Защита информации. 
Государственная тайна

Согласно ст. 16 Закона об информации защита информации представляет собой принятие правовых, организационных и технических мер, направленных:

• 1) на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• 2) соблюдение конфиденциальности информации ограниченного доступа;
• 3) реализацию права на доступ к информации.

Следует отмстить, что в целом проблема информационной безопасности включает, наряду с задачами обеспечения защищенности информации и информационных систем, еще два аспекта — защиту от воздействия вредоносной информации и обеспечение принятия обоснованных решений на основе эффективного информационного обеспечения.

Угрозы информационным системам и информационным ресурсам можно условно разделить на четыре основные группы:

• 1) программные — внедрение «вирусов», аппаратных и программных закладок; уничтожение и модификация данных в информационных системах;
• 2) технические, в том числе радиоэлектронные, — перехват информации в линиях связи; радиоэлектронное подавление сигнала в линиях связи и системах управления;
• 3) физические — уничтожение средств обработки и носителей информации; хищение носителей, а также аппаратных или программных парольных ключей;
• 4) информационные — нарушение регламентов информационного обмена; незаконные сбор и использование информации; несанкционированный доступ к информационным ресурсам; незаконное копирование данных в информационных системах; дезинформация, сокрытие или искажение информации; хищение информации из баз данных.

Защита информации вызывает необходимость системного подхода, т. е. здесь нельзя ограничиваться отдельными мероприятиями. Системный подход к защите информации требует, чтобы средства и действия, используемые для обеспечения информационной безопасности — организационные, физические и программно-технические и правовые — рассматривались как единый комплекс взаимосвязанных взаимодополняющих и взаимодействующих мер. Один из основных принципов системного подхода к защите информации — принцип «разумной достаточности», суть которого следующая: 100%-ной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.

Так, например, одной из основных угроз безопасности информации и информационной системы является несанкционированный доступ — копирование, изменение или разрушение информации при отсутствии на это соответствующих полномочий. Проблема несанкционированного доступа к информации обострилась и приобрела особую значимость в связи с развитием компьютерных сетей, прежде всего глобальной сети Интернет.

Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа, к которым относятся:

• • хищение носителей информации и производственных отходов;
• • копирование носителей информации с преодолением мер защиты;
• • маскировка под зарегистрированного пользователя;
• • мистификация (маскировка под запросы системы);
• • использование недостатков операционных систем и языков программирования;
• • использование программных закладок типа «троянский конь» ;
• • перехват электронных излучений;
• • перехват акустических излучений;
• • дистанционное фотографирование;
• • применение подслушивающих устройств;
• • злоумышленный вывод из строя механизмов защиты и т. д.

Для защиты информации от несанкционированного доступа обычно используются комбинированные способы защиты информации, включающие организационные мероприятия, технические средства, программные средства, криптографию.

Организационные мероприятия включают в себя: пропускной режим, хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т. д.), ограничение доступа лиц в компьютерные помещения и т. д.

Технические средства включают в себя различные аппаратные способы защиты информации: фильтры, экраны на аппаратуру; ключ для блокировки клавиатуры; устройства аутентификации — для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т. д.; электронные ключи на микросхемах и т. д.

Программные средства защиты информации создаются в результате разработки специального программного обеспечения, которое бы не позволяло постороннему человеку, не знакомому с этим видом защиты, получать информацию из системы. Программные средства включают в себя: парольный доступ-задание полномочий пользователя; блокировка экрана и клавиатуры; использование средств парольной защиты BIOS на сам BIOS и на персональный компьютер в целом и т. д.

Под криптографическим способом защиты информации подразумевается ее шифрование при вводе в компьютерную систему.

Противостоять угрозам информационной безопасности систем сегодня можно только на основе создания и внедрения эффективных систем защиты информации. Причем решение задачи создания таких систем должно быть реализовано на основе системного подхода по следующим причинам.

Во-первых, для эффективной защиты информационных ресурсов требуется реализация целого ряда разнородных мер, которые можно разделить на три группы: юридические, организационно-экономические и технологические. Все они базируются на следующих принципах:

• • нормативно-правовая база информационных отношений в обществе четко регламентирует механизмы обеспечения прав граждан свободно искать, получать, производить и распространять информацию любым законным способом;
• • интересы обладателей информации охраняются законом;
• • ограничение доступа к информации возможно только на основании закона;
• • ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируются;
• • специальной заботой государства является развитие сферы информационных услуг, оказываемых населению и специалистам на основе современных компьютерных сетей, системы общедоступных баз и банков данных, содержащих справочную информацию социально-экономического, культурного и бытового назначения, право доступа к которым гарантируется и регламентируется законодательством.

