Общие проблемы безопастности

Защита информации (ЗИ) 

Защита информации — комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности (целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и  передачи данных). 

Система называется безопасной, если она, используя соответствующие  аппаратные и программные средства, управляет доступом к информации так, что только должным образом  авторизованные лица или же действующие  от их имени процессы получают право  читать, писать, создавать и удалять  информацию. 

Очевидно, что  абсолютно безопасных систем нет, и  здесь речь идет о надежной системе  в смысле «система, которой можно  доверять» (как можно доверять человеку). Система считается надежной, если она с использованием достаточных  аппаратных и программных средств  обеспечивает одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа. 

Основными критериями оценки надежности являются: политика безопасности и гарантированность. 

Политика  безопасности, являясь активным компонентом  защиты (включает в себя анализ возможных  угроз и выбор соответствующих  мер противодействия), отображает тот  набор законов, правил и норм поведения, которым пользуется конкретная организация  при обработке, защите и распространении  информации. 

Выбор конкретных механизмов обеспечения безопасности системы производится в соответствии со сформулированной политикой безопасности. 

Гарантированность, являясь пассивным элементом  защиты, отображает меру доверия, которое  может быть оказано архитектуре  и реализации системы (другими словами, показывает, насколько корректно  выбраны механизмы, обеспечивающие безопасность системы). 

В надежной системе должны регистрироваться все  происходящие события, касающиеся безопасности (должен использоваться механизм подотчетности  протоколирования, дополняющийся анализом запомненной информации, то есть аудитом). 

При оценке степени гарантированности, с которой  систему можно считать надежной, центральное место занимает достоверная (надежная) вычислительная база. Достоверная  вычислительная база (ДВБ) представляет собой полную совокупность защитных механизмов компьютерной системы, которая  используется для претворения в  жизнь соответствующей политики безопасности. 

Надежность  ДВБ зависит исключительно от ее реализации и корректности введенных  данных (например, данных о благонадежности  пользователей, определяемых администрацией). 

Граница ДВБ  образует периметр безопасности. Компоненты ДВБ, находящиеся внутри этой границы, должны быть надежными (следовательно, для оценки надежности компьютерной системы достаточно рассмотреть  только ее ДВБ). От компонентов, находящихся  вне периметра безопасности, вообще говоря, не требуется надежности. Однако это не должно влиять на безопасность системы. Так как сейчас широко применяются  распределенные системы обработки  данных, то под «периметром безопасности»  понимается граница владений определенной организации, в подчинении которой  находится эта система. 

Тогда по аналогии то, что находится внутри этой границы, считается надежным. Посредством  шлюзовой системы, которая способна противостоять потенциально ненадежному, а может быть даже и враждебному  окружению, осуществляется связь через  эту границу. 

Контроль  допустимости выполнения субъектами определенных операций над объектами, то есть функции  мониторинга, выполняется достоверной  вычислительной базой. При каждом обращении  пользователя к программам или данным монитор проверяет допустимость данного обращения (согласованность  действия конкретного пользователя со списком разрешенных для него действий). Реализация монитора обращений  называется ядром безопасности, на базе которой строятся все защитные механизмы системы. Ядро безопасности должно гарантировать собственную  неизменность. 

Основные  предметные направления ЗИ 

Основные  предметные направления ЗИ — охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности. 

Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной  деятельности, распространение которых  может нанести ущерб безопасности Российской Федерации. 

Сведения  могут считаться государственной  тайной (могут быть засекречены), если они отвечают следующим требованиям: 

• соответствуют  перечню сведений, составляющих государственную  тайну, не входят в перечень сведений, не подлежащих засекречиванию, и отвечают законодательству РФ о государственной  тайне (принцип законности);

• целесообразность засекречивания конкретных сведений установлена  путем экспертной оценки вероятных  экономических и иных последствий, возможности нанесения ущерба безопасности РФ, исходя из баланса жизненно важных интересов государства, общества и  личности (принцип обоснованности);

• ограничения  на распространение этих сведений и  на доступ к ним установлены с  момента их получения (разработки) или  заблаговременно (принцип своевременности);

• компетентные органы и их должностные лица приняли  в отношении конкретных сведений решение об отнесении их к государственной  тайне и засекречивании и установили в отношении их соответствующий  режим правовой охраны и защиты (принцип  обязательной защиты). 

Коммерческая  тайна исстари охранялась при  содействии государства. Примером этого  утверждения могут служить многочисленные факты ограничения доступа иностранцев в страну (в Китае — для защиты секретов производства фарфора), в отдельные отрасли экономики или на конкретные производства. В России к коммерческой тайне относили промысловую тайну, но затем она была ликвидирована как правовой институт в начале 30-х годов и в связи с огосударствлением отраслей экономики защищалась как государственная и служебная тайна. Сейчас начался обратный процесс. 

