CC BY
152
Загородников Сергей Николаевич
доктор биологических наук, кандидат технических наук, профессор
Максимов Денис Алексеевич Петрова Любовь Петровна
Безопасность экономической информации в рыночной среде
Аннотация:рассматриваются положения отдельных нормативных актов, обеспечивающих правовое регулирование защиты информации, циркулирующей в сфере экономических отношений.
Ключевые слова: безопасность, информационный, экономический, нормативный, акт.
Необходимым фактором для принятия каких-либо решений является наличие актуальной и достоверной информации, определяющей диапазон возможных действий, лица, принимающего решение. Мы живем в эпоху информатики, и любая фирма, которая игнорирует процессы организации, упорядочения и охраны необходимой для бизнеса и его развития актуальной и достоверной информации, подвергает себя риску быть разоренной или вытесненной с рынка. В любом решении, которое принимается в бизнесе, присутствует риск. Поэтому необходимо принимать меры для обеспечения того, чтобы информация, от которой зависит развитие бизнеса, а также само благополучное существование фирмы, не была похищена, искажена или уничтожена, чтобы специалисты и руководители фирмы получали по интересующим их проблемам актуальные и неискаженные сведения.
С развитием общественно-экономических отношений объемы перерабатываемой информации постоянно увеличиваются, и если
XX век многие ученые называют веком энергетики, то наступивший XXI - веком информатики. Информация в практической деятельности проявляется во множестве аспектов — вот только некоторые из таких способов проявления:
> во-первых, производство информации как таковой — это производственная отрасль, т.е. вид экономической деятельности;
> во-вторых, информация является фактором производства, один из фундаментальных ресурсов любой экономической системы;
> в-третьих, информация является объектом купли-продажи, т.е. выступает в качестве товара;
> в-четвертых, некоторая часть информации является общественным благом, потребляемым всеми членами общества;
> в-пятых, информация — это элемент рыночного механизма, который наряду с ценой и полезностью влияет на определение оптимального и равновесного состояний экономической системы;
> в-шестых, информация в современных условиях становится одним из наиболее важных факторов в конкурентной борьбе;
> в-седьмых, информация становится важнейшим средством деловых и правительственных кругов, используемым при принятии решений и формировании общественного мнения [1].
Возрастание роли информации во всех сферах функционирования общества, в жизни и работе каждого человека ставит вопросы о создании эффективной системы информационной безопасности. «Информационная безопасность -это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния. (Википедия-1^егпе0. Согласно определению ГОСТ Р ИСО/ МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности» информационная безопасность включает в себя «все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки (п. 2.14)».
Информационная безопасность является важной частью общей безопасности бизнеса, использующей организационно-правовые, административные, инженерно-технические, воспитательные и иные меры, позволяющей снизить до минимальных размеров риск дезорганизации работы или полного уничтожения бизнеса.
Зачастую под обеспечением информационной безопасности понимается только физическая охрана вычислительных средств, оргтехники, носителей информации. Такие способы пригодны, как правило, только при противостоянии криминалу. Между тем, вступая в рыночные отношения, любая организация сталкивается с острой конкурентной борьбой, существующей на любом цивилизованном рынке. И эта борьба таит в себе немало опасностей для предприятия. Если компания достигла каких-либо успехов в своём бизнесе, можно не сомневаться в том, что она вызывает немалый интерес со стороны компаний-конкурентов. Любая информация о работе фирмы будет привлекать повышенное внимание с их стороны. Поэтому защита информации становится важнейшей частью современной системы безопасности бизнеса. Как
правило, подходы к решению данной проблемы сводятся к созданию правил, определяющих для работы с отдельными видами информации режим повышенной секретности, а также уделяющих основное внимание защите информации от несанкционированного доступа (НСД). Методами решения данной задачи обычно служат простое ограничение использования тех или иных информационных технологий (ИТ) (например, Интернета или электронной почты) или их полный запрет. Для коммерческих организаций такой подход неудобен, а зачастую и просто неприемлем — бизнес не может эффективно работать без интенсивной поддержки ИТ и активного взаимодействия с клиентами и партнерами. Для коммерческих организаций актуальна не только защита информации от НСД, но и обеспечение безопасности информации и установленного функционирования ИТ. Под обеспечением безопасности информации обычно понимается сохранение ее конфиденциальности, целостности и доступности. Необходимость обеспечения установленного функционирования ИТ организации тесно связана с более общей задачей обеспечения непрерывности ее бизнеса. Таким образом, обеспечение информационной безопасности в коммерческих организациях имеет значительную специфику, и традиционные методы защиты информации от НСД не покрывают всех аспектов данной задачи [2].
