Тема 2 ЗАЩИТА ИНФОРМАЦИИ С ОГРАНИЧЕННЫМ ДОСТУПОМ

Важным элементом информационных ре­сурсов является государственная тайна, отнесенная по условиям пра­вового режима к документированной информации ограниченного рас­пространения.

Правовой институт государственной тайны — признанный все­ми странами институт регулирования информационных обществен­ных отношений.

Правовой институт государственной тайны имеет три со­ставляющие:

сведения, относимые к определенному типу тайны (а также принципы и критерии, по которым сведения классифицируются как тайна);

режим секретности (конфиденциальности) — механизм ограничения доступа к указанным сведениям, т.е. механизм их защиты;

3) санкции за неправомерное получение и (или) распростра­нение этих сведений.

Понятие «государственная тайна» является одним из важней­ших в системе защиты государственных секретов в любой стране. От ее правильного определения зависит и политика руководства страны в области защиты секретов.

Определение этого понятия дано в Законе РФ «О государствен­ной тайне».

Государственная тайна — «защищаемые государством сведения в области его военной, внешнеполитической, экономи­ческой, разведывательной, контрразведывательной и оперативно- розыскной деятельности, распространение которых может нане­сти ущерб безопасности Российской Федерации».

Модель определения государственных секретов обычно вклю­чает в себя следующие существенные признаки:

предметы, явления, события, области деятельности, состав­ляющие государственную тайну;

противник (данный или потенциальный), от которого в основном осуществляется защита государственной тайны;

указание в законе, перечне, инструкции сведений, состав­ляющих государственную тайну;

наносимый ущерб обороне, внешней политике, экономи­ке, научно-техническому прогрессу страны и т.п. в случае разгла­шения (утечки) сведений, составляющих государственную тайну.

Какие сведения могут быть отнесены к государственной тайне, определено в Указе Президента РФ от 30 ноября 1995 г. № 1203. К ним отнесены сведения (указаны лишь разделы): в военной об­ласти; о внешнеполитической и внешнеэкономической деятель­ности; в области экономики, науки и техники; в области разведы­вательной, контрразведывательной и оперативно-розыскной дея­тельности.

Нельзя засекречивать информацию в качестве государственной тайны:

если ее утечка (разглашение и т.п.) не влечет ущерба нацио­нальной безопасности страны;

в нарушение действующих законов;

если сокрытие информации будет нарушать конституцион­ные и законодательные права граждан;

для сокрытия деятельности, наносящей ущерб окружающей природной среде, угрожающей жизни и здоровью граждан.

Подробнее этот перечень содержится в ст. 7 Закона РФ «О госу­дарственной тайне».

Важным признаком государственной тайны является степень секретности сведений, отнесенных к ней. В нашей стране при­нята следующая система обозначения сведений, составляющих государственную тайну: «особой важности», «совершенно сек­ретно», «секретно». Эти грифы проставляются на документах или изделиях (их упаковках или сопроводительных документах). Со­держащиеся под этими грифами сведения являются государствен­ной тайной.

К сведениям особой важности следует относить такие сведения, распространение которых может нанести ущерб интересам Россий­ской Федерации в одной или нескольких областях.

К совершенно секретным сведениям следует относить такие све­дения, распространение которых может нанести ущерб интересам министерства (ведомства) или отраслям экономики Российской Федерации в одной или нескольких областях.

К секретным сведениям следует относить все иные из числа све­дений, составляющих государственную тайну. Ущерб может быть нанесен интересам предприятия, учреждения или организации.

Понятие, виды и размер ущерба разработаны пока еще недо­статочно. В зависимости от вида, содержания и размеров ущерба можно выделить группы некоторых видов ущерба при утечке (или возможной утечке) сведений, составляющих го­сударственную тайну.

Политический ущерб может наступить при утечке сведений по­литического и внешнеполитического характера, о разведыватель­ной деятельности спецслужб государства и др. Политический ущерб может выражаться в том, что в результате утечки информации могут произойти серьезные изменения в международной обстановке не в пользу Российской Федерации, утрата страной политических приоритетов в каких-то областях, ухудшение отношений с какой- либо страной или группой стран и т.д.

Экономический ущерб может наступить при утечке сведений лю­бого содержания: политического, экономического, военного, на­учно-технического и т.д. Экономический ущерб может быть выра­жен прежде всего в денежном исчислении. Экономические потери от утечки информации могут быть прямые и косвенные.

Так, прямые потери могут наступить в результате утечки секрет­ной информации о системах вооружения, обороны страны, которые в результате этого практически потеряли или утратили свою эффек­тивность и требуют крупных затрат на их замену или переналадку. Косвенные потери чаще всего выражаются в виде размера упущен­ной выгоды: срыв переговоров с иностранными фирмами, о выгод­ных сделках с которыми ранее была договоренность; утрата приори­тета в научном исследовании, в результате чего соперник быстрее довел свои исследования до завершения и запатентовал их и т.д.

Моральный ущерб, как правило неимущественного характера, наступает от утечки информации, вызвавшей или инициировав­шей противоправную государству пропагандистскую кампанию, подрывающую репутацию страны, приведшую к выдворению из каких-то государств наших дипломатов, разведчиков, действовав­ших под дипломатическим прикрытием, и т. п.

