CC BY
109
1 (1) - 2005
СОВЕТЫ СПЕЦИАЛИСТА
ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ
КОРПОРАТИВНЫХ СЕТЯХ
\
В.В. ПОГУЛЯЕВ,
начальник договорного отдела юридического агентства «КОПИРАЙТ» А.А. ТЕРЕНИН
Информация — один из основных активов организаций. Обеспечение ее безопасного использования в корпоративных вычислительных системах во многом предопределяет успех бизнеса, выживаемость хозяйствующего субъекта на рынке.
К сожалению, не каждая компания придает значение вопросам своей информационной безопасности. Отчасти это происходит потому, что руководство не осознает реальной ценности ресурсов (данных), которыми владеет, и считает меры по обеспечению их конфиденциальности неоправдан но дороги ми. Тем временем, не исключено, что конкуренты или другие недоброжелатели готовы пойти на многое ради возможности получить доступ к этой информации, изучить ее, копировать, исказить или уничтожить.
Формирование системы безопасности коммерчески ценных информационных ресурсов — проблема комплексная, которую необходимо решать на юридическом, организационно-правовом и техническом уровнях одновременно. Проблем, возникающих на каждом из указанных уровней достаточно для их выделения в самостоятельные емкие исследования. Поэтому в настоящей статье предлагаются подходы к решению лишь некоторых наиболее распространенных вопросов обеспечения конфиденциальности информационных активов организации.
Основные правовые дефиниции. При формировании систем информационной безопасности очень важно не допустить подмены понятий, так как неправильное использование терминологии в руководящих внутренних документах, касающихся информационной безопасности, способно значительно подорвать ее уровень.
В соответствии с Федеральным законом «Об информации, информатизации и защите информации» (далее - Закон об информации) конфиденциальной является документированная информация, доступ к которой ограничивается в
соответствии с законодательством. Одной из разновидностей конфиденциальной информации является информация, составляющая коммерческую тайну. Отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников регулируемых отношений, в том числе государства, на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, а также с определением сведений, которые не могут составлять коммерческую тайну, регулируются Федеральным законом «О коммерческой тайне».
Информация, составляющая коммерческую тайну, - это научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау):
1) которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам;
2) к которой нет свободного доступа на законном основании;
3) в отношении которой обладателем такой информации введен режим коммерческой тайны.
Под режимом коммерческой тайны понимаются правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.
Учитывая большое количество нормативных правовых актов, многие юридические термины могут быть истолкованы по-разному, в зависимости от целей документа, содержащего ту или иную дефиницию.
Интересным представляется изучение понятия «информационная безопасность». Этот термин раскрыт в Федеральном законе «Об участии
- 67
в международном информационном обмене» следующим образом: «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства». Схожие дефиниции содержались и в технических нормативах. Под «безопасностью информации» в руководящих документах Гостехкомиссии РФ понималось «состояние защищенности информации, обрабатываемой средствами вычислительной техники, от внутренних или внешних угроз» («Защита от несанкционированного доступа к информации. Термины и определения»).
Определения приведенных терминов сводят суть информационной безопасности к процессу защиты информации. Однако, исходя из общих норм гражданского законодательства, сущность «защиты» заключается в принятии мер восстановительного характера уже после того, как произошло нарушение прав или законных интересов. Это несколько не согласуется с приведенными выше актами, а также с положениями Закона об информации, ст. 20 которого в качестве цели защиты информации определяет именно «предотвращение утечки, хищения, утраты, искажения, подделки информации».
Учитывая то, что во многих случаях итогом посягательства на конфиденциальную информацию является ее разглашение, в результате чего информация существенно или полностью теряет свою коммерческую ценность, защита - это последняя возможность владельца информации компенсировать, прежде всего, фактические убытки
— средства, вложенные им в создание данного информационного ресурса и имеющие документарное подтверждение. Возместить упущенную выгоду
- доходы, которые субъект рассчитывал получить от нормального использования своей информации в предпринимательской, научной или иной деятельности, возможно далеко не во всех случаях «утечки» информации. Так, Трудовой кодекс РФ прямо предусматривает, что работник, нарушивший обязательства по сохранению конфиденциальной информации работодателя, обязан возместить последнему только прямой действительный ущерб. При этом работодатель должен будет доказать причинную связь между разглашением информации данным сотрудником и возникновением ущерба.
Таким образом, тезис: «если информация защищена, то она в безопасности» юридически некорректен. Говоря об «информационной безопасности» или о «защите информации» как о совокупности превентивных (охранных) мер,
68 -
направленных на предотвращение утечки информации, ее незаконного получения, разглашения и использования, необходимо учитывать условность такой подмены юридических понятий. Установление общего правового режима в отношении информации есть охрана информации, а не ее защита.
