30201

Общая классификация вторжений и характеристика угроз

Курсовая

Информатика, кибернетика и программирование

3] Правовая защита Защита информации Возросший интерес к проблеме защиты информации основан на объективных процессах создания и сбора информации и информационного обмена. Угроза искажения информации существует в любой точке сети начиная от места ввода в сеть сообщения и до места его получения. Проблемы защиты информации затрагивают различные аспекты ее представления хранения и обработки а также вопросы выбора и реализации средств защиты.

Русский

2013-08-23

136.5 KB

11 чел.

1818

Оглавление

[1] Защита информации

[1.1] Информация как продукт

[1.2] Концепция защищенной ВС

[1.2.1] Основные понятия

[1.2.2] Общая классификация вторжений и
характеристика угроз

[1.2.3] Система защиты

[1.2.4] Службы и механизмы безопасности в сетях

[1.3] Правовая защита


Защита информации

Возросший интерес к проблеме защиты информации основан на объективных процессах создания и сбора информации и информационного обмена.

Современные ВС представляет собой географически распределенные системы, включающие различные типы компьютеров и других устройств, объединяющие большое число объектов (отдельных компьютеров и локальных сетей). Возможность подключения к ВС через сеть индивидуальных пользователей усиливает угрозу. Угроза искажения информации существует в любой точке сети, начиная от места ввода в сеть сообщения и до места его получения. Неправильное функционирование ВС может вызвать гибельные последствия для ее владельцев и пользователей.

Сетевая структура ВС приводит к росту сложности ВС. Как следствие этого, контроль всех объектов и выполняемых операций в каждый момент времени обычными средствами становится практически невозможным.

Большое число различных компонентов (ресурсов и пользователей), сложность операций в современных ВС создают привлекательную среду для различного рода вторжений и несанкционированных операций. Это означает, что защита становится важным аспектом функционирования любой вычислительной системы.

Проблемы защиты информации затрагивают различные аспекты ее представления, хранения и обработки, а также вопросы выбора и реализации средств защиты. Система мер защиты информации требует комплексного подхода к решению вопросов защиты и включает не только применение технических и программных средств, но и использование организационно-правовых мер защиты. Соответствующие программно-технические средства защиты (электронные замки, средства аппаратуры ВС, ограничивающие доступ к вычислительной системе, средства предупреждения, схемы защиты операционной системы, СУБД или конкретного приложения, пароли и т.п.) должны быть поддержаны мерами организационного характера и правовыми актами.

Информация как продукт

Как и всякий продукт, информация имеет потребителей, нуждающихся в ней, и поэтому обладает определенными потребительскими качествами, а также имеет своих обладателей (владельцев).

С точки зрения потребителя качество используемой при управлении производством информации позволяет получить дополнительный экономический или социальный эффект.

Наиболее важными в практическом плане свойствами информации являются ценность (возможность обеспечения достижения цели, поставленной перед потребителем информации с ее помощью), достоверность (безошибочность и истинность данных) и своевременность (соответствие ценности и достоверности определенному временному периоду). Именно эти свойства определяют эффективность принимаемых на основе информации решений.

С точки зрения обладателя информации сохранение в тайне коммерчески важной конфиденциальной информации и, наоборот, обеспечение беспрепятственного оперативного санкционированного доступа к достоверной информации, необходимой для обеспечения бесперебойного функционирования предприятия и принятия решений позволяют успешно конкурировать на рынке производства и сбыта товаров и услуг.

В современных условиях развивается электронная коммерция, использующая технологии Internet, что еще более повышает роль средств защиты информации при организации ее хранения и обработки в ВС и передаче по линиям связи.

Комплексное рассмотрение вопросов обеспечения безопасности ВС отражается в архитектуре безопасности, в рамках которой рассматриваются вопросы существующих угроз безопасности, услуги (службы) и конкретные механизмы ее обеспечения.

