Учебник

Учебник

Симметричные алгоритмы

Для шифрования и расшифровки используются одни и те же алгоритмы. Один и тот же секретный ключ используется для шифрования и расшифровки. Этот тип алгоритмов используется как симметричными, так и асимметричными криптосистемами.

DES (Data Encryption Standard)

Популярный алгоритм шифрования, используемый как стандарт шифрования данных правительством США. Шифруется блок из 64 бит, используется 64-битовый ключ (требуется только 56 бит), 16 проходов. Может работать в 4 режимах:

  •  Электронная кодовая книга (ЕСВ-Electronic Code Book)— обычный DBS, использует два различных алгоритма; 
  •  Цепочечный режим (CBC-Cipher Block Chaining), в котором шифрование шифрование блока данных зависит от результатов шифрования предыдущих блоков данных.
  •  Обратная связь по выводу (ОFB-Output Feedback),  используется как генератор случайных чисел.
  •  Обратная связь по шифратору (CFB-Cipher Feedback),  используется для получения кодов аутентификации сообщений.

З-DES или тройной DES

64-битный блочный шифратор, использует DES 3 раза с тремя различными 56-битными ключами. Достаточно стоек ко всем атакам. 

Каскадный 3-DES

Стандартный тройной DES, к которому добавлен механизм обратной связи, такой как С ВС, OFB или CFB. Очень стоек ко веем атакам. 

FEAL (быстрый алгоритм шифрования)

Блочный шифратор, используемый как альтернатива DES. Вскрыт, хотя после этого были предложены новые версии.

IDEA (международный алгоритм шифрования)

 64-битный блочный шифратор, 128-битовый-ключ, 8 проходов. Предложен недавно; хотя до сих пор не прошел полной Проверки, чтобы считаться надежным, считается более лучшим, чем DES.

Skipjack

Разработано АНБ в ходе проектов правительства США «Clipper» и «Capstone». До недавнего времени был секретным, но его стойкость не зависела только от того, что он был секретным. 64-битный блочный шифратор, 80-битовые ключи используются в режимах ЕСВ, СРВ, OFB или СВС, 32 прохода.

RC2

64-битный блочный шифратор, ключ переменного размера. Приблизительно в 2 раза быстрее, чем DES. Может использоваться в тех же режимах, что и DES, включая тройное шифрование. Конфиденциальный алгоритм, владельцем которого является RSA Data Security.

RС4

Потоковый шифр, байт-ориентированный, с ключом переменного размера. Приблизительно в 10 раз быстрее DES. Конфиденциальный алгоритм, которым владеет RSA Data Security. 

RC5

Имеет размер блока 32, 64 или 128 бит, ключ с длиной от О до 2048 бит, от 0 до 255 проходов. Быстрый блочный шифр. Алгоритм, которым владеет RSA Data Security.

CAST

64-битный блочный шифратор, ключи длиной от 40 до 64 бит, 8 проходов. Неизвестно способов вскрыть его иначе как ., путем прямого перебора.

Blowfish

64-битный блочный шифратор, ключ переменного размера до 448 бит, 16 проходов, на каждом проходе выполняются перестановки, зависящие от ключа, и подстановки, зависящие от ключа и данных. Быстрее, чем DES. Разработан для 32-битных машин.

Устройство с одноразовыми ключами 

Шифратор, который нельзя вскрыть. Ключом (который имеет ту же длину; что и шифруемые данные) являются следующие n бит из массива случайно созданных бит, хранящихся в этом устройстве. У отправителя и получателя имеются одинаковые устройства. После использования биты разрушаются, и в следующий раз используются другие биты.

Поточные шифры

Быстрые алгоритмы симметричного шифрования, обычно оперирующие битами (а не блоками бит). Разработаны как аналог устройства с одноразовыми ключами, и хотя не являются такими же безопасными, как оно, по крайней мере практичны.

 

Асимметричные алгоритмы

Асимметричные алгоритмы используются в асимметричных криптосистемах для шифрования симметричных сеансовых ключей (которые используются для шифрования самих данных).

