Реферат: Защита информации от несанкционированного доступа

Введение

Проблема защитыинформации от постороннего доступа и нежелательных воздействий на нее возникладавно, с той поры, когда человеку по каким-либо причинам не хотелось делитьсяею ни с кем или не с каждым человеком. С развитием человеческого общества,появлением частной собственности, государственного строя, борьбой за власть и вдальнейшем расширением масштабов человеческой деятельности информацияприобретает цену. Ценной становится та информация, обладание которой позволитее существующему и потенциальному владельцу получить какой-либо выигрыш:материальный, политический и т.д.

В современнойроссийской рыночной экономике обязательным условием успеха предпринимателя вбизнесе, получения прибыли и сохранения в целостности созданной иморганизационной структуры является обеспечение экономической безопасности егодеятельности. Одна из главных составных частей экономической безопасности — информационная безопасность, достигаемая за счет использования комплексасистем, методов и средств защиты информации предпринимателя от возможныхзлоумышленных действий конкурентов и с целью сохранения ее целостности иконфиденциальности.

Изменения, происходящиев экономической жизни России – создание финансово-кредитной системы,предприятий различных форм собственности оказывают существенное влияние навопросы защиты информации.

В частности, к этойситуации относится факт хищения технической и деловой информации. Как правило,это хищение связано с потерей стратегически важной информации, способнойпривести фирму к банкротству. Это хищение можно квалифицировать какпреступление, так как ведет к потере материальных и финансовых ценностей.

Ответственность зазащиту информации лежит на низшем звене руководства. Но также кто-то долженосуществлять общее руководство этой деятельностью, поэтому в организации должноиметься лицо в верхнем звене руководства, отвечающее за поддержание работоспособностиинформационных систем.

«Безопасность»необходимо рассматривать как качество развития мер безопасности, которыенаправлены на предотвращение внутренних и внешних угроз.

В этой связи становитсяактуальным рассмотреть вопрос, касающийся защиты документированной информацииот несанкционированного доступа, выявить основные способы защиты информации.

Глава1. Защита от несанкционированного доступа к информации. Термины и определения

Шифр – последовательность операций,проводимых над открытыми (закрытыми) данными и ключом с целью получениязакрытой (открытой) последовательности.

Ключ– конкретное длякаждого нового кода значение каких-нибудь характеристик алгоритмакриптографической защиты.

Гаммашифра – этонекоторая псевдослучайная последовательность заданной длины, используемая дляшифрования.

Гаммирование – процесс наложения гаммы шифрана открытые данные.

Зашифровывание – процесс преобразованияоткрытых данных в закрытые с помощью шифра и ключа.

Расшифровывание – процедура преобразованиязакрытых данных в открытые с помощью шифра и ключа.

Шифрование– зашифровываниеи (или) расшифровывание.

Дешифрование– совокупностьдействий по преобразованию закрытых данных в открытые без знания ключа и (или)алгоритма зашифровывания.

Имитозащита – защита от ложной информации.Осуществляется по собственным алгоритмам, с помощью выработки имитовставки.

Имитовставка – последовательность данныхопределенной длины, полученных специальными методами гаммирования из открытыхисходных данных. Содержимое имитовставки является эталоном для проверки всейостальной информации.

Доступ к информации(Accesstoinformation) — ознакомлениес информацией, ее обработка, в частности, копирование, модификация илиуничтожение информации.

Правила разграничениядоступа (Securitypolicy) — совокупность правил,регламентирующих права доступа субъектов доступа к объектам доступа.

Санкционированныйдоступ к информации (Authorizedaccesstoinformation) — Доступ к информации, не нарушающий правила разграничения доступа.

Несанкционированныйдоступ к информации (Unauthorizedaccesstoinformation) — доступ к информации, нарушающий правила разграничения доступа с использованиемштатных средств, предоставляемых средствами вычислительной техники илиавтоматизированными системами.

Защита от несанкционированногодоступа (Protectionfromunauthorizedaccess)- предотвращение или существенное затруднение несанкционированного доступа.

Субъект доступа(Accesssubject) — лицо или процесс, действия которых регламентируются правиламиразграничения доступа.

