Чубукова С.Г., Элькин В.Д. Основы правовой информатики (юридические и математические вопросы информатики)
Подождите немного. Документ загружается.
9. Информационная безопасность
226
программу выполнять незапланированные ранее функции (на-
пример, стирать регистрационную информацию, которая должна
храниться, и т.п.).
В специальной литерату
ре выделяются и такие вредоносные
программы, как сетевые шпионы и сетевые черви. У сетевого
шпиона основная задача — перехват определенной информации в
сети и передача ее на нужный сервер, а оттуда — на определен-
ную рабочую станцию. У сетевого червя несколько иная зада-
ча — получение возможности управлять удаленным компьюте-
ром, подключенным к сети. Существует мнение, что сетевой
червь представляет собой паразитный процесс, который потреб-
ляет (истощает) ресурсы системы. Червь может также приводить
к разрушению программного обеспечения.
К специфическим видам информационного ору
жия, которые
воздействуют одновременно на информацию, программное обес-
печение и на микроэлектронику, являются генераторы электро-
магнитных импульсов, иногда именуемые также трансформа-
торными бомбами. Такие устройства устанавливаются поблизо-
сти от вычислительных центров, помещений, где установлены
ceрверы, и генерируют импульсы большой мощности, которые
создают паразитные наводки в соединительных цепях ЭВМ, раз-
рушающие информацию и программное обеспечение, а в ряде
случае микросхемы.
К специфическим способам ведения информационной войны
также относятся:
• радиоэлектронная борьба (электронное подавление), ко-
торая
заключается в создании помех средствам связи про-
тивника и его радиолокационным средствам;
• хакерская в
ойна, суть которой сводится к организации
атак на вычислительные системы и сети, осуществляемых
специально обученными лицами — хакерами (компью-
терными взломщиками), которые в состоянии проникнуть
через системы защиты компьютерной информации с це-
лью добычи нужных сведений либо выведения из строя
программного обеспечения;
• кибернетическая в
ойна, суть которой заключается не в
ведении реальных боевых действий, наносящих ущерб
противнику, а в создании моделей, имитирующих такие
9. Информационная безопасность
227
действия. Близкое к реальной действительности киберне-
тическое моделирование боевой обстановки позволяет не
только сэкономить средства на обучение и тренировки
личного состава вооруженных сил, но и опробовать но-
вые тактические приемы, не подвергая опасности солдат.
До появления возможности моделировать боевую обста-
новку в компьютерной среде (кибернетической среде)
такие учебные тренировки именовались штабными игра-
ми и широко использовались в практической деятельно-
сти армий и флотов всех крупных государств. Существу-
ет также мнение, что кибернетическая война реализуется
в виде информационного терроризма, проявляющегося
как разрозненные случаи насилия в отношении специ-
ально выбранных целей; смысловых атак, направленных
на изменение алгоритмов работы информационных сис-
тем, и т.п.
Анализируя вышеизложенное, мы можем сделать вывод о
том, что у
сложнение процессов информационного общения меж-
ду людьми, автоматизация управления промышленными объек-
тами, транспортом и энергетикой породили новые возможности
целенаправленного негативного воздействия, которые могут осу-
ществлять как недружественные государства, так и отдельные
группировки преступной направленности либо отдельные лица.
Реализацию такой возможности принято именовать информаци-
онным терроризмом. Один квалифицированный хакер способен
нанести ущерб, сопоставимый с боевой операцией, проведенной
войсковым соединением. При этом территориальное расположе-
ние государств, создающее естественные препятствия для прове-
дения традиционных операций, не является преимуществом при
информационных атаках. Для разработки информационного ору-
жия не требуется построение заводов, его создание как государ-
ствами, так и частными лицами невозможно пока поставить под
эффективный контроль.
Следовательно, необходимо сформировать таку
ю организаци-
онно-правовую систему, которая смогла бы координировать раз-
витие информационной инфраструктуры нашей страны в целях
предотвращения либо максимальной локализации последствий
информационной войны или отдельных эпизодов применения
9. Информационная безопасность
228
информационного оружия. И делать это необходимо безотлага-
тельно.
Защита информации вызывает необходимость системного под-
хода, т.е. здесь нельзя ограничиваться отдель
ными мероприятиями.
Системный подход к защите информации требует, чтобы средства и
действия, используемые для обеспечения информационной безо-
пасности — организационные, физические и программно-техни-
ческие — рассматривались как единый комплекс взаимосвязанных
взаимодополняющих и взаимодействующих мер. Один из основных
принципов системного подхода к защите информации — принцип
«разумной достаточности», суть которого: стопроцентной защиты
не существует ни при каких обстоятельствах, поэтому стремиться
стоит не к теоретически максимально достижимому уровню защи-
ты, а к минимально необходимому в данных конкретных условиях
и при данном уровне возможной угрозы.