Используется два разных ключа — один известен всем, а другой держится в тайне. Обычно для шифрования и расшифровки используется оба этих ключа. Поданные, зашифрованные одним ключом, можно расшифровать только с помощью другого ключа. 

RSA

Популярный алгоритм асимметричного шифрования, стойкость которого зависит от сложности факторизации больших целых чисел.

ЕСС (криптосистема на основе эллиптических кривых)

Использует алгебраическую систему, которая описывается в терминах точек эллиптических кривых, для реализации асимметричного алгоритма шифрования. Является конкурентом по отношению к другим асимметричным алгоритмам шифрования, так как при эквивалентной стойкости использует ключи меньшей длины и имеет 5больщую производительность. Современные его реализации показывают, что эта система гораздо более эффективна, чем другие системы с открытыми ключами. Его производительность приблизительно на порядок выше, чем производительность RSA, Диффи-Хеллмана и DSA.

Эль-Гамаль

Вариант Диффи-Хеллмана, который может быть использован как для шифрования, так и для электронной подписи.

 

Хэш-функции

Хэш-функции являются одним из важных элементов криптосистем на основе ключей. Их относительно легко вычислить, но почти невозможно расшифровать. Хэш-функция имеет исходные данные переменной длины и возвращает строку фиксированного размера (иногда называемую дайджестом сообщения — MD), обычно 128 бит. Хэш-функции используются для обнаружения модификации сообщения (то есть, для электронной подписи).

MD2 

Самая медленная, оптимизирована для 8-битовых машин.

MD4

Самая быстрая, оптимизирована для 32-битных машин. Не так давно взломана.

MD5

Наиболее распространенная из семейства МD-функций. Похожа на MD4, но средства повышения безопасности делают ее на,33% медленнее, чем MD4. Обеспечивает целостность данных. Считается безопасной.

SHA (Secure Hash Algorithm)

Создает 160-битное значение хэш-функции из исходных данных переменного размера. Предложена NIST и принята правительством США как стандарт. Предназначена для использования в стандарте DSS.

 

Механизмы аутентификации

Эти механизмы позволяют проверить подлинность личности участника взаимодействия безопасным и надежным способом.

Пароли или PIN-коды (персональные идентификационные номера)

Что-то, что знает пользователь и что также знает другой участник взаимодействия. Обычно аутентификация производится в 2 этапа. Может организовываться обмен паролями для взаимной аутентификации. 

Одноразовый пароль

Пароль, который никогда больше не используется. Часто используется постоянно меняющееся значение, которое базируется на постоянном пароле.

CHAP (протокол аутентификации запрос-ответ)

Одна из сторон инициирует аутентификацию с помощью посылки уникального и непредсказуемого значения «запрос» другой стороне, а другая сторона посылает вычисленный с помощью «запроса» и секрета ответ. Так как обе стороны владеют секретом, то первая сторона может проверить правильность ответа второй стороны.

Встречная проверка (Callback)

Телефонный звонок серверу и указание имени пользователя приводит к тому, что сервер затем сам звонит по номеру, который указан для этого имени пользователя в его конфигурационных данных.

 

Электронные подписи и временные метки

Электронная подпись позволяет проверять целостность данных, но не обеспечивает их конфиденциальность. Электронная подпись добавляется к сообщению и может шифроваться вместе с ним при необходимости сохранения данных в тайне. Добавление временных меток к электронной подписи позволяет обеспечить ограниченную форму контроля участников взаимодействия. 

DSA (Digital Signature Authorization)

Алгоритм с использованием открытого ключа для создания электронной подписи, но не для шифрования. Секретное создание хэш- значения и публичная проверка ее — только один человек может создать хэш- значение сообщения, но любой может проверить ее корректность. Основан на вычислительной сложности взятия логарифмов в конечных полях.

RSA

Запатентованная RSA электронная подпись, которая позволяет проверить целостность сообщения и личность лица, создавшего электронную подпись. Отправитель создает хэш-функцию сообщения, а затем шифрует ее с использованием своего секретного ключа. Получатель использует открытый ключ отправителя для расшифровки хэша, сам рассчитывает хэш для сообщения, и сравнивает эти два хэша.