Концепция защищенной ВС

Создание ВС порождает проблемы, связанные с ее функционированием и возможными угрозами вторжения. Потребность обеспечения надежности вычислительных услуг, целостности, конфиденциальности и доступности информации приводит к необходимости и целесообразности включения функций защиты в число обязательных функций вычислительной системы.

Организация защиты ВС требует определения потенциальных угроз, которым может быть подвержена система. Для классификации возможных угроз и создания списка требований, которым должна удовлетворять система защиты, введем определения

Основные понятия

Объект является основным понятием ВС. Он включает ресурсы ВС и ее пользователей.

В состав ресурсов ВС входят все компоненты ВС, ее аппаратное и программное обеспечение. Понятие ресурса распространяется и на такие компоненты ВС, как процедуры, протоколы, управляющие структуры и т.п.

Пользователи ВС – это, прежде всего, люди, которые используют ресурсы ВС, имея к ним доступ через терминалы или рабочие станции. Процессы, выполняемые на отдельных ВС в составе сети, также относят к категории пользователей сети. К пользователям сети, таким образом, можно отнести все активные компоненты сети.

Защита информации на всех стадиях ее передачи в ВС и обработки должна касаться прежде всего защиты ее содержания.

Целостность ресурсов ВС предполагает выполнение следующих условий:

все ресурсы ВС всегда доступны ее пользователям, независимо от возможных неисправностей технических средств или качества программного обеспечения, а также несанкционированных действий (это условие – условие обеспечения защиты от потери данных);

наиболее важные ресурсы всегда доступны независимо от попыток их разрушения (условие защиты от разрушения данных).

Надежность ВС – это уверенность в функционировании ее компонентов и доступности ее ресурсов, в выполнении возлагаемых на нее функций. Надежная ВС гарантирует обеспечение доступа к ВС, ее услугам и правильность ее функционирования в произвольный момент времени.

Безопасность ресурсов ВС означает, что все операции с этими ресурсами выполняются по строго определенным правилам и инструкциям. Система не должна допускать возможности нарушения этих правил.

Пользователи (субъекты) ВС получают доступ к ее ресурсам в соответствии с определенными правилами. Отдельные субъекты могут обладать дополнительными правами. Право владения ресурсами ВС есть право отдельных субъектов ВС распоряжаться принадлежащей им информацией (ее сбором, хранением, использованием и распространением).

Эти основные понятия, связанные с функционированием сети (надежность функционирования, целостность информации, безопасность и право владения ресурсами), составляют основу защищенности среды, поддерживаемой ВС. Дополняя их такими характеристиками, как устойчивость, верифицируемость и т.п., можно сформулировать общую концепцию защищенной ВС.

ВС можно считать защищенной, если все операции в ней выполняются в соответствии со строго определенными правилами, которые обеспечивают непосредственную защиту объектов ВС и операций в ней.

Понятие объекта включает ресурсы ВС (все ее компоненты, информация, аппаратное и программное обеспечение) и пользователей.

Все объекты ВС должны быть зарегистрированы в ней. Для всех информационных ресурсов должен быть определен порядок работы с ними, допустимые операции. Система защиты должна обеспечивать контроль доступа к данным и их защиту. Все пользователи, пытающиеся получить доступ к информации должны себя идентифицировать определенным способом.

Общая классификация вторжений и
характеристика угроз
 

Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов ВС, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Угрозы (вторжения) принято делить на случайные (или непреднамеренные) и умышленные.

Источником случайных угроз, возникающих при работе ВС, могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей, операторов или администрации ВС и т.п.

Умышленные угрозы в отличие от случайных преследуют определенные цели, связанные с нанесением ущерба пользователям (абонентам) сети. Они в свою очередь подразделяются на активные и пассивные.

При пассивном вторжении злоумышленник только наблюдает за прохождением и обработкой информации, не вторгаясь в информационные потоки. Эти вторжения, как правило, направлены на несанкуионированное использование информационных ресурсов ВС, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является, например, получение информации, передаваемой по каналам связи путем их прослушивания. При этом нарушитель выполняет анализ потока сообщений (трафика), фиксирует идентификаторы, пункты назначений, длину сообщений, частоту и время обменов.

