Правонарушения в области технической защищенности систем

Характерные правонарушения, совершаемые путем наруше­ния технической защиты ИС, подпадают, как правило, под дей­ствие Уголовного кодекса (УК) РФ, в который включена специ­альная глава 28 «Преступления в сфере компьютерной информа­ции». Она впервые появилась в УК и существенно повысила меру ответственности за правонарушения в этой сфере.

Злонамеренное введение в ИС вредоносных программ, при­водящих к нарушениям ее работы - так называемых вирусов, -законом трактуется как преступление и наказывается в соответ­

ствии с УК РФ, для чего в кодекс введена статья 273 «Создание, использование и распространение вредоносных программ для ЭВМ».

В соответствии с этой статьей создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокиро­ванию, модификации либо копированию информации, наруше­нию работы ЭВМ, системы ЭВМ или их сети, а равно использо­вание или распространение таких программ или машинных но­сителей с такими программами наказывается лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет.

Как видно, закон сурово карает заражение ИС вирусами. Ес­тественно, кара ужесточается, если оно совершается с умыслом, из корыстных интересов или заранее подготовлено. Тем не менее вирусы «гуляют» по системам, число их множится, поэтому не­обходимо постоянно проводить в системах работу по выявлению и уничтожению таких программ. Существуют коллективы, раз­рабатывающие антивирусные программы, которые позволяют снизить риск поражения системы вредоносной программой, срыва работ и потери данных.

Здесь можно отметить, что в борьбе с вирусами важную роль играет правовая основа. Так, вирус I love you (я люблю тебя), запущенный в сети в 2000 г. через электронную почту молодой супружеской четой из Филиппин, поразил во всем мире около 48 млн компьютеров. Довольно быстро виновников вычислили и арестовали. Однако они были отпущены на свободу, поскольку в законодательстве Республики Филиппины нет ни одного право­вого акта в этой сфере.

Характерным массовым правонарушением в сфере информа­тизации стало так называемое проникновение, несанкциониро­ванный доступ в среду ЭВМ, систем ЭВМ или вычислительных сетей. Это деяние может иметь в своей основе как корыстные, так и чисто профессиональные, но искаженные мотивы. На этой луатации собственно вычислительных центров, связанных с обес­печением энергоснабжения ВЦ, функционированием климатиче­ских установок и т.п.

При расследовании происшествий, повлекших потери ИР, может оказаться сложно разделить нарушения правил эксплуа­тации собственно ЭВМ, системы ЭВМ или их сети от нарушений в сфере эксплуатации обеспечивающих комплексов и средств. Особенно не просто это сделать при так называемых форс-ма­жорных обстоятельствах: пожарах, катастрофах и т.п.

Таким образом, необходимость неукоснительного соблюде­ния и сохранения ИР охраняется и стимулируется законом. Наи­более строгие нормы закона (уголовное преследование) распро­странены теперь и на эту область.

ПОСТРОЕНИЕ РАЦИОНАЛЬНОЙ ЗАЩИТЫ

Рекомендуемые материалы

Необходимо отметить, что защита системы не может быть абсолютной. Она и не должна строиться как абсолютная. Это потребовало бы существенного увеличения затрат на ее создание и эксплуатацию, а также неизбежно привело бы к снижению про­изводительности системы по основным производственным фун­кциям. Защита должна строиться как рациональная, т.е. с опти­мальными по некоторому критерию характеристиками, что все­гда составляет предмет самостоятельного исследования.

Информационные системы являются сложными и комплекс­ными, поэтому выбор даже рациональной степени защищеннос­ти является сложной проблемой, которая может быть, например, проблемой полиоптимизации или векторной оптимизации. Воз­можны и упрощенные подходы с учетом конкретных особеннос­тей задачи. Для иллюстрации ниже приводится пример анализа условий рациональной защиты информации в базах данных от злонамеренного искажения или порчи.

Предполагается, что проблема защиты собранной регуляр­ным образом на предприятии информации возникает тогда, ког­да ставится задача обеспечения гарантированной сохранности данных, содержащихся в базах данных, от лиц, желающих ее ис­правления.

Решение задачи рациональной защищенности данных может достигаться, например, за счет введения системы паролей, исполь­зования криптографических методов защиты информации, уста­новления собственных командных процессоров, загрузчиков, со­здания и загрузки резидентных программ, перехватывающих пре­рывания и обрабатывающих команду от пользователя с последу­ющей ее блокировкой, если команда окажется запрещенной для данной системы. Возможно также использование установки соб­ственной главной загрузочной записи (MBR) на жестком диске.

