Основы ИБ
.pdfцелью блокирования, модификации и уничтожения охраняемой законом компьютерной информации. Более подробно правовые методы и средства защиты информации будут рассмотрены ниже в главе 7.
Организационные меры включают в себя создание необходимых условий и проце-
дур по разработке, внедрению и безусловному выполнению нормативных положений, ка-
сающихся антивирусной политики, непосредственно в АС и в целом на объекте информа-
тизации.
6.5 Антивирусная политика на объекте информатизации
Для автоматизированных систем и в целом для объекта информатизации должен быть разработан отдельный нормативный документ - так называемая антивирусная поли-
тика. Антивирусная политика включает в себя требования для пользователей и админист-
раторов АС в отношении выполнения своих функций и своего поведения, предотвра-
щающего возможность заражения системы вирусами, определяет действия в случае зара-
жения системы вирусами (или появляющихся подозрительных с точки зрения возможного заражения вирусами инцидентов).
Прежде всего, пользователи должны знать основные внешние признаки возможно-
го наличия вирусов. К ним можно отнести следующие проявления работы системы:
медленная работа компьютера;
невозможность загрузки операционной системы;
исчезновение файлов и каталогов или искажение их содержимого;
изменение даты и времени модификации файлов;
изменение размеров файлов;
неожиданное значительное увеличение количества файлов на диске;
существенное уменьшение размера свободной оперативной памяти;
вывод на экран непредусмотренных сообщений или изображений;
подача непредусмотренных звуковых сигналов;
частые зависания и сбои в работе компьютера и другие.
Не обязательно причиной проявление каждого из перечисленных проявлений явля-
ется заражение системы вирусами, но, прежде всего, в системе должна быть осуществлена проверка на заражение еѐ вирусами.
25
При формировании антивирусной политики основными являются следующие пра-
вила:
Информирование всех пользователей системы об опасности и возможном ущербе в случае вирусных атак.
Запрещение сотрудникам объекта информатизации использования про-
грамм «со стороны» без предварительного тестирования на наличие вирусов перед непосредственной их установкой в систему. Для этого должна быть создана специальная служба.
Запрещение пользователям системы хранить в системе и использовать ком-
пьютерные игры (если такое запрещение не может быть обеспечено, то соз-
дать общий подконтрольный игровой файл, в котором хранить программы для использования).
Обеспечение регулярного просмотра хранимых в системе файлов и исполь-
зование защиты «только чтение» для предупреждения изменений в данных.
Дублирование всех важных программ и данных на специально выделенных для этой цели отчуждаемых носителях, хранение их в зашифрован-
ном/архивированном виде с защитой «только чтение».
Применение специальных антивирусных средств для обнаружения вирусов
и предотвращения их опасных действий. Любые программы и драйверы, ко-
торые используются в системе, перед первым запуском обязательно прове-
рять на наличие вирусов программами-детекторами.
Проверка всех документов (файлов документов и шаблонов Word, Excel и
т.д.), предполагающих выполнение макрокоманд, на наличие макро-
вирусов.
Проверка при установке большого программного продукта всех файлов с дистрибутива до установки, а сразу после установки проведение повторной проверки, по возможности предварительно загрузившись с дискеты. В лю-
бом случае необходимо загружаться только с заведомо незаражѐнных дис-
кет. Если по каким-то причинам необходима загрузка с чужой дискеты, пе-
ред загрузкой она обязательно проверяется на наличие вирусов.
Использование для электронной почты отдельного стендового компьютера
(если в ЛВС не выделена демилитаризованная зона) или введение специ-
ального отчѐта. Запрещение использования программ, полученных через электронную почту, без предварительной проверки на наличие вирусов.
26
Периодический пересмотр правил антивирусной политики, оценка необхо-
димости и возможности использования дополнительных мер защиты.
Введение систематического контроля исполнения существующих правил
антивирусной политики и применение дисциплинарных мер в случае их на-
рушения.
