестая версия «Консультанта» была «привязана» к дате создания компьютера, записанной в его постоянной памяти. Не прошло и двух недель после выхода этой версии, как хакерами была создана программа, эмулирующая нужную дату на любой ЭВМ. Теперь любой желающий может найти такую программу в компьютерных сетях и бесплатно установить на свой компьютер базу данных стоимостью более 1000$ США.

Успехи хакеров настолько велики, что, например, США намерены использовать их в информационной войне. С момента официального признания в 1993 году военно-политическим руководством США «информационной войны» в качестве одной из составляющих национальной военной стратегии, ускоренными темпами идут поиски методов, форм и средств ее ведения. Так, в последние годы все чаще говорят о целесообразности привлечения хакеров на различных стадиях «информационной войны».

Спецслужбы США и некоторых европейских стран уже прибегают к услугам этой категории компьютерщиков.

3.2. Уголовный кодекс РФ об ответственности за компьютерные преступления

Составы компьютерных преступлений (т.е. перечень признаков, характеризующих общественно опасное деяние как конкретное преступление) приведены в 28 главе УК РФ (введен 1.1.97г.), которая называется «Преступления в сфере компьютерной информации» и содержит три статьи: «Неправомерный доступ к компьютерной информации» (ст. 272), «Создание, использование и распространение вредоносных программ для ЭВМ» (ст. 273) и «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» (ст. 274).

Неправомерный доступ к компьютерной информации (ст. 272)

Статья 272 УК предусматривает ответственность за неправомерный доступ к компьютерной информации (информации на машинном носителе, в ЭВМ или сети ЭВМ), если это повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы вычислительных систем.

Преступное деяние должно состоять в неправомерном доступе к охраняемой законом компьютерной информации, который всегда носит характер совершения определенных действий и может выражаться в проникновении в компьютерную систему путем использования специальных технических или программных средств позволяющих преодолеть установленные системы защиты; незаконного применения действующих паролей или маскировка под видом законного пользователя для проникновения в компьютер, хищения носителей информации, при условии, что были приняты меры их охраны, если это деяние повлекло уничтожение или блокирование информации.

Неправомерным признается доступ к защищенной компьютерной информации лица, не обладающего правами на получение и работу с данной информацией, либо компьютерной системой.

Важным является наличие причинной связи между несанкционированным доступом и наступлением предусмотренных статьей 272 последствий, поэтому простое временное совпадение момента сбоя в компьютерной системе, которое может быть вызвано неисправностями или программными ошибками и неправомерного доступа не влечет уголовной ответственности.

Неправомерный доступ к компьютерной информации должен осуществляться умышленно. Совершая это преступление, лицо сознает, что неправомерно вторгается в компьютерную систему, предвидит возможность или неизбежность наступления указанных в законе последствий, желает и сознательно допускает их наступление либо относится к ним безразлично.

Мотивы и цели данного преступления могут быть любыми, что позволяет применять ст. 272 УК к всевозможным компьютерным посягательствам.

Это и корыстный мотив, цель получить какую-либо информацию, желание причинить вред, желание проверить свои профессиональные способности.

Статья состоит из двух частей. В первой части наиболее серьезное воздействие к преступнику» состоит в лишении свободы до двух лет.

Часть вторая 272 ст. предусматривает в качестве признаков, усиливающих уголовную ответственность, совершение его группой лиц либо с использованием своего служебного положения, а равно имеющим доступ к информационной вычислительной системе и допускает вынесение приговора с лишением свободы до пяти лет.

По уголовному законодательству субъектами компьютерных преступлений, могут быть лица, достигшие 16-летнего возраста, однако часть вторая ст. 272 предусматривает наличие дополнительного признака у субъекта совершившего данное преступление - служебное положение, а равно доступ к ЭВМ, системе ЭВМ или их сети, способствовавших его совершению.

Статья 272 УК не регулирует ситуацию, когда неправомерный доступ осуществляется в результате неосторожных действий, что, в принципе, отсекает огромный пласт возможных посягательств и даже те действия, которые действительно совершались умышленно, т.к., при расследовании обстоятельств доступа будет крайне трудно доказать умысел компьютерного преступника.

Создание, использование и распространение вредоносных программ для ЭВМ (ст. 273)

Статья предусматривает уголовную ответственность за создание программ для ЭВМ или их модификацию, заведомо приводящее к несанкционированному уничтожению, блокированию и модификации, либо копированию информации, нарушению работы информационных систем, а равно использование таких программ или машинных носителей с такими программами.

Под созданием вредоносных программам в смысле ст. 273 УК РФ понимаются программы специально разработанные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, определенные в документации на программу. Наиболее распространенными видами вредоносных программ являются широко известные компьютерные вирусы и логические бомбы.

Для привлечения к ответственности по 273 ст. необязательно наступление каких-либо отрицательных последствий для владельца информации, достаточен сам факт создания программ или внесение изменений в существующие программы, заведомо приводящих к негативным последствиям, перечисленным в статье.

Под использованием программы понимается выпуск в свет, воспроизведение, распространение и иные действия по их введению в оборот. Использование может осуществляться путем записи в память ЭВМ, на материальный носитель, распространения по сетям, либо путем иной передачи другим лицам.

Уголовная ответственность по этой статье возникает уже в результате создания программы, независимо от того использовалась эта программа или нет. По смыслу ст. 273 наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности. Следует учитывать, что в ряде случаев использование подобных программ не будет являться уголовно наказуемым. Это относится к деятельности организаций, осуществляющих разработку антивирусных программ и имеющих соответствующую лицензию.

Данная статья состоит из двух частей, отличающихся друг от друга признаком отношения преступника к совершаемым действиям. Преступление, предусмотренное частью 1 ст. 273, может быть совершено только умышленно, с сознанием того, что создание, использование или распространение вредоносных программ заведомо должно привести к нарушению неприкосновенности информации.

Причем, цели и мотивы не влияют на квалификацию посягательства по данной статье, поэтому самые благородные побуждения (борьба за экологическую чистоту планеты) не исключают ответственности за само по себе преступное деяние. Максимально тяжелым наказанием для преступника в этом случае будет лишение свободы до трех лет.

Часть вторая ст. 273 в качестве дополнительного квалифицирующего признака предусматривает наступление тяжких последствий по неосторожности. При совершении преступления, предусмотренного ч. 2 рассматриваемой статьи, лицо сознает, что создает вредоносную программу, использует либо распространяет такую программу или ее носители и, либо предвидит возможность наступления тяжких последствий, но без достаточных к тому оснований самонадеянно рассчитывает на их предотвращение, либо не предвидит этих последствий, хотя при необходимой внимательности и предусмотрительности должно и могло их предусмотреть.

Данная норма закономерна, поскольку разработка вредоносных программ доступна только квалифицированным программистам, которые в силу своей профессиональной подготовки должны предвидеть потенциально возможные последствия использования этих программ, которые могут быть весьма многообразными: смерть человека, вред здоровью, возникновение реальной опасности военной или иной катастрофы, нарушение функционирования транспортных систем. По этой части суд может назначить максимальное наказание в виде семи лет лишения свободы.

В 1993 г. на одном автомобильном заводе нашей страны был изобличен программист, который из мести к руководству предприятия умышленно внес изменения в программу ЭВМ, управлявшей подачей деталей на конвейер. В результате произошедшего сбоя заводу был причинен существенный материальный ущерб: не сошло с конвейера свыше сотни автомобилей. Программист был привлечен к уголовной ответственности. Подсудимый обвинялся по ст. 98 ч. 2 Уголовного кодекса РСФСР «Умышленное уничтожение или повреждение государственного или общественного имущества... причинившее крупный ущерб». С научной точки зрения интересен приговор суда: «три года лишения свободы условно; взыскание суммы, выплаченной рабочим за время вынужденного простоя главного конвейера; перевод на должность сборщика главного конвейера».

В настоящее время квалификация действий программиста должна была бы производиться по ч. 1 ст. 273. Он умышленно создал и использовал в заводском компьютере вредоносную программу, нарушившую технологический процесс. Но если видоизменить проводимый мысленный эксперимент: по неосторожности (допустим, из-за конфликта программного и аппаратного обеспечения) действие программы привело к тяжким последствиям - гибели людей на конвейере. Тогда, несомненно, указанные действия квалифицируются уже по ч. 2 ст. 273. А если убрать «неосторожность» и считать, что преступник действовал умышленно, то тогда оказывается, что в этом случае за тяжкие последствия по ст. 273 отвечать не нужно. Отсюда закономерно сделать вывод о том, что формулировка данной статьи нуждается в изменении.

Если же в действиях лица содержаться не только признаки преступления, предусмотренного ст. 273 УК, но и признаки другого преступления (убийства, уничтожения имущества), виновный будет нести ответственность по совокупности совершенных преступлений.

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274)

Статья 274 УК устанавливает ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ним, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред.

Статья защищает интерес владельца вычислительной системы относительно ее правильной эксплуатации.

Данная уголовная норма, естественно, не содержит конкретных технических требований и отсылает к ведомственным инструкциям и правилам, определяющим порядок работы, которые должны устанавливаться специально уполномоченным лицом и доводиться до пользователей. Применение данной статьи невозможно для Интернет, ее действие распространяется только на локальные сети организаций.

Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь и полностью доказано, что наступившие последствия являются результатом именно нарушения правил эксплуатации.

Определение существенного вреда, предусмотренного в данной статье, - оценочный процесс, вред устанавливается судом в каждом конкретном случае, исходя из обстоятельств дела. Однако очевидно, что существенный вред должен быть менее значительным, чем тяжкие последствия.

Преступник, нарушившее правило эксплуатации, - это лицо в силу должностных обязанностей имеющее доступ к компьютерной системе и обязанное соблюдать установленные для них технические правила.

Преступник должен совершать свое деяния умышленно, он сознает, что нарушает правила эксплуатации, предвидит возможность или неизбежность неправомерного воздействия на информацию и причинение существенного вреда, желает или сознательно допускает причинение такого вреда или относится к его наступлению безразлично. Что наиболее строго наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

В части второй статьи 274 предусматривается ответственность за неосторожные деяния. По ней должны квалифицироваться, например, действия специалиста по обслуживанию системы управления транспортом, установившего инфицированную программу без антивирусной проверки, повлекшее серьезную транспортную аварию.

Следует отметить, что признаки преступлений, предусмотренных в статьях 272 и 274 УК, с технической точки зрения весьма похожи. Различие заключается в правомерности или неправомерности доступа к ЭВМ, системе ЭВМ или их сети. Статья 274 УК отсылает к правилам эксплуатации компьютерной системы, но в статье 272 в качестве одного из последствий указано нарушение работы компьютерной системы, что, с технической точки зрения, является отступлением от правил и режима эксплуатации. Поэтому, возможно, имеет смысл данные почти однородные преступления законодательно объединить.

Подводя некоторые итоги, можно сделать выводы о том, что сложность компьютерной техники, неоднозначность квалификации, а также трудность сбора доказательной информации не приведет в ближайшее время к появлению большого числа уголовных дел, возбужденных по статьям 272-274 УК.

Предусмотренные составы компьютерных преступлений не охватывают полностью всех видов совершения компьютерных посягательств.

В ряде случаев могут быть использованы другие статьи Уголовного Кодекса РФ, предусматривающие наказания за информационные преступления.

Так, к разряду преступлений против конституционных прав и свобод человека и гражданина отнесены такие преступления, как:

нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан (ст. 138 ч. 1 УК);
незаконное производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации (ст. 138 ч. 3 УК);
предоставление гражданину должностным лицом неполной или заведомо ложной информации, если этим причинен вред правам и законным интересам граждан (ст. 140 УК);
незаконное использование объектов авторского права или смежных прав, присвоение авторства (ст. 146 ч. 1 УК);
нарушение авторских прав группой лиц (ст. 146 ч. 2 УК);
незаконное использование изобретения, полезной модели, промышленного образца, разглашение их сущности без согласия автора или заявителя до официальной публикации сведений о них, присвоение авторства или принуждение к соавторству (ст. 147 УК).

К разряду преступлений в сфере экономической деятельности отнесены:

незаконное использование чужого товарного знака, знака обслуживания, наименования места происхождения товара или сходных с ним обозначений для однородных товаров (ст. 180 ч. 1 УК);
незаконное использование предупредительной маркировки (ст. 180 ч. 2 УК);
использование в рекламе заведомо ложной информации относительно товаров, работ или услуг, а также их изготовителей, исполнителей, продавцов (ст. 182 УК);
собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а также иным незаконным способом (ст. 183 ч. 1 УК);
незаконное разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца (ст. 183 ч. 2 УК);
незаконный экспорт технологий, научно-технической информации и услуг в сфере вооружения и военной техники (ст. 189 УК).

3.3. Методика раскрытия и расследования компьютерных преступлений

Ниже представлена общие схема расследования для разных видов преступлений, а также типичные следственные ситуации и следственные действия первоначального этапа.

Несанкционированный (неправомерный) доступ к компьютерной информации. В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:

Установление факта неправомерного доступа к информации в компьютерной системе или сети.
Установление места несанкционированного проникновения в компьютерную систему или сеть.
Установление времени совершения преступления.
Установление надежности средств защиты компьютерной информации.
Установление способа несанкционированного доступа.
Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.
Установление вредных последствий преступления.
Выявление обстоятельств, способствовавших преступлению.

На признаки несанкционированного доступа или подготовки к нему могут указывать следующие обстоятельства:

появление в компьютере фальшивых данных;
не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств;
частые сбои в процессе работы компьютеров;
участившиеся жалобы клиентов компьютерной системы или сети;
осуществление сверхурочных работ без видимых на то причин;
немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков;
неожиданное приобретение сотрудником домашнего дорогостоящего компьютера;
чистые дискеты либо диски, принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр;
участившиеся случаи перезаписи отдельных данных без серьезных на то причин;
чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров.

Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа (не входящих в данную компьютерную систему или сеть) на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов.

Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы, перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.

Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только специалисты имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

При расследовании преступления, предусматривающего создание, использование и распространение вредоносных программ для ЭВМ представляется наиболее целесообразной следующая последовательность решения основных задач:

Установление факта и способа создания вредоносной программы для ЭВМ.

Установление факта использования и распространения вредоносной программы.

Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.

Установление вреда, причиненного данным преступлением.

Установление обстоятельств, способствовавших совершению расследуемого преступления.

При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:

место и время (период времени) нарушения правил эксплуатации ЭВМ;
характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети;
способ и механизм нарушения правил;
характер и размер ущерба, причиненного преступлением;
факт нарушения правил определенны лицом;
виновность лица, допустившего преступное нарушение правил эксплуатации ЭВМ;
обстоятельства, способствовавшие совершению расследуемого преступления.

Помимо этого, следователю необходимо знать, что существует много особенностей, которые должны учитываться при производстве отдельных следственных действий. Приведем некоторые из них. Если следователь (лицо, проводящее дознание) располагает информацией, что на объекте обыска находятся средства компьютерной техники, расшифровка данных, с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию. Необходимо обеспечить участие в ходе обыска специалиста по компьютерной технике.

По прибытии на место обыска следует сразу же принять меры к обеспечению сохранности ЭВМ и имеющихся на них данных и ценной информации. Для этого необходимо:

не разрешать, кому бы то ни было из лиц, работающих на объекте обыска или находящихся здесь по другим причинам (персоналу), прикасаться к ЭВМ с любой целью;
не разрешать, кому бы то ни было из персонала выключать электроснабжение объекта;
в случае если на момент начала обыска электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю компьютерную технику, находящуюся на объекте;
самому не производить никаких манипуляций со средствами компьютерной техники, если результат этих манипуляций заранее неизвестен;

После принятия указанных выше неотложных мер можно приступать к непосредственному обыску помещения и изъятию средств компьютерной техники. При этом следует принять во внимание следующие неблагоприятные факторы:

возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных;
возможное наличие на компьютерах специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;
возможное наличие на ЭВМ иных средств защиты от несанкционированного доступа; постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, незнакомых следователю.

В целях недопущения вредных последствий перечисленных факторов следователь (лицо, проводящее дознание) может придерживаться следующих рекомендаций:

Перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях просто отключить компьютер (в некоторых случаях некорректное отключение компьютера - путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель - приводит к потере информации в оперативной памяти и даже к стиранию информационных ресурсов на данном компьютере).
При наличии средств защиты, ЭВМ от несанкционированного доступа принять меры к установлению ключей доступа (паролей, алгоритмов и т. д. ).
Корректно выключить питание всех ЭВМ, находящихся на объекте (в помещении).
Не пытаться на месте просматривать информацию, содержащуюся в компьютерах.
В затруднительных случаях не обращаться за консультацией (помощью) к персоналу, а вызывать специалиста, не заинтересованного в исходе дела.
Следует изъять все ЭВМ, обнаруженные на объекте.
При обыске не подносить ближе, чем на 1 м к компьютерной технике металлоискатели и другие источники магнитного поля, в т. ч. сильные осветительные приборы и некоторую спецаппаратуру.
Поскольку многие, особенно неквалифицированные, пользователи записывают процедуру входа-выхода, работы с компьютерной системой, а также пароли доступа на отдельных бумажных листках, следует изъять также все записи, относящиеся к работе с ЭВМ.
Так как многие коммерческие и государственные структуры прибегают к услугам нештатных и временно работающих специалистов по обслуживанию средств компьютерной техники, следует записать паспортные данные у всех лиц, находящихся на объекте, независимо от их объяснений цели пребывания на объекте.

При изъятии средств компьютерной техники необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции.

Кроме того, следует опечатывать ЭВМ так, чтобы исключить возможность работы с ними, разукомплектовки и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта.

При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй - на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала.

При изъятии магнитного носителя машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и «наводок», направленных излучений. В случае, когда необходимо сослаться непосредственно на определенный физический носитель, следует указать в протоколе его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель запечатывается в отдельную коробку (ящик, конверт) о чем обязательно делается отметка в протоколе проведения следственного действия.

В случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства компьютерной техники (например, если компьютер является сервером или рабочей станцией компьютерной сети) в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы.

Если же возникла необходимость изъятия информации из оперативной памяти компьютера (непосредственно из ОЗУ), то сделать это возможно только путем копирования соответствующей машинной информации на физический носитель с использованием стандартных паспортизированных программных средств с соответствующим документальным приложением и в порядке, установленном следующими нормативными документами: Государственный стандарт (ГОСТ) 6104-84 от 01. 07. 87г. УСД. «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения» и Постановление Госстандарта 2781 от 24. 09. 86 «Методические указания по внедрению и применению ГОСТ 6104-84». Только с использованием указанных нормативных документов машинная информация будет относиться к разряду «документированной информации», как требует того закон. К сожалению, практика работы многих следователей (представителей служб информационной безопасности -СИБ) показывает, что вышеуказанные рекомендации в большинстве случаев следователями не применяются в практической деятельности по расследованию преступлений. В результате неправильного изъятия средств компьютерной техники добытая информация зачастую не может являться доказательством в судебном процессе.

Типичные следственные ситуации первоначального этапа и следственные действия

Типовые ситуации - наиболее часто встречающиеся ситуации расследования, предопределяющие особенности методики расследования.

Они включают в себя типовые следственные версии, типовые задачи расследования и методы и средства их решения.

Анализ отечественного и зарубежного опыта показывает, что можно выделить три типичные следственные ситуации:

Собственник информационной системы собственными силами выявил нарушение целостности / конфиденциальности информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.
Собственник информационной системы собственными силами выявил нарушение целостности / конфиденциальности информации в системе, не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.
Данные о нарушении целостности / конфиденциальности информации в информационной системе и виновном лице стали общеизвестными или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).

При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:

нарушения целостности / конфиденциальности информации в системе;
размера ущерба, причиненного нарушением целостности / конфиденциальности информации;
причинной связи между действиями, образующими способ нарушения, и наступившими последствиями путем детализации способа нарушения целостности / конфиденциальности информации в системе и характера совершенных виновным действий;
отношения виновного лица к совершенным действиям и наступившим последствиям.

Если преступник задержан на месте совершения преступления или сразу же после его совершения для данной ситуации характерны следующие первоначальные следственные действия:

личный обыск задержанного;
допрос задержанного;
обыск по месту жительства задержанного.

К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц. Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояние информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий. Полученные в результате доказательства могут дать основания для принятия решения о привлечении лица к делу в качестве подозреваемого или сразу в качестве обвиняемого.

При отсутствии заподозренного виновного лица первоначальная задача следствия заключается в сборе доказательств:

нарушения целостности / конфиденциальности т формации в системе;
размера ущерба;
причинной связи между действиями и наступившими последствиями.

Типичные следственные действия аналогичные первой типичной ситуации. Однако одновременно следует принять меры к поиску рабочего места заподозренного, откуда он осуществил вторжение в информационную систему.

Осуществляется поиск:

места входа в информационную систему и способа входа в систему (с помощью должностных лиц);
«путей следования» злоумышленника или его программы к «атакованной» системе (с помощью должностных лиц).

Такое место может находиться как у него на службе, так и дома, а также в иных местах, где установлена соответствующая аппаратура.

Круг типичных общих версий сравнительно невелик:

преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов;
ложное заявление о преступлении.

Типичными частными версиями являются:

версии о личности преступника;
версии о местах совершения внедрения в компьютерную систему;
версии об обстоятельствах, при которых было совершено преступление;
версии о размерах ущерба, причиненного преступлением.

Практические особенности отдельных следственных действий

Осмотр и обыск (выемка) по делам данной категории являются важнейшими инструментами установления обстоятельств расследуемого события.

Известно, что главными процессуальными способами изъятия вещественных доказательств являются осмотр, обыск и выемка.

Следует напомнить, что осмотр -это непосредственное обнаружение, восприятие и исследование следователем материальных объектов, имеющих отношение к исследуемому событию. Обыск - следственное действие, в процессе которого производится поиск и принудительное изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства. Выемка - следственное действие, в процессе которого производится изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства, в тех случаях, когда их местонахождение точно известно следователю и изъятие прямо или косвенно не нарушает прав личности.

Носители информации, имеющей отношение к расследуемому событию, могут быть с соблюдением установленного УПК РСФСР порядка изъяты и приобщены к уголовному делу в качестве вещественного доказательства. Для участия в обыске и выемке целесообразно приглашать специалиста в области компьютерной техники. При осмотрах, обысках, выемках, сопряженных с изъятием ЭВМ, машинных носителей и информации возникает ряд общих проблем, связанных со спецификой изымаемых технических средств. Так, необходимо предвидеть меры безопасности, предпринимаемые преступниками с целью уничтожения вещественных доказательств.

Например, они могут использовать специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи. Известна легенда о хакере, который создал в дверном проеме магнитное поле такой силы, что оно уничтожало магнитные носители информации при выносе их из его комнаты.

Преступник имеет возможность включить в состав программного обеспечения своей машины программу, которая заставит компьютер периодически требовать пароль, и, если несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожаются.

Желательно иметь с собой и использовать при обыске и осмотре устройство для определения и измерения магнитных полей.

Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспортировке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность. Все эти внешние факторы могут повлечь потерю данных, информации и свойств аппаратуры. Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств (скрытых отпечатков пальцев на клавиатуре, выключателях и др., шифрованных рукописных записей и пр.). Осмотру подлежат все устройства конкретной ЭВМ.

Фактически оптимальный вариант изъятия ЭВМ и машинных носителей информации - это фиксация их и их конфигурации на месте обнаружения и упаковка таким образом, чтобы аппаратуру можно было бы успешно, правильно и точно так же, как на месте обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов.

Указанные следственные действия могут производиться с целями:

осмотра и изъятия ЭВМ и ее устройств;
поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах;
поиска и изъятия информации и следов воздействия на нее вне ЭВМ.

По прибытии на место осмотра или обыска следует принять меры к обеспечению сохранности информации на находящихся здесь компьютерах и магнитных носителях. Для этого необходимо:

не разрешать кому бы то ни было из лиц, работающих на объекте обыска, прикасаться к работающим компьютерам, магнитным носителям, включать и выключать компьютеры;
самому не производить никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен;
при наличии в помещении, где находятся СКТ и магнитные носители информации, взрывчатых, легковоспламеняющихся, токсичных и едких веществ или материалов как можно скорее удалить эти вещества в другое помещение.

Особенности производства осмотров и обысков

Если компьютер работает, ситуация для следователя, производящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных.

В данной ситуации:

определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его. После остановки программы и выхода в операционную систему (иногда при нажатии функциональной клавиши «F3») можно восстановить наименование вызывавшейся последний раз программы. Можно осуществить фотографирование или видеозапись изображения;
остановить исполнение программы. (Остановка может осуществляться одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break);
зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них;
определить наличие у компьютера внешних устройств - накопителей информации на жестких магнитных дисках и виртуального диска;
определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог изменить или стереть информацию в ходе обыска (например, отключить телефонный шнур из модема),
скопировать программы и файлы данных. Копирование осуществляется стандартными средствами ЭВМ или командой DOS COPY;
выключить подачу энергии в компьютер и далее действовать по схеме «компьютер не работает»

Если компьютер не работает, следует:

точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ПК и его периферийных устройств;
точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением полезно осуществить видеозапись или фотографирование мест соединения;
с соблюдением всех мер предосторожности разъединить устройства компьютера, предварительно обесточив его;
упаковать раздельно носители на дискетах и магнитных лентах и поместить их в оболочки, не несущие заряда статического электричества;
упаковать каждое устройство и соединительные кабели, провода;
защитить дисководы гибких дисков согласно рекомендации изготовителя (вставить новую дискету или часть картона в щель дисковода);
особой осторожности требует транспортировка винчестера.

Поиск и изъятие информации и следов воздействия на нее в ЭВМ и ее устройствах

В компьютере информация может находиться непосредственно в оперативном запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешних запоминающих устройствах (ВЗУ).

Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на дисплее.

Если компьютер не работает, информация может находиться в ВЗУ и других компьютерах информационной системы или в «почтовых ящиках» электронной почты или сети ЭВМ.

Необходимо произвести детальный осмотр файлов и структур их расположения; лучше это осуществить с участием специалиста в лабораторных условиях или на рабочем месте следователя.

Следует обращать внимание на поиск так называемых «скрытых» файлов и архивов, где может храниться важная информация.

Периферийные устройства ввода-вывода могут также некоторое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы глубокие специальные познания Осмотр компьютеров и изъятие информации производится в присутствии понятых, которые расписываются на распечатках информации, изготовленных в ходе осмотра.

Поиск и изъятие информации и следов воздействия на нее вне ЭВМ

3 ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу:

документы, носящие следы совершенного преступления, - телефонные счета, пароли и коды доступа, дневники связи и пр.;
документы со следами действия аппаратуры. Всегда следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;
документы, описывающие аппаратуру и программное обеспечение;
документы, устанавливающие правила работы с ЭВМ, нормативные акты, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал,
личные документы подозреваемого или обвиняемого.

Использование специальных познаний и назначение экспертиз

Юрист-следователь не в состоянии отслеживать все технологические изменения в данной области. Поэтому специалисты крайне необходимы для участия в обысках, осмотрах, выемках.

Поиск таких специалистов следует проводить на предприятиях и в учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских организациях.

Специалисты, привлекаемые в качестве экспертов, могут оказать действенную помощь при решении следующих вопросов (примерный список):

Какова конфигурация и состав компьютерных средств и можно ли с помощью этих средств осуществить действия, инкриминируемые обвиняемому?
Какие информационные ресурсы находятся в данной ЭВМ?
Не являются ли обнаруженные файлы копиями информации, находившейся на конкретной ЭВМ?
Не являются ли представленные файлы с программами, зараженными вирусом, и если да, то каким именно?
Не являются ли представленные тексты на бумажном носителе записями исходного кода программы, и каково назначение этой программы?
Подвергалась ли данная компьютерная информация уничтожению, копированию, модификации?
Какие правила эксплуатации ЭВМ существуют в данной информационной системе, и были ли нарушены эти правила?
Находится ли нарушение правил эксплуатации в причинной связи с уничтожением, копированием, модификацией?

Большую помощь в расследовании могут оказать специалисты зональных информационно-вычислительных центров региональных УВД МВД России. Следует иметь в виду, что в системе МВД начато производство так называемых программно-технических экспертиз. Программно-технической экспертизой (ПТЭ) решаются следующие задачи:

распечатка всей или части информации, содержащейся на жестких дисках компьютеров и на внешних магнитных носителях, в том числе из нетекстовых документов;
распечатка информации по определенным темам;
восстановление стертых файлов и стертых записей в базах данных, уточнение времени стирания и внесения изменений;
установление времени ввода в компьютер определенных файлов, записей в базы данных;
расшифровка закодированных файлов и другой информации, преодоление рубежей защиты, подбор паролей;
выяснение каналов утечки информации из ЛВС, глобальных сетей и распределенных баз данных;
установление авторства, места подготовки и способа изготовления некоторых документов;
выяснение технического состояния и исправности СКТ.

Наряду с этими основными задачами при проведении ПТЭ могут быть решены и некоторые вспомогательные задачи:

оценка стоимости компьютерной техники, периферийных устройств, магнитных носителей, программных продуктов, а также проверка контрактов на их поставку;
установление уровня профессиональной подготовки отдельных лиц в области программирования и работы с СКТ;
перевод документов технического содержания.

В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследования возникает необходимость в назначении криминалистической экспертизы для исследования документов.

Дактилоскопическая экспертиза позволит выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.

Парадоксальность компьютерных преступлений состоит в том, что трудно найти другой вид преступления, после совершения которого его жертва не выказывает особой заинтересованности в поимке преступника, а сам преступник, будучи пойман, всячески рекламирует свою деятельность на поприще компьютерного взлома, мало что утаивая от представителей правоохранительных органов. Психологически этот парадокс вполне объясним. Во-первых, жертва компьютерного преступления совершенно убеждена, что затраты на его раскрытие (включая потери, понесенные в результате утраты банком своей репутации) существенно превосходят уже причиненный ущерб. А во-вторых, преступник, даже заработав максимальный срок тюремного наказания (не очень большой, а если повезет, то условный или сокращенный), приобретет широкую известность в деловых и криминальных кругах, что в дальнейшем позволит ему с выгодой использовать приобретенные знания и умения.

Оценивая современное состояние уголовной и криминалистической теории и учитывая потребности оперативно-следственной практики, надо признать, что в целом проблемы уголовно-правовой характеристики, совершенствования практики раскрытия, расследования и предупреждения компьютерных преступлений изучены явно недостаточно. Необходимость всестороннего исследования обозначенных проблем диктуется как потребностью следственной практики, так и задачами дальнейшего совершенствования как уголовно-правовой, так и криминалистической теории, усиления их влияния на результативность борьбы с компьютерной преступностью.

Компьютеризация России неизбежна. Но надо помнить, что принесет она не только благо. Мы еще не можем в полной мере оценить опасность, какую несут с собой наши «электронные братья по разуму», а потому стоит прислушаться к опытному в этих делах человеку. Директор ЦРУ Джон Дейч недавно сравнил электронную угрозу с ядерной, химической и бактериологической опасностью. Соединенные в единую сеть компьютеры становятся уязвимыми для разного рода хулиганов, террористов, преступников, а, кроме того, дают возможность проведения электронных диверсий и войн.

В заключение следует отметить, что для современного общественного мнения характерен «синдром Робина Гуда» - преступники-хакеры представляются некими благородными борцами с противными толстосумами – банкирами. А посему противозаконное хакерство в России, по-видимому, обречено на дальнейшую активизацию и расширение деятельности.

Контрольные вопросы

Каковы структурные особенности УК РФ в области компьютерной преступности?
Перечислите базовые классификационные признаки угроз информационной безопасности в автоматизированных системах.
Укажите основные причины утечки информации на объектах информатизации?
Что понимается под несанкционированным доступом (НСД) в информационную систему?
Перечислите категории компьютерных преступников.
Назовите виды компьютерной преступности.
Укажите способы совершения компьютерных преступлений.
Какое максимальное наказание и по какой статье может назначить суд за компьютерное преступление?
Как следует опечатывать ПЭВМ так, чтобы исключить возможность работы с ними?
Укажите типичные следственные ситуации при расследовании компьютерных преступлений?

Раздел 2. Информационная безопасность автоматизированных систем

Глава 4. Основы безопасности компьютерных сетей

Единственный способ защититься от окружающего мира – узнать о нем как можно больше.

Джон Локк

4.1. Особенности защиты информации в сетях ЭВМ

В данном разделе учебника рассмотрены вопросы программно-аппаратной реализации защиты информационных систем. Учебник не затрагивает узкие технические аспекты, а ориентирован на концептуальное осмысление обучающимися предлагаемой тематики, необходимое для выработки самостоятельного решения руководителем.

Несмотря на то, что сегодня в России встречаются автоматизированные системы (АС) различных архитектур, подавляющее большинство вновь вводимых в эксплуатацию автоматизированных объектов является сетями ЭВМ.

Несомненные преимущества обработки информации в сетях ЭВМ оборачиваются немалыми сложностями при организации их защиты.

Отметим следующие основные проблемы:

Расширение зоны контроля.

