[ «Ю.А. Гатчин, Е.В. Климова ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Учебное пособие Санкт-Петербург 2009 УДК 681.326 Гатчин Ю.А., Климова Е.В. Основы информационной безопасности: учебное пособие. – СПб: СПбГУ ИТМО, 2009. – 84 ...»
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ
Ю.А. Гатчин, Е.В. Климова
ОСНОВЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Учебное пособие Санкт-Петербург 2009 УДК 681.326 Гатчин Ю.А., Климова Е.В. Основы информационной безопасности:
учебное пособие. – СПб: СПбГУ ИТМО, 2009. – 84 с.
Целью данного учебного пособия является ознакомление студентов с основами информационной безопасности компьютерных систем, проблемами защиты информации и подходами к их решению. В пособии рассматривается законодательная база информационной безопасности, приводится перечень возможных угроз. Отражены основные подходы к созданию систем защиты информации и представлена классификация мер по обеспечению безопасности компьютерных систем.
Пособие предназначено для студентов, специализирующихся в области информационной безопасности (специальность 090104 – Комплексная защита объектов информатизации, дисциплина «Теория информационной безопасности и методология защиты информации) и слушателей факультета повышения квалификации.
Рекомендовано к печати ученым советом факультета Компьютерных технологий и управления, 16.06.09, протокол № 11.
СПбГУ ИТМО стал победителем конкурса инновационных образовательных программ вузов России на 2007-2008 годы и успешно реализовал инновационную образовательную программу «Инновационная система подготовки специалистов нового поколения в области информационных и оптических технологий», что позволило выйти на качественно новый уровень подготовки выпускников и удовлетворять возрастающий спрос на специалистов в информационной, оптической и других высокотехнологичных отраслях науки. Реализация этой программы создала основу формирования программы дальнейшего развития вуза до 2015 года, включая внедрение современной модели образования.
©Санкт-Петербургский государственный университет нформационных технологий, механики и оптики, © Гатчин Ю.А., Климова Е.В., ветственных задач. Кафедра стала готовить инженеров по специальности 0648. Подготовка проводилась по двум направлениям:
автоматизация конструирования ЭВА и технология микроэлектронных устройств ЭВА.
Заведовали кафедрой д.т.н., проф. Новиков В В. (до 1976 г.), затем проф. Петухов Г.А.
1988 - 1997 МАП (кафедра микроэлектроники и автоматизации проектирования) Кафедра выпускала инженеров - конструкторов технологов по микроэлектронике и автоматизации проектирования вычислительных средств (специальность 2205). Выпускники этой кафедры имеют хорошую технологическую подготовку и успешно работают как в производстве полупроводниковых интегральных микросхем, так и при их проектировании, используя современные методы автоматизации проектирования. Инженеры специальности 2205 требуются микроэлектронной промышленности и предприятиям разработчикам вычислительных систем.
Кафедрой с 1988 г. по 1992 г. руководил проф. Арустамов С А, затем снова проф. Петухов Г.А.
С 1997 ПКС (кафедра проектирования компьютерных систем).
Кафедра выпускает инженеров по специальности Проектирование и технология электронно-вычислительных средств. Область профессиональной деятельности выпускников включает в себя проектирование, конструирование и технологию электронных средств, отвечающих целям их функционирования, требованиям надежности, дизайна и условиям эксплуатации Кроме того, кафедра готовит специалистов по специальности 2206 - Организация и технология защиты информации, причем основное внимание уделяется программно-аппаратной защите информации компьютерных систем.
С 1996 г. кафедрой заведует д.т.н., профессор Гатчин Ю.А.
Юрий Арменакович Гатчин Елена Владимировна Климова
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Учебное пособие В авторской редакции Дизайн Е.В. Климова Верстка Е.В. Климова Редакционно-издательский отдел Санкт-Петербургского государственного университета информационных технологий, механики и оптики Лицензия ИД № 00408 от 05.11. Подписано к печати 17.06. Заказ № Тираж 100 экз.Отпечатано на ризографе Введение
1. Основные понятия, термины и определения
2. Основы государственной политики в области информационной безопасности.... 2.1. Стратегия национальной безопасности Российской Федерации ................. 2.2. Доктрина информационной безопасности Российской Федерации............. 2.3. Закон «О государственной тайне»
2.3.1. Основные понятия
2.3.2. Перечень сведений, составляющих государственную тайну.............. 2.3.3. Сведения, не подлежащие отнесению к государственной тайне и засекречиванию
2.3.4. Принципы засекречивания сведений и отнесения их к государственной тайне
2.3.5. Степени секретности сведений и грифы секретности носителей этих сведений
2.3.6. Порядок отнесения сведений к государственной тайне
2.3.7. Порядок засекречивания сведений и их носителей
2.3.8. Реквизиты носителей сведений, составляющих государственную тайну
2.3.9. Порядок рассекречивания сведений и их носителей
2.3.10. Допуск к государственной тайне
2.3.11. Уголовно-правовая защита информации, составляющей государственную тайну
2.4. Закон «О коммерческой тайне»
2.4.1. Основные понятия
2.4.2. Порядок отнесения информации к коммерческой тайне и способы ее получения
2.4.3. Сведения, которые не могут составлять коммерческую тайну........... 2.4.4. Права обладателя информации, составляющей коммерческую тайну
2.4.5. Охрана коммерческой тайны
2.4.6. Ответственность за нарушение требований Федерального закона «О коммерческой тайне»
2.5. Закон «О персональных данных»
3. Основные угрозы безопасности
3.1. Основные непреднамеренные искусственные угрозы
3.2. Основные преднамеренные искусственные угрозы
3.3. Классификация угроз безопасности
3.4. Описание модели гипотетического нарушителя
4. Классификация мер обеспечения безопасности компьютерных систем......... 4.1. Нормативно-правовые меры
4.2. Морально-этические меры
4.3. Административные меры
4.4. Физические меры
4.5. Технические (программно-аппаратные) меры
5. Критерии оценки надежных компьютерных систем
5.1. Основные элементы политики безопасности
5.2. Механизмы безопасности
5.3. Классы безопасности
Литература
Терминологический словарь
На современном этапе развития общества, связанного с массовым использованием информационных технологий и созданием единого информационного пространства, в рамкам которого происходит накопление, обработка, хранение и обмен информацией, проблемы информационной безопасности приобретают первостепенное значение во всех сферах общественной и государственной деятельности. Особая острота и важность этих проблем определяется следующими факторами:
• высокими темпами роста парка средств вычислительной техники и связи, расширением областей использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, подлежащих защите;
• вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей;
• повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических технологиях;
• отношением к информации, как к товару, переходом к рыночным отношениям, с присущей им конкуренцией и промышленным шпионажем, в области создания и сбыта (предоставления) информационных услуг;
• концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях;
• наличием интенсивного обмена информацией между участниками этого процесса;
• количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам;
• обострением противоречий между объективно существующими потребностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование;
• дифференциацией уровней потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (уязвимости различных затрагиваемых субъектов);
• многообразием видов угроз и возможных каналов несанкционированного доступа к информации;
• ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими программноматематических воздействий на систему;
• отсутствием достаточного количества квалифицированных специалистов в области защиты информации;
• развитием рыночных отношений (в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты).