Во-вторых, разработкой мер защиты применительно к каждой из трех групп должны заниматься специалисты из соответствующих областей знаний. Естественно, что каждый из указанных специалистов по-своему решает задачу обеспечения информационной безопасности и применяет свои способы и методы для достижения заданных целей. При этом каждый из них в своем конкретном случае находит свои наиболее эффективные решения.

Применение системного подхода позволяет определить взаимные связи между соответствующими способами и механизмами защиты. Причем понятие системности в данном случае заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла информационной системы.

С точки зрения общей теории систем можно выделить три класса задач^[1]:

• 1) задача анализа — определение характеристик системы при заданной ее структуре;
• 2) задача синтеза — получение структуры системы, оптимальной по какому-либо критерию (или их совокупности);
• 3) задача управления — поиск оптимальных управляющих воздействий на элементы системы в процессе ее функционирования.

Применение системного подхода на этапе создания системы защиты информации (СЗИ) подразумевает решение соответствующей задачи синтеза. Известно, что такой подход (например, применительно к техническим системам) позволяет получить оптимальное по определенному критерию (или их совокупности) решение: структуру, алгоритмы функционирования.

В случае синтеза систем защиты информации результатом должны быть: структура системы защиты информации, которая может быть практически реализуема при современном уровне развития информационных технологий; оценка качества функционирования синтезированной системы; оценка робастности (устойчивости к отклонениям параметров априорно сформированных моделей от фактических параметров) системы.

При этом следует отметить ряд особенностей, которые усложняют постановку и решение задачи синтеза:

• • неполнота и неопределенность исходной информации о составе информационной системы и характерных угрозах;
• • многокритериальность задачи, связанная с необходимостью учета большого числа частных показателей (требований) системы защиты информации;
• • наличие как количественных, так и качественных показателей, которые необходимо учитывать при решении задач разработки и внедрении системы защиты информации;
• • невозможность применения классических методов оптимизации.

Очевидно, что при оценке качества функционирования синтезированной СЗИ целесообразно производить оценку ее эффективности. В настоящее время в отечественной и зарубежной практике в основном используются два способа оценки^[2]:

• 1) определение соответствия техническому заданию на создание системы защиты реализованных функций и задач защиты, эксплуатационных характеристик и требований;
• 2) анализ функциональной надежности системы защиты.

Первый способ является наиболее простым и выполняется на этапе приемо-сдаточных испытаний.

Суть второго заключается в следующем. Для обоснования выбора средств защиты в целях эффективного обеспечения защиты вводится классификация их свойств. Каждому классу соответствует определенная совокупность обязательных функций. В России классификация систем защиты определяется руководящим документом Гостехкомиссии «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». В соответствии с этим документом устанавливается семь классов защищенности средств вычислительной техники от несанкционированного доступа к информации. Самый низкий класс — седьмой, самый высокий — первый.

Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

• • первая группа содержит только один седьмой класс;
• • вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
• • третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
• • четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

Указанные способы используют, по своей сути, системотехнические методики оценки.

Наряду с упомянутыми способами существует ряд методик и моделей, с помощью которых производится анализ эффективности систем защиты информации. Для оценки в моделях используются показатели, характеризующие уязвимость информации, обрабатываемой в информационной системе, либо некоторые величины, входящие в выражения показателей качества информации.

Как показывает анализ подходов и методов к решению задачи оценки качества защиты информации, система защиты информации, ориентированная на современные информационные технологии, как правило, является сложной человеко-машинной системой, разнородной по составляющим компонентам и трудно формализуемой в части построения целостной аналитической модели критериального вида. В общем случае оценку качества функционирования такой системы можно осуществить только различными эвристическими методами, связанными с экспертной оценкой и с последующей интерпретацией результатов.

Для решения задачи оценки качества функционирования системы защиты информации необходимо использовать показатель качества, который позволил бы оптимизировать задачу синтеза системы защиты информации, количественно оценить эффективность функционирования системы и осуществить сравнение различных вариантов построения подобных систем.