Администратор или оператор отдельной системы или подсети должен контролировать деятельность пользователей, находящихся вне пределов его досягаемости, возможно, в другой стране. При этом он должен поддерживать рабочий контакт со своими коллегами в других организациях.

Комбинация различных программно-аппаратных средств.

Соединение нескольких систем, пусть даже однородных по характеристикам, в сеть увеличивает уязвимость всей системы в целом. Система настроена на выполнение своих специфических требований безопасности, которые могут оказаться несовместимы с требованиями на других системах. В случае соединения разнородных систем риск повышается.

Неизвестный периметр.

Легкая расширяемость сетей ведет к тому, что определить границы сети подчас бывает сложно; один и тот же узел может быть доступен для пользователей различных сетей. Более того, для многих из них не всегда можно точно определить сколько пользователей имеют доступ к определенному узлу и кто они.

Множество точек атаки.

В сетях один и тот же набор данных или сообщение могут передаваться через несколько промежуточных узлов, каждый из которых является потенциальным источником угрозы. Естественно, это не может способствовать повышению защищенности сети. Кроме того, ко многим современным сетям можно получить доступ с помощью коммутируемых линий связи и модема, что во много раз увеличивает количество возможных точек атаки. Такой способ прост, легко осуществим и трудно контролируем; поэтому он считается одним из наиболее опасных. В списке уязвимых мест сети также фигурируют линии связи и различные виды коммуникационного оборудования: усилители сигнала, ретрансляторы, модемы и т. д.

Сложность управления и контроля доступа к системе.

Многие атаки на сеть могут осуществляться без получения физического доступа к определенному узлу с помощью сети из удаленных точек. В этом случае идентификация нарушителя может оказаться очень сложной, если не невозможной. Кроме того, время атаки может оказаться слишком мало для принятия адекватных мер.

По своей сути проблемы защиты сетей обусловлены двойственным характером последних. С одной стороны, сеть есть единая система с едиными правилами обработки информации, а с другой, - совокупность обособленных систем, каждая из которых имеет свои собственные правила обработки информации. В частности, эта двойственность относится и к проблемам защиты. Атака на сеть может осуществляться с двух уровней (возможна их комбинация):

Верхнего - злоумышленник использует свойства сети для проникновения на другой узел и выполнения определенных несанкционированных действий. Предпринимаемые меры защиты определяются потенциальными возможностями злоумышленника и надежностью средств защиты отдельных узлов.
Нижнего - злоумышленник использует свойства сетевых протоколов (правил функционирования сети) для нарушения конфиденциальности или целостности отдельных сообщений или потока в целом. Нарушение потока сообщений может привести к утечке информации и даже потере контроля за сетью. Используемые протоколы должны обеспечивать защиту сообщений и их потока в целом.

Защита сетей, как и защита отдельных систем, преследует три цели: поддержание конфиденциальности передаваемой и обрабатываемой в сети информации, целостности и доступности ресурсов (компонентов) сети. Эти цели определяют действия по организации защиты от нападений с верхнего уровня. Конкретные задачи, встающие при организации защиты сети, обуславливаются возможностями протоколов высокого уровня: чем шире эти возможности, тем больше задач приходится решать Действительно, если возможности сети ограничиваются пересылкой наборов данных, то основная проблем защиты заключается в предотвращении НСД (несанкционированного доступа) к наборам данных, доступным для пересылки Если же возможности сети позволяют организовать удаленный запуск программ, работу в режиме виртуального терминала то необходимо реализовывать полный комплекс защитных мер, в том числе и по каналам связи.

Как и для любой АС, защита сети должна планироваться как единый комплекс мер, охватывающий все особенности обработки информации. В этом смысле организация защиты сети, разработка политики безопасности, ее реализация и управление защитой подчиняются общим правилам, которые были подробно рассмотрены выше. Однако необходимо учитывать, что каждый узел сети должен иметь индивидуальную защиту в зависимости от выполняемых функций и от возможностей сети. При этом защита отдельного узла должна являться частью общей защиты.

На каждом отдельном узле необходимо организовать:

контроль доступа ко всем файлам и другим наборам данных, доступным из локальной сети и других сетей,
контроль процессов, активизированных с удаленных узлов,
контроль сетевого трафика,
эффективную идентификацию и аутентификацию пользователей, получающих доступ к данному узлу из сети;
контроль доступа к ресурсам локального узла, доступным для использования пользователями сети;
контроль за распространением информации в пределах локальной сети и связанных с нею других сетей.

Однако сеть имеет сложную структуру для передачи информации с одного узла на другой последняя проходит несколько стадий преобразовании Естественно, все эти преобразования должны вносить свой вклад в защиту передаваемой информации, в противном случае нападения с нижнего уровня могут поставить под угрозу защиту сети.

Таким образом, защита сети как единой системы складывается из мер защиты каждого отдельного узла и функций защиты протоколов данной сети. Выше мы рассмотрели принципы защиты отдельных узлов.

Необходимость функций защиты протоколов опять же обуславливается двойственным характером сети: она представляет собой совокупность обособленных систем, обменивающихся между собой информацией с помощью сообщений. На пути от одной системы к другой эти сообщения преобразуются протоколами всех уровней. А поскольку они являются наиболее уязвимым элементом сети, протоколы должны предусматривать обеспечение их безопасности для поддержки конфиденциальности, целостности и доступности информации, передаваемой в сети.

Сетевое программное обеспечение должно входить в доверительную базу (ДВБ) узла. В противном случае возможно нарушение работы сети и ее защиты путем изменения программ или данных. Тогда защита информации в сети будет осуществляться сетевой ДВБ (СДВБ, Network TCB, NTCB), которая состоит из ДВБ отдельных узлов, связанных защищенными протоколами При этом протоколы должны реализовывать требования по обеспечению безопасности передаваемой информации которые являются частью общей политики безопасности. Ниже приводится классификация угроз (сами угрозы и механизм противодействия будут рассмотрены в дальнейшем), специфических именно для сетей (угрозы нижнего уровня):

Пассивные угрозы (нарушение конфиденциальности данных, циркулирующих в сети) просмотр и/или запись данных, передаваемых по линиям связи:

просмотр сообщения - злоумышленник может просматривать содержание сообщения, передаваемого по сети;
анализ трафика - злоумышленник может просматривать заголовки пакетов, циркулирующих в сети и на основе содержащейся в них служебной информации делать заключения об отправителях и получателях пакета и условиях передачи (время отправления, класс сообщения, категория безопасности и т. д. ); кроме того, он может выяснить длину сообщения и объем трафика.

Активные угрозы (нарушение целостности или доступности ресурсов (компонентов) сети) - несанкционированное использование устройств, имеющих доступ к сети для изменения отдельных сообщений или потока сообщений:

отказ служб передачи сообщений - злоумышленник может уничтожать или задерживать отдельные сообщения или весь поток сообщений;
«маскарад» - злоумышленник может присвоить своему узлу или ретранслятору чужой идентификатор и получать или отправлять сообщения от чужого имени;
внедрение сетевых вирусов - передача по сети тепа вируса с его последующей активизацией пользователем удаленного или локального узла,
модификация потока сообщений злоумышленник может выборочно уничтожать, модифицировать, задерживать, переупорядочивать и дублировать сообщения, а также вставлять поддельные сообщения.

Совершенно очевидно, что любые описанные выше манипуляции с отдельными сообщениями и потоком в целом, могут привести к нарушениям работы сети или утечке конфиденциальной информации. Особенно это касается служебных сообщений, несущих информацию о состоянии сети или отдельных узлов, о происходящих на отдельных узлах событиях (удаленном запуске программ, например) - активные атаки на такие сообщения могут привести к потере контроля за сетью. Поэтому протоколы, формирующие сообщения и ставящие их в поток, должны предпринимать меры для их защиты и неискаженной доставки получателю.

Дальше мы рассмотрим вопрос выбора сетевой архитектуры, как базовый вопрос, определяющий в последующем потребный набор средств защиты сети.

4.2. Архитектура вычислительной сети и безопасность

Ключевыми качествами архитектуры вычислительной сети, напрямую связанными с экономическими аспектами деятельности современной организации являются:

простота и естественность технологии;
низкий риск и быстрая отдача инвестиций;
интеграционный и «каталитический» характер технологии;
эффективное управление и коммуникации в организации.

Наиболее целесообразной с данной точки зрения, очевидно, является архитектура Интранет. Интранет - это применение технологии Internet в рамках корпоративных систем. Однако для уяснения вопросов реализации информационной безопасности рассмотрим указанную архитектуру более подробно.

Все те полезные качества Internet ( Web-технологии, о которых говорилось выше, реализуются в рамках крайне простой схемы. Программа просмотра, которая размещается на рабочем месте пользователей (навигатор), Web-сервер, который выступает в качестве информационного концентратора, и стандарты взаимодействия между клиентом и Web-сервером. Это практически все, что необходимо для построения пилотного варианта системы. На этой основе можно расширять спектр функций системы, добавляя такие сервисы, как поиск информации, как коллективная работа с единым массивом информации, и ряд других.

При создании систем Интранет отмечено еще одно, по сути, уникальное качество новой технологии, которое заключается в том, что усложнение системы, расширение сервисов, детализация функций не требует от пользователя наращивания специальных знаний. Он учится работе с информацией один раз, а далее, пользуясь в своей повседневной работе средствами навигации по информационному пространству организации, он раз за разом обнаруживает новые возможности, облегчающие выполнение его задач - но при этом инструмент-то остается старым, надежным и испытанным! Разумеется, это психологически исключительно важно. Человек начинает по-другому относится к работе с информацией - он начинает работать быстрее, эффективнее, он видит реальные результаты, приобщается к коллективной работе над колоссальной ценностью, практически самым важным, чем владеет организация - ее информационным хранилищем. Более того, в организации устанавливается разумная и поддерживаемая всеми сотрудниками дисциплина работы с информацией. Информация важна в работе - она актуальна, достоверна, она доступна - и доступна непрерывно, в любое время, как только она потребовалась. Близость информации к потребителю, «информация у кончиков пальцев» - вот в чем одна из причин колоссального успеха технологии Интранет.

Архитектура систем Интранет стала естественным завершением очередного витка спирали эволюции информационных систем - от систем с централизованной архитектурой (на основе больших ЭВМ или мэйнфреймов) через системы «клиент-сервер» в традиционном понимании к Интранет (рис.3)

Рисунок . Виток спирали эволюции

Обратимся к мэйнфреймам (универсальным машинам), в которых в классическом виде была воплощена идея централизации. Все вычислительные ресурсы были сконцентрированы в едином комплексе, там же хранились и обрабатывались огромные массивы данных. Достоинства централизованной архитектуры мэйнфреймов очевидны - это простота администрирования, защиты информации и ряд других. Среди множества характерных черт архитектуры мэйнфреймов особо отметим использование в качестве основного средства доступа к информации алфавитно-цифровых терминалов. Решение выглядело естественным, логичным и оправданным - если где-либо требовался доступ к информационной системе, то к этому месту техническая служба подводила кабели и устанавливала терминал, который тут же начинал работать и пользователь получал доступ к мэйнфрейму. Если терминал ломался, техническая служба заменяла его, и пользователь продолжал свою работу. Вообще говоря, терминал подобен бытовой технике - стиральной машине, холодильнику или утюгу - простому устройству, которое все время функционирует, а в случае поломки подвергается ремонту или замене.

Обратим внимание: поскольку терминал - устройство простое, не требовалось никаких специальных действий по настройке и конфигурированию программного обеспечения в виду его отсутствия. Терминалами управляли с мэйнфрейма, то есть централизованно. Пользователю не надо было забивать голову данными об устройстве терминалов - достаточно было знать, как его включить и на какие кнопки нажимать, чтобы запустить программу и работать с ней. Все терминалы были однотипными - следовательно, гарантировалось, что программа, запущенная на мэйнфрейме, будет работать (то есть отображать информацию и принимать ввод пользователя) на них всех абсолютно одинаково. То есть, устройства на рабочих местах пользователей вели себя предсказуемо и в любой момент могли бы быть заменены. Все это было просто великолепно с точки зрения руководства компаний, где такая технология использовалась. Затраты на обслуживание терминалов и линий связи, конечно, были, но это были предсказуемые и прогнозируемые затраты на выполнение ограниченного набора чисто технических действий со стопроцентным результатом. Но вот произошла революция - появились персональные компьютеры. Стало возможным иметь вычислительные и информационные ресурсы на собственном рабочем месте и управлять ими по собственному разумению. Появился великолепный оконный графический интерфейс, несопоставимый по своим возможностям с ограниченным репертуаром прежних алфавитно- цифровых или даже графических терминалов. Появились новые средства ввода («мышь» и другие), интерфейс с пользователем усложнился, стал богатым и разнообразным, насыщенным цветом, звуком и анимацией. Люди почувствовали вкус к работе с красивыми и изящными средствами. Но не это главное. Появились идея переноса части системы для выполнения на персональном компьютере, непосредственно на рабочем месте - действительно, почему бы не поручить персональному компьютеру выполнять ту часть программы, которая отвечает за интерфейс с пользователем (а может быть, и ту часть программы, которая реализует прикладную логику), а функции обработки данных оставить на центральном компьютере? Таким образом, система стала распределенной - одна ее часть выполнялась на центральном компьютере, другая - на персональном, который был объединен в сеть с центральным. Появилась исключительно удобная и естественная парадигма «клиент-сервер» - модель взаимодействия компьютеров и программ в сети. Высокими темпами стали развиваться средства разработки приложений в архитектуре «клиент-сервер», которыми сейчас мы пользуемся для реализации информационных систем. Начались дискуссии о том, какие функции выполнять на клиенте, какие на сервере, появилось понятие «толстый» и «тонкий» клиент и так далее (все это хорошо известно по многочисленным статьям и нет нужды пересказывать эту историю).

Однако архитектура «клиент-сервер» в том виде, в каком она описана выше, имеет два существенных недостатка, видимых даже при поверхностном анализе. Сравним ее с централизованной архитектурой мэйнфреймов. В последней абсолютно вся информационная система находится на центральном компьютере. На рабочих местах стоят простейшие устройства доступа, дающие возможность человеку управлять процессами в информационной системе. Ни малейшего элемента информационной системы на рабочих местах нет - ни единой строки кода, ни одного файла, ничего. Все процессы происходят на центральной машине, с которым устройство доступа общается посредством максимально простого протокола (передаются экраны и коды нажатых клавиш на пульте), аппаратно реализованного в устройстве доступа. Здесь мы имеем выраженную в концентрированном виде идею «системы, поставляющей информацию» (рис.3).

Рис. 3. Системы, поставляющие информацию

Вовсе не так устроена жизнь в традиционных системах «клиент-сервер», которые появились с развитием ПЭВМ и сетей на их основе. В любой модели, в любом варианте ее исполнения, тот или иной элемент информационной системы присутствует на компьютере-клиенте. Рассмотрим эту проблему более подробно, виду ее важности для последующего изложения.

Традиционные системы «клиент-сервер» - это системы, поставляющие данные, или, для краткости, D-системы (рис. 4).

Рисунок . Системы, поставляющие данные

Они характеризуются следующими чертами:

на сервере порождаются данные (а не информация);
для обмена данными между клиентом и сервером используется закрытый протокол;
данные передаются клиентам, на них интерпретируются и преобразуются в информацию;
фрагменты прикладной системы размещены на клиентах.

D-системы обладают рядом неприятных качеств.

Во-первых, такую систему трудно администрировать. Сложно представить себе действия администратора, которому нужно обновить программу на 10 тысячах ПК, большая часть которых находится в других городах, странах и даже на других континентах. Ситуация усугубляется неоднородностью компьютеров на рабочих местах. Хорошо известно, что термин «IBM PC-совместимый компьютер» определяет огромное, пестрое, разношерстное семейство семейств с плохо прогнозируемым поведением. Очевидно, что в крупных компаниях с большим числом рабочих мест исключительно сложно добиться выравнивания характеристик компьютеров (если только не предположить, что все они приобретены у одного поставщика, и выпущены один за другим). Нет никаких гарантий, что новая редакция программы будет одинаковым образом работать на всех машинах компании.

Во-вторых, нетрудно видеть, что современный ПК весьма уязвим для непродуманных или злонамеренных действий работающего на нем человека. Он может быть надолго выведен из строя разного рода манипуляциями с файловой системой, правкой конфигурационных файлов, установкой новых пакетов (не говоря уже о тривиальных вирусах). Потеря работоспособности машины в большинстве случаев вызывается вполне естественными причинами - ленью, небрежностью, забывчивостью, любопытством или глупостью. Вообще, современный персональный компьютер в его классической конфигурации, характеризуемой локальной файловой системой, локальной загрузкой операционной системы, и т.д. представляет для администратора информационной системы источник постоянного беспокойства и опасений.

Персональные компьютеры сложны в конфигурировании и в поиске неисправностей, на них работают разнородные приложения, что существенно усложняет обслуживание. Практика показывает, что сопровождение ПК оказывается очень дорогостоящей операцией. Средняя стоимость обслуживания одного персонального компьютера составляет от 3 до 7 тыс. долларов в год. Здесь учитываются затраты на приобретение новых версий программных продуктов, стоимость рабочего времени на обслуживание, дополнительные средства для администрирования. Цифра в несколько тысяч долларов считается очень хорошей. Компания должна содержать значительный штат специалистов, обслуживающих персональные компьютеры. Цифра 2 - 3 тыс. в год на обслуживание одного ПК достигается далеко не на тех конфигурациях, к которым мы все привыкли, когда данные расположены на локальных дисках. Она достигается применением всех возможных мер, включая расположение данных на сетевых дисках, унификацию программных и аппаратных средств, разнообразные специальные средства управления, средства динамической конфигурации и т.д. И тем не менее стоимость обслуживания оказывается очень высокой.

D-система - это часто система легко уязвимая и плохо администрируемая. Парадоксально, но такая система теряет и в открытости - ведь для того, чтобы подключиться к информационной системе, необходимо иметь компьютер со специальными характеристиками и предустановленной программой, составляющей фрагмент информационной системы. Значит, в случае его поломки мы не сможем попросту заменить или отремонтировать его как устройство доступа - мы должны выполнить сложные процедуры связывания и согласования данного фрагмента информационной системы с основной ее частью, функционирующей на сервере. И, в любом случае, общение клиента и сервера будет происходить по закрытому протоколу, специфичному для данной информационной системы.

Тяжкий груз проблем в традиционных системах «клиент-сервер», которые по своей сути являются D-системами, снимается в системах новой архитектуры Интранет, которые сконцентрировали и объединили в себе лучшие качества централизованных систем (мэйнфреймов) и традиционных систем «клиент- сервер».

Они отличаются следующими чертами:

на сервере порождается конечный продукт - информация в форме, предназначенной для представления пользователю (а не полуфабрикат в виде данных);
для обмена информацией между клиентом и сервером используется протокол открытого стандарта;
передается клиентам информация в виде, пригодном для восприятия человеком;
прикладная система сконцентрирована на сервере (на клиентах, кроме программ-навигаторов, ничего нет).

Будем называть для простоты такие системы I-системами. По сути, они и есть системы Интранет. Таким образом, на новом витке спирали мы возвращаемся к идеям, воплощенным ранее в мэйнфрэймах, но уже на качественно ином уровне. Рабочее место представляет собой простое универсальное устройство. Фактически, это графический терминал для потребления информации - сетевой компьютер, снабженный специализированным программным обеспечением - программой навигации. Вся потребляемая информация порождается на сервере. Доступ к информации осуществляется через одну и ту же программу, не требующую локальных данных. Устройство на рабочем месте целиком настраивается из центра и нет необходимости выполнять какие-то дополнительные действия по его конфигурированию. Если с устройством что-то происходит, то действия становятся теми же самыми, какими они были на мэйнфрэйме. Одно устройство выключается, приносится другое, включается и работа продолжается.

Одно из полезных качеств систем Интранет - облегченное централизованное управление, причем не только серверной частью, но и рабочими местами. Сегодня уже можно говорить о централизованном конфигурировании каждого рабочего места, что на несколько порядков упрощает и удешевляет администрирование информационной системы. Для упрощения администрирования системы мы совершили три действия. Во-первых, мы сделали рабочие места универсальными, во-вторых, мы сделали их очень простыми, в-третьих, мы предусмотрели централизованное управление серверным оборудованием и рабочими местами. Вообще говоря, мы перешли к I-системе. В таких системах проще решается и вопрос информационной безопасности. Проблема безопасности сложна в первую очередь не тем, что сложны сами по себе задача и каждая отдельная подзадача обеспечения информационной безопасности, а тем, что задач много и они исключительно разнообразны. В D-системах очень сложно обеспечить комплексное решение с одинаковым уровнем надежности, перекрывающее все прикладные системы. Все дело в том, что имеются разнообразные компоненты, разнородные задачи, различные уровни - от системно- технического до прикладного.

Когда мы переходим к технологии Интранет, мы качественно упрощаем себе задачу.

Во-первых, гораздо большая часть ресурсов централизована. Централизованными ресурсами не только легче управлять, но их и легче защищать. Во-вторых, внешние интерфейсы оказываются унифицированными, стандартными. Способов взаимодействия удаленного рабочего места с центральным сервером оказывается очень немного. Не нужно более заботиться о десятках или даже сотнях приложений на компьютерах-клиентах и для каждого из них решать задачу защиты взаимодействия клиента с сервером. Достаточно обеспечить стандартное решение для одного рабочего места, которое и будет стандартным для всех. После того, как вы централизовали данные, у вас появилась возможность тиражировать их в разные точки организации для того, чтобы решать дополнительные задачи, которые возникают в большой информационной системе с целью повышения производительности и надежности, в первую очередь. Технология тиражирования информации позволяет кардинально решить вопрос о надежности информационной системы за счет дублирования и раздельного хранения важной информации.

Ключевые вопросы безопасности в Intranet

Применительно к системам Интранет их глобальная связанность означает, что речь идет о защите сетей, пользующихся внешними сервисами, основанными на протоколах TCP/IP, и предоставляющих аналогичные сервисы вовне (рис. 5). Весьма вероятно, что внешние сервисы находятся в других странах, поэтому от средств защиты в данном случае требуется следование стандартам, признанным на международном уровне. Национальные границы, законы, стандарты не должны препятствовать защите потоков данных между клиентами и серверами (рис. 6).

Рисунок . Поток данных между клиентом и сервером, нуждающийся в защите.

Из факта глобальной связанности вытекает также меньшая эффективность мер физической защиты, общее усложнение проблем, связанных с защитой от несанкционированного доступа, необходимость привлечения для их решения новых программно-технических средств, таких как межсетевые экраны.

Как бы зеркальным отражением глобальной связанности является территориальная разнесенность частей, составляющих современную корпорацию. Имеются в виду не только транснациональные концерны, но и компании средних размеров, располагающие отделениями в нескольких регионах России. Как правило, такие концерны и компании должны использовать для внутренних нужд глобальные сети общего пользования. Значит, необходимо обеспечить защиту потоков корпоративных данных, передаваемых по открытым сетям (рис. 7).

Рисунок . Корпоративные потоки данных, передаваемые по открытым сетям

Разнородность аппаратных и программных платформ требует от изготовителей средств защиты соблюдения определенной технологической дисциплины. Важны не только чисто защитные характеристики, но и возможность встраивания этих систем в современные корпоративные информационные структуры. Если, например, продукт, предназначенный для криптографической защиты, способен функционировать исключительно на платформе Wintel, то его практическая применимость вызывает серьезные сомнения.

Корпоративные информационные системы оказываются разнородными еще в одном важном отношении – в разных частях этих систем хранятся и обрабатываются данные разной степени важности и секретности. Целесообразно в таком случае провести перегородки или, как говорят, внутренние политические границы, разделяющие сегменты разного характера (рис. 8).

Рисунок . Сегментирование корпоративной информационной системы

Следствия использования технологии клиент/сервер для информационной безопасности, коротко говоря, состоят в том, что:

каждый сервис имеет свою трактовку главных аспектов информационной безопасности (доступности, целостности, конфиденциальности);
каждый сервис имеет свою трактовку понятий субъекта и объекта;
каждый сервис имеет специфические угрозы;
каждый сервис нужно по-своему администрировать;
средства безопасности в каждый сервис нужно встраивать по-особому.

Важно, чтобы наличие многочисленных сервисов не противоречило простоте и удобству использования информационной системы. В противном случае, даже без попыток взлома извне или изнутри, будет трудно добиться устойчивой работы системы.

В Интранет-системах ключевым является Web-сервис, поэтому вопрос защищенности Web-серверов принципиально важен. Эти серверы должны поддерживать традиционные защитные средства, такие как аутентификация, разграничение доступа и подотчетность; кроме того, необходимо обеспечение новых свойств, в особенности безопасности программной среды и на серверной, и на клиентской сторонах.

Сведем воедино список упомянутых выше защитных сервисов, необходимых для обеспечения информационной безопасности Интранет-систем:

защита подключений к внешним сетям;
разграничение доступа между сегментами корпоративной сети;
защита корпоративных потоков данных, передаваемых по открытым сетям;
защита потоков данных между клиентами и серверами;
обеспечение безопасности распределенной программной среды;
защита важнейших сервисов (в первую очередь - Web-сервиса);
аутентификация в открытых сетях;
протоколирование и аудит в рамках сетевых конфигураций;
обеспечение простоты архитектуры информационной системы.

Таковы задачи в области информационной безопасности, возникающие в связи с переходом на технологию Интранет. Эти задачи должен представлять руководитель и ставить вопрос об их реализации инженерно-техническим составом. Далее будут рассмотрены аппаратные и программные продукты, способные помочь при реализации указанной концепции.

4.3. Механизмы защиты в вычислительных сетях

Представители различных фирм-производителей сетевого оборудования и различных средств защиты сети видят систему защиты компьютерной информации по-разному. Например, для специалистов фирмы Microsoft убедительным является мнение о том, что полнофункциональную защиту сети можно построить на основе встроенных механизмов ОС (Windows 2000 и т.п.), сотрудники CheckPoint утверждают, что для этого достаточно мощных межсетевых экранов (типа Firewall –1 CheckPoint), а представители Cisco уверены во всемогуществе маршрутизаторов и изделий на их основе. Однако, на практике решения по защите компьютерных систем чаще всего являются интегрированными. Поэтому рассмотрение вопросов построения системы защиты сети следует начинать с понятий механизмов защиты, которые наполняют термин «архитектура безопасности» (не путать данный термин с архитектурой сети, как вариантом построения сети, рассмотренной выше).

Для обеспечения безопасности распределенных систем Международная организация стандартов ISO (International Standart Organization) разработала дополнение к базовой эталонной модели взаимодействия открытых систем и выпустила в 1988 году стандарт ISO 7498-2 Security Architecture (Архитектура безопасности).

Этот стандарт определяет угрозы безопасности и устанавливает требования к наличию механизмов безопасности в среде взаимодействия открытых систем.

Архитектура безопасности указывает на необходимые технические (первые три уровня модели) и программные средства защиты (верхние уровни модели), определяет критерии их работы.

Как и все эталонные системы, архитектура безопасности ISO обладает избыточностью.

Конечно, реализация всех требований, определенных стандартом ISO очень трудна и дорогостояща. На сегодняшний день систем безопасности, полностью соответствующих ISO нет. Данный стандарт фактически является мерой соответствия национальных (промышленных) стандартов эталону (в России – документов Гостехкомиссии РФ).

Требования стандарта ISO по номенклатуре услуг, предоставляемых системой безопасности

Система безопасности в соответствии со стандартом ISO должна обеспечивать следующие услуги безопасности:

Аутентификация однорангового объекта.

Аутентификация происходит при установлении соединения или во время обмена данными для подтверждения того, что одноранговый объект является тем, за кого себя выдает.

Аутентификация источника данных.

Эта услуга подтверждает, что источником блока данных является именно тот, кто ожидался. Данная услуга не предотвращает дублирование или модификацию блоков данных.

Прим. Аутентификация – определение источника информации, то есть конечного пользователя или устройства (центрального компьютера, сервера, коммутатора, маршрутизатора и т.д.)

Контроль доступа, который предотвращает несанкционированное использование ресурсов, доступных через среду OSI. Не все ресурсы должны быть ресурсами OSI. Контроль доступа может применяться к некоторым видам доступа (чтение/запись данных, активизация информационных ресурсов, исполнение операций над ресурсами), либо ко всем видам доступа к ресурсу.
Конфиденциальность соединения, обеспечивающая конфиденциальность всех данных пользователя этого соединения.
Конфиденциальность в режиме без установления соединения, обеспечивающая конфиденциальность всех данных пользователя в отдельном сервисном блоке данных.
Конфиденциальность выделенного поля обеспечивает конфиденциальность определенного поля в блоке данных соединения или сервисном блоке данных в случае режима без установления соединения.
Конфиденциальность трафика предотвращает получение информации путем наблюдения трафика.
Целостность соединения с восстановлением обеспечивает целостность всех данных пользователя этого соединения и позволяет обнаружить модификацию, подстановку или изъятие любых данных или целого сервисного блока данных с возможным последующим восстановлением.
Целостность соединения без восстановления обеспечивает те же возможности, что и предыдущая услуга, но без попытки восстановления.
Целостность выделенного поля в режиме с установлением соединения обеспечивает целостность выделенного поля данных пользователя во всем потоке сервисных блоков данных, передаваемых через это соединение, и обнаружит модификацию , подстановку или изъятие этого поля.
Целостность блока данных в режиме без установления соединения обеспечивает целостность отдельного сервисного блока данных и позволяет обнаружить его модификацию.
Целостность выделенного поля в режиме без установления соединения позволяет обнаружить модификацию выделенного поля в отдельном сервисном блоке данных.
Доказательство источника заключается в предоставлении получателю данных доказательства (в виде данных) с предотвращением любой попытки отправителя отрицать впоследствии факт передачи.
Доказательство доставки заключается в предоставлении отправителю данных доказательства (в виде данных) с предотвращением любой попытки получателя отрицать впоследствии факт получения данных.

Распределение услуг безопасности по уровням эталонной модели ISO приведено в таблице 4. Причем нижние три уровня обеспечиваются аппаратными средствами защиты, в верхние – программными.

Таблица 4

Услуги безопасности	Уровни эталонной модели (OSI)
	1	2	3	4	5	6	7
Аутентификация однорангового объекта			*	*			*
Аутентификация источника данных			*	*			*
Контроль доступа			*	*			*
Конфиденциальность соединения	*	*	*	*		*	*
Конфиденциальность без установления соединения		*	*	*		*	*
Конфиденциальность выделенного поля						*	*
Конфиденциальность трафика		*	*				*
Целостность соединения с восстановлением				*			*
Целостность соединения без восстановления			*	*			*
Целостность выделенного поля с установлением соединения							*
Целостность блока данных без установления соединения			*	*			*
Целостность выделенного поля без установления соединения							*
Доказательство источника							*
Доказательство доставки							*

Механизмы безопасности

Механизмы безопасности предназначены для реализации услуг безопасности. Выделяют следующие механизмы безопасности:

Механизмы шифрования, которые обеспечивают конфиденциальность передаваемых данных и/или информации о потоках данных.

Используемый в данном механизме алгоритм шифрования может использовать секретный или открытый ключ. В первом случае предполагается наличие механизмов управления и распределения ключей. Различают два способа шифрования: канальное (link encryption), реализуемое с помощью протокола канального уровня, и оконечное (абонентское, end-to-end encryption), реализуемое с помощью протокола прикладного или, в некоторых случаях, представительного уровня.

В случае канального шифрования защищается вся передаваемая по каналу связи информация, включая служебную. Этот способ имеет следующие особенности:

вскрытие ключа шифрования для одного канала не приводит к компрометации информации в других каналах;
вся передаваемая информация, включая служебные сообщения, служебные поля сообщений с данными надежно защищена;
вся информация оказывается открытой на промежуточных узлах - ретрансляторах, шлюзах и т. д.; пользователь не принимает участия в выполняемых операциях; для каждой пары узлов требуется свой ключ;
алгоритм шифрования должен быть достаточно стоек и обеспечивать скорость шифрования на уровне пропускной способности канала (иначе возникнет задержка сообщений, которая может привести к блокировке системы или существенному снижению ее производительности); предыдущая особенность приводит к необходимости реализации алгоритма шифрования аппаратными средствами, что увеличивает расходы на создание и обслуживание системы.

Оконечное (абонентское) шифрование позволяет обеспечивать конфиденциальность данных, передаваемых между двумя прикладными объектами. Другими словами, отправитель зашифровывает данные, получатель - расшифровывает. Такой способ имеет следующие особенности (сравните с канальным шифрованием):

защищенным оказывается только содержание сообщения: вся служебная информация остается открытой;
никто кроме отправителя и получателя восстановить информацию не может (если используемый
алгоритм шифрования достаточно стоек);
маршрут передачи несущественен - в любом канале информация останется защищенной;
для каждой пары пользователей требуется уникальный ключ;
пользователь должен знать процедуры шифрования и распределения ключей.

Выбор того или иного способа шифрования или их комбинации зависит от результатов анализа риска. Вопрос стоит следующим образом: что более уязвимо - непосредственно отдельный канал связи или содержание сообщения, передаваемое по различным каналам. Канальное шифрование быстрее (применяются другие, более быстрые, алгоритмы), прозрачно для пользователя, требует меньше ключей Оконечное шифрование более гибко, может использоваться выборочно, однако требует участия пользователя. В каждом конкретном случае вопрос должен решаться индивидуально.