Решение проблем информационной безопасности на практике осуществляется по различным направлениям. Одним из таких направлений является правовое регулирование. В научном плане развитие законодательства по информационной безопасности идет, в частности, по линии систематизации соответствующих норм. Настоящая работа представляется авторами как фрагмент решения проблемы комплексного обеспечения информационной безопасности в конкурентной борьбе.
Для получения или добывания каких-либо сведений, представляющих определенный интерес и характеризующих деятельность конкурентов, клиентов или партнеров, для того, чтобы убедиться в том, что деловой партнер действительно в состоянии выполнить свои договорные обязательства, и, как говорят, вас «не кинет», используются средства промышленного шпионажа (или, по другому, конкурентной разведки). Правовой основой сбора информации о партнерах, конкурентах и иных лицах являются Закон Российской Федерации «О частной детективной и охранной деятельности»
№ 2487 от 11 марта 1992 года (в последней редакции от 03.12.2011 № 389-Ф3), другие законы и правовые акты Российской Федерации. В соответствии со статьей 1 указанного выше закона «частная детективная и охранная деятельность определяется как оказание на возмездной договорной основе услуг физическим и юридическим лицам, имеющими специальное разрешение (лицензию) органов внутренних дел организациями и индивидуальными предпринимателями в целях защиты законных прав и интересов своих клиентов (в ред. ФЗ от 22.12.2008 № 272-ФЗ)». Подобная деятельность может осуществляться предприятиями, имеющими специальное разрешение (лицензию) органов внутренних дел Российской Федерации.
Уточним, что охраняются и защищаются с правовой точки зрения не сама информация, а права на нее; что различают тайну как вид конфиденциальной информации и режим тайны как вид правового режима охраны прав и законных интересов субъектов в отношении этой информации.
Поскольку каждая тайна выступает в виде прямых ограничений при реализации информационных прав и свобод человека и гражданина, то их правовое регулирование в соответствии с конституцией РФ возможно только через федеральные конституционные и федеральные законы.
В случае промышленного шпионажа субъектом (т.е. стороной, которая осуществляет активные действия) является отдельный предприниматель, фирма, т.е. физическое или юридическое лицо. Промышленный, или бизнес-шпионаж, обычно преследует две цели: а) проверить благонадежность делового партнера; б) - вытеснить или уничтожить конкурента. Для достижения названных целей необходима информация. В первом случае минимальная задача такова: необходимо убедиться, что деловой партнер действительно не подведет. Во втором случае о конкуренте желательно знать все: источники поставок товара, готовящиеся контракты, финансовое состояние, методы работы фирмы и постоянные деловые связи, - в общем, все то, что определяет экономическое положение фирмы-конкурента. Получив необходимую информацию, ее анализируют и определяют возможность вступления в деловые отношения с партнером (если цель - убедиться в благонадежности партнера) или определяют способ воздействия на конкурента, например, перехват поставок или контрактов, переманивание наиболее ценных специалистов, передача конфиденциальной ин-
формации, содержащей негативные характеристики конкурента, в правоохранительные органы. Легальный бизнес-шпионаж включает в себя такие методы, как анализ прессы, рекламных публикаций и т.д. Простой анализ рекламы позволяет оценить прибыль фирмы-конкурента с точностью до 10-15%, наружное видеонаблюдение за офисом позволяет оценить число сотрудников, их материальное положение, привычки, дает возможность выяснить круг лиц, входящих в высшее звено организации.
Интерпол следующим образом характеризует промышленный шпионаж:
«Это приобретение любым обманным путем интеллектуальной собственности, принадлежащей какому-либо юридическому лицу, которая была создана или законно приобретена этим юридическим лицом с целью произвести что-то, что имеет или может иметь промышленную ценность и, в более широком плане, ценность для национальной экономики» [4].