Перейдем к рассмотрению содержания еще одного важного понятия — «информационная система». В соответствии со ст. 2 Закона об информации под информационной системой понимается организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, втом числе с использованием средств вычислительной техники и связи, реализующих информационные процессы. Из определения видно, что мы имеем дело со сложным (составным) объектом, способным заключать в себе объекты авторского права (произведения), промышленной собственности, средства индивидуализации, ноу-хау, информацию и документы как таковые, средства их обработки и т.д. Эта особенность вычислительной системы, безусловно, должна учитываться при разработке концепций (политики) информационной безопасности.
Разновидностью информационной системы является корпоративная вычислительная сеть, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы (Федеральный закон «Об электронной цифровой подписи»).
Источники угроз. Как уже говорилось, большинство предприятий имеют доступ к сети Интернет. Даже сама корпоративная сеть часто строится с использованием Всемирной Паутины, которая, в свою очередь, являясь открытой информационной средой, представляет широкие возможности для различных злоумышленных действий, втом числе, в отношении информационных ресурсов конфиденциального характера. Выделим две наиболее серьезные угрозы, реализация которых может повлечь за собой доступ извне к конфиденциальной информации через компьютерные сети общего пользования.
Первая - вредоносные программы для ЭВМ. Согласно ст. 273 УК РФ под таковыми понимаются программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети. Самой распространенной разновидностью вредоносных программ является «вирус» — ком-
пьютерная программа, способная создавать копии (не обязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии вируса сохраняют способность дальнейшего распространения (ГООТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов).
За создание вредоносных программ, внесение вредоносных изменений в существующие программы, использование либо распространение таких программ или машинных носителей ст. 273 УК РФ установлена уголовная ответственность в виде лишения свободы на срок до 3 лет со штрафом в размере от 200 до 500 M РОТ или в размере заработной платы или иного дохода за период от 2 до 5 месяцев. Если же предусмотренные ст. 273 УК РФ деяния повлекли по неосторожности тяжкие последствия, то он и наказываются лишением свободы на срок от 3 до 7 лет.
Второй серьезной угрозой для корпоративных вычислительных систем являются компьютерные злоумышленники - хакеры, или, как правильней было бы их называть, крэкеры (от одного из значений слова crack - взламывать программу).
Объектами информационных атак хакеров могут стать конфиденциальная информация, объекты интеллектуальной собственности, имидж, деловая репутация компании. Зачастую один «взлом» имеет негативные последствия сразу для всех указанных категорий. Например, когда корпоративный сайт снабжается порнографическими иллюстрациями, экстремистскими лозунгами или нецензурными выражениями. Однако самыми опасными для бизнеса и репутации являются не перечисленные виды информационных атак, поскольку их характер вопиющий, и у обычных посетителей такого сайта не возникнет сомнения в том, что данный ресурс «взломан» хакерами. Гораздо больший вред причиняют неочевидные искажения информации, способные ввести в заблуждение потребителей, негативно повлиять на общественное мнение.
Спектр санкций гражданской, административной и уголовной ответственности, к которой может быть привлечен хакер, весьма разнообразен: ответственность за нарушения исключительных авторских прав, прав на товарные знаки и другие средства индивидуализации; за нарушения антимонопольного законодательства (если нарушения являлись актом недобросовестной конкуренции); за посягательства на личные неимущественные права граждан, деловую репутацию хозяйствую-
щих субъектов; за разглашение и иное незаконное использование конфиденциальной информации (коммерческой, банковской, служебной, государственной, профессиональной тайны, персональных данных и т. д.). В сфере компьютерных преступлений, кроме указанной выше уголовной ответственности, касающейся вредоносных программ, УК РФ предусматривает непосредственно относящиеся к проблеме хакерства санкции за неправомерный доступ к компьютерной информации (ст. 272 УК РФ) и нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ). Хакеры, одновременно являющиеся создателями и пользователями вредоносных компьютерных программ, могут быть привлечены к уголовной ответственности и по ст. 273 УК РФ.
Однако основная проблема заключается не в выборе санкций, а в сборе достаточных доказательств, позволяющих достоверно установить источник несанкционированного проникновения в корпоративную сеть и привлечь конкретное лицо к ответственности, поскольку главная характеристика компьютерных преступлений — высокая степень ла-тентности. Зачастую для этого требуется проведение специальных экспертиз, довольно трудоемких и дорогостоящих. Учитывая то, что наиболее действенными санкциями ответственности за посягательства на информационные ресурсы являются уголовные, хочется упомянуть о важной роли, которую в системе мер обеспечения информационной безопасности на предприятии играет взаимодействие с правоохранительными органами.
Другой сложностью борьбы с хакерами является опускающаяся возрастная черта компьютерных злоумышленников, препятствующая привлечению их к уголовной ответственности.