Механизмы цифровой подписи, которые включают процедуры закрытия блоков данных и проверки закрытого блока данных.

Первый процесс использует секретную ключевую информацию, второй - открытую, не позволяющую восстановить секретные данные. С помощью секретной информации отправитель формирует служебный блок

данных (например, на основе односторонней функции), получатель на основе общедоступной информации проверяет принятый блок и определяет подлинность отправителя. Сформировать подлинный блок может только пользователь, имеющий соответствующий ключ.

Механизмы контроля доступа.

Осуществляют проверку полномочий сетевого объекта на доступ к ресурсам. Проверка полномочий производится в соответствии с правилами разработанной политики безопасности (избирательной, полномочной или любой другой) и реализующих ее механизмов (выбор политики безопасности - тема отдельного занятия).

Механизмы обеспечения целостности передаваемых данных.

Эти механизмы обеспечивают как целостность отдельного блока или поля данных, так и потока данных. Целостность блока данных обеспечивается передающим и принимающим объектами. Передающий объект добавляет к блоку данных признак, значение которого является функцией от самих данных. Принимающий объект также вычисляет эту функцию и сравнивает ее с полученной. В случае несовпадения выносится решение о нарушении целостности. Обнаружение изменений может повлечь за собой действия по восстановлению данных.

В случае умышленного нарушения целостности может быть соответствующим образом изменено и значение контрольного признака (если алгоритм его формирования известен), в этом случае получатель не сможет установить нарушение целостности. Тогда необходимо использовать алгоритм формирования контрольного признака как функцию данных и секретного ключа. В этом случае правильное изменение контрольного признака без знания ключа будет невозможно и получатель сможет установить, подвергались ли данные модификации.

Защита целостности потоков данных (от переупорядочивания, добавления, повторов или удаления сообщений) осуществляется с использованием дополнительных формы нумерации (контроль номеров сообщений в потоке), меток времени и т. д.

Механизмы аутентификации объектов сети.

Для обеспечения аутентификации используются пароли, проверка характеристик объекта, криптографические методы (аналогичные цифровой подписи). Эти механизмы обычно применяются для аутентификации одноуровневых сетевых объектов. Используемые методы могут совмещаться с процедурой «троекратного рукопожатия» (троекратный обмен сообщениями между отправителем и получателем с параметрами аутентификации и подтверждениями).

Механизмы заполнения текста.

Используются для обеспечения защиты от анализа трафика. В качестве такого механизма может использоваться, например, генерация фиктивных сообщений; в этом случае трафик имеет постоянную интенсивность во времени.

Механизмы управления маршрутом

Маршруты могут выбираться динамически или быть заранее заданы с тем, чтобы использовать физически безопасные подсети, ретрансляторы, каналы. Оконечные системы при установлении попыток навязывания могут потребовать установления соединения по другому маршруту. Кроме того, может использоваться выборочная маршрутизация (то есть часть маршрута задается отправителем явно - в обход опасных участков)

Механизмы освидетельствования.

Характеристики данных, передаваемые между двумя и более объектами (целостность, источник, время, получатель) могут подтверждаться с помощью механизма освидетельствования. Подтверждение обеспечивается третьей стороной (арбитром), которой доверяют все заинтересованные стороны и которая обладает необходимой информацией.

Помимо перечисленных выше механизмов защиты, реализуемых протоколами различных уровней, существует еще два, не относящихся к определенному уровню. Они по своему назначению аналогичны механизмам контроля в локальных системах:

Обнаружение и обработка событий (аналог средств контроля опасных событий). Предназначены для обнаружения событий, которые приводят или могут привести к нарушению политики безопасности сети. Список этих событий соответствует списку для отдельных систем. Кроме того, в него могут быть включены события, свидетельствующие о нарушениях в работе перечисленных выше механизмов защиты. Предпринимаемые в этой ситуации действия могут включать различные процедуры восстановления, регистрацию событий, одностороннее разъединение, местный или периферийный отчет о событии (запись в журнал) и т. д.

Отчет о проверке безопасности (аналог проверки с использованием системного журнала). Проверка безопасности представляет собой независимую проверку системных записей и деятельности на соответствие заданной политике безопасности.

Функции защиты протоколов (правил) каждого уровня определяются их назначением:

Физический уровень - контроль электромагнитных излучений линий связи и устройств, поддержка коммуникационного оборудования в рабочем состоянии. Защита на данном уровне обеспечивается с помощью экранирующих устройств, генераторов помех, средств физической защиты передающей среды.
Канальный уровень - увеличение надежности защиты (при необходимости) с помощью шифрования передаваемых по каналу данных. В этом случае шифруются все передаваемые данные, включая служебную информации.
Сетевой уровень - наиболее уязвимый уровень с точки зрения защиты. На нем формируется вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Кроме того, протоколами сетевого уровня пакеты обрабатываются на всех маршрутизаторах, шлюзах и др. промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и др.). Защита от всех подобных угроз осуществляется протоколами сетевого и транспортного уровней (см. ниже) и с помощью средств криптозащиты. На данном уровне может быть реализована, например, выборочная маршрутизация.
Транспортный уровень - осуществляет контроль за функциями сетевого уровня на приемном и передающем узлах (на промежуточных узлах протокол транспортного уровня не функционирует). Механизмы транспортного уровня проверяют целостность отдельных пакетов данных, последовательности пакетов, пройденный маршрут, время отправления и доставки, идентификацию и аутентификацию отправителя и получателя и др. функции. Все активные угрозы становятся видимыми на данном уровне. Гарантом целостности передаваемых данных является криптозащита данных и служебной информации. Никто кроме имеющих секретный ключ получателя и/или отправителя не может прочитать или изменить информацию таким образом, чтобы изменение осталось незамеченным. Анализ трафика предотвращается передачей сообщений, не содержащих информацию, которые, однако, выглядят как настоящие. Регулируя интенсивность этих сообщений в зависимости от объема передаваемой информации можно постоянно добиваться равномерного трафика. Однако все эти меры не могут предотвратить угрозу уничтожения, переориентации или задержки сообщения. Единственной защитой от таких нарушений может быть параллельная доставка дубликатов сообщения по другим путям.
Протоколы верхних уровней обеспечивают контроль взаимодействия принятой или переданной информации с локальной системой. Протоколы сеансового и представительного уровня функций защиты не выполняют. В функции защиты протокола прикладного уровня входит управление доступом к определенным наборам данных, идентификация и аутентификация определенных пользователей, а также другие функции, определяемые конкретным протоколом. Более сложными эти функции являются в случае реализации полномочной политики безопасности в сети.

Рассмотренные механизмы защиты распределены по уровням защиты корпоративной сети: рабочего места; системы (сервера); приложения (например, системы управления базой данных); корпоративной сети; телекоммуникаций.

Возрастание уровня защиты (и, следовательно, активация новых механизмов) возникает в процессе развития сети или ее модернизации.

Контрольные вопросы

Назовите основные проблемы, с которыми сталкиваются специалисты при построении защиты компьютерных сетей?
Что такое Интранет?
Каковы преимущества защиты централизованной архитектуры мэйнфреймов?
Каковы недостатки, с точки зрения организации защиты, архитектуры «клиент-сервер»?
Верно ли утверждение: «Интранет – это гибридная архитектура, имеющая положительные и отрицательные войства своих предшественников» ?
Укажите перечень защитных сервисов, необходимых для обеспечения информационной безопасности Интранет-системах.
Что понимается под стандартом ISO 7498-2 Security Architecture (Архитектура безопасности)?
Назовите требования международных стандартов по номенклатуре услуг, предоставляемых системой безопасности.
Что такое аутентификация?
Перечислите основные механизмы безопасности в автоматизированных системах.

Глава 5. Типовые решения по безопасности компьютерных сетей

Если опасность неизвестна - считайте ее реальной.

Правила морского судоходства

5.1. Модели безопасного подключения к Internet

Защита информации в сетевом пространстве Internet является предметом исследований и заботой множества людей. Предлагаем читателям ознакомиться с вариантами подходов к данной проблеме, связанными с безопасностью корпоративных сетей.

Важнейшую проблему, решаемую сегодня разработчиками корпоративных сетей, можно сформулировать в виде вопроса: «Защита в Internet или от Internet?» В рамках построения защищенной корпоративной сети ответ на данный вопрос обуславливает выбор одной из двух концепций:

построение защищенной корпоративной (виртуальной или наложенной) сети на базе каналов связи и средств коммутации сетей передачи данных общего пользования, в которой применяются открытые протоколы Internet, что предполагает проектирование и воплощение надежной системы защиты;
отказ от средств Internet как таковых, создание специализированной или выделенной сети корпорации с использованием конкретной сетевой технологии, в частности АТМ, Frame relay, ISDN.

Эти концепции являются полярными взглядами на проблему и, как следствие, обладают определенными недостатками.

Первый подход связан с большими затратами на обеспечение достаточной степени защищенности информации при подключении к Internet.

Второй предлагает отказаться от использования Internet, причем не только от существующих в ней каналов связи, узлов коммутации и предоставляемых сервисов, но и от реализуемых в Internet технологий, убедительно доказавших свою жизнеспособность (доступ и поиск информационных ресурсов, Web-реклама и т.д.). При этом можно констатировать, что в рамках указанных телекоммуникационных решений реализованы свои электронная почта, компьютерная телефония и другие виды сервиса.

Очевидно, что полный отказ от Internet может нанести урон имиджу предприятия. Поэтому чаще принимается первый вариант построения корпоративных сетей. Вопрос же о необходимости дополнительной защиты компьютерной системы при работе в Internet сегодня не вызывает сомнений. Жаркие дискуссии разворачиваются при ответах на следующие вопросы:

От чего надо защищать систему?
Что надо защищать в самой системе?
Как надо защищать систему (при помощи каких методов и средств)?

В данном разделе мы рассмотрим ответы на поставленные вопросы и укажем, как можно минимизировать затраты на основе типовых обязательных решений по безопасности в Internet.

Для облегчения понимания принципов работы Internet разъясним значение используемых нами терминов. Стек (набор) протоколов TCP/IP – базовый набор правил (протоколов), определяющих функционирование Internet. Термином IP-адрес хоста обозначается адрес, принадлежащий узлу сети, поддерживающей семейство протоколов TCP/IP.

Кроме адреса хоста используется такое понятие, как порт. Для чего он нужен? На одном узле сети можно запустить много различных сетевых приложений, которые решают совершенно разные задачи.

Так же как и электроника компьютера имеет много портов ввода/вывода, каждый для своих целей, сетевой интерфейс имеет много портов. Некоторые из этих портов уже зарезервированы для определенных стандартных задач. Например, порты 20 и 21 для передачи файлов по протоколу FTP (File Transfer Protocol).

Для передачи файла программа FTP-клиент должна послать запрос через эти порты по известному адресу. Если по этому адресу на узле запущена программа FTР-сервер, то она ожидает прихода запросов на этих же портах. В случае принятия запроса сервер отвечает соответствующим образом, определив адрес, откуда пришел запрос.

Совокупность адреса хоста и номера порта называют сокетом. Если представить канал передачи данных в виде шланга, по которому «текут» данные в обоих направлениях, то сокет и будет концом этого шланга, куда они «вливаются» или откуда «выливаются».

Определим понятие имя хоста. Для удобства пользователя вместо IP-адреса используют доменное имя. Человек задает имя хоста, а программа обращается к ближайшему DNS (Domain Name Server), который хранит базу данных соответствия между именем и адресом. Если имя не найдено, происходит обращение к другому DNS. Когда адрес будет определен, программа использует его для обращения к нужному хосту.

Какие отсюда следствия? В случае перевода узла в другое место его IP-адрес, разумеется, изменится, однако доменное имя можно оставить прежним, внеся изменения в DNS. Одному адресу может соответствовать несколько имен: официальное имя хоста и псевдонимы. Псевдонимы можно использовать для доступа к хосту наравне с официальным именем, но в DNS может не быть записи для хоста. Это означает, что хост не имеет ни имени, ни псевдонимов и попасть на него можно только по адресу. Однако одному имени может соответствовать несколько адресов.

Примеры:

1. Один из хостов фирмы Ingress имеет официальное имя nfsl. ingress, corn, один псевдоним www.ingress.com и адрес 199.171.57.3. Web-сервер обслуживает порт 80. FINGER-cepsep обслуживает порт 79. TELNET-сервер обслуживает порт 23.

2. Всем известный хост Microsoft Corporation имеет официальное имя www.microsoft.com, более 11 адресов и не имеет псевдонимов.

3. Эротический узел FreePix не имеет ни официального имени, ни псевдонимов, но имеет адрес 207.87.4.201.

Web-сервер «откликается» на обращение по порту 80, причем не имеет странички по умолчанию (http://207.87.4.201/ не пройдет), требует указания имени и полного пути к конкретному документу. Таким образом, он доступен только для «знающих людей».

Модуль регистрирует открытие сокетов и их закрытие. Сокет может быть открыт и затем закрыт без каких-либо операции на нем. Определить, с кем мы соединяемся, можно только в момент, когда на этом сокете начнется реальная пересылка или прием данных. (Сокет представляет комбинацию адреса нашего узла и номера порта, а определить адрес другого конца «шланга» можно только тогда, когда кто-то пошлет или примет через «шланг» пакет данных.)

Поэтому адрес хоста, с которым было соединение, указывается только при закрытии сокета.

Рассмотренные термины позволят описать политику и процедуры защиты в Internet.

Укажем тех должностных лиц, кто участвует в формировании политики безопасности на трех уровнях:

Лица из верхнего звена управления организацией, которым требуется понимать некоторые риски и последствия использования INTERNET, чтобы они могли рационально распределить ресурсы и назначить ответственных за те или иные вопросы.

Начальники подразделений безопасности организации, которым требуется разрабатывать специфические политики безопасности

Администраторы безопасности организации, которым нужно понимать, почему им надо применять те или иные программно-аппаратные средства для защиты, и каковы причины использования организационных мер и правил работы в INTERNET, которым им надо будет обучать пользователей в организации.

Из практики известно, что организация, подключившиеся к INTERNET будет атакована хакерами не позднее, чем через два месяца (для банков и крупных организаций - в течение двух дней).

Если конкретизировать вопросы, учитывающие возможные последствия подключения к INTERNET, то их можно сформулировать следующим образом:

Могут ли хакеры разрушить внутренние системы?

Может ли быть скомпрометирована (изменена или прочитана) важная информация организации при ее передаче по INTERNET?

Можно ли помешать работе организации?

Все это – важные вопросы. Существует много технических решений для борьбы с основными проблемами безопасности INTERNET. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении легкости использования INTERNET. Третьи требуют вложения значительных ресурсов – рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ.

Цель формирования политики безопасности для INTERNET– подготовить решение о том, как организация собирается защищаться. Политика обычно состоит из двух частей – общих принципов и конкретных правил работы (которые эквивалентны специфической политике, описанной ниже). Общие принципы определяют подход к безопасности в INTERNET. Правила же определяют что разрешено, а что – запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.

Правда, существует и третий тип политики, который встречается в литературе по безопасности в INTERNET. Это – технический подход. Он, в основном, слишком техничен и сложен для понимания руководством организации. Поэтому он не может использоваться так же широко, как политика. Тем не менее, он обязателен при описании возможных решений, определяющих компромиссы, которые являются необходимым элементом при описании политики.

Чтобы политика для INTERNET была эффективной, разработчики политики должны понимать смысл компромиссов, на которые им надо будет пойти. Эта политика также не должна противоречить другим руководящим документам организации.

Фундаментальная проблема состоит в том, что INTERNET при проектировании и не задумывался как защищенная сеть. Некоторыми его проблемами в текущих версиях TCP/IP являются:

Легкость перехвата данных и фальсификации адресов машин в сети – основная часть трафика INTERNET – это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены, используя легко доступные программы.

Уязвимость средств TCP/IP – ряд средств TCP/IP не был спроектирован быть защищенными и может быть скомпрометирован квалифицированными злоумышленниками; средства, используемые для тестирования особенно уязвимы.

Отсутствие политики – многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны INTERNET, не учитывая возможность злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.

Сложность конфигурирования – средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок. Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.

Термин политика компьютерной безопасности в INTERNET имеет различное содержание для различных людей. Это может быть директива одного из руководителей организации по организации программы компьютерной безопасности., устанавливающая ее цели и назначающая ответственных за ее выполнение. Или это может быть решение начальника отдела в отношении безопасности электронной почты или факсов. Или это могут быть правила обеспечения безопасности для конкретной системы (это такие типы политик, про которые эксперты в компьютерной безопасности говорят, что они реализуются программно-аппаратными средствами и организационными мерами). Мы под политикой компьютерной безопасности будем понимать документ, в котором описаны решения в отношении безопасности. Под это определение подпадают все типы политики, указанные выше и рассмотренные далее.

При принятии решений администраторы сталкиваются с проблемой совершения выбора на основе учета принципов деятельности организации, соотношения важности целей, и наличия ресурсов. Эти решения включают определение того, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.

Необходимым элементом политики является принятие решения в отношении данного вопроса. Оно задаст направление деятельности организации. Для того чтобы политика была успешной, важно, чтобы было обоснованно выбрано одно направление из нескольких возможных.

Политика (хорошая политика) может быть написана только для группы людей с близкими целями. Поэтому организации может потребоваться разделить себя на части, если она слишком велика или имеет слишком различные цели, чтобы быть субъектом политики безопасности в INTERNET.

Обычно политика должна включать в себя следующие части:

Предмет политики. Для того чтобы описать политику по данной области, администраторы безопасности сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики – это может помочь добиться соблюдения политики. В отношении политики безопасности в INTERNET организации может понадобиться уточнение, охватывает ли эта политика все соединения, через которые ведется работа с INTERNET (напрямую или опосредованно) или собственно соединения INTERNET. Эта политика также может определять, учитываются ли другие аспекты работы в INTERNET, не имеющие отношения к безопасности, такие как персональное использование соединений с INTERNET.

Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу. Это может быть утверждение о разрешении или запрете пользоваться INTERNET и при каких условиях.

Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.

Роли и обязанности. Нужно описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики. Для такого сложного вопроса, как безопасность в INTERNET, организации может потребоваться ввести ответственных за анализ безопасности различных архитектур или за утверждение использования той или иной архитектуры.

Соблюдение политики. Для некоторых видов политик INTERNET может оказаться уместным описание, с некоторой степенью детальности, нарушений , которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания и это должно быть увязано с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.

Консультанты по вопросам безопасности и справочная информация. Для любой проблемной политики нужны ответственные консультанты, с кем можно связаться и получить более подробную информацию. Так как должности имеют тенденцию изменяться реже, чем люди, их занимающие, разумно назначить лицо, занимающее конкретную должность как консультанта. Например, по некоторым вопросам консультантом может быть один из менеджеров, по другим - начальник отдела, сотрудник технического отдела, системный администратор или сотрудник службы безопасности. Они должны уметь разъяснять правила работы в INTERNET или правила работы на конкретной системе.

Координация с другими проблемными политиками. INTERNET – это только один из множества способов, которыми организация обычно взаимодействует с внешними источниками информации. Политика INTERNET должна быть согласована с другими политиками в отношении взаимоотношений с внешним миром. Например:

Физический доступ в здания и на территорию организации. INTERNET – это как бы электронная дверь в организацию. В одну и ту же дверь может войти как добро, так и зло. Организация, территория которой открыта для входа, наверное, уже приняла решение на основе анализа рисков, что открытость либо необходима для выполнения организацией своих задач, либо угроза слишком мала, что ей можно пренебречь. Аналогичная логика применима к электронной двери. Тем не менее, существуют серьезные отличия. Физические угрозы более привязаны к конкретному физическому месту. А связь с INTERNET – это связь со всем миром. Организация, чья территория находится в спокойном и безопасном месте, может разрешать вход на свою территорию, но иметь строгую политику в отношении INTERNET.

Взаимодействие со средствами массовой информации. INTERNET может быть формой для общения с обществом. Многие организации инструктируют сотрудников, как им вести себя с корреспондентами или среди людей при работе. Эти правила следовало бы перенести и на электронное взаимодействие. Многие сотрудники не понимают общественный характер INTERNET.

Электронный доступ. INTERNET – это не единственная глобальная сеть. Организации используют телефонные сети и другие глобальные сети (например, SPRINT) для организации доступа удаленных пользователей к своим внутренним системам. При соединении с INTERNET и телефонной сетью существуют аналогичные угрозы и уязвимые места.

Не думайте, что как только ваша организация разработает большое число политик, директив или приказов, больше ничего не надо делать. Оглянитесь кругом и посмотрите, соблюдают ли формально написанные документы (это в России-то ?!). Если нет, то вы можете либо попытаться изменить сам процесс разработки документов в организации (что вообще трудно, но тем не менее возможно), либо оценить, где имеются проблемы с ее внедрением и устранять их.

Успех политики безопасности больше зависит от усилий и опытности людей, реализующих политику, чем от сложных технических средств контроля. Эффективная безопасность в INTERNET начинается с сетевого администратора( чатсо называемого администратором ЛВС или системным администратором).

Сетевые администраторы отвечают за реализацию безопасности в ЛВС в той степени, в которой это требуется при соединении с INTERNET. Если имеется несколько сетевых администраторов, важно, чтобы их обязанности были согласованы. Например, атака на веб-сервер организации может потребовать приведения в действие планов обеспечения непрерывной работы и восстановления веб-сервера, выполняемых веб-администратором, а также усиления наблюдения за сетью и ее аудирования, выполняемых сетевым администратором, и усиленного контроля потоков данных через брандмауэр, выполняемого администратором брандмауэра. От размера сети организации зависит, какие административные функции должны выполняться одним и тем же человеком или группой людей..

Организация должна явно указать ФИО сотрудника или отдел, ответственный за поддержание безопасности соединения с INTERNET. Часто эта обязанность возлагается на сетевого администратора, но может быть дана и отдельной организации, профессионально занимающейся компьютерной безопасностью. В этом случае, сетевой администратор и ответственный за безопасность должны хорошо координировать свои действия и ответственный за безопасность должен хорошо разбираться в технических деталях протоколов в INTERNET.

В целях реализации политики безопасности используют следующие модели подключения к Internet (рис. 9): с физической изоляцией; с изоляцией протокола; с маршрутизаторами; со свойствами шлюза.

Самым безопасным и простым для конфигурирования является модель, когда компьютер, предназначенный для доступа в Internet, физически отделен от корпоративной локальной сети. При отсутствии физического доступа взломщик не может просматривать локальную сеть, но сам сервер Internet остается уязвимым.

Эта модель может быть расширена за счет небольшой локальной сети («киоска»), подключенной к серверу Internet, но физический доступ с рабочих станций корпоративной сети все равно отсутствует. В любом случае ограничением для данной модели безопасности является невозможность разделение файлов в корпоративной сети и Internet.

Если вы хотите, чтобы информацию на сервере Internet можно было просматривать как с рабочих станций локальной сети, так и из Internet, то следует использовать модель на основе изоляции протоколов. В соответствии с ней на сервере устанавливается две сетевые карты: одна для соединения с локальной сетью, другая - для связи с Internet. Связь с локальной сетью осуществляет протокол SPX/IPX, а связь с

Локальная Протокол Сервер Протокол Internet

сеть Internet

Физическая изоляция Межсетевой протокол IP

Изоляция протокола IPX Межсетевой протокол IP

Маршрутизатор различных фирм Межсетевой протокол IP

Шлюз IP Межсетевой протокол IP

Рисунок . Модели безопасного подключения к Internet

Internet другой протокол - TCP/IP. В этом случае пользователи Internet не могут просматривать корпоративную сеть, а пользователи локальной сети не могут получить прямой доступ в Internet. Таким образом, создается виртуальный барьер для передачи пакетов информации через сервер. Эту и последующие модели называются межсетевыми экранами (firewall или брандмауэрами).

Подобная модель хорошо работает, если основная задача пользователей локальной сети состоит в том, чтобы поставлять информацию пользователям Internet или извлекать ее из своих почтовых ящиков и интегрировать ее с информацией, рассылаемой по локальной сети. Недостатком подобной организации является отсутствие прямого доступа в Internet для пользователей локальной сети и, как следствие, невозможность работы с ресурсами, отличными от установленных на сервере.

Если к Internet подключается крупномасштабная корпоративная сеть, использующая TCP/IP, то на сервер необходимо инсталлировать программное обеспечение маршрутизатора и использовать для передачи выделенный канал.

Таким же образом организуется доступ пользователей через шлюз Internet. Шлюз полностью перерабатывает единицы передачи информации в сети (пакеты), т.е. правила функционирования сети или протоколы. Это, по существу, сводит на нет усилия злоумышленников по преодолению защиты, которые они предприняли.

Помимо рассмотренных моделей безопасности, сетевой администратор должен учитывать следующее обстоятельство. Работая с сервисами FTP и Telnet, не забывайте, что передача входных имен пользователей и их паролей происходит открытым текстом, без шифрования. Желательно сконфигурировать сервер таким образом, чтобы была возможна анонимная регистрация. В этом случае пользователи будут применять в качестве входного имени anonymous, а в качестве пароля - свой адрес электронной почты в Internet. В Windows такой вход соответствует бюджету пользователя с именем GUEST, у которого минимальные права. Такой подход к использованию анонимной регистрации очень сильно снижает вероятность взлома вашей сети, так как реальные имена и пароли в данном случае не используются. Более того, протокол событий можно сконфигурировать таким образом, чтобы он отслеживал все попытки входа в систему. Выведенный на печать листинг протокола событий позволяет администратору сети обнаружить попытку взлома.

В связи с тем, что межсетевые экраны (МЭ) являются базовыми средствами защиты в INTERNET, то рассмотрение вопросов построения и применения МЭ вынесено в отдельную тему. При этом следует отметить, что на практике, как правило, предлагаются комбинированые решения, имеющие иерархическую архитектуру из различных моделей.

5.2. Принципы функционирования межсетевых экранов

Межсетевой экран (firewall) – это компьютер, маршрутизатор или другое коммуникационное устройство, ограничивающее доступ к защищаемой сети (изначально firewall - это огнеупорная стенка, отделяющая водителя в гоночном автомобиле от двигателя; если при аварии двигатель загорается, водитель остается жив).

Чаще всего, МЭ - это приложения (программы), которые должны быть развернуты в сети; им, как и любому другому приложению, требуется управление, мониторинг и сопровождение.

МЭ позволяет защитить сеть компании от несанкционированного проникновения из Internet, в то же самое время, позволяя пользователям внутри компании иметь доступ к Internet. Многие системы firewall в наше время также имеют средства для контроля, аутентификации и обеспечения конфиденциальности информации.

Без защиты МЭ не стоит и думать о постоянном подключении к Internet. Даже если вы считаете, что у вас нет секретов от других, всегда в Internet найдутся люди, желающие «зайти» на ваш сервер либо из-за желания воспользоваться бесплатными ресурсами, либо просто из любопытства (и в этом нет ничего противоестественного). Скоро вы заметите, что дискового пространства становится маловато, да и канал в Internet перегружен.

Учитывая насущность проблемы защиты сетей, использующих протоколы TCP/IP, Государственная Техническая Комиссия при Президенте Российской Федерации 25 июня 1997 г. издала руководящий документ (РД) «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (далее РД к МЭ) как дополнение к руководящим документам «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации», 1992 г. (РД к АС).

В РД к МЭ межсетевые экраны определяются как «локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из друтой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола».

Обычно МЭ защищают внутреннюю сеть компании от «вторжений» из Internet. Однако они могут использоваться и для защиты от «нападений», например, из корпоративной интрасети, к которой подключена и ваша сеть. Как и в случае реализации любого другого механизма сетевой защиты, организация, вырабатывающая конкретную политику безопасности, кроме всего прочего, должна определить тип трафика TCP/IP, который будет восприниматься МЭ как «авторизованный». Например, необходимо решить, будет ли ограничен доступ пользователей к определенным службам на базе TCP/IP, и если будет, то до какой степени. Выработка политики безопасности позволит выяснить, какие компоненты МЭ вам необходимы и как их сконфигурировать, чтобы обеспечить ограничения доступа, заданные вами.

В принципе, МЭ можно рассматривать как два механизма: один блокирует трафик, другой пропускает трафик. Платформе МЭ целесообразно должна иметь два или более сетевых интерфейса. Подключившись одним интерфейсом к одной сети (например, Internet), а другим - к другой (например, к Intranet - внутренней сети предприятия), МЭ определяет, какие пакеты пропускать в одну сторону, а какие - в другую.

Разные схемы настройки МЭ позволяют сделать акцент либо на разрешении доступа, либо на запрещении. Например, МЭ можно настроить так, чтобы он разрешил FTP-доступ (один из распространенных сервисов в Internet) из сети А к серверу S, находящемуся в сети В, а любой другой трафик блокировал. Или наоборот, можно разрешить доступ снаружи ко всем ресурсам сети А, кроме порта на сервере S, на котором сидит сервер базы данных, таким образом, защитив базу данных от несанкционированного доступа. Обе схемы имеют свои преимущества, однако, по понятным причинам коммерческие организации чаще выбирают первую схему.

Базовым протоколом для передачи данных по Internet, как указывалось выше, является набор протоколов TCP/IP. Передаваемые по сети данные представляют собой набор пакетов. Каждый пакет имеет исходящий и входящий IP адрес, а также указание на службу TCP/IP, которая будет обрабатывать данный пакет.

Межсетевые экраны позволяют устанавливать гибкие правила для доставки пакетов в любой из сегментов.

Политика доступа специфична для конкретного межсетевого экрана и определяет правила, используемые для реализации политики доступа к сервисам. Реализуется одна из двух базовых политик: разрешить доступ для сервиса, если он явно не запрещен; запретить доступ для сервиса, если он явно не разрешен.

Межсетевой экран, который реализует первую политику, пропускает все сервисы в сеть по умолчанию, если только этот сервис не был явно указан в политике управления доступом как запрещенный.

Межсетевой экран, который реализует вторую политику, по умолчанию запрещает все сервисы, но пропускает те, которые указаны в списке разрешенных сервисов. Вторая политика следует классической модели доступа, используемой во всех областях информационной безопасности.

Первая политика менее желательна, так как она предоставляет больше способов обойти межсетевой экран, например пользователи, могут получить доступ к новым сервисам, не запрещаемым политикой (или даже не указанных в политике), или запустить запрещенные сервисы на нестандартных портах, которые не запрещены политикой. Определенные сервисы, такие как X Windows , FTP, ARCHIE и RPC, сложно фильтровать, и для них лучше подходит межсетевой экран, реализующий первую политику.

Вторая политика строже и безопаснее, но ее тяжелее реализовать и она может повлиять на работу пользователей в том отношении, что ряд сервисов, такие, как описанные выше, могут оказаться блокированными или использование их будет ограничено.

Концептуально системы МЭ делятся на две категории: сетевого уровня и уровня приложений.

На практике системы обоих типов не так сильно отличаются друг от друга. К тому же современные технологии МЭ еще больше стирают различия между ними. Выбор типа системы зависит от решаемой задачи.

МЭ сетевого уровня принимает решение, опираясь на такие основные параметры, как адрес источника, адрес назначения и номера портов для каждого отдельного IP пакета. Примером традиционного МЭ сетевого уровня может служить простой маршрутизатор, поскольку он не способен распознать, что данный пакет действительно означает в данном контексте или откуда на самом деле пакет пришел. Однако современные системы МЭ сетевого уровня (например, маршрутизаторы фирмы Cisco) обладают все большей и большей степенью интеллекта, понимают протоколы более высокого уровня и способны отслеживать контекст соединений, проходящих через них. Самая важная черта МЭ сетевого уровня - это то, что они маршрутизируют трафик (поток данных). МЭ сетевого уровня обычно очень быстрые и прозрачные для пользователей.

МЭ уровня приложений - это обычно сервер с программой proxy (например, Socks proxy), запрещающий прямой трафик между сетами. Нередко термин proxy употребляюг для обозначения именно МЭ уровня приложений. Поскольку proxy является программным компонентом, это позволяег вести самый тщательный контроль доступа и протоколирование сессий пользователей. МЭ уровня приложений также очень часто содержат возможности для трансляции адресов из формата Intranet в официальные адреса Internet. При этом нескольким адресам Intranet может соответствовать всего один адрес Internet, таким образом, решая проблему регистрации больших блоков IP-адресов. Также многие продукты proxy позволяют кэшировать (сохранять) обращения наружу, снижая исходящий трафик и значительно ускоряя обращения (нередко в несколько раз - в случае больших организаций). Как правило, МЭ уровня приложений менее прозрачен для пользователей, чем МЭ сетевого уровня и требует дополнительных настроек клиентской части.

Безусловно, будущее МЭ за системами, которые будут представлять собой комбинацию обеих технологий. Однако, не следует делать ставку на гибридные (комплексные) МЭ, реализующие обе концепции защиты параллельно, а не последовательно. В этом случае надежность МЭ определяется надежностью наименее стойкого компонента, что обычно приводит к неудовлетворительным результатам.

В соответствии с требованием Гостехкомиссии России системы МЭ должны принимать решение на основе как минимум двух атрибутов (адрес отправителя/адрес получателя и т.д.)

