- законодательство в сфере защиты информационной собственности и авторских прав;
- методы и средства защиты информации от несанкционированного доступа.
В наше время большинство информации хранится в цифровом виде. Поэтому актуален вопрос безопасности хранения данных.
ЭТО ИНТЕРЕСНО
Какие компьютерные пираты пытались засудить других пиратов за незаконное использование их марки?
Многие любители компьютерных игр помнят, что в конце 1990-х многие нелегальные диски с играми продавались под маркой «Фаргус». Переводы от «Фаргуса» в целом были более качественными, чем у других пиратов. Однако позже качество снизилось, в том числе и потому, что для улучшения продаж не имеющие отношения к «Фаргусу» пираты стали ставить на дисках его логотип. Владельцы официально зарегистрировали название «Фаргус» и подали в 2005 году иск к одной из торговых точек за незаконное использование марки, то есть по сути одни пираты заявили в суд на других. Иск был отклонён, и других попыток уже не предпринималось.
Под информационной безопасностью понимается состояние защищенности информационной среды. Соответственно, говоря о защите информации, мы имеем в виду технические и организационные меры по ее охране для предотвращения несанкционированного доступа к ней, ее искажения, повреждения или удаления. (Но вместе с тем — обеспечение беспрепятственного доступа к информации со стороны легитимных пользователей).
Можно говорить о информационной безопасности как личности, так и организации или государства.
Сейчас компьютерные технологии используются в самых важных областях человеческой деятельности. Поэтому необходимо защищать информацию.
Защищать информацию можно техническими и правовыми средствами.
Виды угроз:
- Кража или утечка информации
- Разрушение или уничтожение информации
Меры защиты:
- Резервное копирование;
- Регулярное осуществление антивирусной проверки;
- Использование бесперебойного питания.
- Разграничение доступа для разных групп пользователей.
- Шифрование и криптография, цифровая подпись.
Технические средства защиты информации:
Технические средства защиты информации делятся на аппаратные и программные (в частности, антивирусные программы).
- Шифрование информации. Наука о шифровании (кодировании) – криптография.
- Методы идентификации и аутентификации (доказательства авторства и подлинности сообщения), цифровой подписи.
Правовые средства защиты информации:
Под правовыми средствами защиты понимается совокупность нормативных и правовых актов, регулирующих вопросы защиты информации
В каждой стране есть специальные законы, предусматривающие уголовное наказание за неправомерный доступ, кражу или порчу информации.
В Российской Федерации это:
Федеральный закон № 149-ФЗ “Об информации, информационных технологиях и о защите информации”, принятый 27 июля 2006 г. взамен ранее действовавшего Федерального закона № 24-ФЗ “Об информации, информатизации и защите информации” от 20 февраля 1995 г.
В частности, статья 1 Закона “Об информации, информационных технологиях и о защите информации” гласит, что данный закон “регулирует отношения, возникающие при:
1) осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации”.
Статья 3 формулирует понятия “безопасность” и “защита информации” в рамках принципов правового регулирования отношений в сфере информации, информационных технологий и защиты информации. Причем в качестве одного из основных принципов постулируется “обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации”.
А вот статья 10, носящая название “Распространение информации или предоставление информации”, уже напрямую касается проблемы спам-рассылок:
- пункт 2: “Информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица”;
- пункт 3: “При использовании для распространения информации средств, позволяющих определять получателей информации, в том числе почтовых отправлений и электронных сообщений, лицо, распространяющее информацию, обязано обеспечить получателю информации возможность отказа от такой информации”;
- пункт 4: “Предоставление информации осуществляется в порядке, который устанавливается соглашением лиц, участвующих в обмене информацией”.
Следовательно, противозаконной является рассылка любой информации, в которой отсутствуют точные и достоверные сведения о ее распространителе, причем даже при наличии таких сведений пользователь должен иметь возможность отказа от получения этой информации. Однако если вы сами где-либо подписались на электронную рассылку, то ее отправка вам становится законной в соответствии с любыми теми условиями, которые указаны в правилах этой рассылки или в соответствующем “публичном договоре”.
Далее, статья 16 Закона “Об информации, информационных технологиях и о защите информации” рассматривает уже основные понятия и положения, касающиеся защиты информации:
- пункт 1: “Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации,
2) соблюдение конфиденциальности информации ограниченного доступа,
3) реализацию права на доступ к информации”;
- пункт 2: “Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации”;
- пункт 4: “Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации,
2) своевременное обнаружение фактов несанкционированного доступа к информации,
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации,
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование,
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней,
6) постоянный контроль за обеспечением уровня защищенности информации”.