Несанкционированный доступ —
чтение, обновление или раз-
рушение информации при отсутствии на это соответствующих
полномочий.
Проблема несанкционированного досту
па к информации обо-
стрилась и приобрела особую значимость в связи с развитием
компьютерных сетей, прежде всего глобальной сети Интернет.
Для ус
пешной защиты своей информации пользователь дол-
жен иметь абсолютно ясное представление о возможных путях
несанкционированного доступа. Перечислим основные типовые
пути несанкционированного получения информации:
хищение носителей информации и производственных отходов;
копирование носителей информации с
преодолением мер за-
щиты;
маскировка под зарегистрированного пользователя;
мистификация (маскировка под запросы системы);
использование недостатков операционных систем и
языков
программирования;
использование программных закладок и
программных блоков
типа «троянский конь»;
перехват электронных излу
чений;
перехват аку
стических излучений;
дистанционное фотографирование;
применение подслу
шивающих устройств;
9. Информационная безопасность
229
злоумышленный вывод из строя механизмов защиты и т.д.
Для защиты информации от несанкциониров
анного доступа
применяются: организационные мероприятия, технические сред-
ства, программные средства, криптография.
Организационные мероприятия включают в себя:
пропускной реж
им;
хранение носителей и
устройств в сейфе (дискеты, монитор,
клавиатура и т.д.);
ограничение досту
па лиц в компьютерные помещения и т.д.
Технические средства включают в себя различные аппаратные
способы защиты информации:
фильтры,
экраны на аппаратуру;
ключ для блокировки клавиату
ры;
устройства ау
тентификации — для чтения отпечатков паль-
цев, формы руки, радужной оболочки глаза, скорости и приемов
печати и т.д.;
электронные ключи на микросхемах и
т.д.
Программные средства защиты информации создаются в ре-
зу
льтате разработки специального программного обеспечения, ко-
торое бы не позволяло постороннему человеку, не знакомому с
этим видом защиты, получать информацию из системы.
Программные средства включают в себя:
парольный досту
п-задание полномочий пользователя;
блокировка экрана и
клавиатуры, например с помощью ком-
бинации клавиш в утилите Diskreet из пакета Norton Utilites;
использование средств пароль
ной защиты BIOS на сам BIOS и
на ПК в целом и т.д.
Под криптографическим способом защиты информации под-
разу
мевается ее шифрование при вводе в компьютерную систему.
На практике обычно использу
ются комбинированные способы
защиты информации от несанкционированного доступа.
Среди механизмов безопасности сетей обычно выделяют сле-
ду
ющие основные:
шифрование;
контроль досту
па;
цифровая подпись.
Шифрование применяется для реализации слу
жб засекречива-
ния и используется в ряде других служб.
9. Информационная безопасность
230
Механизмы контроля доступа обеспечивают реализацию од-
ноименной службы безопасности, осуществляют проверку пол-
номочий объектов сети, т.е. программ и пользователей, на доступ
к ресурсам сети. При доступе к ресурсу через соединение кон-
троль выполняется в точке инициализации связи, в промежуточ-
ных точках, а также в конечной точке.
Механизмы контроля
доступа делятся на две основные груп-
пы:
аутентификация объектов, требу
ющих ресурса, с последую-
щей проверкой допустимости доступа, для которой используется
специальная информационная база контроля доступа;
использование меток безопасности, наличие у объекта соот-
ветству
ющего мандата дает право на доступ к ресурсу.
Самым распространенным и
одновременно самым ненадеж-
ным методом аутентификации является парольный доступ. Более
совершенными являются пластиковые карточки и электронные
жетоны. Наиболее надежными считаются методы аутентифика-
ции по особым параметрам личности, так называемые биомет-
рические методы.
Цифровая подпись по своей су
ти призвана служить электрон-
ным аналогом ручной подписи, используемой на бумажных до-
кументах.
Дополнительными механизмами безопасности являются сле-
ду
ющие:
обеспечение целостности данных;
аутентификация;
подстановка графика;
управление маршру
тизацией;
арбитраж.
Механизмы обеспечения целостности данных
применимы как
к отдельному блоку данных, так и к потоку данных. Целостность
блока обеспечивается выполнением взаимосвязанных процедур
шифрования и дешифрования отправителем и получателем. Воз-
можны и более простые методы контроля целостности потока
данных, например нумерация блоков, дополнение их меткой име-
ни и т.д.
