Методичка. Учебно пособие организационное и правовое обеспечение
Скачать 0.73 Mb.
|
1.4. Сертификация средств защиты информации Национальный орган по сертификации определяется Правительством РФ. В настоящее время эти функции выполняет Федеральное агентство по техническому регулированию и метрологии. Сертификация средств защиты информации, прежде всего, подразумевает проверку их качественных характеристик для реализации основной функции – защиты информации на основании государственных стандартов и требований по безопасности информации. Общие принципы сертификации средств защиты ГТ определены нормами статьи 28 Закона "О государственной тайне" - средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация сертификации средств защиты информации возлагается на ФСТЭК, ФСБ и МО в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством Российской Федерации. Положение о сертификации средств защиты информации, утверждено постановлением Правительства Российской Федерации от 25.06.95 г. № 608. Это положение зарегистрировано Госстандартом России в Государственном реестре 20 марта 1995 г. (Свидетельство № Р0СС RU. 0001. 01БИ00). Принципы сертификации: 1.Сертификация изделий, обеспечивающих защиту ГТ, является обязательной. 2.Обязательность использования криптографических алгоритмов, являющихся стандартами. 3.Принятие на сертификацию изделий только от заявителей, имеющих лицензию. В соответствии с вышеназванными документами, государственным организациям и предприятиям запрещено использование в информационных системах шифровальных средств, не имеющих сертификата. Кроме этого в области информационных технологий действуют системы добровольной сертификации банковских технологий (МЕКАС) и средств связи. Порядок сертификации: 1.В Центральный орган по сертификации подается заявление и полный комплект технической документации. 2.Центральный орган назначает испытательный центр (лабораторию) для проведения испытания. 3.Испытания проводятся на основании хозяйственного договора между заявителем и испытательным центром. 4.Сертификация (экспертиза материалов и подготовка документов для выдачи) осуществляется Центральным органом. Сертификат выдается на срок до 5 лет. 1.5. Лицензирование и сертификация в области защиты конфиденциальной информации Лицензирование деятельности в области защиты конфиденциальной информации основано на Законе РФ «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. N 128-ФЗ (ред. от 11 марта 2003 г. N 32-ФЗ). Действие данного закона не распространяется на следующие виды деятельности, связанные с ЗИ: -деятельность, связанная с защитой государственной тайны; -деятельность в области связи; -использование результатов интеллектуальной деятельности. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности в области ЗИ: -разработка, производство, распространение, техническое обслуживание и предоставление услуг в области шифрования информации; шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем; -деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей; -деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); -деятельность по разработке и (или) производству средств защиты конфиденциальной информации; -деятельность по технической защите конфиденциальной информации; -разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность. Срок действия лицензии не может быть менее чем пять лет и может быть продлен по заявлению лицензиата. Продление срока действия лицензии осуществляется в порядке переоформления документа, подтверждающего наличие лицензии. В систему сертификации могут входить организации независимо от форм собственности, а также общественные объединения. Постановление Правительства РФ от 23.04.96 N 509 устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Системы сертификации создаются ФСТЭК, ФСБ, Министерством обороны и СВР. Система сертификации средств защиты информации в РФ осуществляется по требованиям безопасности информации, определенным ФСТЭК. Положение о сертификации средств защиты информации по требованиям безопасности информации ведено в действие приказом Председателя Гостехкомиссии России от 27 октября 1995 г. № 199. В соответствии с которым обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации. Сертификационные испытания средств защиты в рамках данной системы сертификации предусматривают комплекс мероприятий по проверке соответствия этих средств формальным базовым требованиям по обеспечению безопасности информации, изложенным в нормативных документах ФСТЭК. Контрольные вопросы 1. Укажите основные элементы организационной основы системы обеспечения информационной безопасности РФ. 2. Какие виды деятельности в области защиты информации подлежат лицензированию? 3. Порядок лицензирования, срок действия лицензии. 4. Организационная структура системы сертификации в области защиты конфиденциальной информации. 5. При каких организациях созданы системы сертификации в РФ? 6. Порядок и требования при осуществлении сертификации средств защиты информации. 7. В каких случаях сертификация носит добровольный характер? 8. Кем устанавливаются формы сертификата и знака соответствия? 9. Стандарты безопасности. 10. Международные конвенции с соглашения в области информационной безопасности. 