В описанной ситуации таблица правил может выглядеть следующим образом (табл. 5).

Таблица 5

Правило	Адрес отправителя	Адрес получателя	Указание
А	194.226.0.0/16	194.85.21.0/24	Разрешить
В	194.226.55.0/24	194.85.0.0/16	Запретить
С	0.0.0.0/0	0.0.0.0/0	Запретить

По целевому предназначению существует другая градация МЭ:

МЭ с высоким коэффициентом готовности (high-availability) – для защиты периметра сети;

МЭ класса SOHO (для малого / домашнего оффиса), разворачиваемые и администрируемые сервис-провайдерами;

Арендуемые МЭ (collocated) – для обслуживания многочисленных клиентов сервис-провайдеров (xSP);

Персональные МЭ, управляемые централизовано и предназначенные для корпоративных настольных систем.

МЭ не может защитить от атак, которые исходят изнутри организации: к сожалению, дискета или распечатка может быть использована с таким же успехом, чтобы похитить засекреченную информацию. Безграмотный пользователь или злоумышленник может передать информацию наружу по телефону или факсу.

Использование даже самой надежной системы МЭ, неподкрепленное соответствующими административными мерами - это все равно, что ставить дверь из нержавеющей стали на деревянный сарай.

МЭ плохо защищает от вирусов и других вредоносных программ (имеется в виду активизация соответствующих фильтров). Чтобы обеспечить эффективную защиту от вирусов, необходим целый комплекс мер (как технических, так и административных), включая установку антивирусных программ на рабочие станции и файл-серверы, обучение сотрудников и выработку системы правил безопасности в организации.

В связи с тем, что, в соответствии со статистическими экспертными данными, большинство сетевых проблем безопасности связано с вредоносными программами, это направление защиты рассмотрено отдельно.

5.3. Понятие о VPN-решениях

Объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную сеть, обеспечивающую безопасность циркулирующих данных, называют защищенной виртуальной сетью (Virtual Private Network - VPN). Эта сеть создается программными продуктами на конкретный сеанс передачи информации. Поэтому фактически этой сети не существует и она называется виртуальной. Другой специфической особенностью такой сети является обязательное применение шифрования для закрытия информации. Криптографическая защита (т.е. защита на основе шифрования) сегодня считается обязательным и самым надежным механизмом безопасности.

Виртуальная сеть формируется на основе каналов связи открытой сети. Открытая сеть может служить основой для одновременного сосуществования множества виртуальных сетей, количество которых определяется пропускной способностью открытых каналов связи.

Компания Check Point Software Technologies, которая не без основания считается законодателем моды в области VPN и МЭ (например, по данным независимых консалтинговых и аналитических агентств Dataquest и IDC компания Check Point захватила 52 % мирового рынка VPN-решений и 41 % МЭ), дает следующее определение: «VPN – это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия».

Можно встретить и такие общие подходы к определению VPN:

VPN – это защита трафика, основанная на криптографии;
VPN – это средство коммуникации, так как гарантия защиты
доступа к внутренним ресурсам из любой точки мира инициирует применение информационных систем для удаленного доступа;
VPN – это средство влияния на стратегию развития коммуникационных систем корпорации: вместо того, чтобы вкладывать огромные средства в строительство собственных выделенных линий, вы практически сегодня же можете получить надежно защищенные каналы связи от коммуникационных провайдеров.

Под VPN понимают потоки данных одного предприятия, которые существуют в публичной сети с коммутацией пакетов и в достаточной степени защищены от влияния потоков данных других пользователей этой публичной сети. Другими словами, VPN – это некоторая имитация сети, построенной на выделенных каналах. Если общедоступная сеть предоставляет такой сервис, то в ней одновременно сосуществуют несколько VPN, разделяющих общие коммутаторы и физические каналы связи.

Сети VPN решают задачи подключения корпоративного пользователя к удаленной сети и соединения нескольких ЛВС (рис. 10).

Рисунок . Пример VPN

Организация VPN на основе Internet обладает рядом преимуществ:

гарантирует высокое качество информационного обмена;
обеспечивает масштабируемую поддержку удаленного доступа к ресурсам локальной сети;
для организации удаленного доступа пользователей к локальной сети исключается необходимость в наличии модемных пулов;
сокращаются расходы на информационный обмен через открытую внешнюю среду:
использование Internet для объединения локальных сетей значительно дешевле аренды каналов связи телефонных и других глобальных сетей;
при удаленном доступе вместо того, чтобы устанавливать непосредственные соединения с локальной сетью по междугородной связи, удаленные пользователи могут подключиться к Internet, и далее, связываться с сетью своей организации через эту глобальную сеть.

Способы создания виртуальных сетей (каналов). Любой из двух узлов виртуальной сети, между которыми формируется защищенный туннель, может принадлежать конечной или промежуточной точке защищаемого потока. Соответственно, возможны различные способы образования защищенного виртуального канала (рис. 11):

конечные точки защищенного туннеля совпадают с конечными точками защищаемого потока сообщений;
если отсутствует необходимость защиты трафика внутри локальной сети, входящей в виртуальную сеть, в качестве конечной точки защищенного туннеля выбирают МЭ или пограничный маршрутизатор этой локальной сети;
если внутри локальной сети поток сообщений должен быть защищен, то в качестве конечной точки туннеля в этой сети должен выступать компьютер;
при удаленном доступе к локальной сети туннель создается между сервером удаленного доступа провайдера Internet, а также пограничным провайдером Internet или маршрутизатором (МЭ) локальной сети.

Суть криптографической защиты, которая реализуется в VPN, будет более подробно рассмотрена в главе 7.

Рисунок . Способы создания виртуальных сетей (каналов)

5.4. Применение средств аудита и обнаружения атак

Обнаружение атак и аудит - очень широкая область, которая охватывает многие аспекты, начиная с датчиков движения и систем видеонаблюдения и, заканчивая системами обнаружения мошенничества в реальном масштабе времени. Сегодня применение аудита и обнаружения вторжений также обязательно, как, например, использование МЭ. Поэтому руководители обязаны поддерживать своих технических специалистов в применении указанных процессов и средств. Рассмотрим суть обнаружения атак и аудита.

Обнаружение атак - это процесс идентификации и реагирования на подозрительную деятельность, направленную на вычислительные или сетевые ресурсы.

Атака - это любое действие нарушителя, которое приводит к реализации угрозы путем использования уязвимости вычислительной системы.

Аудит (сканирование) – процесс глубокой проверки, основанный на поиске уязвимости информационной системы.

Уязвимость - любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы (угрозы существуют из-за ошибок в программах, человеческих ошибок, задания неправильной конфигурации системы, разрешенного,, но неиспользуемого сервиса, ошибок при проектировании и т.п.)

Угроза - потенциально возможное событие, действие или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба.

Системы обнаружения атак

Сообщения о проникновении в корпоративные сети и атаках на Web-сервера в последнее время появляются с ужасающей частотой. Число и сложность предлагаемых на рынке информационных технологий периодически растет. Очень часто злоумышленники преодолевают установленные в компании или банке защитные средства (системы аутентификации, межсетевые экраны и т.д.), установленные для разграничения доступа к ресурсам корпоративной сети. С увеличением квалификации злоумышленники становятся более изощренными в разработке и применении методов проникновения за защитную преграду. Обнаружить таких злоумышленников очень трудно. Они маскируются под авторизованных пользователей, используют промежуточные узлы для сокрытия своего истинного адреса, осуществляют атаки распределенные во времени (в течение нескольких часов) и пространстве (одновременно с нескольких узлов) и т.д. Многие атаки осуществляются за очень короткое время (минуты и даже секунды), что также не позволяет обнаружить и предотвратить их стандартными защитными средствами.

Связано это с тем, что большинство компьютерных защитных систем построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах. Согласно этим моделям субъекту (пользователю или программе) на основе заданных правил разрешается или запрещается доступ к какому-либо объекту (например, файлу). Однако действия, производимые субъектом над объектом, никак не регламентируется и таким образом невозможно, например, предотвратить копирование файла пользователем, которому доступ к данному файлу разрешен. Очень трудно придти к компромиссу и найти такую конфигурацию системы, которая совмещает в себе и достаточный уровень ее защищенности, и удобство в эксплуатации.

Как бы ни называли производители или исследовательские лаборатории механизмы обнаружения атак, используемые в своих продуктах, все они основаны на нескольких общих методах. Необходимо заметить, что все нижеописанные методы не являются взаимоисключающими. Во многих системах используется комбинация нескольких методов.

Анализ журналов регистрации

Этот один из самых первых реализованных методов обнаружения атак. Он заключается в анализе журналов регистрации (log, audit trail), создаваемых операционной системой, прикладным программным обеспечением, маршрутизаторами и т.д. Записи журнала регистрации анализируются и интерпретируются системой обнаружения атак.

К достоинствам этого метода относится простота его реализации. Однако за этой простотой скрывается немало недостатков:

для достоверного обнаружения той или иной подозрительной деятельности необходима регистрация в журналах большого объема данных, что отрицательно сказывается на скорости работы контролируемой системы;
при анализе журналов регистрации очень трудно обойтись без помощи специалистов, что существенно снижает круг распространения этого метода;
до настоящего момента нет унифицированного формата хранения журналов.

Анализ уже записанных в журнал регистрации записей говорит о том, что анализ осуществляется не в реальном режиме времени. Это свидетельствует о том, что данные системы не могут быть применены для раннего обнаружения атак в процессе их развития. И самый очевидный недостаток - они не могут обнаружить атаки, которые направлены на узлы, не использующие журналы регистрации, или для которых не существует соответствующей реализации агента.

Как правило, анализ журналов регистрации является дополнением к другим методам обнаружения атак, в частности, к обнаружению атак «на лету». Использование этого метода позволяет проводить «разбор полетов» уже после того, как была зафиксирована атака, для того чтобы выработать эффективные меры предотвращения аналогичных атак в будущем.

Анализ «на лету»

Этот метод заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения. Очень часто используется механизм поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность.

Использование метода обнаружения атак в сетевом трафике дает несколько основных преимуществ:

один агент системы обнаружения атак может просматривать целый сегмент сети с многочисленными хостами, в то время как, для предыдущего метода необходимо на каждый анализируемый узел устанавливать свой агент. Этот метод позволяет обнаруживать атаки против всех элементов сети предприятия, начиная от атак на маршрутизаторы и заканчивая атаками на прикладные приложения.
системы, построенные с учетом этого метода, могут определять атаки в реальном масштабе времени и останавливать атаки до достижения ими цели;
невозможность злоумышленнику скрыть следы своей деятельности.
обнаружение неудавшихся атак или подозрительной деятельности.

Однако системы обнаружения сетевых атак также имеют и свои недостатки. Во-первых, такие системы трудно применимы в высокоскоростных сетях. Все современные коммерческие системы, несмотря на то, что анонсируют возможность работы с сетями Fast Ethernet (100 Мбит/сек), не могут в сетях с пропускной способностью выше 60-80 Мбит/сек. Т.е. уже в сетях со скоростью свыше 100 Мбит/сек (например, ATM) такие системы не применимы. Во-вторых, системы обнаружения сетевых атак неэффективно работают в коммутируемых сетях и сетях с канальным шифрованием.

Использование профилей «нормального» поведения

Профили нормального поведения используются для наблюдения за пользователями, системной деятельностью или сетевым трафиком. Данные наблюдения сравниваются с ожидаемыми значениями профиля нормального поведения, который строится в период обучения системы обнаружения атак.

Этот метод редко используется в современных системах защиты информации (хотя такие попытки и делаются). Использование профилей нашло свое практическое применение в системах обнаружения мошенничества (fraud detection systems), используемых в финансовых структурах или у операторов связи.

Использование сигнатур атак

Данный метод очень часто сопоставляют с анализом «на лету». Метод заключается в описании атаки в виде сигнатуры (signature, устойчивой кодовой комбинации) и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике, журнале регистрации и т.д.). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность. Эти сигнатуры хранятся в базе данных, аналогичной той, которая используется в антивирусных системах. Собственно говоря, антивирусные резидентные мониторы являются частным случаем системы обнаружения атак, но т.к. эти направления изначально развивались параллельно, то принято разделять их.

Методы получения информации об атаках. Какой бы эффективный метод получения информации об атаках ни использовался, эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В самых первых системах обнаружения атак, разработанных в начале 80-х годов, использовались статистические методы обнаружения атак. Однако математика не стоит на месте, и сейчас к статистическому анализу добавилось множество новых методик, начиная с нечеткой логики и заканчивая использованием нейронных сетей.

Каждый из описанных ниже методов обладает целям рядом достоинств и недостатков и поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.

Статистический метод

В анализируемой системе первоначально определяются профили для всех ее субъектов. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Основные преимущества статистического подхода - это адаптация к поведению субъекта и использование уже разработанного и зарекомендовавшего себя аппарата математической статистики. Кроме того, статистические методы универсальны, т.к. не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникает и несколько проблем.

Во-первых, «статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные. Во-вторых, «статистические» системы не чувствительны к порядку следования событий. А в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность. И, наконец, очень трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность. Кроме того, данные методы неприменимы в тех случаях, когда для пользователя отсутствует шаблон типичного поведения или когда для пользователя несанкционированные действия типичны.

Использование экспертных систем

Использование экспертных систем представляет собой второй распространенный метод, при котором информация об атаках формулируются в виде правил, которые могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. В случае выполнения любого из правил принимается решение о несанкционированной деятельности.

Основное достоинство такого подхода - практически полное отсутствие ложных тревог. Однако есть и недостатки, основной из которых невозможность отражения неизвестных атак. Даже небольшое изменение уже известной атаки может стать большим препятствием для системы обнаружения атак.

Нейронные сети

Большинство современных подходов к процессу обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистических методов. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Этот анализ опирается на набор заранее определенных правил, которые создаются администратором или самой системой обнаружения атак. Экспертные системы представляют наиболее распространенную форму подходов к обнаружению атак на основе правил. Экспертная система состоит из набора правил, которые охватывают знания человека-»эксперта». К сожалению, экспертные системы требуют постоянного обновления для того, чтобы оставаться постоянно актуальными. В то время как экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться вручную администратором. Как минимум, это приведет к экспертной системе с недостаточными (ослабленными) возможностями. В худшем случае, отсутствие сопровождения снизит степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.

Любое разделение атаки либо во времени, либо среди нескольких злоумышленников, является трудным для обнаружения при помощи экспертных систем. Сетевые атаки постоянно изменяются, поскольку хакеры используют индивидуальные подходы, а также в связи с регулярными изменениями в ПО и аппаратных средствах выбранных систем. Из-за неограниченного разнообразия атак и хакеров даже специальные постоянные обновления базы данных правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.

Одним из путей устранения названных проблем является использование нейронных сетей. В отличие от экспертных систем, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики характеристикам, заложенным в базе данных правил, нейросеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100%, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи (т.н. обучение).

Первоначально нейросеть обучается путем правильной идентификации предварительно выбранных примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к первоначальному периоду обучения, нейросеть также набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью. Наиболее важное преимущество нейросетей при обнаружении злоупотреблений заключается в их способности «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.

Корреляция (в рассматриваемой области) - это процесс интерпретации, обобщения и анализа информации из всех доступных источников о деятельности анализируемой системы в целях обнаружения атак и реагирования на них.

Если не вдаваться в подробности процесса корреляции данных, то можно выделить два аспекта, на которые следует обратить внимание при выборе системы обнаружения атак. Первый аспект - число сессий (сетевых или пользовательских), анализируемых одновременно анализ. В настоящий момент практически все системы осуществляют анализ в заданный момент времени всего одной сессии, что не позволяет, например, обнаруживать скоординированные атаки из нескольких источников.

Второй аспект - когда осуществлять анализ, в реальном режиме времени или после осуществления атаки. Казалось бы, ответ очевиден - конечно в реальном времени. Однако все не так просто. Большей точности (хотя иногда и в ущерб эффективности) распознавания можно добиться именно после осуществления атаки, когда в вашем распоряжении находится вся информация об инциденте.

Методы реагирования на атаку. Недостаточно обнаружить атаку. Надо еще и своевременно среагировать на нее. Причем реакция на атаку - это не только ее блокирование. Часто бывает необходимо «пропустить» атакующего в сеть компании, для того чтобы зафиксировать все его действия и в дальнейшем использовать их в процессе разбирательства. Поэтому в существующих системах применяется широкий спектр методов реагирования, которые можно условно разделить на 3 категории: уведомление, хранение и активное реагирование. Применение той или иной реакции зависит от многих факторов, описание которых выходит за рамки данной статьи.

Уведомление

Самым простым и широко распространенным методом уведомления является посылка администратору безопасности сообщений об атаке на консоль системы обнаружения атак. Поскольку такая консоль не может быть установлена у каждого сотрудника, отвечающего в организации за безопасность, а также в тех случаях, когда этих сотрудников могут интересовать не все события безопасности, необходимо применение иных механизмов уведомления. Таким механизмом является посылка сообщений по электронной почте, на пейджер, по факсу или по телефону.

Сохранение

К категории «сохранение» относятся два варианта реагирования: регистрация события в базе данных и воспроизведение атаки в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты и на нем не стоит долго останавливаться. Второй вариант более интересен. Он позволяет администратору безопасности воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществляемые атакующим. Это позволяет не только проанализировать «успешные» атаки и предотвратить их в дальнейшем, но и использовать собранные данные для разбирательств.

Активное реагирование

К этой категории относятся следующие варианты реагирования: блокировка работы атакующего, завершение сессии с атакующим узлом, управлением сетевым оборудованием и средствами защиты. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой, использовать их надо очень аккуратно, т.к. неправильная их эксплуатация может привести к нарушению работоспособности всей вычислительной системы.

Немаловажным является вопрос внедрения системы обнаружения атак в существующую технологию обработки информации и, затем, адаптации ее к окружающим условиям. Одновременно с внедрением необходимо провести обучение персонала правилам использования системы в организации. Необходимо заметить, что система обнаружения атак не сможет обеспечить абсолютной защиты от всех атак; она поможет выявить подозрительный трафик и иные формы несанкционированного доступа. Однако наибольшей эффективности при использовании системы обнаружения атак можно достичь, если к ней «прилагаются» специалисты, способные правильно эксплуатировать систему и понимающие, когда и как реагировать на выдаваемые ею сообщения.

Системы аудита (анализа защищенности или сканеры)

Технология анализа защищенности является действенным методом реализации политики сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации. Она дополняет систему обнаружения вторжений, которая ориентирована на оперативное реагирование на фактическую атаку.

Механизмы работы сканеров. Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).

Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.

Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость.Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем «сканирование», но почти всегда гораздо более точный, чем он. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа «отказ в обслуживании» («denial of service»).

На практике указанные механизмы реализуются следующими несколькими методами.

«Проверка заголовков» (banner check)

Указанный механизм представляет собой ряд проверок типа «сканирование» и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Типичный пример такой проверки - анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости.

Наиболее быстрый и простой для реализации метод проверки присутствия на сканируемом узле уязвимости. Однако за этой простотой скрывается немало проблем.

Эффективность проверок заголовков достаточно эфемерна. И вот почему. Во-первых, вы можете изменить текст заголовка, предусмотрительно удалив из него номер версии или иную информацию, на основании которой сканер строит свои заключения. И хотя такие случаи исключительно редки, пренебрегать ими не стоит. Особенно в том случае, если у вас работают специалисты в области безопасности, понимающие всю опасность заголовков «по умолчанию». Во-вторых, зачастую, версия, указываемая в заголовке ответа на запрос, не всегда говорит об уязвимости программного обеспечения. Вы можете самостоятельно устранить уязвимость путем модификации исходного текста, при этом забыв изменить номер версии в заголовке. И в-третьих, устранение уязвимости в одной версии еще не означает, что в следующих версиях эта уязвимость отсутствует.

Процесс, описанный выше, является первым и очень важным шагом при сканировании сети. Он не приводит к нарушению функционирования сервисов или узлов сети. Однако не стоит забывать, что администратор может изменить текст заголовков, возвращаемых на внешние запросы.

«Активные зондирующие проверки» (active probing check)

Также относятся к механизму «сканирования». Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении «цифрового слепка» (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы.

Специализированная база данных содержит информацию об уязвимостях и способах их использовании (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищенности и системой обнаружения атак. Этот метод также достаточно быстр, но реализуется труднее, чем «проверка заголовков».

«Имитация атак» (exploit check)

Данные проверки относятся к механизму «зондирования» и основаны на эксплуатации различных дефектов в программном обеспечении.

Некоторые уязвимости не обнаруживают себя, пока вы не «подтолкнете» их. Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод «exploit check», отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки.

Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к «отказу в обслуживании» анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.

Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.

Однако, есть некоторые уязвимости (например, проверка подверженности атакам типа «Packet Storm»), которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае разработчики поступают следующим образом, - по умолчанию такие проверки выключены и пользователь может сам включить их, если желает. При включении любой из проверок этой группы система выдает сообщение «WARNING: These checks may crash or reboot scanned hosts» («Внимание: эти проверки могут вывести из строя иди перезагрузить сканируемые узлы»).

Этапы сканирования. Практически любой сканер проводит анализ защищенности в несколько этапов:

Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.
Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска.
Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.
Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости.
Автоматическое устранение уязвимостей. Задается по желанию администратора.

Системы различных производителей могут использовать различные методы поиска одной и той же уязвимости, что может привести к ее нахождению в случае использования одного средства и ненахождения - в случае другого.

Итак зададим еще раз вопрос «Нужна ли системы обнаружения атак и аудита, если у нас уже используется межсетевой экран?» Несомненно нужны. Еще раз следует заметить, что не стоит считать их панацеей от всех бед. Они ни в коем случае не заменяют специалистов в области безопасности. Они всего лишь автоматизируют их работу, помогая быстро проверить сотни узлов, в т.ч. и находящихся на других территориях. Надо помнить, что средство обнаружения атак и сканер - это всего лишь часть эффективной политики безопасности сети, которая складывается не только из применения различных технических мер защиты (средств анализа защищенности, систем обнаружения атак, межсетевых экранов и т.п.), но и из применения различных организационных и законодательных мер.

Контрольные вопросы

Что такое стек (набор) протоколов TCP/IP?
Что включает в себя понятие сокет?
Сформулируйте вопросы, учитывающие возможные последствия подключения к INTERNET.
В чем состоит фундаментальная проблема безопасности INTERNET?
Назовите основные модели безопасного подключения к Internet.
Дайте определение межсетевого экрана.
Укажите две базовые политики межсетевого экрана.
Классифицируйте межсетевые экраны по целевому предназначению.
Верно ли утверждение: «Применение виртуальных частных сете (VPN) позволяет избежать затрат на шифрование информации»?
Укажите, для каких целей разработаны средства обнаружения атак и аудита?

Глава 6. Организация противодействия вредоносным программам

Составив список, он внимательно его просматривал, чтобы убедиться, что ничего не забыл. Затем он снова просматривал его и вычеркивал то, без чего можно обойтись. После этого он терял список.

Джером К. Джером «Трое на велосипедах»

6.1. Понятие о вредоносных программах

Идея саморазмножающихся программ была впервые изложена в журнале Scientific Life в 1959 году. Позже она трансформировалась в идею «войны программ».

В последнее время участились случаи воздействия на вычислительную систему при помощи специально созданных программ. Свыше 60% всех нарушений в компьютерных системах связаны именно с этими программами. Для обозначения всех программ такого рода был предложен термин «вредоносные программы» (РД Гостехкомиссии РФ).

Под вредоносными программами в дальнейшем будем понимать такие программы, которые прямо или косвенно дезорганизуют процесс обработки информации или способствуют утечке или искажению информации. Ниже мы рассмотрим некоторые (самые распространенные) виды подобных программ:

«троянский конь»,
вирус,
«червь»,
«жадная» программа,
«захватчик паролей».

«ТРОЯНСКИЙ КОНЬ (ТРОЯНСКАЯ ПРОГРАММА)» (Trojan Horse) - программа, выполняющая в дополнение к основным (проектным и документированным) дополнительные, но не описанные в документации действия. Аналогия с древнегреческим «троянским конем» таким образом вполне оправдана - и в том и другом случае в не вызывающей подозрений оболочке таится угроза. Программы такого типа являются серьезной угрозой безопасности АС.

По характеру угрозы «троянский конь» относится к активным угрозам, реализуемым программными средствами, работающими в пакетном режиме. Он может угрожать любому объекту АС. Наиболее опасным является опосредованное воздействие, при котором «троянский конь» действует в рамках полномочий одного пользователя, но в интересах другого пользователя, установить которого порой невозможно.

Опасность «троянского коня» заключается в дополнительном блоке команд, тем или иным образом вставленном в исходную безвредную программу, которая затем предлагается (дарится, продается, подменяется) пользователям АС. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени и т.д., либо по команде извне). Запустивший такую программу подвергает опасности как себя и свои файлы, так и всю АС в целом.

Наиболее опасные действия «троянский конь» может выполнять, если запустивший ее пользователь обладает расширенным набором привилегий. В этом случае злоумышленник, составивший и внедривший «троянского коня», и сам этими привилегиями не обладающий, может выполнить несанкционированные привилегированные функции чужими руками. Или, например, злоумышленника очень интересуют наборы данных пользователя, запустившего такую программу. Последний может даже не обладать расширенным набором привилегий - это не помешает выполнению несанкционированных действий.

«Троянский конь» - одна из наиболее опасных угроз безопасности АС. Радикальным способом защиты от этой угрозы является создание замкнутой среды исполнения программ.

Желательно также, чтобы привилегированные и непривилегированные пользователи работали с разными экземплярами прикладных программ, которые должны храниться и защищаться индивидуально. При соблюдении этих мер вероятность внедрения программ подобного рода будет достаточно низкой.

Наиболее распространенной разновидностью «троянских программ» являются широко известные программы массового применения (редакторы, игры, трансляторы и т.п.), в которые встроены так называемые «логические бомбы», срабатывающие по наступлении некоторого события. В свою очередь разновидностью «логической бомбы» является «бомба с часовым механизмов», запускаемая в определенные моменты времени. Следует подчеркнуть, что «троянские программы» не являются саморазмножающимися и распространяются по ЛВС самими программистами, в частности, посредством общедоступных банков данных и программ.

Суммарные потери от троянской программы «любовный вирус» за 2000 год оцениваются специалистами в 10 млрд. $.

«Троянские программы» принято считать предшественниками программных вирусов.

ВИРУС (computer virus) - это программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии, причем последняя сохраняет способность к дальнейшему размножению.

Это исторически первое определение вируса. Хотя с той поры прошло много времени (более 7 лет) и многие делали попытки дать четкое определение вируса - до сих пор его все-таки не существует. Дело в том, что все предлагаемые определения характеризуют не столько сущность вируса, сколько его различные свойства, которые позволяют либо обнаружить вирус, либо защититься от его воздействия.

Принципиальное отличие вируса от «троянской программы» состоит в том, что вирус после запуска его в ЛВС существует самостоятельно (автономно) и в процессе своего функционирования заражает (инфицирует) программы путем включения (имплантации) в них своего текста. Таким образом, вирус представляет собой своеобразный генератор «троянских программ». Программы, зараженные вирусом, называют также вирусоносителями.

Соответственно, вирус может быть охарактеризован двумя основными особенностями:

способностью к самовоспроизведению. Это свойство означает, что за время своего существования на компьютере вирус должен хотя бы один раз воспроизвести свою копию на долговременном носителе;
способностью к вмешательству (получению управления) в вычислительный процесс. Это свойство является аналогом «паразитирования» в живой природе, которое свойственно биологическим вирусам.

И то и другое свойство являются определяющим - при отсутствии хотя бы одного из них вирус существовать не может.

Это определение не имеет прикладной направленности. Из него невозможно сделать вывод, каким образом следует защититься от воздействия вирусов.

Как и «троянские кони» вирусы относятся к активным программным средствам.

Классификация вирусов, используемые ими методы заражения, способы борьбы с ними достаточно хорошо изучены и описаны. В последние несколько лет эта проблема в нашей стране стала особенно актуальной, поэтому очень многие занимаются ею. Мы остановимся здесь только на некоторых аспектах проблемы вирусов.

Во-первых, проблема защиты от вирусов может рассматриваться с двух сторон: как самостоятельная проблема и как одна из сторон проблемы общей защиты АС. И тот, и другой подходы имеют свои отличительные особенности и, соответственно, свои собственные методы решения проблемы. Заметим, что пока ни тот, ни другой путь пока не привел к успеху.

Во-вторых, в последнее время удалось более или менее ограничить масштабы заражений и разрушений. Тут сыграли свою роль и превентивные меры, и новые антивирусные средства, и пропаганда всех этих мер.

Вообще говоря, проблема вирусов может стать тем толчком, который приведет к новому осмыслению как концепций защиты, так и принципов автоматизированной обработки информации в целом.

«ЧЕРВЬ»(worm) - программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. «Червь» использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий.

Наиболее известный представитель этого класса - вирус Морриса (или, вернее, «червь Морриса», назван по фамилии создателя), поразивший сеть Internet в 1988 г (за два часа распространения было заражено 6000 узлов сети). Наиболее подходящей средой распространения «червя» является сеть, все пользователи которой считаются дружественными и доверяют друг другу. Отсутствие защитных механизмов как нельзя больше способствует уязвимости сети.

Самый лучший способ защиты от «червя» - принять меры предосторожности против несанкционированного доступа к сети.

Таким образом, как вирусы, так «троянские кони» и «черви» на сегодняшний день являются одной из самых опасных угроз АС. Для защиты от этих разновидностей вредоносных программ необходимо создание замкнутой среды исполнения программ, разграничение доступа к исполняемым файлам, контроль целостности исполняемых файлов и системных областей, тестирование приобретаемых программных средств.

«ЖАДНЫЕ» ПРОГРАММЫ (greedy program) - это программы, которые при выполнении стремятся монополизировать какой-либо ресурс системы, не давая другим программам возможности использовать его. Доступ таких программ к ресурсам системы обычно приводит к нарушению ее доступности. Естественно, такая атака будет активным вмешательством в работу системы. Непосредственной атаке обычно подвергаются объекты системы: процессор, оперативная память, устройства ввода-вывода.

Многие компьютеры, особенно в исследовательских центрах, имеют фоновые программы, выполняющиеся с низким приоритетом. Они обычно производят большой объем вычислений, а результаты их работы требуются не так часто. Однако при повышении приоритета такая программа может блокировать все остальные. Такая программа и будет «жадной».

Тупиковая ситуация возникает, когда «жадная» программа бесконечна (например, исполняет заведомо бесконечный цикл). Однако во многих операционных системах существует возможность ограничения времени процессора, используемого задачей. Это не относится к операциям, выполняющимся в зависимости от других программ, например, к операциям ввода-вывода, которые завершаются асинхронно к основной программе; время их выполнения не включается в счет времени программы.

Перехватывая асинхронное сообщение о завершении операции ввода-вывода и посылая вновь запрос на новый ввод-вывод, можно добиться по-настоящему бесконечной программы. Такие атаки называют также асинхронными.

Другой пример «жадной» программы - программа, захватывающая слишком большую область оперативной памяти. В оперативной памяти последовательно размещаются данные, например подкачиваемые с внешнего носителя. В конце концов, память может оказаться во владении одной программы, и выполнение других окажется невозможным.

Обычно «жадные» программы осуществляют захват одного из трех основных ресурсов системы: времени процессора, оперативной памяти, каналов ввода-вывода. Однако возможен захват и любых других ресурсов системы: блокирование ее работы, или же использование побочного результата деятельности какой-либо программы (например, вируса). Бороться с захватом ресурсов можно путем введения различных ограничений для выполняемых программ (на время процессора, на количество операций ввода-вывода, на разрешенный объем оперативной памяти и т.д.), а также постоянным операторским контролем за их соблюдением.

ЗАХВАТЧИКИ ПАРОЛЕЙ (password grabber). Это программы специально предназначенные воровства паролей. Они выводят на экран терминала (друг за другом): пустой экран, экран, появляющийся после крушения системы или сигнализирующий об окончании сеанса работы. При попытке входа имитируется ввод имени и пароля, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке ввода и управление возвращается операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля может осуществляться и другим способом - с помощью воздействия на программу, управляющую входом пользователей в систему и ее наборы данных.

Захват пароля является активным, непосредственным воздействием на АС в целом.

Для предотвращения этой угрозы, перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе входа, а не какой-то другой. Кроме того, необходимо неукоснительно придерживаться правил использования паролей и работы с системой. Большинство нарушений происходят не из-за хитроумных атак, а из-за элементарной небрежности.

Не покидайте рабочее место, не выйдя из системы.

Постоянно проверяйте сообщения о дате и времени последнего входа и количестве ошибочных входов. Эти простые действия помогут избежать захвата пароля.

Кроме описанных выше, существуют и другие возможности компрометации пароля. Не записывайте команды, содержащие пароль, в командные процедуры, старайтесь избегать явного объявления пароля при запросе доступа по сети; эти ситуации можно отследить и захватить пароль. Не используйте один и тот же пароль для доступа к разным узлам.

Соблюдение правил использования паролей - необходимое условие надежной защиты.