Исходя из функционального предназначения СЗИ, в качестве показателя качества целесообразно выбрать предотвращенный ущерб, наносимый информационной системы вследствие воздействия потенциальных угроз.

Остановимся на этом подробнее. Предположим, что можно выделить конечное множество потенциальных угроз информационной системе, состоящее из ряда элементов. Каждую из потенциальных угроз можно характеризовать вероятностью ее появления и ущербом, наносимым информационной системе. Системы защиты информации выполняют функцию полной или частичной компенсации угроз для информационной системы. Основной характеристикой системы защиты информации в данных условиях является вероятность устранения каждой угрозы. За счет функционирования системы защиты информации обеспечивается уменьшение ущерба, наносимого информационной системе воздействием угроз.

Имея априорные сведения о составе и вероятностях возникновения угроз информационной системе и располагая количественными характеристиками ущерба, наносимого информационной системе вследствие их воздействия, требуется определить вариант построения системы защиты информации, оптимальный по критерию максимума предотвращенного ущерба при условии соблюдения ограничений на допустимые затраты, реализацию указанной системы.

При указанных исходных предпосылках можно выделить четыре этана решения задачи синтеза^[3]:

• 1) проведение экспертной оценки характеристик угроз: частоты появления и возможного ущерба;
• 2) проведение экспертной оценки важности выполнения каждого требования для устранения некоторой потенциальной угрозы;
• 3) оценка стоимости СЗИ для конкретного варианта ее реализации;
• 4) разработка математической модели и алгоритма выбора рационального построения системы защиты информации на основе математического аппарата теории нечетких множеств.

Анализ особенностей задачи синтеза СЗИ показывает, что решение ее сопряжено с необходимостью проведения экспертного оценивания на ряде этапов. Оценка качества функционирования СЗИ в ряде случае может быть проведена исключительно на основе экспертного оценивания. Такое положение дел обусловлено прежде всего тем, что экспертиза представляет собой мощное средство переработки слабо формализованных данных, которое позволяет выделить наиболее обоснованные утверждения специалистов-экспертов и использовать их в конечном счете для подготовки различных решений.

Особое место в системе обеспечения информационной безопасности занимают правовые меры.

В последнее время формируется устойчивое мнение, что информация, существующая в форме знаний, должна быть общедоступна, потребность в ее получении у подавляющего большинства индивидов столь же велика, как и потребность в жизни или свободе. И если право жить как первичное, фундаментальное ничем ограничить нельзя, ограничение права на свободу жестко регламентируется законом, то не менее жестко необходимо определять условия, при которых может быть ограничено право человека в доступе к необходимой ему информации.

Конституционное право человека свободно искать и получать информацию может быть ограничено только на основании закона. Основанием такого ограничения является защита охраняемых законом интересов личности, общества и государства.

Для защиты отдельных категорий сведений в правовой науке разработаны правовые режимы тайн — государственной тайны, коммерческой тайны, личной тайны и др.

Мера важности отдельных сведений, которые прямо влияют на безопасность государства, предопределяет необходимость охраны их в режиме государственной тайны, основные положения которого закреплены в Законе РФ «О государственной тайне» .

Согласно ст. 2 Закона РФ «О государственной тайне» государственная тайна представляет собой защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

В законодательстве закреплены меры государственной защиты, определенных данным законом категорий сведений:

• • создание специальных органов защиты государственной тайны и возложения обязанностей по ее защите на иные органы государственной власти, организации, должностных лиц;
• • установление специального порядка допуска должностных лиц и граждан к информации, находящейся в режиме государственной тайны;
• • проведение комплекса мероприятий по сертификации средств защиты информации;
• • обеспечение финансирования мероприятий по защите государственной тайны;
• • осуществление контроля и надзора за обеспечением и защитой государственной тайны.

К органам защиты государственной тайны относятся: межведомственная комиссия по защите государственной тайны, ФСБ РФ, Министерство обороны РФ, Служба внешней разведки РФ, Федеральная служба по техническому и экспортному контролю РФ и их территориальные органы, органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

Межведомственная комиссия по защите государственной тайны является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ нормативных и методических документов, обеспечивающих реализацию законодательства РФ о государственной тайне.

Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации.

