Процесс подписания блока данных использует информацию, которая является информацией частного использования (т.е. уникальной и конфиденциальной). Этот процесс подразумевает либо шифрование блока данных, либо получение криптографического контрольного значения блока данных с использованием частной информации подписавшего пользователя в качестве ключа шифрования частного пользования. Таким образом, после проверки подписи в последующем третьему лицу (например, арбитру) в любое время может быть доказано, что подпись может выполнить только единственный держатель секретной (частной) информации.

Механизмы контроля доступа могут использовать аутентифици-рованную идентификацию объекта или информацию объекта (например, принадлежность к известному множеству объектов) либо возможности этого объекта для установления и применения прав доступа к нему. Если объект делает попытку использовать несанкционированный или санкционированный с неправильным типом доступа ресурсы, то функция контроля доступа будет отвергать эту попытку и может сообщить о ней для инициирования аварийного сигнала и (или) регистрации его как части данных проверки безопасности. Механизмы контроля доступа могут использоваться на любом конце соединения и (или) в любом промежуточном узле.

Механизм заверения обеспечивает гарантию свойств, относящихся к данным, которые передаются между двумя или более пользователями, например их целостность, источник, время и место назначения. Эта гарантия дается третьим лицом (нотариусом), которому доверяют вступающие во взаимодействие пользователи и который располагает необходимой информацией для предоставления требуемой гарантии способом, допускающим возможность ее проверки. Каждый процесс установления соединения может использовать цифровую подпись, шифрование и механизмы целостности в зависимости от требований услуги, получающей заверение. Когда задействуется механизм заверения, сообщения передаются через защищенные соединения и нотариуса.

17.2. Правовые и организационные аспекты информационной безопасности

Правовые аспекты. Законодательные и административные меры для регулирования вопросов защиты информации на государственном уровне применяются в большинстве развитых стран мира. Компьютерные преступления получили такое широкое распространение, что для борьбы с ними введены специальные статьи в уголовный кодекс.

До принятия нового Гражданского кодекса России источниками права на информацию были правовой обычай и договор, а также

отдельные нормы законов, зачастую противоречащих друг другу [3]. С введением в действие нового кодекса впервые в нашем законодательстве информация стала полноправным объектом права (ст. 128 ГК РФ).

Значительным шагом в деле правового обеспечения деятельности по защите информации явилось принятие Федеральным Собранием России закона Об информации, информатизации и защите информации [2]. В нем впервые официально вводится понятие конфиденциальной информации , которая рассматривается как информация, не являющаяся общедоступной. Закон устанавливает общие правовые требования к организации защиты данных в процессе обработки, хранения и циркуляции в технических устройствах и сетях связи контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.

Закон утверждает на государственно-правовом уровне электронную цифровую подпись в качестве средства защиты информации от несанкционированного искажения, подмены (имитозащиты) и подтверждения подлинности отправителя и получателя информации (аутентификации сторон). В соответствии со статьей 5 юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью . При этом юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования . В законе раскрываются требования, предъявляемые к специализированным программно-техническим средствам, реализующим электронную цифровую подпись, и порядку их использования в информационно-телекоммуникационных системах.

В течение первой половины 1995 г. правительством Российской Федерации во исполнение закона О государственной тайне приняты постановления О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны (№ 333 от 15 апреля 1995 г.) и О сертификации средств защиты информации (№ 608 от 26.06.95 г.).

Указанные постановления формируют механизм получения предприятиями и организациями (независимо от их организационно-правовой формы) лицензии на право осуществления любой деятель-

ности, связанной с информацией, составляющей государственную тайну, а также общий порядок сертификации средств, предназначенных для защиты секретной информации.

Принятый Государственной думой Федеральный закон Об участии в международном информационном обмене от 5 июня 1996 г № 85-ФЗ определяет необходимость сертификации средств и лицензирования деятельности в области международного информационного обмена при работе с конфиденциальной информацией. Закон предоставляет ФАПСИ право участвовать в определении ограничений на вывоз из Российской Федерации и ввоз в нашу страну иностранных информационных продуктов, а также утверждения порядка лицензирования деятельности, сертификации средств и аттестования систем международного обмена при работе с конфиденциальными сведениями.

Перечисленные нормативные акты утвердили полномочия и компетенцию ФАПСИ в сфере лицензирования деятельности в области защиты и сертификации средств защиты информации.

Организационные аспекты [4]. Включают в себя выработку политики информационной безопасности; анализ рисков (т.е. ситуаций, в которых может произойти нарушение нормальной работы информационной системы, а также утрата или рассекречивание данных); планирование обеспечения информационной безопасности; планирование действий в чрезвычайных ситуациях; подбор средств обеспечения информационной безопасности. Перейдем к более подробному рассмотрению перечисленных выше задач.

Политика информационной безопасности определяет:

- какую информацию и от кого (чего) следует защищать;

- кому и какая информация требуется для выполнения служебных обязанностей;

- какая степень защиты требуется для каждого вида информации;

- чем грозит потеря того или иного вида информации;

- как организовать работу по защите информации.

Решения по этим вопросам принимают руководители организации, имеющие право решать, какой риск должен быть исключен, а на какой можно пойти, а также определять объем и порядок финансирования работ по обеспечению выбранного уровня информационной безопасности.

Для выработки политики информационной безопасности необходимо провести исследования. Сначала осуществляется сбор информации, состоящей из описания структуры организации; перечня и краткой характеристики функций, выполняемых каждым ее подразделением и работником; иерархии должностных лиц; описания функциональных связей между подразделениями и отдельными рабочими местами; перечня информационных объектов, циркулирующих в сис-