Что такое внутренние угрозы
внутренняя угроза
2.10.3 внутренняя угроза: Угроза охраняемому объекту, исходящая от внутреннего нарушителя
Смотреть что такое «внутренняя угроза» в других словарях:
внутренняя угроза — Угроза, охраняемому объекту, исходящая от внутреннего нарушителя. [РД 25.03.001 2002] Тематики системы охраны и безопасности объектов EN interior treat … Справочник технического переводчика
внутренняя угроза — угроза, исходящая от внутреннего нарушителя; ПП РФ от 19 июля 2007 г. N 456 «Об утверждении правил физической защиты ядерных материалов, ядерных установок и пунктов хранения ядерных материалов» … Комплексное обеспечение безопасности и антитеррористической защищенности зданий и сооружений
УГРОЗА ВНУТРЕННЯЯ — ВНУТРЕННЯЯ УГРОЗА … Юридическая энциклопедия
Угроза внутренняя — Внутренняя угроза угроза, исходящая от внутреннего нарушителя. Источник: РАСПОРЯЖЕНИЕ Минтранса РФ от 02.08.2001 N ВР 69 р ОБ УТВЕРЖДЕНИИ РД 31.2.01 2001 ПОЛОЖЕНИЕ ОБ ОБЕСПЕЧЕНИИ ФИЗИЧЕСКОЙ ЗАЩИТЫ СУДОВ С ЯДЕРНЫМИ ЭНЕРГЕТИЧЕСКИМИ УСТАНОВКАМИ И… … Официальная терминология
Внутренняя политика России в период президентства Владимира Путина — Политика Портал:Политика Россия Эта статья часть серии: Политическая система России Политическая система Конституция России … Википедия
Внутренняя и внешняя политика Англии в XVI в. — Абсолютизм Тюдоров В период разложения феодальных отношений и возникновения элементов капитализма в Англии, так же как и в других странах, создаётся феодально абсолютистская монархия. С 1485 по 1603 г. Англией правили короли из династии Тюдоров;… … Всемирная история. Энциклопедия
РД 25.03.001-2002: Системы охраны и безопасности объектов. Термины и определения — Терминология РД 25.03.001 2002: Системы охраны и безопасности объектов. Термины и определения: 2.36.8 аварийное освещение (на охраняемом объекте): Действующее при аварии на объекте только в момент отключения основного освещение, позволяющее… … Словарь-справочник терминов нормативно-технической документации
Список книг по «Звёздным войнам» — Здесь представлен список книг о мире «Звёздных войн». С выходом фильма Эпизод I. Скрытая угроза, Lucasfilm разделили все книги на эпохи, сопоставив каждому временному промежутку свой логотип. Содержание 1 Старая Республика … Википедия
Хронология «Звёздных войн» — Отсчёт времени во вселенной «Звёздных войн» ведётся относительно победы Альянса Повстанцев над Империей в битве у планеты Явин IV. Соответственно, даты обозначаются как «до я. б.»/«ДЯБ» (BBY) до Явинской битвы (англ. Before Battle of… … Википедия
Хронология «Звездных войн» — Отсчёт времени во вселенной «Звёздных войн» ведётся относительно победы Альянса Повстанцев над Империей в битве у планеты Явин IV. Соответственно, даты обозначаются как «до я. б.» (BBY) до Явинской битвы (англ. Before Battle of Yavin), и «п. я. б … Википедия
Безопасность бизнеса: выявляем угрозы и риски
Обеспечение безопасности бизнеса — это системная работа по своевременному выявлению, предупреждению, пресечению самих замыслов угроз у преступников, конкурентов, персонала компании. То есть всех, кто может нанести материальный или имиджевый ущерб предприятию. Поэтому «угроза» становится ключевым понятием в работе службы безопасности.
Угроза безопасности компании — это потенциально или реально возможное событие, процесс, действие или явление, которое способно нарушить ее устойчивость и развитие или привести к остановке деятельности. Недавно мы писали о принципах корпоративной безопасности, советуем вам также прочитать эту статью.
Корпоративная безопасность: 5 базовых угроз
Характеристики угроз
Источники агрессии могут быть внешними или внутренними. При выявлении угроз следует руководствоваться следующими признаками (сигналами):
После выявления угрозы наступает этап разработки мер по локализации или ее минимизации.
| Типы внешних угроз | Типы внутренних угроз |
| Угрозы, исходящие от криминальной среды | От внутренних угроз не застрахована ни одна коммерческая структура. В большей или меньшей степени они могут проявляться в любой компании: |
| Угрозы, исходящие от недобросовестных партнеров или конкурентов | Угрозы со стороны персонала компании |
| Агрессии, направленные на захват предприятия | Угрозы, связанные с организационной незащищенностью бизнеса |
| Агрессии со стороны средств массовой информации (черные PR-акции) | Угрозы, связанные с неэффективным управлением и организацией бизнес-процессов |
| Угрозы, исходящие со стороны государственных структур | Угрозы, связанные с эксплуатацией технических средств и средств автоматизации |
| Риски при проведении гражданско-правовых отношений с контрагентами | |
| Компьютерная агрессия | |
| Риски, связанные с политическими, экономическими, социальными и правовыми процессами в государстве и мировом сообществе | |
| Риски, связанные с природным и техногенным фактором | |
| Террористическая угроза |
Причины возникновения внешних и внутренних угроз
Рассмотрим 17 распространенных причин возникновения внешних и внутренних угроз для компании. В реальности их гораздо больше.
Причины возникновения внешних угроз
Причины возникновения внутренних угроз
Классификация сотрудников
Восемь преступлений из десяти происходит с участием работников. Чтобы определить степень риска, связанного с каждым сотрудником, используют классификатор — концепцию риска:
Пониженный риск
Сотрудники, которые вряд ли пойдут на компрометацию своей чести и достоинства, обычно в компании их 10% (российская статистика в этом случае соответствует общемировой). Они чувствительны к общественному мнению, дорожат своей репутацией.
