Нормативно-правовые аспекты защиты программ и данных.

Правовая охрана программ для ЭВМ и баз данных впервые в полном объёме введена в Российской федерации Законом РФ "О правовой охране программ для электронных вычислительных машин и баз данных", который вступил в силу в 1992 году.
В соответствии с федеральным законом "О правовой охране программ ЭВМ и баз данных" в решении проблемы защиты компьютерной информации выделя-ются следующие направления:

1. защита материальных объектов компьютерной собственности, выражен-ной в виде программных и аппаратных средств, а также связанного обо-рудования от кражи или утраты;

2. защита информационных и вычислительных ресурсов от несанкциониро ванного пользования;

3. защита конфиденциальной и ценной информации от несанкционирован ного доступа и модификации;

4. защита от утечки по каналам побочных электромагнитных излучений, специфических угроз, возникающих в системах связи;

5. защита интеллектуальной собственности, выраженной в виде алгоритмов и программ, электронных документов, а также ценных справочных баз данных;

6. защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программных средств.

Предоставляемая настоящим законом правовая охрана распространяется на все виды программ для ЭВМ (в том числе на операционные системы и программные комплексы), которые могут быть выражены на любом языке и в любой форме, включая исходный текст на языке программирования и машинный код. Однако правовая охрана не распространяется на идеи и принципы организации интерфейса и алгоритма.
Для признания и осуществления авторского права на программы для ЭВМ не требуется её регистрация в какой-либо организации. Авторское право на программы для ЭВМ возникает автоматически при их создании.
Для оповещения о своих правах разработчик программы может, начиная с первого выпуска в свет программы, использовать знак охраны авторского права, состоящий из трёх элементов:

1. Буквы "C" в окружности или круглых скобках (это выглядит так ©);

2. Наименования (имени) правообладателя;

3. Года первого выпуска программы в свет.

Автору программы принадлежит исключительное право осуществлять воспроизведение и распространение программы любыми способами, а также модификацию программы.
Организация или пользователь, правомерно владеющий экземпляром программы (купивший лицензию на её использование), вправе без получения дополнительного разрешения разработчика осуществлять любые действия, связанные с функционированием программы, в том числе её запись и хранение в памяти ЭВМ. Запись и хранение в памяти ЭВМ допускаются в отношении одной ЭВМ или одного пользователя в сети, если другое не предусмотрено договором с разработчиком.
Необходимо знать и выполнять существующие законы, запрещающие нелегальное копирование и использование лицензионного программного обеспечения. В отношении организаций или пользователей, которые нарушают авторские права, разработчик может потребовать возмещения причинённых убытков и выплаты нарушителем компенсации в определяемой по усмотрению суда сумме от 5000-кратного до 50000-кратного размера минимальной месячной оплаты труда.
Так же одним из законов, касающихся защиты информации, является федеральный закон РФ "Об электронно-цифровой подписи",принятый в 2002 году, который стал законодательной основой электронного документооборота в Рос-сии. Целью является использования электронной цифровой подписи в элек-тронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
При регистрации электронно-цифровой подписи в специализированных центрах корреспондент получает два ключа: секретный и открытый. Секретный ключ хранится на дискете или смарткарте и должен быть известен только самому корреспонденту. Открытый ключ должен быть у всех потенциальных по-лучателей документов и обычно рассылается по электронной почте.
Процесс электронного подписания документа состоит в обработке с помощью секретного ключа текста сообщения. Далее зашифрованное сообщение посылается по электронной почте абоненту. Для проверки подлинности сообщения и электронной подписи абонент использует открытый ключ.

 

Билет 24

Формулирование политики безопасности для заданных условий.

Политика безопасности определяется как совокупность документированных управленческих решений, направ­ленных на защиту информации и ассоциированных с ней ресурсов. При разработке и проведении ее в жизнь целесообразно руководствоваться следующими прин­ципами:

1. Невозможность миновать защитные средства;

2. Усиление самого слабого звена;

3. Недопустимость перехода в открытое состояние;

4. Минимизация привилегий;

5. Разделение обязанностей;

6. Многоуровневая защита;

7. Разнообразие защитных средств;

8. Простота и управляемость информационной систе­мы;

9. Обеспечение всеобщей поддержки мер безопасно­сти.

Поясним смысл перечисленных принципов.

1. Принцип невозможности миновать защитные сред­ства означает, что все информационные потоки в за­щищаемую сеть и из нее должны проходить через СЗИ. Не должно быть "тайных" модемных входов или тес­товых линий, идущих в обход экрана.

2. Надежность любой СЗИ определяется самым сла­бым звеном. Часто таким звеном оказывается не ком­пьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобре­тает нетехнический характер.

3. Принцип недопустимости перехода в открытое со­стояние означает, что при любых обстоятельствах (в том' числе нештатных), СЗИ либо полностью выполняет свои функции, либо должна полностью блокировать доступ.

4. Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполне­ния служебных обязанностей.

5. Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важ

Методы и средства хранения ключевой информации.

Нормативные документы

Положение разрабатывалось с учетом:

· Федерального закона "Об электронной цифровой подписи"

· "Временного положения о цифровой электронной подписи (ЭЦП) в системе межрегиональных электронных платежей ЦБ РФ в период проведения эксперимента", утвержденного 16 августа 1995 г. Первым Заместителем Председателя ЦБ РФ А.В.Войлуковым

· Временных требований ЦБ РФ № 60 от 03 апреля 1997 г. "По обеспечению безопасности технологии обработки электронных платежных документов в системе Центрального банка Российской Федерации"

· Положения ЦБ РФ № 20-П от 12 марта 1998 г. "О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России" в редакции Указания Банка России № 774-У от 11.04.2000 г.

Общие положения

2.1. Настоящее Положение разработано для операторов, абонентов и уполномоченных абонентов Систем криптозащиты информации (СКЗИ), осуществляющих электронные взаимодействия со сторонними организациями с использованием носителей ключевой информации (НКИ).

2.2. Данное Положение включает:

· организационные мероприятия по работе с НКИ;

· порядок использования НКИ в системе электронных взаимодействий;

· порядок изготовления, учета, регистрации ключей ЭЦП и ключей шифрования в системе электронных взаимодействий;

· порядок действий при компрометации ключевых материалов;

· порядок обеспечения режима безопасности при работе с НКИ.

2.3. Основные термины:

· Носитель ключевой информации – носитель информации (дискета, флэш-память, и прочие носители) на которых храниться электронный ключ, предназначенный для защиты электронных взаимодействий.

· ЦУКС - центр управления ключевыми системами место изготовления носителя ключевой информации НКИ.

· Секретный (закрытый) ключ подписи - ключ предназначенный для формирования им электронной цифровой подписи электронных документов.

· Открытый (публичный) ключ подписи - ключ, автоматически формируется при изготовлении секретного ключа подписи и однозначно зависящий от него. Открытый ключ предназначен для проверки корректности электронной цифровой подписи электронного документа. Открытый ключ считается принадлежащим участнику электронных взаимодействий, если он был сертифицирован (зарегистрирован) установленным порядком.

· Ключ шифрования - ключ предназначенный для закрытия электронного документа при электронных взаимодействиях.

· Шифрование - специализированный метод защиты информации от ознакомления с ней третьих лиц, основанный на кодировании информации по алгоритму ГОСТ 28147-89 с использованием соответствующих ключей.

· Компрометация ключевой информации - утрата, хищение, несанкционированное копирование или подозрение на копирование носителя ключевой информации НКИ или любые другие ситуации, при которых достоверно не известно, что произошло с НКИ. К компрометации ключевой информации также относится увольнение сотрудников, имевших доступ к ключевой информации.

· Сертификация ключа - процедура заверения (подписания) открытой части регистрируемого ключа электронной цифровой подписью.

· Заявка на регистрацию ключа - служебное сообщение, содержащее новый открытый ключ, подписанное электронной цифровой подписью.