6.2. Виды и типы вирусов

Наиболее опасны из всех вредоносных программ – вирусы. Рассмотрим их более подробно.

Под программным вирусом (ПВ), как было отмечено выше, понимается автономно функционирующая программа, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведению и самораспространению в информационно-вычислительных сетях и отдельных ЭВМ. Программные вирусы представляют собой весьма эффективное средство реализации практически всех угроз безопасности ЛВС. Потому вопросы анализа возможностей ПВ и разработки способов противодействия вирусам в настоящее время приобрели значительную актуальность и образовали одно из наиболее приоритетных направлений работ по обеспечению безопасности ЛВС.

Зараженные программы (исполняемого файла применительно к наиболее распространенной операционной системе РС-подобных ПЭВМ), как правило, выполняются таким образом, чтобы вирус получил управление раньше самой программы, Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшей первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.

«Первичное заражение» происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискеты), так и каналы ЛВС. Вирусы, использующие для размножения каналы ЛВС, принято называть сетевыми.

Цикл жизни вируса обычно включает следующие периоды: внедрения, инкубационный, репликации (саморазмножения), проявления.

В течении инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации на магнитных носителях (жестких либо гибких).

Физическая структура вируса достаточно проста. Он состоит из «головы» и, возможно, «хвоста». Под головой вируса понимается его компонента, получающая управление первой. Хвост - это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост, - сегментированными.

По характеру размещения в памяти ПЭВМ принято делить на:

файловые нерезидентные,
файловые резидентные,
бутовые,
гибридные,
пакетные.

Существуют и другие классы вирусов, соответствующие другим классификационным признакам. Например, стелс-вирусы (вирусы-невидими), макровирусы (заражающие, как правило, оффисные документы) и др. Однако в данном учебнике рассмотрены только «классические» примеры, выдержавшие проверку временем по длительности своего существования.

Файловый нерезидентный вирус целиком размещается в исполняемом файле, в связи с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.

Файловый резидентный вирус отличается от нерезидентного тем, что заражает не только исполняемые файлы, находящиеся во внешней памяти, но и оперативную память ПЭВМ. С чисто технологической точки зрения ОП можно считать файлом, к которому применимы все описанные выше способы имплантации. Однако резидентный вирус отличается от нерезидентного как логической структурой, так и общим алгоритмом функционирования. резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая программа вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования резидентные вирусы могут реализовывать самые разные способы инфицирования. Наиболее распространенными способами являются инфицирование запускаемых программ, а также файлов при их открытии или чтении.

Одной из разновидностей резидентных вирусов являются так называемые «бутовые вирусы». Отличительной особенностью последних является инфицирование загрузочного (бут-сектора) магнитного носителя (гибкого или жесткого диска). При этом инфицированными могут быть как загружаемые, так и незагружаемые дискеты. Голова бутового вируса всегда находится в бут-секторе (единственном для гибких дисков и одном из двух - для жестких), а хвост - в любой другой области носителя.

Наиболее безопасным для вируса способом считается размещение хвоста в так называемых псевдосбойных кластерах, логически исключенных из числа доступных для пользования. Существенно, что хвост бутового вируса всегда содержит копию оригинального (исходного) бут-сектора. Механизм инфицирования, реализуемый бутовыми вирусами, таков. При загрузке операционной системы с инфицированного диска вирус в силу своего положения на нем (независимо от того, с дискеты или винчестера производится загрузка) получает управление и копирует себя в оперативную память. Затем он модифицирует вектор прерывания таким образом, чтобы прерывание по обращению к диску обрабатывалось собственным обработчиком прерываний вируса, и запускает загрузчик операционной системы. Благодаря перехвату прерываний «бутовые вирусы» могут реализовать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.

Близость механизмов функционирования бутовых и файловых резидентных вирусов сделала возможным и естественным проявление файлово-бутовых, или гибридных, вирусов, инфицирующих как файлы, так и бут-секторы.

Особенностью пакетного вируса является его головы в пакетном файле. При этом голова представляет собой строку или программу на языке управления заданиями операционной системы.

Сетевые вирусы, называемые также автономными репликативными программами, или, для краткости, репликаторами, используют для размножения средства сетевых операционных систем ЛВС. Наиболее просто реализуется размножение в тех случаях, когда протоколами ЛВС предусмотрен обмен программами. Однако, как показывает опыт, размножение возможно и в тех случаях, когда указанные протоколы ориентированны только на обмен сообщениями.

Эффекты, называемые вирусами в процессе реализации ими целевых функций, принято делить на следующие целевые группы:

искажение информации в файлах либо таблице размещения файлов;
имитация сбоев аппаратных средств;
создание звуковых и визуальных эффектов, включая, например. отображение сообщений, вводящих оператора в заблуждение или затрудняющих его работу;
инициирование ошибок в программах пользователей или операционной системы.

6.3. Средства нейтрализации программных вирусов

Наиболее распространенным средством нейтрализации вирусов являются программные антивирусы. Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делить на следующие группы:

детекторы,
фаги,
вакцины,
прививки,
ревизоры,
мониторы.

Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых сигнатур - устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.

Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» («пожирания») вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.

В отличии от детекторов и фагов вакцины по своему принципу действия напоминают сами вирусы. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней. Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее. Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе. В последней в свою очередь сначала управление получит вакцина, которая выполнит проверку соответствия запомненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина программы, ее контрольная сумма и т.п.

Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило помечает инфицированные программы каким-либо признаком, с тем чтобы не выполнять их повторное заражение. В ином случае имело бы место многократное инфицирование,сопровождаемое существенным и поэтому легко обнаруживаемым увеличением объема зараженных программ. Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который, таким образом, после активизации и проверки наличия указанного признака считает ее инфицированной и «оставляет в покое».

Ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняемому файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов. Если при этом обнаруживается, что согласно имеющейся системной инфорамции файл с момента предшествующего просмотра не обновляяся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным. Характеристики исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле (файлах), в связи с чем увеличения длин исполняемых файлов, имеющего место при вакцинировании, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизором требует его повторного запуска.

Монитор представляет собой резидентную программу, обеспечивающую перехват потенциально опасных прерываний, характерных для вирусов, и запрашивающую у пользователей подтверждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блокирует выполнение пользовательской программы.

Антивирусы рассмотренных типов существенно повышают вирусозащищенность отдельных ПЭВМ и ЛВС в целом, однако в связи со свойственными им ограничениями, естественно, не являются панацеей. Так, для разработки детекторов, фагов и прививок нужно иметь тексты вирусов, что возможно только для выявленных вирусов. Вакцины обладают потенциальной возможностью защиты программ не только от известных, но и от новых вирусов, однако обнаруживают факт заражения только в тех случаях, если сами были имплантированы в защищаемую программу раньше вируса. Результативность применения ревизоров зависит от частоты их запуска, которая не может быть больше 1-2 раза в день в связи со значительными затратами времени на просмотр файлов (порядка 0,5-1 ч применительно к жесткому диску емкостью всего до 1 Гбайта; при современных емкостях дисков процесс очень длителен). Мониторы контролируют процесс функционирования пользовательских программ постоянно, однако характеризуются чрезмерной эффективностью ложных срабатываний, которые вырабатывают у оператора «рефлекс подтверждения» и тем самым, по существу, минимизируют эффект от такого контроля. Следует также учитывать, что принципы действия и тексты любых антивирусов доступны разработчикам ПВ, что позволяет создавать им более изощренные вирусы, способные успешно обходить все известные способы защиты.

В связи с изложенным очевидно, что наряду с созданием антивирусов необходима реализация альтернативных подходов к нейтрализации ПВ: создание операционных систем, обладающих более высокой вирусозащищенностью, разработка аппаратных средств защиты от вирусов и т.п.

Не меньшее значение имеют организационные меры и соблюдение определенной технологии защиты от вирусов, предполагающей выполнение следующих этапов: входной контроль дискет с новым программным обеспечением, сегментацию информации на жестком диске, защиту системных программ от заражения, систематический контроль целостности и архивирование информации.

6.4. Потери времени и информации от вирусных атак. Меры по предотвращению заражения сети

Потери времени можно разделить на следующие группы:

1. Прямые потери:

1.1. Из-за нарушения работы системы и прикладных программ; при этом большая часть времени теряется на выяснение причин непонятных явлений.

1.2. Потери времени на «лечение» от известных вирусов и восстановление поврежденной информации. Как правило, при отсутствии надежных систем защиты после успешного лечения от вирусов по крайней мере несколько раз происходит повторное заражение - из-за того, что быстро обнаружить и вылечить дискеты с зараженными файлами и загрузочными секторами не удается. Во многих случаях после лечения удается восстановить зараженные файлы с точностью «до последнего байта», но бывает и так, что якобы «вылеченные» программы становятся неработоспособными, обнаруживается это только спустя значительное время.

2. Косвенные потери времени: - на проверку дискет и жестких дисков, - на входной контроль новых программ, - на создание резервных копий и архивов. Кроме того, при применении систем санкционирования доступа к программам для уменьшения вероятности заражения вирусами возникают проблемы, которые также приводят к увеличению потерь машинного времени.

Рекомендуемые меры для предотвращения «заражения» сети:

С учетом политики безопасности, принятой в учреждении, обмен информацией между средами должен осуществляться через контролируемые буферы. В самом простом случае между средой эксплуатации и средой разработчиков создается один общий каталог, который периодически опрашивается и в случае наполнения автоматически проверяется на наличие вирусов.
Все задачи должны быть проанализированы на возможность разделения прав по файлам. Например, пользователю нет необходимости иметь права на изменение ехе-файла, когда изменяется файл данных с расширением dot. На ехе-файлы устанавливаются всем права на чтение и не более того.
Ежедневный запуск на всех серверах процедуы обнаружения и удаления вирусов (например, автоматически одновременно с процедурой копирования). Для запуска антивирусной программы в определенное время можно использовать, например, стандартную программу из комплекта утилит Norton или Schedulle Windows.
Для своевременного обнаружения зараженной рабочей станции процедура регистрации в сети была дополнена принудительной проверкой на наличие вируса в оперативной памяти компьютера, входящего в сеть.
С каждого компьютера, передаваемого в эксплуатацию, необходимо делать копию MBR жесткого диска. Хранится эта база отдельно, как и все архивы. В лучшем случае, когда все компьютеры однотипны, этого можно и не делать.
На случай тотального заражения сети должна быть разработана инструкция с четким разграничением обязанностей. Инструкция может включать следующие положения: временный запрет доступа в сеть всем ее пользователям; формирование группу специалистов для оказания помощи администратору (из программистов и электронщиков); задача этой группы: определить на своем участке компьютеры, подлежащие лечению в первую очередь по условиям технологического процесса; загрузившись с «чистой» дискеты провести лечение, в случае успеха позвонить администратору и сообщить username проверенного пользователя для разблокировки; предупредить пользователей о запрете на применение любых переносных носителей информации до особого распоряжения.
Проведение ревизии всех локальных задач с целью переноса их на серверы, так как гораздо легче управлять системой централизованно. Если позволяют скоростные характеристики сети, то наилучший вариант – это бездисковые рабочие станции.
(На усмотрение руководителя). Размещение в общем разделе с правами «только на чтение» несколько простеньких игровых программ, заранее проверенных на отсутствие вирусов.
(Дополнительная). Дисководы компьютеров пользователей отключаются в Setup, вход в который закрыли паролем. От «квалифицированного» пользователя в дальнейшем компьютеры опечатывались голографическими наклейками. Одновременно там, где этого не было сделано ранее и где позволяла версия Setup, включается встроенная антивирусная защита.

Важным моментом при обеспечении безопасности от вредоносных программ является выбор способа тиражирования антивирусного обеспечения. Существует три решения:

автономно на каждый компьютер;
через сервер;
через сервер, подключенный к Internet.

Наиболее экономичен, с точки зрения оперативности и трудозатрат, последний вариант. При этом, исходя из рекомендаций специалистов, получая регулярно дополнения к установленному антивирусному обеспечению («штатный» сервис для зарегистрированных пользователей), в сети обновление целесообразно производить с более редкой периодичностью.

Противодействие вредоносным программам должно иметь плановый характер. Целесообразно поручить сотруднику службы безопасности предприятия проведение ежедневного контроль на предмет выявления программных вирусов.

Контрольные вопросы

Каким документом регламентирован термин «вредоносные программы»?
Какие виды вредоносных программ существуют?
Чем отличаются компьютерные вирусы от троянских программ?
Какие меры наиболее эффективны против захватчиков паролей?
Перечислите средства нейтрализации вирусов (вредоносных программ).
В чем наблюдается схожесть вакцин и вирусов ?
Какие потери времени от заражения вредоносными программами известны?
Почему необходимо делать копию MBR жесткого диска?
Укажите способы тиражирования антивирусного обеспечения.
Какие вредоносные программы, на Ваш взгляд, являются самыми опасными для информационной системы?

Глава 7. Криптография как основа информационной безопасности

Чтоб мысль врага узнать,

ему вскрывают сердце.

А письма – и подавно...

В . Шекспир , «Король Лир»

7.1. Основные понятия и элементы криптографии

В данной главе описаны основные «строительные кирпичики» шифрования, которое применяется в любой корпоративной сети и входит в более сложные технологии безопасности.

Почему проблема использования криптографических методов в информационных системах (ИС) стала в настоящий момент особо актуальна?

С одной стороны, расширилось использование компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера, не допускающего возможность доступа к ней посторонних лиц.

С другой стороны, появление новых мощных компьютеров, технологий сетевых и нейронных вычислений сделало возможным дискредитацию криптографических систем еще недавно считавшихся практически не раскрываемыми.

Проблемой защиты информации путем ее преобразования занимается криптология (kryptos - тайный, logos - наука). Криптология разделяется на два направления - криптографию и криптоанализ. Цели этих направлений прямо противоположны.

Криптография занимается поиском и исследованием математических методов преобразования информации.

Криптография является основой любой защищенной связи, и поэтому так важно познакомиться с тремя основными криптографическими функциями: симметричным шифрованием, асимметричным шифрованием и односторонними хэш-функциями.

Все существующие технологии аутентификации, целостности и конфиденциальности созданы на основе именно этих трех функций.

Сфера интересов криптоанализа - исследование возможности расшифровывания информации без знания ключей.

В этой книге основное внимание будет уделено криптографическим методам.

Современная криптография включает в себя четыре крупных раздела:

Симметричные криптосистемы.
Криптосистемы с открытым ключом.
Системы электронной подписи.
Управление ключами.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Итак, криптография дает возможность преобразовать информацию таким образом, что ее прочтение (восстановление) возможно только при знании ключа.

В качестве информации, подлежащей шифрованию и дешифрованию, будут рассматриваться тексты, построенные на некотором алфавите. Под этими терминами понимается следующее.

Алфавит - конечное множество используемых для кодирования информации знаков.

Текст - упорядоченный набор из элементов алфавита.

В качестве примеров алфавитов, используемых в современных ИС можно привести следующие:

алфавит Z33 - 32 буквы русского алфавита и пробел;
алфавит Z256 - символы, входящие в стандартные коды ASCII и КОИ-8;
бинарный алфавит - Z2 = {0,1};
восьмеричный алфавит или шестнадцатеричный алфавит;

Шифрование - преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом (рис. 12).

Рисунок . Процесс шифрования

Дешифрование - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный (рис. 13).

Рисунок . Процесс дешифрования

Ключ - информация, необходимая для беспрепятственного шифрования и дешифрования текстов.

Криптографическая система представляет собой семейство T преобразований открытого текста. Члены этого семейства индексируются, или обозначаются символом k; параметр k является ключом. Пространство ключей K - это набор возможных значений ключа. Обычно ключ представляет собой последовательный ряд букв алфавита.

Криптосистемы разделяются на симметричные и асиметричные (с открытым ключом).

В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ.

В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.

Хэш-функцией называется функция, которую легко рассчитать, но обратное восстановление которой требует больших усилий (например, возведение в степень и логарифмирование).

Входящее сообщение пропускается через математическую функцию (хэш-функцию), и в результате на выходе мы получаем некую последовательность битов. Эта последовательность называется «хэш» (или результат обработки). Хэширование обычно сочетается с технологией открытых ключей.

Термины распределение ключей и управление ключами относятся к процессам системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

Электронной (цифровой) подписью называется присоединяемое к тексту его криптографическое преобразование (или зашифрованный хэш), которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

Криптостойкостью называется характеристика шифра, определяющая его стойкость к дешифрованию без знания ключа (т.е. криптоанализу). Имеется несколько показателей криптостойкости, среди которых: количество всех возможных ключей и среднее время, необходимое для криптоанализа.

Преобразование Tk определяется соответствующим алгоритмом и значением параметра k. Эффективность шифрования с целью защиты информации зависит от сохранения тайны ключа и криптостойкости шифра.

Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании.

Для современных криптографических систем защиты информации сформулированы следующие общепринятые требования:

зашифрованное сообщение должно поддаваться чтению только при наличии ключа;
число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного сообщения и соответствующего ему открытого текста, должно быть не меньше общего числа возможных ключей;
число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычислений);
знание алгоритма шифрования не должно влиять на надежность защиты;
незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа;
структурные элементы алгоритма шифрования должны быть неизменными;
дополнительные биты, вводимые в сообщение в процессе шифрования, должен быть полностью и надежно скрыты в шифрованном тексте;
длина шифрованного текста должна быть равной длине исходного текста;
не должно быть простых и легко устанавливаемых зависимостью между ключами, последовательно используемыми в процессе шифрования;
любой ключ из множества возможных должен обеспечивать надежную защиту информации;
алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования.

7.2. Симметричные и асимметричные криптосистемы

Симметричные криптосистемы

Симметричное шифрование, которое часто называют шифрованием с помощью секретных ключей, в основном используется для обеспечения конфиденциальности данных.

На рисунке 14 показаны два пользователя, Алиса и Боб, которые хотят установить между собой конфиденциальную связь. Для этого Алиса и Боб должны совместно выбрать единый математический алгоритм, который будет использоваться для шифрования и расшифровки данных. Кроме того, им нужно выбрать общий ключ (секретный ключ), который будет использоваться с принятым ими алгоритмом шифрования/расшифровки.

Рисунок . Симметричное шифрование с использованием одного секретного ключа

Рисунок . Шифр Цезаря

Весьма упрощенным примером алгоритма секретного ключа является так называемый шифр Цезаря, представленный на рис. 15. Этот метод шифрования заключается в том, что каждая буква в тексте заменяется на другую букву, находящуюся на определенном расстоянии от нее в алфавите. При шифровании или расшифровке этот алгоритм как бы сдвигает буквы вверх и вниз по алфавиту. Ключом в этом примере являются три буквы.

Совершенно ясно, что если кто-нибудь получит зашифрованное этим способом сообщение и будет знать алгоритм (куда сдвигать буквы – вверх или вниз по алфавиту), он сможет легко раскрыть ключ методом простого перебора, который заключается в том, что человек перебирает все возможные комбинации алгоритма до тех пор, пока не получит в результате расшифрованный текст. Обычно, чем длиннее ключ и чем сложнее алгоритм, тем труднее решить задачу расшифровки простым перебором вариантов.

Сегодня широко используются такие алгоритмы секретных ключей, как Data Encryption Standard (DES), 3DES (или «тройной DES») и International Data Encryption Algorithm (IDEA). Эти алгоритмы шифруют сообщения блоками по 64 бита. Если объем сообщения превышает 64 бита (как это обычно и бывает), необходимо разбить его на блоки по 64 бита в каждом, а затем каким-то образом свести их воедино. Такое объединение, как правило, происходит одним из следующих четырех методов: электронной кодовой книги (ЕСВ), цепочки зашифрованных блоков (СВС), х-битовой зашифрованной обратной связи (CFB-x) или выходной обратной связи (OFB).

В настоящее время все чаще говорят о неоправданной сложности и невысокой криптостойкости. На практике приходится использовать его модификации.

Более эффективным является отечественный стандарт шифрования данных ГОСТ 28147-89. Он рекомендован к использованию для защиты любых данных, представленных в виде двоичного кода, хотя не исключаются и другие методы шифрования. Данный стандарт формировался с учетом мирового опыта, и в частности, были приняты во внимание недостатки и нереализованные возможности алгоритма DES, поэтому использование стандарта ГОСТ предпочтительнее.

Шифрование с помощью секретного ключа чаще всего используется для поддержки конфиденциальности данных и очень эффективно реализуется с помощью неизменяемых «вшитых» программ (firmware). Этот метод можно использовать для аутентификации и поддержания целостности данных, но метод цифровой подписи (о котором мы скажем позже) является более эффективным. С методом секретных ключей связаны следующие проблемы:

Необходимо часто менять секретные ключи, поскольку всегда существует риск их случайного раскрытия.

Трудно обеспечить безопасное генерирование и распространение секретных ключей.

Для получения и безопасного распространения секретных ключей обычно используется алгоритм Диффи-Хеллмана (Diffie-Hellman), который описывается ниже.

Все многообразие существующих симметричных криптографических методов можно свести к следующим классам преобразований (рис.16):

Рисунок . Классы преобразований существующих
симметричных криптографических методов

Моно- и многоалфавитные подстановки.

Наиболее простой вид преобразований, заключающийся в замене символов исходного текста на другие (того же алфавита) по более или менее сложному правилу. Для обеспечения высокой криптостойкости требуется использование больших ключей.

Перестановки.

Также несложный метод криптографического преобразования. Используется как правило в сочетании с другими методами.

Гаммирование.

Этот метод заключается в наложении на исходный текст некоторой псевдослучайной последовательности, генерируемой на основе ключа.

Блочные шифры.

Представляют собой последовательность (с возможным повторением и чередованием) основных методов преобразования, применяемую к блоку (части) шифруемого текста. Блочные шифры на практике встречаются чаще, чем «чистые» преобразования того или иного класса в силу их более высокой криптостойкости. Российский и американский стандарты шифрования основаны именно на этом классе шифров.

Применение технологии шифрования с симметричным ключом

Технология шифрования часто используется в приложениях, связанных с управлением ключами и аутентификацией. Эти приложения описаны ниже.

Алгоритм Диффи-Хеллмана

Алгоритм Диффи-Хеллмана позволяет двум сторонам, Алисе и Бобу, создать общий для них секретный ключ, известный только им двоим, несмотря на то, что связь между ними осуществляется по незащищенному каналу. Затем этот секретный ключ используется для шифрования данных с помощью алгоритма секретного ключа. На рисунке 17 показан пример использования алгоритма Диффи-Хеллмана в сочетании с алгоритмом DES для создания секретных ключей и последующего использования этих ключей для поддержки конфиденциальности данных. Два числа, р (простое число) и g (меньшее, чем р, но с некоторыми исключениями), используются-совместно. И Алиса, и Боб генерируют (каждый для себя) большое случайное число. Эти числа (ХА и ХВ) держатся в секрете. Далее используется алгоритм Диффи-Хеллмана. И Алиса, и Боб проводят вычисления с помощью этого алгоритма и обмениваются их результатами. Окончательным результатом является общая величина Z. Этот ключ Z используется как ключ DES для шифрования и расшифровки данных. Человек, который знает величину р или g, не сможет легко рассчитать общую величину Z из-за трудностей с факторизацией очень больших простых чисел.

Рисунок . Алгоритм Диффи-Хеллмана с ключом DES

Асимметричные криптосистемы

Как бы ни были сложны и надежны криптографические системы - их слабое мест при практической реализации - проблема распределения ключей. Для того, чтобы был возможен обмен конфиденциальной информацией между двумя субъектами ИС, ключ должен быть сгенерирован одним из них, а затем каким-то образом опять же в конфиденциальном порядке передан другому. Т.е. в общем случае для передачи ключа опять же требуется использование какой-то криптосистемы.

Для решения этой проблемы на основе результатов, полученных классической и современной алгеброй, были предложены асимметричные криптосистемы (системы с открытым ключом).

Суть их состоит в том, что каждым адресатом ИС генерируются два ключа, связанные между собой по определенному правилу. Один ключ объявляется открытым (общим), а другой закрытым (частным, секретным). Открытый ключ публикуется и доступен любому, кто желает послать сообщение адресату. Секретный ключ сохраняется в тайне.

Исходный текст шифруется открытым ключом адресата и передается ему. Зашифрованный текст в принципе не может быть расшифрован тем же открытым ключом. Дешифрование сообщение возможно только с использованием закрытого ключа, который известен только самому адресату.

Таким образом, асимметричное шифрование часто называют шифрованием с помощью общего ключа, при котором используются разные, но взаимно дополняющие друг друга ключи и алгоритмы шифрования и расшифровки. Этот механизм полагается на два взаимосвязанных ключа: общий ключ и частный ключ. Если Алиса и Боб хотят установить связь с использованием шифрования через общий ключ, обоим нужно получить два ключа: общий и частный (рис. 18). Для шифрования и расшифровки данных Алиса и Боб будут пользоваться разными ключами.

Рисунок . Асимметричное шифрование с помощью общего ключа

Асимметричные системы для преобразования ключей (что нужно для необратимости процесса шифрования даже для отправителя сообщения) используют так называемые необратимые или односторонние функции (безопасные хэш-функции), которые обладают следующим свойством: при заданном значении x относительно просто вычислить значение f(x), однако если y=f(x), то нет простого пути для вычисления значения x.

Другими словами, безопасной хэш-функцией называется функция, которую легко рассчитать, но обратное восстановление которой требует непропорционально больших усилий. Входящее сообщение пропускается через математическую функцию (хэш-функцию), и в результате на выходе мы получаем некую последовательность битов. Эта последовательность называется «хэш» (или «результат обработки сообщения», см. рис. 19). Этот процесс практически невозможно восстановить. Другими словами, имея выходные данные, невозможно получить входные. Хэш-функцию можно сравнить с кофемолкой. Если сообщение – это кофейные зерна, а хэш на выходе – это размолотый кофе, то, имея такой размолотый кофе, вы не сможете восстановить кофейные зерна.

Сообщение		Хэш-функция		Хэш
Вчера мне удалось…				AA62PA57

Рисунок . Хэш-функция

Хэш-функция принимает сообщение любой длины и выдает на выходе хэш фиксированной длины. Наиболее известные из хэш-функций (поддерживаемые современными операционными системами):

алгоритм Message Digest 2 (MD2);

алгоритм Message Digest 4 (MD4);

алгоритм Message Digest 5 (MD5);

алгоритм безопасного хэша (Secure Hash Algorithm – SHA).

Три алгоритма серии MD разработаны Ривестом в 1989-м, 90-м и 91-м году соответственно. Все они преобразуют текст произвольной длины в 128-битную сигнатуру (кодовую комбинацию).

Алгоритм MD2 предполагает:

дополнение текста до длины, кратной 128 битам;
вычисление 16-битной контрольной суммы (старшие разряды отбрасываются);
добавление контрольной суммы к тексту;
повторное вычисление контрольной суммы.

Алгоритм MD4 предусматривает:

дополнение текста до длины, равной 448 бит по модулю 512;
добавляется длина текста в 64-битном представлении;
512-битные блоки подвергаются процедуре Damgard-Merkle (в отличие от хэш-функции - этот класс преобразований предполагает вычисление для аргументов фиксированной длины также фиксированных по длине значений), причем каждый блок участвует в трех разных циклах.

В алгоритме MD4 довольно быстро были найдены «дыры», поэтому он был заменен алгоритмом MD5, в котором каждый блок участвует не в трех, а в четырех различных циклах.

Алгоритм SHA (Secure Hash Algorithm) разработан NIST (National Institute of Standard and Technology) и повторяет идеи серии MD. В SHA используются тексты более 264 бит, которые закрываются сигнатурой длиной 160 бит.

Множество классов необратимых функций и порождает все разнообразие систем с открытым ключом. Однако не всякая необратимая функция годится для использования в реальных ИС.

В самом определении необратимости присутствует неопределенность. Под необратимостью понимается не теоретическая необратимость, а практическая невозможность вычислить обратное значение используя современные вычислительные средства за обозримый интервал времени.

Поэтому чтобы гарантировать надежную защиту информации, к асимметричным системам с открытым ключом (СОК) предъявляются два важных и очевидных требования:

Преобразование исходного текста должно быть необратимым и исключать его восстановление на основе открытого ключа.
Определение закрытого ключа на основе открытого также должно быть невозможным на современном технологическом уровне. При этом желательна точная нижняя оценка сложности (количества операций) раскрытия шифра.

Вообще же все предлагаемые сегодня криптосистемы с открытым ключом опираются на один из следующих типов необратимых преобразований:

Разложение больших чисел на простые множители.
Вычисление логарифма в конечном поле.
Вычисление корней алгебраических уравнений.

Здесь же следует отметить, что алгоритмы криптосистемы с открытым ключом (СОК) можно использовать в трех назначениях.

1. Как самостоятельные средства защиты передаваемых и хранимых данных, в целях обеспечения конфиденциальности данных.

2. Как средства для распределения ключей, обеспечивающее получение общих ключей для совместного использования. Алгоритмы СОК более трудоемки, чем традиционные криптосистемы. Поэтому часто на практике рационально с помощью СОК распределять ключи, объем которых как информации незначителен. А потом с помощью обычных алгоритмов осуществлять обмен большими информационными потоками.

3. Средства аутентификации пользователей.

Чтобы лучше понять, как достигается конфиденциальность данных и проводится аутентификация отправителя, пройдем по всему процессу шаг за шагом. Сначала и Алиса, и Боб должны создать свои пары общих/частных ключей. После создания таких пар Алиса и Боб должны обменяться своими общими ключами. На рис. 20 показано, как шифрование с помощью общих ключей обеспечивает конфиденциальность информации. Если Алиса хочет отправить Бобу конфиденциальные данные (другими словами, если она хочет, чтобы никто, кроме Боба, не смог их прочесть), она шифрует данные с помощью общего ключа Боба и отправляет Бобу данные, зашифрованные этим способом. Получив сообщение от Алисы, Боб расшифровывает его с помощью своего частного ключа. Так как никто, кроме Боба, не имеет этого частного ключа, данные, отправленные Алисой, может расшифровать только Боб. Таким образом поддерживается конфиденциальность данных.

Рисунок . Конфиденциальность данных, зашифрованных с помощью открытого ключа

На рис. 21 показано, как шифрование с помощью общего ключа помогает проводить аутентификацию отправителя. Боб хочет быть уверен, что сообщение отправлено именно Алисой, а не человеком, который выдает себя за нее. Поскольку общий ключ не является секретным, доступ к нему может получить кто угодно. Но если Алиса зашифрует сообщение своим частным ключом, Боб должен расшифровать его с помощью общего ключа Алисы. Аутентификация происходит потому, что доступ к частному ключу Алисы имеет только она одна, и поэтому данные могли быть зашифрованы только ею.

Рисунок . Аутентификация отправителя с помощью шифрования общим ключом

Важным аспектом асимметричного шифрования является то, что частный ключ должен храниться в тайне. Если частный ключ будет раскрыт, то человек, знающий этот ключ, сможет выступать от вашего имени, получать ваши сообщения и отправлять сообщения так, будто это делаете вы.

Механизмы генерирования пар общих/частных ключей являются достаточно сложными, но в результате получаются пары очень больших случайных чисел, одно из которых становится общим ключом, а другое – частным. Генерирование таких чисел требует больших процессорных мощностей, поскольку эти числа, а также их произведения должны отвечать строгим математическим критериям. Однако этот процесс генерирования абсолютно необходим для обеспечения уникальности каждой пары общих/частных ключей. Алгоритмы шифрования с помощью общих ключей редко используются для поддержки конфиденциальности данных из-за ограничений производительности. Вместо этого их часто используют в приложениях, где аутентификация проводится с помощью цифровой подписи и управления ключами.

Среди наиболее известных алгоритмов общих ключей можно назвать RSA (разработанн в 1977 году и получил название в честь его создателей: Рона Ривеста1, Ади Шамира и Леонарда Эйдельмана) и ElGamal.

Алгоритм RSA стал мировым стандартом де-факто для открытых систем и рекомендован МККТТ.

Разработчики алгоритма воспользовались тем фактом, что нахождение больших простых чисел в вычислительном отношении осуществляется легко, но разложение на множители произведения двух таких чисел практически невыполнимо. Доказано (теорема Рабина), что раскрытие шифра RSA эквивалентно такому разложению. Поэтому для любой длины ключа можно дать нижнюю оценку числа операций для раскрытия шифра, а с учетом производительности современных компьютеров оценить и необходимое на это время.

Возможность гарантированно оценить защищенность алгоритма RSA стала одной из причин популярности этой СОК на фоне десятков других схем. Поэтому алгоритм RSA используется в банковских компьютерных сетях, особенно для работы с удаленными клиентами (обслуживание кредитных карточек).

7.3. Понятие цифровой подписи и цифрового сертификата

Рассмотрим более подробно два важнейших понятия, которые составляют основу современного электронного документооборота и, по существу, определяют инфраструктуру развитого общества.

В чем состоит проблема аутентификации данных?

В конце обычного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие обычно преследует две цели. Во-первых, получатель имеет возможность убедиться в истинности письма, сличив подпись с имеющимся у него образцом. Во-вторых, личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и т.д.

Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами - техническая деталь, то с подписью электронной дело обстоит иначе. Подделать цепочку битов, просто ее скопировав, или незаметно внести нелегальные исправления в документ сможет любой пользователь. Обнаружить же такую подделку удается не всегда.