Эти положения закона относятся, например, к администрации и техническим службам организаций, поддерживающих размещенные в Интернете базы данных, к владельцам серверов для размещения пользовательских сайтов и т.д.
Наконец, статья 17 рассматриваемого Закона определяет ответственность за правонарушения в сфере информации, информационных технологий и защиты информации.
Еще один законодательный акт — Федеральный закон № 152-ФЗ “О персональных данных”, вступивший в действие 27 июля 2006 г., определяет основные понятия и положения о защите персональной, т.е. личной информации каждого человека. Так, статья 3 гласит, что персональные данные — это “любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация”. А согласно пункту 1 статьи 6, обработка таких персональных данных может осуществляться оператором только с согласия субъектов этих персональных данных, за исключением лишь особо оговоренных пунктом 2 этой статьи случаев.
Что же грозит тем, кто, несмотря на предупреждения двух рассмотренных выше законов (причем незнание закона, как известно, не освобождает от ответственности!), будет создавать вредоносные программы или производить какие-либо вредоносные действия либо пытаться получить несанкционированный доступ к чужой информации? В России соответствующие меры наказания определены в Уголовном кодексе Российской Федерации (УК РФ), носящем номер 63-ФЗ и вступившем в действие 13.06.1996 г. Преступления, связанные с компьютерной информацией, рассмотрены в нем в главе 28, где содержатся три следующие статьи:
- статья 272. Неправомерный доступ к компьютерной информации – наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода, осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
- статья 273. Создание, использование и распространение вредоносных программ для ЭВМ – наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода, осужденного за период до восемнадцати месяцев.
- статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети – наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
Ответчиков по компьютерным преступлениям можно условно разделить на три категории: пираты, хакеры, крекеры (взломщики).
Пираты, главным образом, нарушают авторское право, создавая незаконные версии программ и данных.
Хакеры незаконно открывают доступ к компьютерам других пользователей и файлам в них.
Крекеры – наиболее серьезные нарушители. Они “взламывают” банковские системы, совершают кражи, шантажируют частные и государственные организации.
Для обеспечения компьютерной безопасности создаются специальные компании, занимающиеся изучением уязвимых мест компьютерных программ и разработкой средств защиты.
Этикет в компьютерных сетях
- Не передавайте никому ваше имя и пароль для входа в сеть
- Если вы оставляете компьютер более чем на 10 минут, перед уходом прекратите выполнение всех программ с сетевой поддержкой и закройте их.
- Никогда не оставляйте в сети частную информацию о себе или своих родителях
- Если кто-то говорит вам, присылает или вы сами обнаружили в сети что-либо смущающее вас, не старайтесь разобраться в этом самостоятельно. Обратитесь ко взрослым.
- Встреча в реальной жизни с Интернет – знакомыми не является хорошей идеей. Обязательно сообщите о подобной встрече взрослым.
- Не открывайте письма электронной почты, полученные вами с незнакомых адресов или от незнакомых людей.
- Будьте вежливы.
Это интересно…
Компания iDefence, занимающаяся вопросами компьютерной безопасности, объявила о вознаграждении в 8000 долларов хакерам, которым удастся обнаружить уязвимости в браузере Internet Explorer 7 и операционной системе MS Windows Vista.
Лицензионные, условно бесплатные и бесплатные программы
Программы по их юридическому статусу можно разделить на три большие группы: лицензионные, условно бесплатные (shareware) и свободно распространяемые программы (freeware).
Дистрибутивы лицензионных программ (диски с которых производится установка программ на компьютеры пользователей) распространяются разработчиками на основании договоров с пользователями на платной основе, проще говоря, лицензионные программы продаются. Довольно часто разработчики предоставляют существенные скидки при покупке лицензий на использование программы на большом количестве компьютеров или на использование программы в учебных заведениях. В соответствии с лицензионным соглашением разработчики программы гарантируют ее нормальное функционирование в определенной операционной системе и несут за это ответственность.
Некоторые фирмы – разработчики программного обеспечения предлагают пользователям условно бесплатные программы в целях их рекламы и продвижения на рынок. Пользователю предоставляется версия программы с ограниченным сроком действия (после истечения указанного срока программа перестает работать, если за нее не произведена оплата) или версия программы с ограниченными функциональными возможностями (в случае оплаты пользователю сообщается код, включающий все функции).