В соответствии со ст. 8 Закона РФ «О государственной тайне» установлено три степени секретности сведений, находящихся в режиме государственной тайны, и соответствующие этим степеням грифы секретности для носителей (материальных объектов, в которых сведения находят свое отображение в виде символов, образов, сигналов, технических решений и процессов) указанных сведений: особой важности; совершенно секретно; секретно. Присвоение определенного грифа секретности регламентируется Правилами отнесения сведений, составляющих государственную тайну, к различным степеням секретности, утвержденными постановлением Правительства РФ от 4 сентября 1995 г. № 870.

Допуск должностных лиц и граждан Российской Федерации к государственной тайне осуществляется в добровольном порядке.

Допуск должностных лиц и граждан к государственной тайне предусматривает:

• • принятие на себя обязательств перед государством, но нераспространению доверенных им сведений, составляющих государственную тайну;
• • согласие на частичные, временные ограничения их прав в соответствии со ст. 24 Закона «О государственной тайне» ;
• • письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий;
• • определение видов, размеров и порядка предоставления социальных гарантий, предусмотренных Законом «О государственной тайне» ;
• • ознакомление с нормами законодательства Российской Федерации о государственной тайне, предусматривающими ответственность за его нарушение;
• • принятие решения руководителем органа государственной власти, предприятия, учреждения или организации о допуске оформляемого лица к сведениям, составляющим государственную тайну.

Для должностных лиц и граждан, допущенных к государственной тайне на постоянной основе, устанавливаются следующие социальные гарантии:

• • процентные надбавки к заработной плате в зависимости от степени секретности сведений, к которым они имеют доступ;
• • преимущественное право при прочих равных условиях на оставление на работе при проведении органами государственной власти, предприятиями, учреждениями и организациями организационных и (или) штатных мероприятий.

Для сотрудников структурных подразделений по защите государственной тайны дополнительно к социальным гарантиям, установленным для должностных лиц и граждан, допущенных к государственной тайне на постоянной основе, устанавливается процентная надбавка к заработной плате за стаж работы в указанных структурных подразделениях.

Взаимные обязательства администрации и оформляемого лица отражаются в трудовом договоре (контракте).

Заключение

трудового договора (контракта) до окончания проверки компетентными органами не допускается.

Устанавливается три формы допуска к государственной тайне должностных лиц и граждан, соответствующие трем степеням секретности сведений, составляющих государственную тайну: к сведениям особой важности, совершенно секретным или секретным. Наличие у должностных лиц и граждан допуска к сведениям более высокой степени секретности является основанием для доступа их к сведениям более низкой степени секретности.

Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация сертификации средств защиты информации возлагается на Федеральную службу по техническому и экспортному контролю РФ, ФСБ России и Министерство обороны РФ.

Контроль за обеспечением защиты государственной тайны осуществляют Президент РФ, Правительство РФ в пределах полномочий, определяемых Конституцией РФ, федеральными конституционными законами и федеральными законами.

Анализируя вышеизложенное, мы можем сделать вывод о том, что усложнение процессов информационного общения между людьми, автоматизация управления промышленными объектами, транспортом и энергетикой породили новые возможности целенаправленного негативного воздействия, которые могут осуществлять как недружественные государства, так и отдельные группировки преступной направленности либо отдельные лица. Реализацию такой возможности принято именовать информационным терроризмом. Один квалифицированный хакер способен нанести ущерб, сопоставимый с боевой операцией, проведенной войсковым соединением. При этом территориальное расположение государств, создающее естественные препятствия для проведения традиционных операций, не является преимуществом при информационных атаках. Для разработки информационного оружия не требуется построение заводов, его создание как государствами, так и частными лицами невозможно пока поставить под эффективный контроль.

Следовательно, необходимо сформировать такую организационноправовую систему, которая смогла бы координировать развитие информационной инфраструктуры нашей страны в целях предотвращения либо максимальной локализации последствий информационной войны или отдельных эпизодов применения информационного оружия. И делать это необходимо безотлагательно.

• [1] Месарович М. Основания общей теории систем: сб. статей. М.: Мир, 1966. С. 23−31.
• [2] Королев В. И., Морозова Е. В. Методы оценки качества зашиты информации при ее автоматизированной обработке // Безопасность информационных технологий. 1995. № 2. С. 36−42.
• [3] Берестнева О. Г., Марухина О. В. Компьютерная система принятия решений по результатам экспертного оценивания в задачах оценки качества образования // Educational Technology & Society. 2002. № 5 (3).