В механизме обеспечения аутентификации различают по-
стороннюю и взаимну
ю аутентификацию. В первом случае один
9. Информационная безопасность
231
из взаимодействующих объектов одного уровня проверяет под-
линность другого, тогда как во втором — проверка является вза-
имной. На практике часто механизмы аутентификации, как пра-
вило, совмещаются с контролем доступа, шифрованием, цифро-
вой подписью и арбитражем.
Механизмы подстанов
ки трафика основываются на генера-
ции объектами сети фиктивных блоков, их шифровании и орга-
низации их передачи по каналам сети.
Механизмы управ
ления маршрутизацией обеспечивают выбор
маршрутов движения информации по сети.
Механизмы арбитража обеспечивают подтверждение харак-
теристик данных, передаваемых между объектами сети, третьей
стороной. Для этого вся информация, отправляемая или полу
чае-
мая объектами, проходит и через арбитра, что позволяет ему впо-
следствии подтвердить упомянутые характеристики.
В общем слу
чае для реализации одной службы безопасности
может использоваться комбинация нескольких механизмов безо-
пасности.
Контрольные вопросы.
1. Раскройте содержание понятия «информационная безопас-
ность».
2. С
формулируйте жизненно важные интересы личности, об-
щества и государства в информационной сфере.
3. Каковы основные задачи в области обеспечения информа
-
ционной безопасности?
4. Как соотносятся понятия «безопасность информации» и
«защита информации»?
5. Что такое информационное ору
жие?
6. Какие су
ществуют виды информационного оружия?
7. Каковы, согласно Федеральному закону «Об информации,
информационных технологиях и
защите информации», основные
цели защиты информации?
8. В чем заключается системный подход к защите
информации?
Рекомендуемая литература
1. Емельянов Г.В., Стрельцов А.А. Информационная безопас-
ность России. Учебное пособие / Под ред. А.А. Прохожева. М.:
Всероссийский научно-технический информационный центр. 2000.
9. Информационная безопасность
232
2. Лопатин В.Н. Информационная безопасность России: Че-
ловек. Общество. Государство. СПб.: Фонд «университет», 2000.
С. 74.
3. Расторгуев С.П. Информационная война
как целенаправ-
ленное информационное воздействие информационных систем /
Информационное общество. М., 1997. № 1.
4. Фатьянов А.А. Правовое обеспечение безопасности ин
-
формации в Российской Федерации. М.: Издательская группа
«Юрист», 2001.
5. Д
омарев В.В. Энциклопедия безопасности информацион-
ных технологий. Методология создания систем защиты информа-
ции. — Киев: ООО «ТИД «ДС», 2001.
6. М
есарович М. Основания общей теории систем. Сб. статей.
М.: МИР, 1966.
7. Королев
В.И., Морозова Е.В. Методы оценки качества за-
щиты информации при ее автоматизированной обработке // Безо-
пасность информационных технологий. 1995. № 2.
8. Средства вычислительной техники. Защита от несанкцио-
нированного досту
па к информации. Показатели защищенности
от несанкционированного доступа к информации. — Руководя-
щий документ Гостехкомиссии РФ.
9. Берестнева О.Г
., Марухина О.В. Компьютерная система
принятия решений по результатам экспертного оценивания в за-
дачах оценки качества образования. Educational Technology &
Society, 2002, 5(3).
10. Налимов В.В., Чернов
а Н.А. Статистические методы пла-
нирования экстремальных экспериментов. М.: Наука, 1965.
11. Элькин
В.Д. Структура информационной системы издатель-
ского комплекса // Сб. Труды ВНИИПП. Т. 18. Вып. 2. М., 1967.
12. Элькин
В.Д., Кудинов А.Т. К вопросу об оценке уровня ин-
формационной безопасности // Российское право в Интернете.
2006. № 4.
13. Элькин
В.Д., Вешняков В.В. О проблеме технологической
цензуры в средствах массовой информации // Российское право
в Интернете. 2006. № 4.
10. Электронный документооборот
10.1. Понятие электронного документооборота
Электронный обмен данными — это реальность, с которой се-
годня сталкивается практически каждый. Информационные сис-
темы, компьютерные сети, электронная почта — вот далеко не
полный перечень тех средств, с помощью которых происходит
обмен данными в электронном виде.
В последнее десятилетие появились
и получили распростра-
нение новые инструментальные средства эффективного обеспе-
чения управленческих процессов. В том числе речь идет о про-
граммном обеспечении, предназначенном для обработки управ-
ленческих документов. Здесь, прежде всего, следует упомянуть
программное обеспечение классов «системы управления доку-
ментами» и «системы управления деловыми процессами»
1
.
