CC BY
236
юридические науки
Слесарев Юрий Васильевич ИСТОРИКО-ПРАВОВОЙ АСПЕКТ ...
УДК 347.132.1.+004.056.53 DOI: 10.26140/bgz3-2019-0801-0091
ИСТОРИКО-ПРАВОВОЙ АСПЕКТ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
© 2019
Слесарев Юрий Васильевич, кандидат исторических наук,
доцент, зав кафедрой «История и право» Пензенский государственный технологический университет (440039, Россия, Пенза, проезд Байдукова/ул. Гагарина, д. 1а/11, e-mail: anna-korostelyova@yandex.ru) Аннотация. В данной статье рассматривается историко-правовой аспект и сравнительная характеристика развития обеспечения информационной безопасности в России и странах мира. Раскрываются определение, формы, виды и характеристика различных сторон и аспектов информационной безопасности информационных систем. Предмет, объект и концептуальные возможности обеспечения информационной безопасности. Высокая степень актуальности данной проблемы защиты информации, уязвимости и утечки информации подразумевает непроизвольное и целенаправленное распространение защищенной информации путем ее разглашения, несанкционированного доступа или передачи её каким-либо способом другим субъектам, определяется быстрым развитием социальных сетей, интернет ресурсов в современном обществе и интернета в целом. В соответствии с действующим законодательством, в статье определяются уровень, и степень защиты информации характеризуются возможные способы предотвращения различных угроз или какого-либо ущерба пользователю, владельцу или собственнику. Акцент делается на последние изменения в законодательстве об информации, информационных технологиях как совокупности мер, способствующих предотвращению несанкционированного использования, злоупотребления, изменения информации, фактов, данных в историко-правовом аспекте обеспечения информационной безопасности информационных систем.
Ключевые слова: информация, защита данных, информационная безопасность данных, информационная система.
HISTORICAL LEGAL PERSPECTIVE OF INFORMATION SECURITY PROTECTION
© 2019
Slessarev Yuri Vassilyevich, PhD, associate professor, Head of the "History and Law" Chair Penza State Technological University (440039, Russia, Penza, proezd Baidukova/street Gagarina 1a/11, e-mail: anna-korostelyova@yandex.ru) Abstract. The historical legal perspective and comparative characteristics of Information Security Protection development both in Russia and abroad are under consideration in the article. Definitions characterizing different aspects of Information Security are explained. Some conceptual possibilities of Information Security Protection are offered by the authors. online. The high degree of urgency of this problem of information security, vulnerability and information leakage implies involuntary and purposeful dissemination of protected information by means of its disclosure, unauthorized access or transmission in any way to other subjects, determined by the rapid development of social networks, Internet resources in modern society and the Internet as a whole. In accordance with applicable law, the article determines the level and degree of protection of information characterized by the possible ways of prevention of threats or any harm to the user, to the owner or to the possessor. The emphasis is placed on the latest changes in the legislation on information, information technology as a set of measures to prevent unauthorized use, abuse, changes in information, facts, data in the historical and legal aspect of information security of information systems.
Keywords: information, data protection, information security of data, information system.