Применительно к условиям охраны данных от активных по­пыток их похищения или порчи с учетом анализа особенностей задачи определяется следующий перечень мер по обеспечению защиты информации :

• аутентификация пользователя по паролю и, возможно, по ключевой дискете или аппаратному ключу;

разграничение доступа к логическим дискам;

прозрачное шифрование логических дисков;

• шифрование файлов с данными;

• разрешение запусков только строго определенных для каж-дого пользователя программ;

• реакция на несанкционированный доступ;

• регистрация всех попыток несанкционированного доступа в систему и входа/выхода пользователя в систему;

• создание многоуровневой организации работы пользователя с расширением предоставляемых возможностей при перехо­де на более высокий уровень;

• предоставление пользователю минимума необходимых ему

функций.

Наиболее эффективны системы защиты, разработка которых ведется параллельно с разработкой защищаемой информацион­ной структуры. При создании систем защиты принято придер­живаться следующих принципов :

1) постоянно действующий запрет доступа; в механизме за­щиты системы в нормальных условиях доступ к данным должен быть запрещен, запрет доступа при отсутствии особых указаний обеспечивает высокую степень надежности механизма защиты;

2) простота механизма защиты; это качество необходимо для уменьшения числа возможных неучтенных путей доступа;

лана lu

3) перекрытие всех возможных каналов утечки, для чего дол­жны всегда и гарантированно проверяться полномочия любого обращения к любому объекту в структуре данных; этот принцип является основой системы защиты. Задача управления доступом должна решаться на общесистемном уровне, при этом необходи­мо обеспечивать надежное определение источника любого обра­щения к данным;

4) независимость эффективности защиты от квалификации потенциальных нарушителей;

5) разделение полномочий в сфере защиты и доступа, т.е. при­менение нескольких разных ключей защиты;

6) предоставление минимальных полномочий;

7) максимальная обособленность механизма защиты; для ис­ключения передачи пользователями сведений о системе защиты друг другу рекомендуется при проектировании защиты миними­зировать число общих для нескольких пользователей парамет­ров и характеристик механизма защиты;

8) психологическая привлекательность защиты, для чего тоже важно добиваться, чтобы защита была по возможности простой в эксплуатации.

При построении систем защиты, основанных даже не на всех. а только на некоторых из вышеперечисленных принципов, воз­никают серьезные препятствия, связанные с большими затрата­ми на их реализацию. В связи с этим защита и должна быть не абсолютной, а только рациональной, т.е. изначально должна предполагаться в допустимой степени возможность злонамерен­ного проникновения в базу данных.

Активность посягательств, классификация похитителей, ха­рактеристики потока посягательств, ущерб от потери или порчи каждого из элементов информационной структуры, набор вари­антов способов защиты, их прочность и стоимость одного сеан­са защиты тем или иным способом - все эти данные нужно задать либо определить тем или иным путем.

Оценка возможных суммарных затрат, связанных с функцио­нированием системы защиты базы данных, включает суммарную стоимость Z работы всех способов защиты во всех возможных их наборах применительно ко всем областям базы данных и сум­му возможных потерь /7, возникающих при проникновении по­

хитителей через все способы защиты в различных их сочетаниях ко всем областям базы данных; эта оценка определится формулой

Информация в лекции "4.1 Элементы системного анализа" поможет Вам.

SUM = Z + П

С учетом того, что составляющие Z и Я в зависимости от сте­пени защищенности базы данных изменяются противоположным образом, величина SUM может иметь минимум при некоторой комбинации вариантов способов зашиты областей^базы данных. В связи с этим для построения рациональной структуры системы зашиты необходимо ее минимизировать, т.е.

SUM = Z + П => min

Поиск решения может осуществляться различными метода­ми, например можно отыскивать решение на множестве вариан­тов комбинаций степеней защиты, т.е. путем перебора их возмож­ных наборов по множеству областей базы данных вложенными циклами по вариантам допустимых способов зашиты. Таким пу­тем будут определены индексы защит для каждой из защищае­мых областей базь? данных, что даст для каждой области один определенный метод или совокупность нескольких методов защиты.

Такой подход позволяет подобрать самый дешевый из допус­тимых способов защиты для каждой из областей, при котором общая сумма затрат, связанных с функционированием защиты, и потерь, возникающих при несанкционированном доступе, будет минимальной.                       '

Аналогично можно поставить и решить задачу выбора вари­анта структуры системы защиты в более сложных условиях, вы­полнив полноразмерный проект такой системы при соответству­ющих затратах на его выполнение. Если информация в базе дан­ных стоит того. чтобы ее защищать, то и на создание системы защиты придется затратить соразмерные средства.