Допустимый риск
Люди, которые могли бы при определенных условиях впасть в искушение, но по своим убеждениям близки первой группе. Они не пойдут на правонарушение, если будут обеспечены соответствующие меры контроля. Их около 80% и именно с ними нужно проводить постоянную профилактическую работу.
Высокий риск
Опасные преступники. Они будут создавать условия для хищения даже при жестких мерах контроля в компании. Их также 10%.
Базовые угрозы
Эксперты выделяют пять групп базовых угроз, которые связаны с конкурентной борьбой, человеческим фактором, деятельностью государства (коррупция, несовершенство законодательства, административный ресурс, проводимая политика), организованной преступностью, а также техногенными и природными факторами.
Степень вероятности
По степени вероятности угроза оценивается как реальная (вероятность может быть подсчитана исходя из статистики, экспертными методами, методами группового SWOT-анализа) или потенциальная. Отдаленность угрозы во времени делят на непосредственные, близкие (до одного года) и далекие (свыше одного года), в пространстве — на территории компании, на прилегающей территории, в стране и за границей.
Природа возникновения
По природе возникновения угрозы делятся на естественные (объективные, например, природные явления) и искусственные (субъективные, вызванные деятельностью человека). Субъективные угрозы могут быть преднамеренными и непреднамеренными).
Степени развития и этапы борьбы с угрозой
Во время развития угрозы проходят четыре этапа: они возникают, расширяются, стабилизируются, после чего происходит их ликвидация. Борьба с угрозами проходит в пять этапов:
Определение вариантов реализации угрозы, формирование модели потенциального нарушителя.
Определение вероятности наступления события.
Определение возможного ущерба от угрозы.
Создание системы защиты от угрозы, включая превентивные меры (предотвращение и профилактику).
Система защиты от угроз
Система защиты от угроз включает в себя предотвращение, обнаружение и ликвидацию последствий. При оценке угроз безопасности применяют теорию надежности (для угроз, создаваемых техническими средствами — сбои, отказы, ошибки), математическую статистику (например, стихийные бедствия), теорию вероятности (для описания угроз, создаваемых сотрудниками по халатности, небрежности), экспертные методы (для описания умышленных угроз). Основными методами, которые применяют корпоративные службы безопасности, являются экспертные методы — с их помощью можно оценить практически любые риски.
Нужно понимать, что проблема рано или поздно возникнет, в том или ином виде или процессе, и стремиться их предотвратить. Такой проблемой может стать пожар, поломка важного оборудования, отсутствие больного сотрудника на работе, авария, хищение, мошенничество.
Управление безопасностью равно управлению рисками. Анализ рисков включает классификацию ресурсов (что надо защищать), анализ угроз (от чего надо защищать), анализ уязвимостей (как надо защищать). При этом формула риска такова:
Риск = возможный ущерб * вероятность реализации угрозы
После его подсчета разрабатывается план защиты, который учитывает организационные и технические меры.
Как обосновать бюджет на безопасность
Управлять проблемами предприятия поможет риск-менеджмент. Служба безопасности должна анализировать и рассчитывать риски, выстраивая всю систему работы на основе данных. Чтобы обосновать бюджет службы, директор по безопасности должен уметь оценивать риски и составлять карты рисков, в которых планируются мероприятия по их минимизации, а также закладываются средства на борьбу с ними.
Статья подготовлена на основе лекции Сергея Барбашева, преподавателя РШУ, эксперта по корпоративной безопасности.
Развивайтесь вместе с нами: в каталоге Русской Школы Управления более 700 онлайн-трансляций и 500 дистанционных курсов. Учитесь в удобном формате в любое время и в любом месте!
Светлана Щербак Автор медиапортала Русской Школы Управления
ЗАКОН РФ «О БЕЗОПАСНОСТИ» № 2446-1 от 5 марта 1992 года (в ред. Закона РФ от 25.12.92 № 4235-1, Указа Президента РФ от 24.12.93 № 2288)
«О БЕЗОПАСНОСТИ» № 2446-1
от 5 марта 1992 года
(в ред. Закона РФ от 25.12.92 № 4235-1, Указа Президента РФ от 24.12.93 № 2288)
Настоящий Закон закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.
Раздел I . Общие положения
Статья 1. Понятие безопасности и ее объекты
Статья 2. Субъекты обеспечения безопасности
Основным субъектом обеспечения безопасности является государство, осуществляющее функции в этой области через органы законодательной, исполнительной и судебной властей.
Государство в соответствии с действующим законодательством обеспечивает безопасность каждого гражданина на территории Российской Федерации. Гражданам Российской Федерации, находящимся за ее пределами, государством гарантируется защита и покровительство.
Граждане, общественные и иные организации и объединения являются субъектами безопасности, обладают правами и обязанностями по участию в обеспечении безопасности в соответствии с законодательством Российской Федерации, законодательством республик в составе Российской Федерации, нормативными актами органов государственной власти и управления краев, областей, автономной области и автономных округов, принятыми в пределах их компетенции в данной сфере. Государство обеспечивает правовую и социальную защиту гражданам, общественным и иным организациям и объединениям, оказывающим содействие в обеспечении безопасности в соответствии с законом.
Статья 3. Угроза безопасности
Реальная и потенциальная угроза объектам безопасности, исходящая от внутренних и внешних источников опасности, определяет содержание деятельности по обеспечению внутренней и внешней безопасности.
Статья 4. Обеспечение безопасности
Безопасность достигается проведением единой государственной политики в области обеспечения безопасности, системой мер экономического, политического, организационного и иного характера, адекватных угрозам жизненно важным интересам личности, общества и государства.
Для создания и поддержания необходимого уровня защищенности объектов безопасности в Российской Федерации разрабатывается система правовых норм, регулирующих отношения в сфере безопасности, определяются основные направления деятельности органов государственной власти и управления в данной области, формируются или преобразуются органы обеспечения безопасности и механизм контроля и надзора за их деятельностью.
Для непосредственного выполнения функций по обеспечению безопасности личности, общества и государства в системе исполнительной власти в соответствии с законом образуются государственные органы обеспечения безопасности.
