Филин С.А. Информационная безопасность, 2006
.pdfнена его личность. Обычно так поступают органы власти. Основным недостатком метода является тот факт, что придется вести постоян ные тяжбы с хакерами, нанесшими ущерб системе, а также нести до полнительные расходы на выслеживание и поимку хакера.
Наказание — это не единственный метод борьбы со злоумыш ленниками. Если злоумышленником системы оказался сотрудник, организация может ограничиться устным взысканием. Политика безопасности должна содержать четкие инструкции по отношению к своим «нарушителям».
Руководство сайта должно определить методы обеспечения без опасности системы. Выбор стратегии может зависеть от конкретных обстоятельств. Однако стратегия может определяться и глобально, для всех случаев.
Стратегия «защитись ипродолжи» основана на укреплении средств безопасности системы после обнаружения постороннего вмешатель ства. Этой стратегии следует придерживать, если:
—сеть не слишком хорошо защищена;
—продолжительное вмешательство может привести к большим финансовым потерям;
—нет возможностей для привлечения злоумышленника к ответ ственности;
—неизвестны все пользователи системы, т. е. невозможно точно идентифицировать злоумышленника;
—пользователи не столь опытны, а выполняемая ими работа до статочно уязвима для постороннего вмешательства;
—сеть может стать причиной судебных разбирательств. Напри мер, если обворованный с помощью коммерческой компью терной сети пользователь потребует возмещения убытков.
Стратегия «преследование и наказание» используется лишь в том случае, если все последующие утверждения верны:
—хорошо защищенная система;
—регулярно создаются резервные копии всех своих данных;
—цена риска выше, чем последствия текущего вмешательства и возможных будуших вмешательств одного и того же нару шителя;
—атака представляет собой постоянно повторяющийся актив ный процесс;
—сайт представляет интерес для многих хакеров;
—администратор сайта хочет выяснить личность хакера даже це ной некоторых убытков;
—хорошо развиты средства управления доступом хакеров;
343
—достаточно хорошо настроенные средства аудита, т. е. имеются хорошие шансы на поимку хакера;
—персонал, обслуживающий сеть, обладает достаточным уров нем знаний об операционной системе, ее утилитах и системах отслеживания посторонних вторжений;
—управление компании хочет наказать злоумышленника;
—администратору системы известны пути вычисления хакера. Кроме того, они должны быть задокументированы (перенесе ны на бумагу);
—установлен контакт с правоохранительными органами;
—имеется юрист;
—подготовлен сайт для законных действий пользователей, если преследование хакера может вызвать разрушение их данных или систем.
Определив политику безопасности, необходимо отобрать людей, ответственных за ее реализацию. Это могут быть группы пользова телей, занимающихся аудитом и управлением системы, структуры, обеспечивающие физическую безопасность, и т. д. Отвечать за созда ние политики должен один определенный человек (или группа лю дей). Отвечать за реализацию политики безопасности должны также все пользователи с достаточно широкими правами доступа. В каж дом подразделении выделяется лицо (с наиболее высокими правами доступа к системе), отвечающее за реализацию политики безопасно сти в подразделении. Очень важно определить людей, ответственных за интерпретацию политики безопасности. Этим может заниматься один человек или целая организация.
Сформированную политику безопасности необходимо предста вить на рассмотрение всем пользователям своей системы. При этом не следует ограничиваться лишь листами рассылки. Пользователи должны высказать свои мнения и замечания по поводу политики безопасности. Для выяснения реакции пользователей необходи мо провести семинары, собрания и т. д. Кроме того, таким образом осуществляется помощь пользователям в понимании всех аспектов политики безопасности. На этих семинарах должны присутствовать не только администраторы, но и простые служащие: безопасность системы зависит от всех ее пользователей. В идеале политика должна представлять собой некоторый компромисс между эффективностью системы и ее безопасностью.