Активные вторжения нарушают нормальное функционирование ВС, вносят несанкционированные изменения в информационные потоки, в хранимую и обрабатываемую информацию. Эти угрозы реализуются посредством целенаправленного воздействия на ее аппаратные, программные и информационные ресурсы. К активным вторжениям относятся, например, разрушение или радиоэлектронное подавление линий связи ВС, вывод из строя ЭВМ, подключенных в сети, или ее операционной системы, искажение информации в пользовательских базах данных или системных структурах данных и т.п. Информация, существующая в ВС, может быть выборочно модифицирована, уничтожена, к ней могут быть добавлены недостоверные данные. Нарушитель может также задержать или изменить порядок следования сообщений, аннулировать или блокировать все сообщения, передаваемые в сети.

Источниками этих угроз могут быть непосредственные действия злоумышленников или программные вирусы и т.п.

В общем случае пассивные вторжения легче предотвратить, но сложнее выявить, в то время как активные вторжения легко выявить, но сложно предотвратить.

Список угроз, которым подвергаются объекты ВС и выполняемые ими операции, то, каким способом и при каких обстоятельствах возможны вторжения, определяет основу для формирования требований к системе защиты (рис.1).

Если требования к защите ВС сформулированы, могут быть определены соответствующие правила обеспечения защиты. А эти правила, в свою очередь, определяют необходимые функции и средства защиты.

Таким образом, первый шаг по организации защиты информации состоит в определении требований к ВС. Этот этап включает:

анализ уязвимых элементов ВС (возможные сбои оборудования и ошибочные операции, выполняемые пользователями, кража магнитных носителей и несанкционированное копирование и передача данных, умышленное искажение информации или ее уничтожение и т.п.);

оценку угроз (выявление проблем, которые могут возникнуть из-за наличия уязвимых элементов);

анализ риска (прогнозирование возможных последствий, которые могут вызвать эти проблемы).

Из рис.1 видны следующие основные пути несанкционированного вмешательства в работу ВС:

  •  перехват электронных излучений;
  •  принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;
  •  применение подслушивающих устройств;
  •  дистанционное фотографирование;
  •  перехват акустических излучений и восстановление текста принтера;
  •  хищение носителей информации и производственных отходов;
  •  считывание данных в массивах других пользователей;
  •  чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
  •  копирование носителей информации с преодолением средств из защиты;
  •  маскировка под зарегистрированного пользователя;
  •  мистификация (маскировка под запросы системы);
  •  использование программных ловушек;
  •  использование недостатков систем программирования о операционных систем;
  •  включение в библиотеки программ специальных блоков типа "троянский конь";

  •  незаконное подключение к аппаратуре и линиям связи;
  •  вывод из строя механизмов защиты;
  •  внедрение и использование компьютерных вирусов.

Применение вирусов представляет особую опасность, так как существует и появляется вновь большое число их модификаций.

Другие пути несанкционированного доступа поддаются блокировке при правильно разработанной и поддерживаемой системе защиты.

К основным угрозам безопасности относятся:

  •  отказ в обслуживании;
  •  ошибочное или несанкционированное использование ресурсов ВС (включая информационные), в частности:
  •  несанкционированный обмен информацией;
  •  раскрытие конфиденциальной информации;
  •  компрометация информации;
  •  отказ от информации.

Определенные виды вторжений предполагают существование связи между двумя объектами в ВС. Первоначальное соединение может быть установлено с соблюдением всех правил защиты, с проверкой подлинности участников и контролем продолжительности соединения.

Вторжение в процедуру инициализации соединения предполагает подмену текущей процедуры установления связи другой, предварительно скопированной. Такое вторжение называется ложной инициализацией соединения.

Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов сети, перехват сообщений и т.п.

Компрометация информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления сделанных изменений и восстановления истинных сведений.

Несанкционированное использование ресурсов ВС, с одной стороны, является средством доступа к информации с целью ее получения или искажения, а с другой стороны – имеет самостоятельное значение, так как нарушитель, используя ресурсы, сокращает поступление финансовых средств за их использование.

Ошибочное использование ресурсов может привести к их разрушению или раскрытию конфиденциальной информации. Данная угроза чаще всего является следствием ошибок программного обеспечения.

Несанкционированный обмен информацией между абонентами ВС может привести к получению одним из них сведений, доступ к которым ему закрыт, что равносильно раскрытию информации.

Отказ от информации состоит в непризнании получателем или отправителем этой информации факта ее получения или отправления соответственно. Это позволяет, в частности, одной из сторон расторгнуть соглашение "техническим" путем, формально не отказываясь от них.

Отказ в обслуживании опасен в ситуациях, когда задержка с предоставлением ресурсов ВС ее пользователю может привести к тяжелым последствиям. Источником этой угрозы является сама ВС, возможные отказы аппаратуры или ошибки в программном обеспечении.

Система защиты

В соответствии с составленным списком и оценками угроз и рисков формулируются правила использования информационных ресурсов и выполнения операций в ВС.

Совокупность механизмов защиты, удовлетворяющих сформулированным требованием и реализующих соответствующие правила, обеспечивает безопасность и надежность ВС, ее информационных ресурсов. Чем выше уровень требований, тем более защищенной оказывается ВС. Однако при построении защищенной ВС следует соблюдать баланс между полученными оценками угроз и рисков и стоимостью используемых механизмов защиты. Поэтому на второй стадии определения способов защиты решаются следующие вопросы:

  •  какие угрозы должны быть устранены и в какой мере;
  •  какие ресурсы должны быть защищены и в какой степени;
  •  с помощью каких средств должна быть реализована защита;
  •  каковы должны быть полная стоимость реализации системы защиты и затраты на ее эксплуатацию с учетом потенциальных угроз.

ВС должна обеспечивать защиту ресурсов, прав пользователей ВС. Линии связи, по которым передаются данные, являются уязвимым компонентом ВС, поэтому они тоже требуют защиты. Программное обеспечение, по управлением которого функционирует ВС, также должно быть защищено.

Все средства защиты ВС могут быть отнесены к одной из следующих групп:

защита объектов ВС;

защита линий связи;

защита баз данных;

защита подсистемы управления ВС.

Понятие защиты ВС включает многие компоненты, свойства.

Под системой защиты можно понимать совокупность средств и технических приемов, обеспечивающих защиту компонентов ВС, минимизацию риска, которому могут быть подвержены ее ресурсы и пользователи. Они представляют собой комплекс процедурных, логических и физических мер, направленных на предотвращение, выявление и устранение сбоев, отказав и ошибок, несанкционированного доступа в вычислительную систему.

Третья стадия разработки системы защиты – определение функций, процедур и средств защиты, реализуемых ее механизмами. Причем, реализация защиты предполагает не только ее разработку, но и дополнительные действия по обеспечению их поддержки, относящихся к функции управления защитой.

Управление защитой – это контроль за распределением информации в открытых системах. Он осуществляется для обеспечения функционирования средств и механизмов защиты, фиксации выполняемых функций и состояний механизмов защиты и фиксации событий, связанных с нарушением защиты. Интегрированная система защиты может быть определена в виде списка функций, процедур и средств защиты.

Службы и механизмы безопасности в сетях 

Службы безопасности специфицируют направления нейтрализации перечисленных выше или каких-либо других возможных угроз.

В рамках идеологии открытых систем службы и механизмы безопасности могут использоваться на любом уровне эталонной модели взаимодействия открытых систем (от физического до прикладного).