Система защиты государственной тайны

В общем смысле защита информации — комплекс мероприя­тий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям.

Защита информации разбивается на решение двух основных групп задач:

своевременное и полное удовлетворение информацион­ных потребностей, возникающих в процессе управленческой, ин­женерно-технической, маркетинговой и иной деятельности, т.е. обеспечение специалистов организаций, предприятий и фирм сек­ретной или конфиденциальной информацией;

ограждение засекреченной информации от несанкцио­нированного доступа к ней соперника, других субъектов в злона­меренных целях.

При решении первой группы задач учитывается, что специалисты могут использовать как открытую, так и засекречен­ную информацию. Снабжение специалистов открытой информа­цией ничем не ограничивается, кроме ее фактического наличия. При снабжении же специалиста засекреченной информацией дей­ствуют ограничения: наличие соответствующего допуска (к какой степени секретности информации он допущен) и разрешения на доступ к конкретной информации.

Вторая группа задач — ограждение защищаемой инфор­мации от несанкционированного доступа к ней соперника. Она включает такие условия, как:

защита информационного суверенитета страны и расшире­ние возможностей государства по укреплению своего могущества за счет формирования и управления развитием своего информа­ционного потенциала;

создание условий эффективного использования информа­ционных ресурсов общества;

обеспечение безопасности защищаемой информации: пред­отвращение хищения, утраты, несанкционированного уничтоже­ния, модификации, блокирования информации и т.п., вмеша­тельства в информацию и информационные системы;

сохранение секретности информации в соответствии с уста­новленными правилами ее защиты, в том числе предупреждение ее утечки и несанкционированного доступа к ее носителям;

сохранение полноты, достоверности, целостности инфор­мации и ее массивов и программ обработки;

недопущение безнаказанного растаскивания и незаконного использования интеллектуальной собственности, принадлежащей государству.

При рассмотрении проблем защиты информации часто затра­гивается вопрос о режиме секретности или конфиденциальности (в дальнейшем — режим секретности).

Режим секретности является частью системы защиты засекре­ченной информации, а точнее, это реализация системы защиты информации для конкретного объекта или одного из его структур­ных подразделений или конкретной работы.

Основное назначение режима секретности — обеспечить соот­ветствующий уровень защиты информации, так как чем выше сте­пень ее секретности, тем более высокий уровень ее защиты уста­навливается, соответственно изменяется и режим секретности. Ре­жим секретности — это не регламентация правовых норм и пра­вил защиты сведений, а реализация на конкретном объекте дей­ствующих норм и правил защиты сведении, составляющих госу­дарственную тайну, установленных и регламентированных соот­ветствующими законодательными и подзаконными нормативны­ми актами.

Режим секретности включает следующие основные груп­пы мер:

во-первых, разрешительную систему, определяющую порядок доступа в служебных целях конкретных сотрудников к определен­ной защищаемой информации и в конкретные помещения, где ведутся конфиденциальные или секретные работы;

во-вторых, порядок и правила делопроизводства с секретными или конфиденциальными документами и иными носителями за­щищаемой информации. Возможно разделение потоков докумен­тальной информации по степени секретности сведений, содержа­щихся в документах, а также разделение потоков информации, документов, содержащих государственную и коммерческую тайну;

в-третьих, установление пропускного и внутриобъектового ре­жима, соответствующего степени секретности информации, име­ющейся на объекте;

в-четвертых, воспитательно-профилактическую работу, уровень и содержание которой должны соответствовать уровню требуемой защиты информации с целью предотвратить или значительно умень­шить риск утечки засекреченной информации через сотрудников объекта, работающих с такой информацией.

В ст. 2 Закона РФ «О государственной тайне» дано определение системы защиты этой тайны: «Под системой защиты государствен­ной тайны понимается совокупность органов защиты государствен­ной тайны, используемых ими средств и методов защиты сведе­ний, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях».

Таким образом, система защиты сведений, отне­сенных к государственной тайне, и их носите­лей складывается:

из органов защиты государственной тайны;

средств и методов защиты государственной тайны;

проводимых мероприятий.

Под защитой сведений, составляющих государственную тайну, и их носителей понимается деятельность органов защиты этой тай­ны, направленная на обеспечение безопасности информации, от­несенной к государственной тайне, предотвращение ее утечки и ее максимально эффективное использование.

Главным субъектом, осуществляющим защиту сведений, со­ставляющих государственную тайну, является государство в лице его высших органов власти и управления которое располагает всей полнотой властных полномочий по решению задач защиты государственной тайны.

Высшие органы государственной власти и управления созда­ют нормативно-правовую базу, регламентирующую деятельность по защите сведений, отнесенных к государственной тайне.

В систему защиты государственной тайны включаются кроме мер, осуществляемых непосредственно в местах сосредоточения и обращения сведений, составляющих эту тайну, также проводи­мые государством мероприятия и устанавливаемые административно-правовые режимы:

борьба со шпионажем и разглашением государственной тайны;

охрана государственных тайн в печати;

пограничный режим;

режим въезда и передвижения иностранцев;

режим выезда специалистов в служебные командировки за границу.

Любая система защиты информации имеет свои особенности и в то же время должна отвечать общим требованиям. Общими требованиями к системе защиты информации яв­ляются следующие.