Информационная безопасность - это, прежде всего безопасность собственно информации информационных систем и ее носителей. В юридической науке сокрытие и сохранение сведений, результатов деятельности, информацию о событиях, фактах, процессах независимо от форм и видов их возникновения и предоставления, называется защитой информации. Информация есть важнейшая языковая, вербальная и визуальная система, составляющая функциональную основу любого социума и государства, без которой невозможно было бы развитие науки, техники, технологий, законодательства, социальной и производственной сферы, всего того, что необходимо для нормального существования субъекта в социуме. Существующая в априори информация в зависимости от категории доступа к ней можно подразделяется на два вида: общедоступную и ограниченного доступа (для служебного пользования). В частности, в ст. 9 Федерального закона «Об информации, информационных технологиях и о защите информации», информацией ограниченного доступа определяются любые сведения, содержащую государственную, корпоративную, служебную и иную профессиональную, а также личную и семейную тайну, в том числе персональные данные субъектов и группы лиц [5]. В зависимости от формы и вида конкретная информация подразделяется на языковую, словесную, изобразительную, коммуникационную, документированную, интегрированную в информационных системах и процессах, методологически способную моделировать поиск, накопление, обработку, распреде-
ление и сохранение информации [1]. Поэтому информационная система есть совокупность документов, источников и массивов документов в информационных технологиях определяемая информационными ресурсами источниками, документами или массивами документов. Формирование информационных систем определяется совокупным структурированным процессом создания оптимальных социальных и профессиональных условий способствующих удовлетворению информационных потребностей субъектов, юридических лиц, и спросом социума на информационные ресурсы [2]. Информация является одним из существующих объектов интеллектуальной собственности в соответствии гражданским кодексом и действующим законодательством Российской Федерации. Собственник информационных ресурсов, технологий и систем как объектов интеллектуальной собственности обладает правом владения, пользования и распоряжения вышеуказанных объектов. Однако пользоваться информационной системой или обращаться к ней за получением нужной информации возможно в соответствии с требованиями законодательства или локальными нормативно-правовыми актами юридического лица - собственника информации, в целях избегания её утечки [4]. В соответствии с законодательством, утечкой информации является какое-либо несанкционированное и целенаправленное проникновение в защищенную информационную среду с целью её присвоения, использования, разглашения и передачи её каким-либо способом другим субъектам. Несанкционированное или
Slessarev Yuri Vassilyevich juridical
HISTORICAL LEGAL ... science
целенаправленное воздействие на защищенную информацию это изменение в ней структуры путем замены или подлога информации незаметной для информационной системы и субъекта работающего с данной информацией (например, подмена электронных ресурсов, базы данных). Под несанкционированным распространением защищенной информацией понимается непреднамеренное, произвольное совершаемое субъектом действие или совокупности действий в пользовании информационной системой, информационными ресурсами, сбое компьютерной техники, использовании программных средств, а также возникновении природных явлений, катаклизмов и других техногенных воздействий на информационную систему (уничтожение файла или документа на накопителе жестком диске или процессоре) [4]. В соответствии с Федеральным законом № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации», совокупность действий субъекта направленных на обеспечение сохранения и сокрытия информационной среды, информационных ресурсов, способствующая предотвращение к проникновению в информационную среду и причинения какого-либо вреда пользователю, владельцу или собственнику, а также ликвидация последствий причиненного вреда и ущерба, определяется как защита информации [5]. Предметом защиты информации является ее конфиденциальность определяемая базой данных, информационной системой, информационным ресурсом, процессом воспроизводства информации, а также информационный процесс в соответствии с которым необходимо осуществить совокупность действий направленных на реализацию поставленных целей по сохранению конфиденциальной информации [2]. Под конфиденциальностью информации подразумевается структурированный процесс сокрытия формы и содержания информации в информационных системах и невозможности передачи её целью пользования или владения другим субъектом, юридическим лицом. Одним из основных способов защиты информации в информационных системах - это шифрование конфиденциальных и закрытых источников информации, информационных ресурсов и систем баз данных, способствующее созданию защищённой информационной среды, в которой содержание информации становится недоступным для субъекта или юридического лица, не обладающих правом доступа к информации или информационной системе [3]. Возникновение угрозы информационной безопасности в компьютерной или информационной системе возможно путем целенаправленного несанкционированного воздействия на структуру информационной системы, базы данных, информационных ресурсов приводящие к изменениям в функциональных возможностях компьютерной или информационной системе и связанные с нарушением защищенности информации и обработки информации в ней. В контексте вышесказанного следует рассмотреть понятие уязвимости информации как методологической возможности несанкционированного проникновения в компьютерную или информационной систему, на каком либо этапе функционального цикла компьютерной или информационной системы путем и осуществления атаки на базу данных или информационный ресурс, создавая в них условия, для структурного изменения информации, вызывающие угрозу безопасности [3]. Атака - это способ целенаправленного воздействия на информационную систему, базу данных, информационный ресурс или совокупность действий совершаемых субъектом, в поиске вариантов проникновения в компьютерную или информационную систему. Угрозы информационной безопасности компьютерных или информационных систем условно подразделяются на внешние, не связанные с деятельностью субъекта (технические, техногенные, объективные) и возникающие вне информационной системы и внутренние угрозы, связанные непосредственно с профессионально- компетентностной или функци-352
онально-коммуникационной деятельностью субъекта. Внутренние угрозы в свою очередь подразделяются на:
- непреднамеренные (халатность, небрежность) -совершаемые в профессиональной деятельности как ошибки в проектировании информационных систем, создании баз данных, информационных ресурсов, в работе программных средств, компьютерных систем, аппаратных средств;
- преднамеренные совершаемые в результате несанкционированного доступа, определенного действия субъекта или группы лиц, результатом которой может быть утечка, искажение или утрата информации [3].