Многие производители программного обеспечения и компьютерного оборудования заинтересованы в широком бесплатном распространении программного обеспечения. К таким программным средствам можно отнести следующие:
- новые недоработанные (бета) версии программных продуктов (это позволяет провести их широкое тестирование);
- программные продукты, являющиеся частью принципиально новых технологий (это позволяет завоевать рынок);
- дополнения к ранее выпущенным программам, исправляющие найденные ошибки или расширяющие возможности;
- устаревшие версии программ;
- драйверы к новым устройствам или улучшенные драйверы к уже существующим.
Правовая охрана информации
Правовая охрана программ и баз данных. Правовая охрана программ для ЭВМ и баз данных впервые в полном объеме введена в Российской Федерации Законом РФ «О правовой охране программ для электронных вычислительных машин и баз данных», который вступил в силу в 1992 году.
Предоставляемая настоящим законом правовая охрана распространяется на все виды программ для ЭВМ (в том числе на операционные системы и программные комплексы), которые могут быть выражены на любом языке и в любой форме, включая исходный текст на языке программирования и машинный код. Однако правовая охрана не распространяется на идеи и принципы, лежащие в основе программы для ЭВМ, в том числе на идеи и принципы организации интерфейса и алгоритма.
Для признания и осуществления авторского права на программы для ЭВМ не требуется ее регистрация в какой-либо организации. Авторское право на программы для ЭВМ возникает автоматически при их создании.
Для оповещения о своих правах разработчик программы может, начиная с первого выпуска в свет программы, использовать знак охраны авторского права, состоящий из трех элементов:
- буквы С в окружности или круглых скобках ©;
- наименования (имени) правообладателя;
- года первого выпуска программы в свет.
Например, знак охраны авторских прав на текстовый редактор Word выглядит следующим образом:
© Корпорация Microsoft, 1993-1997.
Автору программы принадлежит исключительное право осуществлять воспроизведение и распространение программы любыми способами, а также модификацию программы.
Организация или пользователь, правомерно владеющий экземпляром программы (купивший лицензию на ее использование), вправе без получения дополнительного разрешения разработчика осуществлять любые действия, связанные с функционированием программы, в том числе ее запись и хранение в памяти ЭВМ. Запись и хранение в памяти ЭВМ допускаются в отношении одной ЭВМ или одного пользователя в сети, если другое не предусмотрено договором с разработчиком.
Необходимо знать и выполнять существующие законы, запрещающие нелегальное копирование и использование лицензионного программного обеспечения. В отношении организаций или пользователей, которые нарушают авторские права, разработчик может потребовать возмещения причиненных убытков и выплаты нарушителем компенсации в определяемой по усмотрению суда сумме от 5000-кратного до 50 000-кратного размера минимальной месячной оплаты труда.
Электронная подпись
В 2002 году был принят Закон РФ «Об электронно-цифровой подписи», который стал законодательной основой электронного документооборота в России. По этому закону электронная цифровая подпись в электронном документе признается юридически равнозначной подписи в документе на бумажном носителе.
При регистрации электронно-цифровой подписи в специализированных центрах корреспондент получает два ключа: секретный и открытый. Секретный ключ хранится на дискете или смарт-карте и должен быть известен только самому корреспонденту. Открытый ключ должен быть у всех потенциальных получателей документов и обычно рассылается по электронной почте.
Процесс электронного подписания документа состоит в обработке с помощью секретного ключа текста сообщения. Далее зашифрованное сообщение посылается по электронной почте абоненту. Для проверки подлинности сообщения и электронной подписи абонент использует открытый ключ.
Защита информации
Для предотвращения несанкционированного доступа к данным, хранящимся на компьютере, используются пароли. Компьютер разрешает доступ к своим ресурсам только тем пользователям, которые зарегистрированы и ввели правильный пароль. Каждому конкретному пользователю может быть разрешен доступ только к определенным информационным ресурсам. При этом может производиться регистрация всех попыток несанкционированного доступа.
Защита пользовательских настроек имеется в операционной системе Windows (при загрузке системы пользователь должен ввести свой пароль), однако такая защита легко преодолима, так как пользователь может отказаться от введения пароля. Вход по паролю может быть установлен в программе BIOS Setup, компьютер не начнет загрузку операционной системы, если не введен правильный пароль. Преодолеть такую защиту нелегко, более того, возникнут серьезные проблемы доступа к данным, если пользователь забудет этот пароль.