Во-первых, система защиты информации должна быть пред­ставлена как нечто целое. Целостность системы будет выражаться в наличии единой цели ее функционирования, информационных связей между элементами системы, иерархичности построения подсистемы управления системой защиты информации.

Во-вторых, система защиты информации должна обеспечивать безопасность информации, средств информации и защиту интере­сов участников информационных отношений.

В-третьих, система защиты информации в целом, методы и средства защиты должны быть по возможности «прозрачными» для законного пользователя, не создавать ему больших дополнитель­ных неудобств, связанных с процедурами доступа к информации, и в то же время быть непреодолимыми для несанкционированного доступа злоумышленника к защищаемой информации.

В-четвертых, система защиты информации должна обеспечи­вать информационные связи внутри системы между ее элементами для согласованного их функционирования и связи с внешней сре­дой, перед которой система проявляет свою целостность и высту­пает как единое целое.

Система защиты информации включает в себя совокупность элементов, ее образующих, и их свойства.

Структурная часть системы защиты информации включает в себя:

систему законов и других нормативных актов, устанавлива­ющих:

порядок и правила защиты информации, а также ответствен­ность за покушение на защищаемую информацию или на установ­ленный порядок ее защиты;

защиту прав граждан, связанных по службе со сведениями, отнесенными к охраняемой тайне;

права и обязанности государственных органов, предприятий и должностных лиц в области защиты информации;

систему засекречивания информации, в которую входят:

законодательное определение категории сведений, которые могут быть отнесены к государственной тайне;

законодательное и иное правовое определение категорий све­дений, которые не могут быть отнесены к государственной тайне;

наделение полномочиями органов государственной власти и должностных лиц в области отнесения сведений к охраняемой за­коном тайне;

составление перечней сведений, отнесенных к государствен­ной тайне;

систему режимных служб и служб безопасности с их соб­ственной структурой, штатным расписанием, обеспечивающими функционирование всей системы защиты информации.

Основные элементы функциональной части системы:

порядок и правила определения степени секретности сведе­ний и проставление грифа секретности на работах, документах, изделиях, а также рассекречивания информации или снижения степени ее секретности;

установленные на объекте режим секретности, внутриобъектовый режим и режим охраны, соответствующие важности накап­ливаемой и используемой на объекте информации;

система обработки, хранения, учета и выдачи носителей за­щищаемой информации с использованием принятой системы на­копления и обработки информации: автоматизированная, ручная, смешанная, иная, в том числе делопроизводство с секретными и конфиденциальными документами;

разрешительная система, регламентирующая порядок досту­па потребителей к носителям защищаемой информации, а также на предприятие и в его отдельные помещения;

система выявления возможных каналов утечки защищаемой информации и поиск решений по их перекрытию, включая вос­питательно-профилактическую работу на объекте и в его струк­турных подразделениях;

система контроля наличия носителей защищаемой информа­ции и состояния на объекте установленных режимов: секретнос­ти, внутриобъектового, охраны объекта и его важнейших подраз­делений.

Таким образом, можно сказать, что и структурная и функцио­нальная части системы защиты информации существуют и работа­ют в неразрывном единстве.

Засекречивание информации

В Законе РФ «О государственной тайне» (ст. 15) решены главные вопросы защиты информации: во-первых, определены полномо­чия органов и должностных лиц в области защиты государственной тайны и прежде всего в области засекречивания информации; во- вторых, выделены категории сведений, составляющих государствен­ную тайну и требующих защиты, принципы и критерии засекречи­вания информации; в-третьих, определен порядок допуска граждан и предприятий к работе с секретной информацией.

Засекречивать информацию имеют право органы власти, уп­равления и должностные лица, наделенные соответствующими полномочиями. Они осуществляют политику государства в области защиты информации:

определяют категории сведений, подлежащих защите и, сле­довательно, засекречиванию, и закрепляют это в законодательных или подзаконных актах;

разрабатывают перечни сведений, подлежащих засекречива­нию;

определяют степени секретности документов, изделий, ра­бот и сведений и проставляют на носителях защищаемой инфор­мации соответствующие грифы секретности.

Таким образом, засекречивание информации — это совокуп­ность организационно-правовых мер, регламентированных зако­нами и другими нормативными актами, по введению ограниче­ний на распространение и использование информации в интере­сах ее собственника (владельца).

В нормативных ак­тах Российской Федерации сформулированы основные принци­пы, которые следует учитывать при принятии решения о засекре­чивании информации:

законность засекречивания информации. Она заключается в осуще­ствлении процесса засекречивания строго в рамках действующих законов и других подзаконных нормативных актов. Отступление от этого принципа может нанести серьезный ущерб интересам защиты информации, интересам личности, общества и государства, в час­тности, незаконным сокрытием от общества информации, не тре­бующей засекречивания, или утечкой важной информации;

обоснованность засекречивания информации. Она заключается в установлении путем экспертной оценки целесообразности засек­речивания конкретных сведений, вероятных экономических или иных последствий этого акта, исходя из баланса жизненно важных интересов личности, общества и государства. Неоправданно засек­речивать информацию, вероятность раскрытия которой превыша­ет возможность сохранения ее в тайне;

своевременность засекречивания информации. Она заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно;

подчиненность ведомственных мероприятий по засекречиванию информации общегосударственным интересам.