Естественно, в такой ситуации возникает потребность в защите компьютерных систем и информации от несанкционированного доступа, кражи, уничтожения и других преступных и нежелательных действий, число которых непрерывно растет. Так по оценке специалистов США, ущерб от компьютерных преступлений ежегодно составляет около 35 миллиардов долларов. В среднем ущерб от одного компьютерного преступления составляет порядка 560 тысяч долларов.
Анализ существующего положения показывает, что уровень мероприятий по защите информации, как правило, отстает от темпов автоматизации. Важнейшими аспектами при этом являются выявление, анализ и классификация возможных путей реализации угроз безопасности с целью нарушения работоспособности системы или несанкционированного доступа к информации, оценка реальности угроз безопасности и наносимого ущерба, определение основных мер противодействия угрозам безопасности, разработка критериев и механизмов безопасности, а также соответствующей нормативно-правовой базы.
Однако, необходимо отметить, что на сегодняшний день:
• не существует единой теории защищенных систем, в достаточной мере универсальной в различных предметных областях (как в государственном, так и в коммерческом секторе);
• производители средств защиты в основном предлагают отдельные компоненты для решения частных задач, оставляя решение вопросов формирования системы защиты и совместимости этих средств своим потребителям;
• для обеспечения надежной защиты необходимо решить целый комплекс технических и организационных проблем с разработкой соответствующей документации.
В связи с этим можно выделить следующие основные принципы построения систем компьютерной безопасности, которые необходимо учитывать при их проектировании и разработке:
• комплексность решений;
• непрерывность защиты;
• разумная достаточность средств защиты;
• простота и открытость используемых механизмов защиты;
• минимум неудобств пользователям и минимум накладных расходов на функционирование механизмов защиты.
В настоящем пособии рассматриваются некоторые из основных вопросов, связанных с обеспечением информационной безопасности компьютерных систем.
1. Основные понятия, термины и определения Широко распространенное в настоящее время понятие – информационная безопасность – подчеркивает важность информации в современном обществе и характеризует тот факт, что информационный ресурс является сегодня таким же богатством, как полезные ископаемые, производственные и людские ресурсы и также как они подлежит эащите от различного рода посягательств, злоупотреблений и преступлений.
Под информационной безопасностью будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры [14].
Подход к проблемам информационной безопасности необходимо начинать с выявления субъектов, заинтересованных в обеспечении [11]:
• своевременного доступа (за приемлемое для них время) к необходимой им информации;
• конфиденциальности (сохранения в тайне) определенной части информации;
• достоверности (полноты, точности, адекватности, целостности) информации;
• защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);
• защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.);
• разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации.
Очевидно, что обеспечение этих требований существенно и для государства в целом, и для отдельных общественных или коммерческих организаций, и для предприятий (юридических лиц), и для отдельных граждан (физических лиц), которые и являются субъектами информационных отношений. Поэтому введем следующие определения:
Субъект - это активный компонент информационной системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.
Объект - пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.
В качестве объектов, подлежащих защите в интересах обеспечения безопасности субъектов информационных отношений, необходимо рассматривать:
- информацию и информационные ресурсы, - носители информации, - процессы обработки информации.
Под информацией обычно понимают сведения об объектах и явлениях окружающей среды, их параметрах, свойствах и состоянии, которые уменьшают имеющуюся о них степень неопределенности.
Основными потребительскими качествами информации являются: репрезентативность, содержательность, достаточность, доступность, актуальность, своевременность, точность, достоверность и устойчивость.
Информационные ресурсы определим как отдельные документы и массивы документов, представленные самостоятельно или в информационных системах (ИС) (библиотеках, архивах, фондах, базах данных, и др. ИС).
Информационные ресурсы можно классифицировать:
- по виду информации - правовые, научно-технические, политические, финансово-экономические, статистические, метрологические, социальные, персональные, медицинские, о чрезвычайных ситуациях и т. п.;
- по режиму доступа – открытые, ограниченного доступа, государственная тайна, конфиденциальная информация, коммерческая тайна, профессиональная тайна, служебная тайна, личная (персональная) тайна;
- по форме собственности – государственные, федеральные, муниципальные, частные, коллективные;
- по виду носителя – на бумаге (документы, письма, медицинские карты, телефонные справочники организаций, выброшенные черновики и распечатки), на экране, в памяти ЭВМ, в канале связи, на гибких и жестких магнитных дисках и на других носителях.
Носителями информации могут являться отдельные знающие люди, которые бесспорно владеют важной информацией (эксперты), а также специально завербованные, внедренные или даже случайные информаторы – осведомители.
Осведомленность конечного пользователя о мерах безопасности должна проявляться в умении различать четыре уровня защиты компьютерных и информационных ресурсов:
- предотвращение – доступ к информации и технологии имеет только авторизованный персонал, - обнаружение – раннее обнаружение преступлений и злоупотреблений, даже в случае обхода механизмов защиты, - ограничение – уменьшение размера потерь, если преступление имело место несмотря на предпринятые меры по его предотвращению, - восстановление – обеспечение эффективного восстановления информации при наличии документированных и проверенных планов проведения этой операции.
Приведем основные понятия информационной безопасности компьютерных систем [3, 11, 22] Под безопасностью КС понимают ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, изменения или разрушения ее компонентов.
Природа воздействий на КС может быть самой разнообразной. Это и стихийные бедствия (землетрясения, ураганы, пожары), и выход из строя составных элементов КС, и ошибки персонала, и попытка проникновения злоумышленника.
Безопасность КС достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы.
Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.
Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации - это доступ к информации, не нарушающий установленные правила разграничения доступа.
Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа.
Несанкционированный доступ (НСД) к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений.
Конфиденциальность данных - это статус, предоставленный данным и определяющий требуемую степень их защиты. По существу конфиденциальность информации - это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.
Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т.е. если не произошло их случайного или преднамеренного искажения или разрушения.
Целостность компонента или ресурса системы - это свойство компонента или ресурса быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.
Доступность компонента или ресурса системы - это свойство компонента или ресурса быть доступным для авторизованных законных субъектов системы.
Под угрозой безопасности КС понимаются возможные воздействия на КС, которые прямо или косвенно могут нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в КС. С понятием угрозы безопасности тесно связано понятие уязвимости КС.
Уязвимость КС - это некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.
Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы. Таким образом, атака - это реализация угрозы безопасности.
Противодействие угрозам безопасности является целью защиты систем обработки информации.
Безопасная или защищенная система - это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Комплекс средств защиты представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности КС. Комплекс создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.
Политика безопасности - это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты КС от заданного множества угроз безопасности.
На практике важнейшими являются следующие аспекты информационной безопасности: доступность, целостность и конфиденциальность.
2. Основы государственной политики в области информационной безопасности На официальном уровне государственная система защиты информации в России была сформирована в 1973 г. в рамках действия государственной комиссии СССР по противодействию иностранным техническим разведкам. Начиная с 1992 г., проблемы информационной безопасности в новых экономических и правовых условиях вышли из круга оборонной тематики и обусловили тем самым создание в общегосударственном масштабе более совершенной системы информационной безопасности. Создание такой системы, прежде всего, потребовало разработать необходимую нормативно-правовую базу: Концепцию национальной безопасности Российской Федерации, Доктрину информационной безопасности Российской Федерации и ряд других документов.
2.1. Стратегия национальной безопасности Российской Федерации Указом Президента от 12 мая 2009 г. № 537 утверждена Стратегия национальной безопасности Российской Федерации (Стратегия) до 2020 года.
В связи с этим признана утратившей силу прежняя Концепция национальной безопасности Российской Федерации, утвержденная в декабре 1997 г. и модифицированная в январе 2000 г.
Стратегия национальной безопасности – это система взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз в экономической, политической, социальной, международной, духовной, информационной, военной, обороннопромышленной, экологической сферах, а также в сфере науки и образования.
Национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа.
Состояние отечественной экономики, несовершенство системы организации государственной власти и гражданского общества, социальнополитическая поляризация общества и криминализация общественных отношений, рост организованной преступности и увеличение масштабов терроризма, обострение межнациональных и осложнение международных отношений создают широкий спектр внутренних и внешних угроз национальной безопасности нашей страны.
Угрозы национальной безопасности Российской Федерации в информационной сфере проявляются в стремлении ряда стран к доминированию в мировом пространстве, вытеснению с внешнего и внутреннего информационного рынка; в разработке рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; в нарушении нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов путем получения несанкционированного доступа к ним.
В ходе реализации настоящей Стратегии угрозы информационной безопасности предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности.
Важнейшими задачами в области обеспечения информационной безопасности Российской Федерации являются:
- реализация конституционных прав и свобод граждан Российской Федерации в сфере информационной деятельности;
- совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство;
- противодействие угрозе развязывания противоборства в информационной сфере.
Для этого России потребуется:
- преодолеть технологическое отставание в важнейших областях информатизации, телекоммуникаций и связи, определяющих состояние национальной безопасности;
- разработать и внедрить технологии информационной безопасности в системах государственного и военного управления, системах управления экологически опасными производствами и критически важными объектами;
- обеспечить условия для гармонизации национальной информационной инфраструктуры с глобальными информационными сетями и системами.
Реализация Стратегии национальной безопасности Российской Федерации до 2020 года призвана стать мобилизующим фактором развития национальной экономики, улучшения качества жизни населения, обеспечения политической стабильности в обществе, укрепления национальной обороны, государственной безопасности и правопорядка, повышения конкурентоспособности и международного престижа РФ.
2.2. Доктрина информационной безопасности Российской Федерации Доктрина информационной безопасности РФ (Доктрина) утверждена Указом № 1895 Президента РФ от 9 сентября 2000 г. Доктрина представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности и служит основой для:
- формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
- подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
- разработки целевых программ обеспечения информационной безопасности Российской Федерации.
1. Информационная безопасность РФ (виды и источники угроз ИБ РФ, состояние ИБ РФ и основные задачи по ее обеспечению);
2. Методы обеспечения ИБ РФ (особенности обеспечения ИБ РФ в различных сферах общественной жизни, международное сотрудничество в области обеспечения ИБ);
3. Основные положения государственной политики обеспечения ИБ РФ (первоочередные мероприятия по реализации государственной политики безопасности в РФ);
4. Организационная основа обеспечения ИБ РФ (основные функции систем обеспечения ИБ РФ, основные элементы организационной основы систем обеспечения ИБ РФ).
В основу законов, позволяющих отнести информацию к тому или иному разряду тайн, положены принципы информационного суверенитета и международные правила. Регулирование отношений, возникающих в связи с отнесением сведений к государственной тайне, их засекречиванием и рассекречиванием в интересах обеспечения безопасности Российской Федерации, осуществляется в соответствии с законом «О государственной тайне» [19].
Государственная тайна – защищаемые государственные сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которой может нанести ущерб безопасности Российской Федерации.
Носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отражение в виде символов, образов, сигналов, технических решений и процессов.
Гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.
Степень секретности – категория, характеризующая важность такой информации, возможный ущерб в случае ее разглашения, степень ограничения доступа к ней и уровень ее охраны государством.
2.3.2. Перечень сведений, составляющих государственную тайну Государственную тайну составляют:
1. Сведения в военной области:
- о содержании стратегических и оперативных планов и о других документах боевого управления; о подготовке и проведении военных операций, стратегическом и мобилизационном развертывании войск и об их важнейших показателях, характеризующих организацию, численность, дислокацию, боевую и мобилизационную готовность, боевую и другую военную подготовку, вооружение и материально-техническое обеспечение Вооруженных Сил, Пограничных войск и прочих воинских формирований;
- о направлении развития отдельных видов вооружения и военной техники, их количестве, тактико-технических характеристиках, организации и технологии производства, научно-исследовательских и опытно-конструкторских работах, связанных с разработкой новых образцов вооружения и военной техники, модернизации существующих образцов, а также о других работах, планируемых или осуществляемых в интересах страны;
- о силах и средствах Гражданской обороны, о готовности населенных пунктов, регионов и отдельных объектов к защите, эвакуации и рассредоточению населения, к обеспечению его жизнедеятельности и производственной деятельности объектов народного хозяйства в военное время или в условиях других чрезвычайных ситуаций;
- о геодезических, гравиметрических, картографических, гидрографических и гидрометеорологических данных и характеристиках, имеющих значение для обороны страны.