С широким распространением в современном мире электронных форм документов (в том числе и конфиденциальных) и средств их обработки особо актуальной стала проблема установления подлинности и авторства безбумажной документации.

В разделе симметричных криптографических систем (с открытым ключом) было показано, что при всех преимуществах современных систем шифрования они не позволяют обеспечить аутентификацию данных. Поэтому средства аутентификации должны использоваться в комплексе и криптографическими алгоритмами.

Итак, пусть имеются два пользователя Алиса и Боб. От каких нарушений и действий злоумышленника должна защищать система аутентификации (рис. 22).

Отказ (ренегатство).

Алиса заявляет, что она не посылала сообщение Бобу, хотя на самом деле она все-таки посылала.

Для исключения этого нарушения используется электронная (или цифровая) подпись.

Модификация (переделка).

Боб изменяет сообщение и утверждает, что данное (измененное) сообщение послала ему Алиса.

Подделка.

Боб формирует сообщение и утверждает, что данное (измененное) сообщение послала ему Алиса.

Активный перехват.

Владимир перехватывает сообщения между Алисой и Бобом с целью их скрытой модификации.

Для защиты от модификации, подделки и маскировки используются цифровые сертификаты (сигнатуры).

Маскировка (имитация).

Владимир посылает Бобу сообщение от имени Алисы .

В этом случае для защиты также используется электронная подпись.

Повтор.

Владимир повторяет ранее переданное сообщение, которое Алиса посылала ранее Бобу. Несмотря на то, что принимаются всевозможные меры защиты от повторов, именно на этот метод приходится большинство случаев незаконного снятия и траты денег в системах электронных платежей.

Наиболее действенным методом защиты от повтора являются использование имитовставок и учет входящих сообщений.

Рисунок . Возможные нарушения защиты сообщений, посылаемых пользователем А пользователю Б

Очевидно, что данная схема позволяет защититься от нескольких видов нарушений.

Алиса не может отказаться от своего сообщения, если она признает, что секретный ключ известен только ей.

Нарушитель без знания секретного ключа не может ни сформировать, ни сделать осмысленное изменение сообщения, передаваемого по линии связи.

Данная схема позволяет при решении многих конфликтных ситуаций обходиться без посредников.

Иногда нет необходимости зашифровывать передаваемое сообщение, но нужно его скрепить электронной подписью (рис. 23). В этом случае текст шифруется закрытым ключом отправителя и полученная цепочка символов прикрепляется к документу. Получатель с помощью открытого ключа отправителя расшифровывает подпись и сверяет ее с текстом.

Для более детального уяснения рассматриваемого вопроса пройдем по всему процессу шага за шагом.

Рисунок . Применение электронной подписи

Цифровая подпись представляет собой зашифрованный хэш, который добавляется к документу. Она может использоваться для аутентификации отправителя и целостности документа. Цифровые подписи можно создавать с помощью сочетания хэш-функций и криптографии общих ключей. На рис. 24 показан пример создания цифровой подписи. Сначала Алиса и Боб должны договориться об алгоритме шифрования общим ключом (например, Digital Signature Standard – DSS), создать пары общих/частных ключей и обменяться своими общими ключами. Им также нужно прийти к согласию о том, какую хэш-функцию использовать для создания цифровых подписей и их проверки. Предположим, что выбран алгоритм MD5. Алиса берет оригинальный документ и подает его на вход MD5, получая на выходе блок длиной в 128 бит. Эти выходные данные называются результатом обработки сообщения (хэшем документа). Алиса зашифровывает этот хэш с помощью своего частного ключа. Этот зашифрованный хэш является цифровой подписью, которая прибавляется к тексту оригинального документа.

Рисунок . Создание цифровой подписи

Сообщение, которое Алиса отправляет Бобу, будет состоять из документа как такового и цифровой подписи. На рис. 25 показано, как происходит проверка цифровой подписи. На другом конце канала связи Боб получает сообщение и делит его на оригинальный документ и цифровую подпись. Так как цифровая подпись была зашифрована частным ключом Алисы, Боб может провести расшифровку с помощью ее общего ключа. Теперь у Боба есть расшифрованный хэш. Далее Боб подает текст документа на вход той же функции, которую использовала Алиса. Если на выходе Боб получит тот же хэш, который прислала в своем сообщении Алиса, целостность документа и личность отправителя можно считать доказанными.

Дешифрация полученной цифровой подписи

Дешифрация с использованием общего ключа Алисы

Сообщение с цифровой подписью

Хэш сообщения (BADFOOD)

Хэширование

полученного

сообщения

Хэш сообщения (BADFOOD)

Если значения равны, то это подтверждает целостность и авторство сообщения

Рисунок . Проверка цифровой подписи

Цифровой сертификат (цифровая сигнатура)

Часто возникают ситуации, когда получатель должен уметь доказать подлинность сообщения внешнему лицу. Чтобы иметь такую возможность, к передаваемым сообщениям должны быть приписаны так называемые цифровые сигнатуры.

Цифровая сигнатура - это строка символов (кодовая комбинация), зависящая как от идентификатора отправителя, так и содержания сообщения.

Рисунок . Цифровая сигнатура (сертификат)

Никто при этом кроме пользователя А не может вычислить цифровую сигнатуру А для конкретного сообщения. Никто, даже сам пользователь не может изменить посланного сообщения так, чтобы сигнатура осталась неизменной. Хотя получатель должен иметь возможность проверить является ли цифровая сигнатура сообщения подлинной. Чтобы проверить цифровую сигнатуру, пользователь В должен представить посреднику С информацию, которую он сам использовал для верификации сигнатуры.

Если помеченное сигнатурой сообщение передается непосредственно от отправителя к получателю, минуя промежуточное звено, то в этом случае идет речь об истинной цифровой сигнатуре. Если используется промежуточное звено, то чаще применяют термин цифровой сертификат.

Таким образом, цифровым сертификатом называется сообщение с цифровой подписью, которое в настоящее время обычно используется для подтверждения действительности общего ключа. На рис. 27 показан пример цифрового сертификата в стандартном формате Х.509. Общий формат сертификата Х.509 включает следующие элементы:

номер версии;
серийный номер сертификата;
эмитент информации об алгоритме;
эмитент сертификата;
даты начала и окончания действия сертификата;
информацию об алгоритме общего ключа субъекта сертификата;
подпись эмитирующей (удостоверяющей) организации.

Цифровой сертификат содержит:

Серийный номер сертификата
Используемые алгоритмы
Срок действия
Информацию об общем ключе пользователя
Подпись организации, выдавшей сертификат

0000123

SHA, DH, 3837829

1/1/99 to 12/31/2005

Alice Smith, Acme Corp,

DH 3813710

Acme Corporation Security Dept.

SHA, DH, 239702317 …

Рисунок . Пример сертификата Х.509

Удостоверяющая (эмитирующая организация), назовем ее СА, является надежной третьей стороной, которой вы полностью доверяете. В принципе удостоверяющей организацию может представлять специально назначенное должностное лицо – администратор, имеющий соответствующие полномочия от юридического лица. На рис. 28 показано, что Боб, прежде чем отправить данные Алисе, хочет проверить ее общий ключ с помощью СА. Алиса имеет действующий сертификат, который хранится в СА. Боб запрашивает у СА цифровой сертификат Алисы. СА подписывает сертификат своим частным ключом. Боб имеет доступ к общему ключу СА и может убедиться в том, что сертификат, подписанный СА, является действительным. Так как сертификат Алисы содержит ее общий ключ, Боб получает «заверенную» версию общего ключа Алисы.

Рисунок . Получение цифрового сертификата

Заметим, что для реализации этой схемы необходима надежная система распространения общего ключа СА среди пользователей. В настоящее время создание больших инфраструктур, пользующихся общими ключами (PKI), сопряжено с трудностями, так как ряд вопросов, связанных с такими инфраструктурами, остается нерешенным. Еще предстоит разработать эффективные процедуры отзыва и изменения сертификатов, а также определить, как обращаться с иерархиями СА, где разные пользователи могут полагаться на услуги разных СА. Тем не менее, все эти вопросы постепенно решаются.

Рассмотрим, в качестве вывода по данной главе, простой сценарий безопасной связи с использованием шифрования, который показан на рис. 29.

Маршрутизатор и межсетевой экран имеют по одной паре общих/частных ключей. Предположим, что СА удалось получить сертификаты Х.509 для маршрутизатора и межсетевого экрана по защищенным каналам. Далее предположим, что маршрутизатор и межсетевой экран тоже получили копии общего ключа СА по защищенным каналам. Теперь, если на маршрутизаторе имеется график, предназначенный для межсетевого экрана, и если маршрутизатор хочет обеспечить аутентификацию и конфиденциальность данных, необходимо предпринять следующие шаги:

1. Маршрутизатор отправляет в СА запрос на получение общего ключа межсетевого экрана.

2. СА отправляет ему сертификат межсетевого экрана, зашифрованный частным ключом СА.

3. Маршрутизатор расшифровывает сертификат общим ключом СА и получает общий ключ межсетевого экрана.

4. Межсетевой экран направляет СА запрос на получение общего ключа маршрутизатора.

5. СА отправляет ему сертификат маршрутизатора, зашифрованный частным ключом СА.

6. Межсетевой экран расшифровывает сертификат общим ключом СА и получает общий ключ маршрутизатора.

Рисунок . Безопасная передача данных с использованием шифрования

7. Маршрутизатор и межсетевой экран используют алгоритм Диффи-Хеллмана и шифрование с помощью общих ключей для аутентификации.

8. С помощью секретного ключа, полученного в результате использования алгоритма Диффи-Хеллмана, маршрутизатор и межсетевой экран проводят обмен конфиденциальными данными.

7.4. Закон РФ «Об электронной цифровой подписи»

Рассмотренные до сих пор модели организации инфраструктуры открытых ключей (ИОК), в том числе на основе применения метода сертификации открытых ключей, описывают техническую сторону процесса управления ключами. На практике существенное значение имеют правовые вопросы регулирования деятельности, связанной с управлением ключами в сложных информационных системах, таких как виртуальные частные сети.

В Российской Федерации основным документом, регулирующим правовые аспекты деятельности, связанной с задачами управления ключами и функционированием УЦ, является Федеральный закон Российской Федерации от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи». В связи с его важностью для построения информационной инфрастуктуры государства рассмотрим его более подробно (в дополнение к главе 2 «Нормативно-правовое обеспечение информационной безопасности в РФ»).

Целью этого закона является обеспечение правовых условий использования электронной цифровой подписи (ЭЦП) в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной (традиционной) подписи в документе на бумажном носителе. Его действие распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях.

Закон выделяет два вида информационных систем, в которых может иметь место деятельность, связанная с поддержанием ИОК: информационные системы общего пользования и корпоративные информационные системы. Под информационной системой общего пользования понимается «информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано». Корпоративная информационная система, согласно определению, данному в законе, – это «информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы».

Закон определяет условия использования ЭЦП, давая юридическую трактовку понятий и условий, возникающих при использовании ИОК. Так, ЭЦП признается равнозначной собственноручной подписи при соблюдении следующих трех условий:

сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
подтверждена подлинность ЭЦП в электронном документе;
ЭЦП используется в соответствии со сведениями, указанными
в сертификате ключа подписи.

Обязательным условием использования средств ЭЦП в информационных системах общего пользования в Российской Федерации является применение только сертифицированных средств ЭЦП. Возмещение убытков, причиненных в связи с созданием ключей ЭЦП несертифицированными средствами ЭЦП, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации. Согласно закону, использование несертифицированных средств ЭЦП и созданных ими ключей ЭЦП в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается. Сертификация средств ЭЦП осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.

Закон определяет состав информации, которая в обязательном порядке должна заноситься в сертификат открытого ключа. Это уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре УЦ, фамилия, имя и отчество владельца сертификата ключа подписи или его псевдоним, открытый ключ электронной цифровой подписи, наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи, наименование и место нахождения УЦ, выдавшего сертификат ключа подписи, сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение. Определяются также порядок проверки сертификата, при котором он признается действительным, сроки архивного хранения сертификатов ключей подписи с целью разрешения возможных конфликтных ситуаций, связанных с принадлежностью ЭЦП.

В законе «Об электронной цифровой подписи» также изложены правовые основы деятельности УЦ. Так, определяется статус УЦ. УЦ, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные законом «Об электронной цифровой подписи». При этом:

УЦ должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.
Статус УЦ, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы.

Деятельность УЦ подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности.

В законе «Об электронной цифровой подписи» детально изложены права и обязанности УЦ, порядок выдачи им сертификатов ключей подписи, отношения между УЦ и уполномоченными федеральными органами исполнительной власти РФ, обязательства УЦ по отношению к владельцу сертификата ключа подписи, обязательства владельца сертификата ключа подписи. Описаны порядок приостановления действия и аннулирования ключа цифровой подписи. Определяется возможность и описывается порядок прекращения действия УЦ на территории Российской Федерации.

Особая часть закона посвящена особенностям использования ЭЦП в Российской Федерации. Отдельные статьи закона посвящены использованию ЭЦП в сфере государственного управления, в корпоративных информационных системах, вопросам признания иностранных сертификатов ключей ЭЦП, а также случаям, когда ЭЦП может замещать собственноручные подписи на документах, заверенных печатями организаций.

Следует помнить о различиях между нормативно-техническими документами международных организаций и законодательными актами. Закон «Об электронной цифровой подписи» регулирует правоотношения, возникающие при создании и деятельности УЦ только в целях обеспечения возможности использования ЭЦП и организации электронного документооборота. Нормативные технические модели международных организаций, с одной стороны, не ограничивают возможности использования УЦ для той или иной конкретной цели (наряду с открытыми ключами ЭЦП УЦ мог бы заверять и любые другие ключи, необходимые для использования в защищенных коммуникационных протоколах любого уровня, не ограничиваясь только задачами электронного документооборота), но с другой стороны, не могут давать никаких юридических гарантий использования таких УЦ. В отличие от них закон формулирует правовые основы деятельности УЦ в Российской Федерации, но только в части, связанной с использованием ЭЦП в электронных документах.

Контрольные вопросы

Что понимается под термином управление криптографическими ключами? Какова основная цель и основные задачи управления ключами?
В чем, на Ваш взгляд, отличие жизненного цикла секретных и открытых криптографических ключей?
Каковы перспективы практического применения концепции инфраструктуры открытых ключей?
Изложите в общих чертах существо сертификации открытых ключей.
Каким образом распространяются открытых ключей в криптосистемах?
Укажите преимущества симметричных криптосистем, определившие их как национальные стандарты государств.
Что такое удостоверяющий центр?
Для чего применяются хэш-функции?
Какие классы преобразования распространены в симметричных системах?
Для чего необходима электронная цифровая подпись?

Заключение

В заключении рассмотрения проблематики информационной безопасности необходимо отметить, что в настоящий исторический момент это одна из самых развивающихся естественных наук.

В учебнике изложены наиболее распространенные в настоящее время подходы, методы и технологии защиты информации. Выбор данных решений для конкретных информационных систем должен быть основан на более глубоком анализе слабых и сильных сторон тех или иных методов защиты, который, очевидно, должны провести технические специалисты. Однако, роль руководителя подразделения, организации, предприятия всегда была и будет ключевой в формировании общей политики безопасности. Постановка задачи по принципу: «Сделайте так, что бы все было хорошо», - просто неуместна сегодня, в эпоху развитых информационных технологий. Поэтому каждый «непрофильный» специалист в области информационной безопасности должен правильно оценивать остроту проблемы защиты компьютерных коммуникаций, понимать сложность, содержание и цену тех или иных решений. Это становится особенно важным, когда наступает время самостоятельного принятия решения, в том числе и по информационной безопасности. Другими словами, изучение курса «Информационная безопасность и применение информационных технологий в борьбе с преступностью» является закономерным шагом в эволюции любых профессиональных знаний и их совершенствовании. Следите за развитием информационных технологий защиты и широко используйте их сегодня.

Приложение 1. Доктрина информационной безопасности Российской Федерации

Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

Настоящая Доктрина служит основой для:

формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
разработки целевых программ обеспечения информационной безопасности Российской Федерации.

Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.

I. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РОССИЙСКОЙ ФЕДЕРАЦИИ

1. Национальные интересы Российской Федерации в информационной сфере и их обеспечение

Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.

Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере.

Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Для достижения этого требуется:

повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа Российской Федерации;
усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации;
обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;
обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
гарантировать свободу массовой информации и запрет цензуры;
не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;
обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.

Вторая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

Для достижения этого требуется:

укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;

интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.

Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности.

Для достижения этого требуется:

развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации;
развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;
развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;
обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.

Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

В этих целях необходимо:

повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;
интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;
обеспечить защиту сведений, составляющих государственную тайну;
расширять международное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.

2. Виды угроз информационной безопасности Российской Федерации

По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:

угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;
угрозы информационному обеспечению государственной политики Российской Федерации;
угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

Угрозами конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России могут являться:

принятие федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации нормативных правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;
создание монополий на формирование, получение и распространение информации в Российской Федерации, в том числе с использованием телекоммуникационных систем;
противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;
нерациональное, чрезмерное ограничение доступа к общественно необходимой информации;
противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;
неисполнение федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями и гражданами требований федерального законодательства, регулирующего отношения в информационной сфере;
неправомерное ограничение доступа граждан к открытым информационным ресурсам федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации;
дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;
нарушение конституционных прав и свобод человека и гражданина в области массовой информации;
вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;
девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;
снижение духовного, нравственного и творческого потенциала населения России, что существенно осложнит подготовку трудовых ресурсов для внедрения и использования новейших технологий, в том числе информационных;
манипулирование информацией (дезинформация, сокрытие или искажение информации).

Угрозами информационному обеспечению государственной политики Российской Федерации могут являться:

монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами;
блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории;
низкая эффективность информационного обеспечения государственной политики Российской Федерации вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.

Угрозами развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов могут являться:

противодействие доступу Российской Федерации к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, а также создание условий для усиления технологической зависимости России в области современных информационных технологий;
закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;
вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;
увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности.

Угрозами безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, могут являться:

противоправные сбор и использование информации;
нарушения технологии обработки информации;
внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
компрометация ключей и средств криптографической защиты информации;
утечка информации по техническим каналам;
внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;
уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;
использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;
несанкционированный доступ к информации, находящейся в банках и базах данных;
нарушение законных ограничений на распространение информации.

3. Источники угроз информационной безопасности Российской Федерации

Источники угроз информационной безопасности Российской Федерации подразделяются на внешние и внутренние. К внешним источникам относятся:

деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;
стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;
обострение международной конкуренции за обладание информационными технологиями и ресурсами;
деятельность международных террористических организаций;
увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

К внутренним источникам относятся:

критическое состояние отечественных отраслей промышленности;
неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации;
недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;
недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации;
недостаточная экономическая мощь государства;
снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению

За последние годы в Российской Федерации реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности.

Начато формирование базы правового обеспечения информационной безопасности. Приняты Закон Российской Федерации «О государственной тайне», Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах, федеральные законы «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере.

Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, на предприятиях, в учреждениях и организациях независимо от формы собственности. Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти.

Успешному решению вопросов обеспечения информационной безопасности Российской Федерации способствуют государственная система защиты информации, система защиты государственной тайны, системы лицензирования деятельности в области защиты государственной тайны и системы сертификации средств защиты информации.

Вместе с тем анализ состояния информационной безопасности Российской Федерации показывает, что ее уровень не в полной мере соответствует потребностям общества и государства.

Современные условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение.

Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере приводят к серьезным негативным последствиям. Так, недостаточность нормативного правового регулирования отношений в области реализации возможностей конституционных ограничений свободы массовой информации в интересах защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороноспособности страны и безопасности государства существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в информационной сфере. Несовершенное нормативное правовое регулирование отношений в области массовой информации затрудняет формирование на территории Российской Федерации конкурентоспособных российских информационных агентств и средств массовой информации.

Необеспеченность прав граждан на доступ к информации, манипулирование информацией вызывают негативную реакцию населения, что в ряде случаев ведет к дестабилизации социально-политической обстановки в обществе.

Закрепленные в Конституции Российской Федерации права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления данных о физических лицах (персональных данных).

Нет четкости при проведении государственной политики в области формирования российского информационного пространства, развития системы массовой информации, организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и деформации структуры международного информационного обмена.

Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок.

Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.

Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.

Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.

В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-телекоммуникационных систем, интеграцией отечественных информационных систем и международных информационных систем возросли угрозы применения «информационного оружия» против информационной инфраструктуры России. Работы по адекватному комплексному противодействию этим угрозам ведутся при недостаточной координации и слабом бюджетном финансировании. Недостаточное внимание уделяется развитию средств космической разведки и радиоэлектронной борьбы.

Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения таких задач, как:

разработка основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики;
развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;
разработка федеральных целевых программ обеспечения информационной безопасности Российской Федерации;
разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств;
совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;
установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;
координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, предприятий, учреждений и организаций независимо от формы собственности в области обеспечения информационной безопасности Российской Федерации;
развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения «информационного оружия»;
разработка и создание механизмов формирования и реализации государственной информационной политики России;
разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники;
разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;
создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.

II. МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

5. Общие методы обеспечения информационной безопасности Российской Федерации

Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются:

внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации;
законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;
законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;
создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:

создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;
усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;
сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:

разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

6. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни

Информационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства. Угрозы информационной безопасности Российской Федерации и методы ее обеспечения являются общими для этих сфер.

В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности Российской Федерации. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности Российской Федерации могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности Российской Федерации.

В сфере экономики. Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации.

Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены:

система государственной статистики;
кредитно-финансовая система;
информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;
системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.

Переход к рыночным отношениям в экономике вызвал появление на внутреннем российском рынке товаров и услуг множества отечественных и зарубежных коммерческих структур - производителей и потребителей информации, средств информатизации и защиты информации. Бесконтрольная деятельность этих структур по созданию и защите систем сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации создает реальную угрозу безопасности России в экономической сфере. Аналогичные угрозы возникают при бесконтрольном привлечении иностранных фирм к созданию подобных систем, поскольку при этом складываются благоприятные условия для несанкционированного доступа к конфиденциальной экономической информации и для контроля за процессами ее передачи и обработки со стороны иностранных спецслужб.

Критическое состояние предприятий национальных отраслей промышленности, разрабатывающих и производящих средства информатизации, телекоммуникации, связи и защиты информации, приводит к широкому использованию соответствующих импортных средств, что создает угрозу возникновения технологической зависимости России от иностранных государств.

Серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций.

Недостаточность нормативной правовой базы, определяющей ответственность хозяйствующих субъектов за недостоверность или сокрытие сведений об их коммерческой деятельности, о потребительских свойствах производимых ими товаров и услуг, о результатах их хозяйственной деятельности, об инвестициях и тому подобном, препятствует нормальному функционированию хозяйствующих субъектов. В то же время существенный экономический ущерб хозяйствующим субъектам может быть нанесен вследствие разглашения информации, содержащей коммерческую тайну. В системах сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации наиболее опасны противоправное копирование информации и ее искажение вследствие преднамеренных или случайных нарушений технологии работы с информацией, несанкционированного доступа к ней. Это касается и федеральных органов исполнительной власти, занятых формированием и распространением информации о внешнеэкономической деятельности Российской Федерации.

Основными мерами по обеспечению информационной безопасности Российской Федерации в сфере экономики являются:

организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;
коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации;
разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;
разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование;
совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики;
совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации.

В сфере внутренней политики. Наиболее важными объектами обеспечения информационной безопасности Российской Федерации в сфере внутренней политики являются:

конституционные права и свободы человека и гражданина;
конституционный строй, национальное согласие, стабильность государственной власти, суверенитет и территориальная целостность Российской Федерации;
открытые информационные ресурсы федеральных органов исполнительной власти и средств массовой информации.

Наибольшую опасность в сфере внутренней политики представляют следующие угрозы информационной безопасности Российской Федерации:

нарушение конституционных прав и свобод граждан, реализуемых в информационной сфере;
недостаточное правовое регулирование отношений в области прав различных политических сил на использование средств массовой информации для пропаганды своих идей;
распространение дезинформации о политике Российской Федерации, деятельности федеральных органов государственной власти, событиях, происходящих в стране и за рубежом;
деятельность общественных объединений, направленная на насильственное изменение основ конституционного строя и нарушение целостности Российской Федерации, разжигание социальной, расовой, национальной и религиозной вражды, на распространение этих идей в средствах массовой информации.

Основными мероприятиями в области обеспечения информационной безопасности Российской Федерации в сфере внутренней политики являются:

создание системы противодействия монополизации отечественными и зарубежными структурами составляющих информационной инфраструктуры, включая рынок информационных услуг и средства массовой информации;
активизация контрпропагандистской деятельности, направленной на предотвращение негативных последствий распространения дезинформации о внутренней политике России.

В сфере внешней политики. К наиболее важным объектам обеспечения информационной безопасности Российской Федерации в сфере внешней политики относятся:

информационные ресурсы федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях;
информационные ресурсы представительств федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, на территориях субъектов Российской Федерации;
информационные ресурсы российских предприятий, учреждений и организаций, подведомственных федеральным органам исполнительной власти, реализующим внешнюю политику Российской Федерации;
блокирование деятельности российских средств массовой информации по разъяснению зарубежной аудитории целей и основных направлений государственной политики Российской Федерации, ее мнения по социально значимым событиям российской и международной жизни.

Из внешних угроз информационной безопасности Российской Федерации в сфере внешней политики наибольшую опасность представляют:

информационное воздействие иностранных политических, экономических, военных и информационных структур на разработку и реализацию стратегии внешней политики Российской Федерации;
распространение за рубежом дезинформации о внешней политике Российской Федерации;
нарушение прав российских граждан и юридических лиц в информационной сфере за рубежом;
попытки несанкционированного доступа к информации и воздействия на информационные ресурсы, информационную инфраструктуру федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях.

Из внутренних угроз информационной безопасности Российской Федерации в сфере внешней политики наибольшую опасность представляют:

нарушение установленного порядка сбора, обработки, хранения и передачи информации в федеральных органах исполнительной власти, реализующих внешнюю политику Российской Федерации, и на подведомственных им предприятиях, в учреждениях и организациях;
информационно-пропагандистская деятельность политических сил, общественных объединений, средств массовой информации и отдельных лиц, искажающая стратегию и тактику внешнеполитической деятельности Российской Федерации;
недостаточная информированность населения о внешнеполитической деятельности Российской Федерации.

Основными мероприятиями по обеспечению информационной безопасности Российской Федерации в сфере внешней политики являются:

разработка основных направлений государственной политики в области совершенствования информационного обеспечения внешнеполитического курса Российской Федерации;
разработка и реализация комплекса мер по усилению информационной безопасности информационной инфраструктуры федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях;
создание российским представительствам и организациям за рубежом условий для работы по нейтрализации распространяемой там дезинформации о внешней политике Российской Федерации;
совершенствование информационного обеспечения работы по противодействию нарушениям прав и свобод российских граждан и юридических лиц за рубежом;
совершенствование информационного обеспечения субъектов Российской Федерации по вопросам внешнеполитической деятельности, которые входят в их компетенцию.

В области науки и техники. Наиболее важными объектами обеспечения информационной безопасности Российской Федерации в области науки и техники являются:

результаты фундаментальных, поисковых и прикладных научных исследований, потенциально важные для научно-технического, технологического и социально-экономического развития страны, включая сведения, утрата которых может нанести ущерб национальным интересам и престижу Российской Федерации;
открытия, незапатентованные технологии, промышленные образцы, полезные модели и экспериментальное оборудование;
научно-технические кадры и система их подготовки;
системы управления сложными исследовательскими комплексами (ядерными реакторами, ускорителями элементарных частиц, плазменными генераторами и другими).

К числу основных внешних угроз информационной безопасности Российской Федерации в области науки и техники следует отнести:

стремление развитых иностранных государств получить противоправный доступ к научно-техническим ресурсам России для использования полученных российскими учеными результатов в собственных интересах;
создание льготных условий на российском рынке для иностранной научно-технической продукции и стремление развитых стран в то же время ограничить развитие научно-технического потенциала России (скупка акций передовых предприятий с их последующим перепрофилированием, сохранение экспортно-импортных ограничений и тому подобное);
политику западных стран, направленную на дальнейшее разрушение унаследованного от СССР единого научно-технического пространства государств - участников Содружества Независимых Государств за счет переориентации на западные страны их научно-технических связей, а также отдельных, наиболее перспективных научных коллективов;
активизацию деятельности иностранных государственных и коммерческих предприятий, учреждений и организаций в области промышленного шпионажа с привлечением к ней разведывательных и специальных служб.

К числу основных внутренних угроз информационной безопасности Российской Федерации в области науки и техники следует отнести:

сохраняющуюся сложную экономическую ситуацию в России, ведущую к резкому снижению финансирования научно-технической деятельности, временному падению престижа научно-технической сферы, утечке за рубеж идей и передовых разработок;
неспособность предприятий национальных отраслей электронной промышленности производить на базе новейших достижений микроэлектроники, передовых информационных технологий конкурентоспособную наукоемкую продукцию, позволяющую обеспечить достаточный уровень технологической независимости России от зарубежных стран, что приводит к вынужденному широкому использованию импортных программно-аппаратных средств при создании и развитии в России информационной инфраструктуры;
серьезные проблемы в области патентной защиты результатов научно-технической деятельности российских ученых;
сложности реализации мероприятий по защите информации, особенно на акционированных предприятиях, в научно-технических учреждениях и организациях.

Реальный путь противодействия угрозам информационной безопасности Российской Федерации в области науки и техники - это совершенствование законодательства Российской Федерации, регулирующего отношения в данной области, и механизмов его реализации. В этих целях государство должно способствовать созданию системы оценки возможного ущерба от реализации угроз наиболее важным объектам обеспечения информационной безопасности Российской Федерации в области науки и техники, включая общественные научные советы и организации независимой экспертизы, вырабатывающие рекомендации для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации по предотвращению противоправного или неэффективного использования интеллектуального потенциала России.

В сфере духовной жизни. Обеспечение информационной безопасности Российской Федерации в сфере духовной жизни имеет целью защиту конституционных прав и свобод человека и гражданина, связанных с развитием, формированием и поведением личности, свободой массового информирования, использования культурного, духовно-нравственного наследия, исторических традиций и норм общественной жизни, с сохранением культурного достояния всех народов России, реализацией конституционных ограничений прав и свобод человека и гражданина в интересах сохранения и укрепления нравственных ценностей общества, традиций патриотизма и гуманизма, здоровья граждан, культурного и научного потенциала Российской Федерации, обеспечения обороноспособности и безопасности государства.

К числу основных объектов обеспечения информационной безопасности Российской Федерации в сфере духовной жизни относятся:

достоинство личности, свобода совести, включая право свободно выбирать, иметь и распространять религиозные и иные убеждения и действовать в соответствии с ними, свобода мысли и слова (за исключением пропаганды или агитации, возбуждающих социальную, расовую, национальную или религиозную ненависть и вражду), а также свобода литературного, художественного, научного, технического и других видов творчества, преподавания;
свобода массовой информации;
неприкосновенность частной жизни, личная и семейная тайна;
русский язык как фактор духовного единения народов многонациональной России, язык межгосударственного общения народов государств - участников Содружества Независимых Государств;
языки, нравственные ценности и культурное наследие народов и народностей Российской Федерации;
объекты интеллектуальной собственности.

Наибольшую опасность в сфере духовной жизни представляют следующие угрозы информационной безопасности Российской Федерации:

деформация системы массового информирования как за счет монополизации средств массовой информации, так и за счет неконтролируемого расширения сектора зарубежных средств массовой информации в отечественном информационном пространстве;
ухудшение состояния и постепенный упадок объектов российского культурного наследия, включая архивы, музейные фонды, библиотеки, памятники архитектуры, ввиду недостаточного финансирования соответствующих программ и мероприятий;
возможность нарушения общественной стабильности, нанесение вреда здоровью и жизни граждан вследствие деятельности религиозных объединений, проповедующих религиозный фундаментализм, а также тоталитарных религиозных сект;
использование зарубежными специальными службами средств массовой информации, действующих на территории Российской Федерации, для нанесения ущерба обороноспособности страны и безопасности государства, распространения дезинформации;
неспособность современного гражданского общества России обеспечить формирование у подрастающего поколения и поддержание в обществе общественно необходимых нравственных ценностей, патриотизма и гражданской ответственности за судьбу страны.

