Понятие компьютерной информации, развитие информационных отношений, последствия информатизации общества

 

составляющей тайну, посторонних лиц;

 

4. Потери информации, связанные  с неправильным хранением архивных  данных.

 

5. Ошибки обслуживающего персонала  и пользователей:

 

- случайное уничтожение или  изменение данных;

 

-некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных;

 

В зависимости от возможных видов нарушений работы сети (под нарушением работы подразумевается и противоправный несанкционированный доступ) многочисленные виды защиты информации объединяются в три основных класса :

 

- средства физической защиты, включающие  средства защиты кабельной системы, систем электропитания, средства  архивации, дисковые массивы и  т.д.

 

-средства защиты от стихийных  бедствий - пожаров, землетрясений, наводнений и т.д. - состоит в хранении архивных копий информации или в размещении некоторых сетевых устройств, например, серверов баз данных, в специальных защищенных помещениях, расположенных, как правило, в других зданиях или, реже, даже в другом районе города или в другом городе.

- программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля  доступа.

 

- административные меры защиты, включающие контроль доступа  в помещения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т.д.

 

Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т.д.

 

Проблема защиты информации от противоправного несанкционированного доступа особо обострилась с широким распространением локальных и, особенно, глобальных компьютерных сетей. Необходимо также отметить,

что зачастую ущерб наносится не из-за “злого умысла”, а из-за элементарных ошибок пользователей, которые случайно портят или удаляют жизненно важные данные. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей18.

 

В компьютерных сетях при организации контроля доступа и разграничения полномочий пользователей чаще всего используются встроенные средства сетевых операционных систем. Так, крупнейший производитель сетевых ОС - корпорация Novell - в своем последнем продукте NetWare 4.1 предусмотрел помимо стандартных средств ограничения доступа, таких, как система паролей и разграничения полномочий, ряд новых возможностей, обеспечивающих первый класс защиты данных. Новая версия NetWare предусматривает, в частности, возможность кодирования данных по принципу “открытого ключа” (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов. В то же время в такой системе организации защиты все равно остается слабое место: уровень доступа и возможность входа в систему определяются специальным известным законным пользователем паролем.

 

Одним из удачных примеров создания комплексного решения для контроля доступа к компьютерной информации в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos. В основе этой схемы авторизации лежат три компонента:

 

- База данных, содержащая информацию по всем сетевым ресурсам,

 

пользователям, паролям, шифровальным ключам и т.д.

 

- Авторизационный сервер, обрабатывающий  все запросы пользователей на  предмет получения того или  иного вида сетевых услуг.

 

Авторизационный сервер, получая запрос от пользователя, обращается к базе данных и определяет, имеет ли пользователь право на совершение данной операции. Примечательно, что пароли пользователей по сети не передаются, что также повышает степень защиты информации.

 

- Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера “пропуск”, содержащий имя пользователя и его сетевой адрес, время запроса и ряд других параметров, а также уникальный сессионный ключ. Пакет, содержащий “пропуск”, передается также в зашифрованном по алгоритму DES виде. После получения и расшифровки “пропуска” сервер выдачи разрешений проверяет запрос и сравнивает ключи

 

____________________ 
18  Ермошин В. Г. Методы защиты конфиденциальной компьютерной информации организаций от внутренних угроз // Вопросы защиты информации. - 2009 .- № 3.- С. 53.

и затем дает “добро” на использование сетевой аппаратуры или программ.

 

Среди других подобных комплексных схем можно отметить разработанную Европейской Ассоциацией Производителей Компьютеров (ECMA) систему Sesame (Secure European System for Applications in Multivendor Environment), предназначенную для использования в крупных гетерогенных сетях.

 

Также разработаны и специальные устройства контроля доступа к компьютерным сетям по коммутируемым линиям. Например, фирмой AT&T предлагается модуль Remote Port Security Device (PRSD), представляющий собой два блока размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют установить несколько уровней защиты и контроля доступа, в частности:

 

- шифрование данных, передаваемых  по линии при помощи генерируемых  цифровых ключей;

 

- контроль доступа в зависимости  от дня недели или времени  суток (всего 14 ограничений).