Человеческий фактор. Нельзя не признать, что наибольшую угрозу утечке коммерческой информации компаний до сих пор представляет не стремительный рост числа компьютерных вирусов и компьютерных злоумышленников, а действия собственного персонала, как умышленные, так и неосторожные. Человек остается самым слабым звеном системы информационной безопасности.
Среди основных организационно-правовых мер, направленных на обеспечение безопасности информации от персонала, можно выделить следующие:
поднятие и поддержание общего уровня грамотности сотрудников компании и других пользователей корпоративной сети в вопросах информационной безопасности;
- 69
четко оговоренная ответственность работников, использующих в своей профессиональной деятельности конфиденциальную информацию; выработка единых правил безопасного использования ценных информационных ресурсов; разграничение уровня доступа сотрудников, использующих конфиденциальную информацию в работе, по категориям важности этой информации, а также ее необходимости для выполнения сотрудником своих прямых обязанностей;
плановые и внеплановые проверки наличия документов, дел и носителей конфиденциальной информации, соблюдения правил их хранения и использования.
Отметим, что использование мер охраны коммерчески ценных сведений от персонала компании должно быть исключительно корректным. Перебор в использовании превентивных мер, препятствующих общей доступности к информации, как и ее утечка, также может иметь нежелательные последствия для предприятия, в том числе привести к излишней формализации отношений (бюрократизации), отрицательно сказывающейся на производительности труда, а также к недовольству и увольнению ценных кадров и, как следствие, вероятности еще большей утечки информации.
Охранные меры не должны препятствовать полноценной работе сотрудников и нормальному течению бизнес-процессов компании.
Федеральный закон «О коммерческой тайне» предусматривает специальные обязательные требования, касающиеся обеспечения конфиденциальности информации, составляющей коммерческую тайну, в рамках трудовых отношений. Так, в целях охраны конфиденциальности информации работодатель обязан:
1) ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его
70 -
согласия, если это не предусмотрено его трудовыми обязанностями. Если работник получил доступ к указанной информации, он несет следующие обязанности:
1) выполнять установленный работодателем режим коммерческой тайны;
2) не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях;
3) не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось;
4) возместить причиненный работодателю ущерб, если работник виновен в разглашении информации, составляющей коммерческую тайну, ставшей ему известной в связи с исполнением им трудовых обязанностей;
5) передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну. Кроме этого, рекомендуем работодателям
включать в трудовой договор обязательства работника незамедлительно информировать работодателя о любых попытках третьих лиц получить от работника информацию, составляющую коммерческую тайну, а также, обо всех ставших известных работнику фактах разглашения конфиденциальной информации, утере документов, печатей, ключей, пропусков и т. п.
Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением им трудовых обязанностей (п. 8 ст. 11).
Политика безопасности. Важную роль в формировании систем информационной безопасности на организационно-правовом уровне играет разработка и утверждение в компании такого внутреннего документа, как Правила (Политика) информационной безопасности. Она призвана обеспечивать, прежде всего, защиту бизнес-процессов конкрет-
ного предприятия, в том числе и неавтоматизированных. Поэтому спецификация такой политики должна быть корректной, а именно обладать полнотой и непротиворечивостью. Под полнотой понимается наличие правила для каждого доступа к информации (запроса), запрещающего или разрешающего его. Если для некоторого доступа не определена авторизация, должно присутствовать некоторое правило, применяемое по умолчанию [1]. Под непротиворечивостью подразумевается наличие только одного решающего правила для любого доступа, а именно: разрешен такой доступ или запрещен.
Для описания политики информационной безопасности используются общие термины, она не оперирует способами реализации. Следует иметь в виду, что разрабатывать политику можно и с использованием какой-либо технологической документации, которая, однако, не должна являться неотъемлемой частью политики. На это указывают многие специалисты [2].
Политика безопасности компьютерной системы может быть выражена формальным и неформальным образом. Для неформальных политик безопасности широкое распространение получило описание правил доступа субъектов к объектам в виде таблиц, наглядно представляющих правила. Преимущество неформального способа представления заключается в том, что такая политика проста для восприятия пользователями. Основным же недостатком неформального описания политики информационной безопасности является то, что при неформальной форме представления правил доступа гораздо легче допустить логические ошибки при проектировании системы и ее эксплуатации, приводящие к нарушению информационной безопасности. Особенно это справедливо для политик безопасности нетривиальных программных и программно-аппаратных комплексов, подобных многопользовательским операционным системам.
Преимуществом формального описания является отсутствие противоречий в политике безопасности сточки зрения общепринятой юридической и технической терминологии, а также возможность теоретического доказательства безопасности системы при соблюдении всех условий политики безопасности.