При засекречивании информации решается вопрос не просто об отнесении ее к секретной, конфиденциальной или несекрет­ной, но и о том, какой степени секретности она должна быть, т.е. решается вопрос об уровне ее защиты.

Степень секретности — это показатель уровня важности и цен­ности информации для собственника, определяющий.уровень ее защиты. Степень секретности сведений, составляющих государствен­ную тайну, определяется государством — уполномоченными им органами и должностными лицами.

По Закону РФ «О государственной тайне» правом утверждать перечень сведений, отнесенных к государственной тайне, а также перечень должностных лиц органов государственной власти и уп­равления, имеющих эти полномочия, наделен Президент РФ.

В настоящее время применяющаяся в нашей стране перечневая форма засекречивания информации иногда подвергается критике.

Организационные и технические способы защиты государственной тайны

Основными организационными и техническими способами, используемыми в защите государственной тайны, являются: скры­тие, ранжирование, дробление, учет, дезинформация, морально- нравственные меры, кодирование и шифрование.

Скрытие как метод защиты информации является в основе своей реализацией на практике одного из основных организационных принципов защиты информации — максимального ограничения числа лиц, допускаемых к секретам. Реализация этого метода до­стигается обычно путем:

засекречивания информации, т.е. отнесения ее к секретной или конфиденциальной информации различной степени секрет­ности и ограничения в связи с этим доступа к этой информации в зависимости от ее важности для собственника, что проявляется в проставляемом на носителе этой информации грифе секретности;

устранения или ослабления технических демаскирующих при­знаков объектов защиты и технических каналов утечки сведений о них.

Скрытие — один из наиболее общих и широко применяемых методов защиты информации.

Ранжирование как метод защиты информации включает, во- первых, деление засекречиваемой информации по степени сек­ретности и, во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации: предоставление индивиду­альных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных опера­ций. Разграничение доступа к информации может осуществляться по тематическому признаку или по признаку секретности инфор­мации и определяется матрицей доступа.

Ранжирование как метод защиты информации является част­ным случаем метода скрытия: пользователь не допускается к ин­формации, которая ему не нужна для выполнения его служебных функций, и тем самым эта информация скрывается от него и всех остальных (посторонних) лиц.

Дезинформация — один из методов защиты информации, за­ключающийся в распространении заведомо ложных сведений от­носительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной де­ятельности.

Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или ис­кажением признаков и свойств отдельных элементов объектов за­щиты, создания ложных объектов, по внешнему виду или прояв­лениям похожих на интересующие соперника объекты, и др.

Дробление (расчленение) информации на части с таким услови­ем, что знание какой-то одной части информации (например, зна­ние одной операции технологии производства какого-то продукта) не позволяет восстановить всю картину, всю технологию в целом.

Применяется достаточно широко при производстве средств во­оружения и военной техники, а также при производстве товаров народного потребления.

Морально-нравственные способы защиты информации. Морально-нравственные методы защиты информации предпола­гают прежде всего воспитание сотрудника, допущенного к секре­там, т.е. проведение специальной работы, направленной на фор­мирование у него системы определенных качеств, взглядов и убеж­дений (патриотизма, понимания важности и полезности защиты информации и для него лично), и обучение сотрудника, осве­домленного в сведениях, составляющих охраняемую тайну, пра­вилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информа­ции.

Учет также является одним из важнейших методов защиты ин­формации, обеспечивающим возможность получения в любое время данных о любом носителе защищаемой информации, о количе­стве и местонахождении всех носителей засекреченной информа­ции, а также данные о всех пользователях этой информации. Без учета решать проблемы было бы невозможно, особенно когда ко­личество носителей превысит какой-то минимальный объем.

Принципы учета засекреченной информации:

обязательность регистрации всех носителей защищаемой информации;

однократность регистрации конкретного носителя такой информации;

указание в учетах адреса, где находится в данное время дан­ный носитель засекреченной информации;

единоличная ответственность за сохранность каждого носи­теля защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации.

Кодирование — метод защиты информации, преследующий цель скрыть от соперника содержание защищаемой информации и за­ключающийся в преобразовании с помощью кодов открытого тек­ста в условный при передаче информации по каналам связи, на­правлении письменного сообщения, когда есть угроза, что оно может попасть в руки соперника, а также при обработке и хране­нии информации в средствах вычислительной техники (СВТ).

Для кодирования используются обычно совокупность знаков (символов, цифр и др.) и система определенных правил, при по­мощи которых информация может быть преобразована (закодиро­вана) таким образом, что прочесть ее можно будет только если потребитель располагает соответствующим ключом (кодом) для ее раскодирования. Кодирование информации может производиться с использованием технических средств или вручную.

Шифрование — метод защиты информации, используемый чаще при передаче сообщений с помощью различной радиоаппарату­ры, направлении письменных сообщений и в других случаях, ког­да есть опасность перехвата этих сообщений соперником. Шифро­вание заключается в преобразовании открытой информации в вид, исключающий понимание его содержания, если перехвативший не имеет сведений (ключа) для раскрытия шифра.

Шифрование может быть предварительное (шифруется текст документа) и линейное (шифруется разговор). Для шифрования информации может использоваться специальная аппаратура.