Объект доступа(Accessobject) — единица информационного ресурса автоматизированной системы,доступ к которой регламентируется правилами разграничения доступа.

Матрица доступа(Accessmatrix) — таблица, отображающая правила разграничения доступа.

Уровень полномочийсубъекта доступа (Subjectprivilege) — совокупность правдоступа субъекта доступа.

Нарушитель правилразграничения доступа (Securitypolicyviolator) — субъектдоступа, осуществляющий несанкционированный доступ к информации.

Модель нарушителяправил разграничения доступа (Securitypolicyviolater'smodel)- абстрактное (формализованное или неформализованное) описание нарушителяправил разграничения доступа.

Комплекс средств защиты(Trustedcomputingbase)- совокупность программных и технических средств, создаваемая и поддерживаемаядля обеспечения защиты средств вычислительной техники или автоматизированныхсистем от несанкционированного доступа к информации.

Система разграничениядоступа (Securitypolicyrealization) — совокупностьреализуемых правил разграничения доступа в средствах вычислительной техники илиавтоматизированных системах.

Идентификатор доступа (Accessidentifier)- уникальный признак субъекта или объекта доступа.

Идентификация(Identification) — присвоение субъектам и объектам доступа идентификатора и(или) сравнение предъявляемого идентификатора с перечнем присвоенныхидентификаторов.

Пароль(Password) — идентификатор субъекта доступа, который является его (субъекта)секретом.

Аутентификация (Authentication)- проверка принадлежности субъекту доступа предъявленного им идентификатора,подтверждение подлинности.

Защищенное средствовычислительной техники (Trustedcomputersystem) — средствовычислительной техники (автоматизированная система), в котором реализованкомплекс средств защиты.

Средство защиты от несанкционированногодоступа (Protectionfacility) — пограммное, техническое илипрограммно-техническое средство, направленное на предотвращение илисущественное затруднение несанкционированного доступа.

Модель защиты(Protectionmodel) — абстрактное (формализованное или Неформализованное)описание комплекса программно-технических средств и/или организационных мерзащиты от несанкционированного доступа.

Безопасность информации(Informationsecurity) — состояние защищенности инфоpмации, обpабатываемойсредствами вычислительной техники или автоматизированной системы от внутpеннихили внешних угроз.

Целостность информации(Informationintegrity) — способность средства вычислительной техники илиавтоматизированной системы обеспечивать неизменность информации в условиях случайногои (или) преднамеренного искажения (разрушения).

Конфиденциальнаяинформация (Sensitiveinformation) — информация, требующаязащиты.

Дискреционноеуправление доступом (Discretionaryaccesscontrol) — разграничение доступа между поименованными субъектами и поименованнымиобъектами. Субъект с определенным правом доступа может передать это праволюбому другому субъекту.

Мандатное управлениедоступом (Mandatoryaccesscontrol) — разграничение доступасубъектов к объектам, основанное на характеризуемой меткой конфиденциальностиинформации, содержащейся в объектах, и официальном разрешении (допуске)субъектов обращаться к информации такого уровня конфиденциальности.

Многоуровневая защита(Multilevelsecure) — защита, обеспечивающая разграничение доступа субъектов сразличными правами доступа к объектам различных уровней конфиденциальности.

Концепция диспетчерадоступа (Referencemonitorconcept)- концепция управления доступом, относящаяся к абстрактной машине, котораяпосредничает при всех обращениях субъектов к объектам.

Диспетчер доступа(Securitykernel) — технические, программные и микропрограммные элементыкомплекса средств защиты, реализующие концепцию диспетчера доступа; ядрозащиты.

Администратор защиты(Securityadministrator) — субъект доступа, ответственный за защитуавтоматизированной системы от несанкционированного доступа к информации.

Меткаконфиденциальности (Sensitivitylabel) — элементинформации, который характеризует конфиденциальность информации, содержащейся вобъекте.

Верификация(Verification) — процесс сравнения двух уровней спецификации средстввычислительной техники или автоматизированных систем на надлежащеесоответствие.

Класс защищенностисредств вычислительной техники(Protectionclassofcomputersystems) — определенная совокупность требований позащите средств вычислительной техники (автоматизированной системы) отнесанкционированного доступа к информации.

