книги / Правовое обеспечение информационной безопасности

специалистов, отвечающих за защиту информации, и специалистовэлектронщиков, занимающихся эксплуатацией и ремонтом вычислительной техники.

5. Назначение комплексной судебно-бухгалтерской и программ- но-технической экспертизы с привлечением специалистов правоохранительных органов, специалистов в области средств компьютерной техники, по ведению банковского учета с использованием средств компьютерной техники, документообороту, организации бухучета и отчетности, специалистов по обеспечению безопасности информации в компьютерных системах.

В ходе судебно-бухгалтерской экспертизы устанавливаются нарушения требований положений о документообороте, их причины (с целью совершения преступления, злоупотребления или ошибки) и ответственные лица за эти нарушения.

Результаты программно-технической экспертизы, как заключение экспертов, играют роль доказательств в процессе суда.

Спомощью таких экспертиз могут решаться следующие задачи:

1.Воспроизведение информации, содержащейся на физических носителях.

2.Восстановление информации, ранее содержавшейся на физических носителях и впоследствии стертой или измененной по различным причинам.

3.Установление времени ввода, изменение, уничтожение либо копирование той или иной информации.

4.Расшифровка закодированной информации, подбор паролей

ираскрытие систем защиты.

5.Установление авторства, места, средства, подготовки и способа изготовления документов (файлов, программ).

6.Выяснение возможных каналов утечки информации из компьютерной сети и помещений.

221

7.Выяснение технического состояния, исправности программ- но-аппаратных комплексов, возможности их адаптации под конкретного пользователя.

8.Установление уровня профессиональной подготовки отдельных лиц, проходящих по делу в области программирования и в качестве пользователя.

Правоохранительные органы при проведении анализа компьютерных преступлений используют информационные технологии. Разрабатываются системы адаптации «традиционных» методов расследования преступлений с использованием компьютерных средств. Создаются более совершенные инструментальные средства анализа преступлений, с учетом новых видов правонарушений.

Диапазон компьютерных преступлений в настоящее время

включает кроме традиционного мошенничества также слежку, мошенничество с инвестициями, сексуальные домогательства, кражу информации, внутригосударственный и международный терроризм, нарушение авторских прав, фальсификацию систем, насильственные преступления, жестокое обращение с пожилыми людьми.

Для анализа преступлений теперь требуются не только региональные, но и международные средств анализа. Эти системы могут объединять преступления по местоположению, времени и методу действий, что может помочь прогнозировать потенциальные будущие угрозы. Понимание целей, которые ставит перед собой злоумышленник, позволяет определять его будущие поступки.

Для выявления нарушений системной защиты используются методы активной добычи данных. Такой подход предполагает анализ поступков, которые приводят к нарушениям, и сравнивает их с поведением при нормальной работе. Добывается информация о часто встречающейся последовательности действий. Эти сведе-

222

ния используются для создания автоматического классификатора, который способен различать агрессивное и нормальное поведение.

Для автоматизированных систем и корпоративных сетей с большим количеством пользователей составляется документ, регламентирующий работу в сети – «Политика безопасности». Этот документ учитывает услуги, предоставляемые Интернетом, и требования информационной безопасности и основан на стандарте

ISO/IEC 17799 «Безопасность информационных систем».

«Политика безопасности» обеспечивает выполнение следующих правил безопасности информации:

♦идентификация;

♦разделение полномочий;

♦регистрация и учет работы;

♦шифрование;

♦применение цифровой подписи;

♦обеспечение антивирусной защитой;

♦контроль целостности информации.

Вобщем случае система защиты информации в компьютерной сети реализуется в три этапа:

♦анализ риска;

♦реализация политики безопасности;

♦поддержание политика безопасности.

При этом обеспечивается выполнение трех основных функций системы: доступность, целостность и конфиденциальность.

Требования к безопасности компьютерных сетей в РФ разработаны ФСТЭК России. Эти требования оформлены в виде Руководящих документов (РД ГТК) и обязательны для государственных предприятий или для коммерческих предприятий, допущенных к сведениям, составляющим государственную тайну. В остальных случаях они носят рекомендательный характер.

