Защита информации и лицензирование и сертификация в области информационной безопасности

Под непреднамеренным воздействием на защищаемую информацию понимают воздействие на нее из-за ошибок пользователя,  сбоя технических или программных средств,  природных явлений,  иных нецеленаправленных воздействий¹⁸.

Целью защиты информации является исключение либо существенное затруднение получения информации несанкционированным получателем.

Защита информации должна обеспечивать информационную безопасность - это все аспекты, связанные с определением, достижением и поддержанием таких свойств информации, как:

Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на нее право.

Целостность — избежание несанкционированной модификации информации.

Доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Неотказуемость или апеллируемость — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;

Подотчётность — обеспечение идентификации субъекта доступа и регистрации его действий;

Достоверность — свойство соответствия предусмотренному поведению или результату;

Аутентичность или подлинность — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Также должна обеспечиваться  безопасность автоматизированной информационной системы — состояние защищенности автоматизированной системы обработки информации, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.

Под угрозами информационной безопасности принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются: ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности; модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

разрушение (уничтожение) информации как акт вандализма с  целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению её конфиденциальности (разглашение, утечка, несанкционированный доступ), достоверности (фальсификация, подделка, мошенничество), целостности (искажение, ошибки, потери), доступности (нарушение связи, воспрещение получения информации).

Каждая угроза влечет за собой определенный ущерб - моральный  или материальный, а защита и противодействие угрозе призваны снизить ее величину хотя бы частично.

Направления обеспечения  информационной безопасности - это  нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз.

С учетом сложившейся  практики обеспечения информационной безопасности выделяют следующие направления защиты информации:

• правовая защита - это  специальные законы, другие нормативные  акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;

• организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого либо ущерба исполнителям. К основным организационным мероприятиям можно отнести:

организацию режима и  охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

обеспечение удобства контроля прохода и перемещения сотрудников и посетителей;

создание отдельных  производственных зон по типу конфиденциальных работ с самостоятельными системами доступа;

контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и подержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

организацию работы с  сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

организацию работы с  документами, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

организацию использования  технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

организацию работы по проведению систематического контроля за работой  персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей;

• инженерно-техническая  защита - это использование различных технических средств, препятствующих нанесению ущерба производственной деятельности.

По функциональному  назначению средства инженерно-технической  защиты классифицируются на следующие  группы:

физические средства, включающие различные средства и  сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств и финансов и информации от противоправных воздействий;

• аппаратные средства - приборы, устройства, приспособления и другие технические  решения, используемые в интересах защиты информации

Основная задача аппаратных средств - обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства, применяемые в производственной деятельности;

• программные средства, охватывающие специальные программы, программные  комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных;

• криптографические средства - специальные  математические и алгоритмические  средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой в автоматизированных системах с использованием разнообразных методов шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (зашифрованные данные становятся доступными только тем, кто знает, как их расшифровать, и поэтому похищение зашифрованных данных абсолютно бессмысленно для несанкционированных пользователей). Данный метод защиты реализуется в виде программ или пакетов программ.  

Преобразование множества открытых данных на множество зашифрованных данных определяется соответствующим алгоритмом и значением ключа¹⁹. Секретность ключа должна обеспечивать невозможность восстановления исходного текста по шифрованному посторонними лицами.

Модели, способные производить двусторонние криптопреобразования над данными – криптосистемы – бывают симметричные и асимметричные (с открытым ключом).

 В симметричных криптосистемах для зашифрования и для расшифрования используется один и тот же ключ.

В системах с открытым ключом используются два ключа открытый (публичный) и закрытый (секретный), которые математически связаны друг с другом. Информация зашифровывается с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.

В настоящее время  на основе асимметричных криптографических алгоритмов строится система электронной цифровой подписи (ЭЦП) и связанный с ней электронный (защищенный) документооборот.

То есть электронная цифровая подпись (ЭЦП) относится к средствам криптографической защиты информации. ЭЦП - последовательность символов, полученная в результате криптографического преобразования исходной информации, которая позволяет подтверждать целостность и неизменность этой информации, а также ее авторство. Это аналог собственноручной подписи физического лица, полномочного представителя юридического лица, представленный в электронной форме как результат криптографического преобразования электронного сообщения с использованием закрытого (секретного) ключа электронной подписи.

Правовую основу использования  электронной подписи определяет Федеральный Закон «Об электронной цифровой подписи» от 10 января 2002 г. № 1-ФЗ²⁰. Однако данный закон утратит силу 1 июля 2012 г. в связи с изданием Федерального Закона от 06.04.2011 № 63-ФЗ «Об электронной подписи», который в свою очередь вступит в силу со дня его официального опубликования. Ознакомиться же с текстом нового закона можно уже сейчас на сайте КонсультантПлюс²¹.

Кроме выбора подходящей для конкретной информационной системы  криптографической системы, важная проблема - управление ключами. Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями. Как бы ни была сложна и надежна сама криптосистема, она основана на использовании ключей. Порядок распределения и использования ключей между сотрудниками закрепляется  и регламентируется нормативными документами организации, например, Правилами электронного документооборота.

Таким образом, защита информации является неотъемлемой частью деятельности современных организаций, обеспечивающей их нормальное функционирование. Объектом защиты информации является обеспечение безопасности, собственно, информации и информационных (или автоматизированных) систем, применяемых в организации, от неблагоприятных воздействий. Защита информации должна осуществляться комплексно. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.  

Глава 2. Лицензирование и сертификация в области обеспечения информационной безопасности

 

Действенными инструментами государственного регулирования отношений в области защиты информации в условиях рыночных отношений являются процедуры лицензирования, сертификации.

Лицензирование –  процедура выдачи на определенный срок специальных разрешений на ведение  соответствующих видов деятельности – лицензий. Правовые основы деятельности в области лицензирования определены Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности»²². 

К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, жизни или здоровью граждан, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, обороне и безопасности государства²³.

Суть лицензирования заключается в разрешении юридическим лицам или индивидуальным предпринимателям (лицензиатам) заниматься определенными видами деятельности только при соблюдении обязательных требований и условий. Такие требования устанавливаются соответствующими положениями о лицензировании конкретных видов деятельности.

Осуществляют лицензионную деятельность (первоначальную проверку наличия у лицензиата соответствующих  условий, выдачу лицензий и ведение  соответствующих реестров, последующий  контроль за соблюдением установленных  требований и условий) лицензирующие органы - уполномоченные федеральные органы исполнительной власти и (или) их территориальные органы и органы исполнительной власти субъектов Российской Федерации. Перечень лицензирующих органов утвержден постановлением Правительства Российской Федерации от 21 ноября 2011 г. № 957²⁴.

Лицензия действует  бессрочно, если ограничение срока действия лицензий не предусмотрено федеральными законами. В случае выявления неоднократных или грубых нарушений лицензионных требований и условий лицензирующие органы вправе наложить административное взыскание и приостановить действие лицензии, установив срок устранения лицензиатом нарушений. Если в установленный срок лицензиат не устранил указанные нарушения, лицензирующий орган обязан обратиться в суд с заявлением об аннулировании лицензии.

В области защиты информации лицензированию подлежат следующие виды деятельности²⁵:

1) разработка, производство, распространение криптографических средств, информационных систем и телекоммуникационных систем, защищенных с использованием криптографических средств;