Статья 5. Принципы обеспечения безопасности
Основными принципами обеспечения безопасности являются:
соблюдение баланса жизненно важных интересов личности, общества и государства;
взаимная ответственность личности, общества и государства по обеспечению безопасности;
интеграция с международными системами безопасности.
Статья 6. Законодательные основы обеспечения безопасности
Законодательные основы обеспечения безопасности составляют Конституция РСФСР, настоящий Закон, законы и другие нормативные акты Российской Федерации, регулирующие отношения в области безопасности; конституции, законы, иные нормативные акты республик в составе Российской Федерации и нормативные акты органов государственной власти и управления краев, областей, автономной области и автономных округов, принятые в пределах их компетенции в данной сфере; международные договоры и соглашения, заключенные или признанные Российской Федерацией.
Статья 7. Соблюдение прав и свобод граждан при обеспечении безопасности
При обеспечении безопасности не допускается ограничение прав и свобод граждан, за исключением случаев, прямо предусмотренных законом.
Граждане, общественные и иные организации и объединения имеют право получать разъяснения по поводу ограничения их прав и свобод от органов, обеспечивающих безопасность. По их требованию такие разъяснения даются в письменной форме в установленные законодательством сроки.
Должностные лица, превысившие свои полномочия в процессе деятельности по обеспечению безопасности, несут ответственность в соответствии с законодательством.
Как устранить внутренние угрозы в финансовых организациях в условиях удаленной работы
За последние два года количество инсайдерских угроз выросло на 47%, указывая на все возрастающую важность данной проблемы. Это опасность, от которой не застрахована ни одна организация, а руководители прекрасно знают следующее: две трети компаний считают внутренние угрозы более серьезной проблемой, чем внешние. Так считает Рене Тарун, заместитель директора по информационной безопасности в Fortinet (Renee Tarun, Deputy CISO at Fortinet).
В данном контексте финансовые организации особенно уязвимы — они являются естественной целью, в первую очередь из-за того, что типы данных, которые они собирают — финансовые и личные — дорого ценятся на рынке при перепродаже. Учитывая это, неудивительно, что в финансовых компаниях фиксируется больше нарушений безопасности, исходящих изнутри, чем в организациях из любого другого сектора рынка.
Виды инсайдерских угроз
Почти каждый сотрудник может нести угрозу — все, что для этого требуется, это доступ к конфиденциальной информации или просто доступ к офису компании, независимо от того, работает ли человек в данной организации или нет. Например, бывшие сотрудники, внешние консультанты, члены совета директоров или текущие сотрудники. Уборщики, кстати, тоже.
В зависимости от намерений субъекта и обстоятельств происшествия, можно выделить 3 основных типа таких угроз:
Ненамеренная инсайдерская угроза
Случаи неумышленного нанесения вреда бывают разные. Сотрудник, который кликает на фишинговое электронное письмо, неосознанно помогая распространить вредоносный код по сети. Или менеджер, который устанавливает несанкционированное ПО или использует Shadow IT. Это может быть человек, который использует дату своего рождения в качестве пароля, или тот, кто записывает свои данные для аутентификации в корпоративной сети на клочке бумаги под клавиатурой.
Это даже может быть излишне самоуверенный сотрудник IT подразделения, который некорректно устанавливает патч на системы безопасности, открывая бэкдор для входа в сеть из дома, неправильно настраивает сетевой компонент системы или забывает изменить пароль по умолчанию на устройстве компании. Или кто-то просто забывает запереть дверь или впускает кого-то не того в здание.
Другими словами, случайные внутренние угрозы появляются в результате небрежного, а иногда и безрассудного поведения, помогая злоумышленникам достигать своих целей.
Намеренный взлом
Сотрудники, имеющие злой умысел, с другой стороны, не являются безрассудными, небрежными или недостаточно информированными. Они точно знают, что делают, и у них есть мотив для взлома сети и кражи данных.
Например, недовольный специалист или тот, кому платят за использование своего служебного положения для предоставления доступа к сети.
Некоторые могут находиться в трудной финансовой ситуации, или работать на конкурентов, ожидая больше вознаграждения и карьерных перспектив. Банки и другие финансовые учреждения — явная мишень, ведь именно они имеют дело с денежными потоками. Бывает даже так, что человек идет на преступление исключительно из интереса или получает удовольствие от процесса.
Угрозы, исходящие от удаленных сотрудников
Это более свежая категория инсайдерских угроз. Уже несколько десятилетий у многих людей есть возможность работать из дома, но вместе с резким ростом количества удаленных сотрудников растут и риски для безопасности. Помимо подключения к корпоративной сети через потенциально небезопасную домашнюю или общедоступную сеть, эти работники могут также использовать личные устройства, которые не были приобретены, настроены и защищены IT-специалистами компании, тем самым еще сильнее усугубляя проблему. Также существует опасность, что люди, имеющие доступ к дому такого сотрудника или его сожители могут получить доступ и к рабочим устройствам.
Удаленные пользователи, работающие изолированно, с большей вероятностью станут жертвами атак с применением методов социальной инженерии, ведь они не могут просто пододвинутся на стуле к коллеге и спросить легитимны ли запросы злоумышленников. В условиях домашнего офиса меньше контроля и ограничений, что, к сожалению, ведет к ослаблению бдительности.
А в штаб-квартире компании IT специалисты также сталкиваются с проблемами, вызванными удаленными сотрудниками. Внешние соединения создают больше логов трафика и данных о событиях, которые необходимо анализировать, в то время как ресурсы отнюдь не бесконечны. Атака может просто затеряться в информационном шуме.
Управление рисками, связанными с инсайдерскими угрозами
Так как же IT специалисты компании могут отражать все более многочисленные инсайдерские угрозы?
Хотя управление традиционными внутренними рисками, вероятно, уже является частью IT-стратегии любой финансовой организации, эффективность мер, обеспечивающих кибербезопасность, может быть снижена в виду резкого роста количества удаленных сотрудников. Устранение угроз в таких условиях — сложная задача. Но существует ряд мер, способных помочь и с этим. Вот краткий список действий, которые помогут обезопасить удаленных работников:
Обезопасьте удаленные соединения. Шифрование данных в реальном времени имеет важное значение, поэтому следует использовать SSL и IPSec VPN вместе со строгой аутентификацией при подключении удаленных пользователей к сети и предоставлении им доступа к данным. Сюда также входит проверка зашифрованного трафика, поскольку туннели VPN могут быть так же легко, как и легальный трафик, использованы для передачи вредоносных программ и финансовых данных без обнаружения. Это потребует развертывания межсетевого экрана, производительность которого соответствует масштабу организации.