Законом предусмотрено два вида частной детективной и охранной деятельности: сыск и охрана.
В целях сыска разрешается предоставление следующих видов услуг:
1) сбор сведений по гражданским делам на договорной основе с участниками процесса;
2) изучение рынка, сбор информации для дедовых переговоров, выявление некредитоспособных или ненадежных деловых партнеров;
3) установление обстоятельств неправомерного использования в предпринимательской деятельности фирменных знаков и наименований, недобросовестной конкуренции, а также разглашения сведений, составляющих коммерческую тайну;
4) выяснение биографических и других характеризующих личность данных об отдельных гражданах (с их письменного согласия) при заключении ими трудовых и иных контрактов;
5) поиск без вести пропавших граждан;
6) поиск утраченного гражданами или предприятиями, учреждениями, организациями имущества;
В целях охраны предоставляются следующие услуги:
1) защита жизни и здоровья граждан;
2) охрана имущества собственников, в том числе при его транспортировке;
3) проектирование, монтаж и эксплуатационное обслуживание средств охранно-пожарной сигнализации;
4) консультирование и подготовка рекомендаций клиентам по вопросам правомерной защиты от противоправных посягательств;
5) обеспечение порядка в местах проведения массовых мероприятий.
Указанные выше услуги, что особо подчеркивается в Законе, могут оказывать лишь физические или юридические лица, имеющие статус частного детектива, частного детективного предприятия или объединения, частного охранника или частного охранного предприятия либо охранно-сыскного подразделения. Физические и юридические лица, не имеющие такого статуса, не вправе оказывать сыскные и охранные услуги.
Частным детективом признается гражданин Российской Федерации, получивший в установленном порядке лицензию на частную сыскную деятельность и выполняющий перечисленные в законе сыскные услуги. Совмещение этой деятельности с государственной службой не допускается [3].
Лицензия на работу в качестве частного детектива выдается органом внутренних дел в течение месяца со дня подачи заявления гражданином, претендующим на ее получение, сроком на 3 года.
В законе указаны ограничения на выдачу лицензии. Лицензии не выдаются:
1) гражданам, не достигшим 21 года;
2) гражданам, состоящим на учете в органах здравоохранения по поводу психического заболевания, алкоголизма или наркомании;
3) гражданам, имеющим судимость за совершение умышленного преступления;
4) гражданам, которым предъявлено обвинение в совершении преступления (до разрешения вопроса об их виновности в установленном законом порядке);
5) гражданам, уволенным с государственной службы, из судебных, прокурорских и иных правоохранительных органов по компрометирующим их основаниям;
6) бывшим работникам правоохранительных органов, осуществлявшим контроль за частной детективной и охранной деятельностью, если со дня их увольнения не прошел год;
7) гражданам, не представившим необходимые документы.
Если гражданин не согласен с отказом в выдаче лицензии, он может обратиться в вышестоящий орган внутренних дел или в суд. Частным детективам запрещается:
1) скрывать от правоохранительных органов ставшие им известными факты готовящихся или совершенных преступлений;
2) выдавать себя за сотрудников правоохранительных органов;
3) собирать сведения, связанные с личной жизнью, с политическими и религиозными убеждениями отдельных лиц;
4) осуществлять видео- и аудиозапись, фото- и киносъемку в служебных или иных помещениях без письменного согласия на то соответствующих должностных или частных лиц;
5) прибегать к действиям, посягающим на права и свободы граждан;
6) совершать действия, ставящие под угрозу жизнь, здоровье, честь, достоинство и имущество граждан;
7) фальсифицировать материалы или вводить в заблуждение клиента;
8) разглашать собранную информацию, использовать ее в каких-либо целях вопреки интересам своего клиента или в интересах третьих лиц;
9) передавать свою лицензию для использования ее другими лицами.
Проведение сыскных действий, нарушающих тайну переписки, телефонных переговоров и телеграфных сообщений либо связанных с нарушением гарантий неприкосновенности личности или жилища, влечет за собой установленную законом ответственность.