Юридико-технический уровень. Электронная цифровая подпись. При организации электронного документооборота необходимо обеспечить не только конфиденциальность, но и целостность сообщения - невозможность его искажения, под-
мены авторства и т.д. Важно также не допустить возможности отказа автора послания от факта и времени его отправления. Если информацией обмениваются стороны, не доверяющие друг другу или способные иметь заинтересованность в проведении действий, направленных друг против друга (банк и клиент, магазин и покупатель), необходимо применять асимметричные методы шифрования.
В соответствии с п. 3 ст. 5 Закона об информации юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью (ЭЦП), юридическая сила которой признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.
Обеспечение правовых условий использования ЭЦП в электронных документах, при соблюдении которых ЭЦП в электрон ном документе признавалась бы равнозначной собственноручной подписи в документе на бумажном носителе, являлось одной из основных целей принятия Федерального закона «Об электронной цифровой подписи» от 10.01.2002 г. N° 1-ФЗ. Данный нормативный акт значительно укрепил правовой статус ЭЦП и регулирует в том числе аспекты организации электронного документооборота, распределения открытых и закрытых ключей, построения центров сертификации. Положения Закона об ЭЦП помогли разрешить многие спорные вопросы применения ЭЦП.
Итак, ЭЦП — это защитный реквизит электрон ного документа, который создается в результате криптографического преобразования информации с использованием закрытого ключа, ЭЦП позволяет идентифицировать владельца сертификата открытого ключа подписи, а также установить отсутствие искажения информации в электронном документе. ЭЦП позволяет определить подлинность документа. Кроме того, криптографические средства обеспечивают защиту от злоумышленных действий, наносящих значительный ущерб субъектам бизнеса во всем мире, среди которых: отказ, ренегатство (отправитель заявляет, что он не посылал данного сообщения); модификация (адресат изменяет содержание документа, а затем утверждает, что именно этот (измененный им) документ и был им изначально получен); подмена (субъект А формирует документ самостоятельно и заявляет, что получил его от другого субъекта В);
- 71
активный перехват (лицо, подключившееся к сети, перехватывает документы, изменяет их, а затем перенаправляет адресатам); «маскарад» (субъект А посылает сфабрикованный им документ субъекту В от имени субъекта С).
В комплексной системе информационной безопасности предприятий в последнее время резко возросла значимость антивирусной защиты. Современные антивирусные системы позволяют довольно эффективно блокировать все возможные пути проникновения вредоносных программ в корпоративную сеть. Однако полноценная антивирусная защита сети предприятия не может обеспечиваться исключительно установкой и запуском стандартного антивирусного программного обеспечения на рабочих станциях и серверах компании. Перед специалистами компьютерной безопасности встает сложная задача проектирования и реализации систем антивирусной защиты корпоративного уровня, отражающих проникновение вредоносных программ как извне (через Интернет), так и изнутри (открытие зараженного документа с CD-диска, дискеты, подключение зараженной рабочей станции или переносного компьютера). Создание эффективной антивирусной защиты является одним из приоритетных направлений комплексной безопасности корпоративных информационных ресурсов.
Следует иметь в виду, что система информационной защиты не должна работать по принципу «око за око», то есть аккумулировать встречное нападение на компьютер, с которого был отправлен вирус или спам, или организована удаленная атака. Но, несмотря на противозаконность такой практики, она все же имеет место и даже поощряется общественностью. Агитация в пользу целенап-
равленного выведения из строя удаленных ЭВМ ведется не только в России, но и за рубежом. В США, например, из уст сенатора штата Юта Орри-на Хатча было высказано предложение разработать специальную технологию, которая позволила бы уничтожать компьютеры людей, нелегально загружающих музыкальные произведения из Интернета [3). Видимо, перед тем, как сделать подобное заявление, сенатор недостаточно скрупулезно изучил антихакерское законодательство своей страны.
При построении системы защиты информационной структуры любого организационного субъекта необходимо использовать комплексный и системный подход. Все подсистемы безопасности, выполняя свои специфические функции, должны быть интегрированы друг с другом, а также иметь несложные средства контроля и управления. Проблема комплексного построения систем информационной безопасности является весьма широкой и интересной, аспекты ее решения достойны обсуждения в новых публикациях.
Весьма насущным для руководителей предприятий и 1Т-подразделений является вопрос экономически эффективного построения комплекса мер безопасности, расчет оправданных затрат для предотвращения ущерба.
ЛИТЕРАТУРА:
1. Бармен С. Разработка правил информационной безопасности.: Пер. с англ. М.: Издательский дом «Вильяме», 2002. - 208 с.
2. Корт С.С., Боковенко И.Н. Язык описания политик безопасности. Проблемы информационной безопасности. Компьютерные системы. №1, 1999. С. 17-25.
3. Мы вас предупреждали.../ Журнал «Защита информации. Конфидент», № 4 (52), 2003, стр.6.; http://juгagent.
l_04.htm.