2. Правовая защита от компьютерных преступлений 2.1. Классификация компьютерных преступлений Зарубежными специалистами разработаны различные классификации способов совершения компьютерных преступлений. По кодификатору Интерпола (в 1991 году данный кодификатор был интегрирован в автоматизированную систему поиска и в настоящее время доступен в более чем 100 странах) все коды, характеризующие компьютерные преступления, имеют идентификатор, начинающийся с буквы Q. Для характеристики преступления могут использоваться до пяти кодов, расположенных в порядке убывания значимости совершенного. QA - Несанкционированный доступ и перехват QD - Изменение компьютерных данных QF - Компьютерное мошенничество QR - Незаконное копирование QS - Компьютерный саботаж QZ - Прочие компьютерные преступления Например, несанкционированный доступ и перехват информации (QA) включает в себя следующие виды компьютерных преступлений: QAH - "Компьютерный абордаж" (хакинг - hacking): неправомерный доступ в компьютер или сеть. Этот вид компьютерных преступлений обычно используется хакерами для проникновения в чужие информационные сети. QAI - перехват (interception): перехват при помощи технических средств, без права на то. Перехват информации осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи. К данному виду компьютерных преступлений также относится электромагнитный перехват (electromagnetic pickup). Современные технические средства позволяют получать информацию без непосредственною подключения к компьютерной системе: ее перехват осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Все это можно осуществлять, находясь на достаточном удалении от объекта перехвата. QAT - кража времени: незаконное использование компьютерной системы или сети с намерением неуплаты. Для характеристики методов несанкционированного доступа и перехвата информации используется следующая терминология: -"Жучок" (bugging) - характеризует установку микрофона в компьютере с целью перехвата разговоров обслуживающего персонала; -"Откачивание данных" (data leakage) - отражает возможность сбора информации, необходимой для получения основных данных, в частности о технологии ее прохождения в системе; -"Уборка мусора" (scavening) - характеризует поиск данных, оставленных пользователем после работы на компьютере. Этот способ имеет две разновидности - физическую и электронную. В физическом варианте он может сводиться к осмотру мусорных корзин и сбору брошенных в них распечаток, деловой переписки и т.д. Электронный вариант требует исследования данных, оставленных в памяти машины; -метод следования "За дураком" (piggbackiiig), характеризующий несанкционированное проникновение как в пространственные, так и в электронные закрытые зоны. Его суть состоит в следующем. Если набрать в руки различные предметы, связанные с работой на компьютере, и прохаживаться с деловым видом около запертой двери, где находится терминал, то, дождавшись законного пользователя, можно пройти в дверь помещения вместе с ним; -метод "За хвост" (between the lines entry), используя который можно подключаться к линии связи законного пользователя и, догадавшись, когда последний заканчивает активный режим, осуществлять доступ к системе; -метод "Неспешного выбора" (browsing). В этом случае несанкционированный доступ к базам данных и файлам законного пользователя осуществляется путем нахождения слабых мест в защите систем. Однажды обнаружив их, злоумышленник может спокойно читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости; -метод "Поиск бреши" (trapdoor entry), при котором используются ошибки или неудачи в логике построения программы. Обнаруженные бреши могут эксплуатироваться неоднократно; -метод "Люк" (trapdoor), являющийся развитием предыдущего. В найденной "бреши" программа "разрывается" и туда вставляется определенное число команд. По мере необходимости "люк" открывается, а встроенные команды автоматически осуществляют свою задачу; -метод "Маскарад" (masquerading). В этом случае злоумышленник с использованием необходимых средств проникает в компьютерную систему, выдавая себя за законного пользователя; -метод "Мистификация" (spoofing), который используется при случайном подключении "чужой" системы. Злоумышленник, формируя правдоподобные отклики, может поддерживать заблуждение ошибочно подключившегося пользователя в течение какого-то промежутка времени и получать некоторую полезную для него информацию, например коды пользователя. Анализ компьютерных преступлений С целью совершенствования методов расследования, правоохранительные органы проводят анализ КП. Разрабатываются системы адаптации «традиционных» методов расследования преступлений с использованием компьютерных средств. Диапазон компьютерных преступлений в настоящее время расширился и включает кроме традиционного мошенничества также киберслежку, мошенничество с инвестициями, сексуальные домогательства, кражу информации, внутригосударственный и международный терроризм, нарушение авторских прав, фальсификацию систем, насильственные преступления, жестокое обращение с пожилыми. По мере развития электронной коммерции число компьютерных преступлений будет соответствующим образом расти. Для анализа преступлений теперь требуются не только региональные, но и международных средств анализа. Эти системы могут объединять преступления по местоположению, времени и методу действий, что