Введение Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры
Скачать 422.5 Kb.
|
3 Введение Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Формулу успеха любой деятельности в наше время можно сформулировать: кто владеет достоверной и полной информацией – тот владеет ситуацией, а кто владеет ситуацией – тот способен управлять ею в своих интересах, а кто способен управлять – тот способен побеждать. В современном мире нельзя недооценивать вопросы защиты информации. Основные составляющие информационной безопасности любого предприятия или организации: конфиденциальность, целостность, доступность информации. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение, программное обеспечение и обеспечение связи (коммуникации). Разработка механизмов защиты информации любой информационной системы начинается еще на этапе проектирования данной системы. Эти механизмы разделяются на защиту физического уровня, защиту персонала и организационный уровень. К защищаемой относится информация, которая является предметом собственности и должна защищаться в соответствии с требованиями правовых документов или требованиями, которые устанавливаются собственником. К информации, требующей защиты, можно отнести конфиденциальную, управленческую, научно-техническую, экономическую и прочую информацию, которая представляет ценность для собственника (предприятия). Утечка такой информации может нанести ущерб ее владельцам в виде экономических убытков, потери имиджа организации и других серьезных упущений. Поэтому необходимо знать и оценивать основные угрозы безопасности информации, уметь оценивать возможные риски. В эпоху цифровизации особенно актуальна защита информации для промышленных объектов – она является необходимой составляющей обеспечения безопасности. Несанкционированный доступ к управлению технологическими процессами может повлечь за собой серьёзные последствия. Проблема защиты информации в АСУТП резко обострилась после проведения ряда успешных вирусных атак с использованием вирусного кода программы Stuxnet (2010 г.), когда на иранском заводе по обогащению урана в городе Натанз были разрушены 1000 центрифуг. Позже были обнаружены следующие вредоносные программы: Duqu (2011 г.), Wiper (2012 г.), Flame (2012 г.), Gauss (2012 г.) и MiniFlame (2012 г.). Атака в Иране не единственная, был ряд других, они не приводили к физическим последствиям, но так или иначе дестабилизировали работу различных систем. Один из инцидентов произошёл на Игналинской АЭС, в США были случаи, связанные со сбоями в информационных технологиях, в 2014 г. в результате хакерской атаки произошла утечка чертежей и инструкций по обслуживанию нескольких атомных реакторов энергетической компании Korea Hydro and Nuclear Power, в 2016 г. вредоносное ПО вовремя удалось обнаружить на атомных объектах в Германии, Южной Корее. 4 Вирусные атаки показали низкую защищенность АСУТП и неготовность противостояния подобным атакам. Сейчас на отечественных промышленных объектах ведется политика импортозамещения, так как существует риск наличия закладок в оборудовании, комплектующих и программных средствах, поставляемых иностранными производителями. Иностранные производители осуществляют сервисное (гарантийное) обслуживание с выездом на объект, но при этом не предоставляютроссийским специалистам доступ к своему оборудованию и ПО. Соответственно возникает возможность внедрения закладок в АСУТП иностранного производства. Информационная безопасность промышленных объектов – важное направление, которое развивалось по мере распространения интернета и цифровых технологий на промышленных предприятиях. При этом необходимо понимать, что в промышленности сложно использовать традиционные средства защиты, так как системы имеют другое назначение, свои особенности с точки зрения устойчивости, надёжности, работоспособности. Нельзя просто взять и установить антивирус на программируемые контроллеры или на другие рабочие системы. Необходимо создавать специализированное ПО, которое при этом не наносит вреда оборудованию. Известны случаи, когда антивирусное ПО для корпоративного сегмента может негативно влиять на работоспособность промышленных объектов, излишне потреблять ресурсы, вносить сбои в рабочие процессы и даже останавливать их. Для технологических сегментов такое недопустимо. Поэтому необходимо разрабатывать специализированное ПО, которое затем тщательно тестируется на способность эффективно работать в различных ситуациях и при этом не наносить вреда. Кроме того, в технологическом сегменте больше внимания уделяется пассивным методам детектирования атак, аномалий в технологических системах, сетях, анализу сетевого трафика, направленного не на прерывание подозрительных пакетов, а на уведомление ответственных служб, которые компетентны в принятии решений. Промышленная информационная безопасность также включает не только защиту от проникновения, но и предотвращение утечки критичных данных о процессах и системах, охрану внешнего сетевого периметра организации. Существует несколько десятков операционных систем для контроллеров. Есть широко распространённые, такие как VxWorks, QNX и др. Антивирусные решения, как правило, не используются внутри операционных систем реального времени. Антивирус требует дополнительных ресурсов. В то же время, если операционная система разработана с учётом анализа киберугроз, она может надёжно работать и без антивируса. Практикум предназначен для бакалавров, обучающихся по направлению 27.03.04 «Управление в технических системах». Практикум содержит необходимые теоретические сведения и задания для проведения практических работ, необходимые для успешного освоения дисциплины «Защита информации в системах управления и автоматики». 