Показатель защищенностисредств вычислительной техники(Protectioncriterionofcomputersystems) — характеристика средств вычислительнойтехники, влияющая на защищенность и описываемая определенной группойтребований, варьируемых по уровню, глубине в зависимости от класса защищенностисредств вычислительной техники.

Система защитысекретной информации (Secretinformationsecuritysystem) — комплекс организационных мер и программно-технических (в том числекриптографических) средств обеспечения безопасности информации вавтоматизированных системах.

Система защитыинформации от несанкционированного доступа (Systemofprotectionfromunauthorizedaccesstoinformation)- комплекс организационных мер и программно-технических (в том числекриптографических) средств защиты от несанкционированного доступа к информациив автоматизированных системах.

Средствокриптографической защиты информации (Cryptographicinformationprotectionfacility)- средство вычислительной техники, осуществляющее криптографическоепреобразование информации для обеспечения ее безопасности.

Сертификат защиты (Protectioncertificate)- документ, удостоверяющий соответствие средства вычислительной техники илиавтоматизированной системы набору определенных требований по защите отнесанкционированного доступа к информации и дающий право разработчику наиспользование и/или распространение их как защищенных.

Сертификация уровнязащиты (Protectionlevelcertification)- процесс установления соответствия средства вычислительной техники илиавтоматизированной системы набору определенных требований по защите.

Глава2. Основы правового регулирования отношений, связанных с конфиденциальнойинформацией

ЗаконодательствомРоссийской Федерации установлено, что документированная информация (документы),является общедоступной, за исключением отнесенной законом к категории ограниченногодоступа.

При этомдокументированная информация с ограниченным доступом подразделяется наинформацию, отнесенную к государственной тайне, и конфиденциальную информацию.Оба указанных вида информации подлежат защите от незаконного распространения(разглашения) и относится к охраняемой законодательством тайне.

Отношения, возникающиепри создании, накоплении, обработке, хранении и использовании документов,содержащих информацию, составляющую государственную тайну, регулируютсясоответствующими законодательными актами. Основным из них является ЗаконРоссийской Федерации “О государственной тайне” от 21 июля 1993 г. № 5485-1, свнесенными в него последующими изменениями. Имеется ряд подзаконных правовыхнормативных актов, регламентирующих организацию защиты государственной тайны,ведение секретного делопроизводства, порядок допуска к государственной тайнедолжностных лиц и граждан Российской Федерации.

Порядок обращения сдокументированной конфиденциальной информацией регламентирован в целом рядезаконодательных актов и, в первую очередь, в Конституции Российской Федерации.

Так, Конституцией РоссийскойФедерации (ст.23) установлено право граждан на неприкосновенность личной жизни,личной и семейной тайны, тайны переписки, телефонных переговоров, почтовых,телеграфных и иных сообщений. При этом ограничение этого права допускаетсятолько на основании судебного решения.

В Федеральном законе“Об информации, информатизации и защите информации” конфиденциальная информацияопределяется как документированная информация, доступ к которой ограничиваетсяв соответствии с законодательством Российской Федерации (ст.2).

Обобщенное понятиеконфиденциальной информации в значительной мере конкретизировано в перечнесведений конфиденциального характера, утвержденном Указом Президента РоссийскойФедерации от 6 марта 1997 г. № 188. Согласно данному перечню сведенияконфиденциального характера группируются по нескольким основным категориям.

Во-первых, это сведенияо фактах, событиях и обстоятельствах частной жизни гражданина, позволяющиеидентифицировать его личность, за исключением сведений, подлежащихраспространению в средствах массовой информации в установленных федеральнымизаконами случаях.

Второй категориейуказанных сведений является информация, составляющая тайну следствия исудопроизводства.

Далее в перечнеопределена группа служебных сведений, доступ к которым ограничен органамигосударственной власти в соответствии с Гражданским кодексом РоссийскойФедерации и федеральными законами.

Другой группой сведенийв перечне указана информация, связанная с профессиональной деятельностью,доступ к которой ограничен в соответствии с конституцией Российской Федерации ифедеральными законами (врачебная, нотариальная, адвокатская тайна, тайнапереписки, телефонных разговоров и т.д.)