MAC (код аутентификации сообщения)

Электронная подпись, использующая схемы хэширования, аналогичные MD или SHA, но хэш- значение вычисляется с использованием как данных сообщения, так и секретного ключа.

DTS (служба электронных временных меток)

Выдает пользователям временные метки, связанные с данными документа, криптографически стойким образом.

 

Стеганография

Стеганография — это метод организации связи, который собственно скрывает само наличие связи. В отличие от криптографии, где неприятель точно может определить является ли передаваемое сообщение зашифрованным текстом, методы стеганографии позволяют встраивать секретные сообщения в безобидные послания так, чтобы невозможно было заподозрить существование встроенного тайного послания.

Слово «стеганография» в переводе с греческого буквально означает «тайнопись» (steganos — секрет, тайна; graphy — запись). К ней относится огромное множество секретных средств связи, таких кик невидимые чернила, микрофотоснимки, условное расположение знаков, тайные каналы и средства связи на плавающих частотах и т.д.

Стеганография занимает свою нишу в обеспечении безопасности: она не заменяет, а дополняет криптографию. Сокрытие сообщения методами стеганографии значительно снижает вероятность обнаружения самого факта передачи сообщения. А если это сообщение; к тому же зашифровано, то оно имеет еще один, дополнительный, уровень защиты.

История стеганографии — это история развития человечества.

Местом зарождения стеганографии многие называют Египет, хотя пёрвь1ми«стеган6графическими сообщениями» можно назвать и наскальные рисунки древних людей.

Первое упоминание о стеганографических методах в литературе приписывается Геродоту» который описал случай передачи сообщения Демартом, который соскабливал воск с дощечек, писал письмо прямо на дереве, а потом заново покрывал дощечки воском.

Другой эпизод, который относят к тем же временам — передача послания с использованием головы раба. Для передачи тайного сообщения голову раба обривали, наносили на кожу татуировку, и когда волосы отрастали, отправляли с посланием.

В Китае письма писали на полосках щелка. Поэтому для сокрытия сообщений, полоски с текстом письма, сворачивались в шарики, покрывались воском и затем глотались посыльными.

Темное средневековье породило не только инквизицию: усиление слежки привело к развитию как криптографии, так и стеганографии. Именно в средние века впервые было применено совместное использование шифров и стеганографических методов.

В XV веке монах Тритемиус (1462-1516), занимавшийся криптографией и стеганографией, описал много различных методов скрытой передачи сообщений. Позднее, в 1499 году, эти записи были объединены в книгу «Steganographia», которую в настоящее время знающие латынь могут прочитать в Интернет.

XVII — XVIII века известны как эра «черных кабинетов» — Специальных государственных органов по перехвату, перлюстрации и дешифрованию переписки. В штат «черных кабинетов», помимо криптографов и дешифровальщиков, входили и другие специалисты, в том числе и химики. Наличие специалистов-химиков было необходимо из-за активного использования так называемых невидимых чернил. Примером может служить любопытный исторический эпизод: восставшими дворянами в Бордо был арестован францисканский монах Берто, являвшийся агентом кардинала Мазарини. Восставшие разрешили Берто написать письмо знакомому священнику в город Блэй. Однако в конце этого письма религиозного содержания, монах сделал приписку, на которую никто не обратил внимание: «Посылаю Вам глазную мазь; натрите ею глаза и Вы будете лучше видеть». Так он сумел переслать не только скрытое сообщение, но и указал способ его обнаружения. В результате монах Берто был спасен.

Стеганографические методы активно использовались и в годы граждане кой войны между южанами и северянами. Так, в 1779 году два агента северян Сэмюэль Вудхулл и Роберт Тоунсенд передавали информацию Джорджу Вашингтону, используя специальные чернила.

