Существует различие между государственными и общественными мотивами, потребностями человека, влияющими на формирование национальных интересов. 4 страница

- организация международного сотрудничества по обеспечению информационной
безопасности при интеграции России в мировое информационное пространство на
условиях равноправного партнерства.

Для успешного выполнения указанных задач необходима единая государственная система как главный компонент обеспечения информационной безопасности. При формировании такой системы необходимо учесть положительный опыт успешного функционирования в РФ государственной системы по защите государственной тайны. В качестве законодательной основы для этого нужен (рамочный) Федеральный закон "Об информационной безопасности".-

Функции государственной системы по обеспечению информационной безопасности.

Для реализации указанных задач государственной системой обеспечения информационной безопасности должны осуществляться следующие функции:

• оценка состояния информационной безопасности в стране, определение приоритетов по интересам в информационной сфере и установление их баланса в конкретных условиях (в том числе определение и поддержание баланса между

потребностью граждан, общества и государства в свободном обмене информацией инеобходимыми ограничениями на распространение информации;

• выявление и учет источников внутренних и внешних угроз, проведение их мониторинга и классификации;

• определение приоритетных направлений предотвращения, отражения и нейтрализации угроз, минимизации ущерба от их реализации;

• организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;

• разработка и принятие законов и иных нормативных правовых актов;

• разработка федеральных целевых и ведомственных программ обеспечения информационной безопасности, координация работ по их реализации;

• организация единой системы лицензирования, сертификации, экспертизы и контроля в этой сфере, в том числе обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;

• страхование информационных рисков;

• подготовка специалистов по обеспечению информационной безопасности, в том числе из числа работников правоохранительных и судебных органов;

• информирование общественности о реальной ситуации в сфере обеспечения информационной безопасности и работе государственных органов в этой сфере;

• изучение практики обеспечения информационной безопасности, обобщение и пропаганда передового опыта такой работы в регионах;

• правовая охрана и защита прав и интересов граждан, интересов общества и государства в области информационной безопасности, в том числе предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;

• координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;

• организация обучения способам и методам самозащиты физических лиц от основных угроз в информационной сфере;

• содействие разработке и принятию норм международного права в сфере обеспечения информационной безопасности;

• установление стандартов и нормативов в сфере обеспечения информационной безопасности.

Поскольку от эффективности выполнения последней указанной функции, во многом зависят сроки и возможности организации системы обеспечения информационной безопасности, то рассмотрим ее содержание подробнее.

Стандарты. В Российской Федерации сейчас насчитывается более 22 тыс. действующих стандартов. Стандартизация начинается с основополагающего стандарта, устанавливающего общие положения. На сегодняшний день такого стандарта в области информационной безопасности нет. 9 ГОСТов: ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ 50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922-96 относятся к различным группам по классификатору стандартов и, к сожалению, не являются функционально полными ни по одному из направлений защиты информации. Кроме того, есть семейства родственных стандартов, имеющих отношение к области защиты информации:

- системы тревожной сигнализации, комплектуемые извещателями различного принципа действия - 12 ГОСТов;

- информационные технологии (сертификация систем телекоммуникации, программных и аппаратных средств, аттестационное тестирование взаимосвязи открытых систем, аттестация баз данных и т. д.) - около 200 ГОСТов;

- системы качества (в том числе стандарты серии 9000, введенные в действие на
территории РФ) - больше 100 ГОСТов.

Значительная часть стандартов на методы контроля и испытаний (около 60%) может быть признана не соответствующей требованию Закона "Об обеспечении единства измерений", как правило, в части погрешностей измерении.- Отсутствуют стандарты в сфере информационно-психологической безопасности.

Таким образом, очевидно, что работа над объектами стандартизации в сфере информационной безопасности только разворачивается. Для этого крайне важен международный опыт. В 1983 г. Агентство компьютерной безопасности Министерства обороны США опубликовало отчет, названный ТС SEC (Критерии Оценки Защищенности Надежных Систем) или Оранжевая книга (по цвету переплета), где были определены 7 уровней безопасности (А1 - гарантированная защита, Bl, B2, ВЗ - полное удовлетворение доступом, О, С2 - избирательное управление доступом, D - минимальная безопасность), для оценки защиты грифованных данных в многопользовательских компьютерных системах. Для оценки компьютерных систем Министерства обороны США Национальный Центр компьютерной безопасности МО США выпустил инструкции NCSC-TG-005 и NCSC-TG-011, известные как Красная книга (по цвету пе-преплета). В качестве ответа Агентство информационной безопасности ФРГ подготовило GREEN Book (Зеленая книга), где рассмотрены в комплексе требования к доступности, целостности и конфиденциальности информации как в государственном, так и в частном секторе.

В 1990 г. Зеленая книга была одобрена ФРГ, Великобританией, Францией и Голландией и направлена в ЕС, где на ее основе была подготовлены IT SEC (Критерии Оценки Защищенности

Информационных Технологий) или Белая книга, как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем, имеющий две схемы оценки: по эффективности (от Е1 до Е6) и по функциональности (доступность, целостность системы, целостность данных, конфиденциальность информации и передачу данных). С учетом интеграции России в общеевропейские структуры рассмотрим подробнее положения европейского стандарта.