Шифруйте хранимые данные. Все конфиденциальные данные, в том числе те, которые хранятся на устройствах сотрудников, должны быть зашифрованы. Если это невозможно, удаленным сотрудникам следует запретить хранить данные на личных устройствах.
Применяйте технологии контроля доступа. IT-командам нужны все возможные ресурсы, способные обеспечивать видимость пользователей, устройств и приложений в сети, чтобы контролировать, кто и к каким приложениям имеет доступ. Автоматический контроль доступа — важный инструмент, который необходимо взять на вооружение.
Считайте безопасность конечных точек приоритетной. Атаки на конечные точки весьма распространены, что обуславливает необходимость регулярной оценки устройств на предмет наличия уязвимостей и сложных угроз. Важно использовать передовые решения безопасности, такие как EDR (endpoint detection and response — система обнаружения и реагирования на угрозы конечным точкам), обеспечивающая защиту от вредоносных программ и взломов в реальном времени. Эти решения также следует сочетать с целостной структурой безопасности, которая может автоматически обнаруживать, реагировать и управлять угрозами, тем самым защищая данные, сокращая время простоя системы и обеспечивая непрерывность бизнеса.
Отслеживайте необычную активность. Используйте технологии SIEM и SOAR для предупреждения об аномальных попытках входа в систему, необоснованной передаче больших объемов данных или других необычных сетевых событиях.
Обучайте удаленных сотрудников. Сотрудники должны знать и соблюдать политики безопасности, относящиеся к удаленной работе. Важно также акцентировать внимание на повышении осведомленности работников о методах социальной инженерии, таких как фишинг, смишинг и вишинг.
Борьба с инсайдерскими угрозами жизненно важна для обеспечения непрерывности бизнес-процессов.
Сегодня внутренние угрозы представляют беспрецедентную опасность для финансового сектора, особенно для тех организаций, которые перешли на удаленную работу для обеспечения непрерывности бизнеса. Хотя для защиты от внешних киберпреступников введены различные меры безопасности, традиционные методы не всегда учитывают угрозы, которые уже существуют внутри компании.
Понимание специфики существующих внутренних угроз и выполнение рекомендаций, изложенных выше, поможет лучше защитить вашу сеть, клиентов и сотрудников от новых рисков, обусловленных стратегией удаленной работы.
ВНИМАНИЕ!
Завтра на «Клерке» стартует обучение на онлайн-курсе повышения квалификации для получения удостоверения, которое попадет в госреестр. Тема курса: управленческий учет.
Повысьте свою ценность как специалиста в глазах директора. Смотреть полную программу
ТЕМА 1. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Цели и задачи изучения темы:
Оглавление:
1.1.Основные положения теории информационной безопасности информационных систем
На сегодняшний день сеть Интернет становится неотъемлемой частью ведения бизнеса, позволяющей работать с большими массивами информации и осуществлять мгновенную коммуникацию с географически разрозненными регионами. Глобальная сеть Интернет стала универсальным средством связи и общения. Вместе с тем, Интернет является очень трудно контролируемым каналом распространения информации, что приводит к тому, что средства World Wide Web нередко используются для получения несанкционированного доступа к конфиденциальной и закрытой коммерческой информации со стороны злоумышленников и различного рода мошенников. Сеть Интернет играет существенную роль и в так называемой «конкурентной» разведке – сборе сведений о действиях и планах конкурирующих организаций с целью дальнейшего ослабления их рыночных позиций. Различного рода информационные угрозы для деятельности предприятия могут создаваться как единичными мошенниками или хулиганствующими непрофессиональными субъектами, так и мощными, высокопрофессиональными организациями, задействованными в многоуровневых стратегиях конкурентной борьбы.
Специфика бизнеса, человеческий фактор, несовершенство законодательства и технические недостатки современных информационных систем обуславливают повышенный риск корпоративных информационных сетей. К основным нарушениям информационной безопасности, приносящим материальный ущерб, относятся: коммерческий шпионаж, утечки и потери информации из-за халатности сотрудников, внутренние инциденты с персоналом, компьютерные вирусы, нападения хакеров.
Ущерб, как известно, легче предотвратить, чем восполнить. С развитием информационных систем и средств их защиты одновременно совершенствуются и способы нападения со стороны злоумышленников.
Превалирующими по объему потерь преступлениями в информационной сфере являются:
При разработке эффективной защиты информационных систем должны быть поставлены следующие цели:
Адекватная защита информации требует соответствующей комбинации политики безопасности, организационных мер защиты, технических средств защиты, обучения и инструктажей пользователей и плана обеспечения непрерывной работы.
Задачи информационной безопасности (да и безопасности любого другого рода) сводятся, как правило, к минимизации ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий.
Соответственно, составляющими информационной безопасности являются:
Вкратце все это можно сформулировать следующим образом. Основными задачами информационной безопасности являются:
Все эти три задачи реализуются за счет проведения соответствующих организационных мероприятий и применения аппаратно/программных средств защиты конфиденциальной информации.
Виды противников или «нарушителей» информационной безопасности (ИБ). Среди внешних противников ИБ за последние годы существенно возросло число инцидентов, связанных с использованием так называемых брешей в системном программном обеспечении для несанкционированного проникновения через сеть Интернет в информационные ресурсы, увеличилось количество случаев нарушения нормальной работы из-за влияния программ-вирусов, возросло количество отказов в обслуживании, связанных с переполнением буфера при появлении «спама» в электронной почте.
Анализ структуры внутренних угроз показывает, что наиболее серьезные нарушения в области ИБ представляют такие негативные проявления человеческого фактора в работе персонала, как самовольная установка и использование нерегламентированного программного обеспечения, увеличение случаев использования оборудования и ресурсов в личных целях. Одновременно отмечается снижение количества случаев, связанных с установкой и использованием нерегламентированного оборудования вследствие ужесточения контроля со стороны администрации.