Различные симпатические чернила использовали и русские революционеры в начале XX века, что нашло отражение в советской литературе: Куканов в своей повести «У истоков грядущего» описывает применение молока в качестве чернил для написания тайных сообщений. Впрочем, царская охранка тоже знала об этом методе (в архиве хранится документ, в котором описан способ использования симпатических чернил и приведен текст перехваченного тайного сообщения революционеров).

Особое место в истории стеганографии занимают фотографические микроточки. Да, те самые микроточки, которые сводили с ума спецслужбы США во время второй мировой войны. Однако микроточки появились намного раньше, сразу же после изобретения Дагером фотографического процесса, и впервые в военном деле были использованы во времена франко-прусской войны (в 1870 году).

В настоящее время в связи с бурным развитием вычислительной техники и новых каналов передачи информации появились новые Стеганографические методы, в основе которых лежат особенности представления информации в компьютерных файлах, вычислительных сетях. Это дает возможность говорить о становлении нового направления — компьютерной стеганографии.

Несмотря на то что стеганография как способ сокрытия секретных данных известна уже на протяжении тысячелетий, компьютерная стеганография — молодое и развивающееся направление.

Как и любое новое направление, компьютерная стеганография, несмотря на большое количество открытых публикаций и ежегодные конференции, долгое время не имела единой терминологии.

До недавнего времени для описания модели стеганофафической системы использовалась предложенная 1983 году Симмонсом так называемая «проблема заключенных». Она состоит в том, что два индивидуума (Алиса и Боб) хотят обмениваться секретными сообщениями без вмешательства охранника (Вилли), контролирующего коммуникационный канал. При этом имеется ряд допущений, которые делают эту проблему более или менее решаемой. Первое Допущение облегчает решение проблемы и состоит в том, что участники информационного обмена могут разделять секретное сообщение (например, используя кодовую клавишу) перед заключением. Другое допущение, наоборот, затрудняет решение проблемы, так как охранник имеет право не только читать сообщения, но и модифицировать (изменять) их.

Позднее, на конференции Information Hiding: First Information Workshop в 1996 году было предложено использовать единую терминологию и обговорены основные термины.

Стеганографическая система или стегосистема — совокупность средств и методов, которые используются для формирования скрытого канала передачи информации. 

При построении стегосистемы должны учитываться следующие положения:

  • противник имеет полное представление о стеганографической системе и деталях ее реализации. Единственной информацией, которая остается неизвестной потенциальному противнику, является ключ, с помощью которого только его держатель может установить факт присутствия и содержание скрытого сообщения;
  •  если противник каким-то образом узнает о факте существования скрытого сообщения, это не должно позволить ему извлечь подобные сообщения в других ' данных до тех пор, пока ключ хранится в тайне;
  • потенциальный противник должен быть лишен каких- либо технических и иных преимуществ в распознавании или раскрытии содержания тайных сообщений.

В качестве данных может использоваться любая информация: текст, сообщение, изображение и многое другое.

В общем же случае целесообразно использовать слово «сообщение», так как сообщением может быть как текст или изображение, так и, например, аудиоданные. Далее для обозначения скрываемой информации, будем использовать именно термин сообщение.

Контейнер—любая информация, предназначенная для сокрытия тайных сообщений.

Пустой контейнер — контейнер без встроенного сообщения; заполненный контейнер или стегоконтейнер, содержащий встроенную информацию.

Встроенное (скрытое) сообщение — сообщение, встраиваемое в контейнер.

Стеганографический канал или просто стегоканал — канал передачи стего.

Стегоключ или просто ключ — секретный  ключ, необходимый для сокрытия информации. В зависимости от количества уровней защиты (например, встраивание предварительно зашифрованного сообщения) в стегосистеме может быть один или несколько стегоключей.

По аналогии с криптографней, по типу стегоключа стегосистемы можно подразделить на два типа:

  •  с секретным ключом;  
  • с открытым ключом.

В стегосистеме с секретным ключом используется один ключ, который должен быть определен либо до начала обмена секретными сообщениями, либо передан по защищенному каналу.