Порядок действий пользователя системы при обнаружении возможного заражения вирусом персонального компьютера или компьютера АРМ системы строго регламентиро-
вать сложно. Многое зависит от подготовленности пользователя. При отсутствии знаний и опыта самым оправданным действием является немедленное подключение к анализу си-
туации специалиста по антивирусной защите. Однако ввести в антивирусную политику определѐнную стандартизированную последовательность действий необходимо. В качест-
ве возможного варианта предлагается следующий набор действий:
Выключить питание компьютера. Это, во-первых, предотвратит дальнейшее размножение вируса, во-вторых, позволит избавиться от резидентных виру-
сов. Процедура выполняется в любом случае: приглашается ли специалист по антивирусной защите или дальнейший анализ ситуации выполняет сам пользователь. До выключения питания можно сохранить результаты работы.
Не следует использовать «горячую» перезагрузку с использованием клавиш
(Ctrl + Alt + Del), так как некоторые вирусы при этом сохраняют свою ак-
тивность.
По возможности проверить правильность всех установок в компьютере,
включая параметры жѐстких дисков. При изменениях восстановить прежние значения.
Ни в коем случае не запускать ни одной новой программы, находящейся на жѐстком диске.
Загрузиться с дискеты (она должна быть защищена от записи) и запустить по очереди программы-детекторы, находящиеся на дискете. Если одна из программ обнаружит загрузочный вирус, то его можно тут же удалить. Не-
обходимо учесть, что вирусов может быть много.
При обнаружении программой-детектором файлового вируса возможны два варианта действий. Если имеющаяся в распоряжении программа-ревизор включает в себя «лечащий» модуль, то восстановление файла лучше делать
с еѐ помощью. В противном случае можно воспользоваться для лечения од-
ним из детекторов, имеющим лечащий модуль (программа-фаг). Опреде-
27
лѐнные программой-детектором испорченные файлы (если, конечно, они не
текстовые или не файлы данных) необходимо удалить.
После удаления вирусов операционная система заново переносится на жѐст-
кий диск.
Далее необходимо проверить целостность файловой системы на винчестере и исправить повреждения. При большом количестве повреждений перед ис-
правлением файловой структуры необходимо попытаться скопировать важ-
ные файлы на дискеты.
Ещѐ раз проверить жѐсткий диск на наличие вирусов, при их отсутствии можно выполнить перезагрузку с винчестера. После перезагрузки винчесте-
ра целесообразно оценить потери от действий вируса. Если повреждений очень много, то проще заново переформатировать винчестер и при этом не забыть сохранить самые важные файлы.
Восстановить все необходимые файлы и программы с помощью архива и,
ещѐ раз загрузившись с дискеты, протестировать винчестер. При повторном тестировании обнаружение вируса означает его наличие в архиве. Следует протестировать весь архив.
При положительном тестировании проверяются все дискеты, которые могли оказаться заражѐнными вирусом. При необходимости их следует пролечить.
Вирус дезактивирован, можно продолжать работу.
Анализ методов и средств борьбы с компьютерными вирусами позволяет заклю-
чить, что абсолютная защита может быть достигнута только безусловной изоляцией сис-
темы, что, естественно, на практике является неприемлемым решением. Для приемлемой защиты от вирусов могут быть использованы те или иные из описанных выше методов и способов обнаружения компьютерных вирусов и предупреждения их разрушительного воздействия.
Анализ показывает, что в настоящее время любая используемая автоматизирован-
ная система общего назначения открыта, по крайней мере, для ограниченной вирусной атаки, причем вирусы легко создаются и быстро распространяются в компьютерной и те-
лекоммуникационной среде. В этих условиях как достаточно надежная предпосылка безо-
пасности любой компьютерной системы должен рассматриваться контроль ее целостно-
сти. Чтобы быть наверняка устойчивой к вирусным атакам, система должна защищаться по входному потоку информации. В то же время, чтобы не допустить несанкционирован-
ной утечки информации, система должна защищать выходной поток. При этом для обмена
28
информацией должен существовать хоть какой-нибудь информационный поток, через ко-
торый и может быть осуществлено заражение системы вирусами даже при наличии ука-
занных защитных механизмов по входному и выходному потокам. Следовательно, для предотвращения вирусной атаки в системе должны одновременно поддерживаться соот-
ветствующие уровни обеспечения информационной безопасности и целостности.
7. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
7.1 Предмет и содержание проблемы
Необходимость организационно-правового обеспечения информационной безопасности вытекает из официального определения этой области общественной дея-
тельности, данного в Доктрине информационной безопасности Российской Федерации как
«состояние защищенности ее национальных интересов в информационной сфере, опреде-
ляющихся совокупностью сбалансированных интересов личности, общества и государст-
ва»[7.1]. Для достижения такого баланса необходимо наличие определенной совокупности правил поведения или социальных норм, которые носят общий характер и рассчитаны на многократное повторение (обряды, обычаи, традиции, этические нормы, нормы морали и нравственности, правовые нормы). Особое значение в этой совокупности правил поведе-
ния придается правовым требованиям, так как эта разновидность социальных норм уста-
навливается государством в официальных документах, соблюдается и защищается право-
охранительными органами силой властного принуждения. Поэтому при создании ком-
плексов обеспечения информационной безопасности обязательным государственным тре-
бованием является учет сути («буквы и духа») нормативных правовых актов, в которых определяются те или иные ограничения (права и обязанности), в пределах которых долж-
ны действовать все субъекты (участники) информационных правоотношений.
Общая совокупность нормативных правовых актов, принимаемых различными ор-
ганами государственной власти вплоть до уровня Постановлений Правительства Россий-
ской Федерации, составляет предмет и содержание правового обеспечения информацион-
ной безопасности. Оно дополняется путем разъяснения, конкретизации и установления организационных процедур и механизмов выполнения государственных требований в
29
нормативных, нормативно-методических и методических документах, принимаемых ни-
жестоящими органами управления вплоть до объектового уровня (предприятия, учрежде-
ния, фирмы, компании и т.д.). Содержание этих документов определяет суть одного из видов организационных средств и также является предметом изучения в настоящем раз-
деле.
Для практической реализации нормативно-правовых требований на всех уровнях управления создаются соответствующие организационные структуры с предписанными правами и обязанностями, в том числе по реализации процедур взаимодействия структур между собой. Поэтому предметом изучения настоящего раздела являются также различ-
ные аспекты создания комплексов информационной безопасности как некоторых органи-
зационных объединений субъектов (структур) для совместного достижения поставлен-
ных целей и/или решения конкретных задач. В соответствии с установленными законода-
тельством нормами и правилами достижение целей и задач функционирование различных организационных структур осуществляется на основе их компетенции (прав, обязанностей
иответственности) и составляет основу их организационной деятельности.
Сдругой стороны, совокупность процессов или действий, ведущих к установлению целей (целеполагание), путей их достижения (планирование), к образованию и совершен-
ствованию взаимосвязей между составными частями некоторой системы для повышения эффективности ее деятельности обычно описывается понятием управление [7.2]. Из мно-
гих толкований этого понятия наиболее общим является определение как перевод струк-
туры из одного состояния в другое посредством целенаправленного воздействия в рамках упорядоченной системы отношений, именуемых системой управления. В этом контексте предметом и содержанием организационного обеспечения являются также вопросы орга-
низации управления (менеджмента) систем обеспечения информационной безопасности.
При этом ключевое понятие организация используется как предпосылка эффективности и как результат управления. Так как современные организационно-технические комплексы обеспечения информационной безопасности представляют собой сложные социальные системы, эффективность их функционирования также определяется действенностью под-
системы управления этим комплексом. Поэтому частный, но, тем не менее, важный аспект организационного обеспечения информационной безопасности состоит в создании высо-
коупорядоченной совокупности технологических решений и правил, регламентирующих как общую организацию работ, в том числе по документированию информации, так соз-
дание и функционирование собственно организационных структур по защите информа-
ции.