223

К таким документам относится, например, РД ГТК «Автома-

тизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» от 30.03.92 г.

Требования к безопасности АС устанавливаются в соответствии с классом защищенности. Установлены 9 классов защищенности в трех группах: 3Б, 3А, 2Б, 2А, 1Д, 1Г, 1В, 1Б, 1А.

Показатели защищенности средств вычислительной техники от НСД приведены в РД ГТК «Средства ВТ. Защита от НСД. Показатели защищенности от НСД к информации» от 30.03.92 г.

В данном РД определяются 7 классов защищенности СВТ от НСД к информации.

Кроме этого, действуют следующие РД ГТК:

♦«Защита от НСД к информации. Термины и определения»;

♦«КонцепциязащитыСВТиАСотНСДкинформации»;

♦«Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники»;

♦«Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации»;

♦«Защита информации. Специальные защитные знаки. Классификация и общие требования»;

♦«Защита от НСД к информации. Программное обеспечение средств защиты информации. Классификация по уровню

контроля отсутствия недекларированных возможностей» Повышению эффективности противодействию компьютерных

преступлений способствовало принятие соответствующих статей Уголовного кодекса РФ в главе 28 «Преступления в сфере компь-

224

ютерной безопасности». Составы компьютерных преступлений даны в ст. 273, 273, 274 (приложение 3)

Эффективным средством снижения компьютерной преступности служит использование электронной цифровой подписи (ЭЦП).

В РФ принят закон «Об электронной цифровой подписи»[8] №1

от 10.01.2002 г.

Электронная цифровая подпись – реквизит документа, предна-

значенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

В случаях, установленных законом, электронная цифровая подпись признается равнозначной собственноручной подписи лица на бумажном носителе, заверенном печатью.

10.4. Правовые основы лицензирования и сертификации

Законодательной и нормативной базой лицензирования и сертификации в области защиты информации являются следующие нормативные документы:

♦ законы РФ:

–«О государственной тайне»;

–«О сертификации продукции и услуг»;

–«О защите прав потребителей»;

–«Об информации, информационных технологиях и защите информации»;

–«О стандартизации»;

–«О лицензировании отдельных видов деятельности»;

♦ Постановления Правительства РФ:

225

–«Об утверждении положений о лицензировании отдельных видов деятельности»;

–«О сертификации средств защиты информации»;

Кроме того, данному вопросу посвящен ряд указов Президента РФ, и подзаконных актов.

Для обеспечения защиты государственной тайны и конфиденциальной информации в РФ действует Государственная система защиты информации (ГСЗИ), которая включает:

♦совокупность органов, сил и средств, осуществляющих деятельность в области защиты информации;

♦систему лицензирования деятельности в области защиты информации;

♦систему сертификации средств защиты информации;

♦систему подготовки и переподготовки специалистов в области защиты информации.

Необходимость введения государством механизма лицензирования и сертификации в области защиты информации определяется следующими причинами:

♦выполнение работ, в процессе реализации которых могут использоваться сведения, составляющие государственную тайну, может осуществляться наряду с государственными

учреждениями и организациями также предприятиями и учреждениями негосударственного сектора, как это принято в большинстве цивилизованных стран;

♦ органы государственной власти, Вооруженные силы и спецслужбы перестали быть исключительными потребителями средств защиты информации.

В настоящее время эти средства в значительных объемах востребованы организациями финансово-кредитной сферы и предпринимательскими структурами, а в ближайшем будущем получат распространение среди граждан РФ. Наиболее приемлемым, а может

226

быть и единственно приемлемым способом воздействия государства на данную сферу установления разумного контроля в этой области является формирование системы лицензирования.

Лицензирование – это процесс передачи или получения в отношении физических или юридических лиц прав на проведение определенных работ. Получить право или разрешение на определенную деятельность может не каждый субъект, а только отвечающий определенным критериям в соответствии с правилами лицензирования.

Лицензия – документ, дающий право на осуществление указанного вида деятельности в течение определенного времени.