В стегосистеме с открытым ключом для встраивания и извлечения сообщения используются разные ключи, которые различаются таким образом, что с помощью вычислений невозможно вывести один ключ из другого. Поэтому один ключ (открытый) может передаваться свободно по незащищенному каналу связи. Кроме того, данная схема хорошо работает и при взаимном недоверии отправителя и получателя.

Любая стегосистема должна отвечать следующим требованиям:

  •  Свойства контейнера должны быть модифицированы, чтобы изменение невозможно было выявить при  визуальном контроле, Это требование определяет качество сокрытия внедряемого сообщения: для обеспечения беспрепятственного прохождения стегосообщения по каналу связи оно никоим образом не должно привлечь внимание атакующего.
  •  Стегосообшение должно быть устойчиво к искажениям, в том числе и злонамеренным. В процессе передачи изображение (звук или другой контейнер) может претерпевать различные трансформации: уменьшаться или увеличиваться, преобразовываться в другой формат. Кроме того, оно может быть сжато, в том числе и с использованием алгоритмов сжатия с потерей данных.
  •  Для сохранения целостности встраиваемого сообщения необходимо использование кода с исправлением ошибки.
  • Для повышения надежности встраиваемое сообщение должно быть продублировано.

В настоящее время можно выделить три тесно связанных между собой и имеющих одни корни направления приложения стеганографии: сокрытие данных (сообщений), цифровые водяные знаки и заголовки.

Сокрытие внедряемых данных, которые в большинстве случаев имеют большой объем, предъявляет серьезные требования к контейнеру: размер контейнера в несколько раз должен превышать размер встраиваемых данных.

Цифровые водяные знаки используются для защиты авторских или имущественных прав на цифровые изображения, фотографии или другие оцифрованные произведения искусства. Основными требованиями, которые предъявляются к таким встроенным данным, являются надежность и устойчивость к искажениям.

Цифровые водяные знаки имеют небольшой объем, однако, с учетом указанных выше требований, для их встраивания используются более сложные методы, чем для встраивания ; просто сообщений или заголовков.

Третье приложение, заголовки, используется в основном для маркирования изображений в больших электронных хранилищах (библиотеках) цифровых изображений, аудио- и видеофайлов.

В данном случае стеганографические методы используются не только для внедрения идентифицирующего заголовка, но и иных индивидуальных признаков файла.

Внедряемые заголовки имеют небольшой объем, а предъявляемые к ним требования минимальны: заголовки должны вносить незначительные искажения и быть устойчивы к основным геометрическим преобразованиям.

Каждое из перечисленных выше приложений требует определенного соотношения между устойчивостью встроенного сообщения к внешним воздействиям (в том числе и стегоанализу) и размером самого встраиваемого сообщения.

Для большинства современных методов, используемых для сокрытия сообщения в цифровых контейнерах, имеет место зависимость надежности системы от объема встраиваемых данных, которая показывает, что при увеличении объема встраиваемых данных снижается надежность системы (при неизменности размера контейнера). Таким образом, используемый в стегосистеме контейнер накладывает ограничения на размер встраиваемых данных.

Контейнеры

Существенное влияние на надежность стегосистемы и возможность обнаружения факта передачи скрытого сообщения оказывает выбор контейнера.

Например, опытный глаз цензора с художественным образованием легко обнаружит изменение цветовой гаммы при внедрении сообщения и репродукцию «Мадонны» Рафаэля или «Черного квадрата» Малевича.

По протяженности контейнеры можно подразделить на два типа: непрерывные(потоковые) и ограниченной (фиксированной) длины. Особенностью потокового контейнера является то, что невозможно определить его начало или конец. Более того, нет возможности узнать заранее; какими будут последующие шумовые биты, что приводили необходимости включать скрывающие сообщение биты в поток в реальном масштабе , времени, а сами скрывающие : биты-выбираются с помощью специального генератора, задающего расстояние между последовательными битами в потоке.

В непрерывном потоке данных самая большая трудность для получателя — определить, когда начинается скрытое сообщение. При наличии в потоковом контейнере сигналов синхронизации или границ пакета, скрытое сообщение начинается сразу после одного из них. В свою очередь, для отправителя возможны проблемы, если он не уверен в том, что поток контейнера будет достаточно долгим для размещения целого тайного сообщения.