Администратор сайта не должен ограничиваться одним издани ем политики безопасности. Он должен периодически рассылать ее всем пользователям (со всеми внесенными изменениями). Кроме того, необходимо рассылать описание политики безопасности всем
344
новым пользователям системы. Например, каждый новый пользова тель должен ознакомиться с политикой безопасности вашей системы
иподписать документ, удостоверяющий, что он усвоил ее и согласен придерживаться ее требований. Этот документ поможет в законном преследовании нарушений политики безопасности.
Политика безопасности должна определять то, что нужно за щищать, основную оценку опасности различных типов нападений
иих последствий, а также содержать прямые указания о том, как за щищать. Последнее входит в обязанности процедур безопасности.
Политика безопасности должна представлять собой документ вы сокого уровня, определяющий основную стратегию работы средств безопасности. Все детали ложатся на процедуры безопасности. В частности, список защищаемых элементов системы существенным образом влияет на создание эффективных процедур безопасности.
Создание процедур безопасности осуществляется с определе ния соответствующих механизмов. Например, сделать заявление: «На наш сайт можно входить со всех хостов, с помощью модемов с обратным дозвоном и втаЛ-карт». Этот метод может привести к созданию излишне защищенных областей наравне с областями, защищенными недостаточно хорошо. Политика безопасности долж на гарантировать, что используемые процедуры обеспечивают доста точный уровень защиты всех объектов.
Установив объекты, нуждающиеся в защите, и оценив опасность, грозящую системе, вы должны реализовать средства обеспечения безопасности системы. При этом средства безопасности, во-пер вых, должны удовлетворять требованиям политики безопасности и, во-вторых, должны быть не очень дорогими. Не стоит приобретать слишком дорогие средства безопасности и излишне сковывать дей ствия пользователей, если опасность невелика. Основные факторы, влияющие на выбор необходимых средств безопасности [66]:
—правильный набор средств. Выбранные средства безопасности должны представлять собой «первую линию обороны». Если основ ной угрозой для системы является нападение извне, не стоит выби рать биометрические приборы идентификации пользователей. Если же системе чаше всего угрожают «внутренние» злоумышленники, возможно, лучше воспользоваться очень жесткими процедурами идентификации;
—здравый смысл. Все сверхсложные системы не смогут спасти вас от вторжений, если администратор (или пользователи) будет до пускать ошибки. Например, один из служащих, использующий до статочно простой пароль, может свести к нулю все меры по обеспе чению безопасности системы;
345
—использование нескольких стратегий. В случае провала одной стратегии необходимо немедленно воспользоваться другой. Ис пользуйте несколько методов обеспечения безопасности, предостав ляющих одинаковые уровни защиты. Благодаря этому вы заметно повысите уровень безопасности системы. Несколько простых стра тегий лучше, чем одна слишком сложная. Например, можно исполь зовать модемы с обратным дозвоном вместе с традиционными меха низмами регистрации в системе;
—физическая безопасность. Нельзя говорить о безопасности компьютерной системы, если не реализована физическая безопас ность входящего в нее аппаратного обеспечения. Получив физиче ский доступ к компьютеру, хакер может «подвесить» ее или перевес ти в привилегированный режим, удалить или изменить содержимое диска и т. д. Вы должны определить все достаточно важные компо ненты системы (серверов или линии связи) и обеспечить их физи ческую безопасность. Некоторые системы безопасности (например, Kerberos) также требуют физической безопасности компьютеров. Сайты должны рассмотреть вопрос ограничения прав доступа нена дежных компьютеров к надежным. В частности, крайне рискованно предоставлять ненадежным хостам возможность надежного доступа (например, с помощью команд удаленной работы BSD Unix) к на дежным хостам. В этом случае необходимо проследить, кто обладает доступом к компьютеру.