К следующей группеконфиденциальных сведений отнесена информация, связанная с коммерческойдеятельностью, доступ к которой ограничен в соответствии с гражданским кодексомРоссийской Федерации и федеральными законами (коммерческая тайна).

И завершается переченьсведений конфиденциального характера информацией о сущности изобретения,полезной модели или промышленного образца до официальной публикации о них.

Ряд вопросов, связанныхс защитой конфиденциальной информации, регулируется Уголовно-процессуальнымкодексом Российской Федерации.

Так, в нем имеются положения,касающиеся тайны переписки, телефонных и иных переговоров, почтовыхотправлений, телеграфных и иных сообщений.

Глава3. Правовая защита конфиденциальной информации и ответственность занеправомерные действия в отношении этой информации

Защита конфиденциальнойинформации от неправомерных посягательств на основе норм гражданского,административного либо уголовного права.

Поскольку ГК РФ относитконфиденциальную информацию к нематериальным благам (ст.150), защитагражданских прав юридических и физических лиц, связанных с конфиденциальной информацией,регулируются преимущественно соответствующими нормами гражданскогозаконодательства.

Так, ст.11 Части первойГК РФ предусматривает судебную защиту гражданских прав. Защиту нарушенных илиоспоренных гражданских прав, согласно этой статье осуществляет в соответствии сподведомственностью дел, установленной процессуальным законодательством, суд,арбитражный суд или третейский суд.

ГК РФ определены такжеспособы защиты гражданских прав (ст.12), большинство которых могут применятьсяв связи с защитой конфиденциальной информации.

Основными способамитакой защиты являются:

— пресечение действий,нарушающих право на защиту конфиденциальной информации или создающих угрозу егонарушения;

— восстановлениеположения, существовавшего до нарушения права на защиту конфиденциальнойинформации;

— прекращение илиизменение конкретного правоотношения, связанного с конфиденциальнойинформацией.

УК РФ также содержитряд положений, относящихся к защите конфиденциальной информации иответственности за ее неправомерное использование (ст. 137,138,310).

Ст.138 УК РФпредусматривает ответственность за другие правонарушения, связанные снарушением права на защиту конфиденциальной информации. В ней определенаответственность за нарушение тайны переписки, телефонных переговоров, почтовых,телеграфных или иных сообщений.

Установлено, чтонарушение тайны переписки, телефонных переговоров, почтовых, телеграфных илииных сообщений граждан наказывается штрафом или исправительными работами.

Ст.138 УК РФпредусматривает также, что это же деяние, совершенное лицом с использованиемсвоего служебного положения или специальных технических средств,предназначенных для негласного получения информации, наказывается штрафом, либолишением права занимать определенные должности или заниматься определеннойдеятельностью.

Следует иметь в виду,что нарушение тайны переписки, телефонных переговоров, почтовых, телеграфныхили иных сообщений имеет место в случае незаконного ознакомления с перепиской,почтовыми или телеграфными сообщениями, прослушиванием чужих переговоров. Такимже нарушением является ознакомление с информацией, поступившей по телетайпу,телефаксу и другим телекоммуникациям.

Статьей 13.12 КодексаАП предусмотрена ответственность за нарушение правил защиты информации. Так,нарушение условий, предусмотренных лицензией на осуществление деятельности вобласти защиты информации (за исключением информации, составляющейгосударственную тайну), влечет наложение административного штрафа.

Мера ответственности заразглашение информации с ограниченным доступом, в том числе конфиденциальнойинформации, установлена статьей 13.14 Кодекса АП. В соответствии с этой статьейразглашение информации, доступ к которой ограничен федеральным законом, лицом,получившим доступ к такой информации в связи с исполнением служебных илипрофессиональных обязанностей, влечет наложение административного штрафа.

Глава4. Порядок учета, хранения и использования документов, содержащихконфиденциальную информацию

конфиденциальныйинформация учет хранение

В законодательных актахРФ не регламентирован в полной мере порядок учета, хранения и использованиядокументов, содержащих конфиденциальную информацию.

Вместе с тем, внекоторых законах содержатся отдельные положения, определяющие общие принципыучета, хранения и использования документов, содержащих конфиденциальнуюинформацию.

