Месть за введение цензуры

Сайты египетского правительства

После того как в 2011 году президент Хосни Мубарак решил заблокировать гражданам Египта доступ к соцсетям, знаменитая хакерская группировка Anonymous, известная своими выступлениями за свободу интернета и отмену цензуры, начала скоординированные атаки на сайты правительства Египта.

Под удар попали ресурсы Министерства информации, Министерства внутренних дел и Национальной демократической партии.

Становится очевидной необходимость теоретической разработки международно-правовых основ регулирования взаимоотношений субъек­тов международного права в сфере качественно изменяющихся под воз­действием информационной революции условий обеспечения междуна­родной и национальной безопасности, в сфере обеспечения информаци­онной безопасности государства.

Новые технологии порождают и новые преступления. Согласно унификации Комитета министров Европейского Совета определены кри­минальные направления компьютерной деятельности. К ним относятся:

• компьютерное мошенничество;

• подделка компьютерной информации;

• повреждение данных или программ;

• компьютерный саботаж;

• несанкционированный доступ к информации;

• нарушение авторских прав.

Актуальность проблемы информационной безопасности заключается:

• в особом характере общественной опасности возможных пре­ступлений;

• в наличии тенденции к росту числа преступлений в информа­ционной сфере;

• в неразработанности ряда теоретических положений, связан­ных с информационной безопасностью.

Убытки ведущих компаний в связи с нарушениями безопасности информации составляют миллиарды евро, причем только треть опрошен­ных компаний смогли определить количественно размер потерь. Так, по данным зарубежных правоохранительных органов, в Германии с исполь­зованием компьютеров похищается до 2 млрд евро ежегодно, во Франции - до 1 млрд евро, в США - до нескольких миллиардов евро. Атакам через Интернет подвергались 57% опрошенных, 55% отметили нарушения со стороны собственных сотрудников. По данным МВД РФ в 1997 году было зарегистрировано 7 преступлений в сфере компьютерных технологий, в 1998 году - 66, в 1999 году - 294, в 2002 году - 3782 преступлений, в 2006 году - около 15000 и с каждым годом количество таких преступлений увеличивается.

Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организацион­ных и программно-технических мер и средств. В курсе Информационной безопасности нас будут интересовать программно-технические средства, реализующиеся программным и аппаратным обеспечением, решающие разные задачи по защите. Они могут быть встроены в операционные сис­темы, либо могут быть реализованы в виде отдельных продуктов. Во мно­гих случаях центр тяжести смещается в сторону защищенности операци­онных систем.

23 декабря 1999 года Генеральная Ассамблея ООН приняла резолю­цию, в которой выражается озабоченность тем, что распространение и ис­пользование современных информационных технологий и средств потен­циально может быть использовано в целях, несовместимых с задачами обеспечения международной стабильности и безопасности.

В России положения, касающиеся информационной безопасности, включены в «Концепцию национальной безопасности РФ», утвержденную Указом Президента РФ от 17.12.1997 г., в ред. Указа Президента от 10.01.2000 г., а также в Военную доктрину РФ, утвержденную Указом Президента РФ от 21.04.2000 г.

09 сентября 2000 года Президентом РФ была утверждена Доктрина информационной безопасности РФ. Доктрина информационной безопас­ности Российской Федерации представляет собой совокупность офици­альных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации, раз­вивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.

В декабре 2002 года принят ФЗ «О внесении изменений и дополне­ний в Закон РФ «О правовой охране программ для ЭВМ и баз данных», 29 июля 2004 года подписан Закон «О коммерческой тайне», в 2006 году принят Закон «О персональных данных».

Принятие указанных законов обусловлено положениями Доктрины информационной безопасности РФ, в которой в качестве основных со­ставляющих национальных интересов России в информационной сфере выделяются меры правового характера, обеспечивающие конституционные права человека и гражданина свободно искать, передавать, производить и распространять информацию любым законным способом, конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Необходимо сказать, что кроме вышеуказанных законов за послед­нее десятилетие в России реализован комплекс мер по совершенствова­нию обеспечения информационной безопасности. Для правового обеспе­чения информационной безопасности приняты Федеральные законы «О государственной тайне», «Об информации, информатизации и защите ин­формации», «Об участии в международном информационном обмене», а также ряд других нормативных актов. В новых Гражданском и Уголовном кодексах предусмотрена ответственность за правонарушения и преступ­ления в информационной сфере.

Специалистам в области информационной безопасности сегодня почти невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько причин.

Формальная состоит в том, что необходимость следования некото­рым стандартам (например, криптографическим и/или Руководящим до­кументам Гостехкомиссии России) закреплена законодательно. Однако наиболее убедительны содержательные причины.

Во-первых, стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях информационной безопасности. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

Во-вторых, и те и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.