Промышленный шпионаж может быть открытым (легальным) или закрытым (в этом случае используются незаконные методы получения информации). Нелегальный бизнес-шпионаж включает в себя, во-первых, агентурный метод получения информации и, во-вторых, различные технические методы получения информации (например, перехват телефонных переговоров, аудиоинформации, почтовых и электронных сообщений). При использовании агентурного метода получения информации возможны два направления деятельности: а) вербовка,
б) внедрение в организацию своего человека. Оба способа имеют свои преимущества. В любой коммерческой структуре есть вторые или третьи лица, которые по своим знаниям и опыту приближаются к уровню высшего звена и кото-
рые способны самостоятельно вести свою игру. Результатом вербовки может быть то, что выгодные заказы пойдут «налево», т.е., в частности и тем лицам, которые организовали бизнес-шпионаж в свою пользу. Если принять, что конечной целью промышленного шпионажа является уничтожение фирмы-конкурента, то вариант с внедрением имеет существенные преимущества, т.к. доверие к своему человеку, конечно же, больше. Объектами агентурной разработки могут быть не только, скажем, вторые или третьи лица фирмы-конкурента, но и любые сотрудники любого, даже самого низшего, звена, которым вполне по силам осуществить скрытую установку подслушивающей аппаратуры, которая в обиходе носит название «жучки» и т.д. Для установки такой аппаратуры необходимо от нескольких секунд до двух-трех минут, а для установки аппаратуры, перехватывающей телефонные сообщения, вообще не нужно проникать в офис, так как достаточно найти телефониста, который согласится найти искомый телефонный кабель. Отметим, что по закону производство и сбыт такой техники преследуется в уголовном порядке и наказывается длительным сроком.
Распространенным способом получения конфиденциальной информации является незаконный доступ в информационные системы или компьютерный шпионаж, который преследует, как правило, экономические цели. Преступления этой категории чаще всего совершаются для получения следующей информации: программ обработки данных, результатов научных исследований, конструкторской документации и калькуляции, сведений о стратегии сбыта продукции и списков клиентов конкурирующих фирм, административных данных, сведений о планах и о технологии производства. Наиболее распространенная в настоящее время форма компьютерных преступлений - деятельность хакеров, владельцев персональных компьютеров, незаконно проникающих в информационные сети. Хакеры - это квалифицированные и изобретательные программисты, занимающиеся разными видами компьютерных махинаций, начиная с нарушений запретов на доступ к компьютерам в совокупности с их несанкционированным использованием, вплоть до хищения секретных сведений.
Съём информации с компьютера может осуществляться многими способами:
> хищение носителей информации;
> копирование программной информации с носителей;
> чтение оставленных без присмотра распечаток программ;
> чтение информации с экрана посторонним лицом (во время отображения ее законным пользователем или при его отсутствии);
> подключение к компьютеру специальных аппаратных средств, обеспечивающих доступ к информации;
> использование специальных технических средств для перехвата электромагнитных излучений (известно, что с помощью направленной антенны такой перехват возможен в отношении аппаратуры в металлическом корпусе на расстояниях до 200 метров, а в пластмассовом - до одного километра);
> несанкционированный доступ программ к информации, либо расшифровка программной зашифрованной информации. Последний способ называется «электронным грабежом».
Существует ряд характерных черт преступлений, связанных с использованием ЭВМ, которые усложняют расследование и предъявление обвинения по ним. Помимо юридических трудностей возникают и другие проблемы, с которыми может столкнуться следствие. Среди них:
> сложность обнаружения преступлений, связанных с использованием ЭВМ;
> большая дальность действия современных средств связи делает возможным внесение незаконных изменений в компьютерную информацию с помощью дистанционных терминалов либо закодированных телефонных сигналов практически из любого района;
> затруднения в понимании порядка работы ЭВМ в технологически сложных случаях;
> информация преступного характера, заложенная в память и служащая доказательством для обвинения, может быть ликвидирована почти мгновенно;
> обычные методы финансовой ревизии в случае этих преступлений не применимы, т.к. для передачи информации используются электронные импульсы, а не финансовые документы.