ГЛАВА 5 ОБЕСПЕЧЕНИЕ РЕЖИМА СЕКРЕТНОСТИ
Отличительная черта современного экономически развитого го сударства — наличие передовой науки и техники, которые в таком государстве — важнейший объект засекречивания. Россия, сохраняя многие традиции СССР, остается одной из самых засекреченных стран мира. В 1990-е гг. вышло законодательство о государственной тайне. Важнейшее место среди указов Президента РФ и постанов лений Правительства в этой области принадлежит Закону РФ 1993 г. «О государственной тайне» [42] с изменениями и дополнениями, принятыми позже (Собрание законодательства РФ, 1997, № 41, ст. 46,73). Закон РФ «О государственной тайне» защищает информа цию о государственных оборонных, мобилизационных, научно-тех- нических информационных и других ресурсах; отдельные сведения в области экономики, науки и техники, внешней политики и другую информацию, составляющую государственную тайну.
В соответствии с Законом РФ «О государственной тайне»,
Государственная тайна — защищаемые государством сведения в области военной, внешнеполитической, разведывательной, контр разведывательной оперативно-розыскной деятельности, распро странение которых может нанести ущерб безопасности Российской Федерации.
К основным понятиям относятся также: носители сведений, со ставляющих государственную тайну (сейчас это и дискеты), систе ма защиты государственной тайны (секретное делопроизводство и охрана со стороны национальных спецслужб), допуск к государ ственной тайне (кто и на какой основе допускает к секретам, как отдельных граждан, так и целые организации), доступ к сведениям, составляющим государственную тайну (процедура ознакомления), гриф секретности (степень секретности на самом документе или в сопроводительной документации), средства защиты информации (технические, криптографические, программные и т. д.).
Перечисленные выше ключевые понятия определяют принципы защиты секретной интеллектуальной собственности, ее правовой охраны, интенсификации межотраслевого и международного обме на научно-технической информацией и возможной коммерциализа ции научно-технических достижений.
Значимость научно-технических достижений в части охвата и удельного веса объектов государственной тайны весьма велика. Это
347
наиболее сложные по своей структуре объекты. Указом Президента РФ от 24 января 1998 г. № 61 «О перечне сведений, отнесенных к го сударственной тайне» определено 87 контрольных позиций. Почти по каждой из них закреплено несколько министерств и ведомств РФ (табл. 5.1).
Таблица 5.1. Аналитическая структура сведений, составляющих государственную тайну в области науки и техники, согласно Указу Президента РФ от 24 января 1998г. N9 61
Структура в разрезе министерств и ведомств |
|
Информационные |
||||
|
|
направления |
||||
|
|
|
|
|||
|
I |
II |
III |
IV |
Итого |
|
Общее количество позиций |
22 |
|
45 |
12 |
87 |
|
Из них в сфере науки и техники |
9 |
3 |
10 |
1 |
23 |
|
Всего |
31 |
11 |
55 |
13 |
110 |
|
Министерство экономики и развития |
8 |
1 |
9 |
- |
18 |
|
(по ВПК) |
||||||
|
|
|
|
|
||
Министерство промышленности, науки |
- |
1 |
2 |
- |
3 |
|
и технологий |
||||||
|
|
|
|
|
||
Министерство образования |
5 |
|
6 |
- |
11 |
|
Минатом |
7 |
1 |
4 |
— |
12 |
|
Министерство обороны |
8 |
1 |
9 |
1 |
19 |
|
Министерство финансов |
- |
- |
12 |
- |
12 |
|
Примечание. I — сведения в военной области; II — сведения о внешнеполитиче ской и внешнеэкономической деятельности; III — сведения в области экономики, науки и техники; IV — сведения в области разведывательной, контрразведыватель ной, оперативно-розыскной деятельности и организации защиты государственной тайны.
Значительная часть контрактов, связанных с оборонными зака зами, относится к числу договоров на выполнение НИОКР, резуль татами которых являются изобретения, ноу-хау, отчеты, содержащие ценную научную и техническую информацию и имеющие коммер ческую ценность. Поэтому вопросы интеллектуальной собственно сти и ее охраны очень важны.