Основными направлениями обеспечения информационной безопасности Российской Федерации в сфере духовной жизни являются:

развитие в России основ гражданского общества;
создание социально-экономических условий для осуществления творческой деятельности и функционирования учреждений культуры;
выработка цивилизованных форм и способов общественного контроля за формированием в обществе духовных ценностей, отвечающих национальным интересам страны, воспитанием патриотизма и гражданской ответственности за ее судьбу;
совершенствование законодательства Российской Федерации, регулирующего отношения в области конституционных ограничений прав и свобод человека и гражданина;
государственная поддержка мероприятий по сохранению и возрождению культурного наследия народов и народностей Российской Федерации;
формирование правовых и организационных механизмов обеспечения конституционных прав и свобод граждан, повышения их правовой культуры в интересах противодействия сознательному или непреднамеренному нарушению этих конституционных прав и свобод в сфере духовной жизни;
разработка действенных организационно-правовых механизмов доступа средств массовой информации и граждан к открытой информации о деятельности федеральных органов государственной власти и общественных объединений, обеспечение достоверности сведений о социально значимых событиях общественной жизни, распространяемых через средства массовой информации;
разработка специальных правовых и организационных механизмов недопущения противоправных информационно-психологических воздействий на массовое сознание общества, неконтролируемой коммерциализации культуры и науки, а также обеспечивающих сохранение культурных и исторических ценностей народов и народностей Российской Федерации, рациональное использование накопленных обществом информационных ресурсов, составляющих национальное достояние;
введение запрета на использование эфирного времени в электронных средствах массовой информации для проката программ, пропагандирующих насилие и жестокость, антиобщественное поведение;
противодействие негативному влиянию иностранных религиозных организаций и миссионеров.

В общегосударственных информационных и телекоммуникационных системах. Основными объектами обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются:

информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, и конфиденциальную информацию;
средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;
технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;
помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа.

Основными угрозами информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются:

деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных и телекоммуникационных систем;
вынужденное в силу объективного отставания отечественной промышленности использование при создании и развитии информационных и телекоммуникационных систем импортных программно-аппаратных средств;
нарушение установленного регламента сбора, обработки и передачи информации, преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем, отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
использование несертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты информации и контроля их эффективности;
привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности.

Основными направлениями обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются:

предотвращение перехвата информации из помещений и с объектов, а также информации, передаваемой по каналам связи с помощью технических средств;
исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;
предотвращение утечки информации по техническим каналам, возникающей при эксплуатации технических средств ее обработки, хранения и передачи;
предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;
обеспечение информационной безопасности при подключении общегосударственных информационных и телекоммуникационных систем к внешним информационным сетям, включая международные;
обеспечение безопасности конфиденциальной информации при взаимодействии информационных и телекоммуникационных систем различных классов защищенности;
выявление внедренных на объекты и в технические средства электронных устройств перехвата информации.

Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются:

лицензирование деятельности организаций в области защиты информации;
аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;
сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;
введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
создание и применение информационных и автоматизированных систем управления в защищенном исполнении.

В сфере обороны. К объектам обеспечения информационной безопасности Российской Федерации в сфере обороны относятся:

информационная инфраструктура центральных органов военного управления и органов военного управления видов Вооруженных Сил Российской Федерации и родов войск, объединений, соединений, воинских частей и организаций, входящих в Вооруженные Силы Российской Федерации, научно-исследовательских учреждений Министерства обороны Российской Федерации;
информационные ресурсы предприятий оборонного комплекса и научно-исследовательских учреждений, выполняющих государственные оборонные заказы либо занимающихся оборонной проблематикой;
программно-технические средства автоматизированных и автоматических систем управления войсками и оружием, вооружения и военной техники, оснащенных средствами информатизации;
информационные ресурсы, системы связи и информационная инфраструктура других войск, воинских формирований и органов.

Внешними угрозами, представляющими наибольшую опасность для объектов обеспечения информационной безопасности Российской Федерации в сфере обороны, являются:

все виды разведывательной деятельности зарубежных государств;
информационно-технические воздействия (в том числе радиоэлектронная борьба, проникновение в компьютерные сети) со стороны вероятных противников;
диверсионно-подрывная деятельность специальных служб иностранных государств, осуществляемая методами информационно-психологического воздействия;
деятельность иностранных политических, экономических и военных структур, направленная против интересов Российской Федерации в сфере обороны.

Внутренними угрозами, представляющими наибольшую опасность для указанных объектов, являются:

нарушение установленного регламента сбора, обработки, хранения и передачи информации, находящейся в штабах и учреждениях Министерства обороны Российской Федерации, на предприятиях оборонного комплекса;
преднамеренные действия, а также ошибки персонала информационных и телекоммуникационных систем специального назначения;
ненадежное функционирование информационных и телекоммуникационных систем специального назначения;
возможная информационно-пропагандистская деятельность, подрывающая престиж Вооруженных Сил Российской Федерации и их боеготовность;
нерешенность вопросов защиты интеллектуальной собственности предприятий оборонного комплекса, приводящая к утечке за рубеж ценнейших государственных информационных ресурсов;
нерешенность вопросов социальной защиты военнослужащих и членов их семей.

Перечисленные внутренние угрозы будут представлять особую опасность в условиях обострения военно-политической обстановки.

Главными специфическими направлениями совершенствования системы обеспечения информационной безопасности Российской Федерации в сфере обороны являются:

систематическое выявление угроз и их источников, структуризация целей обеспечения информационной безопасности в сфере обороны и определение соответствующих практических задач;
проведение сертификации общего и специального программного обеспечения, пакетов прикладных программ и средств защиты информации в существующих и создаваемых автоматизированных системах управления военного назначения и системах связи, имеющих в своем составе элементы вычислительной техники;
постоянное совершенствование средств защиты информации от несанкционированного доступа, развитие защищенных систем связи и управления войсками и оружием, повышение надежности специального программного обеспечения;
совершенствование структуры функциональных органов системы обеспечения информационной безопасности в сфере обороны и координация их взаимодействия;
совершенствование приемов и способов стратегической и оперативной маскировки, разведки и радиоэлектронной борьбы, методов и средств активного противодействия информационно-пропагандистским и психологическим операциям вероятного противника;
подготовка специалистов в области обеспечения информационной безопасности в сфере обороны.

В правоохранительной и судебной сферах. К наиболее важным объектам обеспечения информационной безопасности в правоохранительной и судебной сферах относятся:

информационные ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функции, судебных органов, их информационно-вычислительных центров, научно-исследовательских учреждений и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера;
информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;
информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи).

Внешними угрозами, представляющими наибольшую опасность для объектов обеспечения информационной безопасности в правоохранительной и судебной сферах, являются:

разведывательная деятельность специальных служб иностранных государств, международных преступных сообществ, организаций и групп, связанная со сбором сведений, раскрывающих задачи, планы деятельности, техническое оснащение, методы работы и места дислокации специальных подразделений и органов внутренних дел Российской Федерации;
деятельность иностранных государственных и частных коммерческих структур, стремящихся получить несанкционированный доступ к информационным ресурсам правоохранительных и судебных органов.

Внутренними угрозами, представляющими наибольшую опасность для указанных объектов, являются:

нарушение установленного регламента сбора, обработки, хранения и передачи информации, содержащейся в картотеках и автоматизированных банках данных и использующейся для расследования преступлений;
недостаточность законодательного и нормативного регулирования информационного обмена в правоохранительной и судебной сферах;
отсутствие единой методологии сбора, обработки и хранения информации оперативно-разыскного, справочного, криминалистического и статистического характера;
отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
преднамеренные действия, а также ошибки персонала, непосредственно занятого формированием и ведением картотек и автоматизированных банков данных.

Наряду с широко используемыми общими методами и средствами защиты информации применяются также специфические методы и средства обеспечения информационной безопасности в правоохранительной и судебной сферах.

Главными из них являются:

создание защищенной многоуровневой системы интегрированных банков данных оперативно-разыскного, справочного, криминалистического и статистического характера на базе специализированных информационно-телекоммуникационных систем;
повышение уровня профессиональной и специальной подготовки пользователей информационных систем.

В условиях чрезвычайных ситуаций. Наиболее уязвимыми объектами обеспечения информационной безопасности Российской Федерации в условиях чрезвычайных ситуаций являются система принятия решений по оперативным действиям (реакциям), связанным с развитием таких ситуаций и ходом ликвидации их последствий, а также система сбора и обработки информации о возможном возникновении чрезвычайных ситуаций.

Особое значение для нормального функционирования указанных объектов имеет обеспечение безопасности информационной инфраструктуры страны при авариях, катастрофах и стихийных бедствиях. Сокрытие, задержка поступления, искажение и разрушение оперативной информации, несанкционированный доступ к ней отдельных лиц или групп лиц могут привести как к человеческим жертвам, так и к возникновению разного рода сложностей при ликвидации последствий чрезвычайной ситуации, связанных с особенностями информационного воздействия в экстремальных условиях: к приведению в движение больших масс людей, испытывающих психический стресс; к быстрому возникновению и распространению среди них паники и беспорядков на основе слухов, ложной или недостоверной информации.

К специфическим для данных условий направлениям обеспечения информационной безопасности относятся:

разработка эффективной системы мониторинга объектов повышенной опасности, нарушение функционирования которых может привести к возникновению чрезвычайных ситуаций, и прогнозирования чрезвычайных ситуаций;
совершенствование системы информирования населения об угрозах возникновения чрезвычайных ситуаций, об условиях их возникновения и развития;
повышение надежности систем обработки и передачи информации, обеспечивающих деятельность федеральных органов исполнительной власти;
прогнозирование поведения населения под воздействием ложной или недостоверной информации о возможных чрезвычайных ситуациях и выработка мер по оказанию помощи большим массам людей в условиях этих ситуаций;
разработка специальных мер по защите информационных систем, обеспечивающих управление экологически опасными и экономически важными производствами.

7. Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности

Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности - неотъемлемая составляющая политического, военного, экономического, культурного и других видов взаимодействия стран, входящих в мировое сообщество. Такое сотрудничество должно способствовать повышению информационной безопасности всех членов мирового сообщества, включая Российскую Федерацию.

Особенность международного сотрудничества Российской Федерации в области обеспечения информационной безопасности состоит в том, что оно осуществляется в условиях обострения международной конкуренции за обладание технологическими и информационными ресурсами, за доминирование на рынках сбыта, в условиях продолжения попыток создания структуры международных отношений, основанной на односторонних решениях ключевых проблем мировой политики, противодействия укреплению роли России как одного из влиятельных центров формирующегося многополярного мира, усиления технологического отрыва ведущих держав мира и наращивания их возможностей для создания «информационного оружия». Все это может привести к новому этапу развертывания гонки вооружений в информационной сфере, нарастанию угрозы агентурного и оперативно-технического проникновения в Россию иностранных разведок, в том числе с использованием глобальной информационной инфраструктуры.

Основными направлениями международного сотрудничества Российской Федерации в области обеспечения информационной безопасности являются:

запрещение разработки, распространения и применения «информационного оружия»;
обеспечение безопасности международного информационного обмена, в том числе сохранности информации при ее передаче по национальным телекоммуникационным каналам и каналам связи;
координация деятельности правоохранительных органов стран, входящих в мировое сообщество, по предотвращению компьютерных преступлений;
предотвращение несанкционированного доступа к конфиденциальной информации в международных банковских телекоммуникационных сетях и системах информационного обеспечения мировой торговли, к информации международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью, международным терроризмом, распространением наркотиков и психотропных веществ, незаконной торговлей оружием и расщепляющимися материалами, а также торговлей людьми.

При осуществлении международного сотрудничества Российской Федерации в области обеспечения информационной безопасности особое внимание должно уделяться проблемам взаимодействия с государствами - участниками Содружества Независимых Государств.

Для осуществления этого сотрудничества по указанным основным направлениям необходимо обеспечить активное участие России во всех международных организациях, осуществляющих деятельность в области информационной безопасности, в том числе в сфере стандартизации и сертификации средств информатизации и защиты информации.

III. ОСНОВНЫЕ ПОЛОЖЕНИЯ ГОСУДАРСТВЕННОЙ ПОЛИТИКИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ И ПЕРВООЧЕРЕДНЫЕ МЕРОПРИЯТИЯ ПО ЕЕ РЕАЛИЗАЦИИ

8. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации

Государственная политика обеспечения информационной безопасности Российской Федерации определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей по защите интересов Российской Федерации в информационной сфере в рамках направлений их деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

Государственная политика обеспечения информационной безопасности Российской Федерации основывается на следующих основных принципах:

соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации;
открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации;
правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;
приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.

Государство в процессе реализации своих функций по обеспечению информационной безопасности Российской Федерации:

проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению;
организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации;
поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;
осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;
проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;
способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;
формулирует и реализует государственную информационную политику России;
организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области;
способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.

Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации.

Это предполагает:

оценку эффективности применения действующих законодательных и иных нормативных правовых актов в информационной сфере и выработку программы их совершенствования;
создание организационно-правовых механизмов обеспечения информационной безопасности;
определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем, и установление их ответственности за соблюдение законодательства Российской Федерации в данной сфере;
создание системы сбора и анализа данных об источниках угроз информационной безопасности Российской Федерации, а также о последствиях их осуществления;
разработку нормативных правовых актов, определяющих организацию следствия и процедуру судебного разбирательства по фактам противоправных действий в информационной сфере, а также порядок ликвидации последствий этих противоправных действий;
разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы, в законодательство Российской Федерации о государственной службе;
совершенствование системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации.

Правовое обеспечение информационной безопасности Российской Федерации должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере.

Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере.

Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности.

Разработка механизмов правового обеспечения информационной безопасности Российской Федерации включает в себя мероприятия по информатизации правовой сферы в целом.

В целях выявления и согласования интересов федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и других субъектов отношений в информационной сфере, выработки необходимых решений государство поддерживает формирование общественных советов, комитетов и комиссий с широким представительством общественных объединений и содействует организации их эффективной работы.

9. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации

Первоочередными мероприятиями по реализации государственной политики обеспечения информационной безопасности Российской Федерации являются:

разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности Российской Федерации;
разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;
принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, повышение правовой культуры и компьютерной грамотности граждан, развитие инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения;
развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации;
гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения.

IV. ОРГАНИЗАЦИОННАЯ ОСНОВА СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

10. Основные функции системы обеспечения информационной безопасности Российской Федерации

Система обеспечения информационной безопасности Российской Федерации предназначена для реализации государственной политики в данной сфере.

Основными функциями системы обеспечения информационной безопасности Российской Федерации являются:

разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;
создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;
определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;
координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;
контроль деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении задач обеспечения информационной безопасности Российской Федерации;
предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;
развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;
организация разработки федеральной и региональных программ обеспечения информационной безопасности и координация деятельности по их реализации;
проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;
организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;
защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;
обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;
совершенствование и развитие единой системы подготовки кадров, используемых в области информационной безопасности Российской Федерации;
осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.

Компетенция федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.

Функции органов, координирующих деятельность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации.

11. Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации

Система обеспечения информационной безопасности Российской Федерации является частью системы обеспечения национальной безопасности страны.

Система обеспечения информационной безопасности Российской Федерации строится на основе разграничения полномочий органов законодательной, исполнительной и судебной власти в данной сфере, а также предметов ведения федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации.

Основными элементами организационной основы системы обеспечения информационной безопасности Российской Федерации являются: Президент Российской Федерации, Совет Федерации Федерального Собрания Российской Федерации, Государственная Дума Федерального Собрания Российской Федерации, Правительство Российской Федерации, Совет Безопасности Российской Федерации, федеральные органы исполнительной власти, межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, органы судебной власти, общественные объединения, граждане, принимающие в соответствии с законодательством Российской Федерации участие в решении задач обеспечения информационной безопасности Российской Федерации.

Президент Российской Федерации руководит в пределах своих конституционных полномочий органами и силами по обеспечению информационной безопасности Российской Федерации; санкционирует действия по обеспечению информационной безопасности Российской Федерации; в соответствии с законодательством Российской Федерации формирует, реорганизует и упраздняет подчиненные ему органы и силы по обеспечению информационной безопасности Российской Федерации; определяет в своих ежегодных посланиях Федеральному Собранию приоритетные направления государственной политики в области обеспечения информационной безопасности Российской Федерации, а также меры по реализации настоящей Доктрины.

Палаты Федерального Собрания Российской Федерации на основе Конституции Российской Федерации по представлению Президента Российской Федерации и Правительства Российской Федерации формируют законодательную базу в области обеспечения информационной безопасности Российской Федерации.

Правительство Российской Федерации в пределах своих полномочий и с учетом сформулированных в ежегодных посланиях Президента Российской Федерации Федеральному Собранию приоритетных направлений в области обеспечения информационной безопасности Российской Федерации координирует деятельность федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, а также при формировании в установленном порядке проектов федерального бюджета на соответствующие годы предусматривает выделение средств, необходимых для реализации федеральных программ в этой области.

Совет Безопасности Российской Федерации проводит работу по выявлению и оценке угроз информационной безопасности Российской Федерации, оперативно подготавливает проекты решений Президента Российской Федерации по предотвращению таких угроз, разрабатывает предложения в области обеспечения информационной безопасности Российской Федерации, а также предложения по уточнению отдельных положений настоящей Доктрины, координирует деятельность органов и сил по обеспечению информационной безопасности Российской Федерации, контролирует реализацию федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации решений Президента Российской Федерации в этой области.

Федеральные органы исполнительной власти обеспечивают исполнение законодательства Российской Федерации, решений Президента Российской Федерации и Правительства Российской Федерации в области обеспечения информационной безопасности Российской Федерации; в пределах своей компетенции разрабатывают нормативные правовые акты в этой области и представляют их в установленном порядке Президенту Российской Федерации и в Правительство Российской Федерации.

Межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации, решают в соответствии с предоставленными им полномочиями задачи обеспечения информационной безопасности Российской Федерации.

Органы исполнительной власти субъектов Российской Федерации взаимодействуют с федеральными органами исполнительной власти по вопросам исполнения законодательства Российской Федерации, решений Президента Российской Федерации и Правительства Российской Федерации в области обеспечения информационной безопасности Российской Федерации, а также по вопросам реализации федеральных программ в этой области; совместно с органами местного самоуправления осуществляют мероприятия по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения информационной безопасности Российской Федерации; вносят в федеральные органы исполнительной власти предложения по совершенствованию системы обеспечения информационной безопасности Российской Федерации.

Органы местного самоуправления обеспечивают соблюдение законодательства Российской Федерации в области обеспечения информационной безопасности Российской Федерации.

Органы судебной власти осуществляют правосудие по делам о преступлениях, связанных с посягательствами на законные интересы личности, общества и государства в информационной сфере, и обеспечивают судебную защиту граждан и общественных объединений, чьи права были нарушены в связи с деятельностью по обеспечению информационной безопасности Российской Федерации.

В состав системы обеспечения информационной безопасности Российской Федерации могут входить подсистемы (системы), ориентированные на решение локальных задач в данной сфере.

* * *

Реализация первоочередных мероприятий по обеспечению информационной безопасности Российской Федерации, перечисленных в настоящей Доктрине, предполагает разработку соответствующей федеральной программы. Конкретизация некоторых положений настоящей Доктрины применительно к отдельным сферам деятельности общества и государства может быть осуществлена в соответствующих документах, утверждаемых Президентом Российской Федерации.

Президент Российской Федерации В. Путин

9 сентября 2000 г.

№ Пр-1895

Приложение 2. Обзор компьютерных преступлений

Для того, чтобы грамотно построить систему информационной безопасности, необходимо, прежде всего, проанализировать преступления в этой области.

В России

По заявлению заместителя начальника управления по борьбе с экономическими преступлениями МВД России, за последние несколько лет российские хакеры совершили более 500 попыток проникнуть в компьютерные сети Центробанка и сумели похитить оттуда около 250 млрд рублей.

Осужден российский хакер

Суд города Южно-Сахалинска рассмотрел уголовное дело по обвинению студента колледжа в компьютерном преступлении и приговорил его к трем годам лишения свободы условно. Следствие по фактам незаконного проникновения в компьютерные сети местных коммерческих организаций и правоохранительных органов было возбуждено еще в мае прошлого года. Сотрудникам органов безопасности удалось собрать доказательства того, что подозреваемый занимался изучением корреспонденции абонентов почтовой службы «Сахмейл». Хакер копировал коммерческую и конфиденциальную информацию, но суд оказался не в состоянии доказать, что он торговал этими данными. Помимо условного срока, подсудимый обязан выплатить штраф в 200 МРОТ и 1770 рублей в качестве компенсации операторам связи.

Хакеры ограбили Сбербанк

В Пермской области, в городе Березняки, завершился суд над двумя хакерами, проникшими в электронную систему местного отделения Сбербанка и похитившими более 1,5 млрд. «старых» рублей. На скамье подсудимых оказались безработный Игорь Черный и бывший работник отделения Сбербанка Иван Чупин. Чупин был принят на работу на должность старшего инженера с функциями администратора безопасности системы расчетов по пластиковым картам системы «Сберкарт» летом 1998 года, а через год неожиданно уволился, заблокировав перед этим пароль базы данных. Пока Чупин трудился над созданием компьютерной программы, которая позволила бы завладеть деньгами, его подельники по краденому паспорту открыли два карточных счета в двух отделениях Сбербанка. Тем временем Чупин написал программу, позволявшую делать так называемое безадресное зачисление средств. Суть операции состояла в том, что при подключении компьютера через модем по телефонной сети в любой точке за пределами банка программа автоматически, без участия оператора, используя средства идентификации, вносила изменения в таблицу остатков на счетах с известными номерами. После отражения денежных изменений на пластиковые карты через банкомат программа приводила таблицу в первоначальный вид. Запустить программу было решено с телефона общего знакомого Третьякова, которому было обещано вознаграждение в сумме 5 млн. рублей (все суммы указаны без учета деноминации). Обкатав программу, преступники на открытый ими счет зачислили через березняковский Сбербанк 2 млрд. рублей и принялись методично снимать с него крупные суммы через банкоматы в Перми, Санкт-Петербурге и Москве. Вскоре в Сбербанке забили тревогу, и на карточки злоумышленников полетели стоп-листы, однако преступникам удавалось опережать их, иногда всего на несколько минут. Между тем, березняковским УВД был установлен телефонный номер, по которому произошло проникновение в базу данных банка. Спустя несколько дней Чупин и Черный были задержаны. Решением суда Чупин был приговорен к 7 годам лишения свободы с конфискацией имущества, а Черный – к 6,5. Суд удовлетворил также иск Сбербанка на 2,7 млн. уже «новых» рублей, которые будут вычитать из зарплаты мошенников в местах заключения.

Атака на Газпром

В ноябре 2000 г. информационные агентства сообщили о том, что злоумышленники осуществили несанкционированный доступ к компьютерной сети «Газпрома» и временно получили полный контроль над газовыми потоками. Некто, имеющий отношение к концерну «Газпром», с помощью группы молодых людей внедрил в компьютерные сети «Газпрома» 24 программы, называемые «троянскими конями», посредством которых были получены данные для успешной хакерской атаки. В итоге центральный пункт управления газовыми потоками стал временно подконтролен внешним пользователям. Точных сообщений об итогах вторжения не было.

Атака на сайт российского Центра управления космическими полетами

По данным агентства Lenta.ru 10 февраля 2000г. неизвестные хакеры взломали официальный сайт российского Центра управления полетами.

По сообщению «Известий», в субботу 10 февраля на главной странице появилась надпись «Windows Rulezzzz». Взломщики воспользовались временным административным паролем. По словам сетевых администраторов сайта, личности хакеров пока не установлены. Никакие сведения похищены не были, а базы данных, содержащиеся на сервере не пострадали.

Взломана база данных компании Western Union

Как сообщило агентство Росбизнесконсалтинг, 8 сентября 2000г. компания Western Union, специализирующаяся на денежных переводах, объявила о том, что из-за «человеческого фактора» неизвестному злоумышленнику удалось скопировать информацию о кредитных карточках около 15,7 тысяч клиентов ее Web-сайта. Представитель Western Union сообщил, что взлом произошел во время проведения регламентных работ, когда были открыты системные файлы, доступ к которым во время штатной работы сайта имеют только администраторы.

Атака на Тульский оружейный завод

Как сообщает газета «Новые Известия» (29 мая 2000г.), 17-летний студент Тульского университета с помощью примитивной программки, рассылаемой по электронной почте пользователям Internet, получил логин/ пароль и украл около 70 часов онлайновского времени у Тульского оружейного завода. Сотрудники «засекли» его случайно: попытавшись войти в Internet, они обнаружили, что доступ заблокирован, хотя в Сети в это время никто из них не работал. В результате судебного разбирательства «хакеру» дали полтора года условно и конфисковали компьютер.

Кража паролей

29 августа 2000г. агентство РИА-Новости распространило информацию, что сотрудники МВД России поймали компьютерных мошенников, похитивших в Internet 1 тысячу паролей пользователей. 19-летний студент Московского института стали и сплавов и 27-летний безработный с высшим экономическим образованием в течение полутора месяцев «воровали» в Internet пароли и продавали их по более низкой цене, чем у официальных провайдеров. Мошенники «ловили» завсегдатаев «всемирной паутины» с помощью «троянского коня».

Статистика Нижегородского УВД

1 сентября 2000г. агентство Internet.ru сообщило, что УВД Нижнего Новгорода подвело итоги работы по борьбе с преступлениями в сфере высоких технологий в первом полугодии 2000 года.

С января по июнь было возбуждено 18 уголовных дел, среди них 11 по статье 272 (неправомерный доступ к информации), 1 по статье 273 (создание, использование и распространение вредоносных программ). 4 по статье 171 (незаконное предпринимательство) и 2 по статье 138 (нарушение тайны переписки).

Закрыт сервер заказа железнодорожных билетов

По сообщению агенства Lenta.ru 4 августа 2000г. по распоряжению МПС полностью прекращен доступ к системе резервирования билетов «Экспресс-2» через Internet. МПС имеет собственную компьютерную сеть и фактически является провайдером «собственного Internet». По этой внутренней сети передается информация о движении поездов, местонахождении грузов, финансовые движения. С этой же сетью работает система заказов билетов. Ее Internet-сервис в конце концов сочли слабым местом, т.к. именно здесь сеть МПС пересекается с Internet.

Кировский вирусописатель

По сведениям ИА Lenta.ru 4 мая 2000г. УФСБ по Кировской области впервые возбудили уголовное дело по статье 273 УК РФ, которая предусматривает наказание за создание и распространение компьютерных вирусов. Г. Ялькин, работая в отделе информационных систем одного из ООО Кирова, создал вредоносную программу, которая приводила к сбоям работы ЭВМ и локальной компьютерной сети. По данным следствия, Ялькин установил программу на сервере фирмы и каждый, кто входил на сервер, получал компьютерный вирус.

В мире

Национальная ассоциация компьютерной безопасности США ежегодно публикует «Обзор нарушений в области информационной безопасности за прошедший год». Ниже приводятся некоторые примеры из этих обзоров, наиболее характерных и показательных с точки зрения полезности для учета при построении собственных систем информационной безопасности.

Наиболее серьезные нарушения в области информационной безопасности в прошлом году

Январь

22 января по немецкому телевидению была показана передача, в ходе которой хакер наглядно продемонстрировал опасность передачи банковской информации по каналам связи в незашифрованном виде. Хакер спустился в подвал жилого дома, без всяких помех подключился к телефонной линии одной из квартир и вскоре перехватил идентификационные данные жильца квартиры, когда тот пытался связаться со своим банком по телефону. Затем хакер демонстративно перевел 5 тыс. немецких марок со счета жильца на собственный счет. В конце телепередачи зрителям было настоятельно рекомендовано шифровать свои персональные данные при совершении банковских операций, если эти данные приходится передавать по каналам связи.

Американские криптологи М. Блейз, У. Диффи, Р. Райвест, Б. Шнейер, Ц. Шимомура, Э. Томпсон и М. Винер опубликовали статью под названием «Минимальная длина ключа симметричных шифраторов для обеспечения необходимой стойкости». Авторы этой статьи заявили, что 40-битовый ключ больше не может считаться стойким против криптоаналитической атаки методом тотального перебора ключей, и даже 56-битовые ключи не обеспечивают требуемую защиту зашифрованных с их помощью конфиденциальных данных. Блейз, Диффи и другие настоятельно рекомендовали пользоваться ключами длиной 75 бит. А чтобы ключ успешно противостоял вскрытию в течение ближайших 20 лет, его длину придется увеличить до 90 бит.

Британская ассоциация страхователей распространила доклад, в котором утверждается, что из-за компьютерных преступлений убытки страховых компаний, входящих в ассоциацию, составляют около 1 млрд фунтов стерлингов в год.

Февраль

Американская компания BerkshireNet, провайдер услуг Internet, стала жертвой нападения злоумышленника, который проник на ее сервер под видом системного администратора, разрисовал свастиками и расистскими лозунгами Web-страницы этой компании, а затем выключил сервер, предварительно стерев на нем несколько файлов. Сервер удалось снова привести в рабочее состояние лишь через 12 часов. Старые файлы были найдены в архиве и успешно восстановлены. Однако файлы, созданные за последние несколько дней, были безвозвратно потеряны. Из этой грустной истории сами собой напрашиваются два очевидных вывода: первый – защищайте информацию на своем Web-сайте от несанкционированных изменений; второй – регулярно производите резервное копирование жестких дисков.

Март

10 марта австралийская газета Sunday Mail сообщила о двух женщинах, проживающих в штате Квинсленд. Обеих зовут Белинда Ли Перри, и обе они родились 7 января 1969 года. Поскольку компьютерные программисты и аналитики не предвидели такого совпадения, идентификаторы, которые должны быть уникальными для каждого человека на протяжении всей его жизни, у этих женщин полностью совпали, в результате чего при занесении информации о них в компьютер постоянно возникает путаница. Разработчикам программного обеспечения нелишне задуматься, насколько действительно уникален идентификатор типа «имя + дата рождения».

В конце марта в Аргентине был арестован 20-летний Хулио Цезарь Ардита, который систематически занимался незаконным проникновением в компьютерные системы, установленные в Национальном агентстве по аэронавтике (NASA), в Главном штабе ВМС США, в Гарвардском и Массачусетсском университетах, а также в Бразилии, Корее, Мексике, на Тайване и в Чили. Интересно, что в ходе поисков нарушителя были использованы программы, в основу функционирования которых положены алгоритмы искусственного интеллекта. С помощью этих программ были просеяны тысячи пользовательских идентификаторов, чтобы по характерным особенностям поведения нарушителя выявить среди них тот единственный идентификатор, который принадлежит именно ему. У Ардита были конфискованы компьютер и модем, однако надолго упрятать его за решетку не удалось, поскольку в Аргентине не существует закона, запрещающего несанкционированный доступ в чужие компьютерные системы. По той же причине не было оснований и для экстрадиции Ардита в США: в соответствии с международным правом, чтобы выдать преступника, являющегося гражданином одной страны, правоохранительным органам другой страны, его преступление должно квалифицироваться как противозаконное сразу в обеих странах.

Апрель

В начале апреля в Филадельфии начался судебный процесс по делу 19-летнего Кристофера Шанота. Ему были предъявлены обвинения в компьютерном мошенничестве и незаконном проникновении в компьютеры различных правительственных учреждений и частных фирм. В ноябре Шанот признал себя виновным. Ему грозит тюремное заключение сроком на 15 лет и штраф в 750 тысяч долларов.

Служащие Управления социального обеспечения США пользовались доступом к личным делам американских граждан, которым выплачиваются различные социальные пособия, и продавали информацию из этих дел мошенникам, занимавшимся подделкой кредитных карточек.

20 апреля секретарша вице-президента американской компании Oracle предъявила судебный иск, настаивая на отмене решения о своем незаконном увольнении со службы. В ее судебном иске утверждалось, что она была уволена за то, что отказалась вступить в интимные отношения с президентом компании. В качестве доказательства секретарша привела отрывок из сообщения, посланного ее шефом президенту Oracle по электронной почте. В нем вице-президент довел до сведения президента, что выполнил его просьбу и уволил свою секретаршу. Расследование показало, что в момент отправки сообщения по электронной почте президент управлял автомобилем, из которого звонил по мобильному телефону (по крайней мере, об этом свидетельствует запись, сохранившаяся в архиве телефонной компании, услугами которой он пользовался). Кроме того, было установлено, что секретарша знала все пароли своего шефа и вполне могла послать любое сообщение от его имени.

В результате против нее было возбуждено уголовное дело за лжесвидетельство. Следовательно:

вам не следует полагать, что отправителем полученного вами электронного сообщения действительно является лицо, указанное в заголовке этого сообщения;
не предпринимайте никаких решительных действий на основании содержания электронного сообщения, несмотря на то, что все реквизиты этого сообщения указаны правильно;
не доверяйте никому свои пароли;
в целях идентификации пользуйтесь одноразовыми токенами вместо фиксированных паролей универсального назначения;
даже если для аутентификации вы используете стойкие алгоритмы шифрования, из-за ненадежности операционных систем и их пользователей стопроцентной гарантии правильности произведенной аутентификации добиться все равно невозможно;
опасайтесь посылать по электронной почте сообщения, которые впоследствии могут быть продемонстрированы суду в качестве неопровержимого доказательства вашей вины;
не считайте, что записи в архиве телефонной компании о ваших звонках по мобильному телефону будут обязательно приняты судом в качестве улики (ведь эти записи так легко подделать);
глупо полагать, что человек не может запрограммировать компьютер, установленный в московском офисе своей фирмы, так чтобы послать электронное сообщение по любому адресу в то время, когда он сам отдыхает в Лас-Вегасе с друзьями;
не думайте, что человек не может пользоваться услугами автоответчика, который подтверждает получение каждого электронного сообщения: «Извините меня за то, что в силу моей занятости до конца недели я не смогу детально ответить на ваше сообщение, с которым я ознакомился сразу же после его получения», и одновременно развлекаться в том же Лас-Вегасе;
никогда не возлагайте на себя ответственность за ведение чужих денежных счетов и не соглашайтесь, когда кто-то предлагает вам доступ к своему компьютеру.