30
Из приведенного выше описания следует, что содержание организационно-
правового обеспечения является многоаспектным и трудно формализуемым по отноше-
нию к предмету изучения. Поэтому общепринятая систематизация организационно-
правовых аспектов информационной безопасности до настоящего момента отсутствует.
Тем не менее, неформально-эвристическими методами с учетом целенаправленности на-
стоящего пособия можно сформировать следующий состав организационно-правовых ме-
тодов и средств обеспечения информационной безопасности:
нормативные правовые акты (правовое обеспечение);
структуры и должностные лица, ответственные за организацию защиты информа-
ции;
нормативные, руководящие и методические материалы по организации систем
обеспечения информационной безопасности, в том числе: o порядок делопроизводства и документооборота;
o правила работы и управление персоналом; o порядок разбора конфликтных ситуаций.
7.2 Законодательная база информационной безопасности
Фундаментальная основа правового обеспечения информационной безопасности заложена в нормах Конституции как основном законе Российской Федерации[7.3].
Так основополагающим положением статьи 29 п.4 Конституции Российской Феде-
рации является норма о праве на информацию (или о праве на доступ к информации): «каждый имеет право свободно искать, получать, передавать, производить и распростра-
нять информацию любым законным способом». Право на информацию подкрепляется также нормой статьи 24 п.2, в соответствии с которой «органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагиваю-
щими его права и свободы, если иное не предусмотрено законом».
Одновременно с правом на информацию в Конституции вводятся и его ограниче-
ния. Например, в той же статье 29 п.4 содержится норма о том, что «перечень сведений,
составляющих государственную тайну, определяется федеральным законом». Кроме того,
в статье 23 устанавливается право каждого на «личную и семейную тайну», «на тайну
переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений». Огра-
ничение этого права допускается только на основании судебного решения. Ограничение
права на информацию содержится и в п.1 статьи 24, согласно которой сбор, хранение, ис-
31
пользование и распространение информации о частной жизни лица (персональные дан-
ные) без его согласия не допускаются.
Таким образом, основной фундаментальной проблемой правового обеспечения ин-
формационной безопасности на законотворческом и правоприменительном уровне явля-
ется установление баланса между диалектически противоречивыми интересами различ-
ных субъектов, связанными с правом на информацию и правом на тайну, то есть на огра-
ничение доступа к информации, составляющим суть и содержание всех мероприятий по защите информации. На законодательном уровне данная проблема решается следующим образом. Ограничение доступа к информации может быть произведено только на основа-
нии федерального закона. В то же время в законодательных актах, устанавливающих пра-
во на тот или иной вид тайны, одновременно приводится перечень сведений, имеющих открытый (общедоступный) характер, то есть ограничение доступа к которым как к тайне является правонарушением.
Как показывают исследования законодательной базы в области обеспечения ин-
формационной безопасности [7.4], около 90 федеральных законов устанавливают порядка тридцати видов и категорий информации ограниченного доступа.
Все виды тайн в соответствии с правоприменительной практикой, использующей различные организационные механизмы и средства защиты информации, делятся на два больших блока:
сведения, составляющие государственную тайну. Правовые основы защиты таких сведений устанавливаются законами «О безопасности» от 5 марта
1992 г. [7.5] и «О государственной тайне» от 21 июля 1993 г. [7.6] с после-
дующими изменениями и поправками;
сведения, относимые к охраняемой в соответствии с законодательством Рос-
сийской Федерации иной информации ограниченного доступа.
Впрактике нормотворческой деятельности на уровне подзаконных актов послед-
ний вид информации ограниченного доступа получил название сведений конфиденциаль-
ного характера, например, в Указе Президента Российской Федерации [7.7]. Такое же по-
нятие используется в Постановлениях Правительства Российской Федерации, связанных с государственным регулированием деятельности по защите информации, не являющейся государственной тайной.