Протоколы информационного обмена, реализуемые в сетях, делятся на две группы: типа виртуального (логического) соединения, что соответствует сеансовому уровню взаимодействия, взаимодействия в режиме "диалога"; дейтаграммные – соответствующие организации обмена информацией на транспортном уровне. 

При организации логического соединения передача информации между абонентами происходит по виртуальному каналу и выполняется в три этапа: создание (установление) виртуального канала, собственно передача и уничтожение виртуального канала (разъединение). Причем пакеты, на которые перед передачей разбивается сообщение, передаются и поступают к адресату последовательно, в том порядке, в каком произошло разбиение исходного сообщения.

В дейтаграммных сетях пакеты, на которые разбито исходное сообщение, передаются от отправителя к получателю независимо друг от друга, возможно, по различным маршрутам, поэтому порядок их поступления к адресату может быть нарушен.

Указанные два подхода к реализации информационного обмена определяют некоторые отличия в составе и особенностях служб безопасности. В настоящее время документами международной организации стандартизации определены следующие службы безопасности:

  •  аутентификация (подтверждение подлинности);
  •  обеспечение целостности;
  •  засекречивание данных;
  •  контроль доступа;
  •  защита от отказов.

Последние две службы едины по отношению к различным типам сетей, а первые три имеют отличия, обусловленные описанными выше особенностями.

Служба аутентификации применительно к виртуальным сетям (сетям с обменом с установлением логического соединения) называется службой аутентификации одноуровневого объекта. на этапе установления соединения она обеспечивает подтверждение или опровержение того, что объект, который предлагает себя в качестве отправителя информации по виртуальному каналу, является именно тем, за кого он себя выдает. На этапе передачи сообщений данная служба обеспечивает подтверждение (опровержение) того, что поступивший блок информации отправлен именно тем объектом, с которым было установлено соединение.

Применительно к дейтаграммным сетям рассматриваемая служба называется службой аутентификации источника данных  и обеспечивает подтверждение или опровержение того, что поступившая дейтаграмма отправлена именно тем объектом, который указан в ней в качестве ее отправителя.

Службы целостности также можно классифицировать по виду сетей, в которых они применяются, и действиям, выполняемым при обнаружении ошибок (с восстановлением данных и без него). Кроме того, эти службы различаются по степени охвата передаваемых данных (контролируются блоки в целом либо их элементы, называемые выборочными полями).

Служба целостности соединения с восстановлением используется в виртуальных сетях и обеспечивает выявление искажений, вставок, повторов и уничтожения данных, передаваемых по каналу, а также их последующее восстановление.

Та же служба без восстановления обеспечивает выполнение всех указанных функций, кроме последней.

Служба целостности выборочных полей соединения отличается от описанной выше тем, что обеспечивает выполнение указанных функций по отношению к отдельным элементам (фрагментам) передаваемых блоков.

Служба целостности без соединения обеспечивает выявление искажений в дейтаграммах и, в ограниченных случаях, вставок и повторов.

Служба целостности выборочных полей без соединения обеспечивает выявление искажений в отдельных элементах дейтаграмм.

Наличие процедур восстановления в службах целостности дейтаграммных сетей документами ISO не предусматривается.

Службы засекречивания данных, как и службы целостности, можно классифицировать по виду сетей, где они используются, и степени охвата передаваемых данных.

Служба засекречивания соединения обеспечивает секретность всех данных, пересылаемых по виртуальному каналу.

Служба засекречивания без соединения обеспечивает секретность данных, содержащихся в одной отдельной дейтаграмме.

Служба засекречивания выборочных полей для этих двух типов сетей выполняет функции двух предшествующих служб соответственно, но применительно к элементам блоков ли дейтаграмм, пересылаемых по каналам связи.

Кроме того, документами ISO определена  служба засекречивания потока данных (трафика), нейтрализующая возможность получения сведений об абонентах ВС и характере использования ими сети посредством наблюдения за наличием (отсутствием) передачи данных по каналам сети, длиной передаваемых сообщений, интенсивностью информационного обмена.