В Белой книге названы основные компоненты безопасности критериев ITSEC:

1. Информационная безопасность.

2. Безопасность системы.

3. Безопасность продукта.

4. Угроза безопасности.

5. Набор функций безопасности.

6. Гарантированность безопасности.

7. Общая оценка безопасности.

8. Классы безопасности.

Согласно европейским критериям ITSEC, информационная безопасность включает в себя шесть основных элементов ее детализации:

1) конфиденциальность информации (защита от несанкционированного получения
информации.);

2) целостность информации (защита от несанкционированного изменения информации);

3) доступность информации (защита от несанкционированного или случайного удержания информации и ресурсов системы);

4) цели безопасности (зачем нужны функции информационной безопасности);

5) спецификация функций безопасности:

- идентификация и аутентификация (понимается не только традиционная проверка подлинности пользователя, но и функции для регистрации новых пользователей и удаления старых, а также функции для изменения и проверки аутентификационной информации, в том числе средств контроля целостности и функции для ограничения количества повторных попыток аутентификации);

- управление доступом (в том числе функции безопасности, которые обеспечивают: временное ограничение доступа к совместно

используемым объектам с целью поддержания целостности этих объектов; управление распространением прав доступа; контроль за получением информации путем логического вывода и агрегирования данных);

- подотчетность (протоколирование);

- аудит (независимый контроль);

- повторное использование объектов;

- точность информации (поддержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации));

- надежность обслуживания (функции обеспечения, когда действия, критичные по времени, будут выполнены именно тогда, когда нужно; некритичные действия нельзя перенести в разряд критичных; авторизованные пользователи за разумное время получат запрашиваемые ресурсы; функции обнаружения и нейтрализации ошибок; функции планирования для обеспечения коммуникационной безопасности, т. е. безопасности данных, передаваемых по каналам связи);

- обмен данными;

6) описание механизмов безопасности.

В Белой книге декларируется разница между "системой" и "продуктом". Под "системой" понимается конкретная аппаратно-программная конфигурация, созданная с вполне определенными целями и работающая в известном окружении, а под "продуктом" -аппаратно-программный пакет, который можно купить и по своему усмотрению вставить в ту или иную "систему". Для объединения критериев оценки "системы" и "продукта" в ITSEC вводится единый термин - "объект" оценки. Каждая "система" и/или "продукт" предъявляют свои требования к обеспечению конфиденциальности, целостности и доступности информации. Для их реализации необходим и соответствующий набор функций безопасности, таких, как идентификация и аутентификация, управление доступом, восстановление после сбоев, подотчетность, аудит, правила повторного использования объектов доступа, точность информации, надежность обслуживания, обмен данными. Например, для реализации функций идентификации и аутентификации могут использоваться такие механизмы, как специальный сервер "KERBEROS", а для защиты компьютерных сетей - фильтрующие маршрутизаторы, сетевые

анализаторы протоколов (экраны) типа Fire Wai 1/Plas, Fire Wall-1, пакеты фильтрующих программ и т. д.

Чтобы "объект" оценки можно было признать надежным, необходима определенная степень уверенности, которая декларируется как гарантированность безопасности, включающая в себя два компонента - эффективность и корректность механизмов безопасности (средств защиты). Гарантированность в некоторых источниках называют адекватностью средств защиты.

При проверке эффективности анализируется соответствие между задачами безопасности по конфиденциальности, целостности, доступности информации и реализованным набором функций безопасности - их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Кроме того, в понятие эффективности включается и способность механизмов защиты противостоять прямым атакам, которая называется мощностью механизмов защиты. По ITSEC декларируется три степени мощности (базовая, средняя, высокая). При проверке корректности анализируется правильность и надежность реализации функций безопасности. По ITSEC декларируется семь уровней корректности -от ЕО до Е6.

Общая оценка безопасности системы по ITSEC состоит из двух компонент - оценки уровня гарантированной эффективности механизмов (средств) безопасности и оценки уровня их гарантированной корректности. Безопасность системы в целом оценивается отдельно для "систем" и "продуктов". Защищенность их не может быть выше мощности самого слабого из критически важных механизмов безопасности (средств защиты).

В европейских критериях устанавливается 10 классов безопасности (F-Cl, F-C2, F-Bl, F-В2, F-B3, F-IN, F-AV, F-DI, F-DC, F-DX). Первые пять из них аналогичны классам О, С2, Bl, B2, ВЗ американских критериев ТС SEC. Класс F-IN предназначен для систем с высокими потребностями к обеспечению целостности, что типично для СУБД, и различает виды доступа: чтение, запись, добавление, удаление, создание, переименование и выделение объектов. Класс F-AV предназначен для систем с высокими требованиями к обеспечению их работоспособности за счет противодействия угрозам отказа в обслуживании (существенно для систем управления

технологическими процессами). Класс F-DI ориентирован на системы с повышенными требованиями к целостности данных, которые передаются по каналам связи. Класс F-DC характеризуется повышенными требованиями к конфиденциальности информации, а класс F-DX предназначен для систем с повышенными требованиями одновременно по классам F-DI и F-DC.