При использовании контейнеров фиксированной длины отправитель заранее знает размер файла и может выбрать скрывающие биты в подходящей псевдослучайной последовательности. ? другой стороны, контейнеры фиксированной длины, как это уже отмечалось выше, имеют ограниченный объем и иногда встраиваемое сообщение может не поместиться в файл-контейнер.

Другой недостаток заключается в том, что расстояния между скрывающими битами равномерно распределены между наиболее коротким и наиболее длинным заданными расстояниями, в то время как истинный случайный шум будет иметь экспоненциальное распределение длин интервала. Конечно, можно породить псевдослучайные экспоненциально распределенные числа, но этот путь обычно слишком трудоемок. Однако на практике чаще всего используются именно контейнеры фиксированной длины, как наиболее распространенные и доступные. 

Возможны следующие варианты контейнеров:

  •    Контейнер генерируется самой стегосистемой. Примером может служить программа Mandel.Steg, в которой в качестве контейнера для встраивания сообщения генерируется фрактал Мандельброта. Такой подход можно назвать», конструирующей стеганографией.
  • Контейнер выбирается из некоторого множества контейнеров. В этом случае генерируется большое число альтернативных контейнеров, чтобы затем выбрать наиболее подходящий для сокрытия сообщения. Такой подход можно назвать  селектирующей стетнографией. В данном случае при выборе оптимального контейнера из множества сгенерированных важиейшим требованием является естественность контейнера. Единственной же проблемой остается то, что даже оптимально организованный контейнер позволяет спрятать незначительное количество данных при очень большом объеме самого контейнера.
  •  Контейнер поступает извне. В данном случае отсутствует возможность выбора контейнера и для сокрытия сообщения Дерется первый попавшийся контейнер, не всегда подходящий к встраиваемому сообщению. Назовем это безальтернативной стеганографией. 

В настоящее время существует достаточно много различных методов (и их вариантов) встраивания сообщений (имеется в виду и встраивание цифровых водяных знаков). Наиболее распространенным, но наименее стойким является метод замены наименьших значащих битов или  LSB-метод.Он заключается в использовании погрешности дескретизации, которая всегда существует в оцифрованных изображениях или аудио- и видеофайлах. Данная погрешность равна наименьшему значащему разряду числа, определяющему величину цветовой составляющей элемента изображения (пикселя). Поэтому модификация младших битов в большинстве случаев не вызывает значительной трансформации изображения и не обнаруживается визуально.

Другим популярным методом встраивания сообщений является использование особенностей форматов данных, ииспользующих сжатие е потерей данных (например JPEG). Этот метод (в отличии от JLSB) более стоек к геометрическим преобразованиям и обнаружению канала передачи, так как имеется возможность в широком диапазоне варьировать качество сжатого изображения, что делает невозможным определение происхождения искажения.

Для встраивания цифровых водяных знаков используются более сложные методы. 

Цифровые водяные знаки

В довременных системах формирования цифровых водяных знаков используется принцип встраивания метки, являющейся узкополосным сигналом, в широком диапазоне частот маркируемого изображения. Указанный метод реализуется при помощи двух различных алгоритмов и их возможных модификаций. В первом случае информация скрывается путем фазовой модуляции информационного сигнала (несущей) с псевдослучайной последовательностью чисел. Во втором — имеющийся диапазон частот делится на несколько каналов и передача производится между этими каналами. Относительно исходного изображения метка является некоторым дополнительным шумом, но так как шум в сигнале присутствует всегда, его незначительное возрастание за счет внедрения метки не дает Заметных на глаз искажений. Кроме того, метка рассеивается по всему исходному изображению, в результате чего становится более устойчивой к вырезанию.

В настоящее время компьютерная стеганография продолжает развиваться: формируется теоретическая база, ведется разработка новых, более стойких методов встраивания сообщений. Среди основных причин наблюдающегося всплеска интереса к стеганографии можно выделить принятые в ряде стран ограничения на использование сильной криптографии, а также проблему защиты авторских прав на художественные произведения в цифровых глобальных сетях.

