Модулированные сети могут одновременно передавать телепрограммы, речь, двоичные данные и т. п. 4 страница

6) информационной безопасности ("защиты информации"), включая применение специальных технологических средств и организационных механизмов такой защиты;

7) выявления, пресечения и расследования антиобщественных деяний (правонарушений и преступлений) в информационной сфере;

8) правового регулирования телекоммуникационного сектора, составляющего инфраструктурную основу и оказывающего прямое воздействие на развитие информационных и коммуникационных технологий (вопросы обеспечения конкуренции, оптимальных форм государственного регулирования, универсального обслуживания);

9) применения информационных технологий в качестве средств доказывания и доказательств в процессуальных действиях.

При таком понимании вопросы " информационного законодательства" неизбежно будут "пересекаться" с нормативными актами, традиционно относимыми к иным отраслям права (конституционному, гражданскому, уголовному, административному, о средствах массовой информации и т. п.).

Базовые законы об информации находятся в ведении Минсвязи, вопросы гостайны – Гостехкомиссии и ФСБ; коммерческой тайны – Минпромнауки; служебной тайны и доступа к правительственной информации – Минэкономразвития; охраны интеллектуальной собственности – Роспатента и Минпромнауки; массовой информации (причем не только деятельности средств массовой информации) – Минпечати; распространения информационных сообщений рекламного характера – Министерства по антимонопольной политике и т. п.

Такое распределение нормативных актов (групп актов), "закрепленных" за определенным ведомством федерального уровня, значительно усложняет выработку основанного на едином концептуальном подходе нормативного правового регулирования.

Современный этап развития российского законодательства в области ИКТ характеризуется значительным числом и большим разнообразием источников правовых норм. Только на уровне федеральных законов насчитывается несколько десятков нормативных актов, относящихся как к специфическим вопросам регулирования ("профильное законодательство"), так и к регулированию более общего характера, затрагивающего также и вопросы ИКТ.

Так, к законодательству общего характера, закрепляющему информационные права и свободы, устанавливающему основные права и обязанности соответствующих субъектов по поводу создания и распространения информации определенного вида, а также устанавливающему ограничения в обращении информации в государстве и обществе, относят следующие нормативные акты:

- Конституция РФ (1993 г.) закрепляет права на неприкосновенность частной жизни, личной и семейной тайны, тайну переписки, права на информацию ("свободно искать, получать, передавать, производить и распространять информацию любым законным способом"), свободу мысли и слова, массовой информации и запрет цензуры, свободу творчества, охрану интеллектуальной собственности;

- Закон РФ "О государственной тайне" (1993 г.);

- Закон РФ " О средствах массовой информации" (1991 г.), регулирующий вопросы деятельности средств массовой информации и специфики "массовой" информации;

- Закон РФ "О правовой охране программ для ЭВМ и баз данных" (1992 г.);

- Закон РФ "О правовой охране топологий микросхем" (1992 г.);

- Патентный закон РФ (1992 г.);

- Закон РФ "Об авторском праве и смежных правах" (1993 г.);

- Федеральный закон "Об информации, информатизации и защите информации" (1995 г.);

- Федеральный закон "Об участии в международном информационном обмене" (1995 г.);

- Федеральный закон "Об электронной цифровой подписи" (2002 г.);

- Федеральный закон "О связи" (1995 г., в редакции 2003 г.);

- Федеральный закон "О рекламе" (1995 г.);

- Федеральный закон "О лицензировании отдельных видов деятельности" (2001 г.).

Законодательства, акты которых целиком посвящены вопросам информационного права, подразделяются:

- на законодательство об интеллектуальной собственности, включающее законодательство об авторском праве и смежных правах, патентное законодательство, законодательство о "ноу-хау";

- законодательство о средствах массовой информации и о масс-медиа;

- законодательство о формировании информационных ресурсов, информационных продуктов, предоставлении информационных услуг, подразделяющееся, в свою очередь, на законодательства правовой информации, персональных данных, библиотечном деле, об архивах, статистической информации, международном обмене информацией;

- законодательство о реализации права на поиск, получение, передачу и потребление информации;

- законодательство о создании и применении информационных систем, их сетей, иных информационных технологий и средств их обеспечения;

- законодательство об информационной безопасности.

Перечисленные акты являются примерами соответствующих групп и не являются исчерпывающим списком.

Гражданский, Налоговый, Таможенный, Уголовный кодексы, Кодекс законов о труде также содержат нормы, относящиеся к регулированию ИКТ.

Следует также упомянуть многочисленные подзаконные акты (указы Президента Российской Федерации, постановления Правительства Российской Федерации, нормативные документы федеральных органов исполнительной власти), принятые в развитие перечисленных федеральных законов (например, регулирующие вопросы использования средств защиты информации, порядок и условия лицензирования соответствующей деятельности, экспорта программного обеспечения и т. д.); законодательные акты по профильным вопросам, принятые в субъектах Российской Федерации (например, закон правительства города Москвы "Об информационных ресурсах и информатизации города Москвы", принятый в 2001 г.).

В настоящее время на разных стадиях рассмотрения в федеральных органах государственной власти и Федеральном собрании находится ряд проектов и федеральных законов, относящихся к правоотношениям в сфере ИКТ ("Об электронной торговле", "Об информации персонального характера (персональных данных)", "О служебной тайне", "Об обеспечении прав граждан на информацию о деятельности органов государственной власти", Федеральный закон "О коммерческой тайне" и др.).

Классификация нормативных актов:

1) законодательство общего характера, регламентирующее наиболее фундаментальные принципы регулирования общественных отношений, связанных с использованием информации и ИКТ;

2) законодательство, регламентирующее использование общедоступной информации ("открытого доступа");

3) законодательство, регламентирующее использование конфиденциальной информации ("ограниченного доступа");

4) законодательство, регламентирующее различные прикладные аспекты использования информации и ИКТ;

5) законодательство, относящееся к охране интеллектуальной собственности.

Так, к первому классу могут быть отнесены соответствующие разделы Конституции Российской Федерации и Гражданского кодекса, а также "базовый" Федеральный закон "Об информации, информатизации и защите информации".

Второй класс в российских условиях будут составлять нормы, относящиеся к массовой информации, Закона "О СМИ", а также (после его приятия) законопроект "Об обеспечении прав граждан на информацию о деятельности органов государственной власти".

Третий класс включает Закон "О государственной тайне", а также законопроекты "О коммерческой тайне", "О служебной тайне" и "О персональных данных".

Четвертый класс представлен Федеральными законами "Об ЭЦП", "О связи", законопроектом "Об электронной торговле" и т. п.

В пятом классе сосредоточены все российские законы, связанные с охраной результатов творческой деятельности.

При более глубоком рассмотрении указанных законодательных актов выявляется ряд недостатков, свидетельствующих о неадекватности нынешнего состояния правового регулирования в информационной сфере складывающимся в ней общественным отношениям:

- неопределенность правового статуса информации, вовлеченной в общественные отношения (гражданский оборот);

- неопределенность правовой специфики правоотношений, возникающих в связи с использованием российскими гражданами, организациями и государственными органами глобальной информационной сети Internet (имущественные права на размещаемые в сети информационные объекты, совершение сделок "в электронной форме", идентификация участников сетевых правоотношений, проблемы трансграничной юрисдикции, распространение информации антиобщественного характера, включая несанкционированные рассылки "спам", предупреждение и пресечение правонарушений);

- неоднозначность представления в налоговом и бухгалтерском законодательстве информационных (нематериальных) объектов, приобретаемых и реализуемых налогоплательщиками. К этому примыкает и юридически некорректное закрепление имущественных прав государства на информационные объекты (ресурсы), создаваемые на бюджетные средства (т. е. содержательную информацию, имеющую в том числе и коммерческую ценность);

- терминологическая неоднозначность и концептуальное разнообразие подходов к регулированию информации ограниченного доступа (конфиденциальной информации в целом, государственной, служебной, коммерческой тайны, семейной и личной тайны, персональных данных и т. п.);

- межотраслевые "коллизии" правовых норм, относящихся к использованию ИКТ, но содержащихся в "непрофильных" правовых актах (Налоговом кодексе, Законе "О СМИ" и др.).

Сложившаяся ситуация с неэффективностью федерального законодательства в области использования информационных технологий заставляет исправлять наиболее очевидные его недостатки либо на уровне уточняющих (разъясняющих) подзаконных актов, либо на уровне законов субъектов Российской Федерации.

 

1.8 Основы защиты информации

 

1.8.1 Основные понятия, актуальность и основные проблемы защиты информации современных информационных систем

С развитием компьютерных технологий организации переходят на автоматизированные системы сбора, обработки, передачи и хранения информации, а также системы управления организацией. В результате увеличивается объем циркулирующей информации. Однако вероятность того, что данные могут быть уничтожены, скопированы или незаметно изменены, постоянно возрастает. В современном постиндустриальном обществе информация является не только результатом деятельности и необходимым ее обеспечением, но и капиталом, имеющим материальный эквивалент. Здесь выигрывает тот, кто вовремя и правильно успел получить информацию и воспользоваться ею. Успех деятельности организации зависит от соблюдения конфиденциальности или правильной подачи информации, именно поэтому вопросы информационной безопасности становятся как никогда актуальными.

Безопасность – это состояние защищенности (отсутствие опасности) жизненно важных интересов личности, общества, государства от внешних и внутренних угроз.

Информационная безопасность (ИБ) – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, наносящих ущерб владельцам или пользователям информации и поддерживающей инфраструктуре.

В Положении о государственном лицензировании в области защиты информации, утвержденном решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 года № 10 даны следующие определения:

"Защита информации - это комплекс мероприятий, проводимых с целью предотвращения: утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации."

22) "Безопасность информации - это состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от: утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокировки и т. п."

Для качественного и постоянного обеспечения ИБ в организациях и на предприятиях создаются системы информационной безопасности (СИБ), которые должны охватывать весь жизненный цикл информационной системы (ИС) организации, т. е. развиваться, изменяться, приспосабливаться к новым условиям вместе с ИС организации. Поддержание актуальности СИБ и адекватности ее окружающим условиям требует постоянных усилий со стороны администраторов безопасности организации, внимания к новинкам в области информационной защиты и нападения.

Система информационной безопасности – это функционирующая как единое целое совокупность подразделений, средств, мероприятий и методов, используемых этими подразделениями в своей деятельности, направленная на ликвидацию внутренних и внешних угроз интересам субъекта безопасности, создание, поддержание и развитие состояния защищенности его информационной среды.

Современное понятие защиты информации находится в центре внимания исследователей уже несколько десятков лет и ассоциируется, как правило, с проблемами защиты информации в автоматизированных системах обработки данных (АСОД).

Защита информации в АСОД - это использование в них средств и методов, принятие мер и осуществление мероприятий с целью обеспечения требуемой защищенности информации.

Однако информатизация социально-экономических и политических процессов общества и развитие ИС требуют рассмотрения понятия и сущности защиты информации с позиций более полного множества классов и подклассов ИС:

- класса систем информационного ресурса;

- систем информационно-аналитического ресурса;

- информационно-телекоммуникационных систем ;

- подкласса интегрированных государственных систем конфиденциальной связи страны;

- систем связи специального назначения и др.

Таким образом, можно говорить о необходимости и, более того, обязательности комплексного подхода к проблеме защиты информации предприятия или организации.

 

1.8.2 Классификация угроз современным системам

обработки информации

Широкое использование для обработки информации защищенных технических средств (аппаратуры засекречивания, средств активной и пассивной некриптографической защиты и др.) существенно снижает возможности технической разведки по добыванию информации. Однако существующие способы ведения технической разведки (ТР) позволяют добывать информацию на основе использования непреднамеренного (побочного) излучения и наводок электронных, электрических, электромеханических средств обработки информации, а также акустических, виброакустических и других полей, возникающих при функционировании технических средств обработки, хранении, передаче информации техническими средствами обработки информации (ТСОИ) и ведущихся в служебных помещениях разговорах.

Современные средства позволяют ТР по этим слабым излучениям и физическим полям обнаруживать, классифицировать тщательно замаскированную боевую технику, военные объекты, органы управления, центры обработки информации и другие объекты, а также перехватывать содержание обрабатываемой в них конфиденциальной информации.

Вышеперечисленные особенности информационных технологий по мере своего проявления обусловливают уязвимость информации: подверженностью ее физическому искажению или уничтожению; возможностью несанкционированной (случайной или злоумышленной) модификации; опасностью несанкционированного (случайного или преднамеренного) получения информации лицами, для которых она не предназначалась.

Кроме этого, информационным технологиям присуща подверженность различным видам воздействий, снижающих информационную безопасность. Их принято называть угрозами безопасности информации и информационной безопасности. Вполне очевидно, что понятия таких угроз формируются исходя из соответствующих понятий безопасности, при этом наиболее общие понятия безопасности и угроз сформулированы в Законе РФ "О безопасности".

23) Угроза безопасности - совокупность условий, факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Угроза информационной безопасности - реальные или потенциально возможные действия или условия, приводящие к овладению, хищению, искажению, изменению, уничтожению информации, обрабатываемой ИТКС, и сведений о самой системе, а также к прямым материальным убыткам (рис. 1.21, 1.22).

 

Рис.1.21. Виды угроз безопасности

 

Таким образом, независимо от вида объекта безопасности угроза безопасности представляет собой совокупность факторов, явлений, условий и действий, создающих опасность для нормального функционирования объектов, реализующих определенные цели и задачи.

Угрозы безопасности информации в современных системах ее обработки обусловлены случайными и преднамеренными разрушающими и искажающими воздействиями внешней среды, надежностью функционирования средств обработки информации, а также преднамеренными корыстными воздействиями несанкционированных пользователей, целью которых является хищение, разглашение, уничтожение, разрушение, несанкционированная модификация и использование обрабатываемой информации.

 

Рис. 1.22. Классификация угроз информации

 

24) В настоящее время принята следующая классификация угроз сохранности (целостности) информации (рис. 1.23).

Основные проявления рассмотренных угроз заключаются в незаконном: владении конфиденциальной информацией, копировании, модификации, уничтожении в интересах злоумышленников, с целью нанесения ущерба как материального, так и морального, непреднамеренных действиях обслуживающего персонала и пользователей.

25) Основными путями реализации угроз информационным ресурсам безопасности информации являются:

- агентурные источники в органах управления и защиты информации;

- вербовка должностных лиц органов управления, организаций, предприятий и т. д.;

- перехват и несанкционированный доступ к информации, циркулирующей в ТСОИ, с использованием технических средств разведки;

- использование преднамеренного программно-технического воздействия на ТСОИ;

 

 

Рис. 1.23. Классификация угроз информации

 

- подслушивание конфиденциальных переговоров в служебных помещениях, транспорте и других местах их ведения.

26) Факторами, обусловливающими информационные потери и различные виды ущерба, являются:

- несчастные случаи, вызывающие выход из строя оборудования и информационных ресурсов (пожары, взрывы, аварии, удары, столкновения, падения, воздействия химических и физических сред);

- поломки элементов средств обработки информации;

- последствия природных явлений (наводнения, бури, молнии, землетрясения и др.);

- кража, преднамеренная порча материальных средств;

- аварии и выход из строя аппаратуры, программного обеспечения, баз данных;

- ошибки накопления, хранения, передачи, использования информации;

- восприятие, чтение, интерпретация содержания информации;

- неумение, оплошности;

- наличие помех, сбои и искажения отдельных элементов и знаков или сообщений;

- нарушение защиты;

- переполнение файлов;

- ошибки при подготовке и вводе информации;

- ошибки операционной системы, программирования;

- аппаратные ошибки;

- концептуальные ошибки внедрения;

- злонамеренные действия в материальной сфере: болтливость, разглашение информации;

- убытки социального характера (уход, увольнение, забастовка и др.).

С учетом применения в ИТКС микропроцессорной техники особенно опасными считаются ошибки в программах пользователей, которые могут привести к следующим последствиям:

- записи в массивы данных искаженной информации вследствие неправильного управления вводом данных;

- ошибочной печати выходных документов при неправильном управлении выводом;

- сбою программ.

 

1.8.3 Классификация способов и средств защиты

информации

27) В настоящее время существует ряд подходов к определению, выбору и классификации средств защиты информации.

Существующие в современных системах обработки информации различные средства ее защиты при определенных условиях обеспечивают требуемый уровень защищенности информации. Их выбор осуществляется в соответствии с принятым или заданным способом защиты, гарантирующим максимальное противодействие дестабилизирующим факторам или порождающим их причинам. Целью такого противодействия должно быть исключение или существенное затруднение получения несанкционированными лицами содержания информации, а также повышение или сохранение прежних значений показателей качества информации. Классификация способов и средств защиты информации, соответствующая основным определениям, приведена на рисунке 1.24.

Защита информации организуется следующими способами:

1. Препятствие - создание на пути возникновения или распространения дестабилизирующего фактора определенного барьера, не позволяющего соответствующему фактору принять опасные размеры. Например, блокировки, исключающие возможность выхода за опасные границы характеристик технических устройств или программ; создание физических препятствий на пути злоумышленников и т. п.

2. Управление - определение и выработка на каждом шаге функционирования системы обработки информации управляющих воздействий на элементы системы, обеспечивающих решение одной или нескольких задач защиты информации.

3. Маскировка - преобразование информации, включающее или существенно затрудняющее доступ к ней злоумышленников.

4. Регламентация - разработка и реализация в процессе функционирования системы обработки информации комплексов мероприятий, создающих условия обработки информации, существенно затрудняющие появление и воздействие дестабилизирующих факторов.

 

Рис. 1.24. Классификация способов и средств защиты информации

 

5. Принуждение - соблюдение пользователями и обслуживающим персоналом правил и условий обработки информации под угрозой материальной, административной или уголовной ответственности.

6. Побуждение - способ защиты информации, при котором пользователи и обслуживающий персонал систем обработки информации побуждаются (материально, морально, этически, психологи-чески) к соблюдению всех правил ее обработки.

Реализация рассмотренных способов обеспечения защиты информации осуществляется применением различных средств: формальных и неформальных.

Формальные средства делятся на технические (физические и аппаратные), программные, программно-аппаратные, криптографические, неформальные - на организационные, законодательные и морально-этические.

1. Технические (инженерно-технические) средства защиты используют технические устройства, узлы, блоки, элементы, системы как в виде отдельных средств, так и встроенных в процессе единого технологического цикла создания средств обработки информации.

Физические средства - механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

Аппаратные средства - различные электронные и электронно-механические и тому подобные устройства, схемно-встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации.

2. Программные средства - специальные пакеты или отдельные программы, включаемые в состав программного обеспечения систем обработки данных с целью решения задач защиты информации.

3. Программно-аппаратная защита - использование программного обеспечения ЭВТ, комплексов и систем, а также аппаратных устройств, схемно-встроенных в состав технических средств, и систем обработки информации.