 

Широкое распространение радиосетей в последние годы поставило разработчиков радиосистем перед необходимостью защиты информации от “хакеров”, вооруженных разнообразными сканирующими устройствами. Были применены разнообразные технические решения. Например, в радиосети компании RAM Mobil Data информационные пакеты передаются через разные каналы и базовые станции, что делает практически невозможным для посторонних собрать всю передаваемую информацию воедино. Активно используются в радио сетях и технологии шифрования данных при помощи алгоритмов DES и RSA.

 

Сложность создания системы защиты информации определяется тем, что данные могут быть похищены преступником из компьютера и одновременно оставаться на месте; ценность некоторых данных заключается в обладании ими, а не в уничтожении или изменении. Обеспечение безопасности информации - дорогое дело, и не столько из-за затрат на закупку или установку средств, сколько из-за того, что трудно квалифицированно определить границы разумной безопасности и соответствующего поддержания системы в работоспособном состоянии. Если локальная сеть разрабатывалась в целях совместного использования лицензионных программных средств, дорогих цветных принтеров или больших файлов общедоступной информации, то нет никакой потребности даже в минимальных системах шифрования/дешифрования информации.

 

Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Анализ риска должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы) и предоставить информацию для определения подходящих типов и уровней безопасности. Коммерческие организации все в большей степени переносят критическую корпоративную информацию с больших вычислительных систем в среду открытых систем и встречаются с новыми и сложными проблемами при реализации и эксплуатации системы безопасности. Сегодня все больше организаций разворачивают мощные распределенные базы данных и приложения клиент/сервер для управления коммерческими данными. При увеличении распределения возрастает также и риск неавторизованного доступа к данным и их искажения.

 

Шифрование данных традиционно использовалось правительственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляемые шифрованием для обеспечения конфиденциальности информации.

 

Практика экономически развитых стран, прежде всего США показывает, что финансовые службы компаний представляют важную и большую

пользовательскую базу и часто специфические требования предъявляются к

алгоритму, используемому в процессе шифрования. Опубликованные

алгоритмы, например DES (см. ниже), являются обязательными. В то же время, рынок коммерческих систем не всегда требует такой строгой защиты, как правительственные или оборонные ведомства, поэтому возможно применение продуктов и другого типа, например PGP (Pretty Good Privacy).

 

Шифрование данных может осуществляться в режимах On-line (в темпе поступления информации) и Off-line (автономном). Наибольший интерес и практическое применение имеет первый тип с его основными алгоритмами.

 

Стандарт шифрования данных DES (Data Encryption Standart) был разработан фирмой IBM в начале 70-х годов и в настоящее время является правительственным стандартом для шифрования цифровой информации. Он рекомендован Ассоциацией Американских Банкиров. Сложный алгоритм DES использует ключ длиной 56 бит и 8 битов проверки на четность и требует от злоумышленника перебора 72 квадрилионов возможных ключевых комбинаций, обеспечивая высокую степень защиты при

небольших расходах. При частой смене ключей алгоритм удовлетворительно

решает проблему превращения конфиденциальной информации в недоступную.

Алгоритм RSA был изобретен Ривестом, Шамиром и Альдеманом в 1976 году и представляет собой значительный шаг в криптографии. Этот алгоритм также был принят в качестве стандарта Национальным Бюро Стандартов DES, технически является симметричным алгоритмом, а RSA - ассиметричным, то есть он использует разные ключи при шифровании и дешифровании. Пользователи имеют два ключа и могут широко распространять свой открытый ключ. Открытый ключ используется для шифрованием сообщения пользователем, но только определенный получатель может дешифровать его своим секретным ключом; открытый ключ бесполезен для дешифрования. Это делает ненужными секретные соглашения о передаче ключей между корреспондентами. DES определяет длину данных и ключа в битах, а RSA может быть реализован при любой длине ключа. Чем длиннее ключ, тем выше уровень безопасности (но становится длительнее и процесс шифрования и дешифрования). Если ключи DES можно сгенерировать за микросекунды, то примерное время генерации ключа RSA - десятки секунд. Поэтому открытые ключи RSA предпочитают разработчики программных средств, а секретные ключи DES - разработчики аппаратуры.