Кроме вышеуказанных способов защиты информации существуют аппаратные средства защиты информации, к которым относят электронные и технические устройства, комплектующие компьютерных систем, способствующие путем реализации программных средств обеспечивать функции по защите и безопасности информации. К таким аппаратным средствам защиты и безопасности информации в первую очередь относятся: аппаратные устройства ввода-вывода, позволяющие определять идентификацию пользователя или владельца информации; шифровальные устройства; защитные устройства, исключающие несанкционированное включение станций серверов пользователя [3]. Лицензионные программы непосредственно являются средством защиты информации, обеспечивающие информационную безопасность, созданы исключительно для выполнения защитных функций. Поэтому включаемые в состав программного обеспечения компьютерных и информационных систем базовые программные средства защиты информации могут быть в виде: а) программы определения пользователей информационных ресурсов; б) программы ранжирования полномочий доступа пользователей к информационным системам и ресурсам; в) программы адресной защиты от несанкционированного воздействия на базу данных в информационных системах, а также использования, копирования информационных ресурсов в информационной среде. Таким образом, под программой идентификации (системой определения) пользователя, подразумевается однозначное, индивидуальное распознавание уникального имени субъекта или пользователя (владельца) информационного ресурса, применительно к обеспечению безопасности компьютерных и информационных систем. Аутентификация также означает подтверждение введенной информации пользователем, что предъявленное имя соответствует данному субъекту [1]. Современный онлайновый словарь пользователя должен содержать следующие структурные сведения об информации:
- сведения, явления, новости, данные как результаты поиска и констатации информации;
- события, известия, факты как результаты, полученные при научном исследовании;
- символы представления баз данных, язык программирования, команды (в системах коммуникации или в информационных системах);
- сообщения, знания, изображения, экспериментальные данные, меняющие научную концепцию;
- результаты, полученные при обучении, информация поискового и исследовательского порядка полученная как результат физической, умственной, учебной и иной деятельности.
Безопасность определяется нами как совокупность мер направленных на обеспечение свободы деятельности субъекта от воздействия чего-либо или кого-либо извне, нивелирование страха или беспокойства. Применительно к информационной безопасности синтезируя вышеуказанные определения как интегрированную совокупность защитных мер, направленных на предотвращение несанкционированного доступа к использованию субъектом, сведений, фактов, данных или аппаратных средств либо злоупотребления ими. Таким образом, информационная безопасность - это предупре-Baltic Humanitarian Journal. 2019. Т. 8. № 1(26)
юридические науки
Слесарев Юрий Васильевич ИСТОРИКО-ПРАВОВОЙ АСПЕКТ ...
дительные меры воздействия, которые позволяют защитить информацию, информационные ресурсы и компьютерные системы от внешних и внутренних угроз и использования их кем-либо в корыстных целях.