2. Сведения в области экономики, науки и техники:
- о мобилизационных планах и мощностях народного хозяйства, запасах и объемах поставок стратегических видов сырья и материалов, а также о размещении и объемах государственных мобилизационных материальных резервов;
- об использовании транспорта, связи, других отраслей и объектов инфраструктуры страны в интересах обеспечения ее безопасности;
- о содержании, объеме, финансировании и выполнении государственного оборонного заказа;
- о планах, объемах и других важнейших характеристиках добычи, производства и реализации отдельных стратегических видов сырья и продукции;
- о государственных запасах драгоценных металлов монетарной группы, драгоценных камней, валюты и других ценностей, об операциях, связанных с изготовлением денежных знаков и ценных бумаг, их хранением, охраной и защитой от подделки, обращением, обменом или изъятием, а также о других особых мерах финансовой деятельности государства.
3. Сведения в сфере внешних отношений:
- о директивах, планах, указаниях делегациям и должностным лицам по вопросам внешнеполитической и внешнеэкономической деятельности;
- о финансовой политике в отношении иностранных государств (за исключением обобщенных показателей по внешней задолженности), а также о финансовой или денежно-кредитной деятельности, преждевременное распространение которых может нанести ущерб безопасности государства;
- о военном, научно-техническом и ином сотрудничестве с разными странами, если разглашение сведений об этом может нанести ущерб интересам государства;
- об экспорте и импорте вооружения, военной техники, отдельных стратегических видов сырья и продукции.
4. сведения в области государственной безопасности и охраны правопорядка:
- о силах, средствах, источниках, планах и результатах разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также данные о финансировании этой деятельности, если они раскрывают перечисленные сведения;
- о лицах, которые сотрудничают или раньше сотрудничали на конфиденциальной основе с органами. Осуществляющими такую деятельность;
- об организации, о силах, средствах и методах обеспечения безопасности объектов государственной охраны, а также данные о финансировании этой деятельности, если они раскрывают перечисленные сведения;
- о системе президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи, о шифрах, о разработке, об изготовлении шифров и обеспечении ими, о методах и средствах анализа шифровальных средств и средств специальной защиты, об информационно-аналитических системах специального назначения;
- о методах и средствах защиты секретной информации;
- об организации и о фактическом состоянии защиты государственной тайны;
- о защите Государственной границы Российской Федерации;
- о расходах федерального бюджета, связанных с обеспечением обороны, безопасности государства и правительственной деятельности в Российской Федерации;
- о разработке и использовании шифров, работе с ними, проведении научно-исследовательских работ в области криптографии;
- о подготовке кадров, раскрывающие мероприятия, проводимые в целях обеспечения безопасности государства.
Сведения могут быть отнесены к государственной тайне лишь при условии, что их разглашение будет наносить ущерб жизненно важным интересам государства. Запрещается отнесение к государственной тайне каких-либо сведений, нарушающих конституционные права человека и гражданина или наносящих вред здоровью и безопасности населения.
2.3.3. Сведения, не подлежащие отнесению к государственной тайне и засекречиванию Не подлежит отнесению к государственной тайне и засекречиванию информация:
- о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;
- о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;
- о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
- о фактах нарушения прав и свобод человека и гражданина;
- о размерах золотого запаса и государственных валютных резервах;
- о состоянии здоровья высших должностных лиц Российской Федерации;
- о фактах нарушения законности органами государственной власти и их должностными лицами.
Должностные лица, принявшие решение о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба. Граждане вправе обжаловать такие решения в суд.
2.3.4. Принципы засекречивания сведений и отнесения их Отнесение сведений к государственной тайне и их засекречивание осуществляется в соответствии с принципами законности, обоснованности и своевременности.
Законность – это соответствие относимых к государственной тайне и засекречиваемых сведений положениям Закона и законодательству Российской Федерации о государственной тайне.
Обоснованность – Установление путем экспертных оценок целесообразности отнесения к государственной тайне и засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта, исходя из баланса жизненно важных интересов государства, общества и граждан.
Своевременность – заключается в установлении ограничений на распространение засекречиваемых сведений с момента их получения (разработки) или заблаговременно.
2.3.5. Степени секретности сведений и грифы секретности Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие их распространения.
Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности» - высший гриф секретности, «совершенно секретно» и «секретно».
Порядок определения размеров ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения сведений, составляющих государственную тайну, и правила отнесения указанных сведений к той или иной степени секретности устанавливаются Правительством Российской Федерации.
Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.
2.3.6. Порядок отнесения сведений к государственной тайне Отнесение сведений к государственной тайне осуществляется мотивированным решением государственного эксперта по вопросам тайн. В его решении указывается: информация, представляющая государственную тайну, основания отнесения сведений к государственной тайне и, в случае ее разглашения, обоснование ущерба жизненно важным интересам государства, степень секретности, срок действия решения об отнесении сведений к государственной тайне и др.
Отнесение сведений к государственной тайне осуществляется в соответствии с Перечнем сведений, составляющих государственную тайну. В этом Перечне указываются органы государственной власти, наделяемые полномочиями по распоряжению данными сведениями. Перечень утверждается Президентом Российской Федерации, подлежит открытому опубликованию и пересматривается по мере необходимости. Органы государственной власти в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью могут создавать развернутые перечни сведений, представляющих государственную тайну. Эти перечни утверждаются соответствующими руководителями органов государственной власти. Целесообразность засекречивания таких перечней определяется их содержанием.
Информация считается государственной тайной со времени ее включения в Перечень сведений, составляющих государственную тайну.
Снижение степени секретности информации и отмена решения об отнесении ее к государственной тайне осуществляются на основании заключения государственного эксперта по вопросам тайн или, без такового заключения в связи с истечением сроков действия решений об отнесении информации к государственной тайне.
Засекречивание информации, отнесение ее к государственной тайне, осуществляется путем предоставления соответствующему документу, изделию или другому материальному носителю информации грифа секретности.
Гриф секретности является обязательным реквизитом каждого носителя информации, отнесенной к государственной тайне. Он должен содержать сведения о степени секретности данной информации, сроке засекречивания и должностном лице, предоставившем гриф.
Перечень должностных лиц, имеющих право предоставлять носителям информации гриф секретности, утверждается руководителем предприятия, учреждения или организации, осуществляющими деятельность, связанную с государственной тайной.
