Спецификации TCSEC и российская система оценки безопасности информационных систем

Ответственность за посягательство на указанные виды тайны предусмотрена в Уголовном кодексе РФ (ст. 137, 138, 142, 183, 275, 276, 283,284). В УК РФ 1996 года включена новая, не известная прежнему уголовному законодательству России, глава 28 «Преступления в сфере компьютерной информации» (ст. 272, 273, 274). Указанные нормы уголовного закона входят в систему правовых мер, направленных на защиту информации, прав и законных интересов граждан, общества и государства в информационной сфере.

Право на информацию складывается из двух элементов права на получение информации и права на ее распространение. Первое относится не к гражданским, частным, а к публичным правам. Право же на передачу информации имеет гражданско-правовое содержание, оно представляет собой исключительное право. Законом РФ «О правовой охране программ для ЭВМ и баз данных» регулируются отношения, возникающие в связи с правовой охраной и использованием программ для ЭВМ и баз данных. В статье 12 данного закона права на программу для ЭВМ или базу данных отнесены к исключительным правам владельца информации.

В содержание информационной безопасности входит информационная сфера. Определение информационной сферы сформулировано в ФЗ «Об участии в международном информационном обмене». Информационная сфера –сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации.

Как уже отмечалось, в основе понятия «информационная безопасность» лежит понятие «безопасность», нашедшее свое отражение в Законе РФ «О безопасности».

Безопасность –это состояние защищенности жизненно важных интересов личности, общества, государства от внутренних и внешних угроз.

К жизненно важным интересам закон относит совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства. Основные объекты безопасности: личность, ее права и свободы; общество, его материальные и духовные ценности; государство, его конституционный строй, суверенитет и территориальная целостность.

Таким образом, информационная безопасность –состояние защищенности жизненно важных интересов личности, общества, государства в информационной сфере от внешних и внутренних угроз, обеспечивающее ее формирование, использование и развитие.

Рассматривая  это определение, необходимо отметить, что одним из важнейших аспектов информационной безопасности является определение и классификация возможных угроз безопасности.

Угроза безопасности –совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.

 

Среди возможных  угроз можно выделить следующие:

v По источнику угрозы:

Ø внешние –связанные со стихийными бедствиями, техногенными, политическими, социальными факторами, развитием информационных и коммуникационных технологий, другими внешними воздействиями;

Угрозы Внешние  Внутренние

Естественные

Преднамеренные

Развитие

технологий

Непреднамеренные

Стихийные

бедствия

1. Отказ техники

2. Технические

сбои

Искусственные

Преднамеренные

1. Разработка

ПО

2. Угроза

целостности

3. Отказ в  обслуживании

1. Угроза раскрытия  (нарушение конфиденциальности)

2. Угроза целостности

3. Отказ в  обслуживании

Непреднамеренные

1. Политические факторы

2. Социальные факторы

Ошибки ПО

Ø внутренние –связанные с отказами вычислительной и коммуникационной техники, ошибками программного обеспечения.

v По природе возникновения:

Ø естественные (объективные) –вызванные воздействием на информационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека;

Ø искусственные (субъективные) –вызванные воздействием на информационную сферу человека.

§ непреднамеренные (случайные) угрозы –ошибки программного обеспечения, персонала, отказы вычислительной и коммуникационной техники и т.д.;

§ преднамеренные (умышленные) угрозы –неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т.д. Преднамеренные угрозы обусловлены действиями людей.

v По цели реализации:

Ø нарушение конфиденциальности (угроза раскрытия) заключается в том, что информация становится известной пользователю, который не авторизован для этого. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда

получен несанкционированный доступ к некоторой секретной информации, хранящейся в вычислительной системе или пере даваемой от одной системы к другой. Иногда в связи с угрозой раскрытия используется термин «утечка информации»;

Ø нарушение целостности (угроза целостности) включает в себя любое несанкционированное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Когда нарушитель преднамеренно изменяет

информацию, мы говорим, что целостность этой информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка. Санкционированными изменениями являются те, которые сделаны определенными лицами с обоснованной целью;

Ø нарушение доступности (угроза отказа служб /отказа в обслуживании) возникает всякий раз, когда в результате преднамеренных действий, предпринятых другим пользователем, умышлен но блокируется доступ к некоторому ресурсу вычислительной системы. Например, если один пользователь запрашивает доступ к службе, а другой предпринимает что-либо для недопущения этого доступа, мы говорим, что имеет место отказ службы. Блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан. Наиболее частые примеры атак, связанных с отказом служб, включают в себя ресурсы общего пользования (принтеры или процессоры).

v По характеру воздействия:

Ø активные;

Ø пассивные.

v По объекту воздействия угрозы:

Ø воздействующие на информационную среду в целом;

Ø воздействующие на отдельные элементы информационной среды.