Знание возможностей приведенных методов позволяет активно и комплексно применять их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защи­ты секретной информации.

Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности РФ.

Положения Закона обязательны для исполнения на территории РФ и за ее пределами органами представительной, исполнительной и судебной властей, МСУ, предприятиями, учреждениями и организациями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами РФ, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства РФ о государственной тайне.

Под государственной тайной понимаются защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.

Определены полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты. Самостоятельный раздел Закона закрепляет перечень сведений, которые могут быть отнесены к государственной тайне.

Засекречивание сведений и их носителей — это введение для сведений, составляющих государственную тайну, ограничений на их распространение и на доступ к их носителям. Оно осуществляется в соответствии с принципами законности, обоснованности и своевременности. Определены сведения, не подлежащие засекречиванию (о чрезвычайных происшествиях и катастрофах, о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, преступности и др.).

Устанавливаются три степени секретности и соответствующие этим степеням грифы секретности для носителей сведений: «особой важности», «совершенно секретно» и «секретно».

Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью руководителями органов государственной власти в соответствии с Перечнем должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, утверждаемым Президентом РФ. Для осуществления единой государственной политики в области засекречивания сведений межведомственная комиссия по защите государственной тайны формирует Перечень сведений, отнесенных к государственной тайне.

Рассмотрены вопросы ограничения прав собственности предприятий, учреждений, организаций и граждан РФ на информацию в связи с ее засекречиванием, порядка засекречивания сведений и их носителей, реквизитов носителей сведений, составляющих государственную тайну.

Законом регламентирован и порядок рассекречивания сведений и их носителей — снятия ранее введенных ограничений на распространение сведений, составляющих государственную тайну, и на доступ к их носителям. Основаниями для рассекречивания сведений являются: взятие на себя РФ международных обязательств по открытому обмену сведениями, составляющими в РФ государственную тайну; изменение объективных обстоятельств, вследствие которого дальнейшая защита сведений, составляющих государственную тайну, является нецелесообразной. Закреплены положения о распоряжения сведениями, составляющими государственную тайну.

Определены органы защиты государственной тайны. Допуск должностных лиц и граждан РФ к государственной тайне осуществляется в добровольном порядке. Допуск лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне осуществляется в порядке, устанавливаемом Правительством РФ.

Устанавливается три формы допуска к государственной тайне: к сведениям особой важности, совершенно секретным или секретным. Наличие у должностных лиц и граждан допуска к сведениям более высокой степени секретности является основанием для доступа их к сведениям более низкой степени секретности.

Определены основания для отказа в допуске к государственной тайне, условия прекращения допуска. Рассмотрены вопросы ограничения прав лиц, допущенных или ранее допускавшихся к государственной тайне, организации доступа к таким сведениям и ответственности за нарушение законодательства о государственной тайне.

Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Координация работ по организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.

Финансирование деятельности органов государственной власти, бюджетных предприятий, учреждений и организаций и их структурных подразделений по защите государственной тайны осуществляется за счет средств соответствующих бюджетов, а остальных предприятий, учреждений и организаций — за счет средств, получаемых от их основной деятельности при выполнении работ, связанных с использованием сведений, составляющих государственную тайну.

За обеспечением защиты государственной тайны предусмотрены парламентский, межведомственный и ведомственный контроль, а также прокурорский надзор.

Криптографические методы защиты информации

Лекции

1. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗАЩИТЫ ИНФОРМАЦИИ

1.1. Информация и информационная безопасность.

1.2. Основные составляющие информационной безопасности.

1.3. Объекты защиты.

1.4. Категории и носители информации.

1.5. Средства защиты информации.

1.6. Способы передачи конфиденциальной информации на расстоянии.

Вопросы для самопроверки.

1.1. Информация и информационная безопасность

Информация (лат. informatio — разъяснение, изложение), первоначально — сведения, передаваемые людьми устным, письменным или другим способом с помощью условных сигналов, технических средств и т.д. С середины 20-го века информация является общенаучным понятием, включающим в себя:

— сведения, передаваемые между людьми, человеком и автоматом, автоматом и автоматом;

— сигналы в животном и растительном мире;

— признаки, передаваемые от клетки к клетке, от организма к организму;

— и т.д.

Другими словами, информация носит фундаментальный и универсальный характер, являясь многозначным понятием. Эту мысль можно подкрепить словами Н. Винера (отца кибернетики): «Информация есть информация, а не материя и не энергия».

Согласно традиционной философской точке зрения, информация существует независимо от человека и является свойством материи. В рамках рассматриваемой дисциплины, под информацией (в узком смысле) мы будем понимать сведения, являющиеся объектом сбора, хранения, обработки, непосредственного использования и передачи в информационных системах1.

Опираясь на это определение информации, рассмотрим понятия информационной безопасности и защиты информации.

В Доктрине информационной безопасности Российской Федерации под термином информационная безопасность понимается состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В более узком смысле, под информационной безопасностью мы будем понимать состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера (информационных угроз, угроз информационной безопасности), которые могут нанести неприемлемый ущерб субъектам информационных отношений .

Защита информации – комплекс правовых, организационных и технических мероприятий и действий по предотвращению угроз информационной безопасности и устранению их последствий в процессе сбора, хранения, обработки и передачи информации в информационных системах.