Май

Из 55 компьютеров, установленных в правительственном здании в австралийском городе Брисбен в штате Квинсленд, 18 мая были украдены жесткие диски и микросхемы оперативной памяти.

По оценкам Пентагона, в 2002 году количество попыток незаконного проникновения в компьютерные системы военного назначения, в которых хранилась несекретная информация, достигло 160 тысяч. Собственные пробные попытки проникнуть в 38 тысяч таких систем, предпринятые специалистами из Пентагона в качестве эксперимента, показали, что приблизительно 65% от общего числа подобных атак увенчались успехом, причем лишь очень немногие из них были замечены и еще меньшее их число нашло отражение в докладах вышестоящему руководству.

В середине июня фирма Netcom, крупный американский провайдер услуг Internet, прекратила обслуживание своих клиентов на 13 часов, что привело к массовому неудовольствию с их стороны и рекордному падению курса акций Netcom с 33,25 долл. до 28,75 долл. за акцию.

Двум англичанам – Мэтью Бевану и Ричарду Прайсу – было предъявлено обвинение в преступном сговоре с целью получения несанкционированного доступа к компьютерам, принадлежащим министерству обороны США и компании Локхид.

Аргентинец Гильермо Гаэде был приговорен к 33 месяцам тюремного заключения в федеральной тюрьме Сан-Франциско после того, как он признался, что отослал видеокассеты, на которых был запечатлен процесс изготовления микросхем на производственных площадях фирмы Intel, компании AMD, являющейся одним из основных конкурентов Intel. О факте получения видеокассеты AMD немедленно уведомила полицию, и злоумышленник был вскоре арестован.

Директор ЦРУ Джон Дейч обратился к американским конгрессменам с предупреждением о том, что киберпространству Соединенным Штатам грозит опасность вероломного нападения. Количество нападений, которым подвергаются правительственные компьютеры США за год, оценивается цифрой 250 тысяч. По тем же оценкам, в мире насчитывается 120 стран, занятых разработкой собственного информационного оружия.

Торговая война, которую ведут между собой США и Китай, разгорелась с новой силой, когда в конце мая Соединенные Штаты объявили о введении в действие новой системы тарифов на общую сумму в 2 млрд долл. С ее помощью американцы попытались положить конец пиратскому тиражированию программного обеспечения, которое процветает в Китае. По утверждению официальных лиц в американском правительстве, пиратство приобрело такой размах из-за возмутительного попустительства китайских властей, а иногда и при их прямом участии.

Июнь

3 июня английская газета London Times сообщила, что несколько хакеров получили 400 млн фунтов стерлингов в обмен на обещание не раскрывать названия банков, брокерских контор и инвестиционных фондов, которые подверглись их вторжению. Хакеры шантажировали банки и другие финансовые учреждения, угрожая публичным разоблачением слабостей в системе компьютерной защиты денежных вложений их клиентов.

Национальная ассоциация компьютерной безопасности (НАКБ) США сообщила о том, что все больше начинающих хакеров выбирают в качестве цели для своей первой атаки библиотечные компьютерные системы. Специалисты из НАКБ порекомендовали любой корпорации, имеющей публичную библиотеку, доступ в которую открыт всем желающим, тщательнее изолировать библиотечные компьютеры от внутренней корпоративной сети.

Июль

Раздосадованный оскорбительным поведением своего начальника 35-летний служащий компании Thorn UK нанес ей ущерб в 500 тыс.долл., отключив кабели от компьютера AS/400, принадлежащего этой компании. На последовавшем судебном процессе адвокат заявил, что его подзащитный не понимал, что творит, из-за изнурительного графика работы в компании. Тем не менее, судья приговорил обвиняемого к году тюремного заключения.

Август

Информационные агентства европейских стран распространили сообщения о том, что ЦРУ занимается проникновением в компьютеры Европарламента и Еврокомиссии, воруя оттуда секретные данные экономического и политического характера. У Еврокомиссии имеются неопровержимые доказательства того, что конфиденциальная информация, украденная ЦРУ из ее компьютеров, использовалась американской делегацией на переговорах о заключении Генерального соглашения о тарифах и торговле.

В середине августа Web-узел Министерства юстиции США подвергся нападению кибервандалов, которые разрисовали его свастиками, портретами Адольфа Гитлера, изображениями обнаженных женщин и лозунгами, направленными против администрации Клинтона и американского закона о пристойности коммуникаций. Напоследок с Web-узла была стерта информация, предназначенная для женщин, которые подверглись насилию.

В городе Амхерст в штате Нью-Йорк ворами было украдено компьютерное оборудование стоимостью 250 млн долл., принадлежащее компании Interactive Television Technologies. Вместе с украденным оборудованием пропала конфиденциальная информация, касавшаяся секретного проекта этой компании превратить каждый телевизор в шлюз для доступа к Internet.

Многие компьютеры американских воинских частей в Боснии оказались поражены компьютерными вирусами Monkey, AntiEXE и Prank Macro. Обслуживающий персонал потратил сотни часов на поиск этих вирусов и очистку от них зараженных компьютеров.

Сентябрь

В начале сентября неизвестный хакер атаковал Web-сервер фирмы PANIX, американского провайдера услуг Internet, послав огромное количество запросов на соединение по несуществующему адресу и тем самым парализовав нормальную работу сервера. Через неделю специалисты фирмы PANIX сообщили, что установили в программное обеспечение ее Web-сервера необходимые «заплаты», которые в будущем позволят успешно отражать подобные атаки.

В штате Кентукки бывший служащий правительственного агентства по сбору налогов признался в краже 4,2 млн долл. из государственной казны. Этот служащий использовал компьютеры агентства, чтобы возвращать внесенные налоги фиктивной компании, которую он сам и создал.

Ссора между биржевым маклером из Сан-Франциско Полом Энгелом и служащим консалтинговой компании SRI привела к «почтовой бомбардировке», которой 23 сентября подвергся Энгел. В ходе нее он получил по электронной почте 25 тысяч сообщений, состоящих из одного слова «Идиот». Все сообщения были посланы с компьютеров компании SRI. В результате в течение некоторого времени Энгел не мог воспользоваться своим компьютером для отсылки электронной почты и поэтому в декабре подал в суд на SRI, требуя возмещения понесенных им убытков в размере 25 тыс. долл. Вне зависимости от обоснованности иска Энгела этот случай наглядно демонстрирует необходимость введения разумных ограничений на пользование услугами Internet со стороны корпоративных пользователей.

В Лос-Анджелесе было предъявлено обвинение Кевину Митнику. Ему инкриминировались кража программного обеспечения, нанесение ущерба компьютерам, установленным в Калифорнийском университете, а также незаконное пользование похищенными номерами сотовых телефонов и паролями для несанкционированного доступа в компьютерные системы.

Американская актриса Марго Киддер призналась в одном из своих газетных интервью в том, что причиной случившегося у нее недавно нервного срыва (в невменяемом состоянии Киддер была подобрана на улице машиной «скорой помощи») стал компьютерный вирус, уничтоживший единственный экземпляр рукописи книги, над которой она работала в течение последних 3 лет. Резервную копию этой рукописи Киддер сделать так и не удосужилась.

Октябрь

Английская телерадиокомпания «Би-Би-Си» рассказала в одной из своих сводок новостей о том, что пейджинговые сообщения по сотовой связи могут быть перехвачены и изменены с помощью радиосканера и соответствующего программного обеспечения, предназначенного для персональных компьютеров.

Англичанин Эндрю Стоун, отбывавший тюремное наказание за мошенничество с кредитными карточками и в августе выпущенный на свободу, был нанят репортерами английского журнала «Which?» для того, чтобы продемонстрировать публике уязвимость банкоматов, установленных по всей Англии. Сначала Стоун и его сообщник ознакомились с системой защиты, применяемой в банкоматах. Затем они установили в нескольких местах видеокамеры, с помощью которых снимали сами кредитные карточки, а также записывали последовательности клавиш, нажимаемых владельцами этих карточек при вводе своих персональных идентификационных номеров. После недельного наблюдения мошенники изготовили дубликаты кредитных карточек одного из английских банков, который был выбран ими из-за ярких надписей на его карточках, что позволяло во всех подробностях разглядеть их через видеокамеры. В результате банк лишился 216 тыс. долл.

В американском городе Хартфорде в штате Коннектикут компания Digital Technologies Group, провайдер услуг Internet, потеряла все свои компьютерные файлы и их резервные копии вследствие вредительства со стороны одного из бывших служащих, решившего отомстить за свое увольнение. В результате прямые убытки Digital Technologies Group составили 17 тыс. долл., были потеряны результаты работы, проделанной в течение нескольких последних месяцев, компания была вынуждена на неделю прекратить обслуживание своих клиентов. Предполагаемый вредитель был арестован в декабре. Ему грозило наказание в виде тюремного заключения на срок до 20 лет.

Стало известно, что служащие таких гигантов компьютерной индустрии, как IBM, Apple и AT&T, тратят в общей сложности более 13 тысяч человеко-часов в месяц на посещение Web-узла журнала «Пентхауз». А фирма Compaq была вынуждена уволить около дюжины своих служащих за то, что каждый из них в рабочее время более тысячи раз загружал на свой компьютер Web-страницы эротического содержания.

Стало известно о значительной бреши в защите практически любой операционной системы. Выяснилось, что размер дейтаграммы (транспортируемого массива данных, независимого от других пакетов, которые передаются по компьютерной сети) не должен превышать 65535 байт. В противном случае может произойти переполнение стека на компьютере-получателе дейтаграммы. Таким образом, все операционные системы оказались уязвимы по отношению к атаке, в ходе которой злоумышленник заваливает эту систему запросами на обслуживание. Фирмы - разработчицы операционных систем принялись выпускать заплаты, призванные залатать обнаруженную брешь в защитных механизмах своих систем.

Ноябрь

На судебном заседании, состоявшемся в Лондоне, семеро англичан признали себя виновными в преступном сговоре, имевшем целью кражу денег со счетов в английских банках с помощью подключения к каналам связи, которые соединяют банкоматы с банковскими компьютерами. Данные, перехваченные преступниками из этих каналов, затем были использованы ими для подделки кредитных карточек.

Руководители американских телекоммуникационных компаний пожаловались, что гигантское разрастание Всемирной паутины привело к перегрузке телефонных линий и повлекло за собой значительные сбои в функционировании системы телефонной связи на территории США. Все большее число попыток дозвониться с первого раза стало заканчиваться неудачей. Возросло также количество звонков, в результате которых в телефонной трубке звонившего воцарялось гробовое молчание.

Расследование, проведенное ФБР, позволило выдвинуть обвинения против бывшего служащего американской компании Standard Duplicating Machines. После увольнения в 1992 году он неоднократно взламывал систему речевой почты этой компании (код доступа к почтовому ящику любого сотрудника состоял из его номера телефона, за которым следовал знак «#»), извлекал оттуда ценную информацию и передавал конкурентам. Предполагаемому взломщику грозит 5-летнее тюремное заключение и штраф в 250 тыс. долл.

В одной из американских компаний обратили внимание на постоянные сбои в работе серверов. Их причину удалось выяснить только после того, как ремонтная бригада отметила интересный факт: в каждом случае отказа сервера рядом с ним находили техника, который вел разговор по сотовому телефону. Проведенные эксперименты показали, что пользование сотовым телефоном на расстоянии менее полуметра от компьютера вызывало устойчивые сбои в его работе.

Американская газета «USA Today» сообщила об итогах проверки, которой по заданию конгресса были подвергнуты 236 крупнейших компаний США. Выяснилось, что более половины из них стали жертвами компьютерных взломщиков за один только прошлый год. В результате почти 18% этих компаний понесли убытки на сумму более 1 млн. долл., а две трети потеряли более 50 тыс. долл. Причиной 20% всех взломов был промышленный шпионаж или саботаж со стороны конкурентов. Все компании выразили озабоченность возможным падением доверия к ним в случае, если бы подробности совершенных против них компьютерных преступлений стали достоянием гласности.

В Нью-Йорке в правительственных компьютерах были стерты данные об уплате налогов на сумму в 13 млн. долл. В ходе расследования этого инцидента нью-йоркская полиция сообщила, что аресту могут быть подвергнуты более 200 правительственных чиновников, подозреваемых в мошенничестве и взяточничестве. Если их вина будет доказана, им грозит тюремное заключение на срок до 10 лет.

29 ноября в Гонконге недовольный компьютерный специалист из агентства Reuters привел в действие пять логических бомб, заложенных им в компьютеры этой коммерческой информационно-оперативной службы. В результате последовавшего сбоя в работе компьютерной сети распространения финансовой информации клиенты Reuters из числа инвестиционных банков немедленно обратились за услугами в другие информационно-оперативные службы, попутно сообщив агентству, что сбой никоим образом не повлиял на их работу и поэтому никаких претензий к нему они не имеют.

В пригороде Копенгагена местный суд приговорил шестерых датских хакеров, которые незаконно проникали в компьютерные системы Министерства обороны США, к незначительным срокам тюремного заключения (от 40 до 90 дней) и небольшим штрафам. По мнению адвокатов, «жертвы взлома должны быть благодарны хакерам за то, что последние выявили слабые места в защитных механизмах их компьютерных систем».

Декабрь

18 декабря автор SATAN Дэн Фармер сообщил о предварительных результатах своего изучения около 2200 серверов Internet. Выполненные Фармером исследования коснулись как наиболее популярных коммерческих Web-узлов, так и менее известных серверов, случайно выбранных им для проведения сравнительных оценок. Используя незамысловатую методику проверки степени их защищенности, Фармер обнаружил, что на двух третях популярных Web-узлов были отмечены серьезные проблемы с безопасностью – в два раза больше, чем среди случайно выбранных Web-узлов.

Хакер на крючке

«Активность хакеров в Китае возрастает», – пишет China Daily и добавляет, что о некоторых компьютерных нападениях сообщал ChinaNet – крупнейший в стране коммерческий провайдер услуг Internet. Атака на узлы в Шанхае и Харбинепривела к восьмичасовому перерыву в обслуживании. Газета также сообщает, что некий хакер заменил титульную страницу WWW-сайта Китайского сетевого информационного центра (CNIC) на изображение хохочущего черепа. Технические специалисты CNIC восстановили первоначальный вид страницы, выявили уязвимые места в системе и установили ловушку. Хакер заглотил наживку, после чего был вычислен его техасский адрес и направлено предупреждение по электронной почте.

Эксперты Центра заявили, что большинство нападений происходит из-за пределов Китая, поскольку зарубежные злоумышленники считают, что уровень китайских сетевых технологий не позволяет выявлять хакеров и бороться с ними.

Вредитель за компьютером

Джордж Марио Паренте, бывший компьютерный техник компании Forbs Inc. – издателя журнала «Forbs», обвиняется во взломе внутренней сети компании и уничтожении содержащейся в ней информации. Его действия вызвали аварийную остановку пяти из восьми серверов фирмы, которая в результате понесла убытки в размере 100 тыс. долл. Как утверждается в поданном в суд заявлении, этот акт вредительства привел к тому, что многие сотрудники потеряли всю информацию, собранную за день. Представитель Forbs по связям с общественностью подтвердил, что «акт технологического саботажа» произошел сразу же после того, как Паренте был уволен. Руководство компании обратилось к ФБР, оперативные мероприятия которого и привели к аресту Паренте. В компании считают, что для проникновения в систему он мог прибегнуть к бюджету и паролю другого сотрудника. Во время обыска, проведенного правоохранительными органами в доме Паренте были обнаружены дискеты с программами, обычно используемыми хакерами. Кроме того, они нашли конфиденциальную информацию о деятельности Forbs, включая бюджет отдела информационных технологий и несколько служебных записок одного из руководителей

Разыскивается хакер!

По сообщению агентства Франс-Пресс, немецкий банк Noris Verbraucherbank установил премию в размере 10 000 марок за поимку хакера, угрожавшего обнародовать банковские коды его клиентов. Как заявили представители полиции, этот «особо одаренный» хакер потребовал у банка один миллион марок после того, как снял со счетов клиентов около 500 000 марок и получил доступ к обширной информации о счетах. В противном случае преступник угрожал обнародовать эти конфиденциальные данные.

В Алжире тоже воруют

Официальное алжирское агентство новостей APS сообщило, что работник почтового ведомства этой страны и два его сообщника были арестованы по обвинению в мошеннических действиях, связанных с использованием компьютера, в результате которого им удалось присвоить 4,12 млн динаров (72 300 долл.) из государственной казны. Представители правоохранительных органов отказались сообщить какие-либо подробности происшедшего. Алжирские суды в рамках развернутой за последний год кампании по борьбе с коррупцией уже приговорили многих должностных лиц из экономических ведомств к различным тюремным срокам, вплоть до пожизненных.

Преступники наседают, потерпевшие не спешат

В ходе недавно проведенного исследования выяснилось, что в 2001 году 37% австралийских корпораций стали жертвами компьютерной преступности. Затраты на устранение последствий одного компьютерного преступления составили в среднем около 10 тыс. австралийских долларов, в то время как один университет и одна телекоммуникационная компания оценили годовой урон от компьютерной преступности суммой в миллион австралийских долларов. Несмотря на все возрастающий ущерб от действий злоумышленников, лишь около 200 из 5000 австралийских компаний, использующих компьютерные сети, стали клиентами «Австралийской группы реагирования на компьютерные происшествия» (AUSCERT).

Шпионские страсти

Газета Los Angeles Times сообщила, что очередное исследование, проведенное Американским обществом промышленной безопасности (ASIS), показало, что предполагаемые убытки от хищения интеллектуальной собственности в результате внешнего и внутреннего шпионажа превысили в 1999 году 300 млрд. долл. Компании, участвующие в исследовании, отметили свыше 1100 документально подтвержденных случаев экономического шпионажа и 550 предполагаемых инцидентов. Полученные результаты являются единственным источником оценки потенциального ущерба от экономического шпионажа, которым располагает правительство и ФБР.

Исследование 1999 года показало, что компании, специализирующиеся на высоких технологиях и особенно располагающиеся в Силиконовой долине, наиболее часто становились объектами внимания иностранных шпионов. Наибольший интерес вызывает информация о стратегических планах научных исследований и разработок, программах производства и сбыта, а также списки клиентов. Хотя ФБР по политическим соображениям не обнародовало список государств, поощряющих экономический шпионаж, газета сообщает, что не так давно в журнале Public Administration Review, который издает Американское общество государственного управления, появилась статья за подписью агента ФБР Эдвина Фрауманна. В ней в качестве основных охотников за американскими секретами были названы Франция, Германия, Израиль, Китай, Россия и Южная Корея.

Неудачная командировка

34-летний программист Яшинори Фуджисава арестован японской полицией по подозрению в хищении данных из компьютерной системы банка Sakura. Полиция подозревает Фуджисава в том, что он изъял хранившиеся на бумажных носителях и дискетах сведения о клиентах банка и продал эти данные одной из компаний, специализирующихся на списках рассылки, получив за это около 200 тыс. иен. Представители банка сообщили, что похищенная информация, содержащая данные о местах работы и депозитных счетах клиентов, охватывает около 20 000 человек. Похититель признал себя виновным, сообщив полиции, что задолжал несколько миллионов иен компаниям, предоставляющим потребительский кредит, и узнав из телевизионных программ, что информацию о физических лицах можно продать по сходной цене компаниям, специализирующимся на списках рассылки, решил не упускать подвернувшийся случай для частичной уплаты долга.

Парламентарии обещали «прижать» пиратов

Исследование, проведенное консультационной фирмой Price Waterhouse, показало, что 71% программных средств, установленных в Аргентине за прошлый год, является пиратским, что привело к убыткам производителей в размере 162,9 млн долл. Аргентина и Уругвай остаются последними южноамериканскими странами, в которых компьютерные программы не расцениваются в качестве интеллектуальной собственности.

Сурова жизнь безработного

22-летний канадец, подозреваемый в проникновении на абонентский пункт НАСА и нанесении убытка, исчисляемого десятками тысяч долларов, арестован Канадской королевской конной полицией. Представитель полиции сообщил, что в результате действий бывшего студента-заочника, а ныне безработного Джейсона Мьюхини, ущерб НАСА, которое было вынуждено создавать абонентский пункт заново и менять систему безопасности, превысил 70 000 долл. Оперативно-следственные мероприятия позволили ФБР установить личность хакера и передать материалы канадским коллегам, которые, произведя обыск в жилищах разведенных родителей Мьюхини, конфисковали два компьютера, высокоскоростной модем, дискеты и документы. Общее количество пунктов обвинения пока не обнародовано, но по каждому из них максимальный срок наказания составляет один год тюрьмы и штраф в несколько тысяч долларов.

Хакеры атакуют американскую систему обороны

Таинственная группа компьютерных взломщиков добилась успехов при проникновении в американскую компьютерную систему, которая обеспечивает управление военными спутниками. Эта группа, которая называет себя MOD или «Мастера скачивания», имеет доказательства этого прискорбного факта –секретные файлы, похищенные из Сети информационных систем обороны (Defence Information Systems Network), сообщил эксперт по компьютерной безопасности Джон Вранешевич. По его словам, произошедший инцидент можно рассматривать как одно из наиболее серьезных нарушений оборонных систем США за всю историю. Группа, насчитывающая примерно 15 человек, в том числе американцев, англичан и русских, сообщила о том, что проникла в Агентство информационных систем обороны в октябре и похитила важнейшее операционное программное обеспечение, позволяющее контролировать все что угодно – от военных коммуникационных сетей до спутников. Представители Министерства обороны сообщили, что похищенное программное обеспечение, известное под названием Defence Information Systems Network Equipment Manager (DEM), использовалось в сети американских военных спутников системы глобальной дислокации (Global Positioning System), которая предназначена для наведения ракет на цель, ориентации войск и отслеживания наземной обстановки. Система GPS, управляемая с базы ВВС в Колорадо, охватывает десятки спутников и считается одним из важнейших плацдармов США на случай ведения боевых действий в космосе. Несмотря на заверения Пентагона о том, что DEM «является несекретным сетевым управляющим приложением», многие обозреватели рассматривают это проникновение как выход на новый уровень «информационных боевых действий», которые развязаны хакерами против правительства США.

Пекин поручает вирусы полиции

В попытках ужесточить меры борьбы с компьютерными вирусами китайское правительство объявило о том, что будет проводить в жизнь новые нормативные акты, которые возложат ответственность за все научные исследования, связанные с вирусами, на полицию этой страны. Как сообщает информационное агентство Синьхуа, те предприятия, которые хотели бы изучать вирусы или разрабатывать антивирусное программное обеспечение, обязаны зарегистрироваться в Министерстве общественной безопасности. Синьхуа сообщило, что физическим лицам и компаниям, за которыми числятся преступления, связанные с компьютерами, будет запрещено собирать или хранить вирусы в течение двух лет.

Неутешительные показания

Группа из семи бостонских хакеров, известная под названием LOpht, в ходе слушаний по безопасности правительственных и коммерческих компьютерных и телекоммуникационных сетей сообщила сенатской комиссии по правительственным делам, что члены группы могли бы разрушить основы Internet за 30 минут. Хакеры из LOpht занимаются тем, что нащупывают уязвимые места в компьютерных, сотовых телефонных и прочих сетях связи. Затем они оповещают избранные ими организации обо всех обнаруженных недостатках, а в некоторых случаях – предают гласности эту информацию, если указанные организации не принимают мер по укреплению безопасности. Давая показания под своими кличками в Internet, хакеры утверждали, что, вторгаясь в линии связи телефонных компаний, обеспечивающих междугородную и международную связь, например AT&T и MCI, они способны парализовать работу Сети на пару дней. Однако не все показания навевали тоску. Хакеры признались, что гораздо проще препятствовать работе, чем подменять данные или отдавать команды. Например, спутниковая система глобальной дислокации, используемая в военной и отчасти гражданской авиации для ориентирования, может быть выведена из строя, но вряд ли кому-то из злоумышленников удалось бы поменять положение спутника.

Ждите ответа... Компьютеры молчат – они решают задачу

Молодой хакер А. Блоссер обвиняется в проникновении в компьютерную систему денверской телефонной компании и использовании в личных целях ее 2500 компьютеров, предназначенных для ответа на телефонные звонки. Все эти компьютеры были нужны Блоссеру для решения маленькой математической проблемы – нахождению нового простого числа. Привлеченные к решению математической задачи компьютеры наработали в общей сложности 10,63 лет процессорного времени, отыскивая денно и нощно новое простое число. Акция продлилась некоторое время и была обнаружена только тогда, когда специалисты заметили, что компьютеры компании, затрачивающие обычно для ответа на телефонный звонок от 3 до 5 секунд, стали тратить до нескольких минут на обработку одного телефонного номера. Причем работа компьютеров замедлилась настолько, что звонки клиентов приходилось перенаправлять в другие штаты.

NASA может лишиться своих систем

Как заявил представитель General Accounting Office (GAO), специалисты этой организации, проверявшие по требованию Конгресса США системы NASA, нашли серьезные проблемы в системах защиты управляющих компьютеров. Найденные уязвимости дают возможность хакерам получать доступ к системам, нарушать их работу, перехватывать команды управления, изменять или разрушать программное обеспечение и данные. Сенаторы остались очень недовольны полученными результатами: в прошлом году NASA потратило более миллиарда долларов на установку систем защиты, а ожидаемых результатов достигнуто не было. Представители NASA пока никак не комментируют представленный доклад.

Все данные текут…

По сообщению газеты New York Times из компьютерной системы оборонного института Los Alamos National Laboratory в штате Нью-Мексико произошла утечка секретной информации. Похитил информацию работавший в институте в 1994–95 гг. и уволенный за нарушения безопасности уроженец Тайваня 59-летний Вен Го Ли, который переслал данные в компьютерную сеть другой лаборатории, откуда они, возможно, были получены не установленными лицами. Из достоверных источников стало известно, что утекшие данные содержали сведения о принципе и механизме работы американских атомных боеголовок и программы, используемые для анализа результатов ядерных испытаний, проектирования ядерного оружия и определения уровня безопасности ядерных боеголовок посредством компьютерного моделирования. Китай, в отношении которого были выдвинуты обвинения в шпионаже на территории Соединенных Штатов, опроверг указанный факт.

«Возвращение резидента»… по-британски

«Своих сотрудников надо либо не обижать, либо убивать». Так, пожалуй, можно описать ситуацию, в которую попала британская секретная служба MI6. Ее бывший агент Ричард Томлинсон, обидевшись на своих бывших коллег, опубликовал в Internet документ, содержавший имена действующих агентов MI6. Томлинсон был уволен из MI6 в 1997 году, а двумя годами позже осужден за нарушение закона о государственных секретах Великобритании.

Добрались хакеры и до погоды…

Ни для кого не секрет, что объектами нападений хакеров могут стать любые сайты, будь то военные, коммерческие, общественные или правительственные. Не избежал взлома и сайт Национального агентства океанографических и атмосферных исследований США. Хакеры, называющие себя Keebler Elves, заменили страничку Центра предсказания штормов. Данная акция не только выявила дыры в безопасности сайта и прибавила работы Web-мастеру и администратору сети, но и могла повлечь за собой неприятные последствия, так как информацией со странички Центра пользуются многие службы, в том числе береговые и управления полетами.

Internet-пират впервые предстал перед судом

Всем любителям размещать на своих Internet-страницах чужие произведения следует остерегаться: в США впервые предъявлено обвинение в нарушении авторских прав студенту колледжа, бесплатно распространявшему через свою Web-страничку музыкальные записи, фильмы и компьютерные программы. Министерство юстиции США предъявило Джеффри Джерарду Леви обвинение в нарушении закона об электронных кражах. В ходе расследования Джеффри признал, что действительно разместил на своем сайте защищенные авторскими правами компьютерные программы, музыкальные записи, игровые программы и цифровые копии фильмов, предоставив широкой публике возможность загружать и копировать эти продукты.

В Пентагон прямо из офиса

По сообщению газеты Los Angeles Times, российские хакеры снова сумели проникнуть в компьютерную систему Министерства обороны США. В своем материале газета ссылается на представителя Пентагона, который сообщил, что хакерам удалось похитить большой объем информации о фундаментальных исследованиях в оборонной области. Хакеры, получившие доступ к сетям лабораторий по разработке ядерного оружия, космической программы NASA и исследовательским центрам университетов США, по имеющимся данным вроде бы немного «наследили», и эти электронные следы ведут к компьютеру, находящемуся где-то недалеко от Москвы. А поскольку попытки проникнуть в сеть Пентагона фиксировались между 8.00 и 17.00, а их даты никогда не попадали на российские выходные и праздники, власти США полагают, что их источник находится в одном из российских офисов.

(По материалам журнала «Конфидент».).

Не утомляя больше читателей компьютерными страстями, все-таки надеемся, что польза от такого «чтива» есть, правда для каждого своя.

Литература

Васильев А.И., Сальников В.П., Степашин С.В. Национальная безопасность России: конституционное обеспечение. Фонд «Университет». СПб 1999.

Исмагилов Р.Ф., Сальников В.П., Степашин С.В. Экономическая безопасность России: концепция – правовые основы – политика. Фонд «Университет». СПб 2001.

Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство. Фонд «Университет». СПб 2000.

Гаврилов О.А. Курс правовой информатики. Учебник для вузов. М., 2000.

Информатика в деятельности органов внутренних дел. Учебник. Под научным руководством Г.И. Королева, А.Г. Куличенко. Рязанский институт права и экономики. 1997.

Информатика и вычислительная техника в деятельности органов внутренних дел. Учебное пособие в 6-ти частях. Под ред. В.А. Минаева. М.: МЦПО и КНИ при ГУК МВД России. 1995, 1996.

Копылов В.А. Информационное право. Учебное пособие. М., 1997.

Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. М., 1998.

Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности. Учебное пособие для вузов. – М.: Радио и связь, 2000.

Белкин П.Ю., Михальский О.О., Першаков А.С. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных. Учебное пособие для вузов. – М.: Радио и связь, 2000.

Проскурин В.Г., Крутов С.В., Мацкевич И.В. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах. Учебное пособие для вузов. – М.: Радио и связь, 2001.

Лукацкий А. Обнаружение атак. – С.Пб: BHV, 2001.

Зима В., Молдавян А, Молдавян Н. Безопасность глобальных сетевых технологий. – С.Пб: BNV, 2001.

Криптографическая система

исходный

текст

шифрованный

текст

КЛЮЧ

шифрованный

текст

исходный

текст

Криптографическая система

КЛЮЧ

Боб

модификация

Перестановки

Блочные шифры

сигнатура

сообщение

Пользователь А

Закрытый ключ А

Открытый ключ А

Исходный текст ’

Подпись

Исходный текст

проверка

подпись

передача

Подпись

Подстановки

Гаммирование

Симметричные

криптосистемы

Рисунок . Информационная система, пользующаяся внешними сервисами и предоставляющая сервисы вовне

Степень угрозы:

пробел - нет воздействия,

1 - до 20%,

2 - до 40%,

3 - до 60%,

4 - до 80%,

5 - до 100%.

4. Обусловленные психологическими особенностями

3. Обусловленные несоответствием цели

2. Обусловленные ограниченностью ресурсов

1. Обусловленные требованиями режима

Конфликты

8. В личной жизни сотрудников

7. «Человек –

машина»

6. Иерархические

5. Обусловленные несоответствием ожиданий

маскировка

повтор

перехват

подделка

отказ

сообщение

Пользователь А

Пользователь Б

арушитель В

1. Именинник Birthdy Boy
2. Если бы мне разрешили разработать только один документ модель или другой артефакт для поддержки программно
3. Интеллект и механизмы мозга
4. Средства рисования
5. Учет расчетов с учредителями, дочерними предприятиями
6. Солнечная энергия и перспективы ее использования
7. а комплексный процесс выделения армянской этнической общности происходивший на Армянском нагорье на б
8. Природа жла деятельной ж
9. Короткий нарис розвитку ортопедичної стоматології
10. то очень туманного и неопределенного ~ случайной реплики необычной интонации непонятного но все же приятн
11. Правила толкования международных торговых терминов-Инкотермс 2010
12. Количество листов А3 1 Односторонняя 575
13. Cудебная реформа 1864 года и наших дне
14. Доклады Салон моряков
15. тема внутримикрорайонных проездов тротуаров дорожек произведено озеленение территории размещены площадк
16. Саламатты ~аза~стан мемлекеттік ба~дарламасы ~зірлеу ~шін негіз ~аза~
17. тематическая обработка в ЭВМ цифровая субтракция изображений органов рентгенография в косых положения
18. Процеси виготовлення мікросхем
19. Тематика курсовых работ по дисциплине Экономика и организация отрасли Дмит.
20. а. Высказывания верификативные высказывания интерпретирующего характера.html

Материалы собраны группой SamZan и находятся в свободном доступе