Что может сделать с вашей информацией злоумышленник?
Во-первых, просто ее прочитать (и использовать затем вам во вред), что называется нарушением конфиденциальности информации. Во-вторых, изменить содержимое или присвоить себе авторство сообщения, что является наруше-
нием целостности информации. Классический пример нарушения целостности — добавление лишнего нуля в платежном документе, а это совершенно недопустимо. Способов защититься также два: шифрование информации, которое поможет скрыть ее от чересчур любопытных, и применение электронной подписи (ЭП), которая не позволит что-либо изменить «по дороге» в письме или пересылаемом документе и даст возможность точно установить, кто именно является автором пришедшего сообщения.
Одним из средств защиты данных от несанкционированного доступа является их шифрование. Математическая дисциплина, изучающая алгоритмы шифрования текстов, называется криптографией. Цель криптографической системы заключается в том, чтобы зашифровать осмысленный исходный текст (также называемый открытым текстом), получив в результате совершенно бессмысленный на взгляд шифрованный текст (криптограмму). Получатель, которому он предназначен, должен быть способен расшифровать (говорят также «дешифровать») эту криптограмму, восстановив, таким образом, соответствующий ему открытый текст. При этом противник должен быть неспособен раскрыть исходный текст. Существует важное отличие между расшифрованием и раскрытием шифрованного текста. Раскрытием системы шифрования (криптосистемы) называется результат работы, приводящий к возможности эффективного раскрытия любого, зашифрованного с помощью данной криптосистемы, открытого текста. Степень неспособности криптосистемы к раскрытию называется ее стойкостью.
Все методы шифровки можно разделить на две группы: шифры с секретным ключом и шифры с открытым ключом. Первые характеризуются наличием некоторой информации (секретного ключа), обладание которой даёт возможность как шифровать, так и расшифровывать сообщения. Поэтому они именуются также одноключевыми. Шифры с открытым ключом подразумевают наличие двух ключей - открытого и закрытого; один используется для шифровки, другой для расшифровки сообщений. Эти шифры называют также двухключевыми.
Шифры с секретным ключом подразумевают наличие некой информации (ключа), обладание которой позволяет как зашифровать, так и расшифровать сообщение. С одной стороны, такая схема имеет те недостатки, что необходимо кроме открытого канала для передачи шиф-
рограммы наличие также секретного канала для передачи ключа, а кроме того, при утечке информации о ключе, невозможно доказать, от кого из двух корреспондентов произошла утечка.
Шифры с открытым ключом подразумевают наличие двух ключей - открытого и закрытого; один используется для шифровки, другой для расшифровки сообщений. Открытый ключ публикуется - доводится до сведения всех желающих, секретный же ключ хранится у его владельца и является залогом секретности сообщений. Суть метода в том, что зашифрованное при помощи секретного ключа может быть расшифровано лишь при помощи открытого и наоборот. Ключи эти генерируются парами и имеют однозначное соответствие друг другу. Причём из одного ключа невозможно вычислить другой. Характерной особенностью шифров этого типа, выгодно отличающих их от шифров с секретным ключом, является то, что секретный ключ здесь известен лишь одному человеку, в то время как в первой схеме он должен быть известен по крайней мере двоим. Это даёт такие преимущества: не требуется защищённый канал для пересылки секретного ключа, вся связь осуществляется по открытому каналу; «что знают двое, знает свинья» - наличие единственной копии ключа уменьшает возможности его утраты и позволяет установить чёткую персональную ответственность за сохранение тайны; наличие двух ключей позволяет использовать данную шифровальную систему в двух режимах - секретная связь и цифровая подпись.
Одним из лучших используемых в настоящее время симметричных алгоритмов является отечественный стандарт шифрования ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования». Этот алгоритм является обязательным для применения в государственных организациях России, а также в негосударственных, но обменивающихся с ними конфиденциальной информацией. Основной особенностью Российского стандарта является высокая стойкость криптографического алгоритма. Она основывается на использовании 256-битного ключа. Алгоритмы симметричного шифрования обеспечивают высокую скорость шифрования и простоту аппаратной и программной реализации. Однако зависимость числа ключей от числа абонентов является квадратичной, что при большом количестве пользователей делает неэффективной работу службы
генерации ключей из-за низкой скорости обработки огромного количества информации.