Служба контроля доступа направлена на нейтрализацию попыток несанкционированного использования ресурсов сети. Контроль доступа может быть  избирательным (распространяться только на некоторые виды доступа к ресурсу, например, на обновление информации в базе данных) или  полным (относиться к ресурсу в целом независимо от запрашиваемого характера его использования).

Службы защиты от отказов направлены на нейтрализацию угрозы отказов от информации со стороны ее отправителя и/или получателя.

Служба защиты от отказов с подтверждением источника обеспечивает получателя информации доказательствами (в виде данных специального вида), которые исключают попытки отправителя отрицать факт передачи указанной информации или ее содержания.

Аналогично  служба защиты от отказов с подтверждением доставки обеспечивает отправителя информации доказательствами того, что информация получена адресатом, и исключающими попытки получателя отрицать факт ее получения или содержание.

Для реализации описанных служб безопасности используются специальные механизмы защиты. Для обеспечения безопасности документами ISO предусматриваются следующие механизмы безопасности:

  •  шифрование;
  •  цифровая (электронная) подпись;
  •  контроль доступа;
  •  обеспечение целостности данных;
  •  обеспечение аутентификации;
  •  подстановка трафика;
  •  управление маршрутизацией;
  •  арбитраж (или освидетельствование).

Шифрование (криптографическая защита) используется для реализации службы засекречивания и используется в ряде других служб. Шифрование может быть  симметричным и асимметричным.

Симметричное основывается на использовании одного и того же секретного ключа для шифрования и дещифрования.

Асимметричное же характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования – другой, являющийся секретным. При этом знание общедоступного ключа не дает возможности определить секретный ключ.

Для реализации механизма шифрования нужна организация специальной службы генерации ключей и их распределения между абонентами сети.

Механизмы цифровой подписи используются для реализации служб аутентификации и защиты от отказов. Эти механизмы основываются на алгоритмах асимметричного шифрования и включают две процедуры: формирование подписи отправителем и ее  опознавание (верификацию) получателем.

Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографичекой контрольной суммой, причем в обоих случаях используется секретный ключ отправителя.

Вторая процедура основывается на использовании  общедоступного ключа, знания которого достаточно для опознавания отправителя.

Механизмы контроля доступа осуществляют проверку полномочий объектов сети (программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется как в точке инициализации обмена, так и в конечной точке, а также в промежуточных точках. Основа для реализации этих механизмов –  матрица прав доступа и различные варианты ее реализации ( мандатные списки – с каждым объектом связывается метка (мандат) безопасности, предъявление которого дает право на использование ресурса, и списки прав доступа, основанные на аутентификации объекта и последующей проверке его прав в специальных таблицах (базах контроля доступа), существующих для каждого ресурса).

Механизмы обеспечения целостности применяются как к отдельным блокам данных, так и к информационным потокам. Целостность обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем с последующим сравнением контрольных криптографических сумм.

Однако для реализации защиты от подмены блока в целом необходим контроль целостности потока данных, который может быть реализован, например, посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков. Возможно и использование более простых методов типа нумерации блоков или их дополнения так называемым клеймом (меткой) времени.  

Механизмы аутентификации обеспечивают одностороннюю и взаимную аутентификацию. На практике эти механизмы совмещаются с шифрованием, цифровой подписью и арбитражем.

Механизмы подстановки трафика, называемые также  механизмами заполнения текста, используются для реализации службы засекречивания потока данных. Они основываются на генерации объектами сети фиктивных блоков, их шифровании и организации передачи по каналам сети. Тем самым нейтрализуется возможность получения информации о пользователях сети посредством наблюдений за внешними характеристиками потоков, циркулирующих в сети.

Механизмы маршрутизации используются для реализации служб засекречивания. Эти механизмы позволяют выбрать оптимальный маршрут не только с точки зрения скорости передачи информации, минимизации стоимости или исключения возможности тупиков и блокирования информации, но и для выбора маршрутов движения информации таким образом, чтоб исключить передачу секретных сведений по небезопасным каналам.

Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами в сети, третьей стороной – арбитром. Для этого передаваемая информация проходит через арбитра, что позволяет ему выполнить свою функцию.

Как это видно из сказанного, для реализации одной службы безопасности может использоваться комбинация нескольких механизмов. Взаимосвязи между службами и реализующими их механизмами приведены в следующей таблице.

Правовая защита

Между тем приходится констатировать явный крен в сторону применения технических и программных средств при решении вопросов защиты информации. Это обусловлено активным проникновением на российский рынок западных фирм, предлагающих технические устройства для прослушивания и несанкционированного доступа в электронные информационные системы и технические и программные средства защиты, и конверсионными процессами в нашей стране, позволившими отечественным фирмам выйти на рынок с аналогичной продукцией.

Однако система мер по защите информации требует комплексного подхода к решению вопросов защиты и включает не только применение технических средств и программных, но и, в первую очередь, организационно-правовых мер защиты. Необходимо, чтобы руководители всех фирм любой формы собственности четко усвоили правовые аспекты этой проблемы. Без понимания правовых проблем и без применения организационно-правовых мер, даже применив множество надежных технических средств, невозможно решить проблему защиты информации.

В соответствии с действующим законодательством РФ, далеко не каждая фирма сегодня имеет право на защиту своей информации. Декларация прав и свобод человека и гражданина РФ (ст.13 п.2) и Конституция РФ (ст.29 ч.4) предоставили каждому право свободно искать и получать информацию. Ограничение этого права допустимо лишь на законных основаниях в целях охраны информации, например, государственной или коммерческой тайны. Следовательно, для осуществления действий по защите информации и, главное, по ограничению доступа к ней фирма должна иметь законные основания, имеющие отражение в правоустанавливающих документах фирмы. Такими документами в первую очередь являются устав и учредительный договор.

В соответствии с Гражданским кодексом РФ (ст.49 п.1) юридическое лицо имеет специальную правоспособность, то есть имеет право осуществлять лишь те виды деятельности, которые прямо оговорены в его учредительных документах. Неуставная деятельность является незаконной. На этом основании руководителям фирм следует, прежде всего, обратить свое внимание на устав и учредительный договор.

В феврале 1995 г. принят Закон "Об информации, информатизации и защите информации". Несмотря на, казалось бы, прямую принадлежность к вопросу защиты информации, этот закон не внес ясности в решение этого вопроса. Закон рассматривает лишь ту информацию, которая не запрещена нормами ни авторского (ст.1 п.2), ни патентного права, он основан на нормах материального права, которым информация, как объект не материальный, а идеальный, не подчиняется.

В соответствии с Законом об информации, защите подлежит не вся информация, а лишь документированная, т.е. зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать. При этом информация в электронной версии, т.е. находящаяся в памяти ЭВМ или записанная на дискету, подлежит защите лишь в том случае, если она удостоверена электронной цифровой подписью, либо распечатана и заверена подписью руководителя и печатью фирмы (ст.5). При этом под защитой информации понимают, прежде всего, право собственника документа истребовать этот документ из чужого, незаконного владения. Кроме этого, Закон предусматривает право собственника документа определять порядок доступа к нему третьих лиц, а также запрещать третьим лицам ознакомление с зафиксированной в документе информацией, копирование документа и ряд других действий.

Следует обратить внимание на то, что право запрещать другим осуществление имущественных прав по отношению к результатам интеллектуальной деятельности (а информация как раз и является таким результатом) является составной частью исключительного права на результаты интеллектуальной деятельности, т.е. интеллектуальной собственностью.

Законным путем это право может быть реализовано собственником документа лишь путем отнесения документированной информации к категории конфиденциальной, т.е. путем установления режима служебной или коммерческой тайны, соответствующего условиям ст.139 п.1 Гражданского кодекса РФ.