Важно отметить, что информационная безопасность – это одна из характеристик информационной системы, т.е. информационная система на определенный момент времени обладает определенным состоянием (уровнем) защищенности, а защита информации – это процесс, который должен выполняться непрерывно на всем протяжении жизненного цикла информационной системы2.

Рассмотрим более подробно составляющие этих определений.

Под субъектами информационных отношений понимаются как владельцы, так и пользователи информации и поддерживающей инфраструктуры .

К поддерживающей инфраструктуре относятся не только компьютеры, но и помещения, системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал.

Ущерб может быть приемлемым или неприемлемым. Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений .

Информационная угроза – потенциальная возможность неправомерного или случайного воздействия на объект защиты, приводящая к потере, искажению или разглашению информации.

Таким образом, концепция информационной безопасности, в общем случае, должна отвечать на три вопроса:

— Что защищать?

— От чего (кого) защищать?

— Как защищать?

1Информационная система (автоматизированная информационная система) — это совокупность технических (аппаратных) и программных средств, а также работающих с ними пользователей (персонала), обеспечивающая информационную технологию выполнения установленных функций.

2Жизненный цикл информационной системы – непрерывный процесс, начинающийся с момента принятия решения о создании информационной системы и заканчивающийся в момент полного изъятия ее из эксплуатации.

1.2. Основные составляющие информационной безопасности

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие составляющие: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих информационной безопасности включают защиту от несанкционированного доступа (НСД) к информации, под которым понимают доступ к информации, нарушающий правила разграничения доступа с использование штатных средств3. В то же время обеспечение конфиденциальности как раз и подразумевает защиту от НСД.

Дадим определения основных составляющих информационной безопасности .

Доступность информации – свойство системы обеспечивать своевременный беспрепятственный доступ правомочных (авторизованных) субъектов к интересующей их информации или осуществлять своевременный информационный обмен между ними. Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

Целостность информации – свойство информации, характеризующее ее устойчивость к случайному или преднамеренному разрушению или несанкционированному изменению. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций4)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений. Целостность оказывается важнейшим аспектом информационной безопасности в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным.

Конфиденциальность информации – свойство информации быть известной и доступной только правомочным субъектам системы (пользователям, программам, процессам). Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения? Наконец, конфиденциальная информация есть как у организаций, так и отдельных пользователей.

Из всего выше приведенного следует два следствия.

1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные заведения. В первом случае «пусть лучше все сломается, чем враг узнает хотя бы один секрет», во втором – «да нет у нас никаких секретов, лишь бы все работало».

2. Информационная безопасность не сводится исключительно к защите от НСД к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от НСД, но и от поломки системы, вызвавшей перерыв в работе.

3Штатные средства — совокупность программного и аппаратного обеспечения рассматриваемой информационной системы.

4Транзакция — одно действие или их последовательность, выполняемых одним или несколькими пользователями (прикладными программами) с целью осуществления доступа или изменения информации, воспринимаемых как единое целое и переводящих ее из одного непротиворечивого (согласованного) состояния в другое непротиворечивое состояние.

1.3. Объекты защиты

Основными объектами защиты при обеспечении информационной безопасности являются:

— все виды информационных ресурсов. Информационные ресурсы (документированная информация) — информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать;

— права граждан, юридических лиц и государства на получение, распространение и использование информации;

— система формирования, распространения и использования информации (информационные системы и технологии, библиотеки, архивы, персонал, нормативные документы и т.д.);

— система формирования общественного сознания (СМИ, социальные институты и т.д.).

1.4. Категории и носители информации

Неотъемлемой частью любой информационной системы является информация. По характеру ограничений (реализации) конституционных прав и свобод в информационной сфере выделяют четыре основных вида правовой (регламентированной законами) информации:

— информация с ограниченным доступом;

— информация без права ограничения;

— иная общедоступная информация (например, за деньги);

— информация, запрещенная к распространению.

Информация с ограниченным доступом делится на государственную тайну и конфиденциальную.

К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ. Владельцем государственной тайны является само государство. Требования по защите этой информации и контроль за их соблюдением регламентируются законом РФ «О государственной тайне» . В нем законодательно установлен Перечень сведений, сопоставляющих государственную тайну, и круг сведений, не подлежащих к отнесению к ней. Предусмотрена судебная защита прав граждан в связи с необоснованным засекречиванием. Определены органы защиты государственной тайны:

— межведомственная комиссия по защите государственной тайны;

— федеральные органы исполнительной власти, уполномоченные в области:

— обеспечения безопасности — Федеральная служба по техническому и экспортному контролю (ФСТЭК);

— обороны – Министерство обороны;

— внешней разведки – Федеральная служба безопасности (ФСБ обеспечивает, в т.ч. криптографическую защиту);

— противодействия техническим разведкам и технической защиты информации – ФСТЭК;

— другие органы.