Такие системы представляют собой программные комплексы,
применимые для решения ряда задач, в том
числе и для построения
корпоративных систем электронного документооборота. В рам-
ках автоматизации процесса обработки документа в организации
с момента его создания или получения до момента отправки кор-
респонденту или завершения исполнения и списания в дело долж-
но быть обеспечено решение следующих функций:
регистрация входящих в организацию доку
ментов, исходящих
из организации документов и внутренних документов;
учет резолюций, выданных по доку
ментам руководством ор-
ганизации, и постановка документов на контроль;
централизованный контроль исполнения доку
ментов;
списание доку
ментов в дело;
ведение информационно-
справочной работы;
формирование делопроизводственных отчетов по организации
в целом.
Использование системы электронного доку
ментооборота позво-
ляет организовать передачу данных о ходе исполнения документов
в электронном виде, что качественно меняет организацию контроля
исполнения документов. Карточки зарегистрированных централи-
зованно документов с резолюциями руководства рассылаются в
1
См., например, http: // www.schwartz.boom.ru / edm.html.
10. Электронный документооборот
234
электронном виде сотрудникам соответствующих подразделений.
Они дополняют их резолюциями по исполнению документов,
выдаваемыми руководителями структурных подразделений. По
мере появления данных о ходе исполнения документов эти дан-
ные вносятся в систему. При этом система автоматически отсле-
живает наступление даты предварительного уведомления о при-
ближении срока исполнения и наступление самого этого срока.
Заинтересованные пользователи системы информируются о на-
званных сроках.
Также значительно видоизменяется процесс согласования
проектов доку
ментов, в рамках которого сотрудники, участвующие
в процессе согласования, получают возможность обмениваться
электронными версиями согласуемых проектов. Такая технология
позволяет сократить время, затрачиваемое на передачу проектов в
бумажном виде.
Система электронного доку
ментооборота обязательно вклю-
чает текущий электронный архив, который решает проблемы
оперативного доступа к информации и наличия возможности
одновременного использования документа несколькими сотруд-
никами. Такая форма организации хранения значительно снижает
вероятность потери информации и повышает оперативность ра-
боты за счет сокращения времени поиска нужного документа.
Хранение текстов документов в электронном виде позволяет реа-
лизовывать полнотекстовый поиск, что открывает принципиально
новые возможности при ведении информационно-справочной
работы, например, позволяет делать тематические подборки до-
кументов по их содержанию. Использование электронного архива
избавляет от необходимости создавать фонд пользования архив-
ных документов, так как по запросу в любой момент может быть
выдана электронная копия документа.
С юридической точки зрения понятие электронного доку
мен-
тооборота отличается от понятия электронного обмена данными.
В основе первого лежит легитимность (процессуальная допусти-
мость и доказательственная сила) электронных документов. По-
этому наряду с совершенствованием информационных технологий
важную роль в процессе создания инфраструктуры электронного
документооборота должна сыграть его законодательная поддерж-
ка, суть которой состоит в придании данным, создаваемым и
10. Электронный документооборот
235
передаваемым электронным способом, юридического статуса доку-
мента
1
.
Основной фу
нкцией традиционного документа является удо-
стоверение некоторой информации. При составлении и использо-
вании документа присутствуют два аспекта: во-первых, некото-
рая информация, а во-вторых, сам документ как материальная
вещь, которую можно предъявить или передать. Наличие этой
материальной вещи позволяет подтвердить истинность информа-
ции, содержащейся в документе. Возможно, для подтверждения
истинности необходимо проделать некую процедуру — экспер-
тизу по проверке подлинности документа.
Саму информацию, содержащу
юся в документе, тоже можно
разделить на две части. Первая часть — непосредственно содер-
жание, вторая — вспомогательная информация, которая дает воз-
можность установить его аутентичность (подлинность). К ней от-
носятся реквизиты типа исходящего номера, подписей и печатей.
В состав информации, как содержательной, так и
о носителе,
могут входить и данные о времени, условиях и месте составления
документа.
Необходимо также отметить
, что в случае бумажного доку-
мента оригинал существует в ограниченном, известном заранее
количестве экземпляров. Например, может быть указано, что
договор совершен в трех экземплярах, имеющих равную силу.
Любой дополнительный экземпляр явится копией, что в принци-
пе может быть проверено путем проведения соответствующей
экспертизы.
В ряде слу
чаев существенно наличие именно оригинала доку-
мента. Например, продажа акции, выпущенной в документарной
форме, вовсе не равносильна продаже копии ее сертификата, да-
же заверенной нотариально.
Таким образом,
документ выполняет следующие функции:
фиксация некоторой
(содержательной) информации;
фиксация лица
, подписавшего документ;
фиксация ус
ловий составления документа;
доказательство в су
дебном разбирательстве;
функция оригинала,
обеспечиваемая его уникальностью.
1
Марченко А. Электронный документ // http: // www.libertarium.ru /
libertarium / eldoc_mar.