1.2. Нарушения информационной безопасности
Анализ угроз ИБ. О рганизация обеспечения ИБ должна носить комплексный характер. Она должна основываться на глубоком анализе всевозможных негативных последствий. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению (уязвимостей) и как следствие определение актуальных угроз информационной безопасности. Исходя из этого, моделирование и классификацию источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки:источники угроз – уязвимость – угроза (действие) – последствия.
Источники угроз – это потенциальные антропогенные, техногенные и стихийные угрозы безопасности.
Уязвимость – это присущие объекту ИС причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта ИС, свойствами архитектуры ИС, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформы, условиями эксплуатации, невнимательностью сотрудников.
Последствия – это возможные действия реализации угрозы при взаимодействии источника угрозы через имеющиеся уязвимости.
Классификация угроз информационной безопасности
Основными угрозами информации являются :
Классификация источников угроз ИБ
Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем источники угроз могут находиться как внутри ИС – внутренние источники, так и вне нее – внешние источники.
Все источники угроз информационной безопасности можно разделить на три основные группы:
Угрозы, как правило, появляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности в ИС. Уязвимости присущие ИС, неотделимы от нее, и обуславливаются недостатками процесса функционирования, свойствами архитектуры ИС, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.
Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации).
Устранение или существенно ослаблен ие уя звимостей, влияет на возможности реализации угроз безопасности информации.
Существуют следующая классификация уязвимостей:
Субъективные – зависят от действий сотрудников, в основном устраняются организационными и программно – аппаратными методами:
Случайные – зависят от особенностей окружающей ИС среды и непредвиденных обстоятельств.
Обзор потенциальных угроз безопасности.
Территориально распределенная структура ИС создает ряд предпосылок для реализации разнообразия потенциальных угроз ИБ, которые могут нанести ущерб ИС. Это разнообразие настолько велико, что не позволяет предусмотреть каждую угрозу. Поэтому анализируемые характеристики угроз надо выбирать с позиций здравого смысла, одновременно выявляя не только сами угрозы, размер потенциального ущерба, но их источники и уязвимости системы.
Для любой ИС характерны антропогенные, техногенные и стихийные источники угроз, которые воздействуют на систему через ее уязвимости, характерные для любой ИС (как бы она идеально не была построена), реализуя тем самым угрозы ИБ.
Определим потенциальные угрозы ИБ для ИС.
Антропогенные источники угроз ИБ
В качестве антропогенного источника угроз для ИС можно рассматривать субъекта (личность), имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними так и внутренними, как случайными, так и преднамеренными. Внутренние и внешние источники могут использовать различные классы уязвимостей: объективные, субъективные, случайные. Методы противодействия для данной группы управляемы, и напрямую зависят от службы безопасности.
Случайные (непреднамеренные). Данные источники могут использовать такие классы уязвимостей, как субъективные и случайные. Субъективные могут выражаться в ошибках, совершенных при проектировании ИС и ее элементов, ошибками в программном обеспечении. Случайные могут определятся различного рода сбоями и отказами, повреждениями, проявляемыми в ИС. К таким источникам можно отнести персонал поставщиков различного рода услуг, персонал надзорных организаций и аварийных служб, др. Действия (угрозы) исходящие от данных источников совершаются по незнанию, невнимательности или халатности, из любопытства, но без злого умысла. Основные угрозы от таких действий – уничтожение, блокирование, искажение информации.
Преднамеренные. Проявляются в корыстных устремлениях субъектов (злоумышленников). Основная цель таких источников – умышленная дезорганизация работы, вывода системы из строя, разглашения и искажения конфиденциальной информации за счет проникновение в систему посредством несанкционированного доступа (НСД) и утечки по техническим каналам. Угрозы от таких источников могут быть самые разные: хищение (копирование информации); уничтожение информации; модификация информации; нарушение доступности (блокирование) информации; навязывание ложной информации. В качестве таких источников могут выступать: потенциальные преступники (террористы) и хакеры; недобросовестные партнеры; представители силовых структур.
Для реализации этих угроз внешние преднамеренные источники могут использовать следующие три класса уязвимостей: объективные; субъективные; случайные. Каждым отдельным источником может использоваться определенный класс уязвимостей, в зависимости от преследуемой цели. Например, хакеры могут воспользоваться сбоями в программном обеспечении (случайные уязвимости), недобросовестные партнеры, для получения доступа к информации, могут воспользоваться активизируемыми программными закладками, встроенными в поставленном ими же программном обеспечении (объективные уязвимости), др.
Внутренние источники – как правило, представляют собой первоклассных специалистов в области эксплуатации программного обеспечения и технических средств, знакомых со спецификой решаемых задач, структурой и основными функциями и принципами работы программно – аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств ИС. К таким источника можно отнести: основной персонал; представителей служб безопасности; вспомогательный персонал; технических персонал (жизнеобеспечение, эксплуатация). Внутренние антропогенные источники, в связи с их положением в ИС, для реализации угроз, могут использовать каждый из классов уязвимостей (объективные, субъективные, случайные), опять же в зависимости от преследуемых целей. Угрозы от таких источников, также могут самые разные: хищение (копирование информации); уничтожение информации; модификация информации; нарушение доступности (блокирование) информации; навязывание ложной информации.
Угрозы этой группы, могут реализовываться различными методами: аналитические; технические; программные; социальные; организационные.
При организации защиты службы ИБ должны определять степень доступности каждого источника к защищенному объекту, квалификацию и привлекательность совершения деяний со стороны источника угрозы.
Меры защиты (противодействия) от таких источников должны тщательно продумываться, к ним можно отнести:
Список способов противодействия должен, в случае необходимости пополнятся новыми средствами защиты.
Источники угроз данной группы, напрямую зависят от свойств техники и, поэтому требуют не меньшего внимания. Данные источники также могут быть как внутренними, так и внешними.