Среди множества различных стандартов и спецификаций, можно вы­делить две группы документов:

• оценочные стандарты, предназначенные для оценки и класси­фикации информационных систем и средств защиты по требо­ваниям безопасности;

• спецификации, регламентирующие различные аспекты реали­зации и использования средств и методов защиты.

Эти группы, разумеется, дополняют друг друга. Оценочные стандар­ты описывают важнейшие, с точки зрения информационной безопасности, понятия и аспекты информационных систем (ИС), играя роль организаци­онных и архитектурных спецификаций. Спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организаци­онные требования.

Из числа оценочных необходимо выделить стандарт Министерства обороны США «Критерии оценки доверенных компьютерных систем» (Trusted Computer System Evaluation Criteria - TCSEC) и его интерпрета­цию для сетевых конфигураций (Trusted Network Interpretation), «Гармо­низированные критерии Европейских стран» (Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France - Germany - the Netherlands - the United Kingdom), международный стандарт «Критерии оценки безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation (CCITSE), и, конеч­но, Руководящие документы Гостехкомиссии России. К этой же группе относятся: Федеральный стандарт США (Federal Information Processing Standardization, FIPS) «Требования безопасности для криптографических модулей» (FIPS 140-2), Британский стандарт BS 7799 часть 2 «Управление информационной безопасностью. Практические правила» (Information Security Management Systems - Specification with guidance for use), а также международный стандарт ISO/IEC 17799 «Информационная технология. Практический кодекс по менеджменту информационной безопасности» (Information Technology - Code of practice for information security management), являющийся изложением BS 7799 часть 1.

Технические спецификации, применимые к современным распре­деленным ИС, создаются, главным образом, «Тематической группой по технологии Интернет» (Internet Engineering Task Force, IETF) и ее подраз­делением - рабочей группой по безопасности. Ядром рассматриваемых технических спецификаций служат документы по безопасности на IP- уровне (IPsec). Кроме этого, анализируется защита на транспортном уров­не (Transport Layer Security, TLS), а также на уровне приложений (специ­фикации GSS-API, Kerberos). Акцентируется внимание на административ­ном и процедурном уровнях безопасности («Руководство по информаци­онной безопасности предприятия», «Как выбирать поставщика интернет- услуг», «Как реагировать на нарушения информационной безопасности»).

В вопросах сетевой безопасности невозможно разобраться без ос­воения спецификаций X.800 «Архитектура безопасности для взаимодей­ствия открытых систем», X.500 «Служба каталогов: обзор концепций, мо­делей и сервисов» и X.509 «Служба каталогов: каркасы сертификатов от­крытых ключей и атрибутов».

Это «стандартный минимум», которым должны активно владеть все действующие специалисты в области информационной безопасности.

По существу, проектирование системы безопасности подразумевает ответы на следующие вопросы:

• какую информацию защищать;

• какого рода атаки на безопасность системы могут быть пред­приняты;

• какие средства использовать для защиты информации каждого вида.

Поиск ответов на данные вопросы называется формированием по­литики безопасности, которая помимо чисто технических аспектов включает также и решение организационных проблем. На практике реали­зация политики безопасности состоит в присвоении субъектам и объектам идентификаторов, фиксации набора правил, позволяющих определить, имеет ли данный субъект авторизацию, достаточную для предоставления к данному объекту указанного типа доступа.

Формируя политику безопасности, необходимо учитывать несколько базовых принципов. Так, Джером Зальтцер и Майкл Шредер на основе своего опыта рабо­ты сформулировали следующие рекомендации для проектирования систе­мы безопасности операционных систем:

• Проектирование системы должно быть открытым. Нарушитель и так все знает (криптографические алгоритмы открыты).

• Не должно быть доступа по умолчанию. Ошибки с отклонени­ем легитимного доступа будут обнаружены скорее, чем ошиб­ки там, где разрешен неавторизованный доступ.

• Нужно тщательно проверять текущее авторство. Так, многие системы проверяют привилегии доступа при открытии файла и не делают этого после. В результате пользователь может от­крыть файл и держать его открытым в течение недели и иметь к нему доступ, хотя владелец уже сменил защиту.

• Давать каждому процессу минимум возможных привилегий.

• Защитные механизмы должны быть просты, постоянны и встроены в нижний слой системы, это не аддитивные добавки (известно много неудачных попыток «улучшения» защиты слабо приспособленной для этого ОС MS-DOS).

• Важна физиологическая приемлемость. Если пользователь ви­дит, что защита требует слишком больших усилий, он от нее откажется.

• Ущерб от атаки и затраты на ее предотвращение должны быть сбалансированы.

Приведенные соображения показывают необходимость продумыва­ния и встраивания защитных механизмов на самых ранних стадиях проек­тирования системы.