Проблема засекречивания результатов НИОКР как способ со хранения интеллектуальной собственности существует не только в России. На Западе действует специальное регулирование прав на объекты интеллектуальной собственности, созданные за счет го сударственного финансирования, как на основе договоров заказа на выполнение НИОКР частными предприятиями, так и при вы полнении НИОКР государственными структурами с частными фир
348
мами. Частично это регулируется патентным законодательством, частично — специальными нормативными актами. Начиная с 1980 г. в США приняты нормативные акты, регулирующие условия заклю чения контрактов между государственными структурами и фирма- ми-подрядчиками на выполнение заказов оборонного характера. В них отражен принципиальный подход государства к вопросам правовой охраны и использования изобретений и других объектов интеллектуальной собственности, созданных в государственных ла бораториях, финансируемых за счет государственного бюджета, или при финансовой поддержке государства.
В качестве основного стимула американские законодатели рас сматривают передачу или изначальное закрепление прав на объекты интеллектуальной собственности, созданные при государственной поддержке, за негосударственными структурами. Им же предостав ляются достаточно широкие права по использованию этих иннова ций. За государством сохраняются права по использованию этих объ ектов для государственных нужд и право на получение части доходов от их коммерческого применения частным сектором. Эти средства предназначены для стимулирования работников и развития матери альной базы государственных лабораторий.
При заказных контрактах исполнитель-подрядчик в течение двух лет принимает решение, сохранять ли за собой право на патент. При положительном решении взамен предоставляемых прав под рядчик обязан в течение разумно необходимого времени:
—раскрыть государственному органу, заключившему с ним до говор, каждое созданное в рамках договора изобретение;
—взять обязательство относительно сроков принятия решений
осохранении за собой патентных прав и сроков подачи заявок на получение охранных грамот;
—предоставить государству неисключительную безотзывную лицензию на использование изобретения в США или от его имени в любой другой стране.
Если по истечении этого периода подрядчик в письменной фор ме не указал своего решения, право на получение патента и его ис пользование переходит к государству Срок может быть сокращен, если сущность объекта интеллектуальной собственности раскрыта в публикации или путем открытого применения50.
50 Такой же подход практикуется в других западных странах. Аналогичной практики, учитывающей национальные законодательства и международное соглашения, придерживаются и международные организации.
349
Если исполнитель не хочет осуществлять охрану изобретений, со зданных в ходе реализации контракта, он должен уведомить об этом ЕКА. По его просьбе исполнитель может безвозмездно передать свои права ЕКА. Кроме того, ЕКА имеет право осуществить охрану таких изобретений во всех странах, в которых сам исполнитель ее осущест влять не намерен. В этом случае исполнитель получает право на без возмездную, неисключительную, безотзывную лицензию без права предоставлять сублицензии.
Несмотря на то что исполнитель является собственником прав интеллектуальной собственности, при передаче результатов, по лученных при выполнении контракта, за пределы стран-участниц он должен уведомить об этом ЕКА. Оно, в свою очередь, уведомля ет страны-участницы и, если в течение шести недель от них не по следует возражений, ЕКА дает согласие исполнителю на указанную передачу.
21 сентября 1960 г. подписан Договор НАТО о взаимном сохра нении тайны в отношении имеющих важное оборонное значение изобретений, которые являются предметом заявок на патент, в кото ром указывается: в том случае, если проведено засекречивание изо бретения, имеющего важное оборонное значение, и подана заявка на патент или патент выдан в одной из стран НАТО, это приводит к запрету на подачу заявки на патент на подобное изобретение в дру гих странах НАТО.
Предоставление исчерпывающей информации о секретных объ ектах интеллектуальной промышленной собственности вследствие запрета может стать невозможным. В этом Договоре раскрыва ется механизм регулирования правоотношении между странами Североатлантического союза по различным основаниям, в том числе между «правительством страны первичной подачи заявки» и «прави тельством, принимающим изобретение к использованию».