5 1. Основы информационной безопасности 1.1. Основные понятия информационной безопасности Информационная безопасность является одной из проблем, с которой столкнулось современное общество в процессе массового использования автоматизированных средств обработки информации. Проблема информационной безопасности обусловлена возрастающей ролью информации в общественной жизни. Современное общество все более приобретает черты информационного общества. Решение проблем информационной безопасности должно начинаться с выявления субъектов информационных отношений и интересов этих субъектов, которые связаны с использованием информационных систем. Проблемы, связанные с информационной безопасностью, для разных категорий субъектов существенно различаются. Например, проблемы с информационной безопасностью режимного государственного объекта и вуза. В первом случае – это «пусть лучше все сломается, чем враг узнает хоть один секрет», во втором – «да нет у нас никаких секретов, лишь бы все работало». В различных контекстах с понятием «информационная безопасность» связаны различные определения. Например, в Законе РФ «Об участии в международном информационном обмене» информационная безопасность определяется как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. В Доктрине информационной безопасности Российской Федерации указывается, что информационная безопасность характеризует состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства. Оба эти определения рассматривают информационную безопасность в национальных масштабах и поэтому имеют очень широкое понятие. Рассматривая информацию как субъект управления (технология производства, расписание движения транспорта и т. д.), можно утверждать, что изменение ее может привести к катастрофическим последствиям в объекте управления – производстве, транспорте и др. Поэтому при определении понятия «информационная безопасность» на первое место ставится защита информации от различных воздействий. Под защитой информации понимается комплекс мероприятий, направленных на обеспечение информационной безопасности. Согласно ГОСТ Р 50922-2006 защита информации – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Иногда в литературе понятие «информационная безопасность» подменяется термином «компьютерная безопасность». В этом случае информационная безопасность рассматривается очень узко, поскольку 6 компьютеры – только одна из составляющих информационных систем. В рамках данного практикума основное внимание будем уделять изучению вопросов, связанных с обеспечением режима информационной безопасности применительно к автоматизированным системам управления, в которых информация получается, хранится, обрабатывается и передается с помощью компьютеров. Согласно определению, компьютерная безопасность зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести физические системы защиты, системы электроснабжения, жизнеобеспечения, вентиляции, средства коммуникаций, а также обслуживающий персонал. Информационная безопасность – многогранная область деятельности, в которой успех может принести только систематический, комплексный подход. Обеспечение информационной безопасности в большинстве случаев связано с комплексным решением трех задач: обеспечением доступности информации; обеспечением целостности информации; обеспечением конфиденциальности информации. Именно доступность, целостность и конфиденциальность являются равнозначными составляющими информационной безопасности. Информационные системы создаются для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, то это наносит ущерб всем пользователям. Роль доступности информации особенно проявляется в разного рода системах управления – производством, транспортом и т. п. Менее серьезные, но также весьма неприятные последствия (и материальные, и моральные) может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей. Например, продажа железнодорожных и авиабилетов, банковские услуги, доступ в Интернет и т. п. Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время. Фактор времени в определении доступности информации в ряде случаев является очень важным, поскольку некоторые виды информации н информационных услуг имеют смысл только в определенный промежуток времени. Например, получение заранее заказанного билета на самолет после его вылета теряет всякий смысл. Точно так же получение прогноза погоды на вчерашний день не имеет никакого смысла, поскольку это событие уже наступило. В этом контексте весьма уместной является поговорка: «Дорога ложка к обеду». Целостность информации условно подразделяется на статическую и динамическую. Статическая целостность информации предполагает неизменность информационных объектов от их исходною состояния, которая определяется автором. Динамическая целостность информации включает вопросы корректного выполнения сложных действий с 7 информационными потоками: контроль правильности передачи сообщений, подтверждение отдельных сообщений и др. Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, такими как: технические, социальные и т. д. Так, ошибка в управляющей программе приведет к остановке управляемой системы, неправильная трактовка закона может привести к его нарушениям, точно так же неточный перевод инструкции по применению лекарственного препарата может нанести вред здоровью. Все эти примеры иллюстрируют нарушение целостности информации, что может привести к катастрофическим последствиям. Именно поэтому целостность информации выделяется в качестве одной из базовых составляющих информационной безопасности. Целостность – гарантия того, что информация сейчас существует в ее исходном виде, т.е. при ее хранении или передаче не было произведено несанкционированных изменений. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. Конфиденциальность информации есть практически во всех организациях. Это может быть технология производства, программный продукт, анкетные данные сотрудников и др. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе. Конфиденциальность – гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена. Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности приводит к фальсификации информации, нарушение конфиденциальности приводит к раскрытию информации. Все методы защиты информации по характеру проводимых действий можно разделить на: законодательные (правовые); организационные; технические; комплексные. Для обеспечения защиты объектов информационной безопасности должны быть соответствующие правовые акты, устанавливающие порядок защиты и ответственность за его нарушение. Законы должны давать ответы на следующие вопросы: что такое информация, кому она принадлежит, как может с ней поступать собственник, что является посягательством на его права, как он имеет право защищаться, какую ответственность несет нарушитель прав собственника информации. Установленные в законах нормы реализуются через комплекс организационных мер, проводимых прежде всего государством, ответственным за выполнение законов, и собственниками информации. К таким мерам 8 относятся издание подзаконных актов, регулирующих конкретные вопросы по защите информации (положения, инструкции, стандарты и т.д.), и государственное регулирование сферы через систему лицензирования, сертификации, аттестации. Поскольку в настоящее время основное количество информации генерируется, обрабатывается, передается и хранится с помощью технических средств, то для конкретной ее защиты в информационных объектах необходимы технические устройства. В силу многообразия технических средств нападения приходится использовать обширный арсенал технических средств защиты. Наибольший положительный эффект достигается в том случае, когда все перечисленные способы применяются совместно, т.е. комплексно. 1.2. Организация работ по обеспечению информационной безопасности в системах управления и автоматики Существуют определенные требования к персоналу, работающему с АСУТП. К работе допускаются лица: обладающие знаниями и навыками работы в области компьютеризированных систем; прошедшие обучение по её аппаратному и программному обеспечению; изучившие эксплуатационную и проектную документацию; прошедшие обучение по вопросам обеспечения информационной безопасности. Для АСУТП должны быть определены и применяться основные меры защиты в соответствии с установленной категорией значимости и структурно- функциональными характеристиками системы, обеспечивающие блокирование актуальных угроз ИБ. Эти меры защиты должны поддерживаться в актуальном состоянии. Доступ к оборудованию и ПО АСУТП должен быть ограничен: техническими средствами (наличием замков на шкафах оборудования, ограничением прохода персонала в помещения размещения АСУТП путём установки на дверях механических или электронных кодовых замков); организационными мероприятиями (оформление работ нарядом- допуском или распоряжением, допуск к работам с проведением целевого инструктажа, надзор во время работы со стороны ответственных за безопасное проведение работ и ответственного за исправное состояние оборудование, системой паролей/допусков). В процессе эксплуатации АСУТП оперативным персоналом должен проводиться контроль технического состояния АСУТП согласно инструкциям по эксплуатации. При проведении контроля исправности необходимо учитывать результаты, выдаваемые средствами автоматического контроля работоспособности. Эксплуатационный контроль состояния программного 9 обеспечения регламентируется соответствующими инструкциями разработчика ПО