В мире общеприняты три формы защиты информации с помощью норм исключительного права: авторское и патентное право и режим тайны, например, коммерческой.

С целью защиты информации путем отнесения ее к коммерческой тайне обладатель информации должен принимать меры к охране ее конфиденциальности. Перечень этих мер не поименован ни в Гражданском кодексе и ни в одном нормативно-правовом акте. В решении этого вопроса законодатель полагается на судебную практику. Однако это путь долгий.

При решении вопроса о необходимости и достаточности применения той или иной правовой меры защиты информации следует руководствоваться тем общепринятым постулатом, что основным каналом утечки информации являются ее работники.

Правоотношения работодателя с работниками регулируются нормами трудового законодательства. Однако в части взаимоотношений, касающихся коммерческой тайны, современное гражданское законодательство позволяет перейти на гражданско-правовые отношения. Это возможно при условии отражения в трудовом договоре обязательства работника о неразглашении коммерческой тайны фирмы (ст.139 п.2 ГК).

Опыт показывает, что одной вышеназванной меры явно недостаточно для обеспечения комплексной защиты информации. Необходимо четко определить, какая именно информация составляет коммерческую тайну, и составить перечень. Для подтверждения действительного волеизъявления работника по принятию на себя обязательства о соблюдении конфиденциальности рекомендуется составить обязательство в виде самостоятельного документа. Всего в настоящее время рекомендуется к применению на практике более двадцати форм документов, регулирующих различные аспекты правоотношений в части защиты информации не только с работниками, но и с представителями налоговых и контролирующих органов, а также с партнерами по хозяйственной деятельности [2.7].

На практике при защите информации в режиме коммерческой тайны следует помнить, что исключительное право на нее действует до тех пор, пока обладатель информации принимает меры к защите ее конфиденциальности или пока эта информация не стала известной на общих основаниях.

PAGE  7


 

А также другие работы, которые могут Вас заинтересовать

69821. Старославянский язык — общий литературный язык славянских народов 87 KB
  Старославянский язык — это древнейший литературный язык славян, создание которого относится ко второй половине IX в. Однако письменных памятников этого времени не сохранилось. Древнейшие памятники старославянского языка, которые дошли до нас
69823. Интернационализм - это братство народов 92.5 KB
  Интернационализм солидарность людей различных наций и рас основа их взаимопонимания взаимного доверия взаимопроникновения культур ценностей знаний и технологий. Респонденты в основном понимают интернационализм как равенство и братство между народами единение...
69826. СОЦІАЛЬНЕ СИРІТСТВО В УКРАЇНІ: СТАН ТА ПЕРСПЕКТИВИ ПОДОЛАННЯ 359 KB
  Сім’я виступає провідним чинником соціалізації особистості на макрорівні. Її основні соціалізуючі функції: забезпечення фізичного та емоційного розвитку індивіда; формування статевої ідентифікації дитини, її розумового розвитку, розвитку здібностей і потенційних можливостей; формування ціннісних орієнтацій особистості
69827. Развитие читательской самостоятельности обучающихся 4-го класса 482 KB
  Учить всех детей сознательно, самостоятельно, избирательно читать книги в школьные годы, а главное, затем, в дальнейшей жизни, чтобы они хотели и умели непрерывно пополнять свое образование с наименьшей затратой сил добывать недостающие знания, ориентироваться в стремительном потоке научной и политической информации - залог успешности в любой деятельности.
69828. Освоение Новороссийского края в период Елизаветы Петровны и Екатерины II. Присоединение Крыма. Политика царизма в Крыму 28 KB
  Екатерина II издает приказ селиться на территории Новороссии и создает специальную канцелярию. По мирному договору к России отходили Керчь Еникали Кинбурн Кабарда на Сев. Но турецкие власти продолжали настраивать крымскую власть против ставленников России ив 1776 г. он отрекся от Крыма в пользу России.