 

 

5. О внесении изменений в отдельные законодательные акты   Российской Федерации (Проект Федерального закона N 333556-6).

 

В Госдуму внесен законопроект, в котором предлагается установить уголовную ответственность за незаконное использование или распространение персональных данных пользователей социальных сетей (далее - Законопроект). В документе предусмотрены поправки к Уголовному кодексу РФ, Федеральному закону от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон N 149-ФЗ) и Кодексу РФ об административных правонарушениях.

 

 Разработчики Законопроекта  предлагают закрепить в Законе N 149-ФЗ нормативное определение  понятия "социальная сеть". Под  социальной сетью будет пониматься  сайт в сети Интернет, в персональных  разделах которого пользователи размещают свои персональные данные, сведения о своей частной жизни и обмениваются информацией с другими пользователями. Таким образом, определение социальной сети сформулировано достаточно широко, поскольку многие сервисы требуют от пользователей указывать свои персональные данные, позволяют размещать информацию о частной жизни, а также обмениваться сведениями. Например, подобные услуги предоставляют почтовые сервисы.

 В настоящее время термин "социальная сеть" отсутствует  в законодательстве, однако применяется в практической деятельности участников гражданского оборота, в частности в договорах по оптимизации сайтов (см., например, Постановления Пятнадцатого арбитражного апелляционного суда от 12.03.2013 N 15АП-1573/2013 по делу N А53-25998/2012, Одиннадцатого арбитражного апелляционного суда от 27.02.2013 по делу N А65-23614/2012).

 

 На основании действий в  социальных сетях уполномоченные  органы могут принимать различные  решения, например о привлечении  к административной ответственности за нарушение законодательства о защите конкуренции (см. Постановление Тринадцатого арбитражного апелляционного суда от 02.07.2013 по делу N А56-4135/2013).

 

 Разработчики Законопроекта  предлагают установить повышенную  защиту для личной информации, размещенной пользователями в социальных сетях. Соответствующие изменения планируется внести в ст. 137 "Неприкосновенность частной жизни" УК РФ. В Законопроекте предусматривается уголовная ответственность за использование или распространение (доведение хотя бы до одного лица) без согласия пользователя размещенных в его персональном разделе в социальной сети сведений о частной жизни, составляющих личную или семейную тайну, а равно за их распространение в публичном выступлении, публично демонстрирующемся произведении или СМИ.

 

 Ответственность за совершение  данных деяний будет выше, чем  за нарушение неприкосновенности  частной жизни, не связанное с  использованием социальных сетей. Максимальное наказание предлагается  установить в виде лишения  свободы на срок от двух до пяти лет. Напомним, что сейчас за нарушение неприкосновенности частной жизни максимальный срок лишения свободы составляет два года.

 

 Согласно Законопроекту информация  о частной жизни, подлежащая повышенной  защите, должна размещаться в  социальной сети только теми пользователями, которые прошли верификацию. То есть пользователь должен подтвердить, что персональные данные и информация о частной жизни, размещаемые в его персональном разделе, принадлежат именно ему. Разработчики Законопроекта предлагают установить в Законе N 149-ФЗ обязанность прохождения верификации для каждого пользователя социальных сетей, аудиторией которых являются резиденты. В верхней части персонального раздела пользователя, прошедшего такую процедуру, появится знак со словами "Личность подтверждена".

 

 

 

 

 

 

Заключение

 

В связи с бурным процессом развития научно-технической революции сформировался новый вид общественных отношений - информационные. Информационные отношения стали новым объектом, а информация - новым предметом преступного посягательства. Неизбежным следствием появления новых общественных отношений стали правонарушения в сфере компьютерной информации, в том числе и в форме преступлений, которые представляют реальную угрозу для нормального развития и течения общественной жизни.