Перечень видов деятельности в области защиты информации, на которые выдаются лицензии, определен федеральным законом РФ –

«О лицензировании отдельных видов деятельности» от 8.08.2001

г. №128-ФЗ. К ним, в частности, относятся разработка, производство, реализация и сервисное обслуживание:

♦шифровальных средств для криптографической защиты информации;

♦защищенных систем телекоммуникаций;

♦программных средств;

♦специальных технических средств защиты информации;

♦подготовка и переподготовка кадров в области защиты информации.

Кроме того, шифровальные средства для криптографической защиты лицензируются в соответствии с Постановлением Правительства РФ от 23 сентября 2002 г. № 691 «Об утверждении поло-

жений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

227

Общие нормы лицензирования, устанавливающие порядок организации и осуществления этой деятельности, содержатся в ст. 27 закона «О государственной тайне, в соответствии с которой:

♦лицензия выдается только на основании результатов специальной экспертизы (проверки готовности организации к работе со сведениями, составляющими государственную тайну);

♦в структуре организации должно быть подразделение по защите государственной тайны и специально подготовленные сотрудники;

♦организация должна иметь сертифицированные средства защиты информации;

♦необходима государственная аттестация руководителей организации, ответственных за защиту государственных секретов.

«Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государст-

венной тайны» утверждено Постановлением Правительства Российской Федерации от 15.04.95 г. № 333.

Данным Положением, в частности, установлено, что лицензия является официальным документом, который разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока. Лицензия действительна на всей территории Российской Федерации, а также в учреждениях Российской Федерации, находящихся за границей.

Органами, уполномоченными на ведение лицензионной деятельности, являются:

♦по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну – Федеральная служба безопасности (ФСБ) и ее

228

территориальные органы (на территории Российской Федерации), Служба внешней разведки (СВР) (за рубежом);

♦на право проведения работ, связанных с созданием средств защиты информации, – Федеральная служба по техническому и экспортному контролю, ФСБ (в пределах их компетенции);

♦на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны – ФСБ и ее территориальные органы, Федеральная служба по техниче-

скому и экспортному контролю (ФСТЭК), СВР (в пределах их компетенции).

Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет. Продление срока действия лицензии производится в порядке, установленном для ее получения. На каждый вид деятельности выдается отдельная лицензия.

Специальные экспертизы предприятий выполняются по следующим направлениям:

♦режим секретности;

♦противодействие иностранной технической разведке;

♦защита информации от утечки по техническим каналам. Экспертизы осуществляется экспертными комиссиями Лицен-

зионного центра либо аттестационными центрами, формируемыми при ФСБ, ФСТЭК, и их органами на местах.

Система лицензирования построена на следующих основных принципах:

1.Лицензирование в области ЗИ является обязательным.

2.Деятельность в области ЗИ физических и юридических лиц, не прошедших лицензирование, запрещена (с применением соответствующих статей ГК и УК к нарушителям).

229

3.Лицензии на право деятельности в области ЗИ выдаются только юридическим лицам независимо от организационно-правовой формы (физические лица не в состоянии удовлетворить установленным требованиям).

4.Лицензии выдаются только предприятиям, зарегистрированным на территории РФ.

5.Лицензии выдаются только на основании специальной экспертизы заявителя на соответствие предъявляемым к предприятию требованиям и аттестации руководителя предприятия.

6.Для получения лицензии предприятие обязано предъявить определенный перечень документов.

Например, к коммерческому банку, претендующему на получение лицензии на эксплуатацию шифровальных средств для защиты конфиденциальной информации, предъявляются требования:

♦по наличию и составу необходимых аппаратно-программных средств и помещений; размещению, охране и специальному оборудованию помещений, в которых находятся средства криптографической защиты;

♦обеспечению режима и порядка доступа к средствам криптографической защиты; обеспечению необходимой технической и эксплуатационной документацией;

♦уровню квалификации и подготовленности специалистов в области защиты и эксплуатации автоматизированных систем;

♦режиму эксплуатации и хранения средств криптографической защиты.

Лицензирование в области производства средств защиты информации и на предмет предоставления услуг в данной области производится по тем же принципам, за исключением того, что не во всех случаях здесь речь идет о работе со сведениями, составляющими государственную тайну. Поэтому при производстве

230