Современные способы защиты информации и информационных ресурсов и технологий мобильны, поэтому очень важно понять что, определение правильного подхода к обеспечению информационной безопасности является гарантией предотвращения прошлых ошибок и их последствий. История развития цивилизации знает много способов сохранения и передачи ценной информации представленной в материальной форме и дошедших до наших дней в виде памятников культуры, в частности, наскальная живопись древнего человека содержащую информацию об охоте, первые письменные источники на каменных, деревянных и глиняных табличках, шкурах, пергаменте, позже на бумаге, содержащую ценную информацию о существовании цивилизаций. Кроме этого для сохранения, защиты и передачи информации в прошлом использовались такие важные материальные объекты как крепости, рвы, в том числе вооруженная охрана. Однако вышеуказанные материальные объекты и системы были не столь надежными, и при захвате их враги получали доступ к необходимой информации. В древнем Риме Юлий Цезарь предпринял ряд мер по защите ценной информации в процессе передачи на расстояние, получившего название шифра Цезаря. Он разработал систему кодов делавших невозможным для прочтения информации и передаваемых сообщений в случае перехвата. Данная концепция защиты и сокрытия информации получила свое развитие во время. Второй мировой войны. Германия создала машину под названием Enigma для шифрования сообщений, посылаемых воинским частям, которая практически исключала варианты взлома и расшифровки информации. Немцы считали, машину Enigma идеальной технологической и информационной конструкцией, исключающую возможность проникновения в неё, и это действительно было так если бы не ошибки операторов, позволившие союзникам прочитать некоторые сообщения. В шифровании военных объектов обычно применяли кодовые слова для обозначения географических пунктов и боевых подразделений. Таким образом, заменяя названия кодовыми словами, невозможно было понять передаваемую информацию даже после взлома шифровального кода. Если не учитывать субъективный фактор в использовании шифровальных систем, сложный шифр практически невозможно было взломать или прочитать. Постоянно совершенствовалась система поиска и перехвата информации, передаваемой в зашифрованном виде. Уже в послевоенное время было установлено, что доступ к закрытой информации технически возможен путем просмотра электронных сигналов, возникающих при их передаче по коммуникационным каналам. Работа всех электронных систем сопровождается электромагнитным излучением, которое используется для передачи зашифрованной информации. Блок шифрования посылает зашифрованную информацию по каналу связи, а вместе с ним передается и исходящий электромагнитный сигнал, который по возможности можно восстановить [3,7]. Несколько позже, при передаче информации по телеграфу были разработаны уровни защиты, обеспечивающие защиту информации и невозможность определения электромагнитного излучения. Массовое использование компьютеров как оргтехники обеспечил перевод в электронный формат информационные системы и ресурсы организаций. Таким образом, работать на компьютерах стало проще, и спровоцировал переход пользователей компьютерных систем в режим интерактивного диалога. Информация стала общедоступной, злоупотребление которой в современном социуме вошло в систему. Возникла потребность в защите, сокрытии информации, информационных и компьютерных систем [7].
В начале 70-х гг. XX века Дэвид Белл и Леонард
Ла Падула разработали модель безопасности операций, производимых на компьютере, которая базировалась на правительственной концепции уровней классификации информации (несекретная, конфиденциальная, секретная, совершенно секретная) и уровней допуска к ней. Субъект обладал уровнем допуска выше, чем уровень файла (объекта) по классификации, что обеспечивало доступ к файлу, в противном случае определялось невозможность доступа. Эта концепция защиты стала базисной в стандарте 5200.28 «Trusted Computing System Evaluation Criteria» (TCSEC) («Критерий оценки безопасности компьютерных систем»), разработанном в 1983 г. Министерством обороны США. Из-за цвета обложки он получил название «Оранжевая книга». «Оранжевая книга» ранжировала компьютерные системы в соответствии со следующей шкалой минимальной защиты (не-нормируемой) информации:
Защита информации по усмотрению;
Контролируемая защита доступа к информации;
Защита информации с метками безопасности;
Структурированная защита информации;
Защита доменов содержащих информацию;
Проверяемая разработка.