Засекречивание — реальность не только ВПК, но и любой дру гой «прорывной» отрасли российской науки. По оценкам специалис тов, засекречивание дешевле патентования и может дать владельцу информации преимущество на длительный срок и даже «навсегда». Оно затрудняет «открытый» плагиат. Засекречивание может способ ствовать получению дохода при продаже беспатентной лицензии.
Но засекречивание имеет и свои недостатки перед патентова нием. При уходе из засекреченной организации работник «в своей голове может унести» многое. Коммерческий успех часто невозмо жен без широкой рекламы, а патенты и лицензии можно открыто рекламировать. Доход от продажи патентной лицензии, как правило, выше, чем от беспатентной секретной лицензии. Но после появления на рынке ранее засекреченные материалы теряют степень защиты.
350
Вконце 1998 г. при Министерстве юстиции РФ создано Феде ральное агентство по правовой защите результатов интеллектуаль ной деятельности военного, специального и двойного назначения, которое совместно с Федеральной службой России по валютному экспертному контролю призвано обеспечивать защиту российской интеллектуальной собственности. Важным нововведением стала но вая форма контрактов на проведение закрытых НИОКР. Усиливается личная ответственность исследователей и разработчиков НИОКР
итехнологических работ военного, специального и двойного назна чения. Они обязаны подписывать договор о сохранении конфиден циальности сведений, относящихся к результатам интеллектуальной деятельности. Очевидно, что за допуск к секретам и новую ответ ственность при их защите исследователям и разработчикам следует больше платить.
В2003 г. принят Федеральный закон «О секретных изобретени ях». В соответствии с Законом:
—заявки на секретные изобретения, в том числе на служебные секретные изобретения, составляются в соответствии с тре бованиями Патентного закона РФ, настоящего Федерального закона, принятых на их основе правил составления, подачи и рассмотрения заявок на секретные изобретения и подаются
ссоблюдением требований сохранения государственной тай ны в Роспатент РФ;
—заявки на секретные изобретения, относящиеся к принципи ально новым средствам вооружения и военной техники и спе циальным техническим средствам обеспечения безопасности, подаются заявителем в соответствующий федеральный орган исполнительной власти, входящий в перечень, определяемый Правительством РФ;
—заявитель обеспечивает засекречивание сведений, содержа щихся в заявках на секретные изобретения, согласно перечню сведений, подлежащих засекречиванию, либо прикладывает заявление о необходимости засекречивания заявленного изо бретения;
—федеральный орган исполнительной власти в течение трех ме сяцев принимает решение о засекречивании и устанавливает степень его секретности;
—патент на секретное изобретение удостоверяет приоритет сек ретного изобретения, авторство, а также исключительное пра во на использование секретного изобретения;
—патент на секретное изобретение действует в течение срока засекречивания, но не более чем двадцать лет со дня подачи заявки;
351
—использование секретного изобретения осуществляется па* тентообладателем или лицом, которому право на его исполь зование передано на основе лицензионного договора с соблю дением требований закона «О государственной тайне»;
—проверка необходимости сохранить установленную степень секретности изобретения проводится федеральным органом власти, принявшим решение о его засекречивании, не реже
чем один раз в год. Решение о рассекречивании сообщается заявителю или патентообладателю.
Анализ времени (рис. 5.1), через которое рассекречивается и ста новится известной научно-техническая информация по важнейшим разработкам, показывает, что актуальность многих информацион ных материалов по современным технологиям сохраняется при рет роспективе от 10 до 30 лет, а информация по некоторым проблемам, например криптографии, в принципе никогда не рассекречивается.
Обобщенная схема уровня секретности информации в США до 1989 г. представлена на рис. 5.2.
Рис. 5.2. Мера секретности научно-технической информации военно-прикладного значения в США [124]
ОТКРЫТО Документы конгресса
0 |
3,7 |
Теоретические |
10,7 |
13,2 |
15,9 |
18,2 |
19,2 |
Фундаментальное |
Поисковые |
Перспективи, |
|
||||
|
открытие |
исследования |
|
инженерн. разработка |
|||
352