Внешние источники – средства связи (телефонные линии); сети инженерных коммуникаций (водоснабжение, канализации).
Внутренние источники – некачественные технические средства обработки информации; некачественные программные средства обработки информации; вспомогательные средства охраны (охраны, сигнализации, телефонии); другие технические средства, применяемые в ИС.
Данная группа источников менее прогнозируема и напрямую зависит от свойств техники применяемой в ИС и поэтому требует особого внимания со стороны служб ИБ. Угрозы от таких источников могут быть следующие: потеря информации, искажение блокирование, др. Для предотвращения таких угроз необходимо использовать (по возможности) надежную вычислительную и другую необходимую для надежного функционирования технику, лицензионное программное обеспечение (ПО). Также во время анализа, не стоит упускать непредвиденные ошибки пользователей во время эксплуатации техники и ПО. Таки ошибки могут создать слабости, которыми в свою очередь могут воспользоваться злоумышленники. Согласно статистике, 65% потерь – следствие таких ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябанностью как пользователей, так и персонала.
Анализ угроз ИБ является одним из ключевых моментов политики безопасности любой ИС. Разрабатывая политику безопасности, соответствующим службам целесообразно использовать системный подход.
Под системностью понимается, прежде всего, то, что защита информации заключается не только в создании соответствующих механизмов, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла ИС, с применением единой совокупности законодательных, организационных и технических мер, направленных на выявление, отражение и ликвидации различных видов угроз информационной безопасности.
Однако, к сожалению, эти системы, призванные идентифицировать и отражать нападения хакеров, сами могут быть подвержены несанкционированным воздействиям, которые могут нарушить работоспособность этой системы, что не позволит ей выполнять поставленные перед ней задачи. По этой причине целесообразно рассмотреть единую классификацию (таксономию) атак на системы обнаружения вторжения.
В первую очередь обычно атакуют сенсор. Поскольку сенсор – это совокупность аппаратно/программных средств, то его работа невозможна без операционной системы, сетевого драйвера и сетевой карты. Рассмотрим возможные атаки на сенсор, начиная с самого «низа».
Сетевая карта. Этот компонент задействуется для двух целей – получение доступа к сетевому трафику, в котором ищутся следы атак (если речь не идет о специальных платах обнаружения атак, вставляемых в шасси коммутатора или маршрутизатора, или специальном ПО обнаружения атак для маршрутизатора), а также для передачи на консоль управления сигналов тревоги.
Сетевой драйвер. Неправильная реализация сетевого стека позволяет посылать на сенсор определенным образом сформированные пакеты, что приводит к блокировке системы («синий экран»).
Возможны вторжения через «прорехи» в операционных системах. Через этот компонент атаки на IDS более чем реальны.
Модуль захвата данных. В том случае, если он оперирует сетевыми пакетами, то достаточно послать на него либо нестандартные (т.е. несоответствующие) пакеты, либо организовать «лавинный» трафик, который сенсор не способен обработать. Если он оперирует журналом регистрации, то можно «переполнить» этот журнал и старые события будут перезаписаны новыми.
Подсистема реагирования. Даже если система IDS обнаружила атаку, то достаточно не дать ей прореагировать на нападение и эффективность системы обнаружения вторжений будет сведена к нулю.
Следующим компонентом системы обнаружения атак является сервер управления, на который и поступают сигналы тревоги от сенсора. Поскольку сервер управления в свою очередь взаимодействует с сенсором, консолью или базой данных, то если противник сможет заблокировать эти каналы, то система IDS не сможет нормально функционировать.
База данных, хранящая события. Кроме блокирования ее взаимодействия с сервером управления, противник может попытаться ее переполнить ложными сигналами тревоги.
Сетевое оборудование тоже может стать мишенью для хакеров, что приведет к нарушению взаимодействия между компонентами IDS. Например, можно отключить порт, к которому подключен любой из компонентов системы обнаружения атак.
Для проведения атак на систему обнаружения вторжений противник может использовать также и механизм аутентификации. Для этого достаточно удалить ключ аутентификации одного из компонентов IDS и процесс аутентификации уже не выполнится. Следовательно, компоненты не смогут обмениваться между собой информацией.
1.3. Концепция информационной безопасности
Концепция Информационной Безопасности – это система взглядов на проблему обеспечения Информационной Безопасности, взаимоувязывающая правовые, организационные и программно-аппаратные меры защиты и основанная на анализе защищенности информационной системы в разрезе видов угроз и динамики их развития.
Правовую основу Концепции должна составлять Конституция Российской Федерации, законы Российской Федерации «О безопасности», «О государственной тайне», «Об информации, информатизации и защите информации», Основы законодательства Российской Федерации об Архивном фонде и архивах, другие законодательные акты Российской Федерации, а также международные договоры и соглашения, заключенные или признанные Российской Федерацией, определяющие права и ответственность граждан, общества и государства в информационной сфере.
В зависимости от требований к режиму Информационной Безопасности, различают базовый и повышенный уровни ее обеспечения.
Базовый уровень Информационной Безопасности предполагает упрощенный подход к анализу рисков, при котором рассматривается стандартный набор распостраненных угроз без оценки вероятностей их проявления. Для нейтрализации угроз применяется типовой комплекс контрмер, а вопросы эффективности в расчет не берутся. Подобный подход приемлем, если ценность защищаемых ресурсов в данной организации не слишком высока.
В ряде случаев базового уровня недостаточно. Для обеспечения повышенного уровня Информационной Безопасности необходимо знать параметры, характеризующие степень безопасности информационной системы и количественные оценки угроз, уязвимостей и рисков по отношению к ценности информационных ресурсов. Как правило, выбор концепции проводится на основе анализа нескольких вариантов по критерию стоимость/эффективность.
Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности можно говорить о единой концепции Информационной Безопасности.
Анализ мирового и отечественного опыта обеспечения Информационной Безопасности диктует необходимость создания целостной системы безопасности, взаимоувязывающей правовые, организационные и программно-аппаратные меры защиты и использующей современные методы прогнозирования, анализа и моделирования ситуаций.