АСУТП. При проведении профилактического эксплуатационного контроля запрещается производить какие-либо действия, связанные с изменением программного и аппаратного обеспечения. Техническое обслуживание АСУТП и регламентные работы с ПО АСУТП должны проводиться в плановом порядке в соответствии с правилами организации технического обслуживания и ремонта систем и оборудования. Изменение конфигурации аппаратно-программных средств АСУТП может выполняться только в соответствии с процедурами, разработанными и внесёнными в инструкции по эксплуатации систем, и только лицами, ответственными за исправное состояние оборудования. При возникновении нарушений в работе АСУТП или ситуаций, имеющих признаки инцидента информационной безопасности, персоналу необходимо действовать в соответствии с инструкцией по информационной безопасности предприятия. 1.3. Системный подход к защите информации Система защиты информации представляет организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз. С позиций системного подхода к защите информации предъявляются определенные требования: обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле её состояния, выявлений её узких и слабых мест и противоправных действий; безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах экономической системы и на всех этапах технологического цикла обработки информации; защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить предприятию определенный ущерб; методы и средства защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам; эффективность защиты информации означает, что затраты на её осуществление не должны быть больше возможных потерь от реализации информационных угроз; четкость определения полномочий и прав пользователей на доступ к определенным видам информации; предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы; учет случаев и попыток несанкционированного доступа к 10 конфиденциальной информации; обеспечение степени конфиденциальности информации; обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. 11 2. Законодательство в области информационной безопасности 2.1. Нормативно-правовые документы в области информационной безопасности в РФ Законодательная база в сфере информационной безопасности состоит из Федеральных законов, Указов Президента РФ, постановлений Правительства РФ, межведомственных руководящих документов и стандартов. На рис. 1 представлены основные нормативно-правовые документы в области информационной безопасности в РФ. Рис. 1. Нормативно-правовые документы в области информационной безопасности в РФ Основным законом Российской Федерации является Конституция РФ, принятая 12 декабря 1993 г. В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Статья 41 Конституции гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей; статья 42 – право на знание достоверной информации о состоянии окружающей среды. Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; статья 29 – право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение 12 конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации. В Гражданском кодексе Российской Федерации фигурируют такие понятия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Весьма продвинутым в плане информационной безопасности является Уголовный кодекс Российской Федерации. Глава 28 «Преступления в сфере компьютерной информации» содержит три статьи: статья 272. Неправомерный доступ к компьютерной информации; статья 273. Создание, использование и распространение вредоносных компьютерных программ; статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно- телекоммуникационных сетей. Первая имеет дело с посягательствами на конфиденциальность, вторая – с вредоносным ПО, третья – с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом компьютерной информации. Включение в сферу действия УК РФ вопросов доступности информационных сервисов является очень актуальным. Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ. Интересы государства в плане обеспечения конфиденциальности информации наиболее полно выражены в законе «О государственной тайне». В нем гостайна определена как защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средствам защиты информации – это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Основополагающим среди российских законов, посвященных вопросам информационной безопасности, является закон «Об информации, информационных технологиях и о защите информации»от 27 июля 2006 г. номер 149-ФЗ (принят Государственной Думой 8 июля 2006 г.). В нем даются основные определения, намечаются направления, в которых должно 13 развиваться законодательство в данной области, регулируются отношения, возникающие при: осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации. Статья 16целиком посвящена вопросам защиты информации. В этой статье Закона фигурируют все три основных аспекта информационной безопасности: доступность, целостность и конфиденциальность. Кроме того, обязательным является отслеживание нарушений безопасности и постоянный контроль за обеспечением уровня защищенности