Канада разработала СТСРЕС и, наконец, США разработали новые Федеральные Критерии (Federal Criteria). Так как эти критерии несовместимы, было принято решение попытаться гармонизировать (объединить) все эти критерии в новый набор критериев оценки защищенности, названный Common Criteria (CC). Общие критерии дают набор критериев по оценке защищенности и устанавливают: требования к функциональным возможностям и требования к гарантиям; 7 уровней доверия (Уровни Гарантий при Оценке), которые может запросить пользователь (уровень EAL1 обеспечивает лишь небольшое доверие к корректности системы, а уровень EAL7 дает очень высокие гарантии); два понятия: Профиль Защиты (РР) и Цель безопасности (ST).

Одним из отечественных аналогов перечисленных стандартов является Руководящий документ Гостехкомиссии РФ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации".

Комплексный характер защиты информации достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:

ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования";

ГОСТ Р 34.10-94 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма";

ГОСТ Р 34.11-94 "Информационная технология. Криптографическая защита информации. Функция хэширования";

ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования".

При этом в вопросе о криптографии, на наш взгляд,- необходимо определить, кто и как должен защитить информацию. ФАПСИ претендует на защиту всей, в том числе открытой информации. Полагаем, что государство может ограничиться защитой только своей информации (прежде всего государственной и служебной тайн). Все остальное надо подчинить единым, понятным правилам и исполнимым запретам. Это должны быть законы, а не правила, изменяемые чиновниками ежедневно. Следуя им, субъект сможет защищать свою информацию сам доступными ему средствами. Те, кто претендуют на введение единообразного подхода к использованию средств криптозащиты, оставляют монополисту явную возможность для использования дубликатов ключей. Кто даст гарантию, что это будет сделано в интересах государства, а не конкретных лиц? Хотя в целом ряде стран (Великобритания, Франция) существует государственная монополия на средства криптозащиты, справедливость такого подхода спорна. Та же Франция готова к изменению этих правил, правда, решение еще не принято окончательно. Нужно развести государственные интересы и интересы частных лиц, исходя из наших возможностей,

декларировать невыполнимое бессмысленно. Поскольку деятельность любой организации подвержена множеству рисков, в том числе вследствие использования информационных технологий, то относительно недавно появилась новая функция - управление рисками, которая включает в себя два вида деятельности: оценку (измерение) рисков и выбор эффективных и экономичных защитных регуляторов. Процесс управления рисками можно подразделить на следующие этапы:

1. Выбор анализируемых объектов и степени детальности их рассмотрения.

2. Выбор методологии оценки рисков.

3. Идентификация активов.

4. Анализ угроз и их последствий, определение слабостей в защите.

5. Оценка рисков.

6. Выбор защитных мер.

7. Реализация и проверка выбранных мер.

8. Оценка остаточного риска.

Правовое регулирование этих отношений возможно и необходимо, на наш взгляд, прежде всего, через страхование информационных рисков.

Проблема обеспечения безопасности носит комплексный характер. Для ее решения необходимо сочетание правовых мер с организационными (например, в компьютерных информационных системах на управленческом уровне руководство каждой организации должно выработать политику безопасности, определяющую общее направление работ и выделить на эти цели соответствующие ресурсы) и программно-техническими (идентификация и аутентификация; управление доступом; протоколирование и аудит; криптография; экранирование). Одной из первых работ в России, посвященных защите информации программно-техническими мерами, созданию и внедрению безопасных информационных технологий в проектах информатизации России, является отчет, подготовленный в 1992 г. ведущими специалистами Российской Академии наук и научно-исследовательских институтов РФ (в составе: член-корреспондент РАН В. К. Левин -руководитель проекта, доктор технических наук В. В. Липаев - руководитель комплексной работы, доктор технических наук А. А. Федулов, кандидаты технических наук С. Ф. Михайлов, А. А. Новиков, Н. Н. Солянкин, Ю. А. Тимофеев).- В дальнейшем мы будем останавливаться при рассмотрении проблем информационной безопасности в основном на правовом регулировании этих отношений и лишь иногда в качестве примера или иллюстрации кратко раскрывать содержание организационных и иных мер обеспечения информационной безопасности.

- Доктрина информационной безопасности РФ (2000); Лопатин В. Н. Концепция развития законодательства в сфере обеспечения информационной безопасности// Изд. Гос. Думы. М.,1998. С.10-11.

- Международные стандарты, поддерживающие жизненный цикл программных средств, М., 1996.

- Лопатин В. Н. Теоретико-правовые проблемы законодательного обеспечения
информационной безопасности в РФ // Сборник материалов международной научно-

практической конференции "Компьютерная преступность: состояние, тенденции и превентивные меры ее профилактики". СПб., 1999. С. 6-12.

- См. об этом: Новиков В. А. О проблемах нормативного обеспечения в области защиты информации. Ростов. 1998.

- Лопатин В. Н. Проблемы шифрования: взгляд из парламента // Computer World. 1998. № 13. С. 56-61.

12.5. Право и законодательство в сфере обеспечения информационной безопасности и их место в системе российского права и законодательства России