 

Правовые основы деятельности по защите информации от несанкционированного доступа

О категориях информации

При разработке законодательных и других правовых и нормативных документов, а также при организации защиты информации важно правильно ориентироваться во всем блоке действующей законодательной базы в этой области.

 Проблемы, связанные с правильной трактовкой и применением законодательства Российской Федерации в этой области, периодически возникают в практической работе по организации защиты информации от ее утечки по техническим каналам, от несанкционированного доступа к информации и от воздействий на неё при обработке в технических средствах информатизации (далее — защита информации), а также в ходе контроля эффективности принимаемых мер защиты. В частности, такие вопросы возникают применительно к трактовке содержания категорий «служебная тайна» и «конфиденциальная информация».

Базовым законом в области защиты информации является принятый в начале 1995 года Федеральный Закон «Об информации, информатизации и защите информации» (далее для краткости — «Закон об информации»), который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при Защите информации и прав субъектов, участвующих в информационных процессах и информатизации.

В соответствие с этим Законом должны быть приведены ранее изданные Президентом Российской Федерации и Правительством Российской Федерации правовые акты, а также все законодательство России (статья 25 Закона).

Закон гласит:

  •  информационные ресурсы делятся на государственные и негосударственные (статья 6, часть 1);
  • государственные информационные  ресурсы  Российской Федерации формируются в соответствии со сферами ведения как: федеральные информационные ресурсы; информационные ресурсы,  находящиеся в совместном ведении Российской Федерации и субъектов Российской Федерации; информационные ресурсы субъектов Российской Федераций (статья 7, часть 1);
  •  государственные информационные ресурсы являются открытыми и общедоступными. Исключение составляет документированная информация,  отнесенная законом к категории ограниченного доступа (статья 10, часть 1); 
  • документированная информация с ограниченного доступа по условиям ёе правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (статья 10, часть 2).
  •  конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (статья 2);
  •  персональные данные о гражданах, включаемые в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской  Федерации, информационных ресурсов местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации (статья 11,часть 1).

Из этого Закона следует:

  •  информация из любой области знаний и деятельности в принципе является открытой и общедоступной, если законодательством не предусмотрено ограничение доступа к ней в установленном порядке;
  •  категория «конфиденциальная информация», в соответствии с понятием, приведенным выше из статьи 2 «Закона об информации», объединяет все виды защищаемой информации (тайн). Это относится и к государственным и к негосударственным информационным ресурсам. При этом, исключение составляет информация, отнесенная к государственной тайне: она к конфиденциальной информации не относится, а является составной частью информации с ограниченным доступом (основание — статья 10, часть 2 указанного Закона).Этому положению «Закона об информации» не соответствует статья 8 Федерального закона «Об участии в международном информационном обмене» (1996 год), в которой делается ссылка на государственную тайну «или иную конфиденциальную информацию» (то есть информация, составляющая государственную тайну, является здесь составной частью конфиденциальной информации). 

Отнесение информации к категориям осуществляется:

  •  к государственной тайне — в. соответствии с Законом Российской Федерации «О государственной тайне»;
  •  к конфиденциальной информации — в порядке, установленном законодательством РФ;
  •  к персональным данным о гражданах — федеральным законом.

О режимах защиты информации

В соответствии с «Законом об информации» режим защиты информации устанавливается (статья 21):

  •  в отношении сведений, отнесенных к государственной тайне, — уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;
  •  в отношении конфиденциальной информации—  собственником информационных ресурсов или уполномоченным лицом на основании «Закона об информации»;
  •  в отношении персональных данных — отдельным федеральным законом.

Принципиальным здесь является (положение, что режим защиты конфиденциальной ««формации определяет ее собственник, то есть соответствующий орган государственной власти или управления, организация, учреждение, предприятие.

О категории «служебная тайна»

Категория «служебная тайна» ранее применялась для обозначения сведений ведомственного характера с грифом «секретно» и за ее разглашение предусматривалась уголовная ответственность.В настоящее время эта категория из Уголовного кодекса изъята и в прежнем ее понимании из правового поля исчезла в связи с, принятием в июле 1993 года Закона «О государственной тайне» по двум причинам:

  •  во-первых, информация с грифом «секретно» теперь составляет государственную тайну;
  •  во-вторых, применение грифов секретности для других категорий информации не допускается в соответствии со статьей 8 указанного Закона.

Вместе с тем. Гражданским кодексом Российской Федерации, введенным в действие с 1095 года, предусмотрена категория «служебная тайна» в сочетании с категорией «коммерческая тайна». Статья 139 Кодекса гласит:

  •  Информация составляет служебную или коммерческую тайну в случае, если информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
  •  Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Из этого следует, что произошло изменение содержания категории «служебная тайна»: с января ,1995 года под ней (по аналогии с коммерческой тайной в негосударственных структурах) понимается служебная информация в государственных структурах, имеющая коммерческую ценность. В отличие от коммерческой тайны (в коммерческих структурах) защищаемая государством конфиденциальная информация не ограничивается только коммерческой ценностью, поэтому служебная тайна является составной частью конфиденциальной информации. В государственных структурах еще может быть , информация, имеющая политическую или иную ценность. Так как к служебной тайне она не относится, ей необходимо присваивать гриф «конфиденциально» или иной гриф (к примеру, «для служебного пользования», применяемый в органах исполнительной власти и установленный постановлением Правительства Российской Федерации от 3 ноября 1994 г. №1233).

Такая трактовка категории «служебная тайна» соответствует проекту Федерального закона «О коммерческой тайне», где предусмотрено при передачи информации с грифом «коммерческая тайна» в государственные органы охранять ее как служебную тайну (статья 18, часть 1 проекта Закона).

За разглашение служебной тайны уголовная ответственность новым Уголовным кодексом РФ не предусмотрена, в отличие от коммерческой тайны (статья 183).

Вопросы организации защиты информации

Первое. В одном органе государственной власти (управления), в государственной или коммерческой организации могут циркулировать несколько видов информации, как своей, так и «чужой», то есть других собственников информации, которые передали ее им в установленном порядке.

К примеру, в Банке России это государственная тайна, конфиденциальная информация (в том числе служебная тайна), банковская тайна, коммерческая тайна коммерческих банков.

В коммерческом банке это государственная тайна и конфиденциальная информация, переданные ему государственными органами или организациями в установленном порядке; банковская тайна, коммерческая тайна о его коммерческой деятельности.

Следует уточнить, что охрана в кредитных организациях, в Банке России тайны об операциях, о счетах и вкладах клиентов и корреспондентов (банковская тайна), а также иных сведений, устанавливаемых кредитной организацией, предусмотрено статьей 26 Федерального закона «О банках и банковской деятельности деятельности». Под иными сведениями, необходимо понимаются сведения о «производственной» (коммерческой) деятельности, соответствующей организации, не подпадающие под понятие банковской тайны, но так же, как и она, не подлежащие, по решению этой организации, широкому распространению.

Очевидно, что организация защиты информации в государственных и коммерческих кредитных организациях имеет свою специфику и требует единого подхода и координации со стороны Банка России.

Контроль состояния защиты конфиденциальной информации

Статьей 21 (часть 3) «Закона об информации» предусмотрен контроль со стороны органов государственной власти за соблюдением требований к защите информации с ограниченным доступом, порядок которого определяет Правительство Российской Федерации.

Это означает, что контроль состояния защиты должен охватывать все три составляющие информации с ограниченным доступом, входящей в государственные информационные ресурсы:

  •  информацию, составляющую государственную тайну;
  •  конфиденциальную информацию;
  •  персональные данные о гражданах..

При этом, контроль в равной степени должен охватывать и негосударственные структуры при наличии у них (при передаче им на законном основании) указанных видов информации, входящих в государственные информационные ресурсы.



Опубликовал admin
13 Июн, Воскресенье 2004г.



Программирование для чайников.