В настоящее время для защиты от несанкционированного доступа к информации все более часто используются биометрические системы авторизации и идентификации пользователей. Используемые в этих системах характеристики являются неотъемлемыми качествами личности человека и поэтому не могут быть утерянными и подделанными. К биометрическим системам защиты информации относятся системы распознавания речи, системы идентификации по отпечаткам пальцев, а также системы идентификации по радужной оболочке глаза.
Защита программ от нелегального копирования и использования
Компьютерные пираты, нелегально тиражируя программное обеспечение, обесценивают труд программистов, делают разработку программ экономически невыгодным бизнесом. Кроме того, компьютерные пираты нередко предлагают пользователям недоработанные программы, программы с ошибками или их демоверсии.
Для того чтобы программное обеспечение ‘компьютера могло функционировать, оно должно быть установлено (инсталлировано). Программное обеспечение распространяется фирмами-производителями в форме дистрибутивов на диске. Каждый дистрибутив имеет свой серийный номер, что препятствует незаконному копированию и установке программ.
Для предотвращения нелегального копирования программ и данных, хранящихся на диске, может использоваться специальная защита. На диске может быть размещен закодированный программный ключ, который теряется при копировании и без которого программа не может быть установлена.
Защита от нелегального использования программ может быть реализована с помощью аппаратного ключа, который присоединяется обычно к параллельному порту компьютера. Защищаемая программа обращается к параллельному порту и запрашивает секретный код; если аппаратный ключ к компьютеру не присоединен, то защищаемая программа определяет ситуацию нарушения защиты и прекращает свое выполнение.
Каждый диск, папка и файл локального компьютера, а также компьютера, подключенного к локальной сети, может быть защищен от несанкционированного доступа. Для них могут быть установлены определенные права доступа (полный, только чтение, по паролю), причем права могут быть различными для различных пользователей.
Для обеспечения большей надежности хранения данных на жестких дисках используются RAID-массивы (Redantant Arrays of Independent Disks — избыточный массив независимых дисков). Несколько жестких дисков подключаются к специальному RAID-контроллеру, который рассматривает их как единый логический носитель информации. При записи информации она дублируется и сохраняется на нескольких дисках одновременно, поэтому при выходе из строя одного из дисков данные не теряются.
Защита информации в Интернете. Если компьютер подключен к Интернету, то в принципе любой пользователь, также подключенный к Интернету, может получить доступ к информационным ресурсам этого компьютера. Если сервер имеет соединение с Интернетом и одновременно служит сервером локальной сети (Интранет-сервером), то возможно несанкционированное проникновение из Интернета в локальную сеть.
Механизмы проникновения из Интернета на локальный компьютер и в локальную сеть могут быть разными:
- загружаемые в браузер Web-страницы могут содержать активные элементы ActiveX или Java-апплеты, способные выполнять деструктивные действия на локальном компьютере;
- некоторые Web-серверы размещают на локальном компьютере текстовые файлы cookie, используя которые можно получить конфиденциальную информацию о пользователе локального компьютера;
- с помощью специальных утилит можно получить доступ к дискам и файлам локального компьютера и др.
Для того чтобы этого не происходило, устанавливается программный или аппаратный барьер между Интернетом и Интранетом с помощью брандмауэра (firewall — межсетевой экран). Брандмауэр отслеживает передачу данных между сетями, осуществляет контроль текущих соединений, выявляет подозрительные действия и тем самым предотвращает несанкционированный доступ из Интернета в локальную сеть.
Ответьте на вопросы:
- В чем состоит различие между лицензионными, условно-бесплатными и бесплатными программами?
- Как можно зафиксировать свое авторское право на программный продукт?
- Какие используются способы идентификации личности при предоставлении доступа к информации?
- Почему компьютерное пиратство наносит ущерб обществу?
- Какие существуют программные и аппаратные способы защиты информации?
- Чем отличается простое копирование файлов от инсталляции программ?
Задание
Найдите в сети Интернет “Федеральный закон об информации, информационных технологиях и о защите информации”, изучите его. Ответьте на вопросы:
– Сколько статей содержит данный закон?
– С какой целью создан данный закон?
– Перечислите основные понятия, которые вы встретили в законе?
– Какие виды информации в зависимости от распространения вам известны?
– Права обладателя информации?
– Как защитить информацию?
– Какую ответственность несет нарушение этого закона?
Комментарии: