инф без. История развития средств и методов защиты информации
 Скачать 1.69 Mb.
|
|
Понятие и сущность правовой защиты информации Современный этап развития системы обеспечения информационной безопасности государства и общества характеризуется переходом от тотального сокрытия большого объема сведений к гарантированной защищенности принципиально важных данных, обеспечивающей: конституционные права и свободы граждан, предприятий и организаций в сфере информатизации; необходимый уровень безопасности информации, подлежащей защите; защищенность систем формирования и использования информационных ресурсов (технологий, систем обработки и передачи информации). Ключевым моментом политики государства в данной области является осознание необходимости защиты любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их собственнику, владельцу, пользователю или иному лицу. Основные задачи государственной системы защиты информации: проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности; исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных специальных программно-технических воздействий на информацию с целью ее разрушения, уничтожения, искажения или блокирования в процессе обработки, передачи и хранения; принятие в пределах компетенции нормативно-правовых актов, регулирующих отношения в области защиты информации; общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты; контроль за проведением работ по защите информации в органах государственного управления, объединениях, на предприятиях, в организациях и учреждениях (независимо от форм собственности); анализ состояния государственной системы, выявление ключевых проблем в области защиты информации; определение приоритетных направления государственной системы защиты информации; нормативно-методическое и информационное обеспечение работ по защите информации. Законодательство Российской Федерации о государственной тайне основывается на Конституции РФ, Законах РФ «О безопасности» и «О государственной тайне». Понятие государственной тайны определено в Законе «О государственной тайне» как «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации». Перечень сведений, составляющих государственную тайну, определяется Законом «О государственной тайне», на основании которого межведомственная комиссия по защите государственной тайны формирует перечень сведений, отнесённых к государственной тайне. Перечень сведений, отнесенных к государственной тайне в РФ - сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности государства, распространение которых может нанести ущерб безопасности РФ; а также наименования федеральных органов исполнительной власти и других организаций наделенных полномочиями по распоряжению этими сведениями. На распространение таких сведений государством устанавливаются ограничения с момента их создания (разработки) или заблаговременно; государство с целью упорядочивания обращения таких сведений формирует необходимые нормативные акты. Система защиты государственной тайны - в РФ - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях. Закон закрепил создание ряда органов в области защиты государственной тайны, ввел институт должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, с одновременным возложением на них персональной ответственности за деятельность по защите государственной тайны в сфере их ведения. К органам защиты государственной тайны относятся: Межведомственная комиссия по защите государственной тайны является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ нормативных и методических документов, обеспечивающих реализацию законодательства Российской Федерации о государственной тайне. федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (Федеральная служба безопасности), федеральный орган исполнительной власти, уполномоченный в области обороны (Министерство обороны), федеральный орган исполнительной власти, уполномоченный в области внешней разведки (служба внешней разведки), федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы (Федеральная служба по техническому и экспортному контролю (ФСТЭК России)); органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны. Нормативно-правовые основы ответственности за нарушение законодательства в сфере информации Важным направлением обеспечения информационной безопасности Российской Федерации является совершенствование ее правового обеспечения. Правовое обеспечение информационной безопасности Российской Федерации представляет собой систему правового регулирования общественных отношений в области противодействия угрозам национальным интересам Российской Федерации в информационной сфере. Правовое обеспечение информационной безопасности Российской Федерации включает согласованную систему нормативных актов, регулирующих рассматриваемые отношения, а также согласованную деятельность органов государственной власти по их развитию и совершенствованию. В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся: Международные договоры РФ; Акты федерального законодательства: Конституция РФ; Законы федерального уровня (включая федеральные конституционные законы, кодексы); Указы Президента РФ; Постановления правительства РФ; Нормативные правовые акты федеральных министерств и ведомств; Нормативные правовые акты субъектов РФ, органов местного самоуправления и т.д. Правовое обеспечение информационной безопасности Российской Федерации имеет целью создание системы правовых механизмов, обеспечивающих эффективное противодействие угрозам национальным интересам Российской Федерации в информационной сфере. Правовое обеспечение формируется путем разработки концепций совершенствования правовых механизмов противодействия угрозам информационной безопасности Российской Федерации по отдельным направлениям этой деятельности, развития законодательства и системы иных нормативных правовых актов РФ, базирующихся на установленных Конституцией РФ разделении властей и разграничении предметов ведения между Российской Федерацией и ее субъектами, заключения Российской Федерацией международных договоров. Система правовых механизмов обеспечения информационной безопасности должна строиться на основе принципов: баланса интересов граждан, общества и государства; комплексности правового регулирования общественных отношений в области достижения национальных интересов Российской Федерации в информационной сфере и противодействия угрозам этим интересам; согласования деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации по совершенствованию правового обеспечения информационной безопасности; разумного привлечения общественных организаций к контролю деятельности государства по обеспечению информационной безопасности Российской Федерации. Лицензирование программного обеспечения Сложившийся за долгие годы развития информационных компьютерных технологий стереотип работы с компьютером и программным обеспечением (ПО) - «устанавливаю, что хочу, как хочу и когда хочу; использую программу, сколько хочу» - постепенно, медленно, но все более уверенными темпами меняется на цивилизованный - законный - способ использования программного обеспечения. Сегодня все большее число компаний переходят на легальное ПО. Очевидно, что производитель, творческим трудом которого создано ПО, должен получать адекватное материальное вознаграждение за труд. Пользователи же всеми силами стремятся бесплатно использовать ПО. Специфика организации компьютерных операций позволяет любому пользователю свободно копировать ПО, устанавливать его на своем компьютере и тем самым нелегально его использовать. Именно поэтому доля ПО, которое используется бесплатно до сих пор еще на много превышает долю оплаченного ПО, используемого на законных основаниях. Именно технические средства (программные и программно-аппаратные) и механизмы защиты компьютерной информации и программных продуктов от нелегального использования долгое время главенствовали на рынке программного обеспечения, в различной степени затрудняя его нелегальное распространение и использование. Однако проблема так и не была решена. Быстрое развитие современных сетевых технологий, использование сети Internet для распространения (продажи) программного обеспечения, отсутствие механизмов защиты, гарантирующих защиту авторских прав разработчиков ПО при распространении программных продуктов посредством сетевых технологий, еще более обострили проблему. Сегодня все чаще встречаются мнения специалистов о том, что техническая защита не позволяет обеспечить защиту ПО от нелегального использования на должном уровне. Вместе с тем отметим, что современный этап развития общества характеризуется стратегическим курсом на создание правового государства. Во многих странах Содружества идет процесс демократизации всех сторон общественной жизни, который сопровождается укреплением законности и правопорядка, обеспечением надежной охраны прав и свобод граждан. В этой связи, с точки зрения автора, технические средства защиты постепенно уступят место юридической защите ПО от незаконного использования. Так, уже сегодня можно констатировать, что наиболее эффективными технологиями производителями ПО признаются такие технологии, которые интегрируют в себе как технические, так и юридические методы защиты. Ярким примером таких технологий являются технологии лицензирования ПО, которые в настоящее время получают все более широкое распространение. Основы лицензирования программного обеспечения Термин «лицензия» используется для обозначения разрешения обладателя прав на объект интеллектуальной собственности на использование этого объекта определенным образом. По существу «лицензия» означает лицензионный договор (соглашение) между правообладателем и пользователем о правилах (условиях) использования объекта интеллектуальной собственности. Напомним, что ПО (в Законе - программа для ЭВМ) законодательством практически всех стран признается объектом интеллектуальной собственности. Поэтому для обозначения ограничения свободного использования программных продуктов используется термин «лицензирование ПО». Целью лицензирования является поддержка производителя ПО - охрана его интеллектуальной собственности и увеличение доходов от продажи программных продуктов, а также предоставление юридической защиты в случае нарушения его законных прав. Лицензионный договор между правообладателем и пользователем заключается обычно при покупке коммерческого программного продукта. Поэтому, говоря другими словами, лицензия - это оговоренные при покупке программного продукта права на его использование. Обратим внимание, что лицензионный договор (соглашение) заключается между пользователем и именно обладателем прав на объект интеллектуальной обственности - программный продукт, а не производителем ПО. Дело в том, что правообладатель не всегда является производителем ПО (права которого по Закону, напомним, возникают в силу факта создания программы). Правообладатель может получить права на программный продукт, например, по договору с производителем или по другим основаниям. В этой связи необходимо заметить, что правообладатель не может по лицензионному договору передать прав больше, чем имеет сам. Таким образом, следует быть осторожным при заключении лицензионных соглашений с компаниями или лицами, не являющимися производителями лицензируемого программного продукта. В таком случае необходимо специальным образом предусмотреть в договоре гарантии по возмещению убытков в случае справедливых претензий с третьей стороны - собственника ПО. Особое внимание следует уделить договору и в случае, если договор заключается в отношении служебного произведения, то есть программного продукта, который был разработан по заказу либо в порядке выполнения разработчиком своих служебных обязанностей. Напомним, что имущественные права на служебные произведения принадлежат нанимателю (если в договоре между нанимателем и автором программы не предусмотрено иное), поэтому автор такого программного продукта не имеет права распространять программный продукт (хоть и признается его автором), передавать права на его использование другим лицам и т.п. Типы лицензионных соглашений (договоров) Лицензионные соглашения подразделяются на лицензионные соглашения с конечным пользователем, которые в англоязычной литературе называются EULA - End User License Agreement, и лицензионные соглашения, предусматривающие возможность доработки ПО, яркими представителями которых являются лицензии на передачу ПО с открытым кодом: лицензии типа GNU GPL (GNU General Public License) и лицензии типа BSD (Berkley Software Distribution). Ограничения на право использования ПО Ограничения на количество пользователей К основным ограничениям относится ограничение на количество пользователей (легальных копий ПО). В лицензионном договоре, как правило, явно указано количество пользователей, которые могут использовать лицензируемый программный продукт, или, что то же самое, количество локальных компьютеров, на которых могут быть установлены легальные копии ПО. Заметим также, что применительно к сетевому ПО ограничение на количество пользователей может также распространяться и на количество пользователей, одновременно работающих с лицензионным сетевым программным продуктом. Ограничения на копирование программ Обычно лицензионный договор предусматривает запрет на копирование лицензионной программы, позволяя создать только одну (несколько) резервных копий. Ограничения на распространение и продажу ПО Лицензионный договор, как правило, предусматривает также запрет на распространение и продажу лицензируемого ПО, а также запрет на передачу программного обеспечения во временное пользование, прокат, сдачу в аренду. Органичения на модификацию ПО Очевидно, что лицензионные соглашения с конечным пользователем, в отличие от соглашений, предусматривающих возможность доработки ПО, не позволяют пользователям вносить какие бы то ни было изменения в программный код. Ограничения на объемы использования Иногда лицензионные соглашения предусматривают специфические ограничения прав пользователя, например, географические ограничения, только внутреннее использование ПО и некоторые другие. Особенности современных схем лицензирования ПО Очевидно, что производители ПО осознают, что увеличение ограничений на использование ПО отнюдь не способствует росту продаж программных продуктов, поэтому в настоящее время разрабатываются и предлагаются заказчикам новые современные схемы и технологии лицензирования ПО, организованные таким образом, чтобы предоставить пользователю наиболее оптимальные условия лицензирования, минимизировать его платежи. Современные схемы корпоративного лицензирования предусматривают различные скидки и возможность рассрочки платежей на оптовые закупки лицензий. Рассмотрим особенности корпоративного лицензирования на примере трех схем, предназначенных для лицензирования продуктов корпорации Microsoft. Multi-Year Open License (MYO) - это соглашение о покупке программного обеспечения в рассрочку сроком на три года, по истечении которого пользователь получает бессрочную лицензию на право использования ПО. Далее пользователь имеет возможность продлевать либо не продлевать действие соглашения в части получения новых версий ПО. Open Subscription License (OSL) - такое соглашение предоставляет пользователю ПО в аренду на три года, причем на оптимальных условиях - позволяет минимизировать и распределить во времени платежи за использование ПО (на основе принципа подписки - оплата за один год использования); сумма платежей при этом зависит от типа ПО и количества компьютеров, на которых оно установлено. В течение трех лет пользователь имеет полный доступ к обновлениям ПО. По истечению названного срока пользователь может либо разорвать соглашение, либо продлить его на следующий срок, либо выкупить ПО. Кроме того, OSL позволяет устанавливать ПО на вновь приобретаемые компьютеры сверх определенного договором количества, включая дополнительные копии (инсталляции) ПО в платеж следующего года, позволяя таким образом пользователю использовать лицензионное ПО на всех компьютерах, даже вновь приобретеных, не нарушая лицензионное соглашение. Enterprise Agreement (EA) - эта схема аналогична схеме MYO, но распространяется на компании, в распоряжении которых находится не менее 250 персональных компьютеров. Здесь, очевидно, предусматриваются различные скидки. Некоторые перспективные формы получения ПО и его оплаты Обратим внимание, что сегодня у пользователей появляются новые возможности легально использовать ПО для осуществления своей деятельности. Сегодня уже не идет речь об обязательной покупке ПО, потому что правообладатели все чаще предоставляют программные продукты то на условиях аренды, то осуществляют поэтапную продажу или использование ПО на условиях подписки (годовой или ежемесячной). Уже сегодня некоторые программные системы предоставляются, например, корпорацией IBM «по требованию». Это означает, что пользователи платят только за то, что они используют, и только тогда, когда используют. Ожидается увеличение спроса на предоставляемые таким способом программные продукты. Таким образом, меняется даже терминология: сегодня все чаще говорят о формах получения пользователем ПО, а не его покупки, и, соответственно, предоставления ПО разработчиком, а не продажи ПО. Технические средства лицензирования ПО В начале лекции упоминалось, что современные технологии лицензирования программного обеспечения, помимо юридических средств включают, как правило, и технические механизмы защиты. Традиционно проблема лицензирования техническими средствами решается с помощью специальных программ - администраторов лицензий (licence manager), задачей которых является осуществление контроля лицензий (чаще количества пользователей или запущенных приложений) и ограничение доступа нелегальных пользователей. Такой контроль обычно реализуется поиском пароля (идентификатора) пользователя в списке легальных пользователей программного продукта. Другим подходом является мониторинг сетевых приложений. Многие системы (например, Norton Administrator for Network производства Symantec Corp.) осуществляют учет и отслеживание запускаемых приложений, контроль легальности всех пользователей системы и отображение общей картины эксплуатации программного обеспечения на мониторе администратора сети (пакет Hermes производства Microsoft). Недостатком таких систем (с точки зрения разработчиков ПО) является то, что контроль возлагается на администраторов сетей и часто не защищен от обмана. Современные системы управления лицензированием сетевого ПО с целью контроля и ограничения числа рабочих станций, одновременно работающих с защищенным приложением: сравнивают количество одновременно запущенных копий с допустимым количеством копий согласно лицензионному договору; встраивают функции учета в приложения. Идея заключается в том, что при загрузке лицензируемое приложение посылает сообщение по сети. Все копии приложения реагируют на него, посылая ответ рабочей станции, с которой производится загрузка. Рабочая станция производит подсчет ответов и сравнение с общим количеством лицензий; контролируют соблюдение лицензий с помощью создания на сервере специальной таблицы лицензий. Каждое запускаемое приложение обращается к таблице. Если лимит лицензий исчерпан, приложение либо не запускается, либо посылает сообщение о необходимости приобретения дополнительной лицензии (Licensing Services for NetWare производства фирмы Novell и другие). На рынке представлены также и программно-аппаратные системы, осуществляющие лицензирование сетевых программных продуктов. Для хранения счетчика лицензий защищенного приложения они используют электронные ключи (например, система CodeSafe производства EliaShim Microcomputers Ltd.). Система лицензирования NetHasp, кроме того, поддерживает специальную таблицу подключений (список всех запущенных защищенных программ и соответствующее число станций, с которых они были запущены). При запуске защищенная программа осуществляет запрос на запуск, а при завершении работы - выходную регистрацию для удаления из таблицы подключений. Программно-аппаратные комплексы Sentinel производства компании Rainbow Technologies совместно реализуют технологии защиты и распространения программ в Internet. Так, базовый комплекс SentinelLM реализует управление лицензиями и их защиту. Механизмы, гарантирующие соблюдение покупателем условий лицензионных соглашений, «построены на привязке к параметрам компьютера, на котором установлено приложение, но могут дополнительно использовать возможности электронного ключа». Пакет SentinelExpress, базирующийся на возможностях SentinelLM, уже интегрируется в Web-сайт производителя для электронной рассылки и активизации защищенных программ, генерирования и распространения ключей лицензирования, контроля продаж и оплаты поставок. Особенностью технологических решений Sentinel является генерирование различных видов лицензий: плавающих, неограниченных или исчерпывающихся по времени, количеству пользователей или дате; на все программное обеспечение, либо на каждый его модуль; закрепленных за отдельным компьютером, за доменом сети или группой пользователей. Обратим внимание, что современные системы лицензирования сетевого программного обеспечения осуществляют удаленное управление лицензиями с использованием Internet. Так, системы SoftwareKey Licensing System на основе EML–технологий (Electronic License Management) предоставляют разработчикам средства, которые позволяют через Internet не только управлять правами доступа пользователей, контролировать и ограничивать количество запусков приложения, предельное время работы приложения, число рабочих станций, одновременно работающих с лицензированным приложением, но и осуществлять перевод приложения из работы в демонстрационном режиме или режиме блокирования некоторых функций на режим полного функционирования, изменять параметры лицензий. Заметим, однако, что большинство представленных на рынке технических решений по лицензированию программных продуктов базируются на методах ключевого сравнения. Эталонные характеристики записываются в специальные файлы (License Files), либо хранятся в реестре Windows, либо в случае удаленного управления - на Internet web–сервере. Напомним, что методы ключевого сравнения не обеспечивают сегодня гарантированную защиту, поэтому, повторим, разработчикам приходится использовать и юридические методы защиты посредством заключения с пользователем лицензионных соглашений. Анализ методов защиты авторских прав разработчиков сетевого программного обеспечения, а также представленных на рынке технологий и средств лицензирования в сетях позволяет сделать следующие выводы. Все технологии и продукты рассчитаны на корпоративных пользователей. Все представленные на рынке технологии базируются на традиционном подходе к защите программного обеспечения от нелегального использования - противодействии исполнению нелегальных копий и исследованию логики работы защитного механизма. В качестве механизмов защиты используются традиционные методы: для управления лицензиями - методы, основанные на ключевом сравнении и элементах традиционной защиты от копирования; для защиты от несанкционированной модификации - методы шифрования. Как будет показано далее, данные методы не гарантируют защиту программного обеспечения на высоком уровне. Более или менее успешное (пока) применение современных технологий лицензирования определяется, прежде всего, совместным использованием большого количества традиционных приемов и методов защиты, а также относительной новизной технологий и ограниченным применением. Для гарантированного решения проблемы защиты авторских прав разработчиков сетевого программного обеспечения необходимо, чтобы контроль использования продукта производил не администратор сети, а сам разработчик. Ответственность за использование нелицензионных копий программ Обратим внимание, что использование нелицензионных копий программ является нарушением авторских прав создателей программных продуктов и влечет за собой привлечение к ответственности. За нарушение авторских прав на программные продукты законодательством как РФ, так и других государств, предусмотрена гражданская, административная и уголовная ответственность. Компании, использующей нелегальные копии программных продуктов, может быть предъявлен иск со стороны правообладателя, который помимо признания авторского права может требовать восстановления положения, существовавшего до нарушения авторского права; пресечения действий, нарушающих авторские права или создающих угрозу их нарушения; а также по выбору либо возмещения убытков, включая упущенную выгоду, либо взыскания дохода, полученного нарушителем вследствие нарушения авторского права, либо выплаты компенсации в сумме от 10 до 50 тысяч минимальных заработных плат, определяемой судом с учетом существа правонарушения [положения законодательства РФ]. Кроме этого, ответственные сотрудники компании могут быть привлечены к административной или уголовной ответственности. Все это может негативно отразиться как на репутации компании, так и на успешности ее бизнес-процессов. |