Конфиденциальная информация – документированная информация, правовой режим которой установлен специальными нормами действующего законодательства в области государственной, коммерческой, промышленной и другой общественной деятельности. Этой информацией владеют различные учреждения, организации и отдельные индивидуумы. В Указе Президента РФ «Перечень сведений конфиденциального характера» конфиденциальная информация разбита на семь видов:

— персональные данные;

— тайна следствия и судопроизводства;

— служебная тайна — служебная информация ограниченного распространения о госорганах или подведомственных им организациях, а также информация, получаемая из внешних источников работниками госорганов при исполнении обязанностей;

— профессиональная тайна — информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.);

— коммерческая тайна — научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам;

— сведения о сущности изобретения, полезной модели или промышленного образца по официальной публикации информации о них;

— сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.

Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Несмотря на то, что это информация ограниченного доступа, она является полностью открытой для субъекта персональных данных. Только сам субъект решает вопрос о передаче, обработке и использовании своих персональных данных, а также определяет круг субъектов, которым эти данные могут быть сообщены. Некоторая часть персональных данных может не иметь режима защиты, являясь общеизвестными (например, фамилия, имя и отчество). В Законе РФ «О персональных данных» выделены следующие права субъектов персональных данных (кроме некоторых категорий граждан: владеющих государственной тайной, осужденных и т.д.):

— информационное самоопределение;

— доступ к своим персональным данным;

— внесение изменений в свои персональные данные;

— блокирование персональных данных;

— обжалование неправомерных действий в отношении персональных данных;

— возмещение ущерба.

В статье 24 Конституции РФ предусмотрена защита некоторой части персональных данных — «1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются».

Государственные органы и организации, органы местного самоуправления имеют право на работу с персональными данными в пределах своей компетенции, установленной действующим законодательством, или на основании лицензии. В последнем случае с ними могут работать также негосударственные юридические и физические лица.

В статье 7 Закона РФ «О государственной тайне» определен перечень сведений, не подлежащих отнесению к государственной тайне и засекречиванию (информация без права ограничения):

— о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;

— о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;

— о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;

— о фактах нарушения прав и свобод человека и гражданина;

— о размерах золотого запаса и государственных валютных резервах Российской Федерации;

— о состоянии здоровья высших должностных лиц Российской Федерации;

— о фактах нарушения законности органами государственной власти и их должностными лицами.

Должностные лица, принявшие решения о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба. Граждане вправе обжаловать такие решения в суд.

В ряде статей Конституции РФ также прописан беспрепятственный доступ граждан и их объединений к общественно значимой информации:

— статья 24 — «2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом»;

— статья 42 — «Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением».

Информация, запрещенная к распространению, определена в многочисленных нормативных документах. В частности:

— статья 29 Конституции РФ — «2. Не допускаются пропаганда или агитация, возбуждающие социальную, расовую, национальную или религиозную ненависть и вражду. Запрещается пропаганда социального, расового, национального, религиозного или языкового превосходства»;

— Кодекс Российской Федерации об административных правонарушениях:

— статья 5.61 «Оскорбление»;

— статья 5.62 «Дискриминация»;

— статья 6.13 «Пропаганда наркотических средств, психотропных веществ или их прекурсоров, растений, содержащих наркотические средства или психотропные вещества либо их прекурсоры, и их частей, содержащих наркотические средства или психотропные вещества либо их прекурсоры, новых потенциально опасных психоактивных веществ;

— статья 6.17 «Нарушение законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию»;

— статья 6.21 «Пропаганда нетрадиционных сексуальных отношений среди несовершеннолетних»;

— статья 6.26 «Организация публичного исполнения произведения литературы, искусства или народного творчества, содержащего нецензурную брань, посредством проведения театрально-зрелищного, культурно-просветительного или зрелищно-развлекательного мероприятия»;

— статья 14.48 «Представление недостоверных результатов исследований (испытаний)»;

— статья 17.9 «Заведомо ложные показание свидетеля, пояснение специалиста, заключение эксперта или заведомо неправильный перевод»;

— статья 20.3 «Пропаганда либо публичное демонстрирование нацистской атрибутики или символики, либо атрибутики или символики экстремистских организаций, либо иных атрибутики или символики, пропаганда либо публичное демонстрирование которых запрещены федеральными законами»;

— статья 20.29 «Производство и распространение экстремистских материалов»;

— и другие;

— Уголовный кодекс Российской Федерации:

— статья 110 «Доведение до самоубийства» — «д) в публичном выступлении, публично демонстрирующемся произведении, средствах массовой информации или информационно-телекоммуникационных сетях (включая сеть «Интернет»)»;

— статья 119 «Угроза убийством или причинением тяжкого вреда здоровью»;

— статья 128.1 «Клевета»;

— статья 142 «Фальсификация избирательных документов, документов референдума»;

— статья 155 «Разглашение тайны усыновления (удочерения)»;

— статья 172.1 «Фальсификация финансовых документов учета и отчетности финансовой организации»;

— статья 205.2 «Публичные призывы к осуществлению террористической деятельности, публичное оправдание терроризма или пропаганда терроризма»;

— статья 207 «Заведомо ложное сообщение об акте терроризма»;

— статья 217.2 «Заведомо ложное заключение экспертизы промышленной безопасности»;

— статья 242 «Незаконные изготовление и оборот порнографических материалов или предметов»;

— статья 280 «Публичные призывы к осуществлению экстремистской деятельности»;

— статья 303 «Фальсификация доказательств и результатов оперативно-розыскной деятельности»;

— статья 306 «Заведомо ложный донос»;

— статья 307 «Заведомо ложные показание, заключение эксперта, специалиста или неправильный перевод»;

— статья 319 «Оскорбление представителя власти»;

— статья 354 «Публичные призывы к развязыванию агрессивной войны»;

— статья 354.1 «Реабилитация нацизма»;

— и другие.