информации. Президент подписал очень важный закон «Об электронной подписи» номер 63-ФЗ (принят Государственной Думой 6 апреля 2011 г.). Принят Федеральный закон «О Персональных данных»от 27 июля 2006 г. номер 152-ФЗ (с изм. и доп. 01.03.2021 г.). В статье 2 сформулирована цель Федерального закона: обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Кроме того, хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Основными задачами системы защиты информации, нашедшими отражение в Законе «Об информации, информационных технологиях и о защите информации», являются: предотвращение утечки, хищения, утраты, модификации (подделки), несанкционированного уничтожения, искажения, несанкционированного копирования, блокирования информации и т. п., вмешательства в информацию и информационные системы; сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки данных, установленных собственником или уполномоченным им лицом; сохранение возможности управления процессом обработки, пользования информацией в соответствии с условиями, установленными собственником или владельцем информации; обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в банках данных; сохранение секретности или конфиденциальности информации в соответствии с правилами, установленными действующим законодательством и другими законодательными или нормативными актами; соблюдение прав авторов программно-информационной продукции, используемой в информационных системах. 14 Законом определено, что средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация сертификации средств защиты информации возлагается на Государственную техническую комиссию при Президенте РФ, Федеральную службу безопасности РФ и Министерство обороны РФ. 2.2. Ответственность за нарушения в сфере информационной безопасности Немаловажная роль в системе правового регулирования информационных отношений отводится ответственности субъектов за нарушения в сфере информационной безопасности. Основными документами в этом направлении являются: Уголовный кодекс Российской Федерации. Кодекс Российской Федерации об административных правонарушениях. В Уголовном кодексе Российской Федерации (принятом в 1996 г.), как наиболее сильнодействующем законодательном акте по предупреждению преступлений и привлечению преступников и нарушителей к уголовной ответственности, вопросам безопасности информации посвящены следующие главы и статьи: Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Статья 140. Отказ в предоставлении гражданину информации. Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей. Статья 283. Разглашение государственной тайны. Статья 284. Утрата документов, содержащих государственную тайну. Особое внимание уделяется компьютерным преступлениям, ответственность за которые предусмотрена в специальной 28 главе кодекса «Преступления в сфере компьютерной информации» в статьях 272, 273, 274. Статья 272. Неправомерный доступ к компьютерной информации. 1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, – наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы, или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок. 2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, – наказывается штрафом в размере от ста тысяч 15 до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок. 3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, – наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы, или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок. 4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, – наказываются лишением свободы на срок до семи лет. Примечания: под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи; крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей. Статья 273 УК РФ. Создание, использование и распространение вредоносных компьютерных программ. 1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, – наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы, или иного дохода осужденного за период до восемнадцати месяцев. 2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, – наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы, или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные 16 должности или заниматься определенной деятельностью на срок до трех лет или без такового. 3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, – наказываются лишением свободы на срок до семи лет. Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно- телекоммуникационных сетей. 1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно- телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, – наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы, или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок. 2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, – наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок. 2.3. Стандарты информационной безопасности К основным нормативно-правовым документам в области информационной безопасности в РФ, кроме актов федерального законодательства и методических документов государственных органов России, относятся стандарты информационной безопасности. Стандарт информационной безопасности – нормативный документ, определяющий порядок и правила взаимодействия субъектов информационных отношений, а также требования к инфраструктуре информационной системы, обеспечивающие необходимый уровень информационной безопасности. ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» является национальным стандартом РФ. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 15408-1:2009. Он вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. Поэтому этот стандарт часто называют «Общими критериями». В нем определены инструменты оценки безопасности информационных систем и порядок их использования. «Общие критерии» содержат два основных вида требований безопасности: 17 функциональные – соответствуют активному аспекту защиты, предъявляются к функциям безопасности и реализующим их механизмам; требования доверия – соответствуют пассивному аспекту, предъявляются к технологии и процессу разработки и эксплуатации. Угрозы безопасности в стандарте характеризуются параметрами: источник угрозы; метод воздействия; уязвимые места, которые могут быть использованы; ресурсы (активы), которые могут пострадать. Для структуризации пространства требований в «Общих критериях» введена иерархия класс – семейство – компонент – элемент: классы определяют наиболее общую, «предметную» группировку требований (например, функциональные требования подотчетности); семейства в пределах класса различаются по строгости и другим тонкостям требований; компонент – минимальный набор требований, фигурирующий как целое; элемент – неделимое требование. Практическая часть Задача 1 Используя ГОСТ Р ИСО/МЭК 27002-2012, решить ситуационную задачу. Вы – начальник отдела по вопросам информационной безопасности в некоторой некрупной организации (20-30 человек). Вам необходимо разработать комплекс мероприятий (от 10 до 20) по следующему направлению: привлечение сторонних организаций к обработке информации. Цель: обеспечение информационной безопасности при передаче ответственности за обработку информации другой организации. Изучить разделы ГОСТ Р ИСО/МЭК 27002-2012. Задача 2 Используя основные положения части 4, главы 70 Гражданского кодекса РФ, решить ситуационную задачу. Гражданин Смирнов А.В. создал инструментальное программное средство для работы с трехмерной компьютерной графикой под названием «Albert 3D» и зарегистрировал на него свои права. 15.09.2019 этот гражданин заключил договор с компанией «MosTechnology» и передал свои имущественные права на распространение своего программного продукта сроком на один год. После заключения договора компания «MosTechnology» распространила версию программы «Albert 3D» с предварительной модификацией данного программного продукта без ведома автора. Вопрос: Имеет ли место в данной ситуации нарушение авторского права гражданина Смирнова? Ответ: согласно статьи №…. 18 Задача 3 Используя статьи УК РФ, ответьте на вопросы после ознакомления с ситуацией. Ситуация: А.Н. Иванов, сотрудник одного из филиалов ИТ-банка, внедрил в компьютерную банковскую систему вирус, уничтожающий исполняемые файлы (расширение .exe). В результате внедрения этого вируса было уничтожено 40 % банковских программных приложений, что принесло банку материальный ущерб в размере 780000 рублей. Вопросы: Какая статья УК РФ была нарушена? Что послужило предметом преступления? Какие неправомерные информационные действия были совершены А.Н. Ивановым? Задача 4 Вы – начальник отдела по вопросам информационной безопасности в некоторой некрупной организации (20-30 человек). Вам необходимо разработать требования к хранению, использованию и утилизации информации для вашей организации. Цель: обеспечение информационной безопасности при хранении, обработке, передаче и уничтожении информации. Задача 5 Проработайте требования для специалистов по подбору кадров вашей организации с целью внесения пунктов об информационной безопасности в трудовой договор новых сотрудников. Цель: уведомление новых сотрудников о строгом выполнении требований по обеспечению информационной безопасности и ответственности за их нарушение. Контрольные вопросы 1. Перечислите основополагающие документы по информационной безопасности. 2. Понятие государственной тайны. 3. Основные задачи информационной безопасности в соответствии с Концепцией национальной безопасности РФ. 4. Дайте характеристику Федерального закона от 27 июля 2006 г. № 149- ФЗ «Об информации, информационных технологиях и о защите информации». 5. Какая ответственность в Уголовном кодексе РФ предусмотрена за создание, использование и распространение вредоносных компьютерных программ? 6. Назовите 5 – 6 из 11 существующих функциональных требований стандарта ГОСТ Р ИСО/МЭК 15408-1-2012. 7. Для чего служит профиль защиты, согласно стандарту ГОСТ Р ИСО/МЭК 15408-1-2012? 8. Что прописано в Доктрине информационной безопасности РФ? 19 9. Чем отличаются функциональные требования от требований доверия, согласно стандарту ГОСТ Р ИСО/МЭК 15408-1-2012? 10. Что предполагает информационное обеспечение любой компании в целом? |