В целом же, в РФ неимеется нормативного правового акта, который устанавливал бы единый порядокучета, хранения и использования документов, содержащих конфиденциальнуюинформацию. Это объясняется тем, что понятие «конфиденциальная информация»включает в себя самые разные категории информации ограниченного доступа. Поэтой же причине крайне сложной и вряд ли целесообразной представляетсяразработка какого-либо единого нормативного документа, регламентирующего работус документами, содержащими все виды конфиденциальной информации.

Вместе с тем, внекоторых федеральных органах исполнительной власти и коммерческих структурахимеются нормативные акты или методические документы, устанавливающие порядокобращения с конфиденциальной информацией и документами, ее содержащими.

Указанные акты могутбыть оформлены в виде положений, правил, инструкций и преимущественно носятобязательный характер.

Как правило, документы,регламентирующие работу с носителями конфиденциальной информации, предназначенысугубо для внутреннего использования и имеют определенные ограничения вдоступе, часто с ограничительным грифом “Для служебного пользования”.

По этой причине вданной работе невозможно изложить достаточно подробно требования, предъявляемыек работе с документами, содержащими конфиденциальную информацию, тем более соссылками на конкретные акты.

Вместе с тем,допустимой является характеристика основных принципов этой работы, которыеносят преимущественно универсальных характер и которыми руководствуются приорганизации защиты конфиденциальной информации.

Любая организация,независимо от формы собственности, заинтересованная в сохранении того или иноговида информации, принимает меры к регламентации деятельности своих подразделенийи отдельных работников, связанной с этой информацией. Как правило, при этомустанавливается порядок создания носителей информации (документов на бумажнойоснове, машинных и электронных документов), их учета, режима хранения, доступак ним, использования информации ограниченного распространения, уничтоженияносителей информации.

Одним из главных правилработы с документами, содержащими конфиденциальную информацию, являетсяопределение категорий сведений, подлежащих защите в данной организации. Дляэтого в организации должен быть разработан типовой или примерный переченьсведений ограниченного распространения, которые содержатся в документах,образующихся в процессе деятельности данной организации. В перечень включаютсяне только сведения, которые имеются в документах, создаваемых организацией, нои сведения, получаемые из других источников, если необходимо обеспечить ихконфиденциальность.

Указанный переченьсогласуется с заинтересованными подразделениями, а также, если будет признаноцелесообразным, с организациями – партнерами, после чего утверждаетсяруководителем организации и вводится в действие.

Далее в организацииразрабатывается порядок оформления, учета, хранения, отправления, использованияи уничтожения документов, содержащих конфиденциальную информацию.

Наиболее удобным приоформлении документов ограниченного распространения является присвоение имсоответствующего ограничительного грифа, например, — “Для служебногопользования ” или “Конфиденциально”.

Для внутреннего ивнешнего обращения документов, содержащих конфиденциальную информацию, ворганизации и подчиненных ей подразделениях создается система учета этихдокументов. Эта система предусматривает регистрацию документов на всех стадияхих прохождения, начиная с создания (тиражирования) и завершая их уничтожением.Система учета может быть традиционной – в виде комплексов журналов учета, либоавтоматизированной (на базе ПЭВМ и ЛВС) с необходимыми элементами защитыинформации.

В акте,регламентирующем работу с документами, содержащими конфиденциальную информацию,должен быть, как отмечалось, определен порядок хранения этих документов уисполнителей, в подразделении документационного обеспечения или режимномподразделении организации, порядок отправки и получения документов, выдачи ихисполнителям, тиражировании, исполнения запросов по данным документам и другиевопросы.

В частности, следуетустановить порядок снятия ранее введенных ограничений в использованиидокументов, содержащих конфиденциальную информацию, а также внесениясоответствующих изменений в учеты.

Безусловно, необходимойявляется регламентация проверок выполнения установленных требований в работе сдокументами ограниченного распространения, включая проверки сохранностидокументов.

В большинствеорганизаций негосударственной формы собственности по аналогии сгосударственными органами устанавливается порядок допуска работников кразличным категориям сведений ограниченного распространения. В зависимости отспецифики деятельности той или иной организации решение вопросов допускавозлагается на режимное подразделение, подразделение документационногообеспечения или кадровую службу. Однако в любом случае координирующая роль врешении этих вопросов должна быть у режимного подразделения организации.