2.3.7. Порядок засекречивания сведений и их носителей Основанием для засекречивания сведений, полученных (разработанных) в результате управленческой, производственной, научной и иных видов деятельности органов государственной власти, предприятий, учреждений и организаций, является их соответствие действующим в данных органах, на данных предприятиях, в данных учреждениях и организациях перечням сведений, подлежащих засекречиванию. При засекречивании этих сведений их носителям присваивается гриф секретности.
При невозможности идентификации полученных (разработанных) сведений со сведениями, содержащимися в действующем перечне, должностные лица органов государственной власти, предприятий, учреждений и организаций обязаны обеспечить предварительное засекречивание полученных (разработанных) сведений в соответствии с предполагаемой степенью секретности и в месячный срок направлять в адрес должностного лица, утвердившего указанный перечень, предложения по его дополнению (изменению).
Должностные лица, утвердившие действующий перечень, обязаны в течение трех месяцев организовать экспертную оценку поступивших предложений и принять решение по дополнению (изменению) действующего перечня или снятию предварительно присвоенного сведениям грифа секретности.
2.3.8. Реквизиты носителей сведений, составляющих На носители сведений, составляющих государственную тайну, наносятся реквизиты, включающие следующие данные:
- о степени секретности содержащихся в носителе сведений со ссылкой на соответствующий пункт действующего в данном органе государственной власти, на данном предприятии, в данных учреждениях и организациях перечня сведений, подлежащих засекречиванию;
- об органе государственной власти, о предприятии, об учреждении, организации, осуществляющих засекречивание носителя;
- о регистрации носителя;
- о дате или условии рассекречивания сведений либо о событии, после наступления которого сведения будут рассекречены.
При невозможности нанесения таких реквизитов на носитель сведений, составляющих государственную тайну, эти данные указываются в сопроводительной документации на этот носитель.
Если носитель содержит составные части с различными степенями секретности, каждой их них присваивается соответствующий гриф секретности, а носителю в целом присваивается гриф секретности, соответствующий тому грифу секретности, который присваивается его составной части, имеющей высшую для данного носителя степень секретности сведений.
2.3.9. Порядок рассекречивания сведений и их носителей Рассекречивание сведений и их носителей – снятие ранее введенных в предусмотренном порядке ограничение на распространение сведений, составляющих государственную тайну, и на доступ к их носителям.
Основанием для рассекречивания требований являются:
- принятие на себя Российской Федерацией международных обязательств по открытому обмену сведениями, составляющими государственную тайну;
- изменение объективных обстоятельств, вследствие которого дальнейшая защита сведений, составляющих государственную тайну, является нецелесообразной.
Органы государственной власти, имеющие полномочия по отнесению сведений к государственной тайне, обязаны периодически, но не реже чем через каждые 5 лет, пересматривать содержание действующих в органах государственной власти, на предприятиях, в учреждениях и организациях перечней сведений, подлежащих засекречиванию, в части обоснованности их засекречивания и соответствия установленной ранее степени секретности.
Срок засекречивания сведений, составляющих государственную тайну, не должен превышать 30 лет. В исключительных случаях это срок может быть продлен по заключению межведомственной комиссии по защите государственной тайны.
Правом изменения действующих в органах государственной власти, на предприятиях, в учреждениях и организациях перечней сведений, подлежащих засекречиванию, наделяются утвердившие их руководители органов государственной власти, которые несут персональную ответственность за обоснованность принятых ими решений по рассекречиванию сведений. Решения указанных руководителей, связанные с изменением перечня сведений, отнесенных к государственной тайне, подлежат согласованию с межведомственной комиссией по защите государственной тайны, которая вправе приостанавливать и опротестовывать эти решения.
Понятия допуска и доступа к сведениям, составляющим государственную тайну, являются взаимосвязанными, но не тождественными (допуск всегда должен предшествовать доступу, который определяется как санкционированное полномочными должностными лицами ознакомление конкретного лица со сведениями, составляющих государственную тайну). На практике право доступа может быть не реализовано после оформления допуска, например, в случае смены работы или отсутствия необходимости в ознакомлении с соответствующей информацией.
В соответствии с рассмотренными выше тремя степенями секретности и соответствующими им грифами секретности устанавливаются следующие формы допуска:
первая форма (ф. 1) – для граждан, допускаемых к сведениям особой важности;
вторая форма (ф. 2) – для граждан, допускаемых к совершенно секретным сведениям;
третья форма (ф. 3) – для граждан, допускаемых к секретным сведениям.
Первая форма допуска дает право на ознакомление со сведениями, составляющими государственную тайну, всех трех степеней секретности. Вторая форма допуска дает право на ознакомление со сведениями, имеющими степени секретности «совершенно секретно» и «секретно». Третья форма допуска дает право на ознакомление со сведениями, имеющими степень секретности «секретно».
В соответствии и Законом Российской Федерации «о государственной тайне» допуск должностных лиц и граждан Российской Федерации к государственной тайне осуществляется в добровольном порядке. Оформление допуска гражданину предусматривает:
- принятие им на себя обязательств перед государством по нераспространению доверенных сведений, составляющих государственную тайну;
- его согласие на частичные временные ограничения прав, связанные с проведением в отношении него проверочных мероприятий;
- письменное согласие на проведение полномочными органами проверочных мероприятий;
- ознакомление с нормами законодательства Российской Федерации о государственной тайне, предусматривающими ответственность за его нарушение;
- принятие соответствующего решения руководителем организации о допуске оформляемого лица к государственной тайне;
- определение видов, размеров и порядка предоставления льгот, предусмотренных Законом.
Таким образом, оформление допуска является осознанным и добровольным сообщением о себе гражданином установленного законом минимума информации о себе, проверка достоверности этих сведений органами государственной власти (федеральной службой безопасности – ФСБ), принятие полномочным должностным лицом (руководителем предприятия, организации, учреждения) решения о допуске и заключение с гражданином соответствующего договора с взаимными обязательствами Решение об отказе должностному лицу или гражданину в допуске к государственной тайне принимается руководителем органа государственной власти предприятия, учреждения или организации.
Допуск лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне осуществляется в порядке, установленном постановлением Правительства Российской Федерации от 22 августа 1998 года № 1003.
2.3.11. Уголовно-правовая защита информации, составляющей За посягательство на государственную тайну предусмотрена уголовная ответственность независимо от того, к какой области (военной, экономической, научно- технической, внешнеполитической, внешнеэкономической, разведывательной, контрразведывательной или оперативно-розыскной деятельности) и к какой степени секретности (особой важности, совершенно секретным или секретным) относятся сведения, составляющие государственную тайну. Область государственной деятельности и степень секретности учитываются при назначении наказания за соответствующее посягательство. При назначении наказания учитываются также последствия, к которым привело конкретное посягательство на государственную тайну.