4. Средства криптографической защиты информации (шифровальные) - устройства, средства, системы и комплексы, обеспечивающие защиту содержания информации на основе способов ее криптографических преобразований.

Неформальные средства:

1. Организационные средства - комплекс мер, основанных на организации и обеспечении органами управления организационных, организационно-технических мероприятий, специально предусмотренных в технологии функционирования информационно-телеком-муникационных систем с целью решения задач защиты информации в соответствии с системой требований нормативных правовых актов по защите информации.

2. Законодательные средства - нормативные правовые акты, регламентирующие права и обязанности лиц подразделений и органов, имеющих отношение к функционированию системы защиты информации, а также устанавливающие ответственность за нарушение правил обработки и защиты конфиденциальной информации.

3. Морально-этические средства - сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение приравнивается к несоблюдению правил поведения в обществе или коллективе. Морально-этические нормы формируются в процессе жизнедеятельности общества и, как правило, не имеют юридической силы, но их нарушение ведет к потере авторитета, возникновению дополнительных трудностей и другим негативным последствиям для человека и организации.

4. Психологические виды защиты - допускаемые нормами права и морали методы и средства изучения психофизиологических особенностей и возможностей человека, а также психологического воздействия на него с целью оценки соответствия требованиям на допуск к обработке защищаемой информации.

Тема 2. АРХИТЕКТУРА ЭВМ

 

2.1 Арифметические и логические основы ЭВМ

 

2.1.1 Представление данных в ЭВМ

Для оценки количества информации и упорядочения процесса ее обработки используются структурные единицы информации.

За единицу информации принимается один бит.

Бит определяет количество информации, посредством которой выделяется одно из двух альтернативных состояний. В одном бите с помощью цифр 0 и 1 может быть представлен один двоичный разряд числа или одна логическая переменная, принимающая соответственно значения "ложь" или "истина".

Последовательность битов, имеющая определенный смысл, называется полем.

Поле длиной 8 бит называется байтом.

Байт, как правило, является минимальной (неделимой) единицей информации, с которой оперирует ЭВМ. Все остальные единицы информации являются его производными (рис. 2.1).

 

Рис. 2.1. Структурные единицы информации

 

Основной структурной единицей информации, обрабатываемой ЭВМ, является машинное слово.

В современных ЭВМ длина машинного слова обычно составляет два байта. Как правило, в одном машинном слове может быть представлено либо одно число, либо одна команда. Для обеспечения требуемой точности вычислений и экономии памяти большинство ЭВМ могут оперировать также с двойным словом.

Последовательность полей, байтов или слов, имеющих одинаковый смысл, образуют массив.

Группа массивов может объединяться в сегмент. Количество информации в больших массивах оценивается с помощью производных единиц, кратных количеству байтов в степени числа два (1кбайт = 1024 байт = 2¹⁰байт; 1Мбайт = 1 048 576 байт = 2²⁰байт).

Вычислительная машина оперирует с двумя видами информации: управляющей информацией и числовыми данными.

Для представления числовых данных в ЭВМ используются естественная и нормальная формы записи чисел.

В вычислительной технике принято отделять целую часть от дробной точкой. Так как в этом случае положение точки между целой и дробной частями четко определено, то такое представление чисел называют представлением с фиксированной точкой (рис. 2.2).

 

Рис. 2.2. Представление чисел с фиксированной точкой

 

Недостатком представления чисел с фиксированной точкой является их малый диапазон. Поэтому, как правило, в такой форме записывают только целые числа. В этом случае отпадает необходимость отводить поле для дробной части числа.

Максимальным по абсолютному значению целым числом, представляемым в естественной форме, будет число, определяемое по формуле (2^m – 1) (рис. 2.3).

Нормальная форма записи числа имеет вид N = m Ч q ^p, где m - мантисса числа (m<1); p - порядок; q - основание системы счисления.

Порядок указывает местоположение в числе точки, отделяющей целую часть числа от дробной.

 

Рис. 2.3. Представление целых чисел