может помочь прогнозировать потенциальные будущие угрозы. В университете Карнеги-Меллона создана группа «скорой компьютерной помощи» Computer Emergency Response Team (CERT), которая ставит своей целью анализ и разработку мер противодействия компьютерным преступлениям. Проделанная этой группой работа показывает, насколько важно понять мотивы преступника. Понимание целей, которые ставит перед собой злоумышленник, позволяет определять его будущие поступки. Для выявления нарушений системной защиты используются методы активной добычи данных. Такой подход предполагает анализ поступков, которые приводят к нарушениям, и сравнивает их с поведением при нормальной работе. Добывается информация о часто встречающейся последовательности действий. Эти сведения используются для создания автоматического классификатора, который способен различать агрессивное и нормальное поведение. 2.2. Криминалистические особенности расследования компьютерных преступлений Главная проблема при расследовании преступлений в банковских компьютерных системах заключается в установлении самого факта совершения преступления. Особенность состоит в том, что для того, чтобы утверждать, что было совершено преступление с использованием компьютера, необходимо доказать: -факт, что компьютерная информация, к которой произведен несанкционированный доступ, охраняется законами Российской Федерации; -факт, что злоумышленником были осуществлены определенные неправомерные действия; -факт, что самими несанкционированными действиями нарушены права собственника информации; -факт несанкционированного доступа к средствам компьютерной техники либо попытка получения такого доступа; -факт использования злоумышленником полученных в результате неправомерных действий денежных средств в своих целях. Например, необходимо доказать, что доступ был не санкционированным с целью совершения преступления. Тогда установлению и доказыванию подлежит: -факт, что действительно были совершены несанкционированные манипуляции, например, с программным обеспечением; что, эти манипуляции были недозволенными; лицо, совершавшее их, знало об этом и осуществляло их с целью преступного умысла. Комплекс следственных действий обязательных для первоначального этапа расследования должен включать: 1. Проведение обыска в служебном помещении, на рабочем месте подозреваемого с целью обнаружения и изъятия физических носителей машинной информации и других документов, имеющих или возможно имеющих отношение к несанкционированному отношению программного обеспечения или носящих иные следы подготовки к хищению денежных средств. 2. Исследование: журналов сбойных ситуаций, рабочего времени ЭВМ, по передачи смен операторами; средств защиты и контроля банковских компьютерных систем, регистрирующих пользователей, моменты включения (активации) системы либо подключение к ним абонентов с определенным индексом или без такового; протоколов вечернего решения, представляющих собой копию действий операторов, отображенную на бумажном носителе в ходе вечерней обработки информации, которая проводится по истечении каждого операционного дня; контрольных чисел файлов; всего программного обеспечения ЭВМ; "прошитых" микросхем постоянно запоминающих устройств, микропроцессоров и их схемного исследования. 3. Получение и анализ технических указаний по обработке ежедневной бухгалтерской информации с перечнем выходящих форм. 4. Допрос лиц из числа инженеров - программистов, занимавшихся разработкой программного обеспечения и его сопровождением, специалистов отвечающих за защиту информации и специалистов электронщиков, занимающихся эксплуатацией и ремонтов вычислительной техники. 5. Назначение комплексной судебно-бухгалтерской и программно-технической экспертизы с привлечением специалистов правоохранительных органов, специалистов в области средств компьютерной техники, по ведению банковского учета с использованием средств компьютерной техники, документообороту, организации бухучета и отчетности, специалистов по обеспечению безопасности информации в компьютерных системах. В ходе судебно-бухгалтерской экспертизы устанавливаются нарушения требований положений о документообороте, их причины (с целью совершения преступления, злоупотребления или ошибки) и ответственные лица за эти нарушения. Результаты программно-технической экспертизы, как заключение экспертов, играют роль доказательств в процессе суда. С помощью таких экспертиз могут решаться следующие задачи: 1. Воспроизведение информации, содержащейся на физических носителях. 2. Восстановление информации, ранее содержавшейся на физических носителях и в последствии стертой или измененной по различным причинам. 3. Установление времени ввода, изменение, уничтожение либо копирование той или иной информации. 4. Расшифровка закодированной информации, подбор паролей и раскрытие систем защиты. 5. Установление авторства, места, средства, подготовки и способа изготовления документов (файлов, программ). 6. Выяснения возможных каналов утечки информации из компьютерной сети и помещений. 7. Выяснение технического состояния, исправности программно-аппаратных комплексов, возможности их адаптации под конкретного пользователя. 8. Установления уровня профессиональной подготовки отдельных лиц, проходящих по делу в области программирования и в качестве пользователя. |