УК РФ от 13.06.1996 № 63-ФЗ предусматривает уголовную ответственность за следующие восемь видов посягательств на государственную тайну:
- шпионаж (ст. ст. 275, 276 УК РФ);
- выдача государственной тайны иностранному государству, иностранной организации или их представителям ( ст. 275 УК РФ);
- иное оказание помощи иностранному государству, иностранной организации или их представителям ( ст. 275 УК РФ);
- разглашение государственной тайны (ст. 283 УК РФ);
- утрата документов, содержащих гостайну, или предметов, сведения о которых составляют гостайну (ст. 284 УК РФ);
- уничтожение, блокирование, модификация или копирование охраняемой законом компьютерной информации ( в том числе содержащей государственную тайну) в результате неправомерного доступа к ней (ст. 272 УК РФ) или нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ);
- поставление охраняемой законом компьютерной информации ( в том числе содержащей государственную тайну) в заведомую опасность несанкционированного уничтожения, блокирования или копирования в результате создания или распространения вредоносных программ для ЭВМ (ст. 283 УК РФ);
- похищение, уничтожение, повреждение или сокрытие официальных документов ( в том числе содержащих государственную тайну) (ст. 325, часть УК РФ).
Рассмотрим непосредственное содержание указанных выше статей.
Статья 275. Государственная измена Государственная измена, т. е. шпионаж, выдача государственной тайны либо иное оказание помощи иностранному государству, иностранной организации или их представителям в проведении враждебной деятельности в ущерб внешней безопасности РФ, совершенная гражданином РФ, - наказывается лишением свободы на срок от двенадцати до двадцати лет с конфискацией имущества или без таковой.
Примечание. Лицо, совершившее преступления, предусмотренные настоящей статьей, а также ст. 276, освобождается от уголовной ответственности, если оно добровольным и своевременным сообщением органам власти или иным образом способствовало предотвращению дальнейшего интересам РФ и если в его действиях не содержится иного состава преступления.
Статья 276. Шпионаж Передача, а равно собирание, похищение или хранение в целях передачи иностранному государству, иностранной организации или их представителям сведений, составляющих государственную тайну, а также передача или собирание по заданию иностранной разведки иных сведений для использования их в ущерб внешней безопасности РФ, если эти деяния совершены иностранным гражданином или лицом без гражданства, - наказывается лишением свободы на срок от десяти до двадцати лет.
Статья 283. Разглашение государственной тайны 1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены – наказывается арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Статья 284. Утрата документов, содержащих государственную тайну Нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с содержащими государственную тайну документами, а равно с предметами, сведения о которых составляют государственную тайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий, - наказывается ограничением свободы на срок до трех лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Кроме вышеперечисленных статей, в УК РФ включен еще ряд норм, направленных на защиту охраняемой законом информации. При этом под охраняемой законом информацией понимаются различные сведения, в число которых наряду с другими данными (содержащими личную, семейную, коммерческую, банковскую, служебную, профессиональную и другую тайну) входит и информация, составляющая государственную тайну. К эти нормам относятся следующие статьи.
Статья 272. Неправомерный доступ к компьютерной информации 1. Неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ 1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказывается лишением свободы на срок от двух до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказывается лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети 1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.
Статья 325. Похищение или повреждение документов, штампов, печатей Похищение, уничтожение, повреждение или сокрытие официальных документов, штампов или печатей, совершенные из корыстной или личной заинтересованности, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок до двух лет, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до одного года.
16 августа 2004 года вступил в действие Федеральный закон «О коммерческой тайне» [20], позволяющий упорядочить установление, функционирование и прекращение отношений, связанных с коммерческой тайной.
Закон регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников регулируемых отношений (в том числе государства, на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции). Закон также определяет сведения, которые не могут составлять коммерческую тайну.
Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства «ноу-хау»), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. К такой информации нет свободного доступа на законном основании и в отношении нее обладателем информации введен режим коммерческой тайны.
Режим коммерческой тайны - правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.
Обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.
Доступ к информации, составляющей коммерческую тайну, - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.
Передача информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности.
Контрагент - сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию.
Предоставление информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.
Разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.
2.4.2. Порядок отнесения информации к коммерческой тайне 1. Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю информации с учетом положений данного Закона.
2. Информация, самостоятельно полученная лицом при осуществлении исследований, систематических наблюдений или иной деятельности, считается полученной законным способом, даже если эта информация составляет коммерческую тайну и ей обладает другое лицо.
3. Информация, составляющая коммерческую тайну, считается полученной законно, если она получена от ее обладателя на основании договора.
4. Признаки информации, полученной незаконно:
полученная информация составляет коммерческую тайну и получатель умышленно преодолевал меры по ее охране;
получатель информации знал, что получает информацию от лица, не имеющего право на ее передачу получателю.
2.4.3. Сведения, которые не могут составлять коммерческую тайну Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:
1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
2.4.4. Права обладателя информации, составляющей Права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении такой информации режима коммерческой тайны. Обладатель имеет следующие права:
1) устанавливать, изменять и отменять режим коммерческой тайны;
2) использовать информацию, составляющую коммерческую тайну, для собственных нужд;
3) разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации;
4) вводить в гражданский оборот информацию, составляющую коммерческую тайну, на основании договоров, предусматривающих включение в них условий об охране конфиденциальности этой информации;
5) требовать от юридических и физических лиц, получивших доступ к информации, составляющей коммерческую тайну, органов государственной власти, органов местного самоуправления, которым предоставлена такая информация, соблюдения обязанностей по охране ее конфиденциальности;
6) требовать от лиц, получивших доступ к информации, составляющей коммерческую тайну, в результате действий, осуществленных случайно или по ошибке, охраны конфиденциальности этой информации;
7) защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.
Общими мерами обеспечения соблюдения конфиденциальности информации являются следующие:
разработка перечня информации, относящейся к коммерческой тайне;
ограничение и регламентирование доступа к носителям информации;
определение круга лиц, имеющих права доступа к информации;
разработка и закрепление правил по регулированию отношений по использованию информации, составляющей коммерческую тайну, в системе трудовых договоров, договоров с контрагентами;
нанесение на документы, договора, составляющие коммерческую тайну надписи «конфиденциальная информация», при этом необходимо указывать обладателя информации (место нахождения, наименование).