В криптосистемах с открытым ключом не требуется передача секретного ключа между абонентами, участвующими в обмене защищаемой информацией. Суть разработанного подхода заключается в том, что в обмене защищаемыми документами каждый абонент использует пару взаимосвязанных ключей - открытый и секретный. Отправитель подписываемого документа передает получателю открытый ключ. Он может это сделать любым несекретным способом или поместить ключ в общедоступный справочник. При помощи открытого ключа получатель проверяет подлинность получаемой информации. Секретный ключ, при помощи которого подписывалась информация, хранится в тайне от всех. Таким образом, решаются две проблемы: нет нужды в секретной доставке ключа (так как при помощи открытого ключа нельзя расшифровать сообщения, которые зашифрованы для этого открытого ключа, и, следовательно, перехватывать открытый ключ нет смысла); отсутствует также квадратичная зависимость числа ключей от числа пользователей, так как - для N пользователей требуется 2N ключей.
Сообщение, зашифрованное при помощи открытого ключа какого-либо абонента, может быть расшифровано только им самим, поскольку только он обладает секретным ключом. Таким образом, чтобы послать закрытое сообщение, вы должны взять открытый ключ получателя и зашифровать сообщение на нём. После этого даже вы сами не сможете его расшифровать.
Все государства уделяют пристальное внимание вопросам криптографии. Наблюдаются постоянные попытки наложить некие рамки, запреты и прочие ограничения на производство, использование и экспорт криптографических средств. В России лицензируется ввоз и вывоз средств защиты информации, в частности, криптографических средств, согласно Указу Президента Российской Федерации от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации (в ред. Указа Президента РФ от 25.07.2000 г. № 1358).
Объясняется такая политика теми особенностями, которые имеет криптография в плане её доступности для использования и трудности преодоления. Криптографическая защита
относительно дёшева, а средства её преодоления либо очень дороги, либо вообще не существуют. Один человек с персональным компьютером может успешно противопоставить свою защиту любым государственным структурам.
Криптография, в отличие от мер физической защиты, обладает тем уникальным свойством, что при правильном выборе метода затраты на обеспечение защиты информации много меньше затрат на преодоление этой защиты. То есть, обыкновенный гражданин может себе позволить такую крепкую защиту, которую не в силах преодолеть государство со всей его финансовой и технической мощью.
В современных системах с высокими требованиями к защищенности информации для шифрования используются методы, основанные на аналитических преобразованиях текста. Смысл этих методов заключается в том, что шифруемый текст преобразуется по некоторому аналитическому правилу (формуле). Можно, например, использовать правило умножения матрицы на вектор, причем умножаемая матрица является ключом шифрования (поэтому ее размер и содержание должны сохраняться в тайне), а символами умножаемого вектора последовательно служат символы шифруемого текста. Расшифрование осуществляется с использованием того же правила умножения матрицы на вектор, только в качестве основы берется матрица, обратная той, с помощью которой осуществляется закрытие, а в качестве вектора - сомножителя - соответствующее количество символов закрытого текста. Данный метод легко реализуется программными средствами.
Электронные документы - это документы, созданные электронными средствами в виде текстовых или графических файлов. Электронные документы способны найти широкое применение в коммерческих и управленческих процессах лишь при условии, что достоверность содержащейся в них информации не вызывает сомнений.
Процесс обмена электронными документами существенным образом отличается от обычной формы обмена документами на бумажных носителях. При широком внедрении в деловую и административную практику обмена электронными документами необходимо решить проблему подтверждения подлинности содержащейся в них информации и ее соответствия смыслу волеизъявления человека. Технически эта проблема решается путем использования средств
ЭЦП. 10 января 2002 г. был принят ФЗ № 1-ФЗ «Об электронной цифровой подписи» (в редакции от 8 ноября 2007г. № 258-ФЗ), который закладывает основы решения проблемы обеспечения правовых условий для использования электронной цифровой подписи в процессах обмена электронными документами, при соблюдении которых электронная цифровая подпись признается юридически равнозначной собственноручной подписи человека в документе на бумажном носителе.