«Оранжевая книга» определяла для каждого подраздела и уровня защиты информации функциональные требования и гарантии защищённости. Система защиты информации должна была удовлетворять этим требованиям, чтобы соответствовать определенному уровню сертификации по защите и безопасности информации. Выполнение требований гарантированной защиты для большинства сертификатов безопасности было затратным по финансам и времени и срокам выполнения их. В результате очень мало информационных систем было сертифицировано выше, чем уровень С2, что в целом определяло неэффективность уровневой системы защиты и безопасности информации (на самом деле только одна система за все время была сертифицирована по уровню А1 - Honeywell SCOMP). Быстрое развитие информационных систем и информационных потоков затрудняло прохождение уровневой сертификации, защиты информации, которые успевали устареть. При составлении других критериев и уровней защиты информации были сделаны попытки разделить функциональные требования и гарантии защищённости. В последствии вышеуказанные разработки в качестве основы определили национальные системы защиты информации и информационных систем, в частности вошли в «Зеленую книгу» Германии в 1989 г., в «Критерии Канады» в 1990 г., «Критерии оценки безопасности информационных технологий» (ITSEC) в 1991 г. и в «Федеральные критерии» (известные как Common Criteria - «Общие критерии») в 1992 году. Каждый из вышеуказанных национальных стандартов предлагал свой способ уровневой сертификации защиты и безопасности информационных и компьютерных систем. ITSEC и Common Criteria продвинулись в защите уровней информации и информационных систем дальше остальных, сделав функциональные требования фактически безопасными. Современная концепция развития уровней защиты и безопасности информации и информационных систем воплощена в «Общих критериях». Базовая концептуальная идея защиты определялась в профилях защиты информации, в различных средах безопасности информации и информационных систем, в которые может быть размещена компьютерная система. Результаты проходят оценку на соответствие профилей защиты информации и автоматически сертифицируются. При покупке информационной системы организация выбирает необходимый профиль, наиболее полно соответствующий ее потребностям, и способный определять результаты, сертифицированные по этому профилю. Сертификат результата определяет также уровень доверия и секретности, включенный специалистами-оценщиками в соответствующий профиль функциональных возможностей. Современные компьютерные
Slessarev Yuri Vassilyevich HISTORICAL LEGAL ...
juridical science
технологии и информационные системы стремительно развиваются по сравнению с программой лицензирования и сертификации защиты информации, определяя пробелы развития законодательства в данной области. Возникающие новые версии операционных и информационных систем и аппаратных средств находят свои рынки сбыта быстрее, чем системы проходят лицензирование и сертификацию по защите информации [6].
Проблема, связанная с критериями уровней безопасности информации в информационных системах, заключалась в фактическом отсутствии механизмов работы в сети. Имея глобальные каналы в средствах связи, отсутствовали механизмы глобализации локальных сетей, скорости передачи в них информации. Однако появилось множество локальных информационных каналов общего пользования, в которых практически отсутствовала система защиты информации от многочисленных пользователей, имеющих доступ к информации и информационным системам различных уровней. В вышеуказанной «Оранжевой книге» не рассматривались проблемы защиты информации, возникающие при объединении компьютеров в единую локальную глобальную сеть. Поэтому появление в 1987 г. TNI (Trusted Network Interpretation) «Красной книги» стало новой попыткой усовершенствования уровней гарантированности и защищённости, и безопасности информации и информационных систем, с учетом уровней современного развития информационных технологий. В «Красной книге» представлены и дополнены все требования к безопасности из «Оранжевой книги», и осуществлена попытка создания системной индивидуальной адресации уровневой защиты информации сетевого пространства и безопасности сети в целом. Однако, «Красная книга» также связывала функциональность информационных систем с уровнями их защищённости и гарантированности.
В последнее время актуализировалась проблема защиты, сокрытия и безопасности информации и информационных систем, вызванные появлением беспроводных сетей, не предусмотренных ни в одной вышеперечисленных книгах и системе законодательства. Поэтому существующие современные уровни, критерии, системы и способы защиты информации и информационных систем требуют масштабной доработки и технологического, информационного и законодательного совершенствования.
СПИСОК ЛИТЕРАТУРЫ:
1. Бочкин А.И. Методика преподавания информатики: Учеб. Пособие. - М.: Высшая школа, 2003. - 431 с.
2. Бройдо В.Л. Вычислительные системы, сети и телекоммуникации СПб, Питер 2002- 464 с.
3. Гаврилов Э.П. Коммерческая тайна и результаты интеллектуальной деятельности //Патенты и лицензии. 2002. N 4. С.19-23
4. Административное право /под ред. Л.Л. Попова. М.: Юристъ - 703 с.
5. ФЗ от 27июля 2006г. № 149 — ФЗ «Обинформации, информационных технологиях и о защите информации» с изменениями и дополнениями от 6. 07.2016 г.
6. Вендров А.М. CASE — технологии. Современные методы и средства проектирования информационных систем. — М.: Финансы и статистика, 2015.- 176 с.
7. Гайкович В., Першин А. Безопасность электронных банковских систем. — М.: «Единая Европа», 2014.
Статья поступила в редакцию 18.01.2019
Статья принята к публикации 27.02.2019
354
Baltic Humanitarian Journal. 2019. Т. 8. № 1(26)