После принятия вышеуказанных мер режим коммерческой тайны считается установленным.
2.4.6. Ответственность за нарушение требований Федерального Нарушение требований закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством.
Статья 13.14 Кодекса об административных правонарушениях Разглашение информации, доступ к которой ограничен ФЗ (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа.
Статья 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом наказывается штрафом в размере до 80 тысяч рублей или в размере заработной платы или иного дохода осужденного за период от 1 до 6 месяцев либо лишением свободы на срок до 2-х лет.
2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, наказываются штрафом в размере до 120 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет либо лишением свободы на срок до 3 лет.
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, наказываются штрафом в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет либо лишением свободы на срок до 5 лет.
4. Деяния, предусмотренные частями 2-й или 3-ей статьи 183, повлекшие тяжкие последствия, наказываются лишением свободы на срок до 10 лет.
В январе 2007г. вступил в силу Федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных» [21]. Он регулирует отношения по обработке информации, относящейся к физическим лицам (субъектам персональных данных), в государственных и муниципальных органах юридическими и физическими лицами (операторами).
В соответствии с Законом:
персональные данные (ПД) - любая информация о физическом лице (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку ПД, а также определяющие цели и содержание обработки ПД;
обработка персональных данных - действия (операции) с ПД, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПД.
Обработка ПД может осуществляться оператором с согласия субъектов ПД с условием обеспечения их конфиденциальности.
В следующих случаях не требуется согласия субъекта ПД:
1) обработка ПД осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, ПД, которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка ПД осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
3) обработка ПД осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
4) обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;
5) обработка ПД необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка ПД осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
7) осуществляется обработка ПД, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.
Согласие субъекта на обработку его персональных данных На обработку своих ПД субъект должен дать согласие, причем он имеет право его отозвать в любой момент. Согласие может быть выражено в устной или письменной форме – в зависимости от категории ПД, а также характера их обработки.
Согласие субъекта ПД в письменной форме требуется в следующих случаях:
– при обработке специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обрабатывать такие сведения без письменного согласия субъекта категорически запрещено (за исключением случаев, когда они являются общедоступными). Письменное согласие на подобные действия необходимо, даже если субъекта ПД и оператора связывают договорные отношения. В общественных объединениях или религиозных организациях обработка специальных категорий ПД членов (участников) осуществляется при условии, что ПД не будут распространяться без согласия субъектов, данного в письменной форме;
– при обработке биометрических ПД – сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (сведения об особенностях строения папиллярных узоров пальцев рук человека, сетчатки глаз, о коде ДНК и т. д.). Это требование также должно соблюдаться даться независимо от наличия договорных отношений между субъектом ПД и оператором, кроме отношений, связанных с прохождением государственной гражданской службы;
– при передаче ПД субъекта оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства, не обеспечивающему адекватную защиту прав субъекта ПД.
В соответствии с Законом письменное согласие субъекта на обработку его персональных данных должно включать:
– фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта ПД;
– цель обработки ПД;
– перечень ПД, на обработку которых дается согласие субъекта ПД;
– перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
– срок, в течение которого действует согласие, а также порядок его отзыва.
Независимо от того, в письменной или устной форме получено согласие субъекта на обработку его ПД, на оператора возлагается обязанность по доказыванию факта получения такого согласия.
Права субъекта персональных данных Оператор обязан предоставить субъекту ПД доступ к его данным в любой момент по его просьбе. У субъекта есть право на получение следующей информации:
1) подтверждение факта обработки ПД оператором, а также цель такой обработки;
2) способы обработки ПД, применяемые оператором;
3) сведения о лицах, которые имеют доступ к ПД или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых ПД и источник их получения;
5) сроки обработки ПД, в т. ч. сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта ПД может повлечь за собой обработка его данных.
Если оператор осуществляет обработку ПД с нарушением требований закона, субъект вправе обжаловать его действия в Федеральную службу по надзору в сфере связи, которая является уполномоченным органом по защите прав субъектов персональных данных, или в суд.
Хранение ПД может реализовываться оператором как на материальных носителях, так и путем включения данных сведений в информационные системы ПД. Оператор при обработке подобной информации обязан принимать необходимые организационные и технические меры, в частности использовать шифровальные (криптографические) средства, для защиты ПД от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения и т. д.
Для хранения работодателем данных о лицах, с которыми его не связывают договорные отношения, обязательно получение согласия на их обработку.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД работника, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Под угрозой безопасности понимаются потенциально возможные воздействия, события, процессы или явления, которые прямо или косвенно могут нанести ущерб интересам субъектов информационных отношений.
Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в компьютерной системе (КС). С понятием угрозы безопасности тесно связано понятие уязвимости КС.
Уязвимость КС - это некоторое наиболее ранимое свойство системы, которое делает возможным возникновение и реализацию угрозы.
Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы. Таким образом, атака - это реализация угрозы безопасности.
Основная цель защиты КС - противодействие угрозам безопасности.
По цели воздействия различают следующие основные типы угроз безопасности:
• нарушение конфиденциальности (раскрытие) информации;
• нарушение целостности информации (ее полное или частичное уничтожение, искажение, фальсификация, дезинформация);
• нарушение (частичное или полное) работоспособности системы. Вывод из строя или неправомерное изменение режимов работы компонентов системы обработки информации, их модификация или подмена могут приводить к получению неверных результатов расчетов, отказам системы от потока информации (непризнанию одной из взаимодействующих сторон факта передачи или приема сообщений) и/или отказам в обслуживании конечных пользователей;
• несанкционированное тиражирование открытой информации (не являющейся конфиденциальной), например, программ, баз данных, разного рода документации, литературных произведений и т.д. в нарушение прав собственников информации, авторских прав и т.п. Информация, обладая свойствами материальных объектов, имеет такую особенность, как неисчерпаемость ресурса, что существенно затрудняет контроль за ее тиражированием.
Основными видами угроз безопасности КС и информации (угроз интересам субъектов информационных отношений) являются:
• стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар • сбои и отказы оборудования (технических средств) КС;
• последствия ошибок проектирования и разработки компонентов КС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);
• ошибки эксплуатации (пользователей, операторов и другого персонала);
• преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).
Естественные угрозы - это угрозы, вызванные воздействиями на КС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы - это угрозы КС, вызванные деятельностью человека. Среди искусственных угроз, исходя из мотивации действий, можно выделить:
• непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
• преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Источники угроз по отношению к КС могут быть внешними или внутренними (компоненты самой КС - ее аппаратура, программы, персонал).