Статья 3 этого закона устанавливает, что «электронный документ - документ, в котором информация представлена в электронно-цифровой форме».
ЭЦП - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющей идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажений информации в электронном документе. С помощью ЭЦП гарантируется авторство (поступление информации из достоверного источника), не-отказуемость (аналог собственноручной подписи)
Федеральный Закон «Об электронной цифровой подписи» определяет условия использования ЭЦП в электронных документах органами государственной власти и государственными организациями, а также юридическими и физическими лицами, при соблюдении которых:
> средства создания подписи признаются надежными;
> сама ЭЦП признается достоверной, а ее подделка или фальсификация подписанных данных могут быть точно установлены;
> предоставляются юридические гарантии безопасности передачи информации по открытым телекоммуникационным каналам;
> соблюдаются правовые нормы, содержащие требования к письменной форме документа;
> сохраняются все традиционные процессуальные функции подписи, в том числе удостоверение полномочий подписавшей стороны, установление подписавшего лица и содержания сообщения, а также роль подписи в качестве судебного доказательства;
> обеспечивается охрана персональной информации.
Определены требования к сертификату ключа подписи, выдаваемому удостоверяющим
центром для обеспечения возможности подтверждения подлинности ЭЦП. Устанавливается состав сведений, содержащихся в сертификате ключа подписи, срок и порядок его хранения, а также порядок ведения реестров сертификатов.
Согласно статье 6 данного Закона сертификат ключа подписи должен содержать следующие сведения:
> уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;
> фамилия, имя, отчество владельца сертификата ключа подписи или псевдоним владельца;
> открытый ключ электронной цифровой подписи;
> наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи;
> сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.
Для шифрования ЭЦП используется ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Это российский стандарт, описывающий алгоритмы формирования и проверки электронной подписи. Принят и введён в действие Постановлением Госстандарта России от 12 сентября 2001 года.
Исходя из статьи 160 Гражданского кодекса Российской Федерации на информацию, заверенную ЭЦП, распространяются все традиционные процессуальные функции собственноручной подписи, в том числе, удостоверение полномочий подписавшей стороны, установление подписавшего лица и содержания сообщения, а также роль подписи в качестве судебного доказательства.
Согласно статьи 3 закона об ЭЦП «подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном дан-
ной электронной цифровой подписью электронном документе».
Защита информации в сфере современных технологий информационного обмена предусматривает четыре уровня:
Предотвращение - только авторизованный персонал имеет доступ к информации и технологии.
Обнаружение - обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены.
Ограничение - уменьшается размер потерь, если преступление все-таки произошло несмотря на меры по его предотвращению и обнаружению.
Восстановление - обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению.
Меры защиты - это меры, вводимые руководством, для обеспечения безопасности информации - административные руководящие документы (приказы, положения, инструкции), аппаратные устройства или дополнительные программы - основной целью которых является предотвратить преступления и злоупотребления, не позволив им произойти. Меры защиты могут также выполнять функцию ограничения, уменьшая размер ущерба от преступления.
В заключение отметим основные факторы или события, содействующие или сопутствующие компьютерным преступлениям:
> неавторизованное использование компьютерного времени
> неавторизованные попытки доступа к файлам данных
> кражи частей компьютеров
> кражи программ
> физическое разрушение оборудования
> уничтожение данных или программ
> неавторизованное владение съемными носителями информации или распечатками.
Литература
1. Копылов В. А., Информационное право. Вопросы тории и практики. М,, «Юристъ», 2003.
2. Степанов Е.А., Корнеев И.К., Информационная безопасность и защита информации, М., «Инфра-М», 2001.
3. Загородников С.Н., Шмелев А.А., Основы информационного права, М., «Академический проект», 2005.
4. Шаваев А.Г., Криминологическая безопасность негосударственных объектов экономики, М., «Инфра-М», 1995.
5. Шиверский А.А., Защита информации: проблемы теории и практики, М., «Юристъ», 1996.
6. Костров А.В., Основы информационного менеджмента. М., «Финансы и статистика», 2003.