Информация  может составлять коммерческую тайну, если она отвечает следующим требованиям (критерии правовой охраны): 

• имеет  действительную или потенциальную  коммерческую Ценность в силу ее неизвестности  третьим лицам;

• не подпадает  под перечень сведений, доступ к  которым не может быть ограничен, и перечень сведений, отнесенных к  государственной тайне;

• к ней  нет свободного доступа на законном основании;

• обладатель информации принимает меры к охране ее конфиденциальности. 

К коммерческой тайне не может быть отнесена информация: 

• содержащаяся в учредительных документах;

• содержащаяся в документах, дающих право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии и т. д.);

• содержащаяся в годовых отчетах, бухгалтерских балансах, формах государственных статистических наблюдений и других формах годовой бухгалтерской отчетности, включая аудиторские заключения, а также в иных, связанных с исчислением и уплатой налогов и других обязательных платежей;

• содержащая сведения об оплачиваемой деятельности государственных служащих, о задолженностях работодателей по выплате заработной платы и другим выплатам социального характера, о численности и кадровом составе работающих;

• содержащаяся в годовых отчетах фондов об использовании имущества;

• подлежащая раскрытию эмитентом ценных бумаг, профессиональным участником рынка ценных бумаг и владельцем ценных бумаг в соответствии с законодательством Российской Федерации о ценных бумагах;

• связанная  с соблюдением экологического и  антимонопольного законодательства, обеспечением безопасных условий труда, реализацией  продукции, причиняющей вред здоровью населения, другими нарушениями  законодательства Российской Федерации, законодательства субъектов Российской Федерации, а также содержащая данные о размерах причиненных при этом убытков;

• о деятельности благотворительных организаций  и иных некоммерческих организаций, не связанной с предпринимательской  деятельностью;

• о наличии  свободных рабочих мест;

• о хранении, использовании или перемещении  материалов и использовании технологий, представляющих опасность для жизни  и здоровья граждан или окружающей среды;

• о реализации государственной программы приватизации и об условиях приватизации конкретных объектов;

• о размерах имущества и вложенных средствах  при приватизации;

• о ликвидации юридического лица и о порядке  и сроке подачи заявлений или  требований его кредиторами;

• для которой  определены ограничения по установлению режима коммерческой тайны в соответствии с федеральными законами и принятыми  в целях их реализации подзаконными актами. 

Основными субъектами права на коммерческую тайну  являются обладатели коммерческой тайны, их правопреемники. 

Обладатели  коммерческой тайны — физические (независимо от гражданства) и юридические (коммерческие и некоммерческие организации) лица, занимающиеся предпринимательской  деятельностью и имеющие монопольное  право на информацию, составляющую для них коммерческую тайну. 

При этом под  предпринимательством понимается «самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение  прибыли от пользования имуществом, продажи товаров, выполнения работ  или оказания услуг лицами, зарегистрированными  в этом качестве в установленном  законом порядке» (статья 2 Гражданского кодекса Российской Федерации). 

Правопреемники  — физические и юридические лица, которым в силу служебного положения, по договору или на ином законном основании (в том числе по наследству) известна информация, составляющая коммерческую тайну другого лица. 

Банковская  тайна — защищаемые банками и  иными кредитными организациями  сведения о банковских операциях  по счетам и сделкам в интересах  клиентов, счетах и вкладах своих  клиентов и корреспондентов, а также  сведения о клиентах и корреспондентах, разглашение которых может нарушить право последних на неприкосновенность частной жизни. 

К основным объектам банковской тайны относятся  следующие: 

1. Тайна банковского счета — сведения о счетах клиентов и корреспондентов и действиях с ними в кредитной организации (о расчетном, текущем, бюджетном, депозитном, валютном, корреспондентском и тому подобных счетах, об открытии, закрытии, переводе, переоформлении счетов и т. д.). 

2. Тайна  операций по банковскому счету  — сведения о принятии и  зачислении поступающих на счет  клиента денежных средств, о  выполнении его распоряжений  по перечислению и выдаче соответствующих  сумм со счета, а также проведении  других операций и сделок по  банковскому счету, предусмотренных  договором банковского счета  или законом. 

3. Тайна  банковского вклада — сведения  обо всех видах вкладов клиента  в кредитной организации. 

4. Тайна  частной жизни клиента или  корреспондента — сведения, составляющие  личную, семейную тайну и охраняемые  законом как персональные данные  этого клиента или корреспондента. 

Профессиональная  тайна — защищаемая по закону информация, доверенная или ставшая известной  лицу (держателю) исключительно в  силу исполнения им своих профессиональных обязанностей, не связанных с государственной  или муниципальной службой, распространение  которой может нанести ущерб  правам и законным интересам другого  лица (доверителя), доверившего эти  сведения, и не являющаяся государственной  или коммерческой тайной. 

Информация  может считаться профессиональной тайной, если она отвечает следующим  требованиям (критериям охраноспособности права): 

• доверена или стала известна лицу лишь в  силу исполнения им своих профессиональных обязанностей;