3.1. Основные непреднамеренные искусственные угрозы Основные непреднамеренные искусственные угрозы КС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) [11 ]:
1) неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
2) неправомерное отключение оборудования или изменение режимов работы устройств и программ;
3) неумышленная порча носителей информации;
4) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
5) нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
6) заражение компьютера вирусами;
7) неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;
8) разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);
9) проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;
10) игнорирование организационных ограничений (установленных правил) при работе в системе;
11) вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);
12) некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;
13) пересылка данных по ошибочному адресу абонента (устройства);
14) ввод ошибочных данных;
15) неумышленное повреждение каналов связи.
3.2. Основные преднамеренные искусственные угрозы Основные возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:
1) физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);
2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);
3) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);
4) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);
5) вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;
6) применение подслушивающих устройств, дистанционная фото- и видеосъемка и т.п.;
7) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);
8) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
9) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ);
10) несанкционированное копирование носителей информации;
11) хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);
12) чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
13) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования;
14) незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад");
15) несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;
16) вскрытие шифров криптозащиты информации;
17) внедрение аппаратных спецвложений, программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;
18) незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;
19) незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.
Чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.
Выше мы рассмотрели два основных класса потенциальных угроз по природе их возникновения: естественные и искусственные. Но наряду с этим угрозы можно классифицировать и по различным аспектам реализации, наиболее полно изложенным в [ 12, 13 ], и показывающим возможный спектр угроз безопасности КС.
Классификация угроз по цели:
- несанкционированное чтение информации, - несанкционированное изменение информации, - несанкционированное уничтожение информации, полное или частичное разрушение КС (от кратковременного вывода из строя отдельных модулей до физического стирания системных файлов);
Классификация угроз по принципу воздействия на КС:
- использование легальных каналов получения информации (например, несанкционированное чтение из файла), - использование скрытых каналов получения информации (например, недокументированных возможностей ОС), - создание новых каналов получения информации (например, с помощью программных закладок).
Классификация угроз по характеру воздействия на КС:
- активное воздействие – несанкционированные действия в системе, - пассивное воздействие – несанкционированное наблюдение за процессами в системе.
Классификация угроз по типу используемой слабости защиты:
- неадекватная политика безопасности (в том числе ошибки администратора), - ошибки и недокументированные возможности ПО (так называемые «люки» - встроенные в систему специальные входы, предназначенные для тестирования или отладки, но случайно оставленные, что позволяет обходить систему защиты), - ранее внедренные программные закладки.
Классификация угроз по способу воздействия на объект атаки:
- непосредственное превышение пользователем своих полномочий, - работа от имени другого пользователя или перехват результатов его работы.
Классификация угроз по способу действий нарушителя (злоумышленника):
- в интерактивном режиме (вручную), - в пакетном режиме (с помощью специальных программ, без участия пользователя).
Классификация угроз по используемым средствам атаки:
- штатные средства без использования дополнительного ПО, - ПО третьих фирм (вирусы, вредоносные программы; ПО, разработанное для других целей – отладчики, сетевые мониторы и т. д.).
Классификация угроз по объекту атаки:
- аппаратные средства (оборудование), - программное обеспечение, - данные, - персонал.
Возможные пути реализации угроз безопасности для перечисленных объектов атаки представлены в таблице 1 [ 9 ]:
Таблица 1. Пути реализации угроз безопасности НСД - подключение; НСД - подключение; ис- НСД - изменение режиАппаратные использование ре- пользование ресурсов; мов; вывод из строя:
средства сурсов; хищение но- модификация, изменение разрушение НСД - копирование; НСД, внедрение "троян- НСД – искажение; удахищение; перехват ского коня", "вирусов", ление: подмена НСД - копирование; НСД - искажение; моди- НСД - искажение; удалехищение; перехват фикация ние; подмена Данные Разглашение; пере- "Маскарад": вербовка; Уход с рабочего места:
дача сведений о за- подкуп персонала физическое устранение Персонал 3.4. Описание модели гипотетического нарушителя Важной составляющей успешного проведения анализа риска и определения требований к составу и характеристикам системы защиты информации является подготовка гипотетической модели потенциального нарушителя. При этом необходимо учитывать, что [ 14 ]:
• квалификация нарушителя может быть на уровне разработчика данной системы;
• нарушителем может быть как постороннее лицо, так и законный пользователь системы;
• нарушителю известна информация о принципах работы системы;
• нарушитель выберет наиболее слабое звено в защите.
Кроме того, при разработке модели нарушителя необходимо:
1) определить, к какой категории лиц он может принадлежать:
- из числа внутренних субъектов – непосредственный персонал системы, - из числа внешних (посторонних) лиц – клиенты, посетители, представители систем жизнеобеспечения, конкуренты, наемники, случайные люди;
2) выявить цели и мотивы действий нарушителя (безответственность, самоутверждение, корыстный интерес);
3) учесть возможные ограничения на действия нарушителя.
Всех нарушителей можно классифицировать следующим образом.
По уровню знаний о КС:
• знает функциональные особенности КС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;
• обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
• обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
• знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.
По уровню возможностей (используемым методам и средствам):
• применяющий чисто агентурные методы получения сведений;
• применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);
• использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;
• применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).
По времени действия:
• в процессе функционирования КС (во время работы системы);
• в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);
• как в процессе функционирования КС, так и в период неактивности компонентов системы.
По месту действия:
• без доступа на контролируемую территорию организации;
• с контролируемой территории без доступа в здания и сооружения;
• внутри помещений, но без доступа к техническим средствам КС;
• с рабочих мест конечных пользователей (операторов) КС;
• с доступом в зону данных (баз данных, архивов и т.п.);
• с доступом в зону управления средствами обеспечения безопасности КС.
Могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:
• работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;
• нарушитель, планируя попытки НСД, скрывает свои несанкционированные действия от других сотрудников;
• НСД может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т.д.
Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован значениями характеристик, приведенных выше.
4. Классификация мер обеспечения безопасности компьютерных систем Среди мер обеспечения информационной безопасности КС обычно выделяют следующие: нормативно-правовые (законодательные), моральноэтические, административные, физические, программно-аппаратные [ 6 ].
К нормативно-правовым мерам защиты относятся действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.
Нормативно-правовые меры направлены на решение следующих вопросов [ 11 ]:
- отнесение информации к категориям открытого и ограниченного доступа;
- определение полномочий по доступу к информации;
- права должностных лиц на установление и изменение полномочий;
- способы и процедуры доступа;
«