№ 07 от 16-02-2004
|
|
Украинский деловой еженедельник
"Контракты" / № 07 от 16-02-2004 |
В Верховной Раде зарегистрирован проект закона на замену действующему о защите информации в автоматизированных системах. В случае его принятия защитить бизнес-информацию будет... проблематично.
Антизащита
В настоящее время практически все организации имеют свои автоматизированные компьютерные системы и используют информационные технологии в производственных целях (как минимум — бухгалтерия, складской учет и т. д.). Поэтому Закон «О защите информации в автоматизированных системах» (№ 80/94-ВР) практически напрямую затрагивает все бизнес-структуры. Однако в прошлом году Верховной Радой был принят за основу законопроект «О защите информации в информационно-телекоммуникационных системах», планируемый на замену действующему. Законопроект разрабатывался во исполнение задач, поставленных Президентом (указ № 1193 от 6.12.2001) и Кабмином (постановление № 1694 от 14.10.2001). Тогда было поручено разработать законопроект с учетом рекомендаций Парламентской Ассамблеи Совета Европы по противодействию международному терроризму, а также определить механизмы проведения мониторинга сети передачи данных в соответствии с положениями Резолюции Совета Европы ENFOPOL 98.
Цель актуальна. Развитие современных информационных технологий, в том числе интернета, привело к появлению новых видов преступлений. Использование национальных и глобальных сетей связи, фактически отсутствие границ в открытом информационном пространстве, затрудняет принятие эффективных мер по выявлению и пресечению подобных преступлений. Поэтому Советом Евросоюза были приняты ряд актов, направленных на решение этих проблем. Среди них, уже названная ENFOPOL 98, а также Резолюция Совета ЕС от 20 июня 2001 года об оперативных запросах правоохранительных органов относительно телекоммуникационных сетей общего пользования и услуг и Резолюция Совета от 17 января 1995 года о законном перехвате телекоммуникаций. Как следует даже из названий указанных актов ЕС, одна из основных задач «украинского» законопроекта — обеспечить законный перехват информации в телекоммуникациях.
Но эффект от возможного действия норм проекта закона, в случае его принятия, может получится прямо противоположным ожидаемому. Главным недостатком законопроекта является несоответствие его содержания действующему национальному и Европейскому законодательству, как, впрочем, и задекларированным задачам. Впрочем, при детальном рассмотрении проект и принципы, положенные в основу его разработки, не имеет достаточного обоснования с точки зрения замены всего действующего Закона.
Например, некорректны прежде всего в отношении бизнеса некоторые термины и определения проекта. В то же время вообще отсутствуют необходимые термины «персонал системы», «нарушитель», «нарушение работы системы» в сравнении с действующим законом. Как следует из пояснительной записки к проекту, одна из важнейших его целей — урегулирование взаимоотношений между участниками информационных систем. Однако этого не произошло. В проекте не определены или противоречивы взаимоотношения (права и ответственность) большинства субъектов этой области — распорядителей информации и систем с их владельцами, а также с пользователями информации. Это, в частности, касается отношений между владельцами и распорядителями (как систем, так и информации), а также нового субъекта — «уполномоченного центрального органа исполнительной власти в сфере криптографической и технической защиты информации». При таких условиях вызывает сомнение тот факт, что внедрение «комплексной системы защиты» обойдется без существенных финансовых затрат, как это указано в финансово-экономическом обосновании проекта.
Кто же будет иметь права администратора информационной системы?
«В случаях, предусмотренных законодательством Украины, доступ к информации в системе может осуществляться без разрешения ее владельца», — говорится в одной из статей проекта. А если следовать всем положениям проекта, то доступ к информации или системе без разрешения ее владельца — это возможность выполнения одной или нескольких операций, в том числе — ввода, записи, изменения, удаления, передачи. На практике такой доступ чреват большими неприятностями для бизнеса. Например, если информационная система — это банковская система электронного денежного обращения, то подобные действия есть не что иное, как возможность ввести новый или изменить имеющийся и передать платежный документ (денежные средства) без разрешения владельца системы (банка), что является уже предметом Уголовного кодекса Украины. Самое интересное, что первоначально (если обратиться к задачам проекта) речь шла лишь о перехвате в телекоммуникациях — пассивный доступ, только на чтение и только в каналах связи, телекоммуникациях. Причем только в сетях общего пользования и услуг, а не активный доступ (ввод, запись, удаление и т. д.) с правами суперадминистратора к любым информационным системам и данным в них.
В помощь хакеру...
Согласно проекту закона владелец системы должен предоставлять «...технические данные и возможности защиты информации в системе» пользователям системы — владельцам информации. Но... Технические данные защиты информации — это основа для действий любого хакера. При доступности таких сведений, вероятность несанкционированного проникновения в систему увеличивается многократно, особенно учитывая то, что абсолютно защищенных и безошибочных систем нет.
По большому счету это положение может применяться исключительно для систем с одним (единственным) владельцем информации.