Основные проблемы информационной безопасности связаны прежде всего с умышленными угрозами (действиями людей), так как они являются основной причиной и движущей силой преступлений и правонарушений. В то же время средства вычислительной техники (прежде всего ЭВМ), встраиваясь в систему отношений по поддержанию информационной безопасности, оказывают на них определенное воздействие. В отдельных случаях ЭВМ функционируют как источники повышенной опасности, и тогда нарушение установленных правил их эксплуатации может привести к нарушению информационной безопасности.

Отметим, что  реализованная угроза называется атакой.

Следующим в  нашем рассмотрении, но не менее важным, является понятие защищенности.

Под защищенностью понимается совокупность правовых, научно- технических, специальных, организационных мер, направленных на своевременное выявление, предупреждение и пресечение неправомерного получения и распространения защищаемой информации, осуществляемых органами законодательной, исполнительной и судебной власти, общественными и иными организациями и объединениями, гражданами, принимающими участие в обеспечении информационной безопасности в соответствии с законодательством, регламентирующим отношения в информационной сфере. Правовые меры –деятельность законодательных органов по созданию правовой базы, обеспечивающей надлежащее формирование, распространение и использование информации; регулирующей деятельность субъектов, осуществляющих создание, преобразование и потребление информации; предусматривающей ответственность за нарушения в информационной сфере, меры обеспечения безопасности и правовой защиты информации, информационной инфраструктуры.

Научно-технические  меры –деятельность субъектов, осуществляющих свою работу в информационной сфере, направленная на своевременное и активное использование достижений научно-технического прогресса в обеспечении информационной безопасности, а также участие в разработке новых технологий, программ, научно обоснованных способов защиты информации.

Специальные меры –деятельность государственных органов, уполномоченных осуществлять разведывательные, контрразведывательные, оперативно-розыскные мероприятия, направленные на упреждающее получение информации о планах, намерениях, устремлениях специальных служб, информационных и иных организаций, конкурентов и частных лиц, с использованием специальных технических средств, иных источников информации, указанных в Федеральном законе «Об оперативнорозыскной деятельности».

Организационные меры –деятельность субъектов по обеспечению физической, технической защиты информации, оборудования и носителей информации. Разработка и внедрение программ информационной безопасности и контроль за их выполнением, взаимодействие и обмен опытом защиты информации с правоохранительными, информационными органами. Работа по подбору, допуску и проверке персонала, подготовка и обучение сотрудников приемам работы с охраняемой информацией и ее носителями.

Отметим, что  информационная безопасность в современных условиях приобретает все большую актуальность и значимость, является одним из приоритетных направлений обеспечения национальной безопасности России, а также международной безопасности.

 

 

3. Совместимость зарубежных и российских стандартов.

 

Наиболее существенными отличиями зарубежных стандартов являются:

• Формализация этапов выбора и описания целей, которые ставятся в области ИБ для конкретной информационной системы. Используются механизмы оценки соответствия декларированных целей существующим показателям ИБ. В Российских РД предлагается фиксированный набор целей.

• Учет аспектов, связанных с рисками. Это позволяет оптимизировать построение подсистемы безопасности по критериям цена/эффективность.

• Лучший учет таких аспектов ИБ как целостность и доступность. Российские РД, в основном, ориентированы на обеспечение конфиденциальности.

• Большая степень формализации требований к подсистеме ИБ. В современных стандартах

и руководствах формальные требования и рекомендации излагаются в нескольких сотнях

подразделов. Соответственно методики построения подсистем ИБ более конкретны, процедуры проведения аудита ИБ достаточно формализованы. Тем не менее стандарты вполне совместимы, поскольку зарубежные стандарты отличаются от соответствующих Российских РД, в основном, большей детализацией многих аспектов.