Выбор той или инойсистемы защиты конфиденциальной информации в негосударственных структурахзависит от руководства этих структур, которые, с учетом ценности защищаемойинформации, определяют средства и методы охраны указанных сведений, в том числеправила работы с документами. При этом гарантирующим в максимальной степенисохранность информации является порядок работы с документами, близкий илианалогичный тому, который установлен для документов, содержащих сведения,составляющие государственную тайну.

Для организации иосуществления мероприятий по защите информации в любом учреждении, независимоот формы собственности, требуются определенные условия, важнейшими из которыхявляются наличие регламентирующей базы, квалифицированного персоналаподразделения по защите информации и необходимых материально-техническихсредств.4

Таковы, в целом,основные правила защиты конфиденциальной информации.

Заключение

Комбинированиемсредств защиты можно добиться относительно хорошей защищенности информации.Невозможно абсолютно защитить информацию от несанкционированного доступа(взлома). Любой из этих способов поддается взлому в некоторой степени. Вопрос втом, будет ли выгодно взламывать или нет. Если затраты ресурсов на защиту(стоимость защиты) больше чем затраты на взлом, то система защищена плохо.

Несуществует никаких «абсолютно надежных» методов защиты информации,гарантирующих полную невозможность получения несанкционированного доступа.Можно утверждать, что достаточно квалифицированные системные программисты,пользующиеся современными средствами анализа работы программного обеспечения(отладчики, дизассемблеры, перехватчики прерываний и т.д.), располагающиедостаточным временем, смогут преодолеть практически любую защиту отнесанкционированного доступа. Этому способствует «открытость»операционной системы MS-DOS, которая хорошо документирована и предоставляетлюбой программе доступ к любым программным и аппаратным ресурсам компьютера.

Поэтомупри проектировании системы защиты от несанкционированного доступа следуетисходить из предположения, что рано или поздно эта защита окажется снятой.

Иногдазащищать программы от копирования вообще нецелесообразно. Фирма Microsoft восновном не защищает от копирования свои программные продукты.

Такимобразом, для выбора способа организации защиты от НСД и от копирования необходиминдивидуальный подход в каждом конкретном случае.

БИБЛИОГРАФИЧЕСКИЙСПИСОК

1. ФедеральныйЗакон «Об информации, информатизации и защите информации» от 25.01.1995 г. №24-ФЗ (в ред. Федерального закона от 10.01.2003 N 15-ФЗ).

2. ЗаконРоссийской Федерации “О государственной тайне” от 21 июля 1993 г. № 5485-1.

3. АндрееваВ.И. Понятие документа и делопроизводства. // Журнал «Справочник секретаряи офис-менеджера». №8. 2006. С. 22.

4. БачилоИ.Л. Современные правовые проблемы документирования информации Документация винформационном обществе: электронное делопроизводство и электронный архив. М.:ВНИИДАД, 2000. 234 с.

5. БачилоИ.Л., Лопатин В.Н., Федотов М.А. Информационное право, учебник. Спб.: Юридическийцентр Пресс, 2001. 225 с.

6. ГедровичФ.А. Цифровые документы: проблемы обеспечения сохранности // Вестник архивиста.№ 1. 2004. С.120-122.

7. КлименкоС.В., Крохин И.В., Кущ В.М., Лагутин Ю.Л. Электронные документы в корпоративныхсетях. М., 2001. 345с.

8. КопыловВ.А. Информационное право: Учебное пособие. М.: Юрист, 2003. 456 с.

9. КушнаренкоН.Н. Документоведение. Киев: Знание, 2000 .460 с.

10. ЛарьковН.С. Документоведение. М.: Издательство АСТ, 2006. 427 с.

11. СтенюковМ.В. Документоведение и делопроизводство: Конспект лекций. Делопроизводство. М.:ПРИОР, 2006. 173 с.

12. 13.ФатьяновА.А. Правовое регулирование электронного документооборота учебно-практическоепособие (Серия «Библиотечка „Российской газеты“). М.:Издательство: Российская газета. Вып. 21. 2005.