Основными носителями информации являются:

— открытая печать (газеты, журналы, отчеты, реклама и т.д.);

— люди;

— средства связи (радио, телевидение, телефон, пейджер и т.д.);

— документы (официальные, деловые, личные и т.д.);

— электронные, магнитные и другие носители, пригодные для автоматической обработки данных.

1.5. Средства защиты информации

Принято различать следующие средства защиты:

Рис.1.1. Классификация средств защиты

I. Формальные средства защиты – выполняют защитные функции строго по заранее предусмотренной процедуре без участия человека.

Физические средства — механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно от информационных систем, создавая различного рода препятствия на пути дестабилизирующих факторов (замок на двери, жалюзи, забор, экраны).

Аппаратные средства — механические, электрические, электромеханические, электронные, электронно-механические, оптические, лазерные, радиолокационные и тому подобные устройства, встраиваемые в информационных системах или сопрягаемые с ней специально для решения задач защиты информации.

Программные средства — пакеты программ, отдельные программы или их части, используемые для решения задач защиты информации. Программные средства не требуют специальной аппаратуры, однако они ведут к снижению производительности информационных систем, требуют выделения под их нужды определенного объема ресурсов и т.п.

К специфическим средствам защиты информации относятся криптографические методы. В информационных системах криптографические средства защиты информации могут использоваться как для защиты обрабатываемой информации в компонентах системы, так и для защиты информации, передаваемой по каналам связи. Само преобразование информации может осуществляться аппаратными или программными средствами, с помощью механических устройств, вручную и т.д.

II. Неформальные средства защиты – регламентируют деятельность человека.

Законодательные средства – законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Распространяются на всех субъектов информационных отношений. В настоящее время отношения в сфере информационной безопасности регулируются более чем 80 законами и нормативными документами, иногда достаточно противоречивыми.

Организационные средства — организационно-технические и организационно-правовые мероприятия, осуществляемые в течение всего жизненного цикла защищаемой информационной системы (строительство помещений, проектирование информационных систем, монтаж и наладка оборудования, испытания и эксплуатация информационных систем). Другими словами – это средства уровня организации, регламентирующие перечень лиц, оборудования, материалов и т.д., имеющих отношение к информационным системам, а также режимов их работы и использования. К организационным мерам также относят сертификацию информационных систем или их элементов, аттестацию объектов и субъектов на выполнение требований обеспечения безопасности и т.д.

Морально-этические средства — сложившиеся в обществе или в данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение приравнивается к несоблюдению правил поведения в обществе или коллективе, ведет к потере престижа и авторитета. Наиболее показательные пример – кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

1.6. Способы передачи конфиденциальной информации на расстоянии

Способов передачи конфиденциальной информации на расстоянии существует множество, среди которых можно выделить три основных направления .

1. Создать абсолютно надежный, недоступный для других канал связи между абонентами.

2. Использовать общедоступный канал связи, но скрыть сам факт передачи информации.

3. Использовать общедоступный канал связи, но передавать по нему нужную информацию в таком преобразованном виде, чтобы восстановить ее мог только адресат.

Проанализируем эти возможности.

1. С древних времен практиковалась охрана документа (носителя информации) физическими лицами, передача его специальным курьером (человеком (дипломатом) или животным (голубиная почта)) и т.д. Но, документ можно выкрасть, курьера можно перехватить, подкупить, в конце концов, убить. В настоящий момент для реализации данного механизма защиты используются современные телекоммуникационные каналы связи. Однако следует заметить, что данный подход требует значительных капитальных вложений. При современном уровне развития науки и техники сделать такой канал связи между удаленными абонентами для многократной передачи больших объемов информации практически нереально.

2. Разработкой средств и методов скрытия факта передачи сообщения занимается стеганография. Первые следы стеганографических методов теряются в глубокой древности. Так, в трудах древнегреческого историка Геродота встречается описание двух методов сокрытия информации: на обритую голову раба записывалось необходимое сообщение, а когда его волосы отрастали, он отправлялся к адресату, который вновь брил его голову и считывал доставленное сообщение. Второй способ заключался в следующем: сообщение наносилось на деревянную дощечку, а потом она покрывалась воском, и, тем самым, не вызывала никаких подозрений. Потом воск соскабливался, и сообщение становилось видимым. В настоящий момент стеганографические методы в совокупности с криптографическими нашли широкое применение в целях сокрытия и передачи конфиденциальной информации.

3. Разработкой методов преобразования информации с целью ее защиты от несанкционированного прочтения занимается криптография.

Вопросы для самопроверки

1. Дайте определение понятиям: «информация», «информационная безопасность», «защита информации», «информационная угроза».

2. Дайте характеристику основным составляющим информационной безопасности.

3. Перечислите основные объекты защиты.

4. Дайте характеристику понятиям «государственная тайна», «конфиденциальная информация» и «персональные данные».

5. Дайте характеристику средствам защиты информации.

6. Перечислите способы тайной передачи информации на расстоянии.