Риски и ответственность
Одной из статей проекта определено, что владелец системы устанавливает правила и обеспечивает защиту информации в ней, однако другой эти права перечеркиваются. Статья 10 проекта устанавливает, что защита информации в системе (любой) обеспечивается внедрением комплексной системы защиты информации. Порядок создания и требования к ней определяются уполномоченным центральным органом исполнительной власти в сфере криптографической и технической защиты информации (монополист и для государственной, и для коммерческой сфер). Причем для создания такой комплексной системы защиты могут использоваться исключительно средства, которые имеют соответствующий сертификат или экспертное заключение, или разрешение на их применение, выданное этим уполномоченным органом.
В отличие от действующего закона, в проекте вообще не предусмотрены права владельцев систем или информации, которые не обрабатывают государственную информацию, а указана лишь ответственность за риски, если система не обеспечена комплексной системой защиты.
Напомним, что в действующем Законе определено, что требования и правила относительно защиты информации, которая является собственностью государства, или защита которой гарантируется государством, устанавливаются госорганом, уполномоченным Кабмином. Эти требования и правила являются обязательными для владельцев АС, где такая информация обрабатывается, и имеют рекомендательный характер для других субъектов права собственности на информацию. Можно только догадываться, по каким причинам положение об обязательном и рекомендательном характере исчезло в новой редакции закона.
С другой стороны, если система полностью отвечает требованиям уполномоченного центрального органа исполнительной власти и обеспечена комплексной системой защиты, то на кого возлагается ответственность в случае нанесения убытков при использовании «сертифицированных» средств защиты. Особенно, если доказано, что убытки вызваны именно несоответствующей сертификацией/выводом/разрешением или несоответствующими требованиями к самой комплексной защите?
И вообще, обязательность сертификации, экспертных выводов или разрешений на использование средств защиты противоречит Европейскому законодательству. В частности — Директивам европейского парламента и Совета ЕС об электронной подписи и электронной коммерции, а также Директиве ЕС об открытии и ведении деятельности учреждений-эмитентов электронных денег и наблюдения за этой деятельностью.
Будущее...
Прогноз возможного развития ситуации, в случае воплощения проекта в закон, выглядит печально — проект фактически регламентирует прямое вмешательство в работу любых систем без учета их чувствительности к таким действиям.
Для создания доступа в систему без ведома ее владельца в ней необходимо обеспечить «черный вход» («люк»), который владельцу недоступен и/или неизвестен и которым можно воспользоваться в любое время. Особенно «эффективен» такой вход для пользователей, включенных в сети общего пользования типа интернет — гуляй, хакер!
Если проект станет законом, покупая какой-либо продукт отечественных разработчиков, компания сильно рискует своей информацией, т. к. разработчики — люди подневольные (деятельность в области защиты информации подлежит лицензированию), законопослушные и, если это требует закон, — должны сделать в своем продукте, как минимум, один «черный ход» для правоохранительных органов. Таким образом, об этом «люке» уже знают двое — разработчик и тот, для кого он сделан. Однако, что известно двоим, то (может стать) известно и....
В мировой практике одним из основных требований к разработчикам программ со стороны пользователей является отсутствие «люков» (так называемое условие No bags). Если проект станет законом, то это требование к нашим разработчикам неприменимо. В этом свете особенно «многообещающе» выглядит и стремление перейти на «свободное» программное обеспечение типа Linux, имеющее сертификат уполномоченного центрального органа исполнительной власти в сфере криптографической и технической защиты информации. С учетом «лазеек» даже использование криптографии не даст достаточной уверенности в достоверности информации — может ее «по-тихому» отключили?
Как самому защитить свою информацию
Есть способы самостоятельно и при относительно небольших затратах обеспечить достаточный уровень защиты вашей информации. Не секрет, что практически все персональные компьютеры в Украине работают в операционной системе Windows. В этой системе уже встроены средства криптографической защиты информации — и шифрование, и электронная подпись. Начиная с версии Windows NT4/2000 и старше — эти средства имеют сертификаты FIPS по безопасности. Таким образом, имеется возможность шифрования персональной информации на компьютере (на уровне файловой системы), а также возможность подписать и зашифровать информацию при передаче ее каналами связи. Эти же средства могут использоваться для авторизации доступа к компьютеру, сетевым серверам и т. д. Имеющиеся средства криптозащиты могут включаться в разные приложения, в том числе в электронную почту. Предусмотрена поддержка средств хранения ключевой информации от минимального (на диске компьютера) до максимального уровня безопасности (на криптографических смарт-карточках).
Для персонального компьютера необходимо активизировать необходимые средства защиты, сгенерировать на вашем компьютере криптографические ключи цифровой подписи и сертифицировать открытый ключ в доступном центре сертификации ключей (как и предусмотрено законом об электронной цифровой подписи). Для сетевого решения — установить сервер Windows 2000/2003, в котором уже есть собственный/встроенный центр сертификации ключей и организовать криптографическую защиту для всех пользователей вашей сети, в том числе и с внешними партнерами на уровне электронной почты. Для других (не Windows) платформ реализация также возможна, имеется ряд программно-технических решений, соответствующих международным стандартам.
|