Из анализа действующего законодательства вытекает, что правовой защите подлежит главным образом документированная информация (документ), зафиксированная на материальном носителе с реквизитами, т.е. информация, облеченная в форму, позволяющую ее идентифицировать.
При этом неправомерный доступ к компьютерной информации считается преступлением, если:
Эти действия наказываются либо штрафом, либо исправительными работами, либо лишением свободы сроком до двух лет.
Те же действия, совершенные с использованием служебного положения, влекут за собой наказание в более суровой форме (ст. 272 ч. 2 УК). Это означает, что хакеры со стороны несут меньшую уголовную ответственность чем сотрудники организации или лица, допущенные к ее компьютерной информации по договорам.
УК содержит понятие «вредоносные программы», под которое подпадают программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, а также приводящие к нарушению работы информационной системы (ст. 273 УК). В настоящее время у таких программ множество специфических названий, так что обобщающий термин был просто необходим.
К разряду преступлений относится нарушение правил эксплуатации ЭВМ и сетей, если это приводит к уничтожению, блокированию или модификации компьютерной информации, что, в свою очередь, наносит существенный вред или влечет за собой тяжкие последствия (ст. 274 УК). Понятия «существенный вред» и «тяжкие последствия» УК не конкретизирует, как и не дает разъяснении, чему или кому причинен вред: информации, бизнесу, репутации фирмы или гражданина. Очевидно, что ответы на эти вопросы даст лишь судебная практика. В зависимости от тяжести последствий такие преступления наказываются лишением свободы на срок либо до трех либо до семи лет (ст. 273 ч. 1 и 2 УК).
Наряду с этими компьютерно-ориентированными статьями используются остальные, позволяющие квалифицировать противоправное деяние как подпадающее под их юрисдикцию. Проблема в значительной степени связана с объективными возможностями правоохранительной системы обеспечить соответствующую реакцию на тот объем информации о реальной преступности, который ей надлежит полномасштабно перерабатывать. Чем более ограничены эти возможности, тем, соответственно, более значительную часть сигналов о преступлениях система вынуждена от себя отталкивать, оставляя ту или иную часть преступности «в тени».
Кроме того, понятно, что государственные и коммерческие структуры, которые подверглись нападениям, не хотят афишировать их последствия и недостаточную эффективность своих систем защиты. Поэтому совершаемые преступления далеко не всегда становятся достоянием гласности. Не следует думать, что информационные преступления является лишь отечественной национальной спецификой.
Согласно сведениям Института защиты компьютеров The Computer Security Institute (CSI, San Francisco, USA) и ФБР:
Первое что можно предложить — ограничить количество лиц, имеющих доступ к информации. Зафиксировать тех кто имеет доступ, ввести протоколирование работы с информацией и установить за всем этим контроль.
Одним из лучших способов защиты корпоративной информации до недавнего времени считался свод правил, регламентирующий работу с информацией и страхующий от случайных потерь данных. Под потерями данных в данном случае понимается как разглашение личной и корпоративной информации, так и ее несанкционированное изменение или физическое уничтожение. Однако, как показывает практика, эффективность таких мер, при непланомерном подходе без учета специфики организации, невысока.
Как уберечь информацию от потерь и несанкционированного доступа заинтересованных лиц? Можно предложить следующий набор административных мер:
При разработке организационных мер необходимо помнить, что существует как минимум три способа потери данных: с использованием личного контакта, средств компьютерной техники и технических каналов передачи данных.
Выбор контрмер и управление рисками.
При разработке концепции Информационной Безопасности организации необходимо выработать стратегию управления рисками различных классов.
Возможно несколько подходов:
Информационная безопасность экономических систем играет ключевую роль в обеспечении жизненно важных интересов Российской Федерации. Это в первую очередь обусловлено насущной потребностью создания развитой и защищенной информационной среды общества. Именно через информационную среду осуществляются угрозы национальной безопасности в различных сферах деятельности государства.
Экономический потенциал государства все в большей степени определяется объемом информационных ресурсов и уровнем развития информационной инфраструктуры. При этом постоянно растет уязвимость экономических структур от недостоверности получаемой по открытым каналам связи экономической информации, ее запаздывания и блокирования, незаконного использования посторонними в корыстных целях.
Информационная среда, являясь системообразующим фактором во всех сферах национальной безопасности, активно влияет на состояние политической, экономической, оборонной и других составляющих национальной безопасности Российской Федерации. В то же время она представляет собой самостоятельную сферу национальной безопасности, в которой необходимо обеспечить защиту информационных ресурсов, систем их формирования, распространения и использования, информационной инфраструктуры, реализацию прав на информацию государства, юридических лиц, граждан.
Основными целями обеспечения информационной безопасности экономических систем являются:
К основным задачам обеспечения информационной безопасности экономических систем относятся:
1.4. Нормативно-руководящие документы
Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы. Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства. Место информационной беопасности экономических систем в национальной безопасности страны.
Закон о государственной тайне (в редакции Федерального закона от 06.10.97 N 131-ФЗ) (с изменениями, внесенными Постановлением Конституционного Суда РФ от 27.03.1996 N 8-П) – основной нормативный руководящий документ. Этот Закон содержит ряд статей и регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.
В настоящем Законе используются следующие основные понятия:
Правила отнесения сведений к той или иной степени секретности устанавливаются Правительством Российской Федерации. Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.
В деле обеспечения информационной безопасности несомненный успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.
См. подробнее в хрестоматии
На законодательном уровне отметим две группы мер:
Самое важное (и, вероятно, самое трудное) на законодательном уровне – создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.
Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года. В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 – право на знание достоверной информации о состоянии окружающей среды.
В принципе, право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.
Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 – право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.
В Гражданском кодексе Российской Федерации (в редакции от 15 мая 2001 года) фигурируют такие понятия, как банковская, коммерческая и служебная тайны. Согласно статье 139, информация составляет служебную или коммерческую тайну в том случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.
Весьма совершенным в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 – «Преступления в сфере компьютерной информации» – содержит три статьи:
Первая имеет дело с посягательствами на конфиденциальность, вторая – с вредоносным ПО, третья – с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.
Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.
Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе «О государственной тайне» (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.
Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон «Об информации, информатизации и защите информации» от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.
Некоторые из этих определений:
Обратим внимание на гибкость определения конфиденциальной информации, которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закладывающее основу защиты последних.
Данный Закон выделяет следующие цели защиты информации:
Закон гласит, что «Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу». По сути дела, это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных отношений.
Режим защиты информации устанавливается:
Здесь явно выделены три вида защищаемой информации, ко второму из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная информация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности, а остальные аспекты ИБ – забыты.
Обратим внимание на то, что защиту государственной тайны и персональных данных берет на себя государство; а за другую конфиденциальную информацию отвечают ее собственники.
Как же защищать информацию? В качестве основного закон предлагает для этой цели мощные универсальные средства: лицензирование и сертификацию. Из статьи 19 следует, что и нформационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации «О сертификации продукции и услуг».
Закон «О лицензировании отдельных видов деятельности» от 8 августа 2001 года номер 128-ФЗ (Принят Государственной Думой 13 июля 2001 года).
Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Важное значение имеют следующие виды:
Необходимо учитывать, что, согласно статье 1, действие данного Закона не распространяется на следующие виды деятельности:
Подчеркнем, что данный Закон не препятствует организации Интернет-Университетом учебных курсов по информационной безопасности (не требует получения специальной лицензии; ранее подобная лицензия была необходима). В свою очередь, Федеральный Закон «Об образовании» не содержит каких-либо специальных положений, касающихся образовательной деятельности в области ИБ.
Закон «Об электронной цифровой подписи» номер 1-ФЗ (принят Государственной Думой 13 декабря 2001 года), развивающий и конкретизирующий приведенные выше положения закона «Об информации. ».
Целью данного Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.
Закон вводит следующие основные понятия:
Согласно Закону, электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
Закон определяет сведения, которые должен содержать сертификат ключа подписи:
Зарубежное законодательство в области информационной безопасности. Ключевую роль играет американский «Закон об информационной безопасности» (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Его цель – реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах, без ограничений всего спектра возможных действий.
Характерно, что уже в начале Закона называется конкретный исполнитель – Национальный институт стандартов и технологий (НИСТ), отвечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к информации, а также от краж и подлогов, выполняемых с помощью компьютеров. Таким образом, имеется в виду как регламентация действий специалистов, так и повышение информированности всего общества.
Закон обязывает НИСТ координировать свою деятельность с другими министерствами и ведомствами, включая Министерство обороны, Министерство энергетики, Агентство национальной безопасности (АНБ) и т.д., чтобы избежать дублирования и несовместимости.
Помимо регламентации дополнительных функций НИСТ, Закон предписывает создать при Министерстве торговли комиссию по информационной безопасности, которая должна:
В законодательстве ФРГ имеется весьма развернутый (44 раздела) Закон о защите данных (Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325)). Он целиком посвящен защите персональных данных.
В данном случае устанавливается приоритет интересов национальной безопасности над сохранением тайны частной жизни. В остальном права личности защищены весьма тщательно. Например, если сотрудник фирмы обрабатывает персональные данные в интересах частных компаний, он дает подписку о неразглашении, которая действует и после перехода на другую работу.
Международные стандарты информационного обмена. В мировой практике принято использовать следующую схему работы в рамках «электронного государства»: между субъектами, вступающими во взаимодействие, создается единое информационное пространство (среда электронного взаимодействия), и принимаются единые стандарты предоставления информации и обмена данными, а также стандарты на структуру данных. Интеграция разных информационных систем в рамках единого информационного пространства происходит посредством их реализации в виде веб-сервисов с использованием в качестве основного стандарта регистра UDDI (Universal Description, Discovery and Integration).
Этот стандарт позволяет искать и регистрировать информацию, организовывать взаимосвязи между различными базами данных.
Для описания функциональных особенностей работы сервисов и клиентских интерфейсов, а также для организации доступа к сервисам отдельных информационных систем используются протоколы WSDL (Web Services Description Language) и SOAP (Simple Object Access Protocol). Стандартом на структуру предоставляемых данных и документы выступает XML (eXtended Markup Language), широко применяемый для создания информационных ресурсов в последнее время благодаря его универсальности и независимости от используемой платформы.
Так, например, в Великобритании для работы «электронного правительства» организован Шлюз государственных служб (Government Gateway), предоставляющий гражданам и частным компаниям доступ ко всем органам власти по сети интернет. Каждое из ведомств может создавать и использовать свою собственную независимую компьютерную систему и задавать свои бизнес-процессы, однако на уровне единой среды взаимодействия используется общий формат. Таким образом, в качестве единой информационной среды использована уже существующая коммуникационная сеть, а вся информация предоставляется в стандарте XML. Это позволяет людям и организациям просто и согласованно получать доступ к любому государственному учреждению, ведомству или органу местной власти и обмениваться с ним информацией. Любые устройства и информационные системы (персональные компьютеры, веб-серверы, порталы, цифровые телевизоры, интернет-киоски) способны отправлять информацию на языке XML в Government Gateway, где с помощью реализованных там правил будет определяться организация, для которой эта информация предназначена. Кроме того, правила обработки определяют способ дальнейшей передачи данных. После этого информация поступает в соответствующее ведомство, а в случае необходимости Шлюз государственных служб может преобразовать ее в понятный для конечной системы формат.
Аналогично подошли к выбору стандартов и в некоторых других европейских странах – Германии, Дании, а также в США.
В России также принят курс на использование общемировых стандартов. Принято решение о том, что создаваемые информационные системы будут базироваться на принципах построения международного регистра, универсального описания поиска и интеграции данных. Это так называемый регистр UDDI, позволяющий не только регистрировать и находить информацию, но и организовывать взаимодействие между базами данных. При формировании каталогов, целесообразно использовать стандарт XML. Он позволяет всем информационным системам экспортировать уже хранящуюся в их справочниках информацию в регистр без проведения дополнительных операций, при этом постоянно совершенствуется и развивается.
Кроме того, на федеральном уровне ведется работа по подготовке единых стандартов на данные и метаданные (то есть правила описания данных, их структуры и содержимого):