Из общего перечня сведений конфиденциального характера тайн наиболее распро-
страненными на практике понятиями являлись служебная и коммерческая тайны, кото-
рые были установлены в одноименной статье 139 Гражданского Кодекса Российской Фе-
дерации [7.8]. Там же были даны признаки, по которым те или иные сведения могут быть
32
отнесены к категории служебной или коммерческой тайны. При вводе в действие части 4 Гражданского кодекса с 01 января 2008 г. данная статья утратила силу (см. федеральный закон от 18.12.2006 г. № 231-ФЗ). Тем не менее расширенные правовые представления о коммерческой тайне можно получить из одноименного федерального закона [7.9]. Законодательное определение понятия служебной тайны на данный момент отсутствует.
Частным случаем коммерческой тайны являются сведения, составляющие банков-
скую тайну, выделяемые в отдельный вид в силу значимости защиты кредитно-
финансовой сферы в условиях бурного развития рыночной экономики. Определение этого понятия и исчерпывающий перечень сведений, относимых к банковской тайне даны в статье 857 Гражданского Кодекса Российской Федерации и статье 26 закона «О банках и банковской деятельности» [7.10] с последующими изменениями и дополнениями.
Подобным же образом на уровне федеральных законов устанавливается ограничение права на доступ и к другим видам информации
Особое место среди иных видов информации занимают так называемые персональные данные или сведения персонального характера. В соответствии с одноименным законом от 27 июля 2006 г. [7.11], персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. На персональные данные в общем случае законом распространяется свойство конфиденциальности – «обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания». Операторы, то есть субъекты, осуществляющие сбор и обработку таких данных, и третьи лица, получающие доступ к персональным данным, должны обеспечивать их конфиденциальность, за исключением случаев обезличивания персональных данных. Кроме этого законом вводится понятие общедоступных персональных данных, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
7.3 Государственная система защиты информации
7.3.1 Структура государственной системы
33
Государственная политика по противодействию угрозам безопасности информации реализуется в общей системе обеспечения информационной безопасности Российской Фе-
дерации. Обширное исследование целей и задач такой системы, ее структуры, а также компетенции отдельных органов государственной власти проведено в монографии [7.12].
В этом исследовании общая система представляется в виде взаимосвязанной сово-
купности органов законодательной, исполнительной и судебных властей, государствен-
ных, общественных и иных организаций и объединений, граждан, принимающих участие в обеспечении информационной безопасности в соответствии с законом, а также законо-
дательства, регулирующего правоотношения в сфере информационной безопасности. В
соответствии с действующим законодательством обеспечение информационной безопас-
ности является одним из важнейших направлений деятельности сферы государственного управления. Оно осуществляется на основе конституционного принципа разграничения полномочий органов законодательной, исполнительной и судебной властей, а также на разграничении предметов ведения федеральных органов государственной власти и орга-
нов государственной власти субъектов Российской Федерации.
Общая организационная структура государственной системы обеспечения инфор-
мационной безопасности, то есть основные элементы и их взаимосвязь, задается сферой компетенции выполнения указанных функций различными органами государственной власти. Под компетенцией согласно [7.12] понимается совокупность установленных нор-
мативными актами полномочий организаций, органов и должностных лиц, осуществляю-
щих управленческие функции. В свою очередь, полномочие определяется как право и од-
новременно обязанность государственных структур действовать в определенных ситуаци-
ях способом, предусмотренным законом или иным нормативным правовым актом.
Согласно Доктрине информационной безопасности организационную основу дей-
ствующей государственной системы обеспечения информационной безопасности Россий-
ской Федерации составляют:
Президент Российской Федерации, Совет Федерации и Государственная Дума Фе-
дерального Собрания Российской Федерации, Правительство Российской Федерации, Со-
вет Безопасности Российской Федерации, федеральные органы исполнительной власти,
межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, органы судебной